LEXIQUE · PLATEFORME DE VOTE EN LIGNE

Plateforme de vote en ligne : composants, critères, comparatif 2026.

Une plateforme de vote en ligne est un logiciel spécialisé qui permet à une organisation de créer, sécuriser, exécuter et archiver un scrutin sans recourir au papier. Elle se distingue d'un simple outil de sondage par huit composants techniques attendus : authentification forte, urne chiffrée, mix-net ou chiffrement homomorphe, dépouillement vérifiable, journal d'audit immuable, signature eIDAS du procès-verbal, archivage long, accessibilité PMR. Cette page expose ces composants, les régimes de conformité applicables en France en 2026, les critères d'évaluation d'un prestataire, le comparatif structurel des catégories de solutions du marché, et le positionnement de Sephos comme plateforme française spécialisée sur le vote d'organisation.

Définition synthétique

Une plateforme de vote n'est pas un sondage hébergé.

Une plateforme de vote en ligne est un système logiciel dédié à l'organisation de scrutins d'organisation : élections du comité social et économique, assemblées générales d'association, de copropriété ou de fédération, votes de conseil d'administration, consultations statutaires d'un ordre professionnel. Sa particularité, par rapport à un formulaire en ligne ou à un outil de sondage généraliste, tient à ce qu'elle doit produire des décisions opposables — c'est-à-dire des résultats que ni un participant débouté, ni un juge, ni un commissaire aux comptes ne pourra invalider. Cela impose une architecture spécifique : l'identité des votants doit être prouvée sans pour autant que leur bulletin soit re-rattachable à leur identité, le contenu des bulletins doit être chiffré dès l'émission, le décompte doit être vérifiable sans révéler le contenu individuel, le journal d'audit doit être horodaté avec une preuve eIDAS qualifiée et conservé suffisamment longtemps pour couvrir le délai de prescription applicable. Un outil de sondage généraliste — qu'il soit gratuit ou payant — n'offre aucun de ces composants : il stocke des réponses identifiées en clair sur un serveur généralement hors Union européenne, n'horodate rien d'opposable et n'archive pas. Cette page de lexique détaille les huit composants techniques attendus, les régimes juridiques applicables en France, les six critères d'évaluation d'une plateforme en 2026, le comparatif structurel entre les catégories de solutions du marché et la grille tarifaire indicative à laquelle s'attendre selon la taille de l'organisation. Sephos est positionné comme plateforme française spécialisée sur le vote d'organisation, hébergée en France, alignée sur le niveau 2 de la délibération CNIL n° 2019-053 et capable de monter au niveau 3 pour les scrutins à enjeu élevé.

8
Composants techniques attendus d'une plateforme moderne
3
Niveaux de sécurité de la délibération CNIL n° 2019-053
2026
Conformité RGPD, eIDAS, RGS, accessibilité WCAG AA
France
Hébergement souverain sous juridiction française
Composants techniques

Les huit briques d'une plateforme moderne.

Avant d'évaluer un prestataire sur son ergonomie ou son prix, vérifiez la présence et l'implémentation de ces huit briques. L'absence de l'une d'entre elles disqualifie la solution pour un scrutin opposable.

Authentification forte
Lien unique signé envoyé par email ou SMS, complété d'un second facteur (code à usage unique, mot de passe personnel, ou SSO d'entreprise via SAML 2.0 ou OpenID Connect). Permet de prouver l'identité du votant sans stocker de mot de passe en clair.
Urne chiffrée
Stockage des bulletins sous forme chiffrée dès l'émission, depuis le navigateur du votant (chiffrement côté client) et jusqu'à la cérémonie de dépouillement. Aucune partie — ni l'éditeur, ni l'organisateur·rice, ni l'administrateur système — ne peut lire un bulletin en cours de scrutin.
Mix-net ou chiffrement homomorphe
Mécanisme cryptographique qui rompt le lien entre l'identité du votant et le contenu de son bulletin avant dépouillement. Le mix-net brasse les bulletins par permutations successives ; le chiffrement homomorphe additionne directement les bulletins chiffrés sans les déchiffrer individuellement.
Dépouillement vérifiable
Cérémonie collégiale exécutée par plusieurs membres du bureau de vote détenant chacun un fragment de la clé privée (partage de Shamir). Le décompte produit une preuve cryptographique reproductible : un observateur indépendant peut la vérifier sans rejouer le scrutin.
Journal d'audit immuable
Trace horodatée et chaînée de toutes les opérations (création du scrutin, ouverture, émission de chaque bulletin, clôture, dépouillement, signature du procès-verbal). Le journal est signé eIDAS et toute modification a posteriori est détectable.
Signature eIDAS qualifiée du procès-verbal
Apposition d'une signature électronique qualifiée — niveau le plus élevé du règlement européen eIDAS — sur le procès-verbal généré. Équivalente à une signature manuscrite devant un tribunal et opposable sans discussion.
Archivage long
Conservation du PV signé, du journal d'audit et des preuves cryptographiques pendant une durée couvrant le délai de prescription applicable (typiquement 5 à 10 ans). Format ouvert (PDF/A, CSV, JSON) exportable et lisible indépendamment de la plateforme.
Accessibilité PMR — WCAG 2.1 niveau AA
Interface de vote conforme aux Web Content Accessibility Guidelines : navigation clavier, lecteur d'écran, contraste suffisant, alternatives textuelles, taille de police ajustable. Obligation légale pour les organisations publiques et bonne pratique attendue dans le privé.
Comparatif des catégories

Plateforme spécialisée, outil généraliste, formulaire gratuit.

Critère
Sephos
Outils non spécialisés
Authentification des votants
Lien unique signé + second facteur (OTP, SSO SAML/OIDC). L'identité est prouvée sans qu'un mot de passe transite ou ne soit stocké en clair.
Un formulaire en ligne gratuit (type Google Forms) accepte n'importe quel répondant ayant l'URL et ne sait pas distinguer un votant inscrit d'un inconnu. Une plateforme généraliste de sondage permet au mieux une authentification email simple, sans second facteur obligatoire.
Chiffrement des bulletins
Chiffrement côté navigateur dès l'émission, urne opaque jusqu'au dépouillement collégial. L'éditeur ne peut pas lire un bulletin en cours de scrutin, même avec un accès administrateur.
Les réponses des formulaires en ligne gratuits sont stockées en clair sur les serveurs de l'éditeur, généralement hors Union européenne. L'éditeur a un accès technique aux données. Aucune séparation cryptographique entre identité et contenu.
Anonymat du votant
Lien entre votant et bulletin rompu par mix-net ou chiffrement homomorphe avant dépouillement. Le résultat agrégé est calculable sans révéler aucun bulletin individuel.
Chaque réponse d'un formulaire en ligne reste associée à son émetteur (adresse email, identifiant de session, adresse IP) dans la base de l'éditeur. L'anonymat annoncé est une convention d'affichage, pas une propriété cryptographique.
Horodatage et signature eIDAS
Procès-verbal et journal d'audit signés eIDAS qualifié, opposables devant un tribunal sans nécessité de prouver l'identité du signataire.
Pas d'horodatage qualifié. Pas de signature eIDAS. La trace produite par un formulaire généraliste a une valeur probante très limitée et peut être contestée par un participant débouté.
Hébergement et juridiction
Hébergement en France chez un opérateur sous juridiction française (OVHcloud). Aucun transfert hors UE. Pas d'exposition au Cloud Act américain.
Les formulaires gratuits et la plupart des plateformes généralistes hébergent les données sur des infrastructures américaines, sous juridiction du Cloud Act. Un transfert hors UE non encadré est constitutif d'un manquement RGPD.
Conformité CNIL délibération 2019-053
Aligné nativement sur le niveau 2 de la délibération, avec montée en niveau 3 sur option pour les scrutins à enjeu élevé (CSE de grandes entreprises, ordres professionnels).
Aucun formulaire en ligne gratuit n'est aligné sur la délibération CNIL 2019-053. Les plateformes généralistes non spécialisées n'en relèvent généralement pas et ne publient pas d'analyse de conformité.
Archivage et exportabilité
Conservation 10 ans en standard, exports PDF/A, CSV, JSON au format documenté, lisibles indépendamment de la plateforme. Pas de verrouillage éditeur.
Les formulaires gratuits ne garantissent pas la rétention au-delà de la durée de vie du compte. Les exports sont limités à un format propriétaire ou à un CSV pauvre, sans preuves cryptographiques exportées.
La méthode Sephos

Cinq étapes pour choisir une plateforme de vote en 2026.

Choisir une plateforme de vote en ligne n'est pas un achat logiciel ordinaire. Le critère de décision n'est pas l'ergonomie ressentie pendant une démo de quinze minutes, mais la solidité de la chaîne probatoire produite. Voici la séquence que Sephos recommande à toute organisation envisageant un premier déploiement.

1
Auditer vos besoins
Inventoriez les types de scrutins à organiser sur douze mois (CSE, AG annuelle, consultations ponctuelles), le volume de votants par scrutin, les régimes juridiques applicables, les contraintes d'accessibilité et le budget cible. Une plateforme calibrée pour 50 votants n'est pas la même que celle pour 50 000.
2
Conduire une due diligence sécurité
Demandez au prestataire son analyse d'alignement sur la délibération CNIL n° 2019-053, son hébergement précis, la documentation de son protocole cryptographique, ses certifications (ISO 27001, SecNumCloud, HDS si santé) et le rapport du dernier audit de sécurité indépendant.
3
Demander une démonstration commentée
Une démonstration utile dure quarante-cinq minutes minimum et couvre la création d'un scrutin, l'invitation des votants, le vote depuis un mobile, la cérémonie de dépouillement, la génération du procès-verbal signé eIDAS et l'export d'audit. Une démonstration de quinze minutes ne montre rien d'utile.
4
Conduire un scrutin pilote
Avant d'engager un scrutin officiel, exécutez un pilote à enjeu réduit : élection d'un comité interne, consultation d'équipe, vote test à blanc. Validez en conditions réelles le parcours votant, le support client, la qualité du PV produit et la lisibilité de l'audit trail.
5
Déployer et industrialiser
Une fois le pilote validé, contractualisez sur un engagement annuel et industrialisez : modèles de scrutins préconfigurés, intégration SSO, automatisation des imports de listes électorales depuis votre annuaire, calendrier annuel des scrutins. Le coût marginal d'un scrutin supplémentaire doit tendre vers zéro.
Cinq contextes d'usage

Une plateforme, plusieurs régimes juridiques.

Une plateforme de vote en ligne ne sert pas qu'à une seule catégorie d'organisation. Sephos opère cinq régimes principaux, chacun avec ses obligations propres.

Rôle 1
Élections du CSE
Comités sociaux et économiques en entreprise (11 salariés et plus)

Encadrées par les articles L2314-26 et suivants du Code du travail. Vote secret obligatoire, double scrutin (titulaires et suppléants), répartition à la plus forte moyenne, PV Cerfa transmis à la DREETS. Voir /vote-electronique-cse pour le détail.

Rôle 2
AG de copropriété
Copropriétés régies par la loi du 10 juillet 1965 — syndics professionnels et bénévoles

Vote par correspondance dématérialisé autorisé depuis l'ordonnance 2019-1101 et le décret 2019-1333. Décompte des tantièmes (et non des voix), majorités spécifiques (articles 24, 25, 26). Voir /vote-ag-copropriete pour les modalités.

Rôle 3
AG d'association
Associations loi 1901, fédérations sportives, fédérations professionnelles

Régies par les statuts et le règlement intérieur. Résolutions consignées au procès-verbal d'assemblée. Quorum statutaire à vérifier en temps réel pendant le scrutin pour validité juridique.

Rôle 4
Fédération et union nationale
Structures à plusieurs milliers d'adhérents répartis sur le territoire

Volumétrie élevée (5 000 à 200 000 votants), nécessité d'un SSO ou d'un import annuaire fédéral, scrutins fréquents (commissions, congrès, motions). Souvent alignement niveau 3 CNIL recommandé.

Rôle 5
Ordre professionnel
Ordre des médecins, des avocats, des architectes, des experts-comptables, des notaires

Délégations régionales et nationales, scrutins statutaires à enjeu élevé, exigence de niveau 3 CNIL, audit obligatoire par un tiers indépendant. Plateforme française spécialisée fortement recommandée.

Checklist d'évaluation

Douze critères pour évaluer une plateforme en 2026.

La liste de contrôle que les directions des ressources humaines, les syndics et les dirigeants associatifs nous transmettent pour leurs appels d'offres. Une plateforme qui coche moins de dix de ces douze points ne devrait pas être retenue pour un scrutin opposable.

  • Hébergement souverain : données stockées en France ou en Union européenne chez un opérateur sous juridiction européenne, sans exposition au Cloud Act américain.
  • Alignement CNIL niveau 2 minimum : plateforme conforme au minimum au niveau 2 de la délibération n° 2019-053, montée en niveau 3 possible sur option.
  • Chiffrement de bout en bout : bulletins chiffrés sur le navigateur du votant, urne opaque, déchiffrement collégial à la clôture du scrutin.
  • Signature eIDAS qualifiée : procès-verbal signé électroniquement au niveau qualifié, opposable devant un tribunal sans contestation possible.
  • Authentification forte : second facteur obligatoire (OTP, SSO SAML 2.0 ou OpenID Connect), pas seulement un lien email.
  • Accessibilité WCAG 2.1 AA : interface de vote utilisable au clavier, par lecteur d'écran, avec contrastes suffisants et tailles de police ajustables.
  • Audit indépendant publié : rapport d'audit de sécurité par un tiers (PASSI ou équivalent) accessible sur demande, datant de moins de dix-huit mois.
  • Support francophone joignable : assistance en français, joignable pendant les heures ouvrées, avec un engagement contractuel de temps de réponse.
  • Exportabilité totale : exports PDF/A, CSV et JSON documentés, permettant de quitter la plateforme avec l'intégralité des preuves vérifiables.
  • Tarification transparente : grille publique sans devis caché, prix par scrutin ou abonnement annuel, sans facturation à l'usage opaque.
  • Archivage 10 ans inclus : conservation du PV signé et du journal d'audit pendant dix ans incluse au tarif, pas en option payante.
  • Référentiel client français : références publiques d'organisations comparables à la vôtre (CSE, syndic, fédération) déjà déployées chez l'éditeur.
Sécurité par construction

Six exigences que vous ne pouvez pas négocier.

Une plateforme de vote en ligne se distingue d'un sondage par ce que vous ne voyez pas — ce que vous ne pouvez pas voir. Six exigences sont non-négociables en 2026 si vous voulez que vos scrutins soient opposables.

Chiffrement de bout en bout
AES-256 côté navigateur, urne opaque jusqu'à la cérémonie de dépouillement
Horodatage eIDAS qualifié
Autorité tierce accréditée, opposable devant un tribunal
Hébergement souverain France
OVHcloud, données jamais hors UE, hors Cloud Act
Audit a posteriori
Journal immuable signé, rejeu du dépouillement vérifiable
Accessibilité WCAG AA
Navigation clavier, lecteur d'écran, contrastes conformes
Conformité RGPD totale
DPA annexé au contrat, DPO joignable sous 48 heures
Journal d'audit · scrutin #4218
Intégrité vérifiée
14:32:08
Scrutin clôturé · clé de dépouillement assemblée
Système
14:32:08
Signature du dépouillement validée
M. Brunet (huissier)
14:31:55
Cérémonie de déchiffrement collégial
4 / 5 membres
14:30:00
Fin de la fenêtre de vote
Système
14:28:12
Bulletin reçu · signé · horodaté
Votant #1284
14:27:50
Bulletin reçu · signé · horodaté
Votant #1283
14:27:45
Bulletin reçu · signé · horodaté
Votant #1282
sha-256 · b4a2f1d8e3c7…
Cadre réglementaire

Tous les régimes applicables, par défaut.

Une plateforme de vote en ligne opérant en France doit satisfaire simultanément cinq régimes juridiques. L'absence d'alignement sur l'un d'entre eux fragilise tous les scrutins produits.

Délibération CNIL n° 2019-053 (avril 2019)

Recommandation actualisée de la CNIL sur les systèmes de vote électronique. Définit trois niveaux de sécurité — niveau 1 pour les scrutins à enjeu faible, niveau 2 pour les scrutins ordinaires (CSE, AG d'association), niveau 3 pour les scrutins à enjeu élevé (CSE de grande entreprise, ordres professionnels). Sephos est aligné niveau 2 par défaut, niveau 3 sur option.

Référentiel général de sécurité (RGS) — ANSSI

Standard interministériel applicable aux systèmes d'information traitant de données sensibles. Définit les exigences cryptographiques (taille de clé, algorithmes acceptés), les règles de gestion des accès et les modalités d'audit. Sephos applique le RGS niveau 2 sur l'ensemble de son architecture.

Règlement général sur la protection des données (RGPD)

Cadre européen sur les données personnelles. Sephos est responsable de traitement pour les données techniques (logs, navigation) et sous-traitant pour les listes de votants confiées par l'organisation. Un DPA (Data Processing Agreement) est annexé au contrat. Le DPO est joignable sous 48 heures.

Règlement eIDAS (UE) n° 910/2014

Règlement européen sur l'identification électronique et les services de confiance. Sephos délivre une signature électronique qualifiée sur les procès-verbaux — niveau le plus élevé du règlement, opposable comme une signature manuscrite — et une signature avancée sur chaque bulletin et chaque entrée d'audit.

Hébergement HDS (santé) — si applicable

Pour les organisations traitant des données de santé (ordres médicaux, mutuelles, établissements de santé), l'hébergement doit être agréé Hébergeur de Données de Santé. Sephos propose une option HDS sur ses paliers supérieurs, avec hébergement chez un opérateur agréé français.

Les frictions reconnues

Six douleurs typiques avant de choisir une plateforme.

Voici les six points de friction que les directions des ressources humaines, les syndics et les dirigeants associatifs nous décrivent à chaque audit préalable. Une plateforme spécialisée moderne neutralise les six.

Choix du prestataire opaque

Le marché est fragmenté entre plateformes françaises spécialisées, plateformes généralistes et outils de sondage. Les acheteurs peinent à différencier les offres sur des critères objectifs et finissent par arbitrer au prix affiché, qui n'est jamais le coût réel.

Coût mal estimé

Les grilles tarifaires opaques (« à partir de… », facturation au votant non plafonnée, modules de PV vendus en option, archivage à part) rendent la comparaison impossible. Le budget annoncé en début de projet dérape souvent de 30 à 60 % à la facturation.

Intégration SI laborieuse

Sans SSO et sans connexion à l'annuaire interne, chaque scrutin impose un import CSV manuel des votants et une réconciliation a posteriori. Le coût d'organisation est consommé par les opérations techniques plutôt que par le pilotage du scrutin.

Formation des organisateurs

Les plateformes anciennes imposent plusieurs jours de formation à l'organisateur·rice avant le premier scrutin. Pour une structure n'organisant que deux ou trois scrutins par an, l'investissement de formation est mal amorti et la compétence s'érode entre deux usages.

Support inaccessible

Le jour du scrutin, un support qui répond en 48 heures ne sert à rien : l'incident technique a déjà fait annuler la séance. Les plateformes étrangères fournissent un support en anglais aux horaires américains, sans engagement contractuel sur la francophonie.

Archivage non-conforme

Beaucoup de plateformes archivent en format propriétaire ou suppriment les données au bout d'un an. En cas de contestation après quatre ans (durée d'un mandat CSE), l'organisation se retrouve sans preuve recevable et sans recours possible auprès de l'éditeur.

Risques évités

Ce que Sephos vous évite.

Les cinq motifs récurrents de contestation et d'invalidation que nous voyons remonter dans les audits internes d'organisations — et la manière dont une plateforme française spécialisée les neutralise par construction.

Prestataire non souverain

Une plateforme dont l'éditeur ou l'hébergeur est soumis au Cloud Act ou à une juridiction extra-européenne expose vos données de votants à des injonctions étrangères et constitue un manquement RGPD documentable.

Hébergement hors UE

Un transfert de données personnelles hors UE non encadré par des garanties appropriées (clauses contractuelles types, décision d'adéquation) est sanctionnable par la CNIL. Plusieurs plateformes généralistes hébergent par défaut aux États-Unis.

Niveau CNIL insuffisant

Une plateforme positionnée en niveau 1 pour un scrutin qui en réalité relève du niveau 2 ou du niveau 3 produit des résultats que la CNIL peut juger non conformes. Le scrutin est alors invalidable a posteriori sur ce seul motif.

Audit indisponible

Une plateforme qui ne produit pas de journal d'audit exportable, ou qui ne signe pas son audit électroniquement, laisse l'organisation sans preuve recevable en cas de contestation. La charge de la preuve devient inversée.

Archivage non-conforme

Une rétention insuffisante (moins de cinq ans), un format propriétaire non documenté ou la disparition de l'éditeur emportent avec eux l'historique des scrutins. L'organisation perd toute capacité à se défendre sur des décisions passées.

Cas client (anonymisé)

Un cabinet de syndic gérant 1 200 lots en région.

Profil
Cabinet de syndic professionnel implanté en région, trente-huit copropriétés en gestion, mille deux cents lots principaux cumulés, six gestionnaires et deux comptables. Volume d'assemblées : trente-huit AG ordinaires annuelles et une douzaine d'AG extraordinaires en moyenne. [FACT À CONFIRMER : nom du cabinet, région et chiffres définitifs à valider avant publication.]
Contexte
Avant Sephos, le cabinet utilisait un formulaire en ligne généraliste pour les votes par correspondance. L'audit préalable d'un commissaire aux comptes mandaté par un copropriétaire débouté a conclu que la preuve produite ne permettait pas d'établir l'identité du votant ni l'intégrité du bulletin. Le cabinet a dû reconvoquer trois AG sur exercice et a engagé un comparatif de quatre plateformes du marché.
Résultat
Choix de Sephos après pilote sur deux AG de copropriétés moyennes. Suppression intégrale du formulaire généraliste. Procès-verbaux signés eIDAS qualifié, archivage dix ans inclus. Aucune contestation reçue depuis le déploiement. Coût annuel stabilisé, réduction du temps de préparation d'AG de [FACT À CONFIRMER : %] heures par scrutin.

Le déclic, raconte le gérant du cabinet, n'est pas venu d'une envie de modernisation mais d'une menace juridique. Quand un copropriétaire conteste une résolution et que le syndic ne peut produire ni horodatage opposable, ni preuve cryptographique d'intégrité, le rapport de force s'inverse. Une plateforme française spécialisée résout ce problème de façon binaire : soit la preuve existe et est signée eIDAS, soit elle n'existe pas. Le cabinet a choisi Sephos après avoir constaté que c'était la seule des quatre solutions évaluées à fournir un PV signé qualifié dès le premier scrutin pilote, sans option payante supplémentaire.

Objections fréquentes

Quatre objections, quatre réponses directes.

Les quatre arguments que nos interlocuteurs nous opposent le plus souvent en début de cycle de vente, et la position que Sephos défend.

« Un formulaire gratuit suffit pour nos votes. »

Un formulaire en ligne généraliste ne distingue pas un votant inscrit d'un inconnu, stocke les réponses en clair sur des serveurs hors UE, ne sépare jamais l'identité du contenu, ne produit aucune signature eIDAS et n'archive rien d'opposable. Pour un sondage informel d'équipe, c'est suffisant. Pour un scrutin dont le résultat peut être contesté, c'est inopposable.

Lire la définition du vote électronique

« Toutes les plateformes se ressemblent. »

Sur l'écran de vote, peut-être. Sur l'architecture, non. Trois critères dessinent immédiatement deux marchés : la juridiction de l'hébergeur (français, européen, américain), le niveau d'alignement CNIL (non documenté, niveau 1, niveau 2, niveau 3) et la nature de la signature du PV (aucune, simple, avancée, qualifiée). Demandez ces trois éléments par écrit lors de chaque consultation.

Voir l'urne électronique

« Le prix par votant est trop élevé. »

Le prix par votant facial est une mesure trompeuse. Le coût réel à comparer inclut l'archivage (souvent en option), le PV signé (souvent en option), le support francophone, l'intégration SSO et le temps d'organisateur·rice consommé par chaque scrutin. Une plateforme spécialisée bien intégrée coûte généralement moins cher en charge totale qu'un outil généraliste à prix d'appel faible.

Voir la grille tarifaire

« Nous risquons d'être verrouillés par l'éditeur. »

Cette objection est légitime mais s'évalue avant la signature. Exigez par contrat l'exportabilité totale (PDF/A, CSV, JSON), la documentation publique du format d'export, la conservation des preuves cryptographiques indépendamment de la plateforme et la portabilité du journal d'audit. Sephos fournit ces engagements en standard, sans option.

Voir l'horodatage eIDAS
Pourquoi Sephos

Six raisons de choisir Sephos en 2026.

Sephos n'est pas la seule plateforme française. C'est celle qui cumule alignement CNIL niveau 3 disponible, hébergement souverain France, expertise simultanée CSE et AG, signature eIDAS qualifiée incluse, accompagnement francophone et tarification transparente sans option cachée.

Alignement CNIL jusqu'au niveau 3

Sephos opère nativement au niveau 2 de la délibération n° 2019-053 et bascule en niveau 3 sur option pour les scrutins à enjeu élevé (CSE de grandes entreprises, ordres professionnels, fédérations nationales).

Hébergement France chez OVHcloud

Données stockées en France métropolitaine, sous juridiction française exclusive. Pas d'exposition au Cloud Act. Option HDS disponible pour les organisations santé.

Expertise CSE et AG

Modules préconfigurés pour les élections du CSE (double scrutin, plus forte moyenne, PV Cerfa), les AG de copropriété (tantièmes, articles 24-25-26), les AG d'association et les fédérations multi-collèges.

Signature eIDAS qualifiée incluse

Procès-verbal signé électroniquement au niveau qualifié dès le premier scrutin, sans option payante. Autorité d'horodatage tierce et accréditée. Opposable devant un tribunal sans contestation possible.

Accompagnement francophone

Support en français joignable pendant les heures ouvrées, engagement contractuel de temps de réponse selon le palier, audit gratuit du prochain scrutin fourni aux organisations comparant Sephos à un concurrent.

Tarification transparente

Trois paliers publics, prix affichés, pas de devis caché en deçà de 5 000 votants. L'archivage dix ans, le PV signé qualifié et le journal d'audit sont inclus à tous les paliers. Aucune option facturée à part.

Inclus dès Trois paliers Sephos · Trois paliers — voir grille publique · Sephos propose trois paliers publics. Palier d'entrée pour les petites organisations (associations 50-500 adhérents, copropriétés 5-30 lots, CSE 11-50 salariés) : tarif unitaire par scrutin, archivage inclus [TARIF À CONFIRMER]. Palier intermédiaire pour les organisations à scrutins fréquents (CSE 50-300 salariés, syndics 30-100 lots, fédérations régionales) : abonnement annuel avec scrutins illimités [TARIF À CONFIRMER]. Palier supérieur pour les volumétries élevées (CSE 300+ salariés, ordres professionnels, fédérations nationales 5 000+ votants) : forfait annuel personnalisé, niveau 3 CNIL, option HDS, SSO inclus [TARIF À CONFIRMER]. Au delà de 5 000 votants par scrutin, devis sur mesure. Toutes les offres incluent l'hébergement France, le PV signé eIDAS qualifié, le journal d'audit signé et l'archivage dix ans.
Voir la grille tarifaire complète
Approfondissement

Plateforme de vote en ligne : tout ce qui compte pour décider.

Plateforme de vote en ligne vs sondage en ligne

La confusion entre plateforme de vote en ligne et outil de sondage généraliste est la première source de scrutins contestés. Un outil de sondage — qu'il s'appelle Google Forms, Microsoft Forms, Typeform ou tout autre — est conçu pour collecter des réponses libres à des questions qualitatives. Il n'a jamais été conçu pour produire des décisions opposables. La différence ne porte pas sur l'écran que voit le votant — qui peut paraître similaire — mais sur ce qui se passe en arrière-plan : le contrôle de l'identité, la séparation cryptographique entre identité et bulletin, la signature des preuves, l'archivage. Un sondage vous dit ce que pense un groupe à un instant donné. Une plateforme de vote vous donne un résultat juridiquement opposable, qu'un participant débouté ne pourra pas faire annuler.

Concrètement, le test à appliquer est le suivant : si votre outil ne peut pas répondre par l'affirmative à trois questions — l'identité du votant est-elle vérifiée par un second facteur ? le bulletin est-il chiffré dès l'émission ? le procès-verbal est-il signé eIDAS qualifié ? — alors vous tenez un outil de sondage, pas une plateforme de vote. C'est sans appel.

Les huit composants techniques d'une plateforme moderne

Une plateforme de vote en ligne digne de ce nom assemble huit briques techniques que vous devez savoir reconnaître. La première est l'authentification forte : le votant prouve son identité par un lien unique signé (typiquement par une signature HMAC sur l'identifiant et la date d'expiration), complété par un second facteur — code à usage unique reçu par SMS, mot de passe personnel, ou fédération d'identité via SAML 2.0 ou OpenID Connect.

La deuxième est l'urne chiffrée : les bulletins ne sont jamais stockés en clair, ni sur le serveur ni dans aucune sauvegarde. Le chiffrement intervient sur le navigateur du votant, avant tout envoi réseau, avec une clé publique propre au scrutin dont la clé privée est éclatée en fragments distribués selon l'algorithme de Shamir entre plusieurs membres du bureau de vote.

La troisième est le mécanisme de séparation entre identité et contenu : mix-net (brassage des bulletins par permutations successives chiffrées) ou chiffrement homomorphe (addition des bulletins chiffrés sans déchiffrement préalable). Cette propriété garantit qu'à aucun moment un opérateur ne peut associer un votant à son bulletin.

La quatrième est le dépouillement vérifiable : le décompte produit une preuve cryptographique reproductible. Un observateur externe peut vérifier le calcul sans rejouer le scrutin et sans accéder aux bulletins individuels. C'est ce qui rend la cérémonie collégiale opposable.

La cinquième est le journal d'audit immuable : toute opération sur la plateforme (création de scrutin, ouverture, émission de chaque bulletin, clôture, dépouillement, signature du PV) génère une entrée horodatée, chaînée à la précédente, signée. Toute modification a posteriori brise la chaîne et devient détectable.

La sixième est la signature eIDAS qualifiée du procès-verbal : niveau le plus élevé du règlement européen, équivalent en force probante à une signature manuscrite devant un juge. Voir la page horodatage eIDAS pour le détail technique.

La septième est l'archivage long : conservation du PV signé, du journal d'audit et des preuves cryptographiques pendant une durée couvrant le délai de prescription. Sephos retient dix ans par défaut, ce qui couvre les délais usuels sur les élections du CSE (durée du mandat plus prescription), les AG d'association et de copropriété.

La huitième est l'accessibilité PMR : conformité Web Content Accessibility Guidelines version 2.1 niveau AA. Navigation au clavier intégrale, compatibilité lecteur d'écran, contrastes suffisants, alternatives textuelles, taille de police ajustable. C'est une obligation légale pour les organisations publiques (loi du 11 février 2005) et une bonne pratique attendue dans le secteur privé.

Authentification — multi-facteurs et SSO

Le maillon faible classique des plateformes de vote en ligne est l'authentification. Un lien envoyé par email à une boîte de réception non sécurisée — c'est-à-dire la plupart des boîtes — équivaut à un mot de passe en clair. La règle de l'art en 2026 est d'imposer un second facteur. Sephos propose trois modalités : code OTP reçu par SMS au moment du vote, mot de passe personnel défini à la première connexion, ou SSO d'entreprise via SAML 2.0 ou OpenID Connect (Azure AD, Google Workspace, Okta, Keycloak). Pour les organisations à plus de deux cents votants, le SSO est généralement la modalité recommandée : il s'appuie sur l'authentification déjà déployée en interne, élimine la gestion d'un second facteur spécifique au scrutin et trace les accès dans l'annuaire central.

Urne chiffrée et mix-net

Le chiffrement bout-en-bout d'un bulletin signifie que la clé de chiffrement n'existe ni sur le serveur, ni dans le navigateur de l'organisateur·rice, ni chez Sephos. Elle est générée pour le scrutin, sa partie privée est immédiatement éclatée en fragments selon le schéma de Shamir, et chaque fragment est distribué à un membre du bureau de vote. Aucun déchiffrement n'est possible sans réunir un quorum de fragments — typiquement trois sur cinq, ou cinq sur sept. À la clôture du scrutin, une cérémonie collégiale réunit les membres : chacun présente son fragment, la clé privée est reconstituée le temps du calcul, et détruite immédiatement après. La séparation entre l'identité du votant et le contenu de son bulletin est ensuite réalisée par un mix-net, qui brasse les bulletins chiffrés par permutations successives, chacune accompagnée d'une preuve à divulgation nulle de connaissance attestant qu'aucun bulletin n'a été ajouté, retiré ni modifié pendant le brassage.

Signature eIDAS du procès-verbal

Le procès-verbal est l'acte juridique qui clôt le scrutin. Sa valeur probante dépend entièrement de la nature de sa signature. Le règlement européen eIDAS distingue trois niveaux : simple (un nom dactylographié, sans valeur probante au-delà du raisonnable), avancée (associée de manière unique au signataire et liée aux données signées, permettant la détection de toute modification ultérieure), qualifiée (avancée, créée par un dispositif sécurisé et fondée sur un certificat délivré par un prestataire de services de confiance qualifié — niveau opposable comme une signature manuscrite devant un juge). Sephos délivre une signature qualifiée sur le procès-verbal en standard, sans option. L'autorité d'horodatage utilisée est tierce, accréditée et publie ses certificats sur la liste de confiance européenne.

Hébergement souverain — pourquoi cela compte

L'hébergement souverain n'est pas un slogan. C'est une réalité juridique mesurable : la juridiction dont relève l'opérateur d'infrastructure détermine quelles autorités peuvent exiger l'accès aux données. Une plateforme hébergée aux États-Unis, ou par un opérateur de droit américain (filiale incluse), expose les données à des injonctions sous Cloud Act américain — c'est-à-dire qu'une autorité américaine peut exiger de l'opérateur la transmission de données stockées en Europe, sans information préalable du client. Pour des données de votants (identités, listes électorales) et de bulletins (même chiffrés), cette exposition constitue un risque RGPD documentable, sanctionnable par la CNIL. Sephos héberge en France métropolitaine, chez OVHcloud, opérateur de droit français, sous juridiction française exclusive.

Accessibilité PMR — WCAG 2.1 niveau AA

Une plateforme de vote en ligne doit être utilisable par toute personne, y compris en situation de handicap. Les Web Content Accessibility Guidelines (WCAG) version 2.1 niveau AA définissent les critères minimaux : contraste de couleur suffisant entre texte et fond (ratio 4,5:1 pour le texte courant), navigation intégrale au clavier sans piège de focus, compatibilité avec les lecteurs d'écran (NVDA, JAWS, VoiceOver) par étiquetage ARIA correct, alternatives textuelles pour toute information graphique, taille de police ajustable jusqu'à 200 % sans perte de fonctionnalité. Pour les organisations publiques, c'est une obligation légale (loi du 11 février 2005, décret 2019-768). Pour les organisations privées, c'est une bonne pratique attendue et un facteur d'inclusion du votant à mobilité réduite ou déficient visuel. Sephos publie une déclaration d'accessibilité auditée et la met à jour à chaque mise en production majeure.

Critères de choix d'un prestataire en 2026

Six critères pèsent dans le choix d'une plateforme de vote en ligne en 2026. Le premier est la juridiction de l'hébergeur : française, européenne ou hors UE. Toute organisation traitant des données de votants en Europe devrait privilégier un hébergement sous juridiction européenne. Le deuxième est le niveau d'alignement CNIL — 1, 2 ou 3 selon la nature du scrutin. Un CSE ordinaire relève du niveau 2 ; un CSE de grande entreprise ou un ordre professionnel devrait viser le niveau 3. Le troisième est la nature de la signature du PV : aucune, simple, avancée, qualifiée. Seule la signature qualifiée est opposable sans contestation possible. Le quatrième est l'archivage — durée, format, exportabilité. Le cinquième est le support — francophone, disponibilité, engagement contractuel. Le sixième est la transparence tarifaire : grille publique sans devis caché et sans option payante sur les fonctions essentielles (archivage, PV signé, audit trail).

Plateformes françaises principales

Le marché français du vote électronique compte plusieurs plateformes spécialisées de droit français. Toutes ne couvrent pas les mêmes régimes : certaines sont principalement positionnées sur le CSE, d'autres sur la copropriété, d'autres encore sur les associations et fédérations. Le critère de choix entre plateformes françaises porte alors sur la couverture fonctionnelle (régimes juridiques précâblés), le niveau d'alignement CNIL disponible, l'écosystème d'intégrations (SSO, annuaires, ERP RH) et la qualité de l'accompagnement métier. Sephos couvre simultanément les cinq régimes principaux (CSE, copropriété, association, fédération, ordre professionnel) avec des modèles préconfigurés pour chacun.

Plateformes étrangères — limites RGPD

Plusieurs plateformes de vote en ligne disponibles en français sont éditées par des sociétés de droit non européen et hébergées sur des infrastructures de droit américain. Leur interface peut être traduite, leur support peut être francophone, leur conformité affichée peut mentionner le RGPD : cela ne change rien à la juridiction applicable. Le transfert de données personnelles hors UE doit être encadré par des garanties appropriées (clauses contractuelles types, décision d'adéquation européenne) et reste exposé au Cloud Act. Pour un scrutin à enjeu juridique sérieux — élections du CSE, AG de copropriété, ordres professionnels — la recommandation prudentielle est de privilégier une plateforme française ou européenne dont le siège social et l'infrastructure sont sous juridiction de l'Union européenne.

Combien coûte une plateforme de vote en ligne

Les modèles tarifaires se répartissent en trois familles. La tarification au scrutin facture chaque scrutin séparément, avec ou sans plafond au nombre de votants : adaptée aux organisations à faible volumétrie (une à trois AG annuelles). L'abonnement annuel facture un forfait incluant un nombre illimité de scrutins jusqu'à un certain volume de votants : adapté aux organisations à scrutins fréquents (syndics, fédérations régionales, CSE à consultations régulières). Le forfait personnalisé couvre les volumétries élevées (plus de 5 000 votants par scrutin, fédérations nationales, ordres professionnels) : établi sur mesure selon les besoins. À chaque palier, vérifiez systématiquement si l'archivage dix ans, le PV signé qualifié et le support francophone sont inclus ou facturés en option. C'est sur ces options que se cachent les surcoûts.

Lock-in éditeur — comment l'éviter

Le lock-in éditeur — la dépendance technique et commerciale à un fournisseur — est un risque réel sur les plateformes de vote en ligne. L'historique des scrutins étant lié juridiquement à l'organisation, vous ne pouvez pas vous permettre de perdre cet historique en changeant de prestataire. Pour l'éviter, exigez par contrat quatre engagements écrits : exportabilité totale des données au format ouvert (PDF/A, CSV, JSON), documentation publique du format d'export, conservation des preuves cryptographiques vérifiables indépendamment de la plateforme, portabilité du journal d'audit signé. Avec ces quatre engagements, vous pouvez quitter votre plateforme à tout moment en emportant l'ensemble de votre historique sous forme vérifiable. Sephos fournit ces engagements en standard, sans option et sans frais de réversibilité.

À lire ensuite

Toutes les ressources
Lexique Vote électronique Définition générale, régimes juridiques applicables, différences avec le vote papier. Lexique Urne électronique Composant central d'une plateforme moderne : chiffrement, scellement, ouverture collégiale. Lexique Chiffrement de bout en bout d'un vote Protocole cryptographique d'une urne moderne : partage de Shamir, mix-net, preuves à divulgation nulle. Lexique Horodatage eIDAS Signature qualifiée du procès-verbal et opposabilité devant un tribunal. Lexique Index du lexique Sephos Toutes les définitions, par thème — sécurité, juridique, opérations, écosystème. Cas d'usage Vote électronique CSE Élections professionnelles encadrées par le Code du travail : déroulé, conformité, PV Cerfa. Cas d'usage Vote en AG de copropriété AG en présentiel hybride ou à distance, vote par correspondance dématérialisé. Démo Demander une démonstration Démonstration commentée de quarante-cinq minutes sur vos propres données de test. Glossaire Audit trail Définition, exigences CNIL ANSSI, valeur probante. Glossaire eIDAS Règlement UE 910/2014, 5 services trust, eIDAS 2.
FAQ — Plateforme de vote en ligne

Vos questions les plus fréquentes.

Une plateforme de vote en ligne est un logiciel spécialisé qui permet à une organisation de créer, sécuriser, exécuter et archiver un scrutin sans recourir au papier. Elle se distingue d'un outil de sondage par huit composants techniques attendus — authentification forte, urne chiffrée, mix-net, dépouillement vérifiable, journal d'audit, signature eIDAS, archivage long, accessibilité PMR — qui rendent ses résultats juridiquement opposables.
Un sondage en ligne (Google Forms, Microsoft Forms, Typeform) collecte des réponses identifiées, stockées en clair sur des serveurs généralement hors Union européenne, sans horodatage qualifié et sans archivage opposable. Une plateforme de vote en ligne sépare cryptographiquement l'identité du votant et le contenu de son bulletin, signe le procès-verbal au niveau eIDAS qualifié et conserve l'audit trail pendant dix ans. Le résultat d'un sondage n'est jamais opposable devant un tribunal ; celui d'une plateforme spécialisée l'est sans discussion.
Huit composants : authentification forte (lien unique signé + second facteur ou SSO), urne chiffrée bout-en-bout depuis le navigateur du votant, mécanisme de séparation identité-contenu (mix-net ou chiffrement homomorphe), dépouillement vérifiable par preuve cryptographique, journal d'audit immuable signé, signature eIDAS qualifiée du procès-verbal, archivage dix ans en format ouvert, accessibilité WCAG 2.1 niveau AA.
Le marché compte plusieurs plateformes françaises spécialisées couvrant tout ou partie des régimes (CSE, copropriété, association, fédération, ordre professionnel). Les critères de comparaison utiles sont la juridiction de l'hébergeur, le niveau d'alignement CNIL disponible, la nature de la signature du PV produite, la couverture des régimes juridiques précâblés et la transparence tarifaire. Sephos couvre les cinq régimes principaux avec hébergement France et signature eIDAS qualifiée incluse.
En cinq étapes : auditer vos besoins (volumétrie, régimes, budget), conduire une due diligence sécurité (alignement CNIL, hébergement, certifications, audit indépendant), demander une démonstration commentée de quarante-cinq minutes minimum couvrant tout le cycle, exécuter un scrutin pilote en conditions réelles, déployer et industrialiser avec SSO et modèles préconfigurés. Vérifiez systématiquement les douze critères de la checklist publiée sur cette page.
La délibération CNIL n° 2019-053 définit trois niveaux. Niveau 1 pour les scrutins à enjeu faible (sondage interne non-décisionnel). Niveau 2 pour les scrutins ordinaires : élections du CSE, AG d'association, AG de copropriété. Niveau 3 pour les scrutins à enjeu élevé : CSE de grandes entreprises, ordres professionnels, fédérations nationales, scrutins à fort risque de contestation. Sephos opère au niveau 2 en standard, niveau 3 sur option.
Parce que la juridiction de l'opérateur d'infrastructure détermine quelles autorités peuvent exiger l'accès aux données. Un hébergement aux États-Unis, ou par un opérateur de droit américain même implanté en Europe, expose vos données de votants au Cloud Act. Pour des listes électorales et des bulletins (même chiffrés), cette exposition constitue un risque RGPD documentable. Une plateforme souveraine — éditeur et hébergeur sous juridiction française ou européenne — neutralise ce risque.
Trois modèles cohabitent : tarification au scrutin (adaptée aux faibles volumétries), abonnement annuel (scrutins illimités jusqu'à un volume de votants), forfait personnalisé (pour les volumétries élevées au-delà de 5 000 votants par scrutin). Sephos propose trois paliers publics [TARIF À CONFIRMER]. Le critère économique pertinent n'est pas le prix par votant facial mais le coût total incluant archivage, PV signé qualifié et support — souvent en option chez les concurrents généralistes.
Non pour un scrutin opposable. Un formulaire en ligne gratuit ne distingue pas un votant inscrit d'un inconnu, stocke les réponses en clair sur des serveurs hors UE, ne sépare jamais l'identité du contenu, ne produit aucune signature eIDAS et n'archive rien d'opposable. Pour un sondage informel d'équipe, c'est utilisable. Pour une élection du CSE, une AG de copropriété ou un vote statutaire d'association, c'est inopposable et juridiquement fragile.
Techniquement oui, juridiquement c'est exposé. Une plateforme éditée hors UE ou hébergée hors UE doit encadrer les transferts de données par des garanties appropriées (clauses contractuelles types, décision d'adéquation européenne). Pour un scrutin à enjeu sérieux — CSE, AG de copropriété, ordre professionnel — la recommandation prudentielle est de privilégier une plateforme dont l'éditeur et l'hébergeur sont sous juridiction de l'Union européenne.
Seulement pour les organisations traitant des données de santé : ordres médicaux, mutuelles, établissements de santé, fédérations professionnelles santé. La certification Hébergeur de Données de Santé est alors imposée par le Code de la santé publique pour les données concernées. Pour les autres organisations (CSE, syndics, associations non-sectorielles), HDS n'est pas obligatoire mais constitue une garantie supplémentaire. Sephos propose HDS en option sur ses paliers supérieurs.
En exigeant par contrat quatre engagements écrits : exportabilité totale au format ouvert (PDF/A, CSV, JSON), documentation publique du format d'export, conservation des preuves cryptographiques vérifiables indépendamment de la plateforme, portabilité du journal d'audit signé. Avec ces quatre engagements, vous pouvez quitter votre plateforme à tout moment en emportant l'historique sous forme vérifiable. Sephos fournit ces engagements en standard, sans frais de réversibilité.
Au-delà des huit composants techniques fondamentaux : SSO d'entreprise (SAML 2.0, OpenID Connect), import automatique des listes depuis un annuaire (LDAP, Active Directory, Workday, BambooHR), accessibilité WCAG 2.1 AA auditée, support du vote depuis mobile sans application dédiée, génération automatique des PV Cerfa pour le CSE, modèles de scrutins préconfigurés par régime juridique, audit indépendant publié, et option niveau 3 CNIL pour les scrutins à enjeu élevé.

Évaluez Sephos sur un scrutin pilote.

Une démonstration commentée prend quarante-cinq minutes et couvre la création d'un scrutin, l'invitation des votants, le vote depuis un mobile, la cérémonie de dépouillement, la génération du procès-verbal signé eIDAS qualifié et l'export d'audit — sur vos propres données de test.