Avec l’entrée en application RGPD et suite à la consultation auprès des professionnels et experts afin d’améliorer la sécurité des solutions de vote par correspondance électronique, notamment via Internet, la CNIL a mis à jour sa recommandation sur ces dispositifs.
Vous souhaitez organiser des élections par voie électronique et vous vous demandez comment procéder pour permettre aux électeurs de s’authentifier.
Déjà, mettons-nous d’accord sur ce qu’est une authentification :
L’identification est une phase qui consiste à établir l’identité de l’utilisateur. Elle permet répondre à la question : “Qui êtes vous ?”. L’utilisateur utilise un identifiant (que l’on nomme “Compte d’accès”, “Nom d’utilisateur” ou “Login” en anglais) qui l’identifie et qui lui est attribué individuellement. Cet identifiant est unique.
L’authentification est une phase qui permet à l’utilisateur d’apporter la preuve de son identité. Elle intervient après la phase dite d’identification. Elle permet de répondre à la question : “Êtes-vous réellement cette personne ?”. L’utilisateur utilise un authentifiant ou “code secret” que lui seul connait.
Pour toutes les élections devant répondre aux exigence de sécurité de niveau 2 et de niveau 3, la CNIL, au travers de sa délibération n° 2010-371 du 21 octobre 2010 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique exige la règle suivante :
Il faut authentifier les électeurs en s’assurant que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative.
Solution 1 : L’électeur s’authentifie à l’aide d’un certificat électronique, choisi et utilisé conformément aux préconisations du RGS.
Solution 2 : L’électeur s’authentifie à l’aide d’un couple identifiant et mot de passe personnel qui lui a été remis de manière sécurisée (deux canaux séparés) et répond à une question défi-réponse non triviale (sont ainsi exclus la date de naissance et tout autre élément facilement décelable) dont il est le seul à connaitre la réponse (avec le responsable de traitement).
En cas de perte ou de vol de ses moyens d’authentification, une procédure permet à l’électeur d’effectuer son vote et rend les moyens d’authentification perdus ou volés inutilisables.
Si votre solution de vote électronique n’est pas en mesure de respecter ces exigences, il est fortement recommandé d’obtenir l’accord de tous les représentants et candidats avant d’ouvrir vos scrutins.
Sources :
Denis JACOPINI
Sécurité des systèmes de vote par internet : la CNIL actualise sa recommandation de 2010 | CNIL
LNE : Expertises indépendantes de systèmes de votes par Internet
Notre cabinet propose l’Expertise et les compétences d’Experts spécialisés en votes électroniques.
L’Expert principal, Denis JACOPINI est Expert Indépendant spécialisé en cybercriminalité, protection des données, gestion des risques et en votes électroniques par Internet. il a suivi en 2014 la formation de la CNIL sur les systèmes de votes électroniques. Il a expertisé des centaines de plateformes de vote électroniques mise en place par les principaux prestataires du marché (Neovote, Legavote, Voxalyn Alphavote, Gedivote,…).
Denis JACOPINI rassemble toutes les exigences pour expertiser la plateforme de vote électronique pour vos futures élections.
Notre Expert indépendant est spécialisé en Cybercriminalité et en Protection des Données. Il a suivi diverses formations diplômantes ou certifiantes en cybercrimnalité, investigations numériques et en gestion des risques sur les systèmes information. Il dispose de toutes les conditions exigées par la CNIL pour expertiser les plateformes de vote électronique selon la délibération n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.