En résumé : Organiser un vote en ligne implique de respecter le RGPD et les recommandations de la CNIL. Vous devez garantir la protection des données personnelles des votants, respecter des durées de conservation strictes, assurer l’anonymat du scrutin et informer clairement les électeurs de leurs droits. La CNIL a publié six fiches pratiques en octobre 2025 pour accompagner les acteurs politiques et les organisations dans leur mise en conformité. Choisir une solution certifiée comme VCAST vous permet d’organiser un vote électronique sécurisé et conforme sans risque de sanction.
💡 Bon à savoir : Ce guide juridique fait partie de notre guide complet des élections en ligne et du vote électronique, qui couvre le cadre légal, les garanties de sécurité, les cas d’usage et les solutions pratiques pour tous types d’organisations.
Le RGPD applicable aux élections en ligne : ce que dit la CNIL
Depuis le 25 mai 2018, le RGPD encadre tous les traitements de données personnelles, y compris ceux liés aux élections en ligne.
Dès qu’un scrutin collecte des informations sur les électeurs (nom, prénom, adresse mail, fichier de listes électorales), vous traitez des données à caractère personnel et devez respecter le cadre légal applicable.
La CNIL rappelle que tout système de vote électronique doit respecter les principes fondamentaux du RGPD : licéité du traitement, minimisation des données, transparence et sécurité.
En d’autres termes, vous ne pouvez collecter que les données strictement nécessaires au scrutin, vous devez informer les votants de l’usage de leurs données et garantir leur confidentialité.
Ce cadre s’applique à tous les types de scrutins numériques autorisés : élections du CSE, consultations internes en entreprise, votes associatifs, assemblées générales ou encore communication politique en ligne.
À noter que les élections municipales en France métropolitaine restent limitées au vote physique en bureau.
Les listes électorales, par exemple, constituent un fichier sensible qui doit être protégé et utilisé uniquement dans le cadre du scrutin.
Vote électronique et protection des données : vos obligations légales
En tant qu’organisateur d’un vote électronique, vous êtes considéré comme responsable de traitement au sens du RGPD. Cela signifie que vous êtes juridiquement responsable de la conformité du scrutin et de la protection des données des électeurs.
Vos obligations légales incluent :
Informer les votants : avant le scrutin, vous devez expliquer clairement quelles données sont collectées, pourquoi, combien de temps elles seront conservées et quels sont les droits des personnes.
Garantir la sécurité : le système de vote électronique doit respecter des mesures techniques robustes pour éviter toute fuite de données, piratage ou manipulation des résultats. L’anonymat du vote doit être strictement garanti.
Minimiser les données : ne collectez que les informations indispensables au scrutin. Un fichier avec des données excessives (numéro de téléphone non nécessaire, par exemple) constitue une non-conformité.
Respecter la durée de conservation : vous ne pouvez pas conserver indéfiniment les données d’un scrutin. Des durées maximales s’appliquent selon le type de vote.
Le non-respect de ces obligations expose votre organisation à des sanctions de la CNIL pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu). La conformité n’est donc pas une option, mais une obligation légale applicable.
Pour approfondir les garanties techniques de sécurité et les trois piliers de conformité CNIL (confidentialité, intégrité, disponibilité), découvrez notre dossier complet avec audits et certifications.
Six fiches pratiques de la CNIL pour accompagner les acteurs politiques
Face à l’approche des élections municipales 2026 et à la multiplication des scrutins en ligne, la CNIL a jugé utile de publier six nouvelles fiches pour aider les acteurs à se mettre en conformité.
Ces six fiches pratiques ont été publiées en octobre 2025 et sont disponibles sur le site de la CNIL.
Elles couvrent les thèmes suivants :
Communication politique et protection des données : comment utiliser les listes électorales dans le cadre de la communication politique sans enfreindre le RGPD.
Publicité politique en ligne : quelles mentions que doivent rendre publiques les responsables de traitement et les éditeurs selon le type de publicité politique diffusée. Le règlement européen relatif à la transparence et au ciblage de la publicité politique, applicable depuis le 15 octobre 2025, vient compléter le RGPD.
Prospection politique : les règles spécifiques en matière de prospection politique, notamment l’usage des techniques de ciblage ou de diffusion sur les réseaux sociaux.
Vote électronique : les garanties techniques et organisationnelles qu’un système de vote électronique doit respecter pour assurer l’anonymat et la sincérité du scrutin.
Durées de conservation des données électorales : un tableau récapitulatif présentant les mentions que doivent rendre publiques les responsables de traitement et les éditeurs selon le type de traitement.
Droits des électeurs : comment les personnes peuvent exercer leurs droits informatique et libertés (accès, rectification, effacement) dans le cadre d’un scrutin.
La CNIL met à disposition ces fiches pour aider les acteurs politiques, mais aussi toutes les organisations (entreprises, associations, collectivités) à organiser un vote conforme. Elle a également annoncé qu’elle animera un observatoire des élections municipales pour surveiller le respect du RGPD.
Organiser un vote en ligne conforme : les étapes clés
Vous devez organiser un vote ?
Voici comment procéder pour garantir la conformité et la sécurité.
Étape 1 : définir le cadre juridique de votre scrutin
Identifiez le type d’élection (CSE, consultation interne, vote associatif) et vérifiez les règles légales spécifiques. Par exemple, les élections CSE sont encadrées par le code du travail en plus du RGPD.
Documentez les finalités du traitement de données personnelles et identifiez la base légale applicable : obligation légale pour les élections professionnelles réglementées (CSE, fonction publique), intérêt légitime pour les consultations internes en entreprise, ou exécution d’un contrat pour les assemblées générales d’actionnaires ou d’associations.
Étape 2 : choisir une solution technique sécurisée et conforme
Un système de vote électronique doit garantir plusieurs principes : anonymat absolu du vote, impossibilité de modifier les résultats, traçabilité des connexions (sans révéler le vote), chiffrement des données et accessibilité pour tous les votants. Privilégiez une solution certifiée qui assume la responsabilité technique de la conformité RGPD.
Si vous hésitez encore entre vote numérique et bulletin papier, consultez notre comparatif détaillé vote électronique vs vote papier avec tableaux d’analyse coûts, délais et taux de participation selon votre contexte organisationnel.
Étape 3 : informer les votants de leurs droits
Avant le scrutin, communiquez une notice d’information claire précisant : qui organise le vote, quelles données sont collectées, pourquoi, combien de temps elles seront conservées, comment les électeurs peuvent exercer leurs droits. Cette information peut être transmise par mail, sur un site web ou dans une notice jointe aux identifiants de vote.
Ces trois étapes permettent d’organiser un vote électronique respectueux du RGPD, des recommandations CNIL et des droits des personnes.
✓ Conformité RGPD garantie
Organisez votre vote en ligne en toute conformité
VCAST vous accompagne pour organiser des scrutins 100% conformes aux règles CNIL et au RGPD. Du simple sondage aux élections CSE les plus complexes, profitez d’une solution française certifiée et sécurisée.
📊 Découvrir nos solutions conformes+7 000 organisations nous font confiance • Solution 100% française 🇫🇷
Durée de conservation et droits des personnes : ce que vous devez respecter
Le RGPD impose de ne conserver les données à caractère personnel que pendant la durée strictement nécessaire aux finalités du traitement. Pour un scrutin, cela signifie que vous ne pouvez pas garder indéfiniment le fichier des électeurs ou les logs de connexion.
Durées de conservation recommandées par la CNIL :
Les données des électeurs (listes électorales, fichier des votants) doivent être supprimées dès la proclamation des résultats, sauf si un recours contentieux est possible. Pour les élections CSE, la conservation peut aller jusqu’à 3 ans (délai de prescription du contentieux prud’homal). Pour les consultations internes sans enjeu juridique, la suppression doit intervenir dans les 30 jours suivant le scrutin.
Les logs techniques (connexions, horodatages) peuvent être conservés quelques mois pour des raisons de sécurité, mais doivent ensuite être anonymisés ou supprimés.
Les résultats du scrutin peuvent être archivés, mais sans lien avec l’identité des votants (anonymat garanti).
Les électeurs disposent de droits sur leurs données : droit d’accès (consulter les informations vous concernant), droit de rectification (corriger une erreur dans le fichier électoral), droit d’opposition (dans certains cas, refuser un traitement de données). En tant que responsable de traitement de données, vous devez être en mesure de répondre à ces demandes dans un délai d’un mois maximum.
Élections du CSE et vote électronique : règles spécifiques
Les élections du CSE (comité social et économique) sont encadrées par des règles strictes combinant le code du travail, la loi informatique et libertés et le RGPD. Un système de vote électronique doit respecter des garanties renforcées pour protéger le scrutin et les droits informatique et libertés des salariés-électeurs.
Spécificités légales :
Le vote électronique doit idéalement être prévu dans le protocole d’accord préélectoral négocié avec les organisations syndicales. En l’absence d’accord, l’employeur peut décider unilatéralement du recours au vote électronique à condition de respecter les garanties légales minimales définies par le Code du travail (articles L. 2314-26 à L. 2314-32).
Le prestataire technique doit être indépendant et garantir la confidentialité absolue des votes. Les salariés doivent pouvoir vérifier que leur vote a bien été enregistré, sans que celui-ci soit traçable. Un procès-verbal de dépouillement électronique doit être établi et conservé selon les obligations légales.
Pour les élections CSE, privilégiez une solution éprouvée qui maîtrise ces contraintes et garantit la transparence du processus. Les syndicats et les salariés doivent avoir confiance dans le système utilisé.
VCAST : une solution de vote en ligne conforme au RGPD
VCAST est une plateforme française spécialisée dans l’organisation de scrutins électroniques sécurisés et conformes. Conçue pour accompagner les entreprises, associations, collectivités et institutions, VCAST garantit le respect du RGPD, des recommandations CNIL et des obligations légales applicables à chaque type de scrutin.
Comment VCAST garantit la conformité RGPD :
Anonymat absolu : aucun lien entre l’identité du votant et son vote n’est conservé. Les données personnelles sont strictement séparées des choix exprimés.
Chiffrement des données : toutes les informations transitent et sont stockées de manière chiffrée, conformément aux exigences de sécurité du RGPD.
Durées de conservation maîtrisées : VCAST applique les durées recommandées par la CNIL et supprime automatiquement les données après le scrutin.
Information des votants : VCAST fournit des modèles de notices d’information conformes au RGPD pour informer les électeurs de leurs droits.
Accompagnement personnalisé : chaque projet de vote bénéficie d’un accompagnement pour adapter la solution aux contraintes légales spécifiques (élections CSE, votes associatifs, consultations internes).
En choisissant VCAST, vous déléguez la complexité technique et juridique à un prestataire expert, tout en conservant la maîtrise de votre scrutin. La protection des données des électeurs est garantie, et vous évitez tout risque de sanction lié à une non-conformité.
Découvrez notre guide pratique complet pour organiser un vote en ligne en 5 étapes, de la création du bulletin à la consultation des résultats en temps réel, avec toutes les fonctionnalités indispensables.
FAQ : vos questions sur le RGPD et les élections en ligne
Le RGPD s’applique-t-il à tous les types de votes en ligne ?
Oui, dès qu’un scrutin collecte des données personnelles (noms, adresses mail, listes électorales), le RGPD s’applique. Cela concerne les élections professionnelles, les votes associatifs, les consultations internes et la communication politique en ligne.
Puis-je utiliser les listes électorales pour de la publicité politique ?
Les listes électorales peuvent être utilisées pour de la communication politique dans un cadre strict défini par la CNIL. Vous devez respecter les règles de transparence et de ciblage de la publicité politique, notamment depuis l’entrée en vigueur du règlement européen en octobre 2025.
Combien de temps puis-je conserver les données d’un vote électronique ?
Les données des votants doivent être supprimées dès la proclamation des résultats, sauf en cas de recours possible. Les durées de conservation varient selon le type de scrutin et doivent être proportionnées.
Quels sont les risques si je ne respecte pas le RGPD ?
La CNIL peut prononcer des sanctions financières pouvant atteindre 4 % du chiffre d’affaires annuel ou 20 millions d’euros. Elle peut également ordonner la suspension du traitement de données ou rendre publique la sanction.
Les techniques de ciblage sont-elles autorisées pour de la prospection politique ?
Oui, mais encadrées. Le ciblage de la publicité politique doit respecter les obligations de transparence imposées par le règlement européen applicable.
Les électeurs doivent être informés des techniques de ciblage ou de diffusion utilisées et des paramètres appliqués.
VCAST est-il conforme aux recommandations CNIL pour les élections du CSE ?
Oui, VCAST respecte toutes les garanties techniques et juridiques exigées pour les élections CSE, notamment l’anonymat du vote, l’indépendance du prestataire et les droits informatique et libertés des salariés.
Comment informer les électeurs de leurs droits sur leurs données ?
Vous devez fournir une notice d’information avant le scrutin, précisant les données collectées, leur usage, la durée de conservation et les modalités d’exercice des droits (accès, rectification, opposition). VCAST fournit des modèles conformes.
Puis-je organiser un vote en ligne sans délégué à la protection des données ?
Cela dépend de votre organisation. Si vous êtes une autorité publique ou si vous traitez des données sensibles à grande échelle, vous devez désigner un délégué à la protection des données (DPO). Dans les autres cas, ce n’est pas obligatoire, mais recommandé pour garantir la conformité.
🔬 Technologie INRIA
Comment VCAST garantit la sécurité de vos scrutins ?
Découvrez la technologie open source Belenios, développée par l’INRIA et le CNRS, qui garantit une vérifiabilité cryptographique de bout en bout pour chaque vote.
🔒
Chiffrement
bout en bout
✓
Vérifiabilité
mathématique
🇫🇷
Conformité
CNIL 2026
Plus de 7 000 organisations nous font confiance pour leurs scrutins critiques
