Vote électronique dans la fonction publique : les rapports d'expertise désormais transmis à la CNIL

23/6/26
👈 les autres actualités

La CNIL formalise un point de procédure qui concerne tous les employeurs publics organisant un scrutin dématérialisé : depuis 2024, les rapports d'expertise des systèmes de vote électronique utilisés aux élections professionnelles doivent obligatoirement lui être transmis. Une obligation discrète, mais qui transforme une bonne pratique en exigence opposable pour les trois fonctions publiques et leurs prestataires.

Ce qui s'est passé

Dans une publication du 23 juin 2026, la CNIL précise les modalités de transmission des rapports d'expertise relatifs au vote par correspondance électronique. Lorsqu'un organisme public — d'État, territorial ou hospitalier — recourt à ce mode de scrutin pour ses élections professionnelles, le système retenu doit faire l'objet d'une expertise indépendante préalable, dans les conditions fixées par les articles R.211-518 à R.211-521 du code général de la fonction publique.

La nouveauté n'est pas l'expertise elle-même, déjà imposée par les textes, mais sa traçabilité. Depuis 2024, les rapports qui en sont issus doivent être adressés à la CNIL, via une boîte dédiée (vote-electronique@cnil.fr), avec une limite technique de 7 Mo par message et une plateforme de transfert sécurisée pour les pièces plus volumineuses. L'autorité ouvre par ailleurs cette même adresse aux organismes qui souhaitent poser leurs questions ou transmettre un rapport de façon volontaire, sans relever de l'obligation.

Pourquoi c'est important

Le vote électronique concentre presque toutes les difficultés du RGPD en un seul traitement : données d'identité des électeurs, secret du vote, intégrité du scrutin, sécurité technique de bout en bout et recours quasi systématique à un prestataire externe. La CNIL le considère de longue date comme un traitement sensible, encadré par un référentiel de sécurité exigeant. Elle vient d'ailleurs de renforcer ce référentiel en mars 2026, avec des exigences accrues de transparence, la publication du code source et l'expertise indépendante rendue obligatoire avant toute première utilisation.

Pour les acteurs publics, cette transmission systématique s'inscrit dans une logique de responsabilité (accountability) qui dépasse le seul scrutin. Les collectivités territoriales comme les établissements hospitaliers manipulent des volumes considérables de données d'agents et d'usagers, et restent pleinement soumis au RGPD malgré leur statut public. Un système de vote mal sécurisé, c'est non seulement un risque de contentieux électoral, mais aussi une potentielle violation de données personnelles à notifier.

Ce que ça change pour les organisations

Concrètement, tout employeur public qui prépare des élections professionnelles dématérialisées doit intégrer cette étape dans son calendrier de conformité. Trois réflexes s'imposent. D'abord, vérifier contractuellement que le prestataire de vote fournit bien un rapport d'expertise indépendant conforme aux articles R.211-518 et suivants du CGFP — et non une simple attestation de sécurité maison. Ensuite, organiser la transmission effective du ou des rapports à la CNIL, en amont du scrutin, en respectant le format imposé. Enfin, documenter l'opération dans le registre des traitements et, le cas échéant, dans l'analyse d'impact du traitement, le vote électronique figurant parmi les traitements pour lesquels une AIPD est fortement recommandée.

C'est typiquement le genre de dossier où le délégué à la protection des données doit être associé très tôt : il fait le lien entre la direction des ressources humaines, la DSI et le prestataire, et garantit que la chaîne documentaire est complète avant le jour J. Reporter cette vérification au dernier moment expose à devoir relancer ou reporter un scrutin, avec toutes les conséquences sociales que cela implique.

Ce que Leto pense de cette décision

Cette obligation va dans le bon sens. En centralisant les rapports d'expertise, la CNIL se donne les moyens d'avoir une vision réelle du niveau de sécurité des solutions de vote déployées dans le secteur public, plutôt que de découvrir les failles a posteriori, à l'occasion d'un incident ou d'une plainte. Pour les organismes, le message est clair : l'expertise indépendante n'est plus une case à cocher en interne, mais un document destiné à être lu par le régulateur. Mieux vaut donc l'anticiper, choisir un prestataire transparent sur ses spécifications techniques, et traiter la conformité du vote électronique comme un projet à part entière — pas comme une formalité de dernière minute.

Sources : CNIL — Élections professionnelles dans la fonction publique et vote électronique ; Articles R.211-518 à R.211-521 du code général de la fonction publique — Légifrance

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026