• Actualités
  • Conditions et modalités de la mise en place d'un système de vote électronique dans le cadre des élections professionnelles
Conditions et modalités de la mise en place d'un système de vote électronique dans le cadre des élections professionnelles

Conditions et modalités de la mise en place d'un système de vote électronique dans le cadre des élections professionnelles

Mardi, Novembre 15, 2022 RGPD Vote electronique

Si la loi n°2016-1088 du 8 août 2016 et les décrets n°2016-1676 du 5 décembre 2016 et n°2017-1819 du 29 décembre 2017ont facilité le recours au vote électronique en autorisant, sa mise en place dans le cadre des élections professionnelles est strictement encadrée par la réglementation française de manière à garantir le respect des principes qui gouvernent le droit électoral à savoir, le secret, la sincérité, l’égalité et la publicité du scrutin (Cass. Soc. 26 avril 2006 n°05-60.298).

La Cour de cassation est d’ailleurs venue préciser que les principes généraux du droit électoral s’appliquent pleinement à ce mode de scrutin (Cass. Soc. 1er juin 2022 n°20-22.860).

Les exigences à respecter quant à la mise d’un tel système de vote sont par ailleurs issues du Code du travail, de la jurisprudence et de la délibération CNIL n°2019-053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique.

1.     Les conditions juridiques préalables à la mise en place d’un système de vote électronique dans l’entreprise

Aux termes des dispositions prévues par le Code du travail le recours à un système de vote électronique est subordonné à la conclusion d’un accord d’entreprise ou de groupe dans lequel doit comporter un cahier des charges et devant respecter un socle de prescriptions minimales (Articles L.2314-26, R.423-1-2 et R.433-2-2 du Code du travail).

En l'absence d'accord, l'employeur peut, depuis le 7 décembre 2016, décider unilatéralement de recourir à cette méthode, sous réserve, néanmoins de respecter des conditions précises.

En premier lieu, l’employeur ne peut recourir au vote électronique par décision unilatérale que s’il a loyalement tenté de négocier un accord avec les organisations syndicales représentatives et qu’aucun accord n’a pu être conclu à l’issue de cette négociation. Cette position a été confirmée par la Cour de cassation (Cass. Soc., 13 janvier 2020, n° 19-23.533).

En second lieu, l’employeur doit être en capacité de prouver, le déroulement effectif de négociations et leur échec. Dans ces circonstances, il est opportun de dresser un PV constant l’échec des négociations dans la perspective d’un éventuel contentieux.  

Il convient de relever que cette obligation de négociation ne s’applique pas en l’absence de délégué syndical dans l’entreprise. Dans cette hypothèse, l’employeur peut décider unilatéralement et négociation préalable de recourir au déploiement d’un système de vote électronique.

2.     L’établissement d’un cahier des charges

Le cahier des charges occupe une place centrale dans le déploiement du système de vote électronique.

Aux termes des articles R.2314-5 et R.2314-6 du Code du travail, le cahier des charges doit définir l’ensemble des exigences techniques et juridiques que la solution de vote devra respecter.

Le cahier des charges à vocation décrire en détail le fonctionnement du système de vote et le déroulement des opérations électorales.

A cette fin, le cahier des charges doit détailler et garantir les modalités de gestion des éléments d’authentification, des clés de chiffrement et du contenu de l’urne, qui doivent être accessibles uniquement aux personnes habilitées.

Le cahier des charges doit en outre intégrer la réglementation relative aux données personnelles (RGPD) et la délibération CNIL n°2019-053 du 25 avril 2019

S’il n’est soumis à aucune condition de forme, le cahier des charges doit néanmoins être en conformité avec les règles de sécurité, confidentialité et sincérité du scrutin, comme le prévoit l’article R.2314-5 du Code du travail (Cass. Soc. 3 novembre 2016 n° 15-21.574)

Les dispositions réglementaires prévoient par ailleurs que le cahier des charges doit être mis à la disposition des salariés sur le lieu de travail et sur l'intranet de l'entreprise lorsqu'il en existe un.

3.     Les obligations de sécurité et de confidentialité

L’article R.2314-9 du Code du travail impose que le système de vote assure la confidentialité des données transmises, notamment de celles des fichiers constitués pour établir les listes électorales des collèges électoraux, ainsi que la sécurité de l'adressage des moyens d'authentification, de l'émargement, de l'enregistrement et du dépouillement des votes.

Afin de garantir la sincérité et l’unicité du scrutin, l’article 6 de l’arrêté du 25 avril 2007 pris en application du décret n° 2007-602 du 25 avril 2007 prévoit qu’il convient de s’assurer que les électeurs sont les seuls destinataires des moyens d'authentification, à savoir les identifiants et les mots de passe, leur permettant d’accéder au scrutin.

Selon une décision n°368748 du Conseil d’État en date du 11 mars 2015, l’envoi par simple courriel des moyens d’identification est insuffisant, sauf si des précautions supplémentaires sont prises, telles que l'utilisation de deux canaux distincts (par exemple, identifiant envoyé par e-mail et mot de passe par SMS) ou la remise en mains propres.

La CNIL, dans une série de questions/réponses portant sur les élections professionnelles et données personnelles en date du 24 octobre 2022, est venue préciser qu’elle recommande à l’organisateur de l’élection ou à son prestataire de solution de vote que l’électeur se voir remettre les éléments d’identification via deux canaux de communication distincts définis avant l’élection, de manière réduire les risques d’interception par un tiers et de compléter le processus d’identification demandant à l’électeur de répondre à une question secrète non triviale dont il est le seul à connaitre la réponse avec le responsable de traitement (sont par exemple exclus la date de naissance, le code postal, le numéro de département et tout autre élément facilement décelable).

Il convient de relever que la CNIL identifie trois niveaux de risque, lesquels requièrent des objectifs de sécurité croissants, de sorte que l’organisateur du vote doit impérativement catégoriser correctement son scrutin.

4.     L’expertise indépendante

Conformément à la délibération CNIL n°2019-053, le système de vote doit faire l’objet d’une expertise indépendante.

La délibération de la CNIL détaille les modalités de cette expertise.

Cette dernière couvre l'intégralité du dispositif de vote installé avant le scrutin (logiciel, serveur…), la constitution des listes d'électeurs et leur enrôlement et l'utilisation du système de vote durant le scrutin et les étapes postérieures au vote (tels et de manière non exhaustive le dépouillement, l’archivage…)

L'expertise porte sur :

-  le code source correspondant à la version du logiciel effectivement mise en œuvre ;

-  les mécanismes de scellement utilisés aux différentes étapes du scrutin ;

-  le système informatique sur lequel le scrutin va se dérouler ;

-  les échanges réseau ;

-  les mécanismes de chiffrement utilisés ;

-  les mécanismes d'authentification des électeurs et la transmission des secrets à ces derniers ;

-  l'évaluation du niveau de risque du scrutin ;

-  la pertinence et l'effectivité des solutions apportées par la solution de vote aux objectifs de sécurité.

Le rapport d'expertise, et ses annexes doivent être remis au responsable de traitement et aux prestataires de solution de vote.

5.     Le contrôle des opérations de vote

Aux termes de l’article R. 2314-15 du Code du travail, préalablement à l'ouverture du scrutin, une cellule d'assistance technique, avec les représentants des listes de candidats, a pour rôle d’effectuer des tests sur le système de vote de façon à vérifier que l'urne électronique est bien vide, scellée et chiffrée.

À l'issue du vote, le système de vote est de nouveau contrôlé et scellé avant les opérations de dépouillement.

En outre, l’article R. 2314-16 du Code du travail cantonne l’accès de la liste d'émargement aux membres du bureau de vote pendant la durée du scrutin.

6.     Les obligations en matière de protection des données à caractère personnel

En outre, il convient d’attirer l’attention de l’organisateur du scrutin. En sa qualité de responsable de traitement, il doit veiller à respecter les obligations prévues par le RGPD lors de du déploiement de son système de vote électronique.

L’organisateur devra par exemple réaliser une analyse d’impact, inscrire le traitement au registre des activités, informer individuellement les personnes concernées, encadrer contractuellement la sous-traitance avec ses prestataires

Le non-respect  des conditions de déploiement d’un système de vote expose son organisateur à un risque d'annulation du scrutin.

Recherche