Un syndicat de la société Total Raffinage Marketing dépose une plainte portant sur l’organisation des élections professionnelles au sein de la société devant la Commission nationale de l’informatique et des libertés (Cnil).
La Cnil, dans sa délibération du 11 avril 2013, constate des défauts de sécurités dans le processus de vote électronique, et prononce un avertissement à l’encontre de la société Total.
L’article R. 2314-12 du code du travail dispose que « préalablement à sa mise en place ou à toute modification substantielle de sa conception, le système de vote électronique est soumis à une expertise indépendante ». Or, aucune expertise indépendante du système de vote n’a été effectuée par la société Total avant la mise en place de l’opération électorale.
La Cnil constate également un défaut de confidentialité, les données d’authentification des électeurs étant transmises « par courrier simple ou par courrier électronique sans procédé de sécurisation particulier ».
Enfin, la Cnil reproche à Total de ne pas avoir mis en place une procédure de vote électronique chiffrant de manière ininterrompue le bulletin de vote. Ce défaut de sécurité permettrait de révéler ou de modifier les votes des électeurs.
La société Total se défend en arguant qu’elle a eu recours à un sous-traitant pour organiser le vote, mais la Cnil estime que le seul responsable d’un traitement de données personnelles est la société qui fait appel à un prestataire, et non le prestataire en lui-même.
C’est à la société organisatrice de l’élection qu’appartient l’obligation « de prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel ».