A l’occasion de l’entrée en application de DORA le 17 janvier 2025, l’ACPR a publié deux documents permettant aux entités assujetties de mieux s’y retrouver dans leurs obligations à court et moyen terme. L’autorité a en effet publié le formulaire de déclaration d’externalisation de notification des incidents TIC majeurs, mais surtout son premier paquet de questions/réponses à la FAQ DORA qui apporte de précieux renseignements sur ce qu’il faut renseigner, comment le renseigner et quand le renseigner.

Les éléments les plus marquants sont les suivants :

Une consultation publique est ouverte jusqu’au 28 février 2025, à l’initiative de la CNIL, pour permettre à cette dernière de mettre à jour sa recommandation relative à la sécurité des systèmes de vote par correspondance électronique (SVE).

Cette recommandation de la CNIL a en effet été mise à jour pour la dernière fois le 25 avril 2019. Or, du fait des avancées technologiques, et surtout de la hausse et du perfectionnement des cyberattaques, il était aujourd’hui nécessaire de s’adapter au nouveau contexte.

Ainsi, dans le respect des principes de la protection des données personnelles et des grands principes généraux du droit électoral, l’objectif de ce projet est donc dans un premier temps de fixer de nouveaux attendus en matière de sécurité des dispositifs de vote par correspondance électronique grâce à une revalorisation de niveaux de sécurité ; puis de redéfinir des moyens concrets pour les responsables de traitements afin mettre en place des solutions adaptés aux scrutins.

La CNIL propose ainsi la création de 3 niveaux de risques et, en fonction de la classification du scrutin et du type d’organisme dans un niveau de risque, celui-ci devra se conformer à certaines prérogatives.