Confidentialité et sécurité des données
Le système de vote électronique doit assurer la confidentialité des données transmises, notamment celles des fichiers constitués pour établir les listes électorales des collèges, ainsi que la sécurité de l’adressage des moyens d’authentification, de l’émargement, de l’enregistrement et du dépouillement des votes (article R. 2314-6 du Code du travail).
Plus précisément :
- Les fichiers comportant les éléments d’authentification des électeurs, les clés de chiffrement et de déchiffrement et le contenu de l’urne, ne doivent être accessibles qu’aux personnes chargées de la gestion et de la maintenance du système (article R. 2314-7 du Code du travail) ;
- Le système de vote électronique doit pouvoir être scellé à l’ouverture et à la clôture du scrutin (article R. 2314-8 du Code du travail).
La Cour de cassation a, par exemple, jugé suffisantes les précautions suivantes :
- Les codes et les identifiants de vote étaient personnels, obtenus de manière aléatoire et à usage unique. Ceux-ci avaient été envoyés par le prestataire, éditeur du logiciel de vote électronique, lequel avait également mis en place une phase postérieure de validation du vote par l’électeur lui-même ;
- Le système informatique de l’employeur n’était pas impliqué dans le processus de vote, celui-ci s’effectuant exclusivement sur les serveurs du prestataire ;
- La direction ne pouvait avoir connaissance du vote crypté, immédiatement stocké dans l’urne dédiée. À cette fin, le vote faisait l’objet de trois chiffrements successifs sécurisant ainsi l’échange entre le terminal de l’utilisateur et la plateforme du prestataire ;
- Les administrateurs (assesseurs et organisateurs) avaient accès, pendant les opérations électorales, au seul flux correspondant à l’émargement, et non aux votes des électeurs, lesquels faisaient l’objet d’un flux distinct ;
- Le décryptage des votes ne pouvait intervenir qu’à la clôture du scrutin avec l’introduction de deux clés d’accès simultanément (Cass. soc., 21 sept. 2016, nº 15-60.216).
Les obligations relatives aux modalités du vote électronique telles que prévues aux articles R. 2314-5 à R. 2314-8 du Code du travail s’imposent également aux personnes chargées de la gestion et de la maintenance du système informatique (article R. 2314-9 du Code du travail). C’est notamment le cas, a précisé la Cour de cassation, du technicien informatique de l’entreprise. Celui-ci étant tenu d’une obligation de confidentialité, le fait qu’il puisse se connecter à distance sur le poste d’autres salariés pendant les opérations de vote et ainsi prendre connaissance du sens de leur vote ne saurait porter atteinte à la sincérité du scrutin et justifier l’annulation des élections, dès lors que cette intervention a lieu à la demande expresse des salariés, notamment pour leur fournir une assistance technique (Cass. soc., 14 nov. 2013, nº 13-10.519).
Obligations concernant les traitements et données
Les données relatives aux électeurs inscrits sur les listes électorales ainsi que celles relatives à leur vote sont traitées par des systèmes informatiques distincts, dédiés et isolés, respectivement dénommés « fichiers des électeurs » et « contenu de l’urne électronique » (article R. 2314-7 du Code du travail). Le traitement « fichiers des électeurs » est établi à partir des listes électorales. Il a pour finalité de délivrer à chaque électeur un moyen d’authentification, d’identifier les électeurs ayant pris part au vote et d’éditer les listes d’émargement (qui indiquent la date et l’heure du vote). Les listes sont enregistrées sur un support distinct de celui de l’urne électronique, scellé, non réinscriptible, rendant son contenu inaltérable et probant. Le fichier « contenu de l’urne électronique » recense les votes exprimés par voie électronique. Les données de ce fichier font l’objet d’un chiffrement dès l’émission du vote sur le poste d’électeur (Arrêté du 25 avr. 2007, art. 2, JO 27 avr.).
Les données devant être enregistrées sont les suivantes (Arrêté du 25 avr. 2007, art. 4) :
- Pour les listes électorales : noms et prénoms des inscrits, date d’entrée dans l’entreprise, date de naissance, collège ;
- Pour le fichier des électeurs : noms, prénoms, collège, moyen d’authentification et, le cas échéant, coordonnées ;
- Pour les listes d’émargement : collège, noms et prénoms des électeurs ;
- Pour les listes des candidats : collège, noms, prénoms des candidats, titulaires ou suppléants, appartenance syndicale le cas échéant ;
- Pour les listes des résultats : noms et prénoms des candidats, élus, non élus, voix obtenues, appartenance syndicale le cas échéant, collège, destinataires mentionnés ci-dessous.
Les destinataires ou catégories de destinataires de ces informations sont les suivants (Arrêté du 25 avr. 2007, art. 5) :
- Pour les listes électorales : électeurs, syndicats représentatifs le cas échéant, agents habilités des services du personnel ;
- Pour le fichier des électeurs : électeurs pour les informations les concernant ;
- Pour les listes d’émargement : membres des bureaux de vote, agents habilités des services du personnel ;
- Pour les listes des candidats : électeurs, syndicats, agents habilités des services du personnel ;
- Pour les listes des résultats : électeurs, services du ministère chargé de l’Emploi, syndicats, employeurs ou agents habilités des services du personnel. En cas de contestation des élections, ces pièces sont tenues à la disposition du juge.
- Contrôle de conformité du système par un expert indépendant
Préalablement à sa mise en place ou à toute modification substantielle de sa conception, le système de vote électronique est soumis à une expertise indépendante, destinée à vérifier la conformité du système. Le rapport de l’expert est tenu à la disposition de la CNIL (article R. 2314-9 du Code du travail). Pour le Conseil d’État, la réalisation d’une expertise indépendante s’impose lors de la conception initiale du système utilisé, puis à chaque fois qu’il est procédé à une modification substantielle, « ainsi que préalablement à chaque scrutin recourant au vote électronique » (CE, 11 mars 2015, nº 368748). L’idée étant que l’environnement informatique de l’entreprise a pu changer, ce qui justifie qu’une nouvelle expertise soit menée même le système utilisé n’aurait pas évolué dans l’intervalle. Mais la Cour de cassation fait preuve de plus de souplesse et n’exige pas de renouveler l’expertise à chaque élection. Dans un autre contentieux, la chambre sociale a ainsi jugé que, dans la mesure où le système utilisé pour le scrutin litigieux ne présentait aucune modification substantielle depuis la dernière expertise diligentée lors de sa mise en place, une nouvelle expertise ne se justifiait pas en vue du nouveau scrutin (Cass. soc., 21 sept. 2016, nº 15-60.216).