Elections du CSE et RGPD : proteger les donnees des electeurs et des candidats

L’organisation des elections professionnelles pour le Comite Social et Economique implique le traitement de donnees personnelles des electeurs et des candidats : listes electorales, professions de foi, resultats du scrutin. Le vote electronique, de plus en plus repandu, ajoute une dimension numerique a ces enjeux. Ce guide detaille les obligations RGPD a chaque etape du processus electoral.

Listes electorales et donnees personnelles

Les listes electorales constituent le premier traitement de donnees personnelles du processus. Elles contiennent le nom, le prenom, la date de naissance, l’anciennete et le college electoral de chaque salarie. Ces informations sont necessaires pour determiner l’electorat et l’eligibilite. Le responsable de traitement est l’employeur pour l’etablissement des listes.

Les listes electorales sont affichees dans l’entreprise et peuvent etre communiquees aux organisations syndicales. Cette diffusion est prevue par le code du travail et constitue une obligation legale justifiant le traitement. Toutefois, le principe de minimisation impose de ne faire figurer que les informations strictement necessaires : il n’est pas utile de mentionner l’adresse personnelle ou le numero de securite sociale sur les listes electorales.

Apres les elections, les listes electorales doivent etre conservees pendant la duree du mandat (4 ans) pour les besoins de contestation eventuelle, puis detruites. Elles ne doivent pas etre reutilisees a d’autres fins (constitution de fichiers marketing, communication syndicale hors elections).

Vote electronique et RGPD

Le vote electronique pour les elections du CSE est encadre par le decret du 25 avril 2007 et les recommandations de la CNIL (deliberation n 2019-053 du 25 avril 2019). Le prestataire de vote electronique est un sous-traitant au sens du RGPD et doit etre encadre par un contrat conforme a l’article 28.

Le systeme de vote electronique doit garantir le secret du scrutin : l’identite de l’electeur et le contenu de son vote ne doivent jamais pouvoir etre rapproches. Le chiffrement de bout en bout des bulletins, le scellement du systeme et l’expertise independante prealable au scrutin sont des exigences de la CNIL. Le prestataire doit fournir un rapport d’expertise attestant de la conformite du systeme.

Les donnees de vote (bulletins chiffres, emargements) doivent etre conservees sous scelles numeriques pendant la duree de contestation possible (15 jours apres la proclamation des resultats, ou jusqu’a l’issue du contentieux). Apres ce delai, l’ensemble des donnees de vote doit etre detruit de maniere irreversible par le prestataire, avec un certificat de destruction remis a l’employeur.

Professions de foi et donnees des candidats

Les professions de foi des candidats contiennent des donnees personnelles : identite, photo, parcours professionnel, engagements syndicaux. La diffusion de ces documents est necessaire au bon deroulement du processus electoral et repose sur l’interet legitime. Les candidats doivent etre informes de l’utilisation de leurs donnees dans le cadre electoral.

Les professions de foi diffusees par voie electronique (intranet, email) doivent etre supprimees apres les elections. Les professions de foi affichees dans les locaux doivent etre retirees. Elles ne doivent pas etre conservees dans un fichier accessible a l’ensemble du personnel au-dela de la periode electorale.

Vous organisez les elections de votre CSE et devez garantir la conformite RGPD du processus ? DPO France vous accompagne a chaque etape, du vote papier au vote electronique.

Decouvrir DPO France

Resultats des elections et publicite

Les resultats des elections du CSE font l’objet d’une publicite obligatoire : affichage dans l’entreprise et transmission a l’inspection du travail via le systeme de saisie en ligne du ministere du Travail. Les proces-verbaux des elections contiennent les noms des candidats, le nombre de voix obtenues et les noms des elus. Cette publicite est fondee sur l’obligation legale.

Les resultats nominatifs (nombre de voix par candidat) sont des informations publiques dans le cadre electoral. Toutefois, leur conservation au-dela de la duree du mandat n’est pas justifiee sauf pour les besoins d’archivage historique. Les resultats peuvent etre anonymises apres la fin du mandat pour conserver des statistiques de participation sans donnees nominatives.

Expertise independante du vote electronique

La CNIL exige qu’une expertise independante soit realisee avant chaque scrutin electronique. L’expert accede au code source du systeme de vote et aux donnees de configuration. Il est tenu a la confidentialite la plus stricte. Son rapport doit etre mis a la disposition des organisations syndicales et des salaries, mais il ne doit pas contenir de donnees permettant de compromettre le secret du vote.

Le choix de l’expert doit etre independant du prestataire de vote. L’expert ne doit pas avoir de lien commercial ou financier avec le prestataire. Son rapport constitue une piece essentielle de la conformite RGPD du processus electoral et doit etre conserve pendant la duree de contestation possible.

Focus RGPD propose un module de formation specifique sur les obligations RGPD liees aux elections du CSE et au vote electronique.

Decouvrir Focus RGPD

Conclusion

Les elections du CSE constituent un moment ou le RGPD et le droit electoral se conjuguent. La protection des donnees des electeurs et des candidats, le secret du vote, l’encadrement du prestataire de vote electronique et la gestion des durees de conservation sont des obligations incontournables. En respectant ces exigences, l’employeur et les organisations syndicales garantissent la regularite du scrutin et la confiance des salaries dans le processus democratique de l’entreprise.

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :