Politique de confidentialité

Dernière révision : 09/02/2022

La présente Politique de confidentialité (ci-après la “Politique”) illustre l'engagement de la société LegaVote, eu égard à la collecte, l'utilisation et la préservation de vos données personnelles en tant que sous-traitant lors de l'utilisation de nos services ou de la présente solution de vote en ligne.

Elle est susceptible d'être modifiée à tout moment. Le cas échéant, les modifications apportées prendront effet à la date indiquée en haut des présentes, correspondant à la date de leur notification. Nous vous encourageons à consulter la Politique à chaque fois que vous utilisez nos services, afin de rester informé des pratiques mises en place en matière d'information et des moyens que vous pouvez utiliser pour protéger votre vie privée. En tout état de cause, vous reconnaissez qu'en utilisant nos Services vous signifiez votre compréhension et votre adhésion aux stipulations de la présente Politique.

1. Informations générales / Qui sommes-nous ?

La présente Politique vise à vous informer de nos pratiques concernant la collecte, l'utilisation et la sécurisation des données personnelles afin que vous sachiez parfaitement pourquoi et comment nous les utilisons.

Nous collectons des données à caractère personnel uniquement dans le cadre de nos activités, et ce dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (« le Règlement européen sur la protection des données » ou « RGPD ») et de la Loi française n°78/17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

LegaVote est une SARL de droit français (au capital de 158.000 €), enregistrée au registre du Commerce et des Sociétés de Lyon sous le numéro 878 188 176, et dont le siège social est fixé au 27, rue Saint Simon – 69009 LYON.

Vous pouvez nous contacter soit par email, à l'adresse suivante : contact@legavote.fr, soit par courrier postal, à l'adresse suivante : LegaVote – 27, rue Saint Simon – 69009 LYON.

2. Données collectées en tant que sous-traitant

Dans le cadre de l'utilisation de ses services et notamment de sa plateforme de vote en ligne, LegaVote, en qualité de sous-traitant, collecte et traite des données à caractère personnel vous concernant.

L'organisateur du vote, en sa qualité de responsable du traitement nous a fourni ou encore nous collectons automatiquement (Cf. Section 2.(B) des présentes), les données personnelles suivantes :

  • Nom, prénom ;
  • Nom de société ou d'association ;
  • Adresse email ;
  • Numéros de téléphone ;
  • Date de naissance pour la confirmation de l'identité ou la récupération de l'identifiant votant en cas de perte ou non-réception initiale ;
  • Donnée secrète (Numéro RID (indiqué sur votre extrait RIDET) ) pour la confirmation de l'identité ou la récupération de l'identifiant votant en cas de perte ou non-réception initiale ;
  • Affectation aux scrutins ;
  • Adresse postale (si un envoi par courrier postal des identifiants a eu lieu) ;
  • Données de connexion pour l'authentification : identifiant votant aléatoire transmis ou numéro d'identification interne puis mot de passe ;
  • Traçabilité des connexions (login, IP, identifiants navigateur et session) ;
  • Registre d'activité horodaté permettant de reconstituer le parcours utilisateur ;
  • Enregistrement séparé du vote et de l'émargement dans chaque scrutin ;
  • Calcul des résultats issus des données de vote, dont représentativité syndic.

Étant précisé que les données relatives i) aux listes électorales ou d'inscrits, ii) aux candidatures syndicales et libres (dont photos, vidéos et documents de présentation), iii) aux résolutions et référendums (dont photos, vidéos et documents de présentation), sont issues d'une transmission par l'organisateur du scrutin, responsable du traitement.

Quant aux autres données elles sont directement fournies par la personne (utilisateur) qui, souhaitant exprimer son vote, s'inscrit et se connecte à la plateforme de vote en ligne LegaVote afin de participer au scrutin.

Finalités de traitements / Fondements juridiques / Destinataires de vos données

Le traitement a pour objet l'expression du vote par voie électronique. Par conséquent, le recueil des données par LegaVote est obligatoire pour pouvoir exprimer son vote par voie électronique.

Toutefois, le traitement des données concerne uniquement les personnes enregistrées dans le système de vote par l'organisateur du scrutin : électeurs/votants, bureaux de vote, observateurs, cellule technique LegaVote et experts indépendants/huissiers.

Ainsi, il permet à LegaVote i) d'assurer la sécurité de l'acte de vote conformément aux exigences légales et recommandations de la CNIL, ii) d'accompagner l'utilisateur en cas de problème ou encore de transmettre par un second facteur (SMS, Email) les secrets de vote aux électeurs concernés, iii) d'établir la documentation obligatoire (listes d'émargements, résultats) dans le respect des dispositions applicables.

Ce traitement de données relève de l'exercice d'organisme de vote électronique dont est investi LegaVote par l'organisateur des scrutins.

Sont destinataires des données :

  • LegaVote en qualité d'organisme de vote électronique expertisé ;
  • Les membres de bureaux de vote selon les droits définis dans le règlement/protocole des scrutins ;
  • Les observateurs de vote selon les droits définis dans le règlement/protocole des scrutins ;
  • L'organisateur des scrutins ;
  • Les experts indépendants ou huissiers enregistrés.

LegaVote conserve l'ensemble des données pour la seule période des opérations électorales, comprenant la période de recours et d'archivage réglementaires.

En cas de partage de renseignements vous concernant avec nos prestataires techniques, nous nous engageons à ce que ces derniers respectent les termes de la présente Politique. En cas de sous-traitance d'une partie ou de la totalité d'un traitement de données personnelles, LegaVote exigera que ses sous-traitants fournissent des garanties contractuelles au regard de la sécurité et de la confidentialité des données personnelles par le biais de mesures techniques de protection de ces données et de moyens humains appropriés.

Aucun transfert de données hors de l'Union européenne n'est réalisé. Tous les traitements sont opérés uniquement sur le territoire de l'Union européenne.

3. Comment nous sécurisons vos données

Le maintien de la sécurité et de la confidentialité de vos données personnelles nous préoccupe au plus haut point. C'est pourquoi nous avons mis en place des mesures de sécurité techniques, administratives et physiques au regard de la nature des données que nous traitons et des risques présentés par les différents traitements, pour préserver la sécurité des données et, empêcher qu'elles soient divulguées, déformées, endommagées, détruites, utilisées à des fins illégales ou non autorisées ou encore que des tiers non autorisés y aient accès. Nous nous engageons également de limiter l'accès aux données personnelles aux seuls employés ou sous-traitants ayant une fonction/intérêt à les connaître.

Nous assurons également des évaluations ponctuelles de nos propres protocoles de sécurité afin de prendre les mesures qui s'imposent pour faire face à d'éventuelles technologies et méthodes nouvelles ou inédites.

4. Engagements de la société LegaVote

LegaVote s'engage à i) préserver l'intégrité et la confidentialité de vos données que ce soit au cours de leur transmission ou pendant toute la durée de leur hébergement, ii) ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel, iii) ne jamais exploiter, traiter, conserver ou vendre les données personnelles collectées sans l'autorisation exprès du titulaire ou sous réserve de l'application d'une loi, d'un règlement ou en vertu d'une décision d'une autorité judiciaire ou réglementaire, iv) effacer ou anonymiser toute donnée personnelle dont la conservation n'est pas justifiée par l'activité en cours, par la loi ou par la réglementation.

Conformément aux articles 33 et 34 du RGPD, LegaVote s'engage à notifier ou à s'assurer de la notification à la CNIL sous soixante-douze (72) heures de toute violation des données à caractère personnel ainsi qu'à toutes les personnes qui pourraient être impactées. Cette notification devra être précédée d'échanges avec le responsable du traitement afin de déterminer conjointement la stratégie de communication la plus adaptée à la situation.

LegaVote notifie à l'utilisateur toute violation de données à caractère personnel dans un délai raisonnable après en avoir pris connaissance et par LRAR et/ou courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre à l'utilisateur, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

5. Vos droits

Conformément au RGPD, toute personne physique concernée bénéficie d'un droit d'accès, de rectification, d'effacement, d'opposition, à la portabilité des données personnelles la concernant et à la limitation des traitements. Vous disposez également du droit d'introduire une réclamation auprès d'une autorité de contrôle.

Vos droits d'accès et de rectification de vos données

Vous disposez d'un droit d'accès et d'un droit de rectification de vos données personnelles, que vous pouvez exercer en nous contactant soit par mail soit par voie postale comme indiqué à la section « Comment exercer vos droits » ci-dessous. Ainsi, vous êtes en droit de nous demander la confirmation que nous traitons des données personnelles vous concernant et d'en demander une copie.

Vous pouvez également nous solliciter pour modifier, corriger ou compléter toute donnée personnelle vous concernant.

La requête doit être sans équivoque et nous vous recommandons de préciser l'objet de votre demande : « accès à mes données » / « rectification de mes données », tout en nous fournissant une preuve valable attestant de votre identité.

Votre droit à l'effacement de vos données

Vous pouvez nous demander l'effacement de vos données personnelles lorsque l'un des motifs suivants s'applique : (a) les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ; (b) vous retirez le consentement préalablement donné ; (c) vous vous opposez au traitement de vos données personnelles lorsqu'il n'existe pas de motif légitime impérieux justifiant de continuer le traitement ; (d) le traitement de données personnelles n'est pas conforme aux dispositions de la législation et de la réglementation applicable.

Néanmoins, l'exercice de ce droit ne sera pas possible lorsque la conservation de vos données personnelles est nécessaire au regard de la législation ou de la réglementation et notamment par exemple pour la constatation, l'exercice ou la défense de droits en justice.

Votre droit à la limitation du traitement de vos données

Vous pouvez solliciter la limitation du traitement de vos données lorsque l'un des éléments suivants s'applique : (a) vous contestez l'exactitude des données personnelles vous concernant ; (b) vous estimez que le traitement de vos données est mis en œuvre de manière illicite et vous opposez à leur effacement mais exigez à la place la limitation de leur utilisation ; (c) nous n'avons plus besoin des données personnelles vous concernant aux fins du traitement mais celles-ci sont encore nécessaires pour vous permettre de faire constater, d'exercer ou de défendre un droit en justice ; (d) vous avez exercé votre droit d'opposition en vertu de l'article 21, paragraphe 1 du RGPD. Nous procéderons à la limitation du traitement de vos données, pendant la vérification portant sur le point de savoir si les motifs légitimes que nous poursuivons prévalent sur votre droit.

Votre droit de vous opposer aux traitements de données

Vous avez le droit de vous opposer à un traitement de données personnelles vous concernant. Vous devrez justifier votre demande en vous s'appuyant sur des raisons tenant à votre situation particulière.

Néanmoins, LegaVote a la possibilité de refuser votre demande :

  • S'il existe des motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, exercice ou défense de droits en justice ;
  • Si vous avez consenti au traitement des données, vous devez alors retirer ce consentement et non vous opposer ;
  • En cas de relation contractuelle entre vous et nous ;
  • Si une obligation légale nous impose de traiter vos données ;
  • Si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.

Si vous vous opposez aux traitements de données personnelles à des fins de prospection commerciale, vous pouvez le faire sans motif et nous serons tenus d'y faire droit.

Votre droit à la portabilité de vos données

Vous disposez du droit à la portabilité de vos données personnelles. Soit de récupérer vos données dans un format ouvert et lisible par machine pour votre usage personnel ou de les transférer à un autre Responsable du traitement.

Ce droit est limité aux traitements basés sur le consentement ou sur un contrat ainsi qu'aux données personnelles que vous avez personnellement générées. Il ne s'applique que si les données sont traitées de manière automatisée et que son exercice ne porte pas atteinte aux droits et libertés de tiers.

Votre droit de retrait du consentement

Lorsque les traitements de données que nous mettons en œuvre sont fondés sur votre consentement, vous pouvez le retirer à n'importe quel moment. Nous cessons alors de traiter vos données personnelles sans que les opérations antérieures pour lesquelles vous aviez consenti ne soient remises en cause, sous réserve du respect des obligations légales et réglementaires de conservation auxquelles nous sommes soumis. Veuillez noter que si vous retirez votre consentement, vous ne pourrez peut-être plus bénéficier de certaines fonctionnalités de nos Services pour lesquelles le traitement de vos données personnelles est indispensable.

Votre droit de définir des directives au sort des données après votre décès

En France, en vertu de la Loi Informatique et Libertés, vous disposez également du droit de prévoir des directives relatives au sort de vos données à caractère personnel après votre décès.

Droit d'introduire une réclamation auprès d'une autorité de contrôle

L'autorité de contrôle compétente pour traiter toute demande nous concernant en matière de protection des données personnelles, y compris, le cas échéant, la plainte d'un utilisateur, est la Commission Nationale de l'Informatique et des Libertés (CNIL). Si souhaitez saisir la CNIL de toute demande, vous trouverez ci-dessous les coordonnées :

CNIL (COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS)
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tél. : 01 53 73 22 22 (du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h)
Fax : 01 53 73 22 00
Site : https://www.cnil.fr.

Si vous souhaitez déposer une plainte auprès de la CNIL, vous pouvez renseigner le formulaire de dépôt de plainte en ligne disponible à l'adresse suivante : https://www.cnil.fr/fr/plaintes.

6. Comment exercer vos droits

Tous les droits énumérés ci-avant peuvent être exercés en nous adressant un email à contact@legavote.fr ou par courrier postal à l'adresse suivante : LegaVote – 27, rue Saint Simon – 69009 LYON.

Veillez à bien indiquer, l'objet de votre demande (droit en question) ainsi que de joindre toute copie de justificatif attestant de votre identité.