Aller au contenu
E-votez

Blog / Réglementation

Nouvelles recommandations de la CNIL sur le vote en ligne : ce qui change pour les organisateurs en 2026

La CNIL a adopté le 19 mars 2026 de nouvelles recommandations sur la sécurité du vote électronique. Trois niveaux de risque, 14 questions d'auto-évaluation, accessibilité renforcée : on fait le point.

L'équipe e-votez · · 7 min de lecture

La CNIL a adopté le 19 mars 2026 de nouvelles recommandations relatives à la sécurité des systèmes de vote par correspondance électronique, élaborées en collaboration avec l’ANSSI. Elles remplacent celles de 2019.

Nos solutions y sont conformes — et cette conformité ne repose pas sur une simple déclaration : elle est confirmée par une expertise indépendante, réalisée par un expert agréé près la Cour d’appel de Paris, dont la dernière vérification date du 5 juin 2026.

En tant qu’organisateur d’élections, voici l’essentiel à retenir : le cadre général reste familier, et vous pouvez nous confier vos prochains scrutins sans modification de votre processus.

Cet article détaille ce que cela signifie concrètement : les évolutions du texte, ce qu’elles changent pour vous, ce que recouvre cette expertise indépendante, et ce que nous prenons en charge à vos côtés.

En bref

  • Trois niveaux de risque sont maintenus (faible, modéré, significatif), comme en 2019. La grille d’auto-évaluation passe de 10 à 14 questions. Globalement, le seuil entre niveau 2 et niveau 3 est légèrement rabaissé, mais les seuils restent cohérents avec la pratique actuelle.
  • La grande majorité des scrutins que nous gérons reste en niveau 2, sur la base de cette grille d’auto-évaluation : élections professionnelles (CSE, CAP, CCP, CSA) sauf exception, élections d’administrateurs salariés, etc.
  • Les objectifs de sécurité techniques sont précisés et complétés. Nos solutions y répondent ; les éventuels ajustements relèvent de notre périmètre d’éditeur.
  • Quelques nouvelles obligations vous concernent en tant qu’organisateur. Elles portent principalement sur l’information des électeurs et sur l’accompagnement des votants en situation de fracture numérique. Ces éléments étaient déjà pris en compte dans l’accompagnement et les documents que nous vous mettions à disposition jusque-là. Elles sont détaillées plus loin.
  • Aucune action immédiate n’est requise de votre part. Pour vos prochains scrutins éventuels, nous adaptons en routine notre accompagnement aux nouvelles exigences.

Évaluation du niveau de risque de votre scrutin

Les nouvelles recommandations introduisent une grille d’auto-évaluation enrichie. Elle comporte 14 questions couvrant notamment la volumétrie, l’historique de cyberattaques de l’organisateur, l’existence de contentieux antérieurs, les pouvoirs des élus, la sensibilité des données traitées et quelques autres facteurs.

Le score obtenu place le scrutin sur l’une des trois échelles : niveau 1 (risque faible, 0 à 4 points), niveau 2 (risque modéré, 5 à 8 points), niveau 3 (risque significatif, plus de 8 points).

Ce que cela change concrètement pour vous

Pour la très grande majorité des scrutins que nous accompagnons, le classement reste équivalent à la pratique antérieure : niveau 2. Le passage en niveau 3 reste réservé aux scrutins à enjeu fort (organisations professionnelles dans des configurations bien spécifiques, primaires de partis, élections majeures d’ordres professionnels réglementés). Nous procédons à l’évaluation du niveau de risque avec vous, lors du cadrage du scrutin, comme nous le faisions déjà.

Nous attirons votre attention sur quelques nouveautés susceptibles d’influencer le score, sans modifier le classement final dans la plupart des cas :

  • Une question dédiée à l’historique de cyberattaques subies par votre entité dans les 5 dernières années ;
  • Une question sur votre qualification éventuelle d’entité essentielle ou importante au sens de la directive européenne NIS2 ;
  • Une question sur la première mise en œuvre d’une solution de vote électronique par votre organisme ;
  • Une question sur une éventuelle contestation de résultats devant une juridiction dans les cinq dernières années.

Vos obligations en tant qu’organisateur

Les nouvelles recommandations précisent et étendent certaines de vos obligations en tant que responsable de traitement. Voici les évolutions concrètes.

Information des électeurs

Comme par le passé, vous devez fournir à vos électeurs une notice explicative claire détaillant le déroulement du scrutin et le fonctionnement général du système. Une précision nouvelle :

  • L’articulation avec le RGPD est renforcée : l’information doit désormais respecter explicitement les articles 12, 13 et 14 (et plus seulement 13 et 14). L’article 12 impose une information concise, transparente, intelligible et facilement accessible.

Nous mettions déjà à votre disposition une note explicative type, adaptée à chaque scrutin, que vous pouvez relayer à vos électeurs et qui répond à ces exigences.

Accessibilité et inclusion numérique

Les nouvelles recommandations introduisent une attention nouvelle pour les électeurs ne disposant pas de compétences informatiques ou d’un accès régulier à un équipement adapté. Le recours exclusif au vote électronique ne devrait pas constituer un obstacle pour ces électeurs.

Plusieurs solutions sont possibles, à votre main :

  • Mise à disposition d’un équipement informatique sécurisé et dédié au vote (poste de vote sur site) ;
  • Accompagnement humain dans le respect du secret et de la liberté du vote ;
  • Modalités de vote alternatives (vote postal, vote à l’urne) en complément du vote électronique.

Pour les organismes du secteur public ou délégataires d’une mission de service public, le système de vote doit par ailleurs respecter le référentiel général d’accessibilité pour les administrations (RGAA), ce qui est le cas de notre interface. Pour les autres organismes, le respect du RGAA reste fortement recommandé.

Toutes ces contraintes étaient déjà prises en compte dans les modalités d’organisation que nous recommandions jusque-là.

Analyse d’impact (AIPD)

Pour les scrutins de niveau 3, la réalisation d’une analyse d’impact relative à la protection des données peut constituer une obligation, en particulier lorsque le traitement implique la collecte à large échelle de données sensibles (opinions politiques, appartenances syndicales).

Pour les scrutins de niveau 1 et 2 — ceux qui couvrent la grande majorité des cas — la réalisation d’une AIPD reste recommandée sans être obligatoire. Nous pouvons vous fournir une trame d’AIPD si vous souhaitez en réaliser une.

Conservation des données après le scrutin

Le régime de conservation reste inchangé : l’ensemble des fichiers (codes sources, exécutables, urnes chiffrées, listes d’émargement, sauvegardes) est conservé sous scellés jusqu’à l’épuisement des voies et délais de recours contentieux, sous votre contrôle en tant qu’organisateur. À l’issue de cette période, les éléments sont détruits.

Ce qu’e-votez prend en charge à vos côtés

Au titre de notre rôle d’éditeur et de prestataire, nous prenons en charge l’ensemble des évolutions techniques et organisationnelles relevant de la solution de vote :

  • Mise à jour de la solution conformément aux nouveaux objectifs de sécurité (journalisation et alertes incidents au bureau électoral, vérifiabilité étendue, etc.).
  • Publication d’un protocole de vote détaillé sur notre site, conformément à l’une des nouvelles exigences applicables aux scrutins de niveau 2 et 3.
  • Expertise indépendante : nos solutions sont expertisées en continu par un expert agréé près la Cour d’appel de Paris — un informaticien spécialisé en sécurité, indépendant et reconnu par la justice, qui vérifie qu’elles respectent l’état de l’art ainsi que les exigences de la CNIL et de l’ANSSI. Sa dernière vérification, le 5 juin 2026, a confirmé notre conformité aux nouvelles recommandations.
  • Notice explicative type adaptée à chaque scrutin.
  • Accompagnement au cadrage du niveau de risque de votre scrutin, en amont de la mise en œuvre.
  • Trame d’AIPD sur demande, pour les scrutins le justifiant.

Continuité de service

Toutes ces évolutions sont intégrées sans modification de votre processus d’organisation.

En pratique : quelles actions de votre part ?

Il n’y a pas d’action particulière à mener, ni de changement à prévoir dans le processus d’organisation de vos élections. Pour vos prochains scrutins, nous adaptons en routine notre accompagnement aux nouvelles exigences.

Pour aller plus loin : les recommandations CNIL du 19 mars 2026 sont consultables sur le site de la CNIL.

Pour toute question relative à cette évolution réglementaire ou à votre prochain scrutin, contactez-nous — un échange de 15 minutes suffit à faire le point.

LE

L'équipe e-votez

20 ans d'expérience du vote en ligne. Pour échanger sur un projet d'élection, contactez-nous.