Le vote électronique pour les élections professionnelles, en trois questions

Comment les données collectées doivent-elles être traitées pour en assurer la sécurité et la confidentialité ?

Afin de déterminer les caractéristiques d’un système de vote conforme à la protection des données des employés, il est recommandé de se référer aux délibérations de la CNIL sur le sujet ainsi qu’aux dispositions du Code du travail dont sont extraits les principes suivants :

  • Les données récoltées doivent être uniquement accessibles aux personnes chargées de la gestion et de la maintenance du système. La signature d’un contrat de confidentialité avec le prestataire technique est fortement recommandée pour s’assurer du respect de ce principe.
  • Un procédé sécurisé d’authentification doit permettre d’éviter qu’une personne se substitue frauduleusement à l’électeur.
  • Une expertise indépendante doit obligatoirement intervenir lors de la conception initiale du système, à chaque fois qu’il est procédé à une modification et préalablement à chaque scrutin recourant au vote électronique (CE 11/03/2015, n°368748).
  • Les données des listes électorales et les données relatives à l’expression du vote doivent être traitées par des systèmes informatiques distincts, dédiés et isolés ; le but étant de garantir que l’identité de l‘électeur ne puisse être mise en relation avec son vote, y compris après le dépouillement.
  • Le dispositif de vote doit être scellé avant et après le scrutin. Ce procédé technique permet de détecter toute modification du système de vote.
  • Une cellule d’assistance technique doit être mise en place par l’employeur, elle vérifie le bon fonctionnement du système informatique et assure une surveillance effective du déroulement du scrutin.
  • Les données doivent être conservées jusqu’à l’expiration des délais de recours.
  • Il est enfin recommandé que le système informatique central soit localisé en France afin de faciliter les opérations de contrôle.

 

Quel est le niveau de sécurité requis pour les systèmes de vote électronique ?

Le niveau de sécurité requis est relativement élevé. Il est en effet indispensable que le système assure la sincérité et la confidentialité du vote et cela afin de garantir sa pleine efficacité. Selon les recommandations de la CNIL, il convient que toutes les mesures physiques et logiques soient prises, tant au niveau des serveurs que sur les postes accessibles au public. Le vote doit impérativement être anonyme et chiffré afin de rendre impossible un nouveau vote avec les mêmes moyens d’authentification. Les algorithmes de chiffrement, de signature électronique et de scellement doivent être des algorithmes publics réputés « forts » c’est-à-dire des algorithmes optimisés à haut niveau de performance.

Sur cette question du niveau de sécurité, la CNIL suggère l’amélioration de la législation en vigueur par la mise en place d’une doctrine à plusieurs niveaux de sécurité qui serait de nature à mieux répondre à la diversité des scrutins (distinction entre les élections des représentants du personnel dans une TPE/PME ou dans une société du CAC 40).

 

La responsabilité de l’employeur peut-elle être engagée en cas de fuite de données lors d’un vote électronique ?

L’employeur doit s’assurer de la conformité du dispositif avec la législation en vigueur. Il assume la qualité de responsable de traitement telle que définie par la loi du 6 janvier 1978, qui précise que le responsable de traitement a le devoir de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

L’employeur se doit par conséquent de prendre certaines précautions, notamment en portant une attention particulière au choix de son prestataire ainsi qu’à la rédaction du cahier des charges de mise en place du système de vote. L’assistance d’experts et des conseillers habituels de l’employeur peut être nécessaire afin de garantir la fiabilité du système de vote et de se prémunir contre la mise en jeu éventuelle de sa responsabilité.

 

Nicolas Moreau, associé en propriété intellectuelle et technologies de l’information, et Marie-Charlotte Diriart, associée en droit social, cabinet Brunswick Société d’Avocats.