Le vote électronique, c’est bien pratique … mais attention à la sécurité !

La mise en place d’élections professionnelles au sein d’une entreprise est toujours une opération qui suscite certaines appréhensions et tensions.

Côté direction du personnel, la maîtrise de la conformité du processus électoral constitue un enjeu majeur afin d’éviter toute action en contestation de la régularité des élections.

Face à la lourdeur de ce rituel et à sa répétition tous les 4 ans (ou moins), un nouveau marché est apparu avec des acteurs proposant des prestations « clés en mains » de vote électronique.

Le digital apporte ici une réelle innovation, qui facilite et sécurise la démarche RH, à condition de convaincre les partenaires sociaux de son intérêt (en effet, la loi impose en priorité de mettre en place le vote électronique par voie d’accord collectif, et ce n’est qu’à défaut que l’employeur peut y recourir de manière unilatérale – cf. L2314-26 et R2314-5).

Cette tendance ne se dément pas, dans le contexte de passage en CSE à horizon du 1er janvier 2020 pour toutes les entreprises.  

Toutefois, sur le plan juridique, attention à l’illusion de simplicité qui peut en découler.

En effet, la digitalisation déplace le curseur de la sécurité, ce qui appelle à la vigilance des employeurs.

Tout le monde a bien en tête les risques de cybercriminalité et d’atteinte aux processus électoraux dans le cadre d’élections politiques, et ce spectre n’est pas totalement à exclure s’agissant d’élections professionnelles en entreprise.

Recourir au vote électronique peut en effet exposer l’entreprise à différents types de menaces et risques de déstabilisation ou d’ingérence extérieure ...

Il ne s’agit pas de science-fiction et face au développement du recours aux élections via l’Internet, la CNIL a souhaité adapter sa doctrine afin de renforcer les garanties de sécurité au regard des nouvelles exigences du RGPD (cf. Délibération n° 2019-053 du 25 avril 2019, abrogeant la précédente délibération n° 2010-371 du 21 octobre 2010). Celle-ci ne s’applique toutefois qu’aux dispositifs de vote par correspondance électronique, mais pas aux systèmes de vote par codes-barres, par téléphone (fixe ou mobile) ou par voie de machines à voter.

Cette recommandation, qui entrera en vigueur le 21 juin 2020 afin de laisser 12 mois de préparation aux différents acteurs, vient s’articuler avec la réglementation des articles R2314-5 s. du Code du travail et de l’arrêté du 25 avril 2007 (même si sa portée est plus large que le champ des élections professionnelles).

Plusieurs axes méritent d’être retenus :

Tout d’abord, l’employeur agit dans ce domaine en qualité de responsable du traitement, ce qui lui impose de respecter l’ensemble du corpus de règles applicables en matière de protection des données à caractère personnel issues du RGPD, de la loi Informatique et libertés et de ses dispositions réglementaires d’application.  

Autrement dit, légalement, le fait d’externaliser les opérations électorales auprès d’un prestataire ne décharge en aucune manière l’employeur du respect de ces obligations.

Le prestataire aura quant à lui le statut de sous-traitant, et ses obligations devront être transcrites dans le contrat commercial en veillant au respect à la fois du Code du travail, du RGPD (cf. art. 28 notamment) et des recommandations de la CNIL.

Au titre de ses obligations, l’employeur doit au préalable procéder à une analyse de risques, en fonction de la sensibilité du scrutin considéré.

Cette approche bénéfices/risques recommandée par la CNIL est très nouvelle en matière d’élections professionnelles.

A cet effet, elle identifie 3 niveaux de risques (faible/modéré/ mportant), à charge pour l’employeur d’apprécier objectivement celui dont il relève, l’objectif étant ensuite de pouvoir démontrer que la solution technique et organisationnelle mise en place est pertinente et permet d’assurer un niveau de sécurité adéquat (cf. principe d’accountability tiré du RGPD).

La CNIL déconseille ainsi d’utiliser un dispositif de vote par correspondance électronique, notamment via Internet, dans l’hypothèse où les sources de menace peuvent disposer à la fois de ressources importantes et d’une motivation forte (risque important de niveau 3), par exemple dans le cadre d’élections de représentants du personnel au sein d’organisations importantes, à grande échelle et dans un cadre conflictuel. Le scrutin physique sur papier, sous enveloppe, devra alors être privilégié.

Elle ajoute qu’en cas de doute entre deux niveaux, le niveau le plus élevé devrait être privilégié, par mesure de précaution.

Afin de faciliter la démarche des entreprises, la CNIL complète sa recommandation par une grille d’analyse simplifiée contenant 10 questions  (cf. https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010 ) : à partir de 3 critères réunis sur 10, le risque passe en niveau 2 ; à partir de 7, en niveau 3 et les mesures doivent être adaptées en conséquence.
 
A cette obligation s’ajoute celle, propre au RGPD, d’établir au préalable une analyse d’impact relative à la protection des données (AIPD), lorsque les critères sont réunis. Sans entrer dans le détail de ce dispositif complexe, la CNIL considère que cette obligation peut s’imposer du fait par exemple de la combinaison d’une collecte de données réputées sensibles (cf. activité syndicale), et sur une notion de grande échelle.

N’oublions pas qu’en tout état de cause, le système de vote électronique devra être inclus dans le cadre du registre des activités de traitement.

Bien que le Code du travail n’impose pas de motiver le choix du recours au vote électronique, ces préalables doivent permettre d’objectiver la discussion avec des partenaires sociaux, souvent défiants face à un outil jugé « opaque ».

Sur ce point, l’une des exigences est notamment d’assurer une transparence de l’information sur les caractéristiques du système, auprès des électeurs (et candidats). A cet égard, quelle que soit la classe de risque, l’employeur devra fournir aux électeurs, en temps utile, une note explicative, laquelle ne se substitue pas en tant que telle à l’obligation d’information des personnes concernées par la collecte de données au titre du RGPD. Par souci de pragmatisme et de lisibilité, ces deux types d’information pourront être intégrées dans un seul et même document.

Au regard de cette évaluation du niveau de risque, le cahier des charges du dispositif (qu’il soit géré en interne, ce qui est rare, ou externalisé) doit intégrer des mesures de sécurité graduées, conformément aux objectifs de sécurité recommandés par la CNIL pour chaque niveau de risque, qui vont au-delà des exigences minimales requises par la réglementation du travail (soit 11 items pour le risque de niveau 1, plus 7 points supplémentaires en risque de niveau 2, plus 5 points spécifiques en risque de niveau 3). Ici encore, la CNIL détaille sur son site les solutions adéquates pour chaque objectif.

L’employeur devant être en mesure de démontrer la conformité du dispositif mis en place, le fait d’intégrer ces aspects dans l’acte juridique facilitera certainement cet exercice en cas de contrôle éventuel.

Dans tous les cas, le système de vote électronique doit obligatoirement donner lieu à une expertise indépendante préalable, à l’initiative de l’employeur, afin d’évaluer sa pertinence et sa conformité. Ce rapport est tenu à la disposition de la CNIL.

Cette exigence n’est pas nouvelle (cf. C. Trav., R2314-9), mais les modalités sont précisées par la CNIL, notamment sur la possibilité de se prévaloir dans le temps d’une expertise antérieure du système, en fonction de la classe de risque concerné, ce qui est de nature à intéresser en particulier la question des élections partielles intervenant en cours de mandat.

Ces contraintes visent à garantir une sécurité effective du processus électoral et à contribuer au respect des principes fondamentaux que sont le secret du scrutin, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection.

Il y a là toutefois un élément de complexité incompressible, de nature à relativiser la facilité du recours au vote électronique.