Actions sur le document
Le vote électronique dans les élections professionnelles : entre principes fondamentaux du droit électoral et loi informatique et libertés
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Stéphane Bloch, Amira Bounedjoum, 29/07/2014
Les systèmes de vote électronique, sur place ou à distance, se sont développés ces dernières années et s’étendent à un nombre croissant d’opérations de vote. L’application principale de ce système réside dans les élections professionnelles organisées au sein des entreprises ou associations professionnelles. Soumis aux principes fondamentaux du droit électoral ainsi qu’aux dispositions de la loi informatique et libertés, la conformité des dispositifs mis en place s’apprécie au regard des mesures de sécurité prises par les employeurs.
Le recours au vote dématérialisé doit être prévu par un accord d’entreprise et ses modalités de mise en œuvre sont fixées, soit par un protocole préélectoral, soit par l'employeur ou, à défaut, par le tribunal d'instance, dans les conditions prévues par l'accord d'entreprise, comme l’a très récemment rappelé la Cour de Cassation dans un arrêt du 4 juin 2014 (Cass. Soc du 4 juin 2014 n° 13-18.914 ) .
Ce recours au vote électronique doit s’inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales et notamment le secret du scrutin.
Dans un arrêt du 14 novembre 2013, la Cour de Cassation (Cass. Soc du 14 novembre 2013 n° 13-10.5019) est venu rappeler les principes généraux du droit électoral et plus particulièrement celui de la confidentialité du vote.
En l’espèce, la société Picard Surgelés a eu recours au vote électronique pour le second tour des élections des délégués du personnel et des représentants au Comité d’entreprise.
Le syndicat CGT des établissements Picard surgelés a saisi le tribunal d’instance puis la Cour de Cassation afin d’obtenir l’annulation du scrutin. Le syndicat a contesté ce vote en raison de la connexion à distance par un salarié du service informatique, aux postes informatiques de deux de ses collègues au moment où ils votaient et à la demande de ces derniers.
Si la Cour a relevé que la possibilité pour un salarié d’assister au vote d’autres salariés portait atteinte au principe de confidentialité et par conséquent devait entrainer l’annulation du scrutin, elle a néanmoins rejeté le pourvoi formé par le syndicat au motif que l’atteinte à la sincérité du scrutin n’était pas caractérisée dès lors que l’employeur avait pris des dispositions assurant la confidentialité du vote et que le technicien informatique, soumis à cette obligation, avait pris connaissance du vote de ses collègues à leur demande expresse.
En tout état de cause, si l’annulation du scrutin n’a pu être obtenue devant la Cour de Cassation, la responsabilité de l’employeur aurait pu être engagée sur le fondement non pas d’une atteinte à la sincérité du vote mais des manquements aux obligations de sécurité des systèmes de vote électronique, telle que la mise en place de mesures de sécurité informatiques « au niveau des postes accessibles ».
Cette affaire nous fournit ainsi l’occasion de rappeler les règles de conformité et de sécurité en matière de vote électronique.
Les mesures de sécurité attachées à ces dispositifs sont prescrites par les articles R 2314-8 à R 2314-12 et R2324-5 à R2324-8 du Code du Travail ainsi que par les dispositions de la loi n°78-17 du 6 janvier 1978 dite informatique et libertés et les recommandations de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), dans la mesure où ces systèmes mettent en place des traitements de données à caractère personnel des votants.
Dès lors, outre l’obligation de déclarer auprès de la CNIL le traitement réalisé, le dispositif de vote doit respecter un ensemble de mesures de sécurité.
A ce titre, le 21 octobre 2010, la CNIL a adopté une recommandation ( Délibération n°2010-371 du 21 octobre 2010 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique abrogeant la délibération n°03-036 du 1er juillet 2003 ) relative à la sécurité des systèmes de vote électronique.
En synthèse, toute entreprise désirant mettre en place un dispositif de vote électronique doit au préalable soumettre ce système à une expertise indépendante qui doit couvrir l’intégralité du dispositif (avant, pendant et après le scrutin).
Par ailleurs, certaines des données traitées sont qualifiées de données sensibles au sens de l’article 8 de la loi informatique et libertés, en ce qu’elles sont relatives aux opinions syndicales ou politiques des votants et bénéficient de ce fait d’une protection renforcée. Pour cette raison, les données nominatives des électeurs et les votes doivent faire l’objet d’une séparation logique au sein du système de vote, de sorte qu’il ne puisse être permis d’identifier l’expression du votant.
De plus, en dépit de la solution dégagée par la Cour de cassation dans l’arrêt du 14 novembre 2013, il nous semble plus prudent de prévoir des mesures de sécurité informatique, tant physiques que logiques conduisant à ce que le dispositif de vote, ne permette à aucun moment un accès aux postes informatiques par un quelconque tiers (pas même un tiers autorisé).
En outre, une surveillance effective du scrutin doit être réalisée afin de garantir d’une part la confidentialité du fichier des électeurs, et d’autre part le chiffrement ininterrompu des bulletins de vote.
Enfin, les procédés d’authentification des électeurs, doivent garantir qu’aucune personne non autorisée ne puisse se substituer frauduleusement à un électeur. La CNIL considère que l’authentification sur la base d’un certificat électronique constitue la solution la plus satisfaisante en l’état de la technique.
Il est à rappeler que les obligations de sécurité ne s’éteignent pas lorsque l’employeur a recours à un prestataire. La CNIL a eu ainsi l’occasion de rappeler dans sa délibération du 11 avril 2013 , prononçant un avertissement public à l’encontre de la société TOTAL RAFFINGE MARKETING, que la société qui recourt à un sous-traitant n’en demeure pas moins l’unique responsable du traitement.
Il est donc impératif pour toute entreprise d’auditer ses systèmes de vote électronique au regard de la loi informatique et libertés quand bien même son prestataire s’engage contractuellement à être conforme à la règlementation. Pas plus la réputation de ce prestataire que son engagement contractuel ne sauraient suffire à limiter la responsabilité de l’employeur en cas de manquements.
Ce recours au vote électronique doit s’inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales et notamment le secret du scrutin.
Dans un arrêt du 14 novembre 2013, la Cour de Cassation (Cass. Soc du 14 novembre 2013 n° 13-10.5019) est venu rappeler les principes généraux du droit électoral et plus particulièrement celui de la confidentialité du vote.
En l’espèce, la société Picard Surgelés a eu recours au vote électronique pour le second tour des élections des délégués du personnel et des représentants au Comité d’entreprise.
Le syndicat CGT des établissements Picard surgelés a saisi le tribunal d’instance puis la Cour de Cassation afin d’obtenir l’annulation du scrutin. Le syndicat a contesté ce vote en raison de la connexion à distance par un salarié du service informatique, aux postes informatiques de deux de ses collègues au moment où ils votaient et à la demande de ces derniers.
Si la Cour a relevé que la possibilité pour un salarié d’assister au vote d’autres salariés portait atteinte au principe de confidentialité et par conséquent devait entrainer l’annulation du scrutin, elle a néanmoins rejeté le pourvoi formé par le syndicat au motif que l’atteinte à la sincérité du scrutin n’était pas caractérisée dès lors que l’employeur avait pris des dispositions assurant la confidentialité du vote et que le technicien informatique, soumis à cette obligation, avait pris connaissance du vote de ses collègues à leur demande expresse.
En tout état de cause, si l’annulation du scrutin n’a pu être obtenue devant la Cour de Cassation, la responsabilité de l’employeur aurait pu être engagée sur le fondement non pas d’une atteinte à la sincérité du vote mais des manquements aux obligations de sécurité des systèmes de vote électronique, telle que la mise en place de mesures de sécurité informatiques « au niveau des postes accessibles ».
Cette affaire nous fournit ainsi l’occasion de rappeler les règles de conformité et de sécurité en matière de vote électronique.
Les mesures de sécurité attachées à ces dispositifs sont prescrites par les articles R 2314-8 à R 2314-12 et R2324-5 à R2324-8 du Code du Travail ainsi que par les dispositions de la loi n°78-17 du 6 janvier 1978 dite informatique et libertés et les recommandations de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), dans la mesure où ces systèmes mettent en place des traitements de données à caractère personnel des votants.
Dès lors, outre l’obligation de déclarer auprès de la CNIL le traitement réalisé, le dispositif de vote doit respecter un ensemble de mesures de sécurité.
A ce titre, le 21 octobre 2010, la CNIL a adopté une recommandation ( Délibération n°2010-371 du 21 octobre 2010 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique abrogeant la délibération n°03-036 du 1er juillet 2003 ) relative à la sécurité des systèmes de vote électronique.
En synthèse, toute entreprise désirant mettre en place un dispositif de vote électronique doit au préalable soumettre ce système à une expertise indépendante qui doit couvrir l’intégralité du dispositif (avant, pendant et après le scrutin).
Par ailleurs, certaines des données traitées sont qualifiées de données sensibles au sens de l’article 8 de la loi informatique et libertés, en ce qu’elles sont relatives aux opinions syndicales ou politiques des votants et bénéficient de ce fait d’une protection renforcée. Pour cette raison, les données nominatives des électeurs et les votes doivent faire l’objet d’une séparation logique au sein du système de vote, de sorte qu’il ne puisse être permis d’identifier l’expression du votant.
De plus, en dépit de la solution dégagée par la Cour de cassation dans l’arrêt du 14 novembre 2013, il nous semble plus prudent de prévoir des mesures de sécurité informatique, tant physiques que logiques conduisant à ce que le dispositif de vote, ne permette à aucun moment un accès aux postes informatiques par un quelconque tiers (pas même un tiers autorisé).
En outre, une surveillance effective du scrutin doit être réalisée afin de garantir d’une part la confidentialité du fichier des électeurs, et d’autre part le chiffrement ininterrompu des bulletins de vote.
Enfin, les procédés d’authentification des électeurs, doivent garantir qu’aucune personne non autorisée ne puisse se substituer frauduleusement à un électeur. La CNIL considère que l’authentification sur la base d’un certificat électronique constitue la solution la plus satisfaisante en l’état de la technique.
Il est à rappeler que les obligations de sécurité ne s’éteignent pas lorsque l’employeur a recours à un prestataire. La CNIL a eu ainsi l’occasion de rappeler dans sa délibération du 11 avril 2013 , prononçant un avertissement public à l’encontre de la société TOTAL RAFFINGE MARKETING, que la société qui recourt à un sous-traitant n’en demeure pas moins l’unique responsable du traitement.
Il est donc impératif pour toute entreprise d’auditer ses systèmes de vote électronique au regard de la loi informatique et libertés quand bien même son prestataire s’engage contractuellement à être conforme à la règlementation. Pas plus la réputation de ce prestataire que son engagement contractuel ne sauraient suffire à limiter la responsabilité de l’employeur en cas de manquements.