Nouvelle recommandation CNIL sur le vote en ligne : ce qui change pour les organisateurs en 2026

La CNIL a adopté le 19 mars 2026 une nouvelle recommandation relative à la sécurité des systèmes de vote par correspondance électronique, élaborée en collaboration avec l’ANSSI. Elle remplace celle de 2019. On vous résume ce qui change concrètement pour vous, organisateur d’élections, et ce qu’il y a à faire (spoiler : pas grand-chose).

Le cadre général reste le même

Trois niveaux de risque (faible, modéré, significatif), comme depuis 2019. La nouveauté : la grille d’auto-évaluation passe de 10 à 14 questions, et le seuil entre les niveaux 2 et 3 est légèrement abaissé. Mais en pratique, les seuils restent cohérents avec ce qu’on connaît.

Pour la grande majorité des scrutins que nous accompagnons — élections CSE, CAP, CCP, CSA, administrateurs salariés, etc. — le classement reste en niveau 2 (risque modéré), comme avant.

Le passage en niveau 3 reste réservé aux scrutins à enjeu fort : primaires de partis, élections majeures d’ordres professionnels réglementés, configurations très spécifiques d’organisations professionnelles.

Les 4 nouvelles questions d’auto-évaluation

La grille enrichie ajoute des questions qui peuvent influencer votre score sans pour autant changer le classement final dans la plupart des cas :

• Avez-vous subi une cyberattaque dans les 5 dernières années ?
• Êtes-vous une entité essentielle ou importante au sens de la directive européenne NIS2 ?
• S’agit-il de la première mise en œuvre d’une solution de vote électronique dans votre organisme ?
• Avez-vous fait l’objet d’une contestation de résultats devant une juridiction dans les cinq dernières années ?

Si vous répondez « oui » à plusieurs de ces questions, c’est l’occasion d’en discuter ensemble lors du cadrage du scrutin pour ajuster le niveau de sécurité.

Vos obligations qui évoluent

Information des électeurs : RGPD renforcé

Vous devez toujours fournir aux électeurs une notice explicative claire détaillant le déroulement du scrutin. La nouveauté : l’information doit désormais respecter explicitement les articles 12, 13 et 14 du RGPD (et plus seulement 13 et 14). L’article 12 impose une information concise, transparente, intelligible et facilement accessible.

Concrètement, nous mettons déjà à disposition une note explicative type adaptée à chaque scrutin, que vous pouvez relayer à vos électeurs et qui répond à ces nouvelles exigences.

Accessibilité et inclusion numérique

C’est probablement le point le plus important pour vous. La CNIL introduit une attention nouvelle pour les électeurs ne disposant pas de compétences informatiques ou d’un accès régulier à un équipement adapté. Le recours exclusif au vote électronique ne doit plus constituer un obstacle pour ces électeurs.

Plusieurs solutions sont à votre main :

• Poste de vote sur site : mise à disposition d’un équipement informatique sécurisé et dédié au vote dans vos locaux
• Accompagnement humain, dans le respect du secret et de la liberté du vote
• Modalités alternatives : vote postal ou vote à l’urne en complément du vote électronique

Pour les organismes du secteur public ou délégataires d’une mission de service public, le système doit respecter le RGAA (référentiel général d’accessibilité pour les administrations). C’est déjà le cas de notre interface. Pour les autres organismes, le respect du RGAA reste fortement recommandé.

Analyse d’impact (AIPD)

• Scrutins de niveau 3 : l’AIPD peut devenir obligatoire, en particulier lorsque le traitement implique des données sensibles à large échelle (opinions politiques, appartenances syndicales).
• Scrutins de niveau 1 et 2 (la majorité des cas) : l’AIPD reste recommandée sans être obligatoire.

Si vous souhaitez en réaliser une, nous pouvons vous fournir une trame d’AIPD adaptée.

Conservation des données : inchangé

Le régime de conservation ne change pas. L’ensemble des fichiers (codes sources, exécutables, urnes chiffrées, listes d’émargement, sauvegardes) reste conservé sous scellés jusqu’à l’épuisement des voies et délais de recours contentieux, sous votre contrôle. À l’issue, les éléments sont détruits.

Ce que nous prenons en charge à vos côtés

Au titre de notre rôle d’éditeur et de prestataire, nous absorbons l’ensemble des évolutions techniques et organisationnelles :

• Mise à jour de la solution conformément aux nouveaux objectifs de sécurité (journalisation et alertes incidents au bureau électoral, vérifiabilité étendue)
• Publication d’un protocole de vote détaillé sur notre site, conformément à l’une des nouvelles exigences pour les scrutins de niveau 2 et 3
• Expertise indépendante : nos solutions restent expertisées en continu par un Expert agréé près la Cour d’Appel de Paris, dans les conditions précisées par la nouvelle recommandation
• Notice explicative type adaptée à chaque scrutin et conforme aux articles 12, 13 et 14 du RGPD
• Accompagnement au cadrage du niveau de risque, en amont de la mise en œuvre
• Trame d’AIPD sur demande, pour les scrutins le justifiant

En pratique : que devez-vous faire ?

Rien d’immédiat. Pour vos prochains scrutins, nous adaptons en routine notre accompagnement aux nouvelles exigences. Le processus d’organisation de vos élections ne change pas.

Si vous êtes en cours de cadrage d’un scrutin, nous referons l’évaluation du niveau de risque avec vous via la nouvelle grille — comme nous le faisions déjà avec l’ancienne.

---

Pour aller plus loin : la recommandation CNIL du 19 mars 2026 est consultable sur le site de la CNIL.

Pour toute question relative à cette évolution réglementaire ou à votre prochain scrutin, contactez-nous — un échange de 15 minutes suffit à faire le point.