La Commission nationale de l'informatique et des libertés (CNIL) vient de publier, le 24 octobre 2022, une série de questions/réponses (Q/R) consacrée aux élections professionnelles et aux données personnelles. Ces recommandations sont particulièrement utiles au moment de l’organisation des élections des membres du Comité social et économique (CSE).
Rappelons que tous les employeurs de droit privé, quels que soient leur forme juridique, ainsi que certains établissements du secteur public doivent organiser les élections du Comité social et économique (CSE), dès lors qu’ils emploient au moins 11 salariés. Tous les quatre ans, les salariés d'une entreprise sont conviés à participer aux élections professionnelles qui permettront d'élire les représentants du personnel qui siégeront au Comité social et économique.
L'élection des membres du CSE peut être organisée par voie électronique sur le lieu de travail ou à distance lorsqu'un accord d'entreprise ou de groupe le prévoit (L. 2314-26).
Lorsqu'un tel accord est conclu, le protocole d'accord préélectoral doit le mentionner ainsi que, le cas échéant, le nom du prestataire choisi pour mettre en place le vote électronique (R. 2314-6). Le protocole d'accord préélectoral comporte également, en annexe, la description détaillée du fonctionnement du système retenu et du déroulement des opérations électorales (R. 2314-13).
LA CNIL recense les réponses aux questions les plus fréquemment posées sur la collecte et l’utilisation de données des électeurs pour l’organisation des élections professionnelles.
Rappel des principes liés à l’utilisation des données personnelles des électeurs
Afin d’organiser les élections des membres du Comité social et économique, les employeurs publics et privés ainsi que les prestataires de solution de vote électronique sont amenés à collecter et utiliser les données personnelles des électeurs.
La CNIL recense les réponses aux questions qui lui sont les plus fréquemment posées sur la collecte et l’utilisation de données des électeurs pour l’organisation des élections professionnelles et rappelle quelques principes relatifs :
- aux listes électorales ;
- à la sécurité des systèmes de vote par internet ;
- à la connexion des salariés.
Listes électorales
Concernant les listes électorales, la CNIL rappelle que (Q/R 1) :
- les mentions devant figurer sur la liste électorale devraient être précisées dans l’accord préélectoral ;
- la Cour de cassation a précisé qu’il peut s’agir uniquement des nom et prénom, âge, appartenance à l’entreprise et ancienneté (ces mentions permettent de déterminer la qualité d’électeur et de contrôler de la régularité de la liste électorale).
En revanche, l’adresse du domicile n’a pas à figurer sur la liste électorale, sauf dans des cas très particuliers (ex. : salariés exerçant à domicile).
Sécurité des systèmes de vote par internet
Le vote électronique a fait l’objet d’une recommandation de la part de la CNIL le 25 avril 2019 (voir https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239). Celle-ci est entrée en vigueur le 21 juin 2020. Cette recommandation est complétée par la fiche pratique « Sécurité des systèmes de vote par internet » publiée sur le site de la CNIL (voir https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010).
Cette recommandation présente aux responsables de traitement souhaitant recourir à un tel système de vote une approche pragmatique, fournissant les objectifs de sécurité à atteindre en fonction du niveau de risque.
La recommandation s’accompagne d’une fiche pratique qui présente une méthodologie en deux temps :
- une grille d’analyse pour déterminer le niveau de sécurité que le système de vote par correspondance électronique doit respecter (ces questions portent notamment sur le nombre d’électeurs, sur l’utilisation d’autres modalités de vote ou encore sur le pouvoir décisionnel des personnes élues) ;
- des objectifs de sécurité avec des exemples de moyens minimaux à mettre en œuvre pour atteindre ces objectifs.
En pratique, la CNIL identifie généralement un risque de niveau 2 (intermédiaire) pour la plupart des élections des représentants du personnel aux instances représentatives, sauf cas particulier tels qu’une élection à grande échelle se déroulant dans un organisme important et dans un cadre conflictuel, qui relèvent du niveau 3 (le plus élevé).
Une fois le niveau de risque établi, l’organisateur de l’élection (qui est également responsable du traitement) peut déterminer les objectifs de sécurité que le dispositif de vote électronique doit atteindre.
A noter : dans le cadre des élections professionnelles, tout dispositif de vote par correspondance électronique devrait notamment inclure, à la manière de ce qui se fait pour le vote papier, un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement, ainsi qu’un dispositif d’authentification des électeurs permettant de s’assurer que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative.
Connexion des salariés
Plusieurs Q/R sont consacrées à la connexion des salariés et tout particulièrement à la communication aux électeurs de leurs identifiants et mots de passe (Q/R 10 à 14).
La CNIL recommande que les mots de passe permettant l’accès à la plateforme de vote en ligne ne soient jamais communiqués à l'utilisateur en clair, notamment par courrier électronique. Il faut donc privilégier (Q/R 10) :
- l’envoi du mot de passe en clair par la voie postale ;
- ou l’envoi d’un lien à usage unique ou d’un mot de passe temporaire permettant à l’électeur de définir lui-même son mot de passe.
Il est aussi précisé que sauf en cas de demande expresse de l’électeur (qu’il appartiendra à l’employeur de démontrer), les e-mails ou les numéros de téléphone personnels ne peuvent pas être utilisés comme canaux de transmission des moyens d’authentification (identifiant et lien permettant la définition du mot de passe) (Q/R 11).
En pratique, la CNIL explique que pour transmettre ses moyens d’authentification au salarié, il est par exemple possible :
- de lui adresser un courrier postal à son domicile ;
- de les lui envoyer par le biais de sa messagerie ou de son téléphone professionnels ;
- de les lui remettre en mains propres sur son lieu de travail ;
- ou de les rendre accessibles via un intranet professionnel ou un coffre-fort numérique auxquels seul le salarié accède.
La CNIL rappelle que la connexion sur la plateforme de vote électronique peut se faire à l’aide des mêmes identifiants lors des deux tours d’une élection (Q/R 12).
Publié le 26 octobre 2022
Source : CNIL, Élections professionnelles et données personnelles : questions/réponses, du 24 octobre 2022 ; https://www.cnil.fr/fr/elections-professionnelles-et-donnees-personnelles-questions-reponses
Partagez et diffusez ce dossier
Laissez un commentaire
Votre adresse de messagerie ne sera pas publiée.
Ces dossiers pourraient vous intéresser
Identification CSE
Créer mon compteAppel d'offres CSE
Nouveau service réservé aux élus CSE
Recevez les devis de nos partenaires pour la réalisation de tous vos projets CSE
Nos rubriques
- Actualités CSE
- Enquête Nationale des CSE
- Dossiers du CSE
- Formation des élus
- Les experts au service du CSE
- Logiciels et applications CSE
- Assistance juridique des élus
- Jurisprudence
- Comptes rendus de réunions
- Hygiène, sécurité et conditions de travail
- Solutions Internet Intranet
- Syndicats
- Outils pratiques du CSE
- Ministères & institutions du travail
- Salons, manuels et revues
- Assistance et aide aux salariés
- Débats, séminaires et conférences
- Communication du CSE
