8. L’organisateur de l’élection ou son prestataire de solution de vote peuvent-ils envoyer au domicile de l’électeur son identifiant et son mot de passe dans deux courriers postaux distincts ?
Non.
Conformément à la recommandation de la CNIL relative à la sécurité des systèmes de vote par correspondance électronique du 25 avril 2019, les solutions de vote dont le scrutin présente un risque de niveau 2 doivent atteindre à minima l’ensemble des objectifs de sécurité de niveau 1 et de niveau 2, dont l’objectif de sécurité n°2-04: « Authentifier les électeurs en s’assurant que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative ».
Si l’authentification des électeurs sur la plateforme de vote repose sur l’utilisation d’un couple identifiant/mot de passe, la CNIL recommande que ces derniers soient dédiés à l’élection et remis aux électeurs de manière sécurisée, via deux canaux de communication distincts définis avant l’élection, afin de réduire les risques d’interception par un tiers.
La CNIL recommande par ailleurs de compléter ce processus d’authentification en demandant à l’électeur de répondre à une question secrète non triviale dont il est le seul à connaitre la réponse avec le responsable de traitement (sont par exemple exclus la date de naissance, le code postal, le numéro de département et tout autre élément facilement décelable).
Dans ce cadre, la voie postale constitue bien un seul et unique canal de communication, même si les envois de l’identifiant et du mot de passe se font par courriers distincts et à des dates différentes. Cette solution n’est donc pas satisfaisante.
Pour la transmission de ces moyens d’authentification, la CNIL recommande de privilégier deux canaux parmi :
- la remise en mains propres sur le lieu de travail ;
- l’envoi sur une adresse e-mail professionnelle ou un téléphone professionnel ;
- l’envoi postal au domicile de l’électeur ; ou
- le dépôt sur un intranet professionnel ou un coffre-fort numérique accessibles au seul salarié.
Il convient dans tous les cas de s’assurer que les canaux choisis ne sont pas tous deux accessibles à un même tiers.
Liste des Questions-Réponses
10. Le mot de passe de l’électeur peut-il lui être envoyé en clair ?
16. Quelles modalités doit respecter l’expertise de la solution de vote électronique ?
Source :Élections professionnelles et données personnelles : questions–réponses | CNIL
LNE : Expertises indépendantes de systèmes de votes par Internet
Notre cabinet propose l’Expertise et les compétences d’Experts spécialisés en votes électroniques.
L’Expert principal, Denis JACOPINI est Expert Indépendant spécialisé en cybercriminalité, protection des données, gestion des risques et en votes électroniques par Internet. il a suivi en 2014 la formation de la CNIL sur les systèmes de votes électroniques. Il a expertisé des centaines de plateformes de vote électroniques mise en place par les principaux prestataires du marché (Neovote, Legavote, Voxalyn Alphavote, Gedivote,…).
Denis JACOPINI rassemble toutes les exigences pour expertiser la plateforme de vote électronique pour vos futures élections.
Notre Expert indépendant est spécialisé en Cybercriminalité et en Protection des Données. Il a suivi diverses formations diplômantes ou certifiantes en cybercrimnalité, investigations numériques et en gestion des risques sur les systèmes information. Il dispose de toutes les conditions exigées par la CNIL pour expertiser les plateformes de vote électronique selon la délibération n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.