Vote en ligne et recommandations CNIL : le point sur la sécurité !
Publié le
A l’initiative de la loi Rebsamen n°2015-994 du 17 août 2015, l’heure est à la modernisation du dialogue social ! Si cette loi a permis aux entreprises de recourir au vote électronique, son émergence s’illustre par de nouveaux outils et de nouveaux usages. Le système de vote par internet nécessite de respecter entre autres les principes électoraux et les délibérations de la CNIL de 2010 et 2019. Etudions donc les deux textes de la CNIL dont l’approche, pilotée par une auto-évaluation des risques, permet de fixer des objectifs de sécurité en fonction des enjeux.
Quels sont les objectifs et les modalités à respecter pour vous permettre de préparer et de réussir vos élections à distance ?
Le point sur la recommandation de 2010
La première délibération de la CNIL n°2010-371 du 21 octobre 2010 a été adoptée dans un contexte où le vote électronique commençait à se développer fortement dans le domaine des élections professionnelles, assemblées générales, conseils de surveillance, référendums d’entreprises, élections politiques, etc.
Ses principaux objectifs :
- Cadrer les garanties minimales que doit respecter tout dispositif de vote électronique ;
- Répondre à un certain nombre d’exigences préalables à la mise en œuvre des systèmes de vote électronique, ainsi qu’avant, pendant et après le scrutin ;
- Orienter les futures évolutions des systèmes de vote électronique en vue d’un meilleur respect des principes de protection des données personnelles ;
- Éclairer les responsables de traitement sur le choix des dispositifs de vote électronique à retenir.
Le point sur la recommandation de 2019
La dernière recommandation concerne la délibération de la CNIL n°2019-053 du 25 avril 2019. Applicable depuis le 21 juin 2020, ce texte a les trois objectifs suivants :
- Nécessité de couvrir différents niveaux de sécurité ;
- Mise en conformité avec le RGPD ;
- Réflexions suite aux échanges avec les professionnels du secteur.
- Evaluer les différents niveaux de risque :
On retient principalement de la délibération de 2019 que, l’employeur qui a recours au vote électronique, doit évaluer le niveau de risque que présente le déroulement d’un vote par voie électronique par rapport à son entreprise afin de définir les mesures de sécurité à mettre en place. Une grille d’analyse permet à ce dernier de se situer sur l’un ou l’autre niveau. Les questions portent notamment sur le nombre d’électeurs ou encore le pouvoir décisionnel des personnes élues.
3 niveaux de risques ont globalement été identifiés en fonction des situations. Appliqués au strict cadre des élections professionnelles, la CNIL recommande le niveau 2 et le niveau 3 au sein des organismes importants, à grande échelle (grand groupe) et dans un cadre conflictuel (climat social sensible).
Ainsi, pour chaque niveau de risque, la CNIL a listé dans sa délibération les objectifs de sécurité que le système de vote électronique doit atteindre.
Exemples de niveaux de sécurité requis :
Niveau 2 :
– Assurer une haute disponibilité de la solution ;
– Assurer un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement ;
– Permettre le contrôle automatique par le bureau électoral de l’intégrité de la plateforme de vote pendant tout le scrutin.
Niveau 3 :
– Permettre la transparence de l’urne pour tous les électeurs à partir d’outils tiers ;
– Permettre le contrôle automatique et manuel par le bureau électoral de l’intégrité de la plateforme pendant tout le scrutin ;
– Assurer un cloisonnement physique entre chaque prestation de vote de sorte qu’il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours.
- Agir en conformité avec le Règlement sur la Protection des Données (RGPD) :
Le Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractères personnel et à la libre circulation de ces données a apporté quelques exigences quant à la mise en conformité. On pense ainsi à la détermination d’une Analyse d’Impact relative à la Protection des Données (AIPD) dans le cadre des élections professionnelles.
Il est donc nécessaire pour le responsable du traitement de prévoir une procédure de sélection et dans tous les cas de communiquer au prestataire un questionnaire de conformité RGPD et une annexe contractuelle RGPD.
- Informer les électeurs :
La CNIL rappelle également qu’il convient de fournir aux électeurs, en temps utile, une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote électronique. Cette exigence est formulée par l’article R.2324-12 du code du travail. Il s’agit là d’assurer la plus grande transparence à l’égard des salariés et de permettre à leurs représentants ou aux personnes en charge du scrutin de disposer de la formulation nécessaire pour maîtriser le vote et répondre aux questions des salariés.
- Faire intervenir une expertise indépendante :
La CNIL précise que le responsable de traitement qui met en œuvre un système de vote par correspondance électronique doit faire expertiser sa solution par un expert indépendant dans tous les cas (que la solution de vote soit gérée en interne ou fournie par un prestataire).
L’indépendance de l’expert est notamment assurée par le fait que l’expert ne doit pas avoir d’intérêt financier dans la société qui a créé la solution de vote à expertiser, ni dans la société responsable de traitement qui a décidé d’utiliser cette solution.
L’expertise doit porter sur le respect des articles R.2314-5 du code du travail à R.2314-8. En ce sens, la délibération de la CNIL de 2010 précisait que l’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin, la constitution des listes d’électeurs, leur enrôlement, l’utilisation du système de vote durant le scrutin ainsi que les étapes postérieures au vote, notamment le dépouillement, l’archivage, etc. Elle ne doit donc pas porter seulement sur la partie technique et fonctionnelle de la solution. Enfin, le rapport produit est tenu à la disposition de la CNIL.
Pour veiller au mieux au respect de ces recommandations, nos solutions de vote électronique sont conformes aux exigences des différents niveaux CNIL, afin que vos élections professionnelles se déroulent en toute sérénité !