ACCORD D’ENTREPRISE RELATIF AU VOTE ELECTRONIQUE POUR LES ELECTIONS PROFESSIONNELLES DU COMITE SOCIAL ET ECONOMIQUE (CSE)DE LA SOCIETE AJ3C DE 2024 Le présent accord a été conclu entre :
La société AJ3C dont le siège social est situé 2 rue du capitaine Scott 75015 PARIS, représentée par– Directeur de site, Ci-après dénommée « La Société » D’une part,
et L’Organisation syndicale CGT représentée par, L’Organisation syndicale SUD représentée par, D’autre part,
Préambule
Afin de faciliter l’organisation des élections des membres de la délégation du personnel au Comité Social et Economique, et de favoriser la participation des salariés, la Direction et les organisations syndicales représentatives ont étudié la possibilité et les modalités de mise en place d’un système de vote par voie électronique. Ce dispositif s’inscrit dans le cadre de la loi pour la Confiance dans l’Economie Numérique du 21 juin 2004, de la loi relative au Travail, à la Modernisation du dialogue social et à la sécurisation des parcours professionnels du 8 août 2016, de leurs décrets d’application, de l’arrêté du 25 avril 2007 modifié par le décret n°2017-1819 du 29 décembre 2017 relatif au Comité social et économique et pris pour l’application de l’article 1er de l’ordonnance n° 2017-1386 du 22 septembre 2017 relative à la nouvelle organisation du dialogue social et économique dans l’entreprise et favorisant l’exercice et la valorisation des responsabilités syndicales et régissant les conditions et modalités de vote par voie électronique pour l’élection des membres de la délégation du personnel au comité social et économique. Les parties signataires conviennent de confier la mise en place de ce dispositif à un prestataire extérieur spécialisé dans l’organisation et la mise en œuvre de processus électoraux.
Dispositions
Article 1 – Principes généraux
Le système retenu par la Société doit reposer sur les principes généraux du droit électoral indispensables à la régularité du scrutin qui sont :
L’anonymat : impossibilité de relier un vote émis à un électeur
L’intégrité du vote : identité entre le bulletin de vote choisi par le salarié et le bulletin enregistré
L’unicité du vote : impossibilité de voter plusieurs fois pour un même scrutin
La confidentialité, le secret du vote
Article 2 - Exclusion du vote à bulletin secret sous enveloppe
La Direction et les Partenaires Sociaux ont expressément convenu que le recours au vote électronique est exclusif du vote à bulletin secret sous enveloppe.
Article 3 - Modalité d’organisation des opérations
Article 3.1 – Protocole d’accord préélectoral
Dans le cadre de chaque élection, les parties signeront un protocole d’accord préélectoral, définissant notamment les modalités de constitution du bureau de vote, le calendrier, les modalités opératoires et la répartition des sièges. Le protocole d’accord préélectoral comporte également, en annexe, la description détaillée du fonctionnement du système de vote électronique retenu et du déroulement des opérations électorales.
Article 3.2 – Formation au système de vote électronique
Les membres du bureau de vote bénéficient d’une formation sur le système de vote électronique retenu.
Article 3.3 – Expertise indépendante
Préalablement à la mise en place ou à toute modification substantielle de sa conception, le prestataire retenu doit être en mesure de fournir une expertise indépendante de son dispositif de vote en répondant aux exigences :
de la Délibération CNIL n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique ;
des articles L2314-26 et R2314-5 à R2314-18 du code du Travail relatifs aux modalités du vote électronique pour les élections des représentants du personnel ;
du décret n° 2007-602 et de l’arrêté du 25 avril 2007 relatifs aux conditions et aux modalités de vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise modifié par décret n°2017-1819 en date du 29 décembre 2017 relatif au Comité social et économique pris pour l'application de l'article 1er de l’ordonnance n° 2017-1386 du 22 septembre 2017 relative à la nouvelle organisation du dialogue social et économique dans l'entreprise et favorisant l'exercice et la valorisation des responsabilités syndicales.
Cette expertise doit impérativement être réalisée par un expert indépendant ayant suivi la formation de la CNIL relative à la sécurité des systèmes de vote électronique. Cette expertise doit mettre en évidence la capacité de la solution de vote électronique du prestataire à répondre aux principes de confidentialité des données, d’anonymat du vote, de contrôle et de transparence des opérations de vote édictés par la CNIL et par le code du Travail.
Article 3.4 – Cellule d’assistance technique
L'employeur met en place une cellule d'assistance technique chargée de veiller au bon fonctionnement et à la surveillance du système de vote électronique. La cellule d'assistance technique :
Procède, avant que le vote ne soit ouvert, à un test du système de vote électronique et vérifie que l'urne électronique est vide, scellée et chiffrée par des clés délivrées à cet effet ;
Procède, avant que le vote ne soit ouvert, à un test spécifique du système de dépouillement ;
Contrôle, à l'issue des opérations de vote et avant les opérations de dépouillement, le scellement de ce système.
Article 4 – Déroulement des opérations de vote
Article 4.1 – Etablissement des listes électorales et transmission
Le contrôle de la conformité des listes d’électeurs importées sur le système de vote électronique aux listes électorales transmises au prestataire est effectué sous la responsabilité de l’entreprise. L’intégration et le contrôle des candidatures, ainsi que des professions de foi, sont effectués dans les mêmes conditions.
Article 4.2 – Lieu et temps du scrutin
Le vote électronique se déroule, pour chaque tour du scrutin, pendant une période délimitée, laquelle sera précisée par le protocole d’accord électoral. Les électeurs ont la possibilité de voter à tout moment pendant la période d’ouverture du scrutin (y compris sur leur temps de travail), et en mode administratif sur le bandeau EDF), de n’importe quel terminal, de leur lieu de travail, de leur domicile ou autre lieu, en se connectant sur le site sécurisé dédié aux élections. Des PC seront également mis à disposition des salariés sur le site d’Angers. Les heures d'ouverture et de fermeture du scrutin électronique doivent pouvoir être contrôlées par les membres du bureau de vote et les personnes désignées ou habilitées pour assurer le contrôle des opérations électorales. Le système de vote électronique doit pouvoir être scellé à l'ouverture et à la clôture du scrutin et est périodiquement contrôlé durant toute la durée du scrutin jusqu’à la clôture. Pendant le déroulement du vote, aucun résultat partiel n’est accessible. Il est prévu que pendant le scrutin Le nombre de votants soit communiqué. Tous les moyens sont mis en œuvre pour faciliter l’appropriation de cette technique de vote par les salariés. L’entreprise établit ainsi une note d’information explicative précisant les conditions et les règles de fonctionnement du vote en ligne, laquelle est portée à la connaissance des électeurs avant l’ouverture du premier tour de scrutin.
Article 4.3 – Modalités d’accès au site de vote
Chaque électeur reçoit, avant le premier tour des élections, l’adresse du site et ses moyens personnels d’authentification. Ces éléments seront envoyés par courrier, au tarif G2 de la poste, avec réception à J+2 L’adresse du site de vote (URL) est déterminée dans le protocole d’accord préélectoral. A l’aide de ses identifiants, l’électeur peut voter en toute confidentialité en se connectant sur le site sécurisé des élections. L’identification de l’électeur est assurée par un serveur dédié, après saisie par l’utilisateur de ses codes personnels d’accès. L’électeur a la possibilité de se connecter plusieurs fois pour voter. A réception du vote, la saisie de ses codes d’accès par l’électeur vaut signature de la liste d’émargement de l’instance concernée et clôt définitivement l’accès à cette élection.
Article 4.4 – Déroulement du vote
Le moyen d’authentification permet au serveur de vérifier l’identité de l’électeur et garantit l’unicité de son vote. L’électeur a la possibilité de se connecter plusieurs fois pour voter. Lorsque l’électeur accède aux listes de candidats et exprime son vote, son choix doit apparaître clairement à l’écran ; il peut être modifié avant validation. La transmission du vote et l’émargement font l’objet d’un accusé de réception que l’électeur a la possibilité de conserver. La saisie du code d’accès et du mot de passe vaut ainsi signature de la liste d’émargement dès l’enregistrement du vote ; cette saisie clôt définitivement l’accès à l’élection pour laquelle le vote vient d’être réalisé.
Article 4.5 – Programmation du site
Le prestataire assure la programmation des pages web et notamment la présentation des bulletins de vote à l’écran. Le prestataire reproduit sur le site de vote les professions de foi telles qu’elles ont été présentées par leurs auteurs.
Article 5 – Clôture et Résultats
Article 5.1 – Clôture
Dès la clôture du scrutin, le contenu de l’urne, les listes d’émargements et les états courants gérés par les serveurs sont figés, horodatés et scellés automatiquement sur l’ensemble des serveurs.
Article 5.2 – Décompte et attribution des sièges
Le dépouillement n’est possible que par l’activation conjointe d’au moins la moitié plus une des clés de déchiffrement qui sont édictées pour l’entreprise. La génération de ces clés, avant l’ouverture du vote, est réalisée publiquement lors des opérations de formation des membres des bureaux de vote de manière à prouver de façon irréfutable que seuls le Président et deux de ses assesseurs en sont détenteurs à l’exclusion de toute autre personne. Le système de vote électronique est scellé après le dépouillement afin de garantir l'impossibilité de reprendre ou de modifier les résultats après la décision de clôture du dépouillement. La procédure de décompte des votes enregistrés doit pouvoir être déroulée de nouveau.
Article 5.3 – Délais de recours et destruction des données
Les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d’émargement, de résultats et de sauvegarde sont conservés jusqu’à l’expiration du délai de recours et, lorsqu’une action contentieuse a été engagée jusqu’à la décision juridictionnelle devenue définitive. A l’expiration de ces délais, l’entreprise procède à la destruction des fichiers supports. A cette échéance, et sans avis contraire de l’entreprise, le prestataire procède à la destruction complète et de manière automatique de l’ensemble des éléments du système de vote et des fichiers supports.
Article 6 – Sécurité et Confidentialité
Article 6.1 – Anonymat et confidentialité des suffrages
Les données relatives aux électeurs inscrits sur les listes électorales sont enregistrées sur un support dénommé « fichier des électeurs » distinct de celui de l’urne électronique dénommé « contenu de l’urne électronique », scellé, non réinscriptible, rendant son contenu inaltérable et probant. Les données du vote font l’objet d’un chiffrement dès l’émission du vote sur le poste de l’électeur. Le fichier dénommé « contenu de l’urne électronique » recense les votes exprimés par voie électronique. Les données de ce fichier font l’objet d’un chiffrement et ne comportent aucun lien permettant l’identification des électeurs afin de garantir la confidentialité du vote.
Article 6.2 – Le dispositif de secours
Tout système de vote électronique comporte un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et les mêmes caractéristiques. En cas de dysfonctionnement informatique résultant, par exemple, d’une infection virale, le bureau de vote a compétence, après avis des représentants de l’organisme mettant en place le vote, pour prendre toute mesure d’information et de sauvegarde et notamment pour décider la suspension des opérations de vote.
Durée de l’accord, entrée en vigueur et révision
Le présent accord est conclu pour une durée déterminée liée aux élections professionnelles de 2024 et cessera donc immédiatement de produire tout effet dès l’élection desdits représentants réalisée et définitive c’est-à-dire après épuisement le cas échéant des délais et voies de recours. Il entrera en vigueur le lendemain du jour de son dépôt. Durant cette période il pourra faire l’objet d’une révision dans les conditions légales en vigueur.
Formalités et publicité
Le présent accord donnera lieu, à la charge de l'employeur, aux formalités de dépôts prévues par les articles R2231-1 et suivants du Code du travail : -Dépôt sur la plateforme de téléprocédure du ministère du travail, Sachant qu’après la conclusion de l'accord d'entreprise, les parties peuvent acter qu'une partie de l'accord ne doit pas faire l'objet de la publication. Cet acte, ainsi que la version intégrale de l'accord et la version de l'accord destinée à la publication, sont joints au dépôt susmentionné. L'employeur peut occulter les éléments portant atteinte aux intérêts stratégiques de l'entreprise. Les conditions d'application du présent article sont définies par décret en Conseil d'Etat (article R2231-1-1 du Code du travail). -Dépôt en version papier au secrétariat du Greffe du Conseil de Prud'hommes de Nanterre en un exemplaire original. Il en est remis un exemplaire à chaque signataire. Il est porté à la connaissance des salariés par voie d’affichage et tenu à disposition au service Ressources Humaines.
Fait à Angers, le 23/07/2024,
Pour l’employeurLes représentants des organisations syndicales
CGT, représentée par
SUD, représentée par
Annexe 1 : Cahier des charges prévu par l’article R.2314-5 du Code du Travail
Description détaillée du fonctionnement de VOXALY-DOCAPOSTE (prestataire retenu)
Les exigences de sécurité pour le vote
La sécurité du scrutin est un enjeu majeur pour la réussite des élections. Nous présentons ci-dessous notre approche des différentes problématiques et les solutions appliquées.
Anonymat
L’anonymat lors des échanges Internet avec l’électeur
Sur la base de la liste électorale consolidée, le prestataire attribue à chaque électeur un code d’accès qui sert d’identifiant unique lors de l’authentification sur les services de vote. Ces codes d’accès sont générés de façon non prédictible. Au niveau de l’authentification sur les services de vote, un mécanisme est mis en place pour éviter de deviner les mots de passe, en bloquant toute tentative de recherches multiples.
Sur le site Internet, le nom et toutes autres informations nominatives, ne sont jamais affichés.
L’anonymat des votes et la confidentialité : séparation des informations nominatives du bulletin
L’urne recueillant les suffrages et la liste d’émargement sont deux espaces totalement distincts. Il s’agit de deux espaces de stockage sans aucun lien ni relation entre les deux. Lorsque l’électeur confirme son vote, l’ensemble du traitement est réalisé selon un mécanisme assurant une intégrité parfaite entre la tenue de la liste d’émargement et l’insertion dans l’urne. De plus, ce traitement garantit l’intégrité du scrutin lors des accès simultanés. Il impose un ordonnancement séquentiel, empêchant, par un exemple, un électeur de voter deux fois simultanément.
La préservation de l’anonymat
Comme indiqué ci-dessus, chaque bulletin inséré dans l’urne ne comprend
aucune référence (référence nominative ou référence technique) avec l’électeur. Par absence de référence, nous entendons aucun nom, aucune adresse, mais aussi aucun identifiant, ni même aucune empreinte d’un éventuel identifiant qui permettrait, par des traitements croisés ou de jointure, de pouvoir retrouver ultérieurement l’électeur. Le bulletin est totalement anonyme, même après la clôture. De plus, lorsque les bulletins sont extraits de l’urne, ils sont mélangés afin d’éviter toute tentative de rapprochement chronologique avec les émargements.
L’anonymat est toujours préservé, même après le dépouillement et l’usage des clés de déchiffrement.
Confidentialité et chiffrement
Pour garantir la confidentialité, VOXALY-DOCAPOSTE chiffre le bulletin tout au long de son parcours, du poste de travail jusqu’à l’urne, sans aucune interruption. Le bulletin n'est ainsi jamais « déchiffré » sur le serveur applicatif. Deux niveaux de chiffrement sont mis en place :
le chiffrement sur le poste de travail, via une implémentation locale en Javascript, est assurée afin de protéger le contenu du suffrage, durant son transport puis durant son stockage dans l’urne jusqu’au dépouillement,
la totalité des échanges entre le navigateur de l’électeur et le serveur de vote se font selon le protocole HTTPS/TLS ou SSL.
De plus, afin de renforcer la confidentialité, toutes les étapes intermédiaires de construction du bulletin sont réalisées en local sur le poste de l’électeur, sans aucun échange avec le serveur. Ainsi, le chiffrement du bulletin commence dès que l’utilisateur clique sur le bouton JE VOTE, donc dès son émission. Ces mécanismes garantissent qu’il est impossible de connaître le résultat du scrutin, sans intervention des possesseurs des clés de déchiffrement. Cette architecture permet de répondre ainsi parfaitement aux exigences de la CNIL sur le chiffrement de bout en bout sans interruption.
Intégrité
Par intégrité, il faut entendre : « S’assurer que la saisie faite par le votant sera fidèlement retranscrite lors du dépouillement final ». L’application assure l’intégrité des votes :
après avoir exprimé son choix, l’électeur ne peut pas voter à nouveau pour la même élection,
un électeur ne pas peut voter aux élections auxquelles il n’est pas inscrit,
une tierce personne, non inscrite, ne peut pas voter.
La solution mise en œuvre est conçue pour garantir :
aucune altération lors de la saisie du vote Internet, via l’utilisation de HTTPS,
aucune altération entre la saisie et le dépouillement final, via le chiffrement des bulletins.
Disponibilité
Les services de vote par Internet est accessible 24 heures sur 24 et 7 jours sur 7. Afin de garantir la meilleure disponibilité, l’ensemble des équipements matériels est redondé. Le délai de rétablissement du service après une panne est garanti contractuellement par l’hébergeur de la plate-forme VOXALY-DOCAPOSTE. En fonction des limites définies (nombre de connexions simultanées), le système est capable de surveiller son propre trafic entrant et de le limiter, afin de garantir des temps de réponse optimums et éviter des engorgements. La disponibilité est mesurée et testée régulièrement pendant toute la période de vote sans perturber et ni altérer la sincérité des suffrages.
Le scellement du système et des données
Le scellement a pour but de s’assurer de la stabilité dans le temps des différents éléments et dans le cas contraire, de détecter immanquablement toute modification, quelle qu’en soit la forme ou la justification et avertir les personnes concernées. Ces différents éléments sont surveillés en comparant leurs empreintes courantes par rapport à un jeu d’empreintes de référence, stocké sur un support stable et non modifiable. Chaque traitement de surveillance donne lieu à une trace. En cas de différence, une alerte est remontée auprès de la supervision. Le journal des traitements est associé à l'archive finale réalisée lors de la fermeture du vote.
L’expertise
Depuis le décret du 25 avril 2007 et les dernières recommandations CNIL n° 2019-053 du 25 avril 2019, la plate-forme de vote VOXALY-DOCAPOSTE est régulièrement expertisée par des sociétés spécialisées et indépendantes, à la demande de nouveaux clients. Ces expertises ont toutes mis en évidence l’adéquation des solutions VOXALY-DOCAPOSTE avec les exigences requises en matière de vote électronique, sécurité, confidentialité, anonymat et intégrité des scrutins.
Recommandations CNIL
Les principes fondateurs, les fonctionnalités, l’architecture fonctionnelle, applicative et technique du système de vote ont déjà été présentées à la CNIL à la division des affaires économiques. VOXALY-DOCAPOSTE a des échanges réguliers avec la CNIL afin que ses applications et leurs évolutions soient toujours en conformité avec les recommandations.
