LEXIQUE · VOTE À BULLETIN SECRET

Vote à bulletin secret : définition, cadre légal, garanties techniques.

Le vote à bulletin secret est le mode d'expression par lequel le sens d'un suffrage individuel reste inconnaissable à un tiers, y compris à l'organisateur·rice du scrutin et au prestataire technique. Cette page de lexique expose la définition juridique du secret du vote, son fondement constitutionnel (article 3, alinéa 3, de la Constitution), les cas dans lesquels le bulletin secret est rendu obligatoire par la loi (élections politiques au titre du Code électoral, élections du comité social et économique au titre de l'article L2314-26 du Code du travail, vote de licenciement d'un salarié protégé au titre de l'article L2315-32, certaines résolutions d'assemblée générale d'association ou de copropriété selon leurs statuts), ainsi que les mécaniques techniques — papier et électroniques — qui garantissent le secret de l'expression tout au long du scrutin et au-delà, lors de l'archivage.

Définition synthétique

Le secret du vote, principe fondateur du suffrage libre.

Le vote à bulletin secret est défini comme le mode d'émission d'un suffrage par lequel le sens du choix exprimé par un votant ne peut être rattaché à son identité, ni pendant le scrutin, ni au moment du dépouillement, ni après l'archivage. Ce principe est consacré à l'article 3, alinéa 3, de la Constitution de la Cinquième République, qui dispose que le suffrage « est toujours universel, égal et secret » lorsqu'il porte sur les fonctions politiques, et il irrigue par ricochet le droit du travail (élections du CSE, vote de licenciement d'un salarié protégé), le droit des associations (résolutions personnelles ou disciplinaires lorsque les statuts l'imposent) et le droit de la copropriété (certaines résolutions sensibles). Il convient cependant de distinguer deux notions souvent confondues. Le secret du vote désigne l'impossibilité, pour un tiers, de connaître le sens du suffrage d'un votant identifié — c'est-à-dire de répondre à la question « Comment a voté Mme Dupont ? ». L'anonymat du vote, lui, désigne l'impossibilité, pour un tiers, d'identifier l'auteur d'un bulletin donné — c'est-à-dire de répondre à la question « Qui a déposé ce bulletin ? ». Les deux propriétés sont liées mais distinctes : un scrutin peut être anonyme sans être secret (cas d'un sondage sans émargement où l'organisateur·rice ne sait pas qui a voté, mais où tous les votes sont visibles en clair), et il peut être secret sans être totalement anonyme au sens informatique (cas d'un vote CSE où l'on émarge avant de voter, mais où la séparation cryptographique empêche de rattacher un bulletin à un émargement). Le bulletin secret, au sens juridique français, exige les deux propriétés simultanément. Cette page de lexique détaille comment le secret du vote a été techniquement garanti pendant des siècles par les dispositifs matériels du vote papier (isoloir, enveloppe opaque, urne scellée, dépouillement à l'aveugle) et comment il est aujourd'hui reproduit, souvent avec des garanties supérieures, par les architectures cryptographiques modernes du vote électronique. Le lecteur trouvera également un développement spécifique sur les cas où le bulletin secret est rendu légalement obligatoire en France, en particulier le vote du comité social et économique sur le licenciement d'un salarié protégé, qui constitue le contentieux le plus abondant en la matière.

Article 3
Constitution — suffrage toujours secret
L2315-32
Code du travail — licenciement salarié protégé
Anonymat ≠ pseudonyme
Le pseudonyme ne suffit pas à garantir l'anonymat
Chiffrement asymétrique
Socle cryptographique du bulletin secret en ligne
Cadre légal

Quatre fondements juridiques structurent le bulletin secret.

Le secret du vote n'est pas une simple bonne pratique. Il découle directement de la Constitution et il est précisé, selon les contextes, par le Code électoral, le Code du travail et la jurisprudence convergente de la Cour de cassation.

Article 3, alinéa 3, de la Constitution

« Le suffrage peut être direct ou indirect dans les conditions prévues par la Constitution. Il est toujours universel, égal et secret. » Le secret du vote a ainsi valeur constitutionnelle pour les élections politiques, et il irrigue par ricochet tous les contextes où le législateur impose le bulletin secret. Le Conseil constitutionnel rappelle régulièrement que le secret est une condition de validité du suffrage et non un simple confort.

Article L62 du Code électoral

« À son entrée dans la salle du scrutin, l'électeur, après avoir fait constater son identité (...) prend lui-même une enveloppe. Sans quitter la salle du scrutin, il doit se rendre isolément dans la partie de la salle aménagée pour le soustraire aux regards. » L'isoloir est le dispositif matériel qui matérialise le secret pour le vote papier politique. Sa transposition électronique est l'objet de la cryptographie asymétrique.

Article L2315-32 du Code du travail

Le licenciement d'un salarié protégé (représentant·e du personnel, délégué·e syndical·e, membre du CSE) doit faire l'objet d'une consultation préalable du comité social et économique, qui rend un avis « à bulletin secret ». L'absence de bulletin secret entraîne la nullité de la procédure et le refus d'autorisation administrative de licenciement par l'inspection du travail. Le contentieux est abondant et la Cour de cassation est constante.

Article L2314-26 du Code du travail

Les élections des membres du CSE se déroulent « au scrutin secret sous enveloppe ou par vote électronique ». Le bulletin secret est ici une obligation systématique et non conditionnée à l'objet du vote. La délibération CNIL n° 2019-053 précise les garanties techniques attendues du vote électronique, dont la séparation entre la liste d'émargement et l'urne chiffrée.

Jurisprudence de la Cour de cassation

La chambre sociale est constante : tout doute raisonnable sur le respect effectif du secret entraîne l'annulation du vote. La jurisprudence convergente exige que les bulletins ne soient pas identifiables matériellement, que le dépouillement se tienne sans rapprochement possible avec l'émargement, et que l'archivage ne conserve aucune trace permettant la ré-identification a posteriori.

Statuts d'association et de copropriété

Hors des cas légalement imposés, le bulletin secret peut être prévu par les statuts d'une association (article 1832 du Code civil et liberté statutaire) ou imposé par le règlement de copropriété pour certaines résolutions personnelles (désignation du syndic, sanction d'un copropriétaire). Sephos applique alors le régime statutaire avec la même architecture technique que pour les cas légaux.

Cas obligatoires

Quand le bulletin secret est légalement imposé.

Tableau récapitulatif des contextes français dans lesquels le bulletin secret n'est pas une option mais une condition de validité du scrutin. En dehors de ces cas, le bulletin secret peut être imposé par les statuts ou choisi par l'organisateur·rice.

Élections politiques (toutes)
Obligatoire — article 3 de la Constitution et article L62 du Code électoral. Isoloir, enveloppe opaque, urne scellée, dépouillement public.
Élections du CSE
Obligatoire — article L2314-26 du Code du travail. Scrutin secret sous enveloppe ou vote électronique conforme à la délibération CNIL n° 2019-053.
Vote CSE — licenciement salarié protégé
Obligatoire — article L2315-32 du Code du travail. Bulletin secret indispensable, sous peine de nullité de la procédure et refus de l'autorisation administrative de licenciement.
Vote CSE — désignation interne
Obligatoire pour la désignation du secrétaire, du trésorier et des membres de commissions, dès lors que plusieurs candidats sont en présence — usage constant et jurisprudence convergente.
AG d'association — résolutions personnelles
Obligatoire si les statuts l'imposent (révocation d'un dirigeant, sanction d'un membre). À défaut, le bulletin secret reste fortement recommandé pour toute résolution mettant en cause une personne.
AG d'association — résolutions ordinaires
Facultatif — vote à main levée admis sauf disposition statutaire contraire. Sephos active le bulletin secret par défaut pour éviter les contestations.
AG de copropriété — résolutions sensibles
Obligatoire si le règlement de copropriété l'impose. La jurisprudence reconnaît la validité du bulletin secret pour la désignation du syndic, même hors disposition expresse, lorsqu'une majorité simple le demande.
AG de copropriété — résolutions ordinaires
Facultatif — vote à main levée ou par correspondance admis. Le bulletin secret peut être demandé en séance par une minorité de copropriétaires.
Méthode papier

Cinq dispositifs matériels garantissent le secret en vote papier.

Le secret du vote papier repose sur une chaîne de cinq dispositifs concrets, hérités du droit électoral républicain et codifiés depuis la loi du 29 juillet 1913. Chacun de ces dispositifs trouve un équivalent cryptographique dans le vote électronique.

1
L'isoloir
L'électeur prépare son bulletin à l'abri des regards, dans une cabine close. C'est le dispositif fondateur du secret au moment de l'émission du suffrage. Aucun témoin ne peut observer le choix exprimé. L'isoloir est imposé par l'article L62 du Code électoral pour toutes les élections politiques.
2
L'enveloppe opaque
Le bulletin est glissé dans une enveloppe normalisée et opaque, fournie par l'administration. L'enveloppe rend le contenu illisible pendant le transport entre l'isoloir et l'urne, puis pendant tout le temps où le bulletin est dans l'urne. Aucune transparence n'est admise.
3
L'urne scellée et transparente
L'urne est une boîte transparente scellée avant l'ouverture du scrutin. La transparence permet de vérifier qu'elle est vide au démarrage et qu'aucun bulletin n'y est ajouté frauduleusement pendant le scrutin. Le scellé garantit qu'elle ne peut être ouverte avant la clôture par le bureau de vote.
4
Le dépouillement à l'aveugle
À la clôture, les enveloppes sont sorties de l'urne et brassées avant ouverture. Cette opération matérielle élimine l'ordre d'arrivée des bulletins, qui pourrait permettre de rattacher un bulletin à un émargement par recoupement chronologique. C'est l'équivalent papier du mélange cryptographique.
5
L'archivage non identifiant
Après dépouillement, les bulletins sont conservés jusqu'à expiration du délai de recours (article R68 du Code électoral pour les élections politiques), puis détruits. Aucune liste nominative ne doit rester appariée aux bulletins. La conservation longue est interdite pour préserver le secret dans le temps.
Checklist de conformité

Douze critères d'un vote à bulletin secret conforme.

La liste de contrôle que les équipes Sephos parcourent avec chaque organisateur·rice avant un scrutin sensible. Les points marqués sont couverts automatiquement par la plateforme ; les autres relèvent de votre organisation interne.

  • Émission isolée : le votant exprime son choix sans qu'aucun tiers, hiérarchique ou non, ne puisse observer son écran ou son geste.
  • Bulletin non identifiable : aucune marque, signature, couleur ou métadonnée technique ne permet de rattacher un bulletin à son auteur.
  • Séparation identifiant/bulletin : la liste d'émargement et l'urne sont structurellement séparées, sans clé de rapprochement accessible à l'organisateur·rice ou au prestataire.
  • Chiffrement asymétrique : le bulletin est chiffré sur l'appareil du votant avec la clé publique du scrutin, avant tout envoi au serveur.
  • Mélange cryptographique : l'ordre d'arrivée des bulletins est brouillé avant déchiffrement, à l'image du brassage physique des enveloppes.
  • Clé privée éclatée : la clé de déchiffrement n'est détenue par personne seul·e, elle est répartie entre plusieurs membres du bureau selon l'algorithme de Shamir.
  • Dépouillement collégial : le déchiffrement n'est possible qu'avec le quorum de fragments de clé prévu, jamais avec un seul détenteur.
  • Audit en aveugle : le journal d'audit prouve la régularité du scrutin sans révéler le sens individuel des bulletins.
  • Archivage chiffré : les bulletins sont conservés sous forme chiffrée, sans possibilité de ré-identification même après expiration du délai légal de recours.
  • Suppression des logs identifiants : les journaux techniques (horodatage, adresse IP, agent utilisateur) sont dissociés des bulletins ou expurgés à la clôture.
  • Observateurs habilités : les organisations syndicales ou les listes en présence peuvent désigner des observateurs qui suivent la cérémonie de dépouillement.
  • Procès-verbal signé : le PV rapporte le respect effectif du secret, les opérations cryptographiques et les éventuels incidents, et il est signé eIDAS qualifié par tous les membres du bureau.
Cryptographie

Comment Sephos garantit le secret en vote électronique, en quatre étapes.

Le secret du vote en ligne n'est pas une promesse commerciale, il découle d'une architecture cryptographique vérifiable. Sephos applique le standard reconnu du chiffrement asymétrique à seuil, déjà éprouvé sur des scrutins industriels de plusieurs dizaines de milliers de votants.

  1. 1

    Génération de la paire de clés du scrutin

    À l'ouverture du scrutin, Sephos génère une paire clé publique / clé privée propre à ce scrutin uniquement (RSA-4096 ou Curve25519 selon les options). La clé privée est aussitôt éclatée selon l'algorithme de Shamir entre trois à sept membres du bureau de vote, qui en reçoivent chacun un fragment scellé. Aucun acteur, y compris Sephos, ne détient la clé entière. La clé publique est intégrée dans la page de vote affichée à chaque votant.

  2. 2

    Chiffrement du bulletin côté votant

    Quand le votant valide son choix, le navigateur génère localement une clé symétrique éphémère (AES-256), chiffre le bulletin avec cette clé, puis chiffre cette clé symétrique avec la clé publique du scrutin. Le bulletin quitte l'appareil du votant déjà chiffré. Le serveur Sephos ne reçoit jamais le bulletin en clair, et il n'a pas les moyens de le déchiffrer puisqu'il ne détient aucun fragment de la clé privée.

  3. 3

    Séparation cryptographique identifiant/bulletin

    Au moment de l'enregistrement, Sephos sépare physiquement et cryptographiquement deux flux : d'un côté la preuve d'émargement (« telle personne a voté »), de l'autre le bulletin chiffré (« voici le contenu d'un bulletin anonyme »). Aucune clé de rapprochement n'existe entre ces deux tables. L'organisateur·rice peut savoir qui a voté pour constater le quorum, sans jamais pouvoir rattacher un bulletin à un émargement.

  4. 4

    Mélange cryptographique et déchiffrement à seuil

    À la clôture, l'urne est scellée par horodatage eIDAS qualifié et les bulletins chiffrés sont mélangés cryptographiquement (mix-net) pour éliminer définitivement l'ordre d'arrivée. Le bureau de vote se réunit en cérémonie, chaque membre apporte son fragment de clé privée, et la clé est reconstituée temporairement pour déchiffrer le résultat. Aucun bulletin individuel n'est jamais déchiffré seul : seul l'agrégat des bulletins est révélé.

Pourquoi le déchiffrement à seuil est non négociable

Si la clé privée était détenue par une seule personne, le secret du vote reposerait sur la confiance accordée à cette personne. Le seuil Shamil rend la confiance structurelle : il faut un quorum de membres du bureau (par exemple trois sur cinq) pour déchiffrer. Aucun acteur isolé ne peut violer le secret, et la collusion exigée est suffisamment large pour être détectable.

Garanties techniques

Six dispositifs cryptographiques scellent le secret du bulletin.

L'architecture Sephos n'est pas un ajout sur une plateforme généraliste : elle est conçue dès l'origine pour rendre le secret du vote vérifiable, indépendamment de la bonne volonté de l'éditeur. Les six dispositifs ci-dessous sont documentés, audités et téléchargeables sous forme de preuves cryptographiques.

Séparation identifiant/bulletin
Deux tables disjointes, aucune clé de rapprochement
Chiffrement asymétrique
RSA-4096 ou Curve25519, clé publique du scrutin intégrée côté navigateur
Mélange cryptographique
Mix-net à la clôture, brouillage de l'ordre d'arrivée
Déchiffrement à seuil Shamir
Clé privée éclatée entre 3 à 7 membres du bureau de vote
Audit en aveugle
Preuves de régularité sans révélation du contenu des bulletins
Scellement eIDAS qualifié
Horodatage opposable et signature électronique qualifiée du procès-verbal
Journal d'audit · scrutin #4218
Intégrité vérifiée
14:32:08
Scrutin clôturé · clé de dépouillement assemblée
Système
14:32:08
Signature du dépouillement validée
M. Brunet (huissier)
14:31:55
Cérémonie de déchiffrement collégial
4 / 5 membres
14:30:00
Fin de la fenêtre de vote
Système
14:28:12
Bulletin reçu · signé · horodaté
Votant #1284
14:27:50
Bulletin reçu · signé · horodaté
Votant #1283
14:27:45
Bulletin reçu · signé · horodaté
Votant #1282
sha-256 · b4a2f1d8e3c7…
Comparaison

Bulletin secret papier ou électronique : cinq critères objectifs.

Critère
Sephos
Bulletin papier
Chiffrement asymétrique côté navigateur. Aucun tiers, même l'éditeur Sephos, ne peut lire le bulletin avant le déchiffrement collégial.
Isoloir physique. Le secret dépend de l'absence effective d'observateur dans la cabine, contrôle humain et donc faillible.
Bulletins chiffrés conservés sous forme illisible. Aucune ré-identification possible, même après perte d'une clé de bureau.
Bulletins papier conservés jusqu'à expiration du délai de recours, puis détruits. Le secret post-archivage dépend du circuit de destruction.
Preuve cryptographique remise au votant qui peut vérifier que son bulletin a bien été pris en compte, sans révéler son sens.
Aucune vérification individuelle. Le votant n'a que la parole du bureau de vote sur la prise en compte de son bulletin.
Clé privée éclatée Shamir : il faut un quorum (par exemple 3 sur 5) pour déchiffrer. Une seule personne corrompue ne peut rien.
Repose sur la collégialité humaine du bureau de vote. La fraude par un président isolé est matériellement possible si le bureau est complaisant.
Recompte instantané et reproductible à l'identique avec preuve cryptographique. La cérémonie peut être rejouée devant un juge.
Recompte manuel possible mais long, soumis aux erreurs humaines et à la dégradation matérielle des bulletins.
Trois contextes typiques

Où le bulletin secret change la donne.

Le vote à bulletin secret intervient dans trois grands contextes en France, avec des enjeux distincts mais une exigence technique commune : empêcher toute ré-identification du votant.

Rôle 1
CSE — licenciement salarié protégé
Membres titulaires du comité social et économique, convoqués par l'employeur.

L'article L2315-32 du Code du travail impose un avis à bulletin secret avant tout licenciement d'un représentant·e du personnel. L'absence de secret entraîne la nullité de la procédure et le refus de l'autorisation administrative par l'inspection du travail. Cas le plus contentieux en pratique.

Rôle 2
Élections politiques
Électeurs inscrits sur la liste électorale, convoqués en bureau de vote.

Le bulletin secret est consubstantiel au suffrage politique depuis la Troisième République. L'isoloir, l'enveloppe opaque, l'urne scellée et le dépouillement public sont les dispositifs matériels qui le garantissent. Cadre fixé par le Code électoral et la Constitution.

Rôle 3
AG association ou copropriété
Sociétaires ou copropriétaires, convoqués selon les statuts ou le règlement de copropriété.

Le bulletin secret est imposé par les statuts ou le règlement pour les résolutions personnelles (révocation d'un dirigeant, sanction d'un membre, désignation du syndic). Sephos applique alors la même architecture cryptographique que pour les cas légaux.

Douleurs réelles

Ce qui rend un vote à bulletin secret difficile à garantir en pratique.

Six frictions que les équipes Sephos rencontrent presque à chaque audit d'organisation qui n'a jamais industrialisé ses votes sensibles.

Pression hiérarchique sur le votant

En CSE notamment, le votant craint que son choix soit remonté à sa hiérarchie par un canal détourné. Un vote tenu en présentiel dans une salle visible du management génère systématiquement une auto-censure.

Peur de représailles a posteriori

Le secret au moment du vote ne suffit pas si l'organisation conserve, même quelques mois, des logs techniques permettant de reconstituer le sens du vote individuel. La crainte d'une fuite tardive paralyse l'expression.

Anonymat technique douteux

Les solutions généralistes affichent « vote anonyme » sans publier d'architecture vérifiable. Les organisations sophistiquées (syndicats, juristes du travail) ne s'en contentent pas et exigent des preuves cryptographiques.

Suspicion de fraude par les minoritaires

Toute décision serrée à bulletin secret est contestée si l'organisateur·rice ne peut démontrer la régularité sans révéler le sens des votes individuels. L'audit en aveugle est la seule réponse acceptable.

Archivage compromettant

Conserver les bulletins papier dans un placard pendant des années expose à des fuites, à des perquisitions, à des indiscrétions. Le chiffrement à long terme des archives résout ce risque par construction.

Procès-verbal contestable

Un PV manuscrit, signé en fin de séance sous pression de temps, expose à des erreurs et à des contestations ultérieures sur les conditions réelles du secret. La signature eIDAS qualifiée fige les faits.

Risques évités

Ce que Sephos vous évite, par construction.

Cinq motifs de contestation d'un vote à bulletin secret que la plateforme neutralise par son architecture, sans intervention de l'organisateur·rice.

Levée du secret par un tiers technique

Aucun administrateur Sephos, aucun organisateur·rice et aucun prestataire ne peut lire un bulletin individuel. Le chiffrement est réalisé côté navigateur du votant et la clé privée est éclatée entre plusieurs membres du bureau.

Fuite par un log technique

Les journaux techniques (horodatage précis, adresse IP, agent utilisateur) sont structurellement dissociés des bulletins. Aucun rapprochement chronologique ne peut révéler le sens du vote d'un votant identifié.

Ré-identification statistique

Sur des petits effectifs (un seul votant d'un service par exemple), Sephos active un seuil de publication minimal et un brouillage des résultats partiels pour empêcher l'inférence du vote individuel par recoupement démographique.

Urne ouverte avant clôture

Aucun déchiffrement partiel n'est possible avant la clôture officielle du scrutin. Le scellement cryptographique est horodaté eIDAS qualifié et vérifiable indépendamment de Sephos.

Archivage compromettant

Les bulletins archivés restent chiffrés. Même en cas de fuite des archives ou de perte d'une clé de bureau, le sens individuel des votes reste inaccessible. La sécurité ne dépend pas de la discrétion de l'archiviste.

Cas client (anonymisé)

Un CSE de 220 salariés, un vote de licenciement en télétravail.

Profil
Une entreprise du secteur des services numériques, 220 salariés répartis sur quatre sites et plus de 40 % en télétravail régulier. CSE composé de neuf membres titulaires, dont un délégué syndical CGT, deux CFDT, deux CFTC et quatre sans étiquette. [FACT À CONFIRMER : profil entreprise et répartition syndicale.]
Contexte
L'employeur sollicite l'avis du CSE sur le licenciement d'un salarié protégé pour motif disciplinaire. La procédure exige un avis à bulletin secret au titre de l'article L2315-32 du Code du travail. La moitié des élus est en télétravail le jour de la consultation et le secrétaire du CSE refuse un vote à main levée en visioconférence.
Résultat
Le scrutin est ouvert sur Sephos pour une fenêtre de quatre heures. Les neuf élus votent depuis leur domicile ou leur bureau, sur un lien personnel signé. À la clôture, la cérémonie de déchiffrement collégial réunit le président, le secrétaire et un assesseur syndical en visioconférence. L'avis est rendu en 38 minutes, procès-verbal signé eIDAS qualifié à l'appui. L'inspection du travail valide la procédure sans réserve. [FACT À CONFIRMER : chiffres de durée et validation administrative.]

Avant Sephos, ce CSE convoquait systématiquement une réunion physique pour tout vote à bulletin secret, ce qui imposait un délai de cinq à dix jours et générait régulièrement des conflits sur la matérialité du secret lorsque la salle de réunion était à proximité du bureau du dirigeant. La bascule sur Sephos a permis d'industrialiser ces consultations sensibles en quelques heures, sans dégrader le secret — au contraire, puisqu'aucun élu ne pouvait plus être observé en présentiel. Le secrétaire du CSE souligne que la cérémonie de déchiffrement collégial, exigeant la présence simultanée de trois personnes, a rassuré les élus minoritaires sur l'absence de manipulation possible par la majorité ou par la direction. Depuis le déploiement, ce CSE a traité quatre votes de licenciement, deux désignations de représentant·e en commission et un avis sur projet de restructuration, tous à bulletin secret, sans aucune contestation.

Objections fréquentes

Quatre objections, quatre réponses directes.

Les questions que les élus, les juristes en droit social et les DPO sectoriels posent lorsqu'ils découvrent le vote à bulletin secret électronique. Les réponses s'appuient sur l'architecture publiée et auditable de Sephos.

« Le secret est impossible en ligne. »

C'est l'inverse. Le vote papier repose sur des dispositifs matériels faillibles (un voisin qui regarde par-dessus l'épaule, un bulletin marqué, une enveloppe transparente par erreur). Le vote électronique repose sur des preuves cryptographiques vérifiables : le bulletin quitte l'appareil déjà chiffré, aucun intermédiaire ne peut le lire, le déchiffrement exige un quorum de membres du bureau. Le secret n'est pas une promesse, c'est un théorème mathématique.

Lire le détail du chiffrement

« Les logs techniques trahissent l'auteur du bulletin. »

Pas si la séparation cryptographique entre émargement et urne est correctement appliquée. Chez Sephos, les deux tables sont disjointes : le fait d'avoir voté est enregistré dans la liste d'émargement, le contenu du bulletin est enregistré dans l'urne, sans clé de rapprochement. Les logs techniques (IP, horodatage précis, navigateur) sont attachés à l'émargement et non au bulletin. Aucune corrélation n'est possible, même par l'éditeur.

Voir l'urne électronique

« Les techniciens Sephos peuvent accéder aux bulletins. »

Non. La clé privée du scrutin est éclatée selon l'algorithme de Shamir entre trois à sept membres du bureau de vote, jamais entre les équipes Sephos. Aucun salarié, aucun administrateur, aucun prestataire technique ne détient un fragment de clé. Le déchiffrement exige la présence simultanée d'un quorum de membres du bureau. La règle vaut pour 100 % des scrutins sans exception.

« La preuve d'envoi équivaut à une preuve de contenu. »

Non, à condition que la preuve d'envoi soit construite de telle sorte qu'elle ne révèle rien du contenu. Sephos délivre au votant un récépissé cryptographique qui prouve la prise en compte de son bulletin (« votre bulletin a été enregistré à 14h37, identifiant X ») sans révéler son sens. Ce récépissé est vérifiable indépendamment, mais inutilisable pour démontrer à un tiers le sens du vote.

Pourquoi le chiffrement surpasse le papier

Six raisons pour lesquelles le bulletin secret électronique est plus solide que le bulletin papier.

Le vote papier est un standard juridique, mais ses garanties matérielles présentent des failles que la cryptographie élimine par construction. Six points où l'électronique fait mieux.

Un isoloir parfait par construction

Le chiffrement côté navigateur fait du terminal du votant un isoloir incorruptible. Aucun observateur, fût-il l'éditeur de la plateforme, ne peut intercepter le bulletin avant chiffrement.

Pas de carnet de souche

En vote papier, le souche du bulletin reste potentiellement appariée à l'identité du votant. En électronique, la séparation cryptographique rend toute souche structurellement impossible.

Pas d'ordre d'arrivée exploitable

Le brassage physique des enveloppes est remplacé par le mélange cryptographique (mix-net), qui détruit complètement l'ordre d'arrivée des bulletins. Aucun recoupement chronologique n'est possible.

Pas d'écriture identifiable

Un bulletin papier annoté ou raturé peut trahir son auteur. Le format contraint des bulletins électroniques (cases prédéfinies, réponses normalisées) élimine toute marque permettant la ré-identification.

Un audit en aveugle

Les preuves cryptographiques de régularité (intégrité, non-bourrage, non-suppression) sont publiables sans révéler le sens des bulletins. L'audit papier n'offre pas cette propriété : vérifier exige d'ouvrir.

Un archivage chiffré durable

Les bulletins archivés restent illisibles pendant toute la durée de conservation, sans dépendre de la sécurité physique d'un local. Le secret est préservé même en cas de fuite, de perquisition ou d'incident.

Pour approfondir

Le vote à bulletin secret en détail, par contexte et par mécanique.

Définition juridique du secret du vote

Le secret du vote, en droit français, désigne l'impossibilité pour un tiers — quel qu'il soit, qu'il s'agisse d'un voisin de bureau, d'un supérieur hiérarchique, de l'organisateur·rice du scrutin ou du prestataire technique qui en assure l'exécution — de connaître le sens du suffrage exprimé par un votant identifié. Cette définition recouvre deux moments distincts qu'il faut soigneusement distinguer. Le premier est le moment de l'émission du vote : aucun observateur ne doit pouvoir, en regardant le geste du votant ou en interceptant son bulletin en cours d'acheminement, deviner le contenu du suffrage. Le second est le moment du dépouillement et de l'archivage : aucune analyse a posteriori des bulletins, du registre d'émargement ou des journaux techniques ne doit permettre de rattacher un bulletin déterminé à un votant déterminé. Le secret doit donc résister à toutes les configurations adverses, qu'il s'agisse de la curiosité d'un proche, de la pression d'une hiérarchie, de l'indiscrétion d'un archiviste ou de la perquisition d'une autorité. Le Conseil constitutionnel, dans plusieurs décisions, a rappelé que le secret est une condition substantielle de validité du suffrage : tout doute raisonnable sur le respect effectif du secret entraîne l'annulation du scrutin, sans que le contestataire ait à démontrer qu'une violation effective s'est produite. Cette exigence quasi-objective explique pourquoi les garanties matérielles et techniques doivent être particulièrement robustes : il ne suffit pas que le secret soit respecté en fait, il faut qu'il soit manifestement impossible à violer.

Cas obligatoires en France

Le bulletin secret est légalement obligatoire dans quatre grandes familles de scrutins en France. La première famille est celle des élections politiques, régies par le Code électoral et la Constitution : élections présidentielles, législatives, sénatoriales, régionales, départementales, municipales, intercommunales et européennes. Pour ces scrutins, l'article 3 de la Constitution et l'article L62 du Code électoral imposent l'usage d'un isoloir, d'une enveloppe opaque et d'une urne scellée. La deuxième famille est celle des élections professionnelles, en particulier les élections des membres du comité social et économique. L'article L2314-26 du Code du travail dispose que ces élections se déroulent « au scrutin secret sous enveloppe ou par vote électronique ». Le vote électronique est encadré par la délibération CNIL n° 2019-053, qui fixe des exigences techniques détaillées (séparation émargement/urne, chiffrement, audit, recompte possible). La troisième famille est celle des consultations du CSE sur le licenciement d'un salarié protégé, prévue par l'article L2315-32 du Code du travail. C'est probablement le contentieux le plus abondant en pratique : l'absence de bulletin secret ou un secret mal garanti entraîne la nullité de l'avis et le refus de l'autorisation administrative de licenciement par l'inspection du travail, suivi d'un contentieux administratif coûteux pour l'employeur. La quatrième famille rassemble les votes statutaires d'association et de copropriété, où le bulletin secret est imposé par les statuts ou le règlement de copropriété pour certaines résolutions personnelles (révocation d'un dirigeant, sanction d'un membre, désignation du syndic). En dehors de ces quatre familles, le bulletin secret reste facultatif mais peut être choisi par l'organisateur·rice ou demandé par une minorité de votants en cours d'assemblée.

Vote à bulletin secret en CSE — l'article L2315-32 et le licenciement du salarié protégé

Le vote du comité social et économique sur le licenciement d'un salarié protégé est, sans aucun doute, le cas le plus sensible et le plus contentieux du bulletin secret en droit social français. La procédure est encadrée par les articles L2411-1 et suivants du Code du travail, qui dressent la liste des salariés bénéficiant d'une protection particulière (membres élus du CSE, représentants syndicaux, conseillers prud'homaux, conseillers du salarié, médecins du travail, etc.). Avant tout licenciement d'un salarié protégé, l'employeur doit recueillir l'avis du CSE, qui se prononce par un vote à bulletin secret au titre de l'article L2315-32. L'avis du CSE ne lie pas l'employeur, mais il conditionne la suite de la procédure : l'employeur transmet ensuite la demande d'autorisation à l'inspection du travail, qui vérifie notamment que la consultation du CSE s'est déroulée régulièrement, à bulletin secret. Si l'inspection constate une irrégularité — vote à main levée, secret mal garanti, registre d'émargement rattachable aux bulletins, pression manifeste sur les élus — elle refuse l'autorisation et le licenciement ne peut pas être prononcé. Le coût d'une procédure annulée pour défaut de secret est considérable pour l'employeur : reprise complète de la procédure, souvent six mois plus tard, dommages-intérêts pour le salarié protégé si le licenciement a été prononcé malgré le refus, contentieux administratif devant le tribunal administratif et le Conseil d'État. Le bulletin secret n'est donc pas une formalité mais une condition substantielle de la procédure. Sephos a construit son module CSE spécifiquement pour ce cas : préconfiguration de la résolution L2315-32, scrutin secret par défaut, traçabilité complète sans ré-identification, procès-verbal signé eIDAS qualifié et opposable devant l'inspection du travail et le juge administratif.

Vote à bulletin secret en CSE — les élections régulières

Au-delà du cas particulier du licenciement de salarié protégé, les élections régulières du CSE sont elles-mêmes soumises au bulletin secret au titre de l'article L2314-26 du Code du travail. L'employeur organise tous les quatre ans (durée du mandat par défaut) une élection à scrutin secret. Le protocole préélectoral, conclu entre l'employeur et les organisations syndicales, fixe les modalités concrètes : périodicité, support (papier ou électronique), prestataire technique, fenêtre de scrutin, modalités de vote par correspondance. Lorsque le protocole prévoit le vote électronique, il doit respecter la délibération CNIL n° 2019-053 sur le vote électronique professionnel : séparation physique et cryptographique de la liste d'émargement et de l'urne, chiffrement de bout en bout, audit indépendant, conservation des bulletins pendant la durée du mandat. Le contentieux des élections CSE est porté devant le tribunal judiciaire dans un délai de quinze jours à compter de la proclamation des résultats (article R2314-23 du Code du travail). La jurisprudence convergente de la Cour de cassation est constante : toute irrégularité du secret de nature à fausser la sincérité du scrutin entraîne l'annulation de l'élection. Sephos assume la totalité de la conformité technique CNIL et fournit le rapport d'audit indépendant attendu par le tribunal en cas de contestation.

Vote à bulletin secret en assemblée générale — les règles statutaires

Dans le monde associatif, le bulletin secret est essentiellement régi par la liberté statutaire issue de la loi du 1er juillet 1901. Les statuts peuvent imposer le bulletin secret pour certaines résolutions, notamment celles qui mettent en cause une personne nommément désignée : révocation d'un membre du conseil d'administration, sanction disciplinaire d'un adhérent, exclusion d'un sociétaire. À défaut de disposition statutaire expresse, le vote à main levée est généralement admis, mais une minorité de membres peut demander en séance le passage au bulletin secret, et cette demande est réputée légitime par la jurisprudence dès lors qu'elle porte sur une résolution personnelle. Dans le monde de la copropriété, le bulletin secret est régi par le règlement de copropriété et par la loi du 10 juillet 1965, qui ne l'impose pas systématiquement mais qui le rend obligatoire pour certaines résolutions sensibles, notamment la désignation du syndic lorsque plusieurs candidats sont en présence. Sephos applique uniformément la même architecture cryptographique à l'ensemble de ces scrutins statutaires : préconfiguration des résolutions sensibles, scrutin secret activable au cas par cas ou par défaut selon la nature de la résolution, procès-verbal opposable.

Comment garantir techniquement le secret en ligne

Le secret du vote électronique repose sur quatre piliers techniques imbriqués, sans lesquels aucune garantie ne tient. Le premier pilier est le chiffrement de bout en bout : le bulletin doit quitter l'appareil du votant déjà chiffré, sans qu'aucun intermédiaire — pas même l'éditeur de la plateforme — puisse le lire en clair à un quelconque moment du cheminement. Cette propriété est obtenue par l'utilisation d'un algorithme asymétrique (RSA-4096 ou Curve25519), avec une clé publique du scrutin intégrée dans la page de vote affichée au votant. Le deuxième pilier est la séparation cryptographique entre l'identifiant du votant et le bulletin lui-même : il doit exister deux tables disjointes (« qui a voté » d'un côté, « voici un bulletin chiffré anonyme » de l'autre), reliées par aucune clé partagée. Le troisième pilier est le mélange cryptographique (mix-net) à la clôture du scrutin : les bulletins chiffrés sont brassés dans un ordre aléatoirement reconstruit, de sorte que l'ordre d'arrivée — qui pourrait permettre une corrélation chronologique avec le registre d'émargement — soit définitivement perdu. Le quatrième pilier est le déchiffrement à seuil Shamir : la clé privée nécessaire au déchiffrement n'est jamais détenue par une seule personne, elle est éclatée entre trois à sept membres du bureau de vote, et il faut un quorum (par exemple trois sur cinq) pour la reconstituer temporairement le temps du dépouillement. Ces quatre piliers, combinés, rendent le secret structurellement plus robuste qu'en vote papier, où chaque dispositif matériel reste individuellement faillible.

Séparation cryptographique identifiant/bulletin — le détail

La séparation cryptographique identifiant/bulletin est probablement le point le moins compris du vote électronique, alors qu'il en est la pierre angulaire. Concrètement, lorsqu'un votant se connecte à un scrutin Sephos avec son lien personnel, la plateforme réalise simultanément deux opérations indépendantes. D'un côté, elle inscrit dans la liste d'émargement que ce votant a effectivement participé au scrutin : cette inscription contient l'identité du votant, l'horodatage précis, et éventuellement l'adresse IP et le navigateur utilisé. De l'autre côté, lorsque le votant valide son choix, son bulletin est chiffré côté navigateur avec la clé publique du scrutin, puis envoyé au serveur sous forme déjà illisible. Ce bulletin chiffré est enregistré dans une seconde table — l'urne — qui ne contient aucune information sur le votant : ni nom, ni identifiant, ni horodatage précis, ni IP. Les deux tables sont structurellement disjointes, hébergées sur des espaces logiques distincts, avec des règles d'accès différentes. Aucune clé technique ne relie les deux tables. L'organisateur·rice peut consulter la liste d'émargement pour vérifier le quorum (« 87 % des inscrits ont voté »), mais il ne peut en aucun cas demander à Sephos « quel bulletin a déposé Mme Dupont » — la réponse est techniquement impossible à fournir, même par un administrateur Sephos avec les droits les plus étendus. Cette propriété est vérifiable par audit indépendant : un auditeur peut examiner le schéma de base de données, les API et le code de la plateforme pour s'assurer qu'aucune clé de rapprochement n'existe.

Mélange cryptographique — pourquoi c'est indispensable

Sans mélange cryptographique, la séparation identifiant/bulletin pourrait être contournée par un attaquant disposant d'un horodatage précis des deux tables. Imaginons un scrutin de 100 votants, déroulé sur quatre heures. Si la liste d'émargement et l'urne conservent toutes deux un horodatage précis à la seconde près, un attaquant peut tenter le rapprochement chronologique : « Mme Dupont a émargé à 14h37m22s, le bulletin numéro 47 est arrivé dans l'urne à 14h37m23s, donc Mme Dupont a probablement voté pour l'option correspondant au bulletin 47. » Le risque est réel pour les petits scrutins et augmente avec la précision de l'horodatage. Le mélange cryptographique (mix-net) neutralise cette attaque en redistribuant les bulletins dans un ordre aléatoirement reconstruit à la clôture du scrutin. Concrètement, plusieurs nœuds indépendants (un par membre du bureau, typiquement) reçoivent successivement la liste des bulletins chiffrés, appliquent une permutation aléatoire qu'eux seuls connaissent, ré-encryptent l'ensemble et passent le résultat au nœud suivant. À la sortie, l'ordre des bulletins n'a plus aucun rapport avec leur ordre d'arrivée, et aucun nœud isolé ne peut reconstituer la correspondance puisqu'il faudrait connaître les permutations de tous les autres nœuds. Le mélange cryptographique est l'équivalent technique du brassage physique des enveloppes dans l'urne papier — mais avec une garantie mathématique d'irréversibilité.

Déchiffrement à seuil Shamir — pourquoi N personnes

Le déchiffrement à seuil, fondé sur l'algorithme de partage de secret d'Adi Shamir publié en 1979, résout un problème de confiance fondamental : si la clé privée nécessaire au déchiffrement des bulletins est détenue par une seule personne, le secret du vote repose sur la confiance accordée à cette personne — confiance qui peut être trahie, corrompue, ou simplement perdue par accident (perte du fichier, panne matérielle, décès). L'algorithme de Shamir permet d'éclater une clé en N fragments tels que K fragments parmi N (K inférieur à N) sont nécessaires et suffisants pour reconstituer la clé. Sephos applique typiquement des schémas 3-sur-5 ou 4-sur-7 selon la sensibilité du scrutin : la clé privée est découpée en cinq ou sept fragments distribués aux membres du bureau de vote, et il faut la présence simultanée de trois ou quatre d'entre eux pour déchiffrer l'urne. Aucun membre isolé ne peut violer le secret, ce qui élimine le risque de corruption individuelle. La collusion nécessaire (au moins K membres complices) est suffisamment large pour être détectable et juridiquement reconnaissable comme fraude collective. Le schéma à seuil rend également le scrutin résilient à la perte d'une clé : si un membre du bureau perd son fragment ou refuse de venir au dépouillement, le scrutin peut quand même être déchiffré avec les autres fragments, à condition que le quorum K soit atteint. Sephos documente la composition du bureau, la distribution des fragments et la cérémonie de déchiffrement dans le procès-verbal final, ce qui rend la procédure entièrement auditable.

Pour aller plus loin sur le secret du vote

Toutes les ressources
Lexique Le pilier lexique Sephos Vocabulaire complet du vote en ligne, du quorum à l'audit trail. Lexique Vote électronique Définition, cadre légal, différences avec le vote en ligne, conformité CNIL et eIDAS. Lexique Chiffrement bout-en-bout du vote Comment le bulletin reste illisible du navigateur au procès-verbal. Lexique Urne électronique Architecture, scellement, audit et interaction avec la liste d'émargement. Cas CSE Bulletin secret en CSE Procédure complète pour le vote du comité social et économique. Cas CSE Dépouillement et quorum CSE Méthode de décompte, quorum applicable, procès-verbal et délai de recours. Glossaire Dépouillement d'un vote Méthode, public, recompte, procès-verbal et archivage. Démo Demander une démonstration Voir une cérémonie de déchiffrement collégial sur vos données de test. Glossaire Bulletin Définition, typologie de validité, modèles. Glossaire Dépouillement Définition juridique, étymologie, distinctions terminologiques.
FAQ — Vote à bulletin secret

Vos questions les plus fréquentes.

Un vote à bulletin secret est un mode d'expression par lequel le sens du suffrage exprimé par un votant ne peut être rattaché à son identité, ni pendant le scrutin, ni au moment du dépouillement, ni après l'archivage. Le principe est consacré à l'article 3, alinéa 3, de la Constitution pour les élections politiques, et il est repris par le Code du travail pour les élections du CSE et le vote sur le licenciement d'un salarié protégé.
Oui, dans deux cas principaux. Les élections régulières du CSE se déroulent au scrutin secret au titre de l'article L2314-26 du Code du travail. Les consultations du CSE sur le licenciement d'un salarié protégé sont rendues à bulletin secret au titre de l'article L2315-32. Pour les autres délibérations courantes (avis sur un projet, désignation d'une commission), le bulletin secret est facultatif sauf demande d'une majorité d'élus ou disposition du règlement intérieur du CSE.
Parce que l'article L2315-32 du Code du travail l'impose explicitement, et parce que le caractère sensible de la décision exige que chaque membre du CSE puisse se prononcer sans subir la pression de l'employeur ou de ses collègues. L'absence de bulletin secret entraîne la nullité de la procédure et le refus d'autorisation administrative de licenciement par l'inspection du travail, suivi d'un contentieux coûteux. Sephos préconfigure ce cas et garantit le secret par séparation cryptographique.
Pas par principe, mais souvent par disposition statutaire. Les statuts d'une association peuvent imposer le bulletin secret pour les résolutions personnelles (révocation d'un dirigeant, sanction d'un membre, exclusion d'un adhérent). À défaut de disposition expresse, le vote à main levée est admis, mais une minorité peut demander le bulletin secret en séance pour toute résolution mettant en cause une personne, et cette demande est réputée légitime par la jurisprudence.
Quatre dispositifs techniques sont indispensables : le chiffrement de bout en bout (le bulletin quitte l'appareil du votant déjà chiffré), la séparation cryptographique entre l'émargement et l'urne (deux tables disjointes, aucune clé de rapprochement), le mélange cryptographique à la clôture (mix-net qui détruit l'ordre d'arrivée) et le déchiffrement à seuil Shamir (la clé privée est éclatée entre plusieurs membres du bureau). Sephos applique ces quatre dispositifs par défaut sur tous les scrutins.
Non, lorsque l'architecture est correctement conçue. Chez Sephos, aucun salarié, aucun administrateur et aucun sous-traitant ne détient un fragment de la clé privée du scrutin. Cette clé est éclatée entre trois à sept membres du bureau de vote, et le déchiffrement exige la présence simultanée d'un quorum d'entre eux. Sephos est techniquement incapable de lire un bulletin individuel, et cette propriété est vérifiable par audit indépendant.
Non, à condition que la séparation cryptographique soit correctement appliquée. Chez Sephos, les journaux techniques (horodatage précis, adresse IP, agent utilisateur) sont attachés à la liste d'émargement et non au bulletin. Aucune corrélation chronologique n'est possible entre les deux tables, et le mélange cryptographique à la clôture détruit définitivement tout ordre d'arrivée exploitable. Cette architecture est conforme à la délibération CNIL n° 2019-053.
Juridiquement, les deux sont valides. Techniquement, l'électronique offre des garanties supérieures sur cinq points : isoloir parfait par construction, absence de souche papier, brouillage cryptographique de l'ordre d'arrivée, audit en aveugle vérifiable, archivage chiffré durable. Le vote papier reste soumis à des fragilités matérielles (voisin indiscret, bulletin marqué, fuite d'archives) que la cryptographie élimine par construction.
Quatre étapes principales. Première étape : qualifier juridiquement la résolution pour vérifier que le bulletin secret est requis (L2315-32 pour licenciement salarié protégé, L2314-26 pour les élections). Deuxième étape : configurer le scrutin sur Sephos avec le modèle CSE préconfigué et constituer un bureau de vote de trois à cinq élus. Troisième étape : ouvrir la fenêtre de scrutin et laisser les élus voter depuis leur appareil. Quatrième étape : tenir la cérémonie de déchiffrement collégial et signer le procès-verbal eIDAS qualifié.
Pas exactement — il faut distinguer les deux propriétés. Le bulletin secret garantit l'impossibilité, pour un tiers, de connaître le sens du vote d'une personne identifiée. L'anonymat complet, lui, supposerait en plus l'impossibilité d'identifier qui a voté. Or en CSE, on émarge obligatoirement pour vérifier le quorum, donc on sait qui a voté. La séparation cryptographique permet néanmoins de garantir que ce savoir ne permet pas de remonter au sens des bulletins.
Oui, dans des conditions strictes. En vote papier, le recompte est manuel et préserve le secret tant que les bulletins ne sont pas identifiables. En vote électronique, le recompte est instantané et reproductible à l'identique : la cérémonie de déchiffrement peut être rejouée devant un juge, avec preuve cryptographique que le résultat est bien celui qui a été proclamé. Sephos conserve les bulletins chiffrés pour permettre ce recompte tout au long de la durée du mandat.
Pour les élections politiques, les bulletins papier sont conservés jusqu'à expiration du délai de recours (cinq jours typiquement) puis détruits (article R68 du Code électoral). Pour les élections du CSE, les bulletins chiffrés sont conservés pendant la durée du mandat soit quatre ans. Sephos applique par défaut une conservation de dix ans pour l'audit trail signé eIDAS, qui couvre l'ensemble des durées légales applicables. L'archivage reste chiffré : aucune ré-identification n'est possible, même après expiration des délais.

Préparez votre prochain vote à bulletin secret avec Sephos.

Une démonstration commentée prend trente minutes et couvre la séparation cryptographique identifiant/bulletin, le chiffrement côté navigateur, le mélange cryptographique, la cérémonie de déchiffrement à seuil Shamir et le procès-verbal signé eIDAS qualifié — sur vos propres données de test.