EXPERTISE INDÉPENDANTE DE
SYSTÈMES DE VOTE ÉLECTRONIQUE

Notre Expert informatique répond à l'ensemble des exigences imposées par la CNIL pour assurer votre expertise.

Les solutions de vote dont le scrutin présente un risque de niveau 1 doivent atteindre a minima l’ensemble des objectifs de sécurité suivants:

 
  • Objectif de sécurité n° 1-01 :
    Mettre en œuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l’éditeur et/ou rendue publique par des tiers).
    Solution proposée par la CNIL :
    Utiliser les dernières versions stables et mises à jour des systèmes d’exploitation, des serveurs Web, des solutions de chiffrement et des bases de données mobilisées dans la solution. Il convient également d’utiliser des protocoles et algorithmes publics de chiffrement réputés « forts ».
  • Objectif de sécurité n° 1-02 :
    Définir le vote d’un électeur comme une opération atomique, c’est-à-dire comme comportant de manière indivisible le choix, la validation, l’enregistrement du bulletin dans l’urne, l’émargement et la délivrance d’un récépissé.
    Solution proposée par la CNIL :
    Dès lors que l’électeur a validé de manière définitive son choix de vote, l’ensemble des opérations précitées doit s’enchaîner sans
    discontinuité jusqu’à l’achèvement de la dernière action, c’est-à-dire jusqu’à la délivrance d’un récépissé. L’échec d’une action entraîne
    l’échec de toute la chaîne et, a contrario, la réussie de la chaîne n’est possible que de par le bon déroulement de chacune des actions
    unitaires.
  • Objectif de sécurité n° 1-03 :
    Authentifier les électeurs en s’assurant que les risques majeurs liés à une usurpation d’identité sont réduit de manière significative.
    Solution proposée par la CNIL :
    L’électeur s’authentifie à l’aide d’un couple identifiant et mot de passe personnel qui lui a été remis de manière sécurisée (par deux
    canaux de communications séparés). Le fichier des électeurs comportant les éléments d’authentification est conservé de manière sécurisée. En cas de perte ou de vol de ses moyens d’authentification, une procédure permet à l’électeur d’effectuer son vote et rend les moyens d’authentification perdus ou volés inutilisables.
  • Objectif de sécurité n° 1-04 :
    Assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant.
    Solution proposée par la CNIL :
    Chiffrer le bulletin sur le poste du votant, coté client et avant son émission, à l’aide d’un algorithme public réputé « fort ».
  • Objectif de sécurité n° 1-05 :
    Assurer la stricte confidentialité et l’intégrité du bulletin pendant son transport.
    Solution proposée par la CNIL :
    Utiliser un canal sécurisé afin d’acheminer le bulletin, lui-même déjà chiffré (voir objectif de sécurité n° 1-02), du poste du votant jusqu’à l’urne électronique. Dans le cas de recours à des certificats, les choisir et les utiliser, au niveau 2, si possible conformément aux préconisations du RGS et, au niveau 3, conformément aux préconisations du RGS.
  • Objectif de sécurité n° 1-06 :
    Assurer, de manière organisationnelle et/ou technique, la stricte confidentialité et l’intégrité du bulletin pendant son traitement et son stockage dans l’urne jusqu’au dépouillement.
  • Objectif de sécurité n° 1-07 :
    Assurer l’étanchéité totale entre l’identité de votant et l’expression de son vote pendant toute la durée du traitement.
    Solution proposée par la CNIL :
    Ne disposer d’aucun lien entre le votant et son bulletin chiffré dès lors que le vote est exprimé. Le bulletin n’est pas horodaté,
    contrairement à la liste d’émargement, et le bulletin et la liste sont conservés dans des espaces de stockage distincts.
  • Objectif de sécurité n° 1-08 :
    Renforcer la confidentialité et l’intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d’un seuil de secret déterminé.
    Solution proposée par la CNIL :
    Générer a minima trois clés et exiger que  deux de ces clés a minima soient indispensables afin de permettre le dépouillement. La génération des clés doit être réalisée de manière publique et ces dernières doivent être stockées sur un support sécurisé en possession uniquement du président du bureau et de ses assesseurs.
  • Objectif de sécurité n° 1-09 :
    Définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin.
    Solution proposée par la CNIL :
    L’option de dépouillement ne doit être activable qu’après la fermeture du scrutin et le scellement de l’urne et de la liste d’émargement.
    L’opération de dépouillement, une fois activée, ne peut être interrompue avant d’être entièrement exécutée et terminée. Un dépouillement partiel ne peut ainsi être réalisé.
  • Objectif de sécurité no 1-10 :
    Assurer l’intégrité du système, de l’urne et de la liste d’émargement.
    Solution proposée par la CNIL :
    S’assurer que le dispositif déployé est identique à celui audité par l’expert indépendant qui a effectué l’expertise commanditée par le
    responsable de traitement. Des empreintes des éléments doivent être calculées par l’expert et pouvoir être recalculées sur le système afin de les comparer et de les vérifier. L’urne et la liste d’émargement doivent être scellées et une empreinte calculée dès le scellement.
  • Objectif de sécurité no 1-11 :
    S’assurer que le dépouillement de l’urne puisse être vérifié a posteriori.
    Solution 1 proposée par la CNIL :
    Possibilité de rejouer le dépouillement : pour cela, conserver l’ensemble des éléments nécessaires pour pouvoir prouver que l’urne dépouillée est bien celle contenant les votes des électeurs qui se sont exprimés (des votants) et uniquement ceux-là ; conserver les éléments nécessaires pour dérouler à nouveau la procédure de décompte des votes.
    Solution 2 proposée par la CNIL :
    Possibilité de prouver que le dépouillement s’est déroulé sans erreur : pour cela, conserver l’ensemble des éléments nécessaires à la vérification de la preuve cryptographique démontrant que l’urne dépouillée est celle contenant les votes des électeurs qui se sont exprimés (des votants) et uniquement ces derniers et que celle-ci a été correctement dépouillée.
 

Remarque :

Les dispositifs de vote électronique n’ont plus à être déclarés à la CNIL depuis le 25 mai 2018, date d’entrée en application du RGPD.

Pour vous conformer aux règles de protection des données personnelles, vous devez :

    • Demander conseil et assistance à votre Délégué à la protection des données (DPO) si vous en avez un.
    • Vérifier, en fonction de votre projet, si vous devez effectuer une analyse d’impact sur la protection des données (PIA).
    • Inscrire votre fichier dans le Registre des activités de traitement tenu par votre société.
    • Informer les électeurs des conditions dans lesquelles vous traitez leurs données.
    • Prévoir des mesures de sécurité adaptées au regard des risques.

 

A noter ! La CNIL vous propose des outils pour vous aider dans ces démarches :