Les systèmes de vote électronique sont couramment déployés au sein des entreprises notamment pour les élections professionnelles. Ces systèmes mettent en place des traitements de données à caractère personnel des votants, qu’il convient de protéger d’autant qu’il s’agit de données sensibles portant sur les élections syndicales ou politiques ...

Les entreprises favorisent de plus en plus la mise en place de systèmes de vote électronique pour les élections professionnelles.

Or, dès que vous mettez en œuvre un tel système des données à caractère personnel sont collectées et traitées et l’entreprise est tenue de :

 prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité de ces données.
 se conformer aux recommandations de la CNIL sur le vote électronique.

Contrairement à ce que semblent penser les entreprises, ces obligations ne s’éteignent pas lorsqu’elles font appel à un prestataire, même s’il est connu sur le marché des applications de vote électronique.

C’est ce qu’a rappelé la CNIL lors de la condamnation de TOTAL RAFFINAGE MARKETING.
Dans cette affaire, un syndicat avait porté plainte auprès de la CNIL pour non-conformité du système de vote électronique dit « Election Central ».

A sa décharge TOTAL RAFFINAGE MARKETING met en avant le fait que :

 ce système n’a jamais été remis en cause par les juridictions appelées à juger de l’organisation de plusieurs élections par voie électronique.
 TOTAL RAFFINAGE MARKETING avait pris les mesures contractuelles pour s’assurer du respect par le prestataire des obligations liées à la loi Informatique et libertés et au Code du travail.

Pour la CNIL ces moyens sont inopérants car elle :

 ne juge pas de la validité du vote mais bien des moyens de traitement des données à caractère personnel des votants.
 ce qui importe ce sont les mesures effectivement prises par le prestataire et non le simple engagement contractuel.

Dans les deux cas, seule TOTAL RAFFINAGE MARKETING est responsable aux yeux de la CNIL des manquements à la loi « Informatique et Libertés ».

En effet, conformément aux articles 34 et 35 de la loi « Informatique et Libertés », même si le contrat protège le responsable de traitement, il reste seul responsable face à la CNIL. A ce titre, pour les systèmes de vote électronique il est recommandé notamment de veiller à ce que :

 le bulletin de vote soit chiffré de manière ininterrompue tout au long du processus de traitement du vote.
 les codes d’accès et identifiant soient attribués de manière sécurisée et confidentielle.

Il est primordial pour les entreprises de ne pas se fier aveuglément aux systèmes de vote électronique même s’ils sont connus car elles restent responsables en cas de non-conformité du système à la réglementation Informatique et libertés.

Nos recommandations :
 Si vous avez déjà opté pour un système  : auditer vos systèmes de vote électronique au regard du référentiel légal et de la jurisprudence de la CNIL pour s’assurer de leur conformité globale à la loi Informatique et libertés
 Si vous vous interrogez sur le système que vous allez mettre en place  : optimiser votre temps en rédigeant une matrice conforme aux exigences de la Cnil afin d’obtenir les meilleurs engagements de vos prestataires.

Yaël Cohen-Hadria Avocate www.ych-avocats.fr [->yael.cohenhadria@cabinet-davocats.com]