fleche
Revenir au blog

Le vote électronique en Assemblée Générale, entre réglementations et obligations

Dans le cadre d’une Assemblée Générale qui comporte de forts enjeux, le vote électronique est en train de devenir un incontournable. Permettant aux participants de voter en ligne simplement, depuis leur ordinateur ou leur smartphone, le vote électronique reste pour autant très réglementé. Nous allons voir dans cet article, les règlementations et les recommandations liées à l’utilisation d’une plateforme de vote électronique.
Vote électronique
Gouvernance
Distanciel
Présentiel
Vote en ligne

Le règlement RGPD

Le Règlement Générale sur la Protection des Données (RGPD) a été mis en place dans le but de mieux encadrer la collecte et le traitement des données personnelles des citoyens européens, et ce depuis le 25 mai 2018. Une donnée personnelle correspond à toute information se rapportant à une personne physique identifiée ou identifiable.

Le RGPD complète en France la loi Informatique et Libertés de 1978, et succède à la directive européenne de 1995 qui avait adapté la législation en vigueur pour suivre le développement des nouvelles technologies et l’intensification de la dématérialisation des transactions. Le RGPD affirme cette volonté d’adéquation avec les nouvelles pratiques numériques et vise toute entité publique ou privée du territoire de l’Union Européenne.

Dans le cadre de la digitalisation d’une assemblée générale, le responsable de traitement de l’organisation est amené à réaliser une analyse d’impact sur la protection des données personnelles. Plusieurs thématiques doivent être vérifiées  :

  • Sur la partie juridique  :  

- Les finalités des traitements effectués  ;

- Les données personnelles traitées sur la plateforme et les durées de conservation des données  ;

- L’information et exercice des droits des personnes concernées   ;

- Les sous-traitants ultérieurs et transferts de données personnelles.  

  • Sur la partie sécurité  :

- La charte informatique et politiques internes de sécurité  ;

- Le contrôle d'’accès des utilisateurs  ;

- Les mesures de traçabilité  ;

- Les mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)  ;

- La sauvegarde des données  ;

- Le chiffrement des données.

Les recommandations de la CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) a été créée par la loi Informatique et Libertés le 6 janvier 1978. Elle permet d’encadrer la collecte et le traitement des données personnelles des citoyens européens. Elle veille notamment à la bonne application de la RGPD au sein de toutes les organisations concernées.

Dans l’univers numérique, la CNIL est le régulateur des données personnelles et a quatre missions :

1/ Informer et protéger les droits

2/ Accompagner la conformité et conseiller

3/ Anticiper et innover

4/ Contrôler et sanctionner

Les recommandations de la CNIL sont précisées dans le texte suivant  : Délibération n° 2019-053 du 25 avril 2019 portant adoption d'’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Il s’agit d’identifier le niveau de risque lié à la mise en place du vote électronique : niveau 1, 2 ou 3. En fonction du niveau de risque, plusieurs niveaux de recommandations peuvent s’appliquer  :

Ces recommandations de sécurité s’appliquent lors de la mise en place du vote électronique pour les élections professionnelles avec une urne cryptographique scellée par un bureau de vote (cf l’offre de Nüag pour les élections de CSE).  

L’assemblée générale suit un processus métier différent de celui des élections professionnelles, même si les enjeux de sécurité restent incontournables. Dans le cadre d’une assemblée générale, la problématique porte davantage sur la question de la traçabilité et l’authenticité des actions juridiques  (gestion des mandats, de l’émargement, des pondérations de votes, des méthodes collégiales…).  

C’est la raison pour laquelle, Nüag va activer tous les niveaux de sécurité requis par la CNIL et l’ANSSI (agence nationale de sécurité des systèmes d’information) qui sont compatibles avec le processus métier d’une assemblée générale, tout au long du processus de préparation et de tenue de la séance.

Nüag applique notamment les recommandations suivantes :

  • Protocoles et algorithmes publics de chiffrement réputés « forts » ;
  • Authentification renforcée pour assurer qu’il n’y ait pas d’usurpation d’identification ;
  • Haute disponibilité de la solution ;
  • Mesures de sécurité recommandées par l’ANSSI ;
  • Délivrance d’un récépissé.

Afin de garantir la traçabilité de l’information, nécessaire dans le cadre des assemblées générales, les authentifications, les pouvoirs et les votes doivent être enregistrés (traçabilité sur le calcul du quorum et le décompte des résultats). L’urne cryptographique nécessaire dans le cadre d’une élection professionnelle ne permet pas de garantir ce prérequis (il y a une différence entre "vote anonyme » et « vote confidentiel »).  

La réglementation applicable aux enjeux de l’assemblée générale est celle des « services de confiance » avec la mise en place d’une signature électronique avancée au sens de l’article 26 du règlement européen eIDAS.

Tout au long du processus de préparation et de tenue de l’assemblée générale (convocations, gestion des pouvoirs, relances, confirmation de présence, émargement, votes...) les actions juridiques doivent satisfaire à ces exigences :

  • Être liée au signataire de manière univoque ;
  • Permettre d’identifier le signataire ;  
  • Avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ;
  • Être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.  

La problématique de la traçabilité reste un enjeu de démocratie actionnariale fondamental compte tenu des conséquences d’éventuelles erreurs.  Par exemple, entre avril et mai 2018, 1/3 des sociétés du SBF 120 (dont 12 groupes du CAC 40) ont publié des résultats de votes erronés faute de pouvoir réconcilier correctement les informations sur l’ensemble du processus juridique.

Les Principes du règlement eIDAS

Le règlement eIDAS énonce les règles de reconnaissance mutuelle des moyens d'identification électronique entre les États membres de l'Union européenne.  

Le règlement eIDAS s'applique à l'identification électronique, aux services de confiance et aux documents électroniques, et son objectif est de créer une structure d'interopérabilité entre les différents systèmes mis en place au sein des États membres. Cette mesure permet de favoriser le développement d'un marché de la confiance numérique.

Ainsi, lorsqu'un citoyen ou une entreprise utilise un moyen d'identification électronique émis dans un État membre pour accéder à un service public ou privé dans un autre État membre, ce dernier doit accepter ce moyen d'identification comme étant équivalent à ses propres moyens d'identification. Cela vise à faciliter les échanges électroniques entre les États membres de l'UE, en garantissant un haut niveau de sécurité et de confiance dans les transactions électroniques transfrontalières.

Dans le cadre d’une Assemblé Générale en ligne, votre prestataire de vote électronique doit s’assurer de respecter les exigences du règlement eIDAS.

Le code du commerce

Le Code de commerce est un corps de lois qui régit l'ensemble des règles applicables aux actes de commerce en France. Il contient des dispositions sur la création, la gestion des entreprises, les contrats commerciaux, les sociétés commerciales, le droit de la concurrence et la propriété intellectuelle, entre autres sujets. Il est donc la référence juridique pour les entreprises.  

Nous passons en revue les principales règles qui s’appliquent pour les sociétés non cotées sur les différentes étapes du processus de préparation et de tenue des assemblées générales :  

1. La convocation

La convocation doit préciser si l’assemblée générale se tiendra de manière dématérialisée avec une participation par visioconférence ou autre moyen de télécommunication.  

La convocation peut être envoyée par mail (si le votant a donné son consentement) ou par envoi postal.  

Voici la procédure qui est généralement mise en place :

  • Lorsqu’il s’agit d’un mail : Chaque participant reçoit un email nominatif intégrant un lien unique. Quand le participant clique le bouton de redirection, il est redirigé vers un espace d’identification et de vérification d’email (avec création d’un mot de passe). Le participant confirme son identité (déclaratif) ce qui génère une attestation de connexion qui est envoyée sur l’adresse email liée à la convocation.
  • Lorsque la convocation est envoyée en papier : Chaque participant reçoit le lien d’accès à son espace d’identification. Pour confirmer son identité, il doit renseigner le code secret qui lui a été fourni dans sa convocation papier.

Il est également possible d’aller plus loin dans l’identification avec un code envoyé par SMS selon les niveaux de risque identifiés dans la procédure d’évaluation CNIL.

2. Le vote par correspondance

L’article R225-61 du Code de commerce prévoit que les « sociétés dont les statuts permettent aux actionnaires de voter aux assemblées par des moyens électroniques de télécommunication aménagent un site exclusivement consacré à ces fins ».

Le vote à distance comporte également une signature électronique résultant « d'un procédé fiable d'identification de l'actionnaire, garantissant son lien avec le formulaire de vote à distance auquel elle s'attache ».  

Les votes doivent rester confidentiels, c’est-à-dire que l’expression du vote est secrète même pour les organisateurs. Il est possible de savoir « qui a voté quand » mais pas « qui a voté quoi ».

3. La dématérialisation de l'assemblée générale

Si les statuts le prévoient, la participation à l’assemblée générale est autorisée par visioconférence ou par des moyens de télécommunication permettant leur identification1.  

Pour garantir l’identification dans le cas d’une visio-conférence, il faut que les moyens mis en œuvre transmettent « au moins la voix des participants et satisfont à des caractéristiques techniques permettant la retransmission continue et simultanée des délibérations »2. Ces conditions minimums sont réalisables dès lors que l’actionnaire dispose d’un écran (smartphone, tablette, PC…).  

Quel que soit le format de séance (présentiel, distanciel hybride), il sera nécessaire d’établir une feuille de présence avec comptage des connexions et identifications des actionnaires.  

La pondération des votes et les pouvoirs doivent également être prises en comptes pour avoir un affichage du quorum en direct et garantir le décompte des votes.  

La traçabilité des pouvoirs et de leur acception doit donc être garantie par le système informatique mis en place dans la mesure où le mandataire qui se connecte vote également pour le mandant qu’il représente.  

Toutes ces conditions sont remplies dès lors que l’identification a pu être réalisée par le service de confiance au sens du règlement eIDAS tel qu’explicité sous II A 2).

4. Après l’assemblée générale : le procès-verbal

Le procès-verbal et les registres peuvent être signés et tenus sous forme électronique3.

Une feuille d’émargement électronique avec les preuves de vote électronique devra être annexée au procès-verbal. Les éléments de preuves à joindre sont les suivants :

  • L’identification des utilisateurs ;
  • La dates et l’heure des votes électronique ;
  • L’enregistrement cryptographique lié à l’événement.

Le procès-verbal et les éléments preuves doivent normalement être conservé toute la période de conservation légale (au moins 3 ans).

Les modalités de conservation dépendent du statut juridique : association ou entreprise.  

Conclusion : Voilà, vous avez maintenant toutes les cartes en mains pour franchir le cap et organiser votre première Assemblée Générale ou Comité avec du vote électronique. Si vous avez encore des doutes, vous pouvez encore réaliser ce test en ligne gratuit pour savoir quel niveau de sécurité votre vote électronique doit respecter.

1 Article L225-107 du Code de commerce « (…) II. Si les statuts le prévoient, sont réputés présents pour le calcul du quorum et de la majorité les actionnaires qui participent à l'assemblée par visioconférence ou par des moyens de télécommunication permettant leur identification et dont la nature et les conditions d'application sont déterminées par décret en Conseil d'Etat. » et article R225-98 du Code de commerce « Les actionnaires exerçant leurs droits de vote en séance par voie électronique dans les conditions de l'article R. 225-61 ne peuvent accéder au site consacré à cet effet qu'après s'être identifiés au moyen d'un code fourni préalablement à la séance. »

2 Article R225-97 du Code de commerce.

portrait client

Nos articles similaires

Article
AG en ligne : c’est quoi le vote en direct ?
temps de lecture
5 min
Article
Votre rétroplanning CSE en 2 minutes
temps de lecture
2
Article
Comment dématérialiser un PV d'AG ?
temps de lecture
5 min

Catégories

Élections CSE
fleche
Législation
fleche
AG & autres comités
fleche
Presse
fleche

Tags

Fédérations sportives
Parti politique
Syndicats
Mutuelles
Scop
Scic
Coopératives
Associations
Fédérations
CSE
Distanciel
Hybride
Présentiel
Gouvernance
Conformité
Sécurité
Support
Procès verbal d'AG
Paramétrage
Secrétariat général
Collèges
Convocations
Panachage
Vote en ligne
Visioconférence
Signature électronique
PV électronique
Quitus
Pouvoirs
Quorum
Blockchain
Vote électronique