Dans une délibération du 11 avril 2013 la CNIL prononce un avertissement à l'encontre d'une société en raison de défauts de sécurité constatés lors d'élections professionnelles réalisées par vote électronique. La société avait eu recours à la solution de vote "Election central".
La commission nationale de l'informatique et des libertés a été saisie d'une plainte formée par un syndicat de la société T. le 7 août 2012, visant l'organisation des élections professionnelles par voie électronique au sein de cette société. la Présidente de la Commission a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société. A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi n° 78-17 du 6 janvier 1978 (
N° Lexbase : L8794AGS), le rapporteur a fait notifier à la société un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Plusieurs défauts de sécurité ont été constatés lors des investigations sur place. Il a, tout d'abord, été relevé que la société avait engagé les opérations électorales avant qu'une expertise indépendante du système de vote ait été rendue. La société n'était donc pas en mesure de s'assurer du fonctionnement correct de ce système notamment avant le jour du scrutin, ni d'en contrôler a posteriori le résultat. Le prestataire estime, cependant, que l'expertise prévue par le Code du travail n'est pas imposée lors de chaque scrutin et que la recommandation de la CNIL irait au-delà des exigences réglementaires. Il fait valoir qu'une telle expertise portant sur l'intégralité du code du logiciel est matériellement et économiquement impossible; qu'elle serait inutile en l'absence d'une quelconque incidence de l'environnement informatique de la société responsable de traitement sur la solution de vote électronique. En outre, plusieurs défauts de confidentialité des données des électeurs ont été observés tels que l'envoi des identifiants et des mots de passe permettant de voter, par courrier simple ou par courrier électronique, sans procédé de sécurisation particulier. Le prestataire entend faire valoir que ces données ne présentent pas une sensibilité qui justifie à elle seule un niveau de sécurité plus élevé et que, par ailleurs, s'agissant de codes à usage unique, le risque relatif à la sécurité est limité et nul concernant la confidentialité du vote. Pour la CNIL, ces défauts ne permettent pas de se prémunir efficacement contre une éventuelle usurpation de la qualité d'électeur, que celte circonstance se soit ou non réalisée. Enfin, il a été relevé que le bulletin de vote n'était pas chiffré de manière ininterrompue entre son envoi depuis le poste de l'électeur et son stockage dans l'urne, en vue de son dépouillement.
© Reproduction interdite, sauf autorisation écrite préalable
