CNIL et élections professionnelles : les nouveaux apports de la CNIL
Dans le cadre des élections professionnelles, l’employeur est amené à collecter et utiliser un certain nombre de données personnelles s’agissant des électeurs. Un certain nombre de règles et de principes doivent être respectés, à savoir notamment :
Concernant la liste électorale
En raison du principe de minimisation des données, et la réglementation ne prévoyant pas les mentions devant figurer sur la liste électorale, la CNIL estime que la liste électorale ne devrait pas indiquer d’autres informations que celles permettant de vérifier que le salarié répond bien aux critères pour avoir la qualité d’électeur – (L.2314-18 du Code du travail).
La Cour de cassation vient d’ailleurs préciser que doivent figurer sur ladite liste les nom et prénom, l’âge, l’appartenance à l’entreprise, et l’ancienneté.
Concernant la qualification des acteurs de l’élection
Le prestataire de solution de vote par correspondance électronique mettant en œuvre les élections professionnelles pour le compte de l’organisateur est en principe considéré comme son sous-traitant.
Pour ce qui est de l’expert indépendant qui atteste de la sécurité de la solution de vote électronique et du bon déroulement du processus électoral, son cadre d’intervention va être variable, de sorte que sa qualification sera analysée au cas par cas.
Concernant la gestion de la conformité et la protection des droits des personnes concernées
Dans le cas d’élection dont le vote est organisé par correspondance électronique, il n’est nullement nécessaire de procéder à une formalité particulière, en amont, auprès de la CNIL.
Le responsable de l’élection doit informer les électeurs de l’utilisation de leurs données. Il devra délivrer une information complète, aisément accessible et de nature à faciliter l’exercice des droits des électeurs dont les données sont collectées.
En matière de vote électronique, la CNIL est venue compléter ses recommandations en fournissant une fiche pratique de nature à présenter les objectifs de sécurité à atteindre en fonction du niveau de risque. Pour ce faire, la méthodologie proposée s’organise en deux temps :
- Une grille d’analyse qui permet de déterminer le niveau de sécurité que le système de vote doit respecter. Les questions à ce sujet porteront notamment sur le nombre d’électeurs concernés, l’utilisation d’autres modalités de vote, et le pouvoir décisionnel des personnes élues.
- Des objectifs de sécurité comprenant des exemples de moyens minimaux à mettre en œuvre de manière à atteindre l’objectif.
Concernant le vote par correspondance électronique et mesures de sécurité
La CNIL recommande que l’identifiant et le mot de passe de l’électeur lui soient communiqués via deux canaux de communication distincts de manière à réduire tout risque d’interception par un tiers. Elle recommande ainsi d’utiliser des canaux parmi les suivants : une remise en mains propres sur le lieu de travail, un envoi sur une adresse mail professionnelle, ou un téléphone professionnel, un envoi postal au domicile, ou un dépôt sur l’intranet professionnel ou un coffre-fort numérique.
L’adresse mail personnelle ou le téléphone personnel peuvent être utilisés comme un moyen de transmission des éléments d’authentification, mais uniquement en cas de demande expresse du salarié en ce sens, et dont l’employeur devra rapporter la preuve.
La signature d’une décharge de responsabilité est sans effet si l’identifiant et le mot de passe n’étaient pas communiqués par deux canaux distincts.
La CNIL préconise également de demander à l’électeur de répondre à une question secrète.
S’agissant du mot de passe, celui-ci ne doit en principe pas être communiqué en clair, à l’exception des envois par voie postale.
Lorsque l’élection s’organise en deux tours, les mêmes identifiants peuvent être utilisés.
par Me Mélanie Le Corre
Avocat au Barreau de Paris
Expert en droit du travail
MLC Avocat
Fascicule mis à jour le 18 novembre 2022.
Tous droits réservés.
ATTENTION ! Cet article est un extrait.
Abonnez-vous pour accéder à l'intégralité du contenu.
