Comment organiser un vote électronique conforme à la CNIL ?

Pour les entreprises qui organisent les élections professionnelles du CSE, le recours au vote électronique offre de multiples avantages : facilité de mise en place, efficacité, hausse du taux de participation, souplesse, gain de temps, et économies réalisées sur l’ensemble du processus. Néanmoins, en tant que responsable du traitement des informations, l’employeur doit se conformer à un ensemble de règles relatives à la protection des données personnelles des électeurs (comme le prévoit le RGPD), et veiller à ce que la solution de vote choisie affiche un niveau de sécurité suffisant. Quelles sont les recommandations de la CNIL sur le vote électronique et comment les respecter, aussi bien au moment du déploiement de la solution que de l’élection en elle-même ?

Quelles conditions remplir pour organiser des élections professionnelles conformes ?

La Commission nationale de l’informatique et des libertés (CNIL) est chargée de veiller à la protection des données personnelles utilisées par les entreprises et par leurs sous-traitants. Dans le cadre du recours au vote électronique pour les élections professionnelles, elle a adopté une recommandation (celle du 25 avril 2019[SL1] ) relative à la sécurité du système de vote par correspondance électronique. Celle-ci s’accompagne d’une fiche pratique en deux étapes :

• Une grille d’analyse permettant d’évaluer le niveau de sécurité que le système doit atteindre pour être conforme.
• Les objectifs de sécurité à respecter avec des exemples de moyens à mettre en œuvre pour y parvenir.

Il est donc important de choisir son prestataire de vote électronique en fonction de ces objectifs et du niveau de sécurité attendu, en amont des élections.

Les objectifs de sécurité de la CNIL pour le vote électronique

Déclinés en trois grandes catégories, ces objectifs ont pour objet de garantir le bon déroulement du scrutin dans le respect des exigences de sécurité imposées par la CNIL, et qui découlent directement du RGPD (règlement européen pour la protection des données). Voici les principaux :

• La confidentialité du scrutin : la solution utilisée doit garantir l’impossibilité de lier un vote à un individu en particulier lors de l’élection.
• L’intégrité du scrutin : chaque vote doit être enregistré tel qu’il a été émis, sans possibilité de le modifier, de le supprimer ou d’y ajouter quoi que ce soit après coup.
• L’authentification des électeurs : le système employé doit permettre de vérifier l’identité de chaque participant et de s’assurer de son éligibilité.
• La transparence du scrutin et la traçabilité des processus : le système doit fournir des preuves (vérifiables) que chaque étape du déroulement a été exécutée correctement, tout en permettant aux électeurs (comme aux observateurs) de s’assurer de la conformité du processus.
• La disponibilité de la solution de vote : celle-ci doit rester accessible aux électeurs durant toute la durée de l’élection, et permettre de traiter les votes dans un délai raisonnable.

La mise en place d’un système conforme à la CNIL

Ces objectifs restent théoriques. Comment les atteindre concrètement ? Quelles sont les consignes à respecter pour mettre en place un système conforme à ce que prévoit la CNIL en matière de vote électronique ? Voici les étapes à suivre :

1. Le responsable du traitement des données analyse les besoins spécifiques de l’entreprise (nombre d’électeurs, type de scrutin, degré de confidentialité des informations…) et le niveau de sécurité à atteindre, afin de choisir une solution qui respecte les exigences de la CNIL sur le vote électronique.
2. La solution doit être mise en place et configurée avec soin. Le responsable doit aussi s’assurer de sa compatibilité avec les systèmes utilisés par les électeurs.
3. Le système de vote doit faire l’objet d’une expertise indépendante en amont de l’élection. Cette analyse couvre tous les aspects du dispositif : création et enregistrement des listes électorales, utilisation du système durant l’élection, dépouillement et archivage, etc. Le rapport établi à cette occasion doit être mis à disposition de la CNIL. Notez qu’une telle vérification favorise aussi la confiance des électeurs.
4. Durant le scrutin, le responsable doit veiller au bon fonctionnement du système, prendre des mesures contre d’éventuelles tentatives de fraude, et fournir une assistance aux électeurs qui rencontrent des difficultés pour exprimer leur vote.
5. Une fois le scrutin clôturé, le responsable doit assurer le traitement et le dépouillement des votes, vérifier que tous les électeurs ont été comptés, et annoncer les résultats. Par ailleurs, il faut conserver des preuves du bon déroulement du scrutin (notamment les logs du système) en cas de contestation future.
6. Enfin, les données doivent pouvoir être archivées conformément aux recommandations de la CNIL sur le vote électronique.

Les autres exigences de la CNIL

Au-delà des objectifs de sécurité à attendre et de la mise en place de la solution, l’entreprise doit respecter un certain nombre d’exigences qui sortent du cadre strict des recommandations de la CNIL propres au vote électronique. Voici lesquelles :

• L’obligation de consentement contraint l’employeur à obtenir l’accord préalable des électeurs avant de collecter et/ou de traiter des données personnelles qui leur appartiennent. Il doit aussi informer les utilisateurs sur la finalité du traitement, et leur indiquer la base légale qui donne le droit au prestataire de collecter et d’exploiter ces données.
• L’employeur doit respecter les droits des utilisateurs quant à l’accès et à la modification de leurs données personnelles. Ceux-ci peuvent, en effet, demander à tout moment à accéder à ces informations, à les rectifier, à les effacer, ou encore à limiter leur transmission à des tiers.
• Les mentions à faire apparaître sur la liste électorale découlent du principe de « minimisation des données » : seules les informations permettant de vérifier que l’électeur répond aux critères imposés doivent être mentionnées (nom et prénom, âge, appartenance à l’entreprise et ancienneté). Des informations personnelles comme l’adresse du salarié ne doivent pas figurer sur la liste, sauf dans des cas spécifiques.
• La désignation d’un Délégué à la protection des données (DPO) est obligatoire pour les autorités et les organismes publics, les entités qui réalisent un suivi régulier et systématique des personnes à grande échelle (comme les assureurs ou les banques), et les organismes qui traitent des données sensibles. Dans les autres cas, elle est fortement encouragée.
• Le fichier contenant les données exploitées doit être inscrit dans le registre des activités de traitement tenu par l’entreprise (prévu par le RGPD). Celui-ci confère une vue d’ensemble des processus et des données utilisées.

Recommandations de la CNIL sur le vote électronique : quelles sanctions en cas de non-conformité ?

Que se passe-t-il lorsqu’un organisme ne respecte pas les mesures prévues par la CNIL pour le vote électronique lors des élections professionnelles ? En cas de violation, le responsable n’est autre que le dirigeant de l’entreprise, qui est aussi le président du CSE. Les sanctions prévues sont…

• Un simple rappel à l’ordre.
• Une mise en demeure de mettre en conformité le processus de collecte et de traitement des données.
• Une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise en cas de non-respect des dispositions relatives au RGPD (règlement général sur la protection des données).

Il est donc indispensable d’organiser des élections professionnelles conformes à ce que prévoit la CNIL en matière de vote électronique. Pour cela, l’employeur doit s’informer sur les normes à respecter et sur les mesures de protection à mettre en place pour atteindre les objectifs de sécurité. Mais il doit, aussi, choisir avec beaucoup de rigueur son prestataire et s’assurer de la conformité de la solution proposée : un système capable de protéger les données personnelles et de garantir la confidentialité des votes, comme celui d’eklesio.

---