Précisions juridiques sur l’organisation électronique des votes lors des élections professionnelles

Cet article provient du site internet de la CFDT.

Opter pour un prestataire pour l’organisation des élections professionnelles par vote électronique ne dédouane pas l’employeur de sa responsabilité en cas d’irrégularités. C’est ce que rappelle le Conseil d’Etat dans cette affaire. Il en profite pour apporter quelques précisions sur les garanties essentielles gouvernant ce dispositif en termes de confidentialité et de sécurité des données. Conseil d’Etat, 11.03.15, n°368748 

Pour élire ses délégués du personnel, la société X a décidé de mettre en place le vote électronique. Ayant déjà recouru à ce dispositif lors des précédentes élections professionnelles (en 2012), elle s’adresse au même prestataire extérieur. Mais voilà qu’un syndicat conteste le bon déroulement des opérations et saisit la CNIL d’une plainte. Après enquête, cette dernière relève effectivement un certain nombre d’irrégularités. Aussi, elle prononce à l’encontre de l’entreprise, un avertissement et rend publique cette décision sur internet. Contestant les manquements reprochés, et non contents de cette (mauvaise) « publicité », l’entreprise et le prestataire saisissent le Conseil d’Etat pour demander l’annulation la délibération de la CNIL. Mais le Conseil d’Etat va approuver en tous points les manquements soulevés par la CNIL, et confirmer ainsi la sanction prise à l’encontre de la société requérante. 

  • La pleine responsabilité de l’employeur, même en présence d’un sous-traitant

Pour rappel, l’employeur a la possibilité de confier à un prestataire la mise en place du système de vote électronique dans son entreprise. C’est l’option retenue par la société en l’espèce et c’est précisément grâce à ce sous-traitant qu’elle va tenter de s’affranchir de sa responsabilité. Elle estime en effet que le prestataire présentait des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Pour résumer, sa responsabilité se limitait au choix d’un « bon » prestataire. Elle n’était donc pas responsable des irrégularités commises par ce dernier. 

Le Conseil d’Etat ne l’a pas entendu ainsi. Il considère au contraire que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de réserver la sécurité des données ». Le sous-traitant agissant « sur instruction du responsable de traitement », c’est bien sur ce dernier que repose l’obligation de veiller au respect de la sécurité et de la confidentialité des données personnelles. Les manquements constatés étaient donc imputables à la société requérante en sa qualité de responsable de traitement. 

  • L’exigence d’une expertise préalable indépendante à chaque scrutin

Le Code du travail (1) soumet le système de vote électronique à une expertise indépendante préalable à sa mise en place ou à toute modification de sa conception. 

En l’espèce, le système ayant déjà été utilisé lors des dernières élections, et n’ayant fait l’objet d’aucune modification depuis, il n’a pas été jugé nécessaire de renouveler cette expertise préalable. 

Première erreur, car le Conseil d’Etat a interprété un peu plus largement les dispositions légales : si la réalisation d’une expertise indépendante est nécessaire au moment de la conception initiale du système et à chaque modification de la conception de ce système, elle l’est également « avant chaque scrutin recourant au vote électronique ». Afin de garantir la sincérité des opérations électorales par voie électronique, l’expertise aurait donc dû être renouvelée avant le scrutin. 

  • Une transmission des moyens d’identification aux électeurs sécurisée

Au moment de voter électroniquement, l’électeur doit se connecter et se faire connaître par le moyen d’authentification qui lui a été transmis selon des modalités garantissant sa confidentialité (2). Ce moyen permet au serveur de vérifier l’identité de l’électeur et de garantir ainsi l’unicité de son vote. Il se trouve qu’en l’espèce, la transmission aux électeurs des identifiants et mots de passe, leur permettant de participer au vote, a été faite par simple courriel. Seconde erreur. La CNIL a estimé que ce mode de transmission n’avait pas fait l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en étaient les seuls destinataires(3). 

  • Un chiffrement des bulletins de vote ininterrompu

Enfin, un arrêté ministériel (4) impose que le chiffrement (ou cryptage) et l’anonymat des bulletins de vote soit ininterrompu de l’émission du vote sur le poste de l’électeur, jusqu’à la transmission au fichier dénommé « contenu de l’urne électronique ». Voici donc le troisième manquement commis par la société : la CNIL a relevé que le système de chiffrement ayant été interrompu à un moment donné, il ne présentait pas un niveau de sécurité suffisant.  

Ce rappel des règles était nécessaire. On peut ajouter que le Conseil d’Etat pousse plus loin encore la responsabilité de l’employeur dans le respect des règles relatives au vote électronique en approuvant la sanction infligée par la CNIL alors même que ces irrégularités n’ont entraîné ici aucune atteinte effective aux données personnelles des électeurs, ni aux principes du droit électoral ou encore aux libertés publiques. 



(1) Art. R. 2314-12 du Code du travail. 

(2) Art. R. 2324-5 du Code du travail. 

(3) Cette solution n’est pas nouvelle, elle avait déjà été retenue par la chambre sociale de la Cour de Cassation dans un arrêt du 27 février 2013, n°12-14.415. 

(4) Art. 2 de l’arrêté du ministre de l’Emploi, de la cohésion sociale et du logement pris en application du décret n°2007-602 du 25 avril 2007. 

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer

Un premier avenant intéressant pour la PSC du ministère de l’Intérieur

Un an après la signature de l’accord ministériel du 16 mai 2024 sur la protection sociale complémentaire (PSC) des agents du ministère de l’Intérieur et des outre-mer, un premier avenant est venu, le 12 mars 2025, en corriger plusieurs aspects. Publié au Journal officiel d'aujourd'hui, ce texte modifie la structure des bénéficiaires, ajuste un article sur la gouvernance et corrige une rédaction ambiguë sur les ayants droit. La principale évolution porte sur...

Budget 2025 : plus de 33 milliards d’euros alloués aux établissements médico-sociaux par la CNSA

Un arrêté publié au Journal officiel d'aujourd'hui, fixe pour l’année 2025 l’objectif de dépenses et le montant total annuel des financements alloués aux établissements et services médico-sociaux relevant de la Caisse nationale de solidarité pour l’autonomie (CNSA). L’objectif de dépenses est établi à 33 248,30 Md€ pour l’ensemble du secteur. Ce montant se répartit entre 17 538,87 Md€ pour les établissements et services accueillant des personnes âgées...

Dotations médico-sociales 2025 : 32,55 Md€ répartis entre les régions par la CNSA

Par décision du 2 juin 2025, publiée au Journal officiel d'aujourd'hui, la Caisse nationale de solidarité pour l’autonomie (CNSA) a fixé les dotations régionales limitatives applicables aux établissements et services médico-sociaux pour l’année 2025. Ces dotations, réparties par Agence régionale de santé (ARS), concernent à la fois les structures accueillant des personnes âgées et celles destinées aux personnes en situation de handicap. Le montant total...