Les nouvelles recommandations de la CNIL sur la mise en œuvre du vote électronique

Dans sa Délibération n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet, la Cnil est venue proposer de nouvelles recommandations relatives à la mise en œuvre du vote électronique, notamment pour les élections professionnelles au sein des entreprises.

Un délai transitoire d’un an à compter de la publication de la délibération ayant été prévu, ces nouvelles règles sont devenues applicables à compter du 21 juin 2020.

Désormais, l’employeur qui souhaite recourir au vote électronique doit évaluer le niveau de risque que présente le déroulement d’un vote par voie électronique par rapport à son entreprise afin de définir les mesures de sécurité à mettre en place.

La CNIL a ainsi identifié trois niveaux de risques, le troisième niveau correspondant au risque le plus élevé.

Dans le cadre des élections professionnelles, la CNIL recommande le niveau 2, et le niveau 3 au sein des organismes importants, à grande échelle (grand groupe) et dans un cadre conflictuel (climat social sensible).

Afin d’aider les entreprises à définir le niveau de risque, la CNIL a mis à disposition un questionnaire qui permettra à l’employeur de se situer. Les questions portent notamment sur le nombre d’électeurs ou encore le pouvoir décisionnel des personnes élues.

Ainsi, pour chaque niveau de risque, la CNIL a listé dans sa délibération les objectifs de sécurité que le système de vote électronique doit atteindre.

Exemples de niveaux de sécurité requis

Pour le niveau 2 :

• Assurer une haute disponibilité de la solution.
• Assurer un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement.
• Permettre le contrôle automatique par le bureau électoral de l’intégrité de la plateforme de vote pendant tout le scrutin.

Pour le niveau 3 :

• Permettre la transparence de l’urne pour tous les électeurs à partir d’outils tiers.
• Permettre le contrôle automatique et manuel par le bureau électoral de l’intégrité de la plateforme pendant tout le scrutin.
• Assurer un cloisonnement physique entre chaque prestation de vote de sorte qu’il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours.

Par ailleurs, dans sa délibération, la CNIL fait également référence au traitement de données personnelles encadré par le Règlement Général sur la Protection des Données (RGPD), en rappelant notamment les critères à prendre en compte afin de déterminer si une Analyse d’Impact relative à la Protection des Données (AIPD) est nécessaire. Dans le cadre d’organisation d’élections professionnelles, la CNIL recommande la réalisation de cette AIPD.

La CNIL rappelle également qu’il convient de fournir aux électeurs, en temps utile, une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote électronique.

Enfin, concernant l’expertise indépendante du système de vote, la CNIL précise que « Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire », cette expertise devant couvrir l’intégralité du dispositif installé avant le scrutin, la constitution des listes d’électeurs et leur enrôlement et l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote.

Pour plus d’informations 

• Délibération CNIL
• Questionnaire CNIL