Retour à la section

Avis n°2024-031 du 11 avril 2024

JORF n°0145 du 21 juin 2024

| N° de demande d'avis : 24002027. | Thématiques : vote électronique, mesure de l'audience syndicale, TPE, NIR. | |:---------------------------------------------------------------------------------------------|:--------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : Ministère du travail, de la santé et des solidarités.|Fondement de la saisine : Article 8-I (4° a) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|

L'essentiel :
La CNIL estime nécessaire d'authentifier les personnes souhaitant vérifier certaines informations les concernant, en particulier leur adresse postale, via la plate-forme en ligne d'exercice du droit d'accès par voie dématérialisée. L'authentification via FranceConnect répond, pour les personnes acceptant d'y recourir, à cette nécessité.
La CNIL rappelle que le numéro d'identification des personnes au répertoire national d'identification des personnes physiques (« NIR » ou « numéro de la sécurité sociale ») ne peut pas être considéré comme un secret permettant une telle authentification.
Enfin, la CNIL estime possible, par dérogation à ses recommandations sur le vote électronique, de transmettre par un même canal l'identifiant et le mot de passe de participation au scrutin par voie électronique, puisqu'elle est cohérente avec la participation par voie postale, également permise.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8-I (4°a) ;
Après avoir entendu le rapport de Mme Aminata Niakaté, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

a. Le scrutin de mesure d'audience dans les TPE
Le scrutin de mesure d'audience dans les très petites entreprises (TPE) permet, tous les quatre ans, à près de cinq millions de salariés d'entreprises de moins de onze salariés et d'employés à domicile de participer, par voie électronique ou par correspondance, à un scrutin professionnel afin de désigner leurs représentants syndicaux.
Régie par les articles L. 2122-10-1 et suivants du code du travail, cette élection contribue à la mesure de l'audience des organisations syndicales, principal critère permettant d'établir la représentativité d'une organisation et sa capacité à signer des accords collectifs.
Depuis 2012, la participation à ce scrutin baisse régulièrement. A titre d'exemple, seuls 5,44 % des électeurs se sont exprimés en 2021.
Parmi les causes de cette tendance, le ministère met notamment en avant :

- des difficultés d'acheminement et de distribution des courriers postaux contenant les informations nécessaires à la vérification et à la rectification par les électeurs de leurs données et de leurs identifiants d'accès à la plateforme de vote ;
- des difficultés de compréhension et d'utilisation de ces informations pour la connexion à la plateforme de vote ;
- des délais restreints enserrant le recours gracieux relatif à l'inscription sur la liste électorale.

Partant, le ministère envisage de modifier le cadre réglementaire en vue de remédier à ces difficultés et d'atteindre un meilleur taux de participation à ce scrutin.
b. Le fonctionnement actuel de la plateforme en ligne mentionnée à l'article R. 2122-19 du code du travail
Conformément à l'article R. 2122-19 du code du travail, un site web a été créé par les services du ministre chargé du travail de manière à permettre la consultation de la liste électorale pour le scrutin.
Outre une simple consultation de cette liste, ouverte à l'ensemble des internautes, il doit permettre aux seuls électeurs d'accéder à un espace personnel afin de vérifier et le cas échéant d'enclencher une procédure de rectification de certaines données détenues par le ministère, en particulier l'adresse postale utilisée pour l'envoi du matériel de vote à distance (« courrier C3 »). Ce courrier contient à la fois le matériel permettant le vote postal et le vote par correspondance électronique.
Afin d'accéder à cet espace personnel, les électeurs doivent saisir un identifiant et un mot de passe générés par le ministère et qui leur sont également transmis par voie postale (« courrier C2 »). La rectification par un électeur de son adresse ne se fait pas directement sur la plateforme et nécessite d'avoir un échange avec le ministère et de justifier son identité.
Les électeurs sont cependant susceptibles de ne recevoir aucun des courriers lorsque le ministère ne dispose pas d'une adresse postale à jour.
c. Le besoin de fiabilisation de l'adresse postale des électeurs
Le ministère indique ne pas avoir accès aux adresses électroniques ni aux numéros de téléphone des électeurs, si bien que les adresses postales sont la seule voie de communication possible avec eux.
Or, la communication aux électeurs de leur matériel de vote par courrier postal est aujourd'hui nécessaire pour leur permettre d'exercer leur droit de vote, que les électeurs optent pour le vote postal ou le vote par correspondance électronique.
Toutefois, en l'état actuel de la réglementation, les adresses postales des électeurs peuvent avoir été acquises plusieurs mois avant l'organisation du scrutin, et ne sont pas mises à jour au moment de l'envoi des courriers.
Par ailleurs, certains fichiers sources utilisés pour obtenir ces adresses affichent des taux statistiquement importants d'adresses non-renseignées, ou ne respectant pas les normes postales, pouvant dans certains cas s'élever jusqu'à 20 %.
Dans ces conditions, il existe un besoin de mettre en place un système de fiabilisation des données relatives à l'adresse postale des électeurs.

B. - L'objet de la saisine

Le projet de décret en Conseil d'Etat soumis à la CNIL pour avis prévoit que les identifiants de connexion à l'espace personnel, précédemment adressés aux électeurs par courrier postal (courrier « C2 »), correspondront à l'avenir à des informations que les électeurs possèdent déjà. L'accès à cet espace personnel sera donc possible pour l'ensemble des électeurs, y compris ceux pour lesquels l'administration ne dispose pas d'une adresse postale exacte.
Plus concrètement, pour accéder à son espace en ligne, un électeur devra saisir son numéro d'identification au répertoire des personnes physiques (le « NIR ») ainsi que son nom, en tant qu'identifiants de connexion.
A cette fin, le projet prévoit la modification de plusieurs dispositions, en particulier la partie réglementaire du code du travail relative à la mesure de l'audience des organisations syndicales concernant les entreprises de moins de onze salariés (articles R. 2122-8 à R. 2122-98), ainsi que le décret « cadre NIR », afin d'y inscrire ce nouvel usage du NIR.

II. - L'avis de la CNIL
A. - Sur les modalités d'accès à la plateforme permettant aux électeurs de vérifier leur adresse postale

Pour accéder à la plateforme dédiée, l'électeur doit renseigner son nom, ainsi que son NIR qui ferait alors office d'identifiant « confidentiel ». Le projet initial prévoyait que l'électeur, une fois connecté, pouvait accéder à des données personnelles le concernant, parmi les catégories suivantes mentionnées à l'article R. 2122-12 du code du travail :
a) Nom et prénoms ;
b) Date de naissance, département et commune de naissance ou, pour les personnes nées à l'étranger, pays de naissance ;
c) Adresse du domicile.
A cet égard, la CNIL considère que le NIR peut constituer un moyen d'identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance etc.) ; le contexte de violations massives de données comprenant ce numéro, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position.
Bien que le ministère ait précisé que l'électeur devra également valider un test captcha afin de limiter l'accès à la plateforme par des systèmes automatisés d'aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à partir du NIR d'une personne. Or la CNIL rappelle que l'adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée.
Pour répondre à cette problématique, le ministère propose de renoncer à l'affichage de l'adresse postale sur la plateforme dédiée lorsque la connexion à la plateforme repose sur la saisie du NIR, et de ne divulguer l'adresse pour vérification que lorsque la connexion a lieu par FranceConnect.
Dans ces conditions, la CNIL estime que le processus envisagé par le ministère ne présente pas de risque particulier d'atteinte à la confidentialité des données des personnes.
Elle invite cependant le ministère à envisager, pour les élections suivantes, un système de vérification de l'adresse permettant aux électeurs qui ne souhaitent pas utiliser FranceConnect de vérifier leur adresse en vue de la réception du courrier contenant le matériel de vote. Ce processus pourrait par exemple reposer sur la saisie par l'électeur de son adresse à des fins de comparaison avec l'adresse connue du ministère. La CNIL se tient à la disposition du ministère pour l'accompagner dans ce projet s'il le souhaite.

B. - Sur les modalités d'accès à la plateforme de vote électronique

Les systèmes de vote électronique sont susceptibles de présenter des risques particuliers pour les personnes, liés notamment à la difficulté d'assurer que l'identité du votant correspond bien à celle de l'électeur authentifié et qu'il émet son vote en toute indépendance, ainsi qu'à la possible divulgation d'opinions politiques ou syndicales en cas de violation de données. Par conséquent, la CNIL rappelle la nécessité de mettre en œuvre des mesures de sécurité fortes pour assurer la confidentialité du vote et la sincérité du scrutin, telles qu'elle les a définies dans sa délibération n° 2019-053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via internet.
En l'espèce, le scrutin offre aux électeurs deux modalités de vote distinctes, à savoir le vote par correspondance électronique et le vote postal. Il résulte des dispositions des articles R. 2122-49 et suivants du code du travail que l'ensemble du matériel de vote permettant, d'une part, le vote postal et d'autre part, l'accès à la plateforme de vote par correspondance électronique, est transmis par un unique courrier postal à l'électeur après la période lui permettant de rectifier son adresse auprès du ministère. Les modalités d'envoi du matériel de vote ne sont pas modifiées dans le cadre de la présente saisine.
S'agissant du vote par correspondance électronique, la CNIL relève que ces dispositions n'apparaissent pas conformes à la recommandation précitée en ce qu'elles prévoient la transmission du matériel du vote (à savoir un identifiant et un mot de passe) par un canal de communication unique.
Toutefois, ces recommandations ont vocation à permettre de garantir une sincérité absolue du scrutin dans un contexte où le vote par correspondance postale n'est pas autorisé. En l'espèce et afin de favoriser une plus grande participation au scrutin, le pouvoir réglementaire a autorisé le vote par voie postale après réception du courrier « C3 ». Dans ces conditions, la CNIL estime que l'envoi du matériel de vote par correspondance électronique est acceptable.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.

1 version

Historique des versions

Version 1

N° de demande d'avis : 24002027.

Thématiques : vote électronique, mesure de l'audience syndicale, TPE, NIR.

Organisme(s) à l'origine de la saisine : Ministère du travail, de la santé et des solidarités.

Fondement de la saisine : Article 8-I (4° a) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

L'essentiel :

La CNIL estime nécessaire d'authentifier les personnes souhaitant vérifier certaines informations les concernant, en particulier leur adresse postale, via la plate-forme en ligne d'exercice du droit d'accès par voie dématérialisée. L'authentification via FranceConnect répond, pour les personnes acceptant d'y recourir, à cette nécessité.

La CNIL rappelle que le numéro d'identification des personnes au répertoire national d'identification des personnes physiques (« NIR » ou « numéro de la sécurité sociale ») ne peut pas être considéré comme un secret permettant une telle authentification.

Enfin, la CNIL estime possible, par dérogation à ses recommandations sur le vote électronique, de transmettre par un même canal l'identifiant et le mot de passe de participation au scrutin par voie électronique, puisqu'elle est cohérente avec la participation par voie postale, également permise.

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8-I (4°a) ;

Après avoir entendu le rapport de Mme Aminata Niakaté, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. - Le contexte

a. Le scrutin de mesure d'audience dans les TPE

Le scrutin de mesure d'audience dans les très petites entreprises (TPE) permet, tous les quatre ans, à près de cinq millions de salariés d'entreprises de moins de onze salariés et d'employés à domicile de participer, par voie électronique ou par correspondance, à un scrutin professionnel afin de désigner leurs représentants syndicaux.

Régie par les articles L. 2122-10-1 et suivants du code du travail, cette élection contribue à la mesure de l'audience des organisations syndicales, principal critère permettant d'établir la représentativité d'une organisation et sa capacité à signer des accords collectifs.

Depuis 2012, la participation à ce scrutin baisse régulièrement. A titre d'exemple, seuls 5,44 % des électeurs se sont exprimés en 2021.

Parmi les causes de cette tendance, le ministère met notamment en avant :

- des difficultés d'acheminement et de distribution des courriers postaux contenant les informations nécessaires à la vérification et à la rectification par les électeurs de leurs données et de leurs identifiants d'accès à la plateforme de vote ;

- des difficultés de compréhension et d'utilisation de ces informations pour la connexion à la plateforme de vote ;

- des délais restreints enserrant le recours gracieux relatif à l'inscription sur la liste électorale.

Partant, le ministère envisage de modifier le cadre réglementaire en vue de remédier à ces difficultés et d'atteindre un meilleur taux de participation à ce scrutin.

b. Le fonctionnement actuel de la plateforme en ligne mentionnée à l'article R. 2122-19 du code du travail

Conformément à l'article R. 2122-19 du code du travail, un site web a été créé par les services du ministre chargé du travail de manière à permettre la consultation de la liste électorale pour le scrutin.

Outre une simple consultation de cette liste, ouverte à l'ensemble des internautes, il doit permettre aux seuls électeurs d'accéder à un espace personnel afin de vérifier et le cas échéant d'enclencher une procédure de rectification de certaines données détenues par le ministère, en particulier l'adresse postale utilisée pour l'envoi du matériel de vote à distance (« courrier C3 »). Ce courrier contient à la fois le matériel permettant le vote postal et le vote par correspondance électronique.

Afin d'accéder à cet espace personnel, les électeurs doivent saisir un identifiant et un mot de passe générés par le ministère et qui leur sont également transmis par voie postale (« courrier C2 »). La rectification par un électeur de son adresse ne se fait pas directement sur la plateforme et nécessite d'avoir un échange avec le ministère et de justifier son identité.

Les électeurs sont cependant susceptibles de ne recevoir aucun des courriers lorsque le ministère ne dispose pas d'une adresse postale à jour.

c. Le besoin de fiabilisation de l'adresse postale des électeurs

Le ministère indique ne pas avoir accès aux adresses électroniques ni aux numéros de téléphone des électeurs, si bien que les adresses postales sont la seule voie de communication possible avec eux.

Or, la communication aux électeurs de leur matériel de vote par courrier postal est aujourd'hui nécessaire pour leur permettre d'exercer leur droit de vote, que les électeurs optent pour le vote postal ou le vote par correspondance électronique.

Toutefois, en l'état actuel de la réglementation, les adresses postales des électeurs peuvent avoir été acquises plusieurs mois avant l'organisation du scrutin, et ne sont pas mises à jour au moment de l'envoi des courriers.

Par ailleurs, certains fichiers sources utilisés pour obtenir ces adresses affichent des taux statistiquement importants d'adresses non-renseignées, ou ne respectant pas les normes postales, pouvant dans certains cas s'élever jusqu'à 20 %.

Dans ces conditions, il existe un besoin de mettre en place un système de fiabilisation des données relatives à l'adresse postale des électeurs.

B. - L'objet de la saisine

Le projet de décret en Conseil d'Etat soumis à la CNIL pour avis prévoit que les identifiants de connexion à l'espace personnel, précédemment adressés aux électeurs par courrier postal (courrier « C2 »), correspondront à l'avenir à des informations que les électeurs possèdent déjà. L'accès à cet espace personnel sera donc possible pour l'ensemble des électeurs, y compris ceux pour lesquels l'administration ne dispose pas d'une adresse postale exacte.

Plus concrètement, pour accéder à son espace en ligne, un électeur devra saisir son numéro d'identification au répertoire des personnes physiques (le « NIR ») ainsi que son nom, en tant qu'identifiants de connexion.

A cette fin, le projet prévoit la modification de plusieurs dispositions, en particulier la partie réglementaire du code du travail relative à la mesure de l'audience des organisations syndicales concernant les entreprises de moins de onze salariés (articles R. 2122-8 à R. 2122-98), ainsi que le décret « cadre NIR », afin d'y inscrire ce nouvel usage du NIR.

II. - L'avis de la CNIL

A. - Sur les modalités d'accès à la plateforme permettant aux électeurs de vérifier leur adresse postale

Pour accéder à la plateforme dédiée, l'électeur doit renseigner son nom, ainsi que son NIR qui ferait alors office d'identifiant « confidentiel ». Le projet initial prévoyait que l'électeur, une fois connecté, pouvait accéder à des données personnelles le concernant, parmi les catégories suivantes mentionnées à l'article R. 2122-12 du code du travail :

a) Nom et prénoms ;

b) Date de naissance, département et commune de naissance ou, pour les personnes nées à l'étranger, pays de naissance ;

c) Adresse du domicile.

A cet égard, la CNIL considère que le NIR peut constituer un moyen d'identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance etc.) ; le contexte de violations massives de données comprenant ce numéro, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position.

Bien que le ministère ait précisé que l'électeur devra également valider un test captcha afin de limiter l'accès à la plateforme par des systèmes automatisés d'aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à partir du NIR d'une personne. Or la CNIL rappelle que l'adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée.

Pour répondre à cette problématique, le ministère propose de renoncer à l'affichage de l'adresse postale sur la plateforme dédiée lorsque la connexion à la plateforme repose sur la saisie du NIR, et de ne divulguer l'adresse pour vérification que lorsque la connexion a lieu par FranceConnect.

Dans ces conditions, la CNIL estime que le processus envisagé par le ministère ne présente pas de risque particulier d'atteinte à la confidentialité des données des personnes.

Elle invite cependant le ministère à envisager, pour les élections suivantes, un système de vérification de l'adresse permettant aux électeurs qui ne souhaitent pas utiliser FranceConnect de vérifier leur adresse en vue de la réception du courrier contenant le matériel de vote. Ce processus pourrait par exemple reposer sur la saisie par l'électeur de son adresse à des fins de comparaison avec l'adresse connue du ministère. La CNIL se tient à la disposition du ministère pour l'accompagner dans ce projet s'il le souhaite.

B. - Sur les modalités d'accès à la plateforme de vote électronique

Les systèmes de vote électronique sont susceptibles de présenter des risques particuliers pour les personnes, liés notamment à la difficulté d'assurer que l'identité du votant correspond bien à celle de l'électeur authentifié et qu'il émet son vote en toute indépendance, ainsi qu'à la possible divulgation d'opinions politiques ou syndicales en cas de violation de données. Par conséquent, la CNIL rappelle la nécessité de mettre en œuvre des mesures de sécurité fortes pour assurer la confidentialité du vote et la sincérité du scrutin, telles qu'elle les a définies dans sa délibération n° 2019-053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via internet.

En l'espèce, le scrutin offre aux électeurs deux modalités de vote distinctes, à savoir le vote par correspondance électronique et le vote postal. Il résulte des dispositions des articles R. 2122-49 et suivants du code du travail que l'ensemble du matériel de vote permettant, d'une part, le vote postal et d'autre part, l'accès à la plateforme de vote par correspondance électronique, est transmis par un unique courrier postal à l'électeur après la période lui permettant de rectifier son adresse auprès du ministère. Les modalités d'envoi du matériel de vote ne sont pas modifiées dans le cadre de la présente saisine.

S'agissant du vote par correspondance électronique, la CNIL relève que ces dispositions n'apparaissent pas conformes à la recommandation précitée en ce qu'elles prévoient la transmission du matériel du vote (à savoir un identifiant et un mot de passe) par un canal de communication unique.

Toutefois, ces recommandations ont vocation à permettre de garantir une sincérité absolue du scrutin dans un contexte où le vote par correspondance postale n'est pas autorisé. En l'espèce et afin de favoriser une plus grande participation au scrutin, le pouvoir réglementaire a autorisé le vote par voie postale après réception du courrier « C3 ». Dans ces conditions, la CNIL estime que l'envoi du matériel de vote par correspondance électronique est acceptable.

Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.