Élections professionnelles : la Cnil actualise ses recommandations en matière de vote électronique

A la une

Les élections professionnelles peuvent avoir lieu par vote électronique. Dans ce cas, la solution de vote électronique retenue doit respecter un certain nombre de garanties minimales définies notamment par la Cnil.

Dans une nouvelle délibération du 19 mars 2026, abrogeant les précédentes délibérations 2010-371 du 21 octobre 2010 et 2019-053 du 25 avril 2019, la Cnil met à jour ses recommandations en matière de vote électronique afin de tenir compte de l’évolution des systèmes de vote utilisés et de l’environnement technique et juridique.

L’objectif est d’offrir aux entreprises qui organisent les scrutins (en leur qualité de responsables de traitement au sens du RGPD, le règlement général de protection des données), à leurs prestataires et aux experts indépendants en charge d’auditer les solutions de vote un cadre plus clair et actualisé pour l’organisation d’élections, selon le communiqué de la Cnil du 24 avril 2026.

Les critères d’évaluation du niveau de risque du scrutin sont ajustés

Depuis 2019, la Cnil recommande aux entreprises organisant un scrutin par voie électronique d’identifier, parmi trois niveaux de risque, celui correspondant à leur situation en fonction des risques soulevés par leur scrutin et, en cas de doute entre deux niveaux, de retenir le niveau le plus élevé.

La nouvelle délibération conserve cette approche par niveau de risque du scrutin, tout en ajustant les critères d’appréciation (voir les points 12 à 18 de l’annexe de la délibération) afin de mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propres.

Notamment, la Cnil classe désormais :

en niveau 2 les scrutins impliquant un nombre modéré (vs “nombre important”) de votants et présentant un enjeu moyen (vs “enjeu élevé”) pour les candidats dans un contexte dépourvu de conflictualité particulière ;
en niveau 3 les scrutins impliquant un nombre important de votants et présentant un enjeu élevé (vs “très élevé”) pour les candidats ou se déroulant dans un climat potentiellement conflictuel (vs “dans un climat potentiellement conflictuel”).
La grille d’analyse simplifiée est revue et intégrée directement dans la délibération

► S’agissant plus particulièrement des élections professionnelles, la nouvelle délibération opère une distinction selon la taille de l’entreprise : le
niveau 2 doit, en principe, être privilégié pour les élections organisées au sein d’organismes de petite taille ou de taille moyenne, tandis que le niveau 3 s’applique plutôt aux élections organisées au sein d’organisations importantes.

La grille d’analyse simplifiée

Pour identifier le niveau de risque correspondant à son scrutin, l’employeur peut s’aider de la grille d’analyse simplifiée proposée par la Cnil. Mais, comme le précise la commission dans sa nouvelle recommandation, cette grille d’analyse n’a pas vocation à se substituer à une analyse approfondie tenant compte de tous les éléments de contextes pertinents.

Auparavant accessible sur le site internet de la Cnil, cette grille a été revue et intégrée directement dans la nouvelle recommandation (voir l’annexe, les points 19 et 20).

Les objectifs de sécurité à atteindre

Depuis sa délibération de 2019, la commission associe à chaque niveau de risque des objectifs de sécurité qui permettent de définir le niveau de sécurité minimum attendu pour le scrutin. Elle considère que ces objectifs sont cumulables et que l’organisateur de l’élection ou son prestataire dispose du choix des moyens permettant de les atteindre, à condition de documenter ce choix.

Ces principes ne sont pas remis en cause dans la nouvelle délibération (voir l’annexe, les points 24 et 29).

► En revanche, la Cnil apporte plusieurs changements sur le contenu des objectifs à atteindre. Si certains objectifs ont été repris quasiment à l’identique (objectifs 1.02, 1.04, 1.05,1.06, 1.08, 1.11, 3.01), d’autres ont été reformulés, précisés, réorganisés voire ajoutés. C’est le cas, par exemple, des objectifs 2.09 (niveau 2) et 3.05 (niveau 3), qui ont été ajoutés afin de favoriser la transparence de la solution de vote électronique : le premier vise à rendre public, en amont du scrutin, le protocole de vote ainsi que les propriétés de sécurité garanties par ce protocole et le moyen de les atteindre, tandis que le second vise à rendre public, en amont du scrutin, le code source des éléments du système de vote ayant vocation à être exécutés sur le terminal de l’électeur.

Le cadre de l’expertise indépendante évolue

Le code du travail impose que le système de vote électronique soit expertisé avant sa mise en place ou avant toute modification substantielle de sa conception.

Dans sa nouvelle délibération, la Cnil confirme la nécessité, pour tout système de vote, qu’il ai tété développé en interne ou fourni par un prestataire, d’être expertisé avant sa première utilisation (annexe, point 35). A la question de savoir si l’expertise doit être réalisée avant chaque élection, la Cnil apporte une réponse différenciée selon le niveau de risque du scrutin :

Pour les scrutins présentant un niveau de risque significatif (niveau 3), la Cnil recommande qu’une expertise indépendante soit réalisée à l’occasion de chaque élection. Elle précise, à cet égard, le champ de l’expertise, en énumérant les différents points devant être examinés,désormais sensiblement plus nombreux que ceux prévus par la précédente délibération (annexe, point 40).
Pour les autres scrutins (niveaux 1 et 2), la Cnil accorde une plus grande latitude à l’organisateur des élections, en lui laissant la possibilité de :

– décider de l’opportunité de réaliser une expertise pour le scrutin concerné (annexe, point 42) ;

– définir le champ de l’expertise à partir des éléments qu’elle liste pour les scrutins de niveau 3 (annexe, point 43) ;

– s’appuyer sur une expertise précédente déjà réalisée 24 mois ou 12 mois auparavant, selon qu’il s’agit d’un scrutin de niveau 1 ou 2, dès lors qu’il est possible de vérifier que l’élément sur lequel a porté l’expertise précédente n’a pas été modifié depuis et qu’aucune vulnérabilité sur cet élément n’a été révélée entre-temps (annexe, point 44), lui évitant ainsi de refaire une expertise à chaque scrutin.

L’information des électeurs et l’accessibilité du vote

La Cnil réitère sa recommandation d’assurer l’accessibilité du vote pour tous les électeurs et de leur fournir une notice explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote électronique (qui ne doit pas être confondue avec l’obligation d’information issue du RGPD).

Elle ajoute que cette notice doit être facilement compréhensible et être remise en amont de l’élection, quel que soit le niveau de risque du scrutin. Elle apporte aussi plusieurs précisions sur le contenu de l’information qui doit être transmise aux électeurs (annexe, points 30 à 32).

Sur la question de l’accessibilité, la Cnil recommande aux organisateurs de scrutin de prendre en compte la situation d’électeurs qui ne disposeraient pas de compétences informatiques ou d’un accès régulier à du matériel et un réseau adapté et donne des
exemples de solutions pouvant être mises en œuvre : mise à disposition d’un équipement informatique sécurisé et dédié au vote, accompagnement humain dans le respect du secret et de la liberté du vote, ou mise en place de modalités de vote alternatives (annexe, point 34).

► L’accessibilité du système de vote et la prise en compte des électeurs ne disposant pas de compétences informatiques ou de matériel adaptés font partie des points que l’expert indépendant doit vérifier, en particulier pour les scrutins de niveau 3.

Une entrée en vigueur différée pour certains scrutins

Les entreprises qui doivent organiser leurs élections en 2026 disposent d’un temps d’adaptation pour intégrer les nouvelles recommandations, au même titre que leurs prestataires et les experts indépendants en charge d’auditer les solutions de vote.

La Cnil précise en effet sur son site internet que si la délibération du 19 mars 2026 s’applique à tout nouveau scrutin, en revanche, les scrutins déjà en préparation et prévus en 2026 peuvent continuer à appliquer la délibération de 2019.

► A notre avis, il en résulte que les entreprises ayant engagé une négociation préélectorale à compter du 25 avril 2026 (lendemain de la publication de la délibération au Journal officiel) devraient être tenues de se conformer aux nouvelles recommandations de la Cnil. Cette mise en conformité appelle, en pratique, deux séries d’adaptations :

– d’une part, la révision des contrats commerciaux conclus, le cas échéant, avec des prestataires lorsque ces contrats sont toujours en cours d’exécution ;

– d’autre part, l’actualisation du cahier des charges.Il convient en effet de rappeler qu’un cahier des charges doit être établi en amont des élections dans le cadre de l’accord collectif autorisant le recours au vote électronique ou, à défaut, par l’employeur. Ce document constitue le cadre de référence de la solution de vote électronique retenue, que celle-ci ait été mise en place en interne ou proposée par le prestataire choisi par l’employeur.

A l’inverse, les entreprises ayant, avant cette date du 25 avril 2026, invité les organisations syndicales intéressées à la négociation préélectorale devraient pouvoir continuer à appliquer les recommandations issues de la délibération de 2019.

Visuel réduit:

Visibilite:

privé

Signature:

Elodie Expert

Supports de diffusion:

ActuEL RH

Portail RH

Dans une délibération du 19 mars 2026, la Cnil met à jour ses recommandations sur la sécurité du vote électronique : nouveaux critères d’évaluation des risques, exigences accrues de transparence et évolution de l’expertise indépendante, notamment pour les scrutins sensibles. S’appliquent-elles aux élections de 2026 ? Notre réponse.

06/05/2026

Cacher le visuel principal ?:

Non

Délib. Cnil 2026-045 du 19-3-2026

Type de produit:

actuel

Produit d’origine:

actuEL RH

Auteur extérieur:

Thème d’origine:

Elections

Application immédiate: