Les élections professionnelles peuvent avoir lieu par vote électronique sur le lieu de travail ou à distance. Dans le prolongement du RGPD, la CNIL a actualisé sa recommandation relative à la sécurité des systèmes de vote électronique.

Le recours au vote électronique doit être prévu par un accord d’entreprise ou un accord de groupe.
A défaut d’un tel accord, l’employeur peut décider de recourir au vote électronique.
Un cahier des charges respectant un certain nombre de dispositions doit être établi dans le cadre de l’accord d’entreprise ou de groupe ou, à défaut, par l’employeur.
Le système de vote électronique doit nécessairement respecter des obligations de sécurité et de confidentialité des données transmises afin de garantir la sincérité des scrutins.
Le vote électronique doit faire l’objet d’une déclaration à la CNIL par l’employeur. Celui-ci doit en informer les organisations syndicales représentatives dans l’entreprise.
Une notice d’information détaillée sur le déroulement des opérations électorales doit également être remise à chaque salarié.

Avec l’entrée en application du RGPD (règlement européen sur la protection des données) et suite à la consultation auprès des professionnels et experts afin d’améliorer la sécurité des solutions de vote par correspondance électronique, notamment via Internet, la CNIL a mis à jour sa recommandation sur ces dispositifs le 25 avril 2019.

Elle présente aux responsables de traitement souhaitant recourir à un tel système de vote une approche par niveau de risque et par objectifs de sécurité à atteindre.
La recommandation s’accompagne d’une fiche pratique qui présente une méthodologie en 2 temps :
• une grille d’analyse pour déterminer le niveau de sécurité que le système de vote par correspondance électronique, notamment via Internet, doit respecter ;
• des niveaux d’objectifs de sécurité avec des exemples de moyens , non limitatifs, à mettre en œuvre pour atteindre ces objectifs.
La CNIL précise qu’il convient de fournir aux électeurs, en temps utile, une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote. Cette notice explicative ne se substitue pas à l’obligation d’information imposée par le RGPD s’agissant du traitement des données.