Précisions juridiques sur l’organisation électronique des votes lors des élections professionnelles

Cet article provient du site internet de la CFDT.

Opter pour un prestataire pour l’organisation des élections professionnelles par vote électronique ne dédouane pas l’employeur de sa responsabilité en cas d’irrégularités. C’est ce que rappelle le Conseil d’Etat dans cette affaire. Il en profite pour apporter quelques précisions sur les garanties essentielles gouvernant ce dispositif en termes de confidentialité et de sécurité des données. Conseil d’Etat, 11.03.15, n°368748 

Pour élire ses délégués du personnel, la société X a décidé de mettre en place le vote électronique. Ayant déjà recouru à ce dispositif lors des précédentes élections professionnelles (en 2012), elle s’adresse au même prestataire extérieur. Mais voilà qu’un syndicat conteste le bon déroulement des opérations et saisit la CNIL d’une plainte. Après enquête, cette dernière relève effectivement un certain nombre d’irrégularités. Aussi, elle prononce à l’encontre de l’entreprise, un avertissement et rend publique cette décision sur internet. Contestant les manquements reprochés, et non contents de cette (mauvaise) « publicité », l’entreprise et le prestataire saisissent le Conseil d’Etat pour demander l’annulation la délibération de la CNIL. Mais le Conseil d’Etat va approuver en tous points les manquements soulevés par la CNIL, et confirmer ainsi la sanction prise à l’encontre de la société requérante. 

  • La pleine responsabilité de l’employeur, même en présence d’un sous-traitant

Pour rappel, l’employeur a la possibilité de confier à un prestataire la mise en place du système de vote électronique dans son entreprise. C’est l’option retenue par la société en l’espèce et c’est précisément grâce à ce sous-traitant qu’elle va tenter de s’affranchir de sa responsabilité. Elle estime en effet que le prestataire présentait des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Pour résumer, sa responsabilité se limitait au choix d’un « bon » prestataire. Elle n’était donc pas responsable des irrégularités commises par ce dernier. 

Le Conseil d’Etat ne l’a pas entendu ainsi. Il considère au contraire que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de réserver la sécurité des données ». Le sous-traitant agissant « sur instruction du responsable de traitement », c’est bien sur ce dernier que repose l’obligation de veiller au respect de la sécurité et de la confidentialité des données personnelles. Les manquements constatés étaient donc imputables à la société requérante en sa qualité de responsable de traitement. 

  • L’exigence d’une expertise préalable indépendante à chaque scrutin

Le Code du travail (1) soumet le système de vote électronique à une expertise indépendante préalable à sa mise en place ou à toute modification de sa conception. 

En l’espèce, le système ayant déjà été utilisé lors des dernières élections, et n’ayant fait l’objet d’aucune modification depuis, il n’a pas été jugé nécessaire de renouveler cette expertise préalable. 

Première erreur, car le Conseil d’Etat a interprété un peu plus largement les dispositions légales : si la réalisation d’une expertise indépendante est nécessaire au moment de la conception initiale du système et à chaque modification de la conception de ce système, elle l’est également « avant chaque scrutin recourant au vote électronique ». Afin de garantir la sincérité des opérations électorales par voie électronique, l’expertise aurait donc dû être renouvelée avant le scrutin. 

  • Une transmission des moyens d’identification aux électeurs sécurisée

Au moment de voter électroniquement, l’électeur doit se connecter et se faire connaître par le moyen d’authentification qui lui a été transmis selon des modalités garantissant sa confidentialité (2). Ce moyen permet au serveur de vérifier l’identité de l’électeur et de garantir ainsi l’unicité de son vote. Il se trouve qu’en l’espèce, la transmission aux électeurs des identifiants et mots de passe, leur permettant de participer au vote, a été faite par simple courriel. Seconde erreur. La CNIL a estimé que ce mode de transmission n’avait pas fait l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en étaient les seuls destinataires(3). 

  • Un chiffrement des bulletins de vote ininterrompu

Enfin, un arrêté ministériel (4) impose que le chiffrement (ou cryptage) et l’anonymat des bulletins de vote soit ininterrompu de l’émission du vote sur le poste de l’électeur, jusqu’à la transmission au fichier dénommé « contenu de l’urne électronique ». Voici donc le troisième manquement commis par la société : la CNIL a relevé que le système de chiffrement ayant été interrompu à un moment donné, il ne présentait pas un niveau de sécurité suffisant.  

Ce rappel des règles était nécessaire. On peut ajouter que le Conseil d’Etat pousse plus loin encore la responsabilité de l’employeur dans le respect des règles relatives au vote électronique en approuvant la sanction infligée par la CNIL alors même que ces irrégularités n’ont entraîné ici aucune atteinte effective aux données personnelles des électeurs, ni aux principes du droit électoral ou encore aux libertés publiques. 



(1) Art. R. 2314-12 du Code du travail. 

(2) Art. R. 2324-5 du Code du travail. 

(3) Cette solution n’est pas nouvelle, elle avait déjà été retenue par la chambre sociale de la Cour de Cassation dans un arrêt du 27 février 2013, n°12-14.415. 

(4) Art. 2 de l’arrêté du ministre de l’Emploi, de la cohésion sociale et du logement pris en application du décret n°2007-602 du 25 avril 2007. 

Ajouter aux articles favoris

Conformité CCN en santé

Pour vous aider à gérer la conformité CCN de vos offres "santé standard", profitez de notre outil en marque blanche gratuitement en 2023. L'outil vous permettra de savoir, en un clic, le niveau de votre offre compatible avec la CCN que vous aurez sélectionnée. L'outil en marque blanche est relié à la base de données CCN de Tripalio, juridiquement certifiée et mise à jour en temps réel. Il bénéficie de notre algorithme de comparaison qui détecte les non-conformités du contrat santé standard.
Demandez votre outil
0 Shares:
Vous pourriez aussi aimer

Résultats : Ircem reste solide malgré une baisse de son résultat net et de sa solvabilité

La Sgaps Ircem publie les résultats solides de son année 2023. Même si certains indicateurs sont à la baisse, les données affichées restent très positives. On remarque d'abord la progression du chiffre d'affaires de la Sgaps Ircem de 4,8%. Il atteint ainsi 376,6 M€ en 2023 contre 359,4 M€ en 2022. L'activité d'Ircem Mutuelle participe négativement à cette progression avec un recul de 0,8% du chiffre d'affaires qui demeure toutefois à 30,5 M€. En revanche, le...

Arrêté d’extension d’un avenant (horticulture Maine-et-Loire) dans la production agricole et CUMA

Le ministre de l’agriculture et de la souveraineté alimentaire, a étendu, par arrêté du 10 avril 2024, publié le 21 avril 2024, les dispositions de l'avenant n° 2 du 14 avril 2023 à l'accord collectif du 27 septembre 2021 d'adaptation au secteur de l'horticulture et des pépiniéristes de Maine-et-Loire de la convention collective nationale production agricole et des coopératives d'utilisation de matériel agricole du 15 septembre 2020 (...

Arrêté d’extension d’un avenant (Aisne, Nord, Oise et Somme) dans la production agricole et CUMA

Le ministre de l’agriculture et de la souveraineté alimentaire, a étendu, par arrêté du 10 avril 2024, publié le 21 avril 2024, les dispositions de l'avenant n° 1 du 7 septembre 2023 à l'accord collectif territorial interdépartemental de l'Aisne, du Nord, de l'Oise et de la Somme de la production agricole/coopératives d'utilisation de matériel agricole du 16 décembre 2022 (Cuma) (...