Modalités de recours au vote électronique pour les Entreprises 

Aux termes du premier de l’article R2314-8 du Code du travail, « l’élection des délégués du personnel peut être réalisée par vote électronique sur le lieu de travail ou à distance ».

Les obligations de sécurité et de confidentialité que doit nécessairement présenter un système de vote électronique pour garantir la sincérité du scrutin sont fixées aux articles R2314-9 à R2314-11 du Code du travail.

En outre, l’article suivant dispose que préalablement à sa mise en place ou à toute modification de sa conception, le système de vote électronique est soumis à une expertise indépendante. Ce rapport est tenu à la disposition de la Commission nationale de l’informatique et des libertés.

Au vu de ces dispositions, il apparaît donc que si l’entreprise compte organiser des élections en son sein, et utiliser pour cela un système de vote électronique, elle doit nécessairement faire réaliser une expertise indépendante lors de la conception initiale du système utilisé, mais aussi à chaque fois qu’il est procédé à une modification de la conception de ce système, et préalablement à chaque scrutin ou le recours au vote électronique est envisagé.

A l’origine de l’arrêt soumis à l’appréciation des Juges de la plus haute juridiction de l’ordre administratif, l’un des syndicats d’une société avait saisi la Commission nationale de l’informatique et des libertés (CNIL) d’une plainte relative à l’organisation des élections professionnelles, devant se tenir un peu plus tard dans l’entreprise.

La formation restreinte de la CNIL avait alors relevé plusieurs manquements à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Parmi les manquements constatés, citons notamment le défaut d’expertise préalable indépendante de ce système, ainsi que l’absence de confidentialité des moyens d’authentification.

Un avertissement, devant notamment être publié sur le site internet de la société, avait alors été pris à l’encontre de cette dernière.

La société en cause avait alors demandé en justice l’annulation de cette délibération.

L’affaire est finalement remontée devant le Conseil d’État, qui rappelle à cette occasion que l’utilisation d’un système de vote électronique pour une élection professionnelle est subordonnée à la réalisation préalable d’une expertise indépendante lors de la conception initiale du système utilisé, mais aussi :

• à chaque fois qu’il est procédé à une modification de la conception du système ;
• et préalablement à chaque scrutin pour lequel le recours au vote électronique est envisagé.

S’agissant des sanctions prononcées par la CNIL, le Conseil d’État précise dans sa décision que la Commission ne peut pas légalement sanctionner la simple méconnaissance de l’une des recommandations qu’elle adopte.

Toutefois, elle peut en tenir compte pour apprécier le respect des dispositions législatives et réglementaires que cette recommandation vise à mettre en oeuvre, et donc prononcer une sanction.

Plus d’informations ici 

l’Expert Informatique obligatoire pour valider les systèmes de vote électronique

Vote électronique : précisions sur la sécurité et la confidentialité

Pour élire ses délégués du personnel, la société X a décidé de mettre en place le vote électronique. Ayant déjà recouru à ce dispositif lors des précédentes élections professionnelles (en 2012), elle s’adresse au même prestataire extérieur.

Mais voilà qu’un syndicat conteste le bon déroulement des opérations et saisit la CNIL d’une plainte. Après enquête, cette dernière relève effectivement un certain nombre d’irrégularités. Aussi, elle prononce à l’encontre de l’entreprise, un avertissement et rend publique cette décision sur internet.

Contestant les manquements reprochés, et non contents de cette (mauvaise) « publicité », l’entreprise et le prestataire saisissent le Conseil d’Etat pour demander l’annulation la délibération de la CNIL.

Mais le Conseil d’Etat va approuver en tous points les manquements soulevés par la CNIL, et confirmer ainsi la sanction prise à l’encontre de la société requérante.

La pleine responsabilité de l’employeur, même en présence d’un sous-traitant

Pour rappel, l’employeur a la possibilité de confier à un prestataire la mise en place du système de vote électronique dans son entreprise. C’est l’option retenue par la  société en l’espèce et c’est précisément grâce à ce sous-traitant qu’elle va tenter de s’affranchir de sa responsabilité. Elle estime en effet que le prestataire présentait des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Pour résumer, sa responsabilité se limitait au choix d’un « bon » prestataire. Elle n’était donc pas responsable des irrégularités commises par ce dernier.

Le Conseil d’Etat ne l’a pas entendu ainsi. Il considère au contraire que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de réserver la sécurité des données ». Le sous-traitant agissant « sur instruction du responsable de traitement », c’est bien sur ce dernier que repose l’obligation de veiller au respect de la sécurité et de la confidentialité des données personnelles. Les manquements constatés étaient donc imputables à la société requérante en sa qualité de responsable de traitement.

L’exigence d’une expertise préalable indépendante à chaque scrutin

Le Code du travail (1) soumet le système de vote électronique à une expertise indépendante préalable à sa mise en place ou à toute modification de sa conception. En l’espèce, le système ayant déjà été utilisé lors des dernières élections, et n’ayant fait l’objet d’aucune modification depuis, il n’a pas été jugé nécessaire de renouveler cette expertise préalable. Première erreur, car le Conseil d’Etat a interprété un peu plus largement les dispositions légales : si la réalisation d’une expertise indépendante est nécessaire au moment de la conception initiale du système et  à chaque modification de la conception de ce système, elle l’est également « avant chaque scrutin recourant au vote électronique ». Afin de garantir la sincérité des opérations électorales par voie électronique, l’expertise aurait donc dû être renouvelée avant le scrutin.

Une transmission des moyens d’identification aux électeurs sécurisée

Au moment de voter électroniquement, l’électeur doit se connecter et se faire connaître par le moyen d’authentification qui lui a été transmis selon des modalités garantissant sa confidentialité (2). Ce moyen permet au serveur de vérifier l’identité de l’électeur et de garantir ainsi l’unicité de son vote. Il se trouve qu’en l’espèce, la transmission aux électeurs des identifiants et mots de passe, leur permettant de participer au vote, a été faite par simple courriel. Seconde erreur.

La CNIL a estimé que ce mode de transmission n’avait pas fait l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en étaient les seuls destinataires(3).

Un chiffrement des bulletins de vote ininterrompu

Enfin, un arrêté ministériel (4) impose que le chiffrement (ou cryptage) et l’anonymat des bulletins de vote soit ininterrompu de l’émission du vote sur le poste de l’électeur, jusqu’à la transmission  au fichier dénommé « contenu de l’urne électronique ». Voici donc le troisième manquement commis par la société : la CNIL a relevé que le système de chiffrement ayant été interrompu à un moment donné, il ne présentait pas un niveau de sécurité suffisant.

Ce rappel des règles était nécessaire. On peut ajouter que le Conseil d’Etat pousse plus loin encore la responsabilité de l’employeur dans le respect des règles relatives au vote électronique en approuvant la sanction infligée par la CNIL alors même que ces irrégularités n’ont entraîné ici aucune atteinte effective aux données personnelles des électeurs, ni aux principes du droit électoral ou encore aux libertés publiques.

(1) Art. R. 2314-12 du Code du travail.

(2) Art. R. 2324-5 du Code du travail.

(3) Cette solution n’est pas nouvelle, elle avait déjà été retenue par la chambre sociale de la Cour de Cassation  dans un arrêt du 27 février 2013, n°12-14.415.

(4) Art. 2 de l’arrêté du ministre de l’Emploi, de la cohésion sociale et du logement pris en application du décret n°2007-602 du 25 avril 2007.

Vote électronique : Confidentialité et sécurité des données a confirmé le Conseil d’Etat

En l’espèce, la CNIL, saisie d’une plainte d’un syndicat, prononce un avertissement à l’encontre d’une société n’ayant pas pris toutes précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel lors de l’élection des délégués du personnel organisée par voie électronique avec recours aux services d’un prestataire extérieur. La société et le prestataire forment un recours en annulation de cette délibération devant le Conseil d’Etat.

Le Conseil d’Etat rejette la requête et retient qu’il résulte des dispositions du Code du travail, « dont l’objectif est de garantir la sincérité des opérations électorales par voie électronique, que l’utilisation d’un système de vote électronique pour l’élection des délégués du personnel est subordonnée à la réalisation d’une expertise indépendante lors de la conception initiale du système utilisé, à chaque fois qu’il est procédé à une modification de la conception de ce système ainsi que préalablement à chaque scrutin recourant au vote électronique ».

Dès lors, « à supposer même que le système de vote électronique en litige n’ai fait l’objet d’aucune modification de sa conception depuis sa précédente utilisation par l’entreprise, […] une expertise indépendante était requise préalablement à sa mise en place pour les élections professionnelles organisées par la société requérante ».

Par ailleurs, « il résulte de [l’article R. 2324-5 du Code du travail sur la confidentialité des données transmises] que la transmission aux électeurs des identifiants et mots de passe leur permettant de participer au vote doit faire l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en sont les seuls destinataires ». Ainsi, « c’est à bon droit que la CNIL a estimé que la transmission par simple courriel de ces données aux électeurs méconnaissait les obligations » découlant de ce même article.

En outre, le Conseil d’Etat rappelle, conformément à un arrêté ministériel du 25 avril 2007, que « le respect de ces dispositions implique nécessairement que le chiffrement des bulletins de vote soit ininterrompu », et ce dès l’émission du vote sur le poste de l’électeur jusqu’à sa transmission au fichier dénommé « contenu de l’urne électronique ».

Enfin, si l’employeur a recours à un prestataire extérieur pour l’organisation du vote électronique, il reste malgré tout responsable de ce traitement de données. Le Conseil d’Etat précise ainsi que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données ». Cela ne méconnaît pas « le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants ont agi sur instruction du responsable de traitement ».

Le Conseil d’Etat a ainsi estimé que la sanction de la CNIL visant à rendre public l’avertissement était proportionnée au regard de la nature et de la gravité des manquements constatés, et sa publication appropriée « à la recherche de l’exemplarité ».