Vote électronique : l’employeur doit garantir la sincérité des opérations

Publié le 11/05/2015 à 08:02, modifié le 11/07/2017 à 18:26 dans Fonctionnement des RP.

Temps de lecture : 3 min

Contenu ancien

Il se peut que les informations contenues dans cet article et les liens ne soient plus à jour.

L’employeur qui organise des élections professionnelles par vote électronique est l’unique responsable de traitement. C’est donc à lui d’assurer la sécurité des données.

Les faits

Pour la deuxième fois que Total Raffinage marketing recourt au vote électronique pour l’organisation de ses élections professionnelles en 2012, il s’adresse au même prestataire, avec le même système ayant subi des mises à jour à la marge.

L’un des syndicats saisit la CNIL d’une plainte au sujet du scrutin électronique. Après enquête, la CNIL estime que le processus électoral n’est pas régulier à plusieurs égards. Elle prononce un avertissement à l’encontre de l’entreprise et décide de rendre publique cette décision sur son site internet ainsi que sur le site Légifrance.

L’entreprise et le prestataire demandent en justice l’annulation de cette décision.

Ce qu’en disent les juges

L’entreprise cherche d’abord se dédouaner en mettant en avant le fait qu’elle a fait appel à un sous-traitant reconnu. Cet argument n’est pas retenu par le Conseil d’Etat, qui estime que le fait que les opérations de traitement des données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données, car le sous-traitant agit uniquement sur instruction du responsable de traitement.

Ce qui est reproché à l’employeur, c’est de ne pas avoir procédé à une expertise indépendante du système de vote électronique « préalablement à sa mise en place ou à toute modification substantielle de sa conception » comme l’exigent les articles R. 2314–12 et R. 2324–8 du Code du travail. La défense de Total consistait à dire qu’il n’était pas obligé de procéder à cette nouvelle expertise dans la mesure où il avait déjà utilisé ce système lors de ses précédentes élections et qu’il n’avait pas subi de modifications substantielles.

Mais pour le Conseil d’Etat, l’objectif des dispositions du Code du travail est de garantir la sincérité des opérations électorales par voie électronique. Aussi, « l’utilisation d’un système de vote électronique pour l’élection des délégués du personnel est subordonnée à la réalisation d’une expertise indépendante lors de la conception initiale du système utilisé, à chaque fois qu’il est procédé à une modification de la conception de ce système ainsi que préalablement à chaque scrutin recourant au vote électronique » que la modification intervenue soit substantielle ou pas.

Ce qui a aussi été pointé du doigt, c’est le fait que les identifiants et mots de passe permettant de participer au vote ont été transmis par simple courriel, ce qui n’était pas conforme à l’article R. 2324–5 du Code du travail, lequel prévoit que le système de vote électronique retenu doit assurer la confidentialité des données transmises, notamment celle des fichiers constitués pour établir les listes électorales des collèges électoraux, ainsi que l’adressage des moyens d’authentification, de l’émargement, de l’enregistrement et du dépouillement des votes.

Or, pour les juges, la transmission aux électeurs des identifiants et mots de passe leur permettant de participer au vote doit faire l’objet de mesures de sécurité spécifiques permettant de s’assurer qu’ils en sont les seuls destinataires, ce qui n’était pas le cas en l’espèce.

Vous avez des questions sur la mise en place du vote électronique ? Les Editions Tissot vous recommandent leur documentation « Guide Pratique des Représentants du Personnel ».

Conseil d’Etat, 11 mars 2015, n° 368748 (l’utilisation d’un système de vote électronique pour les élections professionnelles suppose des garanties de sécurité)