Publications

Vote électronique : nouvelle recommandation de la CNIL

Publié le 15 novembre 2019

Le 25 avril 2019, la CNIL a mis à jour sa recommandation de 21 octobre 2010 relative à la sécurité des systèmes de vote électronique. De manière pragmatique, elle adopte désormais une approche par niveau de risque et par objectifs de sécurité que doivent atteindre les systèmes de vote électronique selon les risques qu’ils présentent.

Cette nouvelle recommandation s’applique à tous les « dispositifs de vote par correspondance électronique, en particulier via Internet », à l’exclusion des dispositifs de vote par codes-barres, par téléphone fixe ou mobile ou par la mise à disposition de machines à voter. Son champ d’application est plus large que les seules élections professionnelles.

Elle entrera en vigueur le 21 juin 2020, soit 12 mois après sa publication au Journal Officiel, afin de permettre aux différents acteurs, et notamment aux fournisseurs de dispositifs de vote électronique, de mettre à jour leurs solutions.

1. Identification du niveau de risque

La CNIL identifie trois niveaux de risque que peuvent présenter l’élection en fonction du type de scrutin, des événements redoutés et des menaces pesant sur le bon déroulement du scrutin, notamment l’ingérence d’un tiers.

La recommandation est accompagnée d’une fiche pratique qui présente une grille d’analyse composée de questions simples et fermées (par exemple, « le scrutin concerne moins de 1000 personnes » ; « les votants sont tous sur le territoire national »), pour aider les responsables de traitement à déterminer le niveau de risque que présente le scrutin, selon le score obtenu :

– entre 0 et 2 points, la solution doit répondre aux objectifs de niveau 1 ;
– entre 3 et 6 points, la solution doit répondre aux objectifs de niveau 2 (par exemple des élections professionnelles ou des élections organisées au sein d’un ordre professionnel) ;
– à partir de 7 points, la solution doit répondre aux objectifs de niveau 3 (par exemple des élections professionnelles au sein d’organisations importantes, à grande échelle et dans un cadre conflictuel).

En cas de doute entre deux niveaux, le niveau le plus élevé doit être privilégié.

Une fois le niveau de risque identifié, le responsable du traitement peut déterminer les objectifs de sécurité devant être atteints par la solution de vote.

2. Objectifs de sécurité à atteindre

La CNIL associe à chaque niveau de risque des objectifs de sécurité que les fournisseurs de solutions de système de vote doivent atteindre par tout moyen qu’ils estiment adéquats.

Le niveau 1 nécessite ainsi la réalisation de 11 objectifs de sécurité, par exemple « Authentifier les électeurs en s’assurant que les risques majeurs liés à une usurpation d’identité sont réduits de manière significative ». 7 objectifs supplémentaires sont exigés pour le niveau 2 et 5 pour le niveau 3.

La CNIL propose également des exemples de moyens, non limitatifs, à mettre en œuvre pour parvenir à ces objectifs de sécurité. Ces exemples seront amenés à être complétés en fonction des propositions que les fournisseurs transmettront à la CNIL.

3. Recours à une expertise indépendante

Une expertise indépendante doit déterminer si la solution proposée, qu’elle soit développée en interne ou fournie par un prestataire, permet bien de répondre à ces objectifs de sécurité.

L’expert doit lui-même répondre aux conditions suivantes :

– être un informaticien spécialisé dans la sécurité ;
– ne pas avoir d’intérêt dans la société qui a créé la solution de vote à expertiser, ni dans l’organisme responsable de traitement qui a décidé d’utiliser la solution de vote ;
– posséder si possible une expérience dans l’analyse des systèmes de vote, en ayant expertisé les systèmes de vote par correspondance électronique, notamment via Internet, d’au moins deux prestataires différents.

L’expertise doit couvrir l’installation du dispositif de vote électronique avant le scrutin (logiciel, serveur, etc.), la constitution des listes d’électeurs et leur enrôlement dans la plateforme, ainsi que l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).

Pour les scrutins présentant un niveau de risque 2 ou 3, l’expert doit par ailleurs réaliser des audits sur la plateforme de vote électronique afin de s’assurer de la cohérence et de l’effectivité des solutions apportées, notamment par le biais de tests d’intrusions.

L’expertise portant sur une solution mise en œuvre pour un scrutin dont le niveau de risque est égal à 1 peut reprendre des éléments d’un précédent rapport, dès lors que cette expertise n’est pas antérieure à 24 mois, qu’il est possible de prouver que la solution sur laquelle a porté la précédente expertise n’a pas été modifiée et qu’aucune vulnérabilité sur celle-ci n’a été révélée entre temps, ce qui est utile si des élections partielles doivent être organisées par le responsable de traitement. Pour les scrutins de niveau 2, l’antériorité est de 12 mois. En revanche, une expertise doit être réalisée pour chaque élection lorsque le scrutin présente un risque de niveau 3.

Le rapport d’expertise est tenu à la disposition de la CNIL.

4. Déroulement du scrutin et contrôle a posteriori

Comme dans sa précédente recommandation, la CNIL souligne que le recours à un système de vote électronique « doit s’inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales : le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ».

Le Conseil d’État avait également considéré que l’organisation d’élections professionnelles par vote électronique impose que « des garanties adaptées soient prévues pour que le respect des principes généraux du droit électoral, de complète information de l’électeur, de libre-choix de celui-ci, d’égalité entre les candidats, de secret du vote, de sincérité du scrutin et de contrôle du juge, puisse être assuré à un niveau équivalent à celui des autres modalités de vote » (CE, 3 oct. 2018, n°417312).

La CNIL rappelle donc les conditions que doit présenter chaque étape du scrutin pour garantir ces principes essentiels, de l’authentification de l’électeur à la réception de la confirmation de son vote.

Pour permettre un contrôle a posteriori du secret du vote et de la sincérité du scrutin, notamment dans le cadre d’un contentieux électoral, le système de vote électronique doit par ailleurs permettre au minimum de démontrer que :

– le procédé de scellement est resté intègre durant le scrutin ;
– les clés de chiffrement/déchiffrement ne sont connues que de leurs seuls détenteurs ;
– le vote est anonyme lorsque la législation l’impose ;
– la liste d’émargement ne comprend que la liste des électeurs ayant voté ;
– l’urne dépouillée est bien celle contenant les suffrages des électeurs et qu’elle ne contient que ces suffrages ;
– aucun décompte partiel n’a pu être effectué durant le scrutin ;
– le dépouillement de l’urne peut être vérifié a posteriori et qu’il s’est déroulé de façon correcte.

Le respect de ces garanties est essentiel. Une élection peut en effet être annulée par le juge en l’absence de garanties suffisantes, notamment en ce qui concerne :

– le scellement du dispositif de vote et le chiffrement du bulletin de vote (CE, 11 mars 2015, n°368748) ;
– la transmission sécurisée de l’identifiant et du mot de passe de l’électeur (Cass. soc., 27 févr. 2013, n°12-14.415 ; Cass. soc., 14 déc. 2015, n°15-16.491).

5. Conservation des données

Tous les fichiers supports (copies des codes sources et exécutables des programmes et du système sous-jacent, matériels de vote, fichiers d’émargement, de résultats, sauvegardes) doivent être conservés sous scellés jusqu’à l’épuisement des voies et délais de recours, avant leur destruction, sous le contrôle de la commission électorale.

6. Respect du Règlement Général sur la Protection des Données (RGPD)

Il convient par ailleurs de rappeler que l’organisateur de l’élection (par exemple l’employeur) agit en qualité de responsable de traitement et doit à ce titre respecter, avec l’assistance de son délégué à la protection des données (DPO RGPD), l’ensemble de ses obligations qui découlent du Règlement (UE) n°2016/679 du 27 avril 2016, notamment l’inscription préalable du traitement au registre des activités de traitement, l’information des personnes, l’encadrement du contrat de sous-traitance s’il est fait appel à un prestataire extérieur, etc.

Il doit en outre fournir en temps utile aux électeurs une note explicative sur le déroulement des opérations électorales et sur le fonctionnement général du système de vote électronique.

Selon les critères fixés dans les lignes directrices du G29 du 4 avril 2017, la réalisation d’une analyse d’impact relative à la protection des données peut enfin être nécessaire, en raison de la combinaison de plusieurs éléments : une collecte de données réputées sensibles (par exemple, l’appartenance syndicale) ; à grande échelle (selon le périmètre géographique du scrutin ou le nombre d’électeurs) ; relatives à des personnes dites « vulnérables » (par exemple, les salariés).

Le DPO sera là pour s’assurer de la bonne mise en œuvre de ces obligations.

 

Délibération n°2019-053 du 25 avril 2019 (JO 21 juin 2019)

 

Par Maurice Monnot

 

Suivez-nous sur Linkedin, Twitter et Facebook