Article 3

Partie 1 : Le vote

Les heures d'ouverture et de fermeture du scrutin électronique doivent pouvoir être contrôlées par les membres du bureau de vote et les personnes désignées ou habilitées pour assurer le contrôle des opérations électorales.

Pour se connecter à distance ou sur place au système de vote, l'électeur doit s'authentifier conformément à la présente recommandation. Au cours de cette procédure, le serveur de vote vérifie l'identité de l'électeur et que celui-ci est bien autorisé à voter. Dans ce cas, il accède aux listes ou aux candidats officiellement retenus et dans l'ordre officiel. Le vote blanc doit être prévu lorsque la loi l'autorise.

L'électeur doit pouvoir choisir une liste, un candidat ou un vote blanc de façon à ce que ce choix apparaisse clairement à l'écran, indépendamment de toute autre information. Il doit avoir la possibilité de revenir sur ce choix. Il valide ensuite son choix et cette opération déclenche l'envoi du bulletin de vote dématérialisé vers le serveur des votes.

L'électeur doit recevoir immédiatement confirmation de son vote et avoir la possibilité de conserver une trace de cette confirmation.

     
 

voteo_conformite_recommandations_cnil

Les heures d'ouverture et de fermeture du bureau sont affichées à tout moment sur la page d'accueil du site.

Dès l'ouverture du vote, l'électeur peut se connecter au site de n'importe quel poste informatique, tablette ou smartphone.

Chaque électeur ne voit que les scrutins de son établissement et de son collège. Il peut choisir de voter pour une liste (avec la possibilité de rature) ou de voter blanc. Une fois son choix effectué, l'utilisateur est dirigé vers un écran de validation et a la possibilité de confirmer ou modifier son vote. La validation du vote déclenche l'envoi crypté du bulletin virtuel dans l'urne.

L'utilisateur est ensuite redirigé vers la page d'accueil où il peut télécharger ou imprimer un accusé de réception contentant la date et l'heure de son vote.

 
     

 

Partie 2 : Le chiffrement du bulletin de vote

Le bulletin de vote doit être chiffré par un algorithme public réputé « fort » dès son émission sur le poste de l'électeur et être stocké dans l'urne, en vue du dépouillement, sans avoir été déchiffré à aucun moment, même de manière transitoire. La liaison entre le terminal de vote de l'électeur et le serveur des votes doit faire l'objet d'un chiffrement distinct de celui qui s'applique au bulletin pour assurer la sécurité tant du procédé d'authentification de l'électeur que la confidentialité de son vote. La mise en place du canal de communication doit intégrer une authentification du serveur de vote.

Par ailleurs, le stockage du bulletin dans l'urne ne doit pas comporter d'horodatage, pour éviter tout rapprochement avec la liste d'émargement.

     
  voteo_conformite_decret_2011-595

Votéo assure le chiffrement du bulletin virtuel dès le terminal de vote de l'électeur et jusqu'à l'urne électronique. L'envoi du bulletin de vote du poste des électeurs est crypté par deux systèmes cryptographiques réseau et applicatif (TLS et RSA)

 
     

 

Partie 3 : L'émargement

L'émargement doit se faire dès la validation du vote de façon à ce qu'un autre vote ne puisse intervenir à partir des éléments d'authentification de l'électeur déjà utilisés.

L'émargement comporte un horodatage. Cette liste, aux fins de contrôle de l'émargement, ainsi que le compteur des votes ne doivent être accessibles qu'aux membres du bureau de vote et aux personnes autorisées.

     
  voteo_conformite_decret_2011-595

L'émargement se fait de façon automatique dès l'insertion du bulletin dans l'urne. La liste électorale est disponible par le biais de la console d'administration dont l'accès est réservé aux membres du bureau de vote.

 
     

 

Partie 4 : Le dépouillement

La fermeture du scrutin doit immédiatement être suivie d'une phase de descellement de l'urne et de la liste d'émargement, phase qui précède le dépouillement.

L'ensemble des informations nécessaires à un éventuel contrôle a posteriori doit également être recueilli lors de cette phase. Ces éléments sont enregistrés sur un support scellé, non réinscriptible et probant.

Le dépouillement est actionné par les clés de déchiffrement, remises aux membres du bureau dûment désignés au moment de la génération de ces clés. Les membres du bureau doivent actionner publiquement le processus de dépouillement.

Les décomptes des voix par candidat ou liste de l'élection doivent apparaître lisiblement à l'écran et faire l'objet d'une édition sécurisée, c'est-à-dire d'un mécanisme garantissant que l'affichage et l'impression des résultats correspondent au décompte de l'urne, pour être portés au procès-verbal de l'élection. Le cas échéant, l'envoi des résultats à un bureau centralisateur à distance doit s'effectuer par une liaison sécurisée empêchant toute captation ou modification des résultats.

Le système de vote électronique doit être bloqué après le dépouillement de sorte qu'il soit impossible de reprendre ou de modifier les résultats après la décision de clôture du dépouillement prise par la commission électorale. 

     
 

voteo_conformite_recommandations_cnilDès la fin du vote, VOTEO verrouille les écrans de votes et il n'est plus possible d'insérer un bulletin dans l'urne, même pour une session en cours. Les utilisateurs ne peuvent plus se connecter à l'application.

Les responsables des clés de chiffrement se connectent à la console d'administration et enregistrent leur clé en suivant le mode opératoire. Chaque clé peut être enregistrée de manière indépendante. Une fois la dernière clé rentrée et le vote clos, le Président du bureau peut procéder au descellement.

Après descellement, le président peut dépouiller. Il est alors impossible de reprendre ou modifier les résultats. Les PV CERFA sont pré remplis et édités au format PDF. Le président du bureau de vote doit contrôler les PVs, puis tous les documents sont signés par le président et les autres membres du bureau de vote.

 
     

 

 

Lire la suite des articles

art4_cnil