Niveau de sécurité CNIL pour le vote électronique : le guide 2026
Le niveau de sécurité CNIL pour le vote électronique n’est ni une note fixe, ni un label de certification. Il s’agit du résultat d’une analyse de risques qui classe votre scrutin dans l’un des trois niveaux (1, 2 ou 3) et définit les objectifs de sécurité que votre solution de vote doit atteindre.
La CNIL ne fixe pas un seuil unique : elle adapte l’exigence à la sensibilité réelle du scrutin. Cette approche, introduite en 2019, a été actualisée par la recommandation du 19 mars 2026 (publiée le 24 avril 2026).
En résumé :
- Il n’existe pas de « certification CNIL » unique pour une solution de vote.
- Trois niveaux de risque : 1 (faible), 2 (modéré), 3 (significatif).
- Le niveau est déterminé par un questionnaire d’auto-évaluation par points.
- Plus le niveau est élevé, plus les exigences techniques, organisationnelles et d’expertise sont fortes.
- La base juridique contraignante reste l’article 32 du RGPD (sécurité du traitement).
Qu’est-ce que le « niveau de sécurité CNIL » ?
La CNIL ne délivre aucune certification. Elle publie une recommandation qui sert de référentiel pour évaluer la conformité des systèmes de vote par correspondance électronique (SVE).
Cette recommandation, élaborée en collaboration avec l’ANSSI, définit des objectifs de sécurité adaptés au niveau de risque du scrutin. Le même outil de vote peut être suffisant pour un scrutin de niveau 1 et insuffisant pour un scrutin de niveau 3.
Le responsable de traitement (l’organisateur du scrutin) est le décideur final. Il doit qualifier le risque, choisir les mesures appropriées et pouvoir le démontrer.
Comment déterminer le niveau de risque de votre scrutin ?
La CNIL propose une grille d’auto-évaluation simple par points.
Exigences de sécurité selon le niveau
Points communs à tous les niveaux :
- Secret du vote (impossibilité de relier un électeur à son choix)
- Intégrité des suffrages
- Authentification des électeurs
- Vérifiabilité du dépouillement
- Conservation sécurisée des données
Garanties techniques et expertise indépendante
La version 2026 renforce particulièrement :
- La transparence (publication du code source du client de vote pour le niveau 3)
- L’expertise indépendante obligatoire avant la première utilisation et recommandée à chaque scrutin de niveau 3
- La vérifiabilité individuelle et collective du vote
Comment choisir une solution conforme ?
Demandez à votre prestataire :
- À quels niveaux de risque sa solution répond-elle ?
- Peut-il fournir un rapport d’expertise indépendante récent ?
- Comment garantit-il le scellement, le chiffrement et le secret du vote ?
- Accepte-t-il d’intégrer ces engagements dans le contrat de sous-traitance ?
Voteer est conçu pour accompagner les organisateurs sur les trois niveaux, avec les preuves documentées nécessaires.
.avif)






