24/10/2022

Après consultation des professionnels de vote, la Commission Nationale de l’Informatique et des Libertés a actualisé ses recommandations concernant le vote électronique depuis le 25 Avril 2019. Ces recommandations concernent surtout la sécurité des systèmes. Pour en savoir plus, suivez-nous dans cet article. 

image vote électronique
La première approche recommandée se présente sous forme de grille d’analyse

Les méthodologies recommandées par la CNIL sur le vote électronique

La première approche recommandée se présente sous forme de grille d’analyse. Sous forme de questions fermées, elle détermine le niveau de sécurité de l’outil de vote en ligne. Les responsables au sein de la solution de vote électronique sont alors invités par la CNIL de la remplir et en se fiant aux différents points obtenus par rapport aux réponses données. Pour « faux », il faut compter 1 point puis faire la somme de tous les points afin d’obtenir le total des points.

-          Si le total des points est compris entre 0 et 2 points, la solution de vote en ligne répond aux objectifs de niveau 1.

-          Si le total des points est compris entre 3 et 6 points, la solution de vote en ligne répond aux objectifs de niveau 2.

-          Si le total des points est compris entre 7 et 10 points, la solution de vote en ligne répond aux objectifs de niveau 3.

Après avoir terminé cette analyse, les responsables au sein de la solution de vote électronique peuvent procéder à la deuxième méthodologie de la CNIL qui est la détermination des objectifs de sécurité à atteindre.

Les solutions de vote en ligne sont libres de choisir les moyens utilisés afin d’atteindre les objectifs de sécurité. Une expertise effectuée par un organisme indépendant permettra par la suite de savoir si  la solution est pertinente. Autrement, les fournisseurs de vote en ligne peuvent faire parvenir au préalable au sein de la CNIL les moyens qu’ils comptent utiliser afin d’atteindre leurs objectifs. La CNIL l’analyse et donne ses résultats.  Il faut savoir que les moyens utilisés seront valables s’ils sont pertinents et corrects. En tout cas, le fait de dire qu’une solution de vote en ligne est sécurisée dépend fortement de l’analyse effectuée par l’organisme indépendant.

image vote électronique
Chaque solution de vote en ligne a ses propres objectifs de sécurité

Les 3 objectifs de sécurité de vote électronique recommandés par la CNIL

Ci-après les différentes recommandations de la CNIL par rapport à l’objectif de sécurité à atteindre.

·         Objectif de sécurité- niveau 1

-          N°1-01 / Mise en place d’une solution technique et organisationnelle par l’utilisation des systèmes d’exploitation stables et mis à jour.

-          N°1-02/ Enchaînement sans discontinuité des opérations effectuées par le votant, de la validation du choix vers la délivrance d’une preuve de vote.

-          N°1-03/ Donner au votant un identifiant et un mot de passe uniques à utiliser une seule fois par électeur afin d’éviter une usurpation d’identité. L’identité du votant avec ses éléments d’authentification sont confidentiels.

-          N°1-04/ Le bulletin de vote doit être chiffré sur le poste du votant afin d’assurer la confidentialité.

-          N°1-05/ La solution de vote en ligne doit utiliser un canal sécurisé pour l’acheminement des bulletins vers l’urne électronique.

-          N°1-06 / Le bulletin chiffré et le votant ne doit en aucun cas avoir un quelconque lien.

-          Le dépouillement au sein du bureau électoral se fait à partir d’un seuil de secret bien déterminé. Pour cela, il faut générer 2 à 3 clés de sécurité qui seront sécurisées sur un support.

-          N°1-07/ Le dépouillement et le scellement de l’urne ne doivent se faire qu’à la fin du scrutin. Le dépouillement ne peut plus être interrompu une fois qu’il est commencé.

-          N°1-08/ Le dispositif utilisé doit être conforme à celui audité par l’organisme indépendant. Le nombre de votants sur la liste et ceux qui ont exprimé leurs voix doit être similaire et prouvé.

-          N°1-09/ Le dépouillement peut être vérifié. Tous les éléments doivent être conservés pour pouvoir procéder à cela si besoin.

·         Objectif de sécurité – niveau 2

-        N°2-01 / L’outil de vote en ligne doit être hautement disponible et capable d’accueillir un maximum de votants. Les responsables de traitement doivent préparer un autre système de secours au cas où le premier système est en panne.

-   N°2-02/ L’intégrité du système, de l’urne et de la liste d’émargement doit être automatiquement contrôlée.

-          N°2-03/ La plateforme doit avoir à la disposition du bureau électoral un écran de contrôle qui permettra le contrôle automatique effectué par le bureau électoral.

-   N°2-04/ Les risques d’usurpation d’identité sont moindres grâce aux identifiants qui permettent l’authentification des votants. Ces derniers s’identifient à l’aide d’un certificat électronique préconisé par la RGS ou par un identifiant et un mot de passe personnel.

-          N°2-06/ Les bonnes pratiques de l’ANSSI doivent être appliquées.

-          N°2-07/ Les votants doivent avoir accès aux différentes procédures effectuées durant le vote. La transparence de l’urne doit régner.

·         Objectif de sécurité – niveau 3

-          N°3-02/ La transparence de l’urne pour tous les électeurs se fait à partir d’outils tiers d’un partenaire externe au vote.

-          N°3-03/ La solution de vote en ligne doit avoir une grande infrastructure qui supporte la charge attendue.

-          N°3-04/ Durant le scrutin, un contrôle automatique peut être automatiquement déclenché par le bureau électoral.

Pour conclure, chaque solution de vote en ligne a ses propres objectifs de sécurité. L’idéal est d’atteindre le niveau de sécurité 3. Comme la solution de vote en ligne V8TE qui a validé ce niveau de sécurité et protection le plus élevé.