Accueil
Le quotidien du droit en ligne
-A+A
Article

Élections professionnelles : précisions sur la confidentialité du vote électronique

Le Conseil d’État précise comment certains manquements, dont seul l’employeur est responsable, aux prescriptions garantissant la confidentialité des données recueillies à l’occasion d’élections professionnelles organisées sous forme d’un vote électronique sont caractérisés.

par Bertrand Inesle 1 avril 2015

Le recours au vote électronique n’a cessé de se développer dans les élections professionnelles et ce, malgré les doutes que ce mode de votation suscite en doctrine (V. not. F. Petit, Le vote électronique dans l’entreprise, JCP S 2008. 1199 ; É. Jeansen, Le recours au vote électronique, une question de confiance, JCP S 2013. 1418). Il a, en effet, été fortement encouragé par les pouvoirs publics, lesquels en ont progressivement tracé les contours, d’abord, par la loi (L. n° 2004-575, 21 juin 2004, art. 54), ensuite, par le règlement (D. n° 2006-602, 25 avr. 2007 ; arr. 25 avr. 2007). Mais le vote électronique suppose nécessairement la collecte de données personnelles attachées à la personne de l’électeur. Sont enregistrés et stockés non seulement l’identité du salarié votant mais encore le choix effectué ou non par lui en faveur de tel candidat ou organisation syndicale. De ce fait, le vote électronique relève également de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dont la Commission nationale de l’informatique et des libertés (CNIL) est chargée d’assurer le respect. La Commission a ainsi notamment pour rôle de veiller à ce que les données soient collectées et traitées de manière loyale et licite (L. n° 78-17, préc., art. 6), ce qui l’autorise, en matière de vote électronique, à contrôler concrètement la capacité de ce système de votation, lorsqu’il est mis en place dans une entreprise, à garantir la confidentialité des données recueillies puisque telle est la finalité des dispositions du code du travail en la matière (C. trav., art. R. 2314-9 à R. 2314-12 et R. 2324-5 à 2324-8).

C’est à l’occasion d’un recours dirigé contre une délibération de la CNIL (CNIL, délib. n° 2013-091, 11 avr. 2013) que le Conseil d’État, après avoir été saisi en référé dans la même affaire (V. CE 31 mai 2013, req. n° 368749 ; 31 mai 2013, req. n° 368818 ; CCE 2014. Comm. 12, note É. A. Caprioli), a été amené à apporter un certain nombre de précisions sur le débiteur des obligations créées par la loi du 6 janvier 1978 et sur la caractérisation des manquements aux prescriptions assurant la confidentialité du vote électronique.

1. Le Conseil est, dans un premier temps, interrogé sur la qualité de responsable du traitement des données. Cette notion, directement issue de la loi du 6 janvier 1978, définie comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel (L. n° 78-17, art. 3, I). Il pèse sur le responsable de ce traitement le devoir de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (L. n° 78-17, art. 34). Le responsable peut néanmoins confier à un sous-traitant le soin de traiter les données à caractère personnel pour son compte et sur ses instructions (L. n° 78-17, art. 35). Le sous-traitant supporte-t-il dès lors, pour partie, le non-respect des prescriptions relatives au traitement des données personnelles et, plus particulièrement, celles relatives à la confidentialité du vote électronique ?

Dans notre affaire, un employeur a bien tenté de le soutenir, successivement devant la CNIL et le Conseil d’État. Ce dernier s’y oppose néanmoins fermement. Le Conseil considère que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données, sans que soit méconnu le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants ont agi, ainsi que le prévoient les dispositions de l’article 35 de la loi du 6 janvier 1978, sur instruction du responsable du traitement. Il constate qu’en l’espèce, la société chargée de la mise en œuvre du système de vote électronique est le sous-traitant de la société qui avait déclaré ce traitement auprès de la CNIL. En conséquence, les manquements constatés par la Commission étaient donc imputables à l’employeur en sa qualité de responsable de traitement et ce, sans que les termes du contrat le liant à la société sous-traitante aient une quelconque incidence.

Ainsi, l’employeur qui organise les élections professionnelles au moyen d’un vote électronique reste seul responsable de la violation des prescriptions relatives à la confidentialité de ce vote. Et cela paraît valable, quelle que soit la prescription concernée (contra F. Petit, art. préc.). Après tout, bien qu’il...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :