EXPERTISES INDÉPENDANTES DE
SYSTÈMES DE VOTE ÉLECTRONIQUE

Notre Expert informatique répond à l'ensemble des exigences imposées par la CNIL pour assurer votre expertise.

En quoi consiste l’Expertise d’un système de vote par Internet ?

L’expertise indépendante a pour objectif de vérifier la conformité du système utilisé dans le cadre d’élections par correspondance électronique et notamment via Internet par rapport aux exigences de la CNIL énumérées dans un texte de référence détaillé ci-dessous, et ceci que la solution de vote soit gérée en interne ou fournie par un prestataire.

 

Plusieurs avantages

La réalisation de l’expertise indépendante par un expert indépendant, neutre et impartial permettra :

  • de rassurer l’organisateur, les candidats et les électeurs avant l’ouverture des scrutins ;
  • de rassurer les candidats sur le bon fonctionnement de la plateforme ;
  • de rassurer les électeurs sur la bonne prise en compte de l’expression de leur vote ;
  • de rassurer le prestataire proposant la plateforme de vote électronique car sa plateforme est systématiquement recontrôlée.

 

Principales vérifications

Les contrôles réalisés ont pour objectif de garantir à minima :

  • Que la liste des électeurs et leurs moyens d’authentification restent bien confidentiels et ceci même pour le prestataire ;
  • Que le système mis en oeuvre est correctement dimensionné par rapport au nombre d’électeurs maximum (Garantie de disponibilité) ;
  • Qu’il est impossible de retrouver l’électeur à partir d’un bulletin (Garantie de l’anonymat) ;
  • Que l’électeur peut vérifier que son bulletin est bien présent dans l’urne (Garantie de Traçabilité) ;
  • Qu’une fois le bulletin déposé dans l’urne, il ne puisse plus être modifié (Garantie d’Intégrité) ;
  • Que l’électeur dispose bien d’une preuve de vote ;
  • Que chaque bulletin déposé dans l’urne est bien comptabilité et correspond à chaque fois à un émargement horodaté ;
  • Qu’il est impossible pour un électeur de voter plus d’une seule fois ;
  • Qu’il est impossible de retirer des bulletins de l’urne pendant les scrutins et une fois les scrutins clos ;
  • Que tous les bulletins seront pris en compte lors du dépouillement ;
  • Qu’un électeur qui a perdu ses codes dispose d’une assistance lui permettant de voter avec de nouveaux codes ;
  • Qu’en cas de contestation, les élections peuvent être rejouées à partir de chacune des traces automatiquement enregistrées ;
  • Que les mesures de sécurité mises en place on réduit à leur minimum les risques d’usurpation d’identité ;
  • Que les mesures de sécurité mises en place ont réduit à leur minimum les risques de piratage de la liaison Internet de l’électeur, la modification ou la falsification d’un vote  ;
  • Que les électeurs disposeront bien d’une notice d’utilisation.

 

Les points de contrôle

Nos points de contrôles portent sur :

  • Le code source correspondant à la version du logiciel effectivement mise en œuvre ;
  • Les mécanismes de scellement utilisés aux différentes étapes du scrutin ;
  • Le système informatique sur lequel le vote va se dérouler ;
  • Les échanges réseau;
  • Les mécanismes de chiffrement utilisés, notamment pour le chiffrement du bulletin de vote ;
  • Les mécanismes d’authentification des électeurs et la transmission des secrets à ces derniers ;
  • L’évaluation du niveau de risque du scrutin ;
  • La pertinence et l’effectivité des solutions apportées par la solution de vote aux objectifs de sécurité.

Une démarche rassurante

La réalisation de ces contrôles par un Expert neutre et impartial permet de garantir à la fois aux candidats et aux électeurs qu’un organisme externe et indépendant de l’organisateur des élections et indépendant de l’éditeur de la plateforme de vote électronique a effectué les contrôles stricts permettant de garantir la vérification du respect des exigences de la CNIL représentant une base technique et réglementaire de confiance.

Certains nous demandent aussi…

Face à des élections sensibles (fort risque de contestation et enjeux importants), il nous est assez souvent demandé de réaliser des opérations complémentaires :

  • Vous accompagner dans la rédaction du cahier des charges lors de l’appel d’offre aux éditeurs ;
  • Vous accompagner pendant le grand oral consistant à l’analyse des offres des prestataires en réponse à l’appel d’offre éventuel que vous auriez éventuellement lancé ;
  • Vous accompagner pendant toute la phase consistant à choisir les mesures d’authentification des électeurs et de personnalisation de la plateforme selon vos exigences ;
  • Être présent en VISIO ou EN PRÉSENTIEL lors de la cérémonie de scellement des urnes et du dépouillement ;
  • Réaliser des Tests d’intrusion (sur une plateforme mirroir pour épargner le fonctionnement de la plateforme officielle).

Toutes ces prestations complémentaires on tbien évidemment un coût qui vient en complément du prix de notre Expertise minimale.

 

Certains nous demandent aussi…

Face à des élections sensibles (fort risque de contestation et enjeux importants), il nous est assez souvent demandé de réaliser des opérations complémentaires :

  • Vous accompagner dans la rédaction du cahier des charges lors de l’appel d’offre aux éditeurs ;
  • Vous accompagner pendant le grand oral consistant à l’analyse des offres des prestataires en réponse à l’appel d’offre éventuel que vous auriez éventuellement lancé ;
  • Vous accompagner pendant toute la phase consistant à choisir les mesures d’authentification des électeurs et de personnalisation de la plateforme selon vos exigences ;
  • Être présent en VISIO ou EN PRÉSENTIEL lors de la cérémonie de scellement des urnes et du dépouillement ;
  • Réaliser des Tests d’intrusion (sur une plateforme mirroir pour épargner le fonctionnement de la plateforme officielle).

Toutes ces prestations complémentaires on tbien évidemment un coût qui vient en complément du prix de notre Expertise minimale.

Mais au fait, combien coûte l’expertise indépendante d’une plateforme de vote électronique ? 

 

Comment ça se passe en détail ?

La CNIL demande de commencer l’expertise de la solution de vote électronique avant l’ouverture des scrutins (nos travaux démarrent généralement de 15 à 45 jours avant la cérémonie de scellement des urnes) et d’en assurer le suivi du fonctionnement juqu’à la suppression des données personnelles détenue par le prestataire et se ssous-traitants.

Nous pouvons donc présenter nos travaux d’expertise de la manière chronologique suivante :

 OPTIONS
-2Option d’accompagnement à la rédaction du cahier des charges
-1Option participation au grand oral et/ou analyse des offres encoyées par les prestataires
EXPERTISE CONFORMÉMENT À LA DÉLIBÉRATION DE LA CNIL
1 Expertise préalable chez l’éditeur ;
2 Avis technique avant ouverture des élections ;
– code source ;
– serveurs ;
– vérifications des mesures sécurité prévues coté prestataire ;
– vérifications des mesures sécurité prévues coté organisateur ;
– vérifications des mesures sécurité prévues coté électeur ;
2bis Options surveillance en visio ou en présentiel de la cérémonie de scellement ;
3 Surveillance du déroulement des élections ;
4 Avis technique avant dépouillement ;
4bis Options surveillance en visio ou en présentiel du dépouillement des urnes ;
5 Vérification de la destruction des données ou de toute la plateforme ;
6 Rapport final.

Que se passe t-il en cas d’anomalie ?

  • ANOMALIE DÉTECTÉE AVANT L’OUVERTURE DES SCRUTINS
    Lorsque une anomalie est  détectée avant l’ouverture des élections, pendant l’expertise préalable, nous remontons l’information à l’éditeur qui a ensuite toute latitude pour corriger l’anomalie. Si l’anomalie est toujours présente avant l’ouverture des scrutins, elle figurera dans notre avis technique préalable à l’ouverture des élections.

  • ANOMALIE DÉTECTÉE PENDANT VOS ÉLECTIONS
    Lorsqu’une anomalie se produit pendant vos élections (rupture des scellements des urnes, rupture d’intégrité de la liste d’émargement, du contenu des urnes…), une alerte doit être automatiquement envoyée au bureau de vote (et éventuellement à l’Expert).
 
Texte de référence

Selon la délibération de la CNIL n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet, portée au Journal Officiel le 21 juin 2019 :

Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire.

Ce texte peut être consulté et téléchargé à l’adresse suivante : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239