fleche
Revenir au blog

Organiser un vote électronique conforme à la CNIL

Depuis quelques années, le choix du vote électronique est de plus en plus prisé par les entreprises pour organiser les élections du CSE. En effet, ce dernier permet un gain de temps considérable sur l’ensemble du processus organisationnel et juridique d’une société. La mise en place des 5 étapes des élections CSE est donc fortement simplifiée grâce à un prestataire de vote électronique. ‍Retrouvez dans cet article, l’intégralité des informations dont vous aurez besoin pour vérifier que votre prestataire de vote électronique est conforme aux règlementations RGPD en vigueur.‍

Qui protège les données personnelles des utilisateurs ?

Le rôle de la CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) a été créée par la loi Informatique et Libertés le 6 janvier 1978. Elle permet d’encadrer la collecte et le traitement des données personnelles des citoyens européens. Elle veille notamment à la bonne application de la RGPD au sein de tous les organismes concernés.

Dans l’univers numérique, la CNIL est le régulateur des données personnelles, qui a pour missions :

1/ Informer et protéger les droits

2/ Accompagner la conformité et conseiller

3/ Anticiper et innover

4/ Contrôler et sanctionner

Le quatrième et dernier point est celui qui va nous intéresser dans cet article car il permettra de garantir la légitimité du vote électronique et donc de vos élections du CSE.

Le règlement RGPD

Depuis le 25 mai 2018, un nouveau règlement, le Règlement Générale sur la Protection des Données (RGPD), a été mis en place dans le but de mieux encadrer la collecte et le traitement des données personnelles des citoyens européens. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Le RGPD succède en France à la loi Informatique et Libertés de 1978, et à la directive européenne de 1995 qui avait adapté la législation en vigueur pour suivre le développement des nouvelles technologies et l’intensification de la dématérialisation des transactions. Le RGPD affirme cette volonté d’adéquation avec les nouvelles pratiques numériques et vise toute entité publique ou privée du territoire de l’Union Européenne. Le CSE en fait partie et doit suivre plusieurs étapes afin d’assurer sa conformité.

Quelles conditions doivent être remplies pour que vos élections du CSE par vote électronique soient conformes à la CNIL ?

Garantir la transparence

Lorsque le choix du vote électronique est mentionné dans le PAP, l’organisateur des élections va devoir choisir un prestataire de vote électronique. Le nom de ce dernier devra également être mentionné dans le PAP. Selon l’article R2314-6 du Code du travail, le système retenu doit assurer « la confidentialité des données transmises, notamment de celles des fichiers constitués pour établir les listes électorales des collèges électoraux, ainsi que la sécurité de l'adressage des moyens d'authentification, de l'émargement, de l'enregistrement et du dépouillement des votes. »

De plus, selon l’article R2314-7, « Les données relatives aux électeurs inscrits sur les listes électorales ainsi que celles relatives à leur vote sont traitées par des systèmes informatiques distincts, dédiés et isolés, respectivement dénommés fichier des électeurs et contenu de l'urne électronique. »

Respecter certaines garanties techniques

En plus de garantir la confidentialité des données transmises, votre prestataire de vote électronique devra remplir certaines garanties techniques concernant la plateforme qui vous servira de support pour organiser vos élections. Selon l’article R2314-8, « le système de vote électronique doit pouvoir être scellé à l'ouverture et à la clôture du scrutin. »

De plus, selon l’article R2314-9, le système de vote électronique doit avoir été audité en amont des élections par un expert indépendant. « Préalablement à sa mise en place ou à toute modification substantielle de sa conception, le système de vote électronique est soumis à une expertise indépendante destinée à vérifier le respect des articles R. 2314-5 à R. 2314-8. Le rapport de l'expert est tenu à la disposition de la Commission Nationale de l'Informatique et des Libertés. »

Une limite définie pour voter doit aussi être respectée selon l’article R2314-14, « le vote électronique se déroule, pour chaque tour de scrutin, pendant une période délimitée. »

Enfin selon l’article R2314-16, « la liste d'émargement n'est accessible qu'aux membres du bureau de vote et à des fins de contrôle de déroulement du scrutin. Aucun résultat partiel n'est accessible pendant le déroulement du scrutin. Toutefois, le nombre de votants peut, si l'employeur ou l'accord prévu à l'article R. 2314-5 le prévoit, être révélé au cours du scrutin. Lorsque le vote sous enveloppe n'a pas été exclu, l'ouverture du vote n'a lieu qu'après la clôture du vote électronique. Le président du bureau de vote dispose, avant cette ouverture, de la liste d'émargement des électeurs ayant voté par voie électronique. »

Mettre en place une cellule d’assistance technique et une formation au vote électronique

En plus des garanties techniques apportées par votre prestataire de vote électronique, vous devrez également crée votre propre cellule d’assistance technique. Selon l’article R2314-10 : « L'employeur met en place une cellule d'assistance technique chargée de veiller au bon fonctionnement et à la surveillance du système de vote électronique, comprenant, le cas échéant, les représentants du prestataire. »

Cette cellule d’assistance technique aura plusieurs étapes à réaliser. Selon l’article R2314-15, « En présence des représentants des listes de candidats, la cellule d'assistance technique :

1° Procède, avant que le vote ne soit ouvert, à un test du système de vote électronique et vérifie que l'urne électronique est vide, scellée et chiffrée par des clés délivrées à cet effet ;

2° Procède, avant que le vote ne soit ouvert, à un test spécifique du système de dépouillement à l'issue duquel le système est scellé ;

3° Contrôle, à l'issue des opérations de vote et avant les opérations de dépouillement, le scellement de ce système. »

Une formation au vote électronique devra également permettre d’informer toutes les parties prenantes des élections électorales du CSE. Ainsi, selon l’article R2314-12, « chaque salarié dispose d'une notice d'information détaillée sur le déroulement des opérations électorales. Les membres de la délégation du personnel et les membres du bureau de vote bénéficient d'une formation sur le système de vote électronique retenu. »

Conserver les documents juridiques

Pour finir, votre prestataire de vote électronique doit vous garantir la conservation de toutes vos données pendant la durée légale de conservation. Selon l’article R2314-17, « l'employeur ou le prestataire conserve sous scellés, jusqu'à l'expiration du délai de recours et, lorsqu'une action contentieuse a été engagée, jusqu'à la décision juridictionnelle devenue définitive, les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d'émargement, de résultats et de sauvegarde. La procédure de décompte des votes doit, si nécessaire, pouvoir être exécutée de nouveau. A l'expiration du délai de recours ou, lorsqu'une action contentieuse a été engagée, après l'intervention d'une décision juridictionnelle devenue définitive, l'employeur ou, le cas échéant, le prestataire procède à la destruction des fichiers supports. »

Réalisez ce test en ligne gratuit pour savoir quel niveau de sécurité votre vote électronique doit respecter.

Une fois votre choix du vote électronique confirmé, votre prestataires choisi, et vos élections déroulées, il est important de se pencher sur le flux de données échangées dans le cadre du CSE, notamment par vos salariés.

Quels sont les droits de vos salariés sur leurs données personnelles ?

Le CSE est un comité qui accumule et utilise les données personnelles de ses bénéficiaires dans le cadre de certaines missions, comme l’attribution des activités sociales et culturelles. Un délégué à la protection des données (DPO) sera nommé pour veiller à la protection de ces données. Il conseillera et accompagnera le CSE et les salariés de l’entreprise en protégeant leurs données personnelles et en les informant sur leurs droits.  

Le droit à l’opposition

Tout citoyen, une fois convenablement instruit des modalités du processus de collecte en cours, doit être en mesure d’accepter ou de refuser de partager à un tiers des informations personnelles. Il donnera ensuite, en pleine conscience, son consentement ou non. Ce droit est l’axe centrale du RGPD et le fondement des droits suivants.

Le droit à la portabilité des données

Ce droit permet à chaque citoyen de demander une copie des données qu’il a confié à un organisme, dans ce cas le CSE,  et de pouvoir les transférer à un autre si tel est son souhait.

Le droit à la rectification

Toute donnée personnelle partagée doit être modifiable sur demande de l’individu concerné.

Vote électronique conforme à la CNIL 2

Le droit à la suppression

Tout citoyen doit pouvoir faire disparaître ses informations du fichier d’un organisme sur demande.

Le droit à la réparation des dommages moraux ou matériaux

Si des informations personnelles sont divulguées, le salarié pourra demander réparation. Le responsable du traitement des données du CSE (le DPO), devra réparer les dommages moraux ou matériaux.

Quelles sont les sanctions possibles en cas de non-conformité d’un CSE au RGPD ?

En cas de violation de données, selon la CNIL, c’est le dirigeant de l’entité qui sera responsable puisque celui-ci est le président du CSE. La non-conformité d'un CSE au RGPD pourra être passible de sanctions de la part de la CNIL pouvant aller d’un rappel à l’ordre à une lourde amende administrative.

Plus précisément, il peut s’agir :

• D'un rappel à l'ordre ;

• D'une mise en demeure de mise en conformité, en limitant temporairement ou définitivement le traitement, en suspendant les flux de données, ou encore en ordonnant de satisfaire les demandes d'exercice des droits des personnes ;

• D'une amende qui peut atteindre 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel.

Vous l’aurez compris dans cet article, organiser un vote électronique conforme à la CNIL demande de la rigueur. Il est essentiel de se renseigner sur les normes à respecter pour votre CSE et d’auditer différents prestataires électroniques qui pourront également vous apporter des conseils.

portrait client