Vote électronique : la CNIL muscle son référentiel de sécurité
Sept ans après sa version de référence, la CNIL actualise en profondeur sa recommandation sur la sécurité des systèmes de vote par correspondance électronique. Adoptée par la délibération n° 2026-045 du 19 mars 2026 et publiée ce 24 avril, cette nouvelle version muscle les exigences de transparence, réorganise les objectifs de sécurité et revoit le rôle de l'expertise indépendante. De quoi obliger toutes les organisations qui préparent un scrutin dématérialisé — élections professionnelles, assemblées générales, votes internes de fédérations — à relire leurs cahiers des charges.
Ce que la CNIL vient de publier
La nouvelle recommandation est le fruit d'une consultation publique menée en 2025 auprès des organisateurs de scrutin, des prestataires techniques et des experts en sécurité informatique. Elle conserve l'approche par niveau de risque introduite en 2019 — trois niveaux, le niveau 3 correspondant aux scrutins les plus sensibles — mais en révise les critères d'appréciation pour mieux refléter la diversité des cas d'usage.
Point notable : la CNIL a travaillé main dans la main avec l'ANSSI, qui publie simultanément son propre guide technique. Les deux textes sont explicitement conçus pour être utilisés ensemble : la recommandation CNIL fixe les objectifs de sécurité à atteindre, le guide ANSSI détaille les mesures techniques pour y parvenir. Une articulation bienvenue qui met fin au flou sur la répartition des rôles entre régulateur « métier » et régulateur cyber.
Pourquoi c'est important pour les DPO
Le vote électronique n'est pas un cas à la marge. Il concerne l'élection des représentants du personnel, les assemblées générales d'actionnaires ou de copropriétaires, les élections professionnelles dans la fonction publique et de nombreux scrutins internes. Autant de traitements qui manipulent des données à caractère personnel — identité, liste d'émargement, preuves d'authentification — et qui touchent parfois à des données sensibles au sens du RGPD, notamment lorsque le scrutin révèle indirectement une appartenance syndicale.
Pour le délégué à la protection des données, la nouvelle recommandation agit comme un référentiel sectoriel opposable. En cas de contrôle ou de violation, elle constituera la grille d'évaluation retenue par la CNIL. Ne pas s'y conformer revient à s'exposer à une qualification de défaut de sécurité au titre de l'article 32 du RGPD. Le DPO a donc intérêt à l'intégrer sans attendre à sa politique de sécurité informatique et à sa cartographie des risques.
Ce qui change concrètement pour les organisations
Transparence renforcée. C'est le changement le plus marquant. La CNIL exige désormais la publication en amont du scrutin des spécifications techniques du protocole de vote (objectif de niveau 2). Pour les scrutins les plus sensibles, elle demande la publication du code source du client de vote (niveau 3). Les électeurs doivent aussi recevoir, avant le scrutin, une note pédagogique expliquant comment leurs données sont traitées — une obligation qui fait écho aux exigences générales d'information posées par le RGPD.
Questionnaire d'auto-évaluation intégré. Auparavant disponible séparément sur le site de la CNIL, le questionnaire permettant d'apprécier le niveau de risque du scrutin est désormais intégré directement à la recommandation. Cette consolidation simplifie la vie des organisateurs qui n'ont plus à jongler entre plusieurs documents pour évaluer leur dispositif.
Expertise indépendante repensée. Tout système de vote doit désormais faire l'objet d'une expertise avant sa première utilisation — un prérequis non négociable. Pour les scrutins de niveau 3, une expertise doit être refaite à chaque scrutin. Pour les autres niveaux, l'organisateur peut s'appuyer sur une expertise préalable déjà réalisée, à condition de pouvoir la documenter. Cette souplesse évite la redondance sur les scrutins récurrents, tout en maintenant le niveau d'exigence sur les enjeux les plus lourds.
Objectifs de sécurité reformulés. La partie technique a été retravaillée en profondeur. Certains objectifs ont été ajoutés (notamment 3.02 sur la vérifiabilité du bon dépouillement de l'urne et 3.04 sur les modalités de manipulation du secret). D'autres ont été rendus plus neutres technologiquement : la CNIL insiste sur le résultat à atteindre et laisse aux acteurs le choix des moyens, à condition de pouvoir justifier et documenter ces choix.
Calendrier d'application. Les scrutins déjà en préparation et prévus en 2026 peuvent continuer à appliquer la version de 2019. Mais tout nouveau scrutin lancé à partir de maintenant doit s'aligner sur la nouvelle recommandation. Concrètement, le DPO doit dès à présent réviser les cahiers des charges, les contrats signés avec ses fournisseurs de solutions de vote — un travail qui croise directement l'audit de conformité des sous-traitants — et l'information transmise aux électeurs.
Ce que Leto pense de cette décision
La direction prise par la CNIL est la bonne. En imposant la publication du code source pour les scrutins de niveau 3 et en exigeant une expertise documentée avant toute première utilisation, le régulateur reconnaît que la sécurité d'un vote électronique ne peut plus reposer sur la seule promesse du prestataire. C'est une reconnaissance implicite d'un principe que Leto défend dans son travail sur la répartition des responsabilités entre responsable de traitement et sous-traitant : la conformité d'un dispositif ne s'achète pas sur contrat, elle se documente et se vérifie.
Le point d'attention se situe côté budget et gouvernance interne. Auditer les spécifications, publier une note pédagogique aux électeurs, documenter le niveau de risque retenu, tracer l'expertise indépendante : ce sont des livrables concrets qui demandent du temps et une mobilisation interdisciplinaire. Le DPO a intérêt à embarquer les équipes RH, IT et communication dès la phase de rédaction du cahier des charges, plutôt que de découvrir ces exigences à quelques semaines du scrutin.
Sources : Communiqué CNIL du 24 avril 2026 · Délibération CNIL n° 2026-045 du 19 mars 2026 · Guide ANSSI sur la sécurité des systèmes de vote par correspondance électronique
