La MUTUELLE NATIONALE DES HOSPITALIERS ET DES PROFESSIONNELS DE LA SANTE ET DU SOCIAL, domiciliée 331, avenue d'Antibes AMILLY 45200 MONTARGIS, représentée par son Directeur Général, par délégation du Président,
La Confédération Française et Démocratique du Travail (C.F.D.T.),
La Confédération Générale du Travail (C.G.T.),
La Confédération Générale du Travail Force Ouvrière (C.G.T./F.O.),
Ont convenu ce qui suit :
PREAMBULE :
Le présent accord a pour objectif de faciliter les démarches relatives au vote des salariés à l’occasion des élections du Comité Social et Economique.
A cet effet, il est inséré dans le présent accord des dispositions portant notamment sur les modalités de mise en œuvre du vote électronique, les caractéristiques du système.
Les parties signataires conviennent de confier la mise en place de ce dispositif à un prestataire extérieur spécialisé dans l’organisation et la mise en œuvre de processus électoraux. La solution retenue sera mise en œuvre par le prestataire.
Article 1er : PRINCIPES GENERAUX
Le système retenu doit reposer sur les principes généraux du droit électoral indispensables à la régularité du scrutin. Ces principes généraux sont les suivants :
L’anonymat : impossibilité de relier un vote émis à un électeur
L’intégrité du vote : identité entre le bulletin de vote choisi par le salarié et le bulletin enregistré
L’unicité du vote : impossibilité de voter plusieurs fois pour un même scrutin
La confidentialité : le secret du vote.
Article 2 : MODALITES D’ORGANISATION DES ELECTIONS
Article 2.1 : Protocole d’accord préélectoral
Dans le cadre des élections 2019 des représentants du personnel du Comité Social et Economique, les parties établiront un protocole d’accord préélectoral définissant notamment les modalités de constitution des bureaux de vote, le calendrier, les modalités opératoires et la répartition des sièges selon les collèges.
Article 2.2 : Expertise Indépendante
Le système de vote électronique, préalablement à sa mise en place ou à toute modification substantielle de sa conception, est soumis à une expertise indépendante, destinée à vérifier le respect des prescriptions énoncées ci-dessus. Le rapport de l’expert est tenu à la disposition de la CNIL ainsi que des instances représentatives du personnel et des organisations syndicales.
Article 2.3 : Formation
Les représentants du personnel et les membres des bureaux de vote bénéficieront d’une formation sur le système de vote électronique retenu.
Article 2.4 : Cellule d’assistance technique
L’Entreprise met en place une cellule d’assistance technique chargée de veiller au bon fonctionnement et à la surveillance du système de vote électronique.
Elle comprend des représentants de l’entreprise et le cas échéant des représentants du prestataire.
En présence des représentants des listes de candidats, la cellule d’assistance technique :
Procède, avant que le vote ne soit ouvert, à un test du système de vote électronique et vérifie que l’urne électronique est vide, scellée et chiffrée par 3 clefs délivrées à cet effet,
Procède, avant que le vote ne soit ouvert, à un test spécifique du système de dépouillement à l’issue duquel le système est scellé,
Contrôle, à l’issue des opérations de vote et avant les opérations de dépouillement, le scellement de ce système.
Article 3 : DEROULEMENT DES OPERATIONS DE VOTE
Article 3.1 : Lieu et temps du scrutin
Le vote électronique se déroule, pour chaque tour de scrutin, pendant une période délimitée, laquelle sera précisée par le protocole d’accord électoral.
Les électeurs ont la possibilité de voter à tout moment pendant la période d’ouverture du scrutin, de n’importe quel terminal informatique, de leur lieu de travail, de leur domicile ou autre lieu, en se connectant sur le site sécurisé dédié aux élections.
Les heures d’ouverture et de fermeture du scrutin électronique doivent pouvoir être contrôlées par les membres des bureaux de vote et les personnes désignées ou habilitées pour assurer le contrôle des opérations électorales.
Le scellement des urnes intervient à l’ouverture du vote et est périodiquement contrôlé durant toute la durée du scrutin.
Pendant le déroulement du vote, aucun résultat partiel n’est accessible. Le nombre de votants peut être révélé au cours du scrutin.
Tous les moyens seront mis en œuvre pour faciliter l’appropriation de cette technique de vote par les salariés. L’entreprise établira ainsi une note d’information explicative précisant les conditions et les règles de fonctionnement du vote en ligne, laquelle sera portée à la connaissance des électeurs avant l’ouverture du premier tour de scrutin.
Article 3.2 : Modalités d’accès au site du vote
Chaque électeur recevra, avant le premier tour des élections, à son domicile, par courrier simple, l’adresse du site et les moyens d’authentification. En cas de second tour, de nouveaux codes seront adressés selon les mêmes modalités. L’adresse du site de vote (URL) sera déterminée dans le protocole d’accord préélectoral. A l’aide de ses identifiants, l’électeur peut voter en toute confidentialité en se connectant sur le site sécurisé des élections. L’identification de l’électeur est assurée par un serveur dédié, après saisie par l’utilisateur de ses codes accès. L’électeur a la possibilité de se connecter plusieurs fois pour voter. A réception du vote, la saisie des codes d’accès par l’électeur vaut signature de la liste d’émargement de l’instance concernée et clôt définitivement l’accès à cette élection.
Article 3.3 : Déroulement du vote
Le moyen d’authentification permettra au serveur de vérifier l’identité de l’électeur et garantira l’unicité de son vote. L’électeur a la possibilité de se connecter plusieurs fois pour voter (ex : élection des titulaires puis lors d’une autre connexion élections des suppléants du CSE). Lorsque l’électeur accède aux listes de candidats et exprime son vote, son choix doit apparaître clairement à l’écran, il peut être modifié avant validation. La transmission du vote et l’émargement font l’objet d’un accusé de réception que l’électeur a la possibilité de conserver. La saisie du code d’accès et du mot de passe vaut ainsi signature de la liste d’émargement dès l’enregistrement du vote ; cette saisie clôt définitivement l’accès à l’élection pour laquelle le vote vient d’être réalisé.
Article 3.4 : Programmation du site
Le prestataire assurera la programmation des pages web et notamment la présentation des bulletins de vote à l’écran. Le prestataire reproduira sur le site de vote les professions de foi telles qu’elles auront été présentées par leurs auteurs. Chaque profession de foi devra être remise datée et signée par un représentant légal de la liste concernée, selon un format défini dans le protocole pré-électoral.
Article 4 : CLOTURE ET RESULTATS
Article 4.1 : Clôture
Dès la clôture du scrutin, le contenu de l’urne, les listes d’émargements et les états courants gérés par les serveurs sont figés, horodatés et scellés automatiquement sur l’ensemble des serveurs.
Article 4.2 : Décompte et attribution des sièges
Le dépouillement n’est possible que par l’activation conjointe d’au moins deux clés de déchiffrement différentes sur les trois qui doivent être éditées. La génération de ces clés, avant l’ouverture du vote, est publique de manière à prouver de façon irréfutable que seul le président du bureau de vote et deux de ses assesseurs en ont connaissance à l’exclusion de toute autre personne. Le Président du bureau de vote et deux assesseurs nominativement identifiés reçoivent chacun une clé de déchiffrement distincte. Le décompte des voix, apparaît lisiblement à l’écran et fait l’objet d’une édition sécurisée afin d’être portée au procès-verbal. Le système de vote électronique est scellé après le dépouillement afin de garantir l'impossibilité de reprendre ou de modifier les résultats après la décision de clôture du dépouillement. La procédure de décompte des votes enregistrés doit pouvoir être déroulée de nouveau.
Article 4.4 : Délais de recours et destruction des données
Le prestataire retenu conserve sous scellés jusqu’à l’expiration du délai de recours et, lorsqu’une action contentieuse a été engagée jusqu’à la décision juridictionnelle devenue définitive, les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d’émargement, de résultats et de sauvegarde. A l’expiration de ces délais, le prestataire procède à la destruction des fichiers supports.
Article 5 : SECURITE ET CONFIDENTIALITE
Article 5.1 : Anonymat et confidentialité des suffrages
Les données relatives aux électeurs inscrits sur les listes électorales sont enregistrées sur un support dénommé « fichier des électeurs » distinct de celui de l’urne électronique dénommé « contenu de l’urne électronique », scellé, non réinscriptible, rendant son contenu inaltérable et probant. Les données du vote font l’objet d’un chiffrement dès l’émission du vote sur le poste de l’électeur. Le fichier dénommé « contenu de l’urne électronique » recense les votes exprimés par voie électronique. Les données de ce fichier font l’objet d’un chiffrement et ne comportent aucun lien permettant l’identification des électeurs afin de garantir la confidentialité du vote.
Article 5.2 : Existence et contenu des fichiers
Les données devant être enregistrées sont :
Pour les listes électorales : noms et prénoms des inscrits, date d’entrée dans l’entreprise, date de naissance, collège, site,
Pour le fichier des électeurs : noms, prénoms, collège, site, moyen d’authentification, coordonnées,
Pour les listes et les fichiers des candidats : collège, noms et prénoms des candidats, titulaires ou suppléants, appartenance syndicale pour le 1er tour,
Pour les listes d’émargement : noms, prénoms des électeurs, date et heure d’émargement, collège, site,
Pour les résultats : noms et prénoms des candidats, élus, non élus, voix obtenues, appartenance syndicale, collège.
Les destinataires ou catégories de destinataires de ces informations sont :
Pour les listes électorales : électeurs, syndicats représentatifs le cas échéant, salariés habilités de la Direction des Ressources Humaines
Pour le fichier des électeurs : électeurs pour les informations les concernant.
Pour les listes d’émargement : membres des bureaux de vote, salariés habilités de la Direction des Ressources Humaines,
Pour les résultats : électeurs, services du ministère chargé de l’emploi, syndicats, salariés habilités de la Direction des Ressources Humaines.
Article 5.3 : Dispositif de secours
Tout système de vote électronique comporte un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et les mêmes caractéristiques. En cas de dysfonctionnement informatique résultant, par exemple, d’une infection virale, les bureaux de vote ont compétence, après avis des représentants de l’organisme mettant en place le vote, pour prendre toute mesure d’information et de sauvegarde et notamment pour décider la suspension des opérations de vote.
Article 6 : DUREE
Le présent accord est conclu pour une durée déterminée correspondant à la durée du processus électoral de l’élection des représentants du personnel au Comité Social et Economique de la M.N.H, dont les opérations se dérouleront en 2019.
Article 7 : PUBLICITE DE L’ACCORD
Le présent accord sera déposé en deux exemplaires (dont un sous format électronique) à la Direction Départementale du Travail, de l’Emploi et de la Formation Professionnelle du Loiret et en un exemplaire au secrétariat-greffe du Conseil de Prud’hommes de Montargis.
Cet accord fera l’objet d’une notification à l’ensemble des organisations syndicales. Il sera porté à la connaissance de tous les salariés concernés.
Fait au siège social de la M.N.H. à Amilly, le 28 janvier 2019
Pour la M.N.H. :
Pour le Président, Le Directeur Général
Pour les Organisations syndicales :
CFDT
CGT :
CGT/FO :
ANNEXE
Eléments sur la qualité globale du prestataire retenu :
Article 1 : LES EXIGENCES DE SECURITE POUR LE VOTE
La sécurité du scrutin est un enjeu majeur pour la réussite des élections. Nous présentons ci-dessous notre approche des différentes problématiques et les solutions appliquées.
Article 1.1 : Anonymat
L’anonymat lors des échanges entre les partenaires
Les électeurs sont référencés de façon unique grâce à un identifiant généré. Cet identifiant sert aux échanges avec les partenaires. Il n’est pas externalisé auprès des électeurs.
L’anonymat lors des échanges Internet avec l’électeur
génère un autre identifiant, nommé code d’accès, qui sert d’identifiant unique lors de l’authentification sur les services de vote. Ces codes d’accès sont générés de façon non prédictible. Sur le site Internet, le nom et toutes autres informations nominatives, ne sont jamais affichés.
L’anonymat des votes et la confidentialité : séparation des informations nominatives du bulletin
L’urne recueillant les suffrages et la liste d’émargement sont deux espaces totalement distincts. Il s’agit de deux espaces de stockage sans aucun lien ni relation entre les deux. Lorsque l’électeur confirme son vote, l’ensemble du traitement est réalisé selon un mécanisme assurant une intégrité parfaite entre la tenue de la liste d’émargement et l’insertion dans l’urne. De plus, ce traitement garantit l’intégrité du scrutin lors des accès simultanés. Il impose un ordonnancement séquentiel, empêchant, par exemple, un électeur de voter deux fois simultanément.
La préservation de l’anonymat
Comme indiqué ci-dessus, chaque bulletin inséré dans l’urne ne comprend aucune référence (référence nominative ou référence technique) avec l’électeur. Par absence de référence, nous entendons aucun nom, aucune adresse, mais aussi aucun identifiant, ni même aucune empreinte d’un éventuel identifiant qui permettrait, par des traitements croisés ou de jointure, de pouvoir retrouver ultérieurement l’électeur. Le bulletin est totalement anonyme, même après la clôture. De plus, lorsque les bulletins sont extraits de l’urne, ils sont mélangés afin d’éviter toute tentative de rapprochement chronologique avec les émargements. L’anonymat est toujours préservé, même après le dépouillement et l’usage des clés de déchiffrement.
Article 1.2 : Confidentialité et chiffrement
Pour garantir la confidentialité, chiffre le bulletin tout au long de son parcours, du poste de travail jusqu’à l’urne, sans aucune interruption. Le bulletin n'est ainsi jamais « déchiffré » sur le serveur applicatif.
Deux niveaux de chiffrement sont mis en place :
le chiffrement sur le poste de travail, via une implémentation locale en Javascript, est assuré afin de protéger le contenu du suffrage, durant son transport puis durant son stockage dans l’urne jusqu’au dépouillement,
la totalité des échanges entre le navigateur de l’électeur et le serveur de vote se font selon le protocole HTTPS.
De plus, afin de renforcer la confidentialité, toutes les étapes intermédiaires de construction du bulletin sont réalisées en local sur le poste de l’électeur, sans aucun échange avec le serveur.
Ainsi, le chiffrement du bulletin commence dès que l’utilisateur clique sur le bouton JE VOTE, donc dès son émission. Ces mécanismes garantissent qu’il est impossible de connaître le résultat du scrutin, sans intervention des possesseurs des clés de déchiffrement. Cette architecture permet de répondre ainsi parfaitement aux exigences de la CNIL sur le chiffrement de bout en bout sans interruption décrite dans sa dernière recommandation n° 2010-371 du 21 octobre 2010.
Article 1.3 : Intégrité
Par intégrité, il faut entendre : « S’assurer que la saisie faite par le votant sera fidèlement retranscrite lors du dépouillement final ». L’application assure l’intégrité des votes :
après avoir exprimé son choix, l’électeur ne peut pas voter à nouveau pour la même élection,
un électeur ne pas peut voter aux élections auxquelles il n’est pas inscrit,
une tierce personne, non inscrite, ne peut pas voter.
La solution mise en œuvre est conçue pour garantir :
aucune altération lors de la saisie du vote Internet, via l’utilisation de https,
aucune altération entre la saisie et le dépouillement final, via le chiffrement des bulletins.
Article 1.4 : Disponibilité
Le service de vote par Internet est accessible 24 heures sur 24 et 7 jours sur 7.
Afin de garantir la meilleure disponibilité, l’ensemble des équipements matériels est redondé. Le délai de rétablissement du service après une panne est garanti contractuellement par l’hébergeur de la plate-forme. En fonction des limites définies (nombre de connexions simultanées), le système est capable de surveiller son propre trafic entrant et de le limiter, afin de garantir des temps de réponse optimums et éviter des engorgements. La disponibilité est mesurée et testée régulièrement pendant toute la période de vote sans perturber et ni altérer la sincérité des suffrages. Enfin, afin de permettre aux instances de contrôle de surveiller elles-mêmes le bon fonctionnement de bout en bout les traitements applicatifs et cela tout en respectant la plus stricte régularité et sincérité du scrutin, met à disposition des comptes « ECOLE ».
Article 1.5 : Authentification
Sur la base de la liste électorale consolidée, nous attribuons à chaque électeur un identifiant unique, un code d’accès unique et un mot de passe. Dans le cas où le code d’accès ne peut être fourni par l’entreprise le code d’accès est généré de telle façon qu’il soit impossible de deviner l’identifiant d’une personne, à partir d’un autre identifiant connu. Le mot de passe est généré de façon aléatoire.
Au niveau de l’authentification sur les services de vote (aussi bien par Internet que par téléphone), un mécanisme est mis en place pour éviter de deviner les mots de passe, en bloquant toute tentative de recherches multiples.
Article 2 : LE SCELLEMENT DU SYSTEME ET DES DONNEES
Le scellement a pour but de s’assurer de la stabilité dans le temps des différents éléments et dans le cas contraire, de détecter immanquablement toute modification, quelle qu’en soit la forme ou la justification et avertir les personnes concernées.
Ces différents éléments sont surveillés en comparant leurs empreintes courantes par rapport à un jeu d’empreintes de référence, stocké sur un support stable et non modifiable.
Chaque traitement de surveillance donne lieu à une trace. En cas de différence, une alerte est remontée auprès de la supervision.
Le journal des traitements est associé à l'archive finale réalisée lors de la fermeture du vote.
Article 3 : L’EXPERTISE
Depuis le décret du 25 avril 2007 et les dernières recommandations de la CNIL, la plate-forme de vote est régulièrement expertisée par des sociétés spécialisées et indépendantes, à la demande de nouveaux clients. Ces expertises ont toutes mis en évidence l’adéquation des solutions avec les exigences requises en matière de vote électronique, sécurité, confidentialité, anonymat et intégrité des scrutins.
Article 4 : VOTE TEST
Nous préconisons qu’un vote test soit réalisé, au préalable, en présence des représentants de commission électorale et éventuellement d’un huissier et/ou d’un expert informatique. Le test est effectué dans les conditions du réel. La procédure de vote est entièrement déroulée jusqu’au calcul des résultats. La simulation réalisée sur le site de vote réel passe en revue tous les cas de figure pouvant être rencontrés. L’objectif est de permette aux bureaux de vote d’appréhender le fonctionnement global de la solution.
