La plateforme de référence pour un environnement de travail sain et sécurisé

Le vote électronique, c’est bien pratique … mais attention à la sécurité !

Recourir au vote électronique peut en effet exposer l’entreprise à différents types de menaces et risques de déstabilisation ou d’ingérence extérieure ...

La mise en place d’élections professionnelles au sein d’une entreprise est toujours une opération qui suscite certaines appréhensions et tensions.

Côté direction du personnel, la maîtrise de la conformité du processus électoral constitue un enjeu majeur afin d’éviter toute action en contestation de la régularité des élections.

Face à la lourdeur de ce rituel et à sa répétition tous les 4 ans (ou moins), un nouveau marché est apparu avec des acteurs proposant des prestations « clés en mains » de vote électronique.

Le digital apporte ici une réelle innovation, qui facilite et sécurise la démarche RH, à condition de convaincre les partenaires sociaux de son intérêt (en effet, la loi impose en priorité de mettre en place le vote électronique par voie d’accord collectif, et ce n’est qu’à défaut que l’employeur peut y recourir de manière unilatérale – cf. L2314-26 et R2314-5).

Cette tendance ne se dément pas, dans le contexte de passage en CSE à horizon du 1er janvier 2020 pour toutes les entreprises.  

Toutefois, sur le plan juridique, attention à l’illusion de simplicité qui peut en découler.

En effet, la digitalisation déplace le curseur de la sécurité, ce qui appelle à la vigilance des employeurs.

Tout le monde a bien en tête les risques de cybercriminalité et d’atteinte aux processus électoraux dans le cadre d’élections politiques, et ce spectre n’est pas totalement à exclure s’agissant d’élections professionnelles en entreprise.

Recourir au vote électronique peut en effet exposer l’entreprise à différents types de menaces et risques de déstabilisation ou d’ingérence extérieure ...

Il ne s’agit pas de science-fiction et face au développement du recours aux élections via l’Internet, la CNIL a souhaité adapter sa doctrine afin de renforcer les garanties de sécurité au regard des nouvelles exigences du RGPD (cf. Délibération n° 2019-053 du 25 avril 2019, abrogeant la précédente délibération n° 2010-371 du 21 octobre 2010). Celle-ci ne s’applique toutefois qu’aux dispositifs de vote par correspondance électronique, mais pas aux systèmes de vote par codes-barres, par téléphone (fixe ou mobile) ou par voie de machines à voter.

Cette recommandation, qui entrera en vigueur le 21 juin 2020 afin de laisser 12 mois de préparation aux différents acteurs, vient s’articuler avec la réglementation des articles R2314-5 s. du Code du travail et de l’arrêté du 25 avril 2007 (même si sa portée est plus large que le champ des élections professionnelles).

Plusieurs axes méritent d’être retenus :

Tout d’abord, l’employeur agit dans ce domaine en qualité de responsable du traitement, ce qui lui impose de respecter l’ensemble du corpus de règles applicables en matière de protection des données à caractère personnel issues du RGPD, de la loi Informatique et libertés et de ses dispositions réglementaires d’application.  

Autrement dit, légalement, le fait d’externaliser les opérations électorales auprès d’un prestataire ne décharge en aucune manière l’employeur du respect de ces obligations.

Le prestataire aura quant à lui le statut de sous-traitant, et ses obligations devront être transcrites dans le contrat commercial en veillant au respect à la fois du Code du travail, du RGPD (cf. art. 28 notamment) et des recommandations de la CNIL.

Au titre de ses obligations, l’employeur doit au préalable procéder à une analyse de risques, en fonction de la sensibilité du scrutin considéré.

Cette approche bénéfices/risques recommandée par la CNIL est très nouvelle en matière d’élections professionnelles.

A cet effet, elle identifie 3 niveaux de risques (faible/modéré/ mportant), à charge pour l’employeur d’apprécier objectivement celui dont il relève, l’objectif étant ensuite de pouvoir démontrer que la solution technique et organisationnelle mise en place est pertinente et permet d’assurer un niveau de sécurité adéquat (cf. principe d’accountability tiré du RGPD).

La CNIL déconseille ainsi d’utiliser un dispositif de vote par correspondance électronique, notamment via Internet, dans l’hypothèse où les sources de menace peuvent disposer à la fois de ressources importantes et d’une motivation forte (risque important de niveau 3), par exemple dans le cadre d’élections de représentants du personnel au sein d’organisations importantes, à grande échelle et dans un cadre conflictuel. Le scrutin physique sur papier, sous enveloppe, devra alors être privilégié.

Elle ajoute qu’en cas de doute entre deux niveaux, le niveau le plus élevé devrait être privilégié, par mesure de précaution.

Afin de faciliter la démarche des entreprises, la CNIL complète sa recommandation par une grille d’analyse simplifiée contenant 10 questions  (cf. https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010 ) : à partir de 3 critères réunis sur 10, le risque passe en niveau 2 ; à partir de 7, en niveau 3 et les mesures doivent être adaptées en conséquence.
 
A cette obligation s’ajoute celle, propre au RGPD, d’établir au préalable une analyse d’impact relative à la protection des données (AIPD), lorsque les critères sont réunis. Sans entrer dans le détail de ce dispositif complexe, la CNIL considère que cette obligation peut s’imposer du fait par exemple de la combinaison d’une collecte de données réputées sensibles (cf. activité syndicale), et sur une notion de grande échelle.

N’oublions pas qu’en tout état de cause, le système de vote électronique devra être inclus dans le cadre du registre des activités de traitement.

Bien que le Code du travail n’impose pas de motiver le choix du recours au vote électronique, ces préalables doivent permettre d’objectiver la discussion avec des partenaires sociaux, souvent défiants face à un outil jugé « opaque ».

Sur ce point, l’une des exigences est notamment d’assurer une transparence de l’information sur les caractéristiques du système, auprès des électeurs (et candidats). A cet égard, quelle que soit la classe de risque, l’employeur devra fournir aux électeurs, en temps utile, une note explicative, laquelle ne se substitue pas en tant que telle à l’obligation d’information des personnes concernées par la collecte de données au titre du RGPD. Par souci de pragmatisme et de lisibilité, ces deux types d’information pourront être intégrées dans un seul et même document.

Au regard de cette évaluation du niveau de risque, le cahier des charges du dispositif (qu’il soit géré en interne, ce qui est rare, ou externalisé) doit intégrer des mesures de sécurité graduées, conformément aux objectifs de sécurité recommandés par la CNIL pour chaque niveau de risque, qui vont au-delà des exigences minimales requises par la réglementation du travail (soit 11 items pour le risque de niveau 1, plus 7 points supplémentaires en risque de niveau 2, plus 5 points spécifiques en risque de niveau 3). Ici encore, la CNIL détaille sur son site les solutions adéquates pour chaque objectif.

L’employeur devant être en mesure de démontrer la conformité du dispositif mis en place, le fait d’intégrer ces aspects dans l’acte juridique facilitera certainement cet exercice en cas de contrôle éventuel.

Dans tous les cas, le système de vote électronique doit obligatoirement donner lieu à une expertise indépendante préalable, à l’initiative de l’employeur, afin d’évaluer sa pertinence et sa conformité. Ce rapport est tenu à la disposition de la CNIL.

Cette exigence n’est pas nouvelle (cf. C. Trav., R2314-9), mais les modalités sont précisées par la CNIL, notamment sur la possibilité de se prévaloir dans le temps d’une expertise antérieure du système, en fonction de la classe de risque concerné, ce qui est de nature à intéresser en particulier la question des élections partielles intervenant en cours de mandat.

Ces contraintes visent à garantir une sécurité effective du processus électoral et à contribuer au respect des principes fondamentaux que sont le secret du scrutin, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection.

Il y a là toutefois un élément de complexité incompressible, de nature à relativiser la facilité du recours au vote électronique.

Sébastien MILLET - Cabinet ELLIPSE AVOCATS

Sébastien MILLET
Avocat spécialiste en droit du travail, de la protection sociale et des risques professionnels


Cabinet ELLIPSE AVOCATS
ellipse-avocats.com

Du meme auteur

"Mines et carrières : la réglementation du RGIE évolue "

Les dispositions du Règlement général des industries extractives (RGIE), régi par le décret n° 80-331 du 7 mai 1980, fixent les règles particulières en matière de santé et de sécurité au travail applicables à l’exploitation des mines et carrières (installations souterraines et de surface).

"Etablissements SEVESO : la place centrale des salariés dans la prévention des risques majeurs"

Le sinistre survenu à ROUEN le 26 septembre 2019 constitue un évènement marquant dans l’histoire des accidents industriels majeurs en France.

"Procédure de reconnaissance des ATMP : ce qui va changer au 1er décembre 2019"

« La forme, c’est le fond » … l’adage juridique est particulièrement vrai en matière de procédure de reconnaissance des accidents du travail et maladies professionnelles, où le principe du contradictoire représente un enjeu majeur pour les entreprises, les assurés et les organismes sociaux.


+ de chroniques

Sur le même sujet

Catherine CHAMBON Ministère de l'intérieur DGPN DCPJ

"La prévention de la cybermalveillance, une priorité de l'Etat"

Catherine CHAMBON - Sous-directeur de la lutte contre la cybercriminalité
Ministère de l'intérieur DGPN DCPJ

Général (2s) François Vernoux Club InterMines Gestion de crises

"La gestion de crise devrait être intégrée par toutes les entreprises"

Général (2s) François Vernoux - ancien permanent de direction du COGIC (Centre opérationnel de gestion interministérielle des crises), président
Club InterMines Gestion de crises

Marik FETOUH Ville de Bordeaux

" La radicalisation touche essentiellement les jeunes"

Marik FETOUH - Adjoint en charge de l'égalité et de la citoyenneté
Ville de Bordeaux

Prochains rendez-vous

conférences

évements Preventica

Intervention du RAID au CHU de Caen – Retex Mars 2018 – Suspicion d’intrusion terroriste

CLUB DES DIRECTEURS ET CONSEILLERS SURETE DES ETABLISSEMENTS HOSPITALIERS

La prévention des RPS, facteur de performance

CABINET CATEIS

S’asseoir sur les douleurs au bureau

OSTEO ENTREPRISE / NEO FORMA

Nos solutions pour la prévention des risques entre les hommes et les machines

FENWICK-LINDE

Sécurité Electronique & Cybersécurité : une indispensable association pour les sites à hauts risques

SYNCHRONIC

QVT : tous responsables : comment rendre les managers et les collaborateurs acteurs

MUTACTION

Présents à Préventica 2019

Voir l'ensemble des partenaires