Article 2

Partie 1 : La confidentialité des données

Les fichiers nominatifs des électeurs constitués aux fins d'établir la liste électorale, d'adresser le matériel de vote et de réaliser les émargements ne peuvent être utilisés qu'aux fins précitées et ne peuvent être divulgués sous peine des sanctions pénales encourues au titre des articles 226-17 et 226-21 du code pénal.

La confidentialité des données est également opposable aux techniciens en charge de la gestion ou de la maintenance du système informatique.

Les fichiers comportant les éléments d'authentification des électeurs, les clés de chiffrement/déchiffrement et le contenu de l'urne ne doivent pas être accessibles, de même que la liste d'émargement, sauf aux fins de contrôle de l'effectivité de l'émargement des électeurs.

En cas de recours à un prestataire extérieur, celui-ci doit s'engager contractuellement à respecter ces dispositions par la signature d'une clause de confidentialité et de sécurité et à fournir le descriptif détaillé du dispositif technique mis en ouvre pour assurer cette confidentialité.

Le prestataire doit également s'engager à restituer les fichiers restant en sa possession à l'issue des opérations électorales et à détruire toutes les copies totales ou partielles qu'il aurait été amené à effectuer sur quelque support que ce soit. Le prestataire peut recevoir automatiquement des informations techniques sur le fonctionnement du système de vote pendant tout le déroulement du scrutin. Le prestataire ne doit intervenir sur le système de vote qu'en cas de dysfonctionnement informatique résultant d'une attaque du système par un tiers, d'une infection virale, d'une défaillance technique ou d'une altération des données.

Un dispositif technique doit garantir que le bureau de vote est informé automatiquement et immédiatement de tout accès par le prestataire à la plate-forme de vote. Le prestataire doit informer le bureau de vote de toutes les mesures prises pour remédier au dysfonctionnement constaté. Le système de vote doit comprendre un module permettant la remontée automatique de cette information au bureau de vote.

Toutes les actions effectuées sur le serveur de vote ainsi que celles concernant le déroulement du scrutin doivent faire l'objet d'une journalisation. L'intégrité de cette journalisation doit être garantie à tout moment par un procédé cryptographique.

 

     
 

voteo_conformite_recommandations_cnil

Le client doit fournir à AKG SOLUTIONS la liste électorale de façon sécurisée. Le fichier de vote est chargé automatiquement dans le logiciel sans traitement supplémentaire, sans modification et sans être lu par l'équipe technique.

AKG SOLUTIONS peut, après consultation avec le client, mettre hors ligne le système de vote. La suspension du vote n'entraine aucune perte de données et ne remet pas en cause l'inviolabilité du système.

Toutes les actions effectuées sur le serveur de vote font l'objet d'une journalisation.

 
     

 

Partie 2 : Les procédés d'authentification de l'électeur

Le système de vote doit prévoir l'authentification des personnes autorisées à accéder au système pour exprimer leur vote. Il doit garantir la confidentialité des moyens fournis à l'électeur pour cet accès et prendre toutes précautions utiles afin d'éviter qu'une personne non autorisée ne puisse se substituer frauduleusement à l'électeur.

La Commission estime qu'une authentification de l'électeur sur la base d'un certificat électronique constitue la solution la plus satisfaisante en l'état de la technique. Le certificat électronique doit être choisi et utilisé conformément aux préconisations du RGS.

Dans le cas du recours à un dispositif biométrique pour l'authentification, le responsable de traitement doit respecter les formalités imposées par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.

A défaut de recourir aux solutions précitées, dans le cas de la génération d'identifiants et de mots de passe à partir de la liste électorale, le fichier ainsi créé doit faire l'objet d'un chiffrement. Les modalités de génération et d'envoi des codes personnels doivent être conçues de façon à garantir leur confidentialité et en particulier, que les divers prestataires éventuels ne puissent pas en prendre connaissance.

Dans le cas où le vote s'opérerait par l'enregistrement d'un identifiant permanent apposé sur une carte ou tout autre document ainsi qu'un mot de passe envoyé à chaque électeur, la génération de ces identifiants et mots de passe doit se faire dans les mêmes conditions de sécurité que celles énumérées ci-dessus. Il en va de même de l'envoi du mot de passe.

L'authentification de l'électeur peut être renforcée par un dispositif de type défi/réponse - c'est à dire l'envoi par le serveur d'authentification d'une question dont l'électeur est seul à connaître la réponse - ou par l'envoi d'un code par SMS sur le téléphone personnel de l'électeur.

En cas de perte ou de vol de ses moyens d'authentification, une procédure doit permettre à l'électeur d'effectuer son vote et de rendre les moyens d'authentification perdus ou volés inutilisables.

 

     
 

voteo_conformite_recommandations_cnil

L'utilisateur a besoin de trois identifiants pour se connecter. Deux lui sont adressés par courrier ou courriel, le troisième n'est connu que de lui (sa date de naissance par exemple). Ce troisième critère d'authentification implique que même en cas d'interception du courrier ou courriel la connexion à l'application est impossible. Enfin, Votéo permet la régénération des moyens d'authentification d'un électeur de façon sécurisée et anonyme.
 
     

 

Partie 3 : L'information des électeurs

Il convient de fournir aux électeurs en temps utile une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote électronique.

     
  voteo_conformite_decret_2011-595

AKG SOLUTIONS fournit un mode opératoire détaillé à chaque utilisateur par courrier ou courriel.

 
     

 

Partie 4 : Le contrôle du système avant l'ouverture du scrutin

Un contrôle du système de vote électronique doit être organisé avant l'ouverture du scrutin et en présence des scrutateurs afin de constater la présence des différents scellements, le bon fonctionnement des machines, que la liste d'émargement est vierge et que l'urne électronique destinée à recevoir les votes est bien vide.

     
  voteo_conformite_decret_2011-595

VOTEO propose un ensemble d'outils pour valider le système de vote. Avant le scellement, les membres du bureau de vote pourront procéder à un vote test (appelé test à blanc) dans les conditions réelles du vote pour vérifier le choix du vote, l'envoi du bulletin dans l'urne, l'émargement et le dépouillement.

 
     

 

Partie 5 : Les clés de chiffrement

La génération des clés destinées à permettre le déchiffrement des bulletins de vote doit être publique et se dérouler avant l'ouverture du scrutin.

Cette procédure doit être conçue de manière à prouver de façon irréfutable que seuls le président du bureau et ses assesseurs prennent connaissance de ces clés, à l'exclusion de toute autre personne y compris les personnels techniques chargés du déploiement du système de vote. La Commission estime que le nombre de clés de chiffrement doit être au minimum de trois, la combinaison d'au moins deux de ces clés étant indispensable pour permettre le dépouillement.

Le système de vote doit garantir que des résultats partiels (hormis le nombre de votants) ne seront pas accessibles durant le déroulement du scrutin.

     
 

voteo_conformite_recommandations_cnilSi tous les membres du bureau de vote valident le vote test, le système procède à la création de trois clés de chiffrement. Ces clés sont calculées à partir de l'empreinte numérique du système de vote.

Chaque clé est mise sous enveloppe scellée et envoyée par courrier recommandé aux trois responsables des clés.

Aucun résultat partiel ne peut être comptabilisé car l'application empêche l'accès au contenu de l'urne pendant le vote.

 
     

 

 

Lire la suite des articles

art3_cnil