Conseil d’Etat, 11 mars 2015, n° 368748
Vote électronique lors de l’organisation des élections professionnelles : précisions sur la confidentialité et la sécurité des données
Dans le cadre de l’organisation des élections professionnelles par vote électronique l’employeur est l’unique responsable de traitement, même s’il a recours à un prestataire extérieur. Il doit donc s’assurer que toutes les contraintes techniques sont bien respectées, depuis l’expertise préalable du système choisi, jusqu’à l’envoi des identifiants de vote.
En l’espèce, la société Total Raffinage marketing avait recours pour la deuxième fois au vote électronique pour l’organisation des élections des délégués du personnel en 2012. Elle s’adresse au même prestataire, avec le même système ayant subi quelques mises à jour.
L’un des syndicats de cette société saisit la Commission nationale de l’informatique et des libertés (CNIL) d’une plainte au sujet du scrutin électronique. La CNIL mène alors son enquête et demande des précisions et informations auprès de l’entreprise et de son prestataire.
Dans une délibération du 11 avril 2013, rendue publique sur son site Internet et dans les bases de données du site Legifrance, la formation restreinte de la CNIL, prononce un avertissement à l’encontre de la société, en estimant qu’elle n’a pas pris toutes précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel lors de ses élections professionnelles[1].
La société et le prestataire intentent alors, dans les deux mois, un reCours en annulation de cette délibération devant le Conseil d’État.
Le 11 mars 2015, ce dernier a cependant confirmé en tout point la délibération de la CNIL en retenant qu’elle a pu estimer à bon droit que la requérante avait commis plusieurs manquements à son obligation d’assurer la sécurité et la confidentialité des données personnelles utilisées dans le cadre du système de vote électronique en litige, au nombre desquels le défaut d’expertise préalable indépendante de ce système, l’absence de confidentialité des moyens d’authentification et l’absence de chiffrement ininterrompu des bulletins de vote.
Le Conseil d’Etat a donné également des précisions essentielles sur les garanties devant entourer le scrutin électronique.
Premièrement, il rappelle que l’employeur est l’unique responsable de traitement. En effet, la société avait cherché à écarter sa responsabilité en arguant du fait que les opérations de vote électronique étaient confiées à un sous-traitant de qualité, et dont le juge judicaire avait reconnu la fiabilité de la solution de vote retenue.
Peu importe, “la circonstance que les opérations de traitement des données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données”.
En effet le sous-traitant agit uniquement sur instruction du responsable de traitement. Or c’est l’employeur qui a la qualité de responsable de traitement, et à ce titre les manquements constatés lui sont bien imputables.
D’ailleurs le Conseil d’Etat ajoute : “la circonstance qu’aucune atteinte effective aux données personnelles des électeurs ni aux principes du droit électoral ou aux libertés publiques n’ait été constatée lors de la tenue des élections professionnelles est sans incidence sur la légalité de la délibération de la Cnil”.
C’est donc bien le respect des règles en matière d’organisation du vote électronique qui compte, et l’employeur en est pleinement responsable.
Deuxièmement, la réglementation relative au vote électronique soumet le système à la réalisation d’une expertise indépendante « préalablement à sa mise en place ou à toute modification de sa conception »[2].
D’après Total, cette formulation n’exigeait pas une nouvelle expertise indépendante préalable dans la mesure où il s’agissait du même système que celui utilisé lors de ses précédentes élections et qu’il n’avait pas subi de modifications substantielles.
Dans son avertissement, la CNIL pointait le fait que l’expertise avait été réalisée tardivement, après le début des opérations électorales, laissant ainsi supposer que l’expertise doit être renouvelée avant chaque scrutin. Le Conseil d’État confirme ce point: « Il résulte de ces dispositions, dont l’objectif est de garantir la sincérité des opérations électorales par voie électronique, que l’utilisation d’un système de vote électronique pour l’élection des délégués du personnel est subordonnée à la réalisation d’une expertise indépendante lors de la conception initiale du système utilisé, à chaque fois qu’il est procédé à une modification de la conception de ce système ainsi que préalablement à chaque scrutin reCourant au vote électronique ».
L’aspect substantiel de la modification du système disparaît : une simple modification suffit. De même, à chaque élection il faut procéder à une nouvelle expertise indépendante préalable même si le système n’a fait l’objet “d’aucune modification de sa conception depuis sa précédente utilisation par l’entreprise”.
Troisièmement, le Conseil d’Etat précise la transmission des moyens d’authentification aux électeurs.
En effet, le Code du travail prévoit expressément que « le système retenu assure la confidentialité des données transmises, notamment […] l’adressage des moyens d’authentification »[3]. Selon le Conseil d’État, « il résulte clairement de ces dispositions que la transmission aux électeurs des identifiants et mots de passe leur permettant de participer au vote doit faire l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en sont les seuls destinataires ». Il en déduit donc que « c’est à bon droit que la CNIL a estimé que la transmission par simple Courriel de ces données aux électeurs méconnaissait les obligations découlant des dispositions précitées de l’article R. 2324‐5 du Code du travail ».
La position du Conseil d’Etat sur ce point, est conforme à la jurisprudence de la Cour de cassation, qui a eu à connaître de cette question concernant les élections par vote électronique chez Peugeot Citroën et a tranché en faveur de l’annulation des élections, en posant pour principe que « l’envoi de leurs codes personnels d’authentification sur la messagerie professionnelle des salariés, sans autre précaution destinée notamment à éviter qu’une personne non autorisée puisse se substituer frauduleusement à l’électeur, n’était pas de nature à garantir la confidentialité des données ainsi transmises »[4].
Enfin, concernant les aspects techniques du système, le Conseil d’État rappelle, conformément à un arrêté ministériel du 25 avril 2007, que « le respect de ces dispositions implique nécessairement que le chiffrement des bulletins de vote soit ininterrompu ». Cet arrêté exige en effet un chiffrement « dès l’émission du vote sur le poste de l’électeur », jusqu’à sa transmission au fichier dénommé « contenu de l’urne électronique ».
Or la CNIL avait relevé que le système de chiffrement retenu ne présentait pas un niveau de sécurité suffisant à cet égard, et notamment que le vote était décrypté à un moment donné pour obtenir confirmation par l’électeur, avant d’être à nouveau chiffré par l’algorithme.
Le Conseil d’État n’a pas remis en question cette appréciation de la CNIL, car il ne disposait pas de précisions suffisantes apportées par les requérants.
[1]Cnil, délib. n° 2013‐091, 11 avril 2013
[2]C. trav., art.R. 2314-12
[3]C. trav., art.R. 2324-5
[4]Cass. soc., 27 février 2013, nº 12‐14.415
24 avril, 2015