Modification des règles applicables au répertoire électoral unique

Par Tiphaine Huige

Publié le

Le décret no 2018-343 du 9 mai 2018 a créé le traitement permettant la gestion du répertoire électoral unique (REU). En application de l'article L. 16 du Code électoral, les conditions de mise en œuvre du traitement doivent être définies par un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés (CNIL).

Le décret no 2021-421 du 9 avril 2021 a pour objet l’adaptation répertoire électoral unique à de nouvelles mesures notamment relatives aux procurations.

La loi no 2019-1461 du 27 décembre 2019 relative à l'engagement dans la vie locale et à la proximité de l'action publique modifiant la gestion des procurations a prévu une entrée en vigueur au 1er janvier 2022 pour les prochaines élections présidentielle et législatives. De nouvelles adaptations seront possibles d’ici là.

Mais pour l’heure, le décret no 2021-421 a pour but d'adapter le décret portant création du traitement automatisé de données à caractère personnel permettant la gestion du répertoire électoral unique afin de prendre en compte les nouvelles dispositions législatives et de simplifier la gestion du processus électoral, à savoir :

  • s’agissant de la gestion des procurations, l'article 112 de la loi no 2019-1461 précité supprime la contrainte que le mandant et le mandataire d'une procuration soient inscrits dans la même commune ;
  • le contrôle des initiatives citoyennes européennes créé par le règlement européen 2019/788, qui nécessite un accès à l'ensemble des listes électorales contenues dans le REU ;
  • la gestion de la propagande électorale par les préfectures, prévue par le Code électoral, qui nécessite en particulier l'accès aux adresses de contact des électeurs ;
  • l'accès du ministère de l'Intérieur en lecture au REU en complément des accès déjà prévus pour les préfectures afin de permettre le suivi des élections en cours.

La CNIL a rendu un avis no 2021-008 sur le décret du 9 avril 2021. Elle a formulé, notamment, les observations suivantes sur ce texte :

  • sur la partie du traitement REU qui relève du seul titre Ier de la loi du 6 janvier 1978 modifiée (qui porte sur des activités qui ne relèvent pas du champ d'application du droit de l'UE), la Commission estime que le régime juridique devrait être aligné sur celui du règlement général sur la protection des données (RGPD) dans la mesure où le régime du titre Ier est moins protecteur ;
  • sur les finalités poursuivies, la Commission considère que le projet de décret devrait être complété afin d'expliciter ce que recouvrent les termes de « mise en œuvre des procédés d'expression démocratique » employés, en particulier si de nouveaux usages du REU sont envisagés ;
  • la Commission considère que la durée de conservation des traces devrait être de six mois, et non de trois, et qu'un mécanisme proactif de contrôle automatique des traces devrait être mis en place. La Commission prend acte de la mise en place d'une journalisation applicative et technique dont la durée de conservation est de trois mois.

Concernant les mesures de sécurité, la commission relève que les échanges entre le système d'information « REU » géré par l'INSEE et les différents acteurs du dispositif peuvent se faire selon trois possibilités, à savoir soit des échanges de fichiers par le biais de canaux chiffrés, soit une API (« application programming interface », ou interface de programmation applicative), soit un portail web dédié aux communes.

En outre, la CNIL fait des recommandations concernant les authentifications (caractères des mots de passe ; authentification renforcée, etc.)

Du même auteur

Voir tous les articles