EXPERTISES INDÉPENDANTES DE
SYSTÈMES DE VOTE ÉLECTRONIQUE

Que disent les textes ?

Pour nos expertises, le principal texte de référence est la délibération de la CNIL n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.

Le lien officiel vers le Journal Officiel est ici

Cette délibération abroge la précédente délibération de la CNIL n° 2010-371 du 21 octobre 2010 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique dont le texte officiel est consultable ici

Elle s’adresse d’abord à vous, les organisateurs

LA CNIL FIXE LE CADRE DE DEPART
Devant l’extension continue du vote par Internet à tous types d’élections, la commission souhaite rappeler que le vote par correspondance électronique, notamment via Internet, présente des difficultés accrues au regard des principes susmentionnés pour les personnes chargées d’organiser le scrutin et celles chargées d’en vérifier le déroulement, principalement à cause de l’opacité et de la technicité importante des solutions mises en œuvre, ainsi que de la très grande difficulté de s’assurer de l’identité et de la liberté de choix de la personne effectuant les opérations de vote à distance.

La CNIL IMPOSE
Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire.
L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), la constitution des listes d’électeurs et leur enrôlement et l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).

La nouvelle délibération doit être prise en compte par les responsables de traitement après un délai transitoire de douze mois à compter de sa publication. Pour information, elle a été publiée le 21 juin 2019.

Avec 6 mois d’avance sur la date fixée par la CNIL, LE NET EXPERT réalise des expertises conformément à ce nouveau référentiel depuis début 2020.

Par rapport à la précédente délibération, les nouvelles règles augmentent les niveaux de sécurité exigés auprès des éditeurs de logiciels mais aussi implique les organisateurs d’élections doivent être très précautionneux des données d’électeurs. Ils doivent, avant toute opération nous indiquer le niveau de sécurité auquel répondent leurs élections afin de déterminer le niveau de risque associé.

Nos points de contrôles se feront sur :

• Le code source correspondant à la version du logiciel effectivement mise en œuvre ;
• Les mécanismes de scellement utilisés aux différentes étapes du scrutin ;
• Le système informatique sur lequel le vote va se dérouler ;
• Les échanges réseau ;
• Les mécanismes de chiffrement utilisés, notamment pour le chiffrement du bulletin de vote ;
• Les mécanismes d’authentification des électeurs et la transmission des secrets à ces derniers ;
• L’évaluation du niveau de risque du scrutin ;
• La pertinence et l’effectivité des solutions apportées par la solution de vote aux objectifs de sécurité.

D’autres textes

• Articles R.6144-42 à R.6144-66 du Code de la Santé Publique relatifs à la composition des comités techniques d’établissement des établissements publics de santé, en vue de l’élection des représentants du personnel du CTE (Comité Technique d’Etablissement) ;
• Décret n° 91-155 du 6 février 1991 relatif aux dispositions générales applicables aux agents contractuels des établissements mentionnés à l’article 2 de la loi n° 86-33 du 9 janvier 1986 modifiée portant dispositions statutaires relatives à la fonction publique hospitalière ;
• Décret n°2003-655 du 18 juillet 2003 relatif aux commissions administratives paritaires locales et départementales de la fonction publique hospitalière, en vue de l’élection des représentants du personnel des Commissions Administratives Paritaires Locales (CAPL) et des Commissions Administratives Paritaires Départementales (CAPD) ;
• Décret n° 2017-1560 du 14 novembre 2017 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l’élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique hospitalière ;
• Arrêté du 16 avril 2019 relatif aux modalités d’organisation du vote électronique par internet pour les élections professionnelles au conseil supérieur des personnels médicaux, odontologistes et pharmaceutiques des établissements publics de santé ;

Pour les SDIS

• Décret n° 2020-144 du 20 février 2020 relatif aux conditions et modalités de mise en œuvre du vote électronique par Internet pour l’élection des représentants des personnels au sein des instances spécifiques des services d’incendie et de secours.

• Arrêté du 16 juillet 2019 relatif aux modalités d’organisation du vote électronique par internet des personnels relevant de la direction générale des douanes et droits indirects pour l’élection des représentants des personnels aux comités techniques et aux commissions administratives paritaires pour les élections professionnelles partielles fixées du 18 au 21 novembre 2019 ;

Pour les fonctionnaires de l’éducation Nationale

• Bulletin officiel spécial n°4 du 30 août 2018 sur les modalités d’organisation du vote électronique par Internet des personnels relevant du Men et du Mesri pour l’élection des représentants des personnels aux comités techniques, aux commissions administratives paritaires, aux commissions consultatives.

• Décret n° 2014-793 du 9 juillet 2014 relatif aux conditions et modalités de mise en  œuvre du vote électronique par Internet pour l’élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique territoriale.

• Arrêté du 25 avril 2007 pris en application du décret n° 2007-602 du 25 avril 2007 relatif aux conditions et aux modalités de vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise et modifiant le code du travail (deuxième partie : Décrets en Conseil d’Etat).