CNIL et élections professionnelles : comment respecter la confidentialité des données des électeurs ?

Les élections professionnelles constituent un moment clé de la vie sociale de l’entreprise. Elles reposent sur un principe fondamental : garantir la sincérité du scrutin tout en respectant les droits des électeurs. À l’heure où le recours au vote électronique pour les élections professionnelles se développe, la protection des données personnelles et la confidentialité des suffrages deviennent des enjeux majeurs pour les employeurs et les autorités organisatrices.

Cet article fait le point sur le cadre réglementaire applicable aux élections professionnelles, le rôle de la CNIL et les bonnes pratiques à adopter pour organiser un scrutin conforme au RGPD. De la constitution des listes électorales à la conservation des données après le vote, il vous aide à comprendre comment concilier conformité juridique, sécurité du système de vote et respect de la confidentialité des données des électeurs.

Cadre réglementaire des élections professionnelles et protection des données

Les textes de référence à connaître

Pour organiser des élections professionnelles en conformité avec les règles de protection des données, il faut distinguer trois cadres juridiques distincts : 

• les textes définissant le cadre électoral, 
• les textes encadrant le vote électronique,
• la doctrine de la CNIL sur le traitement des données personnelles.

Dans le secteur privé, le cadre des élections du Comité social et économique (CSE) repose sur les dispositions du Chapitre IV du Titre Ier du Livre III du Code du travail, relatives à l'électorat et à l'organisation du scrutin, notamment l’article L. 2314-18 du Code du travail, qui définit la qualité d’électeur, c’est-à-dire les salariés :

• âgés de seize ans révolus, 
• travaillant depuis au moins trois mois dans l’entreprise,
• n’ayant fait l’objet d’aucune interdiction, déchéance ou incapacité relative à leurs droits civiques.
   

Le recours au vote électronique pour l'élection des membres du CSE est quant à lui autorisé par l'article L.2314-26 du Code du travail, tandis que les articles R.2314-5 à R.2314-18 en précisent les conditions de mise en œuvre.

Enfin, la recommandation de la CNIL relative à la sécurité des systèmes de vote par correspondance électronique, adoptée par délibération du 19 mars 2026, définit les objectifs de sécurité applicables aux dispositifs de vote électronique. Elle encadre notamment le respect du secret du scrutin, l’intégrité des suffrages, l’authentification des électeurs, la vérifiabilité et la possibilité de contrôle du scrutin, ainsi que l’analyse des risques liés au système de vote électronique, selon une approche graduée en fonction de la sensibilité du scrutin.

Cette recommandation s’inscrit dans une logique de complémentarité avec la FAQ de la CNIL consacrée aux élections professionnelles et aux données personnelles, laquelle rappelle les principes fondamentaux du RGPD applicables à ces traitements, notamment en matière de minimisation des données, de sécurité, de transparence de l’information délivrée aux électeurs et de limitation des durées de conservation.
 

​

Le rôle de la CNIL dans l'encadrement du vote électronique

La CNIL fixe le cadre de conformité applicable aux traitements de données personnelles associés au scrutin :

• information des électeurs, 
• sécurité du système de vote, 
• rôle du responsable du traitement et du sous-traitant, 
• méthode d’analyse des risques, 
• exigences sur l’authentification,
• conditions d’expertise de la solution.

La FAQ dédiée aux élections professionnelles répond quant à elle aux questions que se posent concrètement les entreprises et administrations :

• Quelles données inscrire sur la liste électorale ? 
• Quels canaux utiliser pour transmettre les identifiants ? 
• Peut-on recourir à des coordonnées privées ? 
• Faut-il saisir la CNIL avant le scrutin ?
• Comment réinitialiser les moyens d’authentification sans surcollecter de données ?

Quelles obligations pour l'organisateur de l'élection au regard du RGPD ?

Selon la CNIL, aucune formalité préalable spécifique n’est à accomplir auprès d’elle pour organiser un vote par correspondance électronique. 
En revanche, en tant qu’organisateur du scrutin, vous êtes responsable du traitement des données et devez respecter les obligations RGPD, notamment :

• réaliser une analyse d’impact relative à la protection des données (AIPD), prévue par l’article 35 du RGPD, 
• inscrire le traitement au registre, 
• informer les personnes concernées,
• encadrer contractuellement le prestataire lorsqu’il y en a un.  

​

En pratique, cela signifie que l’employeur doit :

• documenter la finalité du traitement des données, 
• donner la base juridique, 
• identifier les catégories de données utilisées, 
• indiquer les durées de conservation, 
• informer des mesures de sécurité, 
• gérer les habilitations,
• inclure les clauses de sous-traitance.

La liste électorale : quelles données personnelles collecter ?

Mentions obligatoires sur la liste électorale (secteur privé)

La CNIL rappelle, en s’appuyant sur la jurisprudence de la Cour de cassation, que la liste électorale du secteur privé ne devrait comporter que les informations permettant de vérifier la qualité d’électeur et d’organiser les opérations électorales, à savoir :

• nom et prénom, 
• âge, 
• appartenance à l’entreprise,
• ancienneté.

Spécificités pour la fonction publique (État, territoriale, hospitalière)

Dans la fonction publique, la CNIL invite à raisonner selon :

• le statut de l’agent,
• la fonction publique concernée. 
   

Attention, pour la fonction publique d’État, la CNIL souligne surtout le principe de minimisation : seules les données permettant de vérifier que l’agent remplit les critères d’électorat doivent être inscrites. 
 

Les données qui n'ont PAS à figurer sur la liste électorale

Toute donnée sans utilité directe pour la vérification de la qualité d’électeur ou pour l’organisation du scrutin doit être écartée. Ainsi, sauf situation très particulière (par exemple pour certains salariés exerçant en télétravail à 100%), l’adresse du domicile n’a pas à apparaître sur la liste électorale.
 

Comment choisir et sécuriser une solution de vote électronique conforme ?

L'approche par niveaux de risque de la CNIL

Pour choisir une solution de vote électronique conforme, l’organisateur du scrutin doit s’assurer que le niveau de sécurité du dispositif est adapté aux caractéristiques et aux enjeux du scrutin concerné. La recommandation de la CNIL relative à la sécurité des systèmes de vote par correspondance électronique, adoptée le 19 mars 2026, repose sur une approche graduée des exigences de sécurité, fondée sur l’évaluation des risques organisationnels et techniques pesant sur la confidentialité, l’intégrité et la sincérité du vote.

À l’issue de cette analyse, le scrutin est positionné sur l’un des trois niveaux de risque définis par la CNIL. En pratique, de nombreuses élections professionnelles relèvent d’un niveau de risque intermédiaire (niveau 2), ce qui implique que la solution de vote électronique retenue respecte, a minima, l’ensemble des objectifs de sécurité applicables aux niveaux 1 et 2. Cette qualification doit toutefois être appréciée au cas par cas et être en mesure d’être justifiée par l’organisateur du scrutin, le cas échéant auprès de l’expert indépendant.
 

Les exigences de sécurité du système de vote

Une fois le niveau de risque identifié, vous devez vérifier que la solution retenue offre des garanties concrètes de sécurité. Elle doit ainsi démontrer que :

• les votes ne peuvent pas être altérés, 
• l’identité de l’électeur ne peut pas être confondue avec l’expression de son suffrage, 
• les opérations peuvent être contrôlées en cas de contestation.

La conformité réelle du système s’exprime autant dans la sécurité technique, que dans la préservation de la confidentialité des données personnelles et la sincérité du scrutin.
 

L'expertise obligatoire de la solution de vote électronique

Au-delà des fonctionnalités affichées par l’éditeur, la conformité d’une solution de vote électronique doit pouvoir être vérifiée de manière indépendante. En matière d’élections du CSE, le Code du travail prévoit ainsi que le système fasse l’objet d’une expertise indépendante, menée avant sa mise en place ou avant toute modification substantielle. Cette expertise doit couvrir l’intégralité du dispositif :

• logiciel, 
• serveurs, 
• constitution des listes d’électeurs, 
• enrôlement, 
• déroulement du scrutin, 
• dépouillement, 
• archivage.

 Moyens d'authentification des électeurs : les recommandations de la CNIL

Identifiant et mot de passe : la règle des deux canaux distincts

Lorsque l’accès au système repose sur un couple identifiant / mot de passe, ces éléments doivent être dédiés à l’élection et transmis via deux canaux distincts définis avant le scrutin. La CNIL cite parmi les canaux possibles :

• la remise en main propre,
• l’adresse e-mail professionnelle, 
• le téléphone professionnel, 
• le courrier postal, 
• l’intranet, 
• le coffre-fort numérique accessible au seul salarié. 

​

La question secrète complémentaire (question-défi)

La CNIL recommande de compléter l’authentification par une question secrète non triviale. Sont exclus, par exemple, la date de naissance, le code postal ou tout élément facilement devinable. 
En revanche, la CNIL admet des secrets complémentaires suivants :

• une partie de l’IBAN (l’IBAN complet ne doit en revanche pas être utilisé comme question secrète pour des questions de sécurité),
• les derniers chiffres d’une fiche de paie antérieure,
• un identifiant interne non public.

Interdiction d'utiliser les données personnelles privées des salariés

La CNIL considère que les adresses e-mail personnelles et numéros de téléphone privés ne doivent pas être utilisés comme canaux de transmission des moyens d’authentification, sauf demande expresse de l’électeur que l’employeur est capable de démontrer.

Transmission et stockage du mot de passe

Le mot de passe ne doit pas être envoyé en clair, sauf par voie postale. La CNIL recommande plutôt :

• un lien à usage unique
• un mot de passe temporaire permettant à l’électeur de définir lui-même son secret.

Elle précise aussi que le mot de passe ainsi défini ne doit pas être stocké en clair par le responsable du traitement ou son sous-traitant.

Procédure de réinitialisation

En cas de perte ou d’oubli, la seule vérification des nom, prénom, date et lieu de naissance n’est pas suffisante. La CNIL recommande de combiner ces éléments avec la réponse à la question secrète, afin d’éviter l’usurpation d’identité sans collecter de nouvelles données personnelles.

Comment informer les électeurs sur l'utilisation de leurs données personnelles

Qui doit informer et comment ?

Il revient à l’organisateur de l’élection d’informer les électeurs, même s’il peut confier matériellement cette information à son prestataire de vote électronique.

La CNIL recommande une information :

• complète, 
• aisément accessible, 
• directement adressée à la personne quand c’est possible, par exemple via l’adresse e-mail professionnelle ou un support remis avec la paie. 

Un affichage dans un lieu de passage peut être envisagé en complément.
 

Quand délivrer l'information ?

L’information doit être fournie au moment de la collecte des données. Elle peut ensuite être renouvelée à l’approche du scrutin, notamment lorsque des données déjà détenues par l’employeur sont réutilisées à des fins d’authentification pour l’élection.
 

Cette information préalable gagne à s’inscrire dans le calendrier des élections du CSE, afin que les électeurs soient clairement informés des différentes étapes du processus électoral et des traitements de données associés à chaque phase du scrutin.
 

Les droits des électeurs au titre du règlement européen (RGPD)

Les électeurs conservent leurs droits au titre du RGPD :

• droit à l’information, 
• droit d’accès, 
• droit de rectification lorsque les données sont inexactes,
• selon les cas, droit à la limitation.

Conservation et suppression des données des électeurs après le scrutin

Quelle durée de conservation pour les données électorales ?

Pour le vote électronique du CSE, l’article R. 2314-17 du Code du travail prévoit que l’employeur ou le prestataire conserve :

• les copies des programmes sources et exécutables, 
• les matériels de vote, 
• les fichiers d’émargement, 
• les fichiers de résultats et de sauvegarde.

Ils doivent être conservés sous scellés, jusqu’à l’expiration du délai de recours, et en cas de contentieux jusqu’à la décision définitive.
 

Les obligations de suppression et d'archivage

À l’expiration du délai de recours, ou après la décision juridictionnelle devenue définitive en cas de contentieux, ces fichiers supports doivent être détruits.

Pour sécuriser le volet CNIL durant des élections professionnelles, l’anticipation de l’ensemble du processus électoral, de la préparation des listes à la clôture du contentieux, est indispensable pour garantir le bon déroulement des élections du CSE.

Les questions fréquentes sur la CNIL et les élections professionnelles

Quels documents de la CNIL faut-il prendre en compte pour organiser un vote électronique ?

Pour organiser un vote électronique conforme, il convient de s’appuyer en priorité sur la FAQ de la CNIL consacrée aux élections professionnelles et aux données personnelles, ainsi que sur la recommandation de la CNIL relative à la sécurité des systèmes de vote par correspondance électronique, adoptée par délibération du 19 mars 2026. Ce référentiel, désormais en vigueur, définit les objectifs de sécurité applicables aux dispositifs de vote électronique. Il constitue le cadre de référence pour l’évaluation des niveaux de risque, la mise en œuvre des mesures de sécurité et le contrôle de la conformité des opérations de vote électronique.

Faut-il réaliser une formalité préalable auprès de la CNIL pour organiser un vote électronique ?

Non, la CNIL indique qu’aucune formalité préalable spécifique n’est requise. En revanche, il faut réaliser l’AIPD, inscrire le traitement au registre, informer les électeurs et encadrer la sous-traitance.

Le mot de passe peut-il être envoyé en clair à l'électeur ?

Non, sauf par voie postale. Hors canal postal, la CNIL recommande un lien à usage unique ou un mot de passe temporaire, et interdit le stockage en clair du mot de passe par l’organisateur ou son prestataire.

Les mêmes identifiants peuvent-ils être utilisés pour les deux tours ?

Oui, la CNIL admet que les mêmes identifiants et mots de passe puissent être utilisés pour les deux tours d’une même élection professionnelle.

Combien de temps conserver les données des électeurs après le scrutin ?

Dans le cadre d’un vote électronique du CSE, les fichiers nécessaires à la preuve du scrutin sont conservés sous scellés jusqu’à l’expiration du délai de recours, fixé à quinze jours à compter de la proclamation des résultats. En l’absence de recours, les données électorales doivent ensuite être supprimées dans un délai limité, conforme au principe de limitation de la conservation. À titre de pratique opérationnelle, certains prestataires, comme Voxaly (filiale de Docaposte, filiale du Groupe La Poste), procèdent à la suppression de ces données au plus tard un mois après la clôture des opérations de vote. En cas de contentieux, les fichiers nécessaires à la preuve du scrutin sont conservés jusqu’à l’intervention de la décision définitive, puis détruits.

Quelles obligations de suppression s'appliquent aux listes électorales ?

Les listes et fichiers ne doivent pas être conservés au-delà de ce qui est nécessaire à la gestion du scrutin, à l’exercice des recours et au respect des obligations probatoires. Une fois ces finalités épuisées, l’organisateur doit prévoir leur suppression ou leur archivage strictement encadré.