En France, la première réelle législation encadrant les systèmes de vote électronique a été édictée le 1er juillet 2003 par la recommandation de la CNIL N°03-036. Elle consacre en ce temps le développement et les premières utilisations de ce type de systèmes, en publiant une première série de recommandations autour leurs sécurisations. Elle sera suivie 7 ans plus en 2010 par une nouvelle délibération de la CNIL augmentant ces premières exigences sur les aspects de sécurité globale, d’anonymat, de confidentialité.
En 2019, suite à l’essor de l’utilisation de systèmes de vote par Internet induit par des législations favorables à son recours, notamment dans les entreprises privées (Loi El Khomri – ou Loi Travail – 2016), la CNIL a réécrit ses demandes d’exigences de sécurisation et a défini des niveaux de sécurité en fonction d’une analyse de risques du scrutin et du type d’élection.
Le détail de cette délibération de la CNIL est accessible ici : délibération de la CNIL n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.
3 niveaux de risques
La CNIL définit 3 niveaux de risques en fonction de la criticité du vote et/ou de l’élection :
- Niveau 1 : Le scrutin ne présente pas de risques importants ;
- Niveau 2 : Le scrutin présente un risque modéré ;
- Niveau 3 : Le scrutin présente un risque important.
Une grille permettant une première analyse pour la détermination de ce niveau de risque est accessible ici sur le site de la CNIL : https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010
L’organisateur d’un scrutin peut également être aidé par un expert indépendant pour compléter ou interpréter cette grille et définir ainsi le niveau de risque le plus adapté par rapport à son scrutin.
Des objectifs de sécurisation associés à chacun de ces niveaux
Si les fournisseurs de solutions de vote électronique n’ont plus l’obligation de déclarer leur solution de vote à la CNIL et le détail de ses mécanismes de sécurisation (issue de 2003), ils doivent faire réaliser un audit de conformité par des sociétés indépendantes, qui évaluent leur compliance vis-à-vis de ces objectifs de sécurité.
Avec de tels rapports, chaque organisateur de scrutin peut être en mesure d’apprécier la qualité des solutions accessibles sur le marché, et faire un choix éclairé du prestataire. Cependant, cet audit « global » commandité par le fournisseur n’enlève pas l’obligation faite aux organisateurs de commander eux-mêmes un audit de conformité et de mise en œuvre de la solution retenue avant la réalisation de leur scrutin.
Les solutions de vote dont le scrutin présente un risque de niveau 1 doivent atteindre a minima l’ensemble des objectifs de sécurité suivants :
- Objectif de sécurité n° 1-01 : Mettre en œuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l’éditeur et/ou rendue publique par des tiers).
- Objectif de sécurité n° 1-02 : Définir le vote d’un électeur comme une opération atomique, c’est-à-dire comme comportant de manière indivisible le choix, la validation, l’enregistrement du bulletin dans l’urne, l’émargement et la délivrance d’un récépissé.
- Objectif de sécurité n° 1-03 : Authentifier les électeurs en s’assurant que les risques majeurs liés à une usurpation d’identité sont réduits de manière significative.
- Objectif de sécurité n° 1-04 : Assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant.
- Objectif de sécurité n° 1-05 : Assurer la stricte confidentialité et l’intégrité du bulletin pendant son transport.
- Objectif de sécurité n° 1-06 : Assurer, de manière organisationnelle et/ou technique, la stricte confidentialité et l’intégrité du bulletin pendant son traitement et son stockage dans l’urne jusqu’au dépouillement.
- Objectif de sécurité n° 1-07 : Assurer l’étanchéité totale entre l’identité de votant et l’expression de son vote pendant toute la durée du traitement.
- Objectif de sécurité n° 1-08 : Renforcer la confidentialité et l’intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d’un seuil de secret déterminé.
- Objectif de sécurité n° 1-09 : Définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin.
- Objectif de sécurité n° 1-10 : Assurer l’intégrité du système, de l’urne et de la liste d’émargement.
- Objectif de sécurité n° 1-11 : S’assurer que le dépouillement de l’urne puisse être vérifié a posteriori.
Les solutions de vote dont le scrutin présente un risque de niveau 2 doivent atteindre a minima l’ensemble des objectifs de sécurité du niveau 1 ainsi que les suivants :
- Objectif de sécurité n° 2-01 : Assurer une haute disponibilité de la solution.
- Objectif de sécurité n° 2-02 : Assurer un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement.
- Objectif de sécurité n° 2-03 : Permettre le contrôle automatique par le bureau électoral de l’intégrité de la plateforme de vote pendant tout le scrutin.
- Objectif de sécurité n° 2-04 : Authentifier les électeurs en s’assurant que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative.
- Objectif de sécurité n° 2-05 : Assurer un cloisonnement logique entre chaque prestation de vote de sorte qu’il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours.
- Objectif de sécurité n° 2-06 : Utiliser un système d’information mettant en œuvre les mesures de sécurité physique et logique recommandées par les éditeurs et l’ANSSI.
- Objectif de sécurité n° 2-07 : Assurer la transparence de l’urne pour tous les électeurs.
Les solutions de vote dont le scrutin présente un risque de niveau 3 doivent atteindre a minima l’ensemble des objectifs de sécurité des niveaux 1 et 2, ainsi que les suivants :
- Objectif de sécurité n° 3-01 : Étudier les risques selon une méthode éprouvée afin de définir les mesures les plus adéquates au contexte de mise en œuvre.
- Objectif de sécurité n° 3-02 : Permettre la transparence de l’urne pour tous les électeurs à partir d’outils tiers.
- Objectif de sécurité n° 3-03 : Assurer une très haute disponibilité de la solution de vote en prenant en compte les risques d’avarie majeure.
- Objectif de sécurité n° 3-04 : Permettre le contrôle automatique et manuel par le bureau électoral de l’intégrité de la plateforme pendant tout le scrutin.
- Objectif de sécurité n° 3-05 : Assurer un cloisonnement physique entre chaque prestation de vote de sorte qu’il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours.