Mise en place d’un système de vote électronique, quelques conseils
|
La délibération n° 2010-371 du 21 octobre 2010 de la CNIL portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique indique que tout système de vote électronique doit faire l’objet d’une expertise indépendante.
Le vote électronique, souvent via internet, connaît un développement important depuis plusieurs années, notamment pour les élections professionnelles au sein des entreprises.
La mise en place des traitements de données personnelles nécessaires au vote doit veiller à garantir la protection de la vie privée des électeurs, notamment quand il s’agit d’élections syndicales ou politiques.
La CNIL souligne que le recours à de tels systèmes doit s’inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales : le secret du scrutin (sauf pour les scrutins publics), le caractère personnel, libre et anonyme du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection. Ces systèmes de vote électronique doivent également respecter les prescriptions des textes constitutionnels, législatifs et réglementaires en vigueur.
Les mesures de sécurité sont donc essentielles pour un succès des opérations de vote mais mettent en œuvre des mesures compliquées, comme par exemple l’utilisation de procédés cryptographiques pour le scellement et le chiffrement.
La délibération n° 2010-371 du 21 octobre 2010 de la CNIL portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique indique que tout système de vote électronique doit faire l’objet d’une expertise indépendante.
Par ailleurs, l’article R2314-12 du Code du Travail créé par Décret n°2008-244 du 7 mars 2008 – art. (V) fixe très clairement que préalablement à sa mise en place ou à toute modification substantielle de sa conception, un système de vote électronique est soumis à une expertise indépendante. Le rapport de l’expert est tenu à la disposition de la Commission nationale de l’informatique et des libertés.
Information complémentaire : Les articles R2314-8 à 21 et R2324-4 à 17 du Code du Travail indiquent de manière lus générale les modalités du vote électronique lors du scrutin électoral de l’élection des délégués du personnel et des délégués du personnel au comité d’entreprise.
Ces dispositions ont été complétées par la délibération 2010-371 de la CNIL du 21 octobre 2010 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique.
L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).
L’expertise doit porter sur l’ensemble des mesures décrites dans la présente délibération et notamment sur :
- le code source du logiciel y compris dans le cas de l’utilisation d’un logiciel libre,
- les mécanismes de scellement utilisés aux différentes étapes du scrutin (voir ci-après),
- le système informatique sur lequel le vote va se dérouler, et notamment le fait que le scrutin se déroulera sur un système isolé ;
- les échanges réseau,
- les mécanismes de chiffrement utilisé, notamment pour le chiffrement du bulletin de vote sur le poste de l’électeur.
L’expertise doit être réalisée par un expert indépendant, c’est-à-dire qu’il devra répondre aux critères suivants :
- Être un informaticien spécialisé dans la sécurité ;
- Ne pas avoir d’intérêt financier dans la société qui a créé la solution de vote à expertiser, ni dans la société responsable de traitement qui a décidé d’utiliser la solution de vote ;
- Posséder une expérience dans l’analyse des systèmes de vote, si possible en ayant expertisé les systèmes de vote électronique d’au moins deux prestataires différents ;
- Avoir suivi la formation délivrée par la CNIL sur le vote électronique.
Le rapport d’expertise doit être remis au responsable de traitement. Les prestataires de solutions de vote électronique doivent, par ailleurs, transmettre à la CNIL les rapports d’expertise correspondants à la première version et aux évolutions substantielles de la solution de vote mise en place.
Si l’expertise peut couvrir un champ plus large que celui de la présente recommandation, le rapport d’expertise fourni au responsable de traitement doit comporter une partie spécifique présentant l’évaluation du dispositif au regard des différents points de la recommandation.
L’expert doit fournir un moyen technique permettant de vérifier a posteriori que les différents composants logiciels sur lesquels a porté l’expertise n’ont pas été modifiés sur le système utilisé durant le scrutin. La méthode et les moyens permettant d’effectuer cette vérification doivent être décrits dans le rapport d’expertise.
A Lire aussi :
Nouveautés dans l’organisation des votes électroniques pour les élections professionnelles
3 points à retenir pour vos élections par Vote électronique
Le décret du 6 décembre 2016 qui modifie les modalités de vote électronique
Modalités de recours au vote électronique pour les Entreprises
L’Expert Informatique obligatoire pour valider les systèmes de vote électronique
Dispositif de vote électronique : que faire ?
La CNIL sanctionne un employeur pour défaut de sécurité du vote électronique pendant une élection professionnelle
Notre sélection d'articles sur le vote électronique
Vous souhaitez organiser des élections par voie électronique ?
Cliquez ici pour une demande de chiffrage d'Expertise
Vos expertises seront réalisées par Denis JACOPINI :
- Expert en Informatique assermenté et indépendant ;
- spécialisé dans la sécurité (diplômé en cybercriminalité et certifié en Analyse de risques sur les Systèmes d'Information « ISO 27005 Risk Manager ») ;
- ayant suivi la formation délivrée par la CNIL sur le vote électronique ;
- qui n'a aucun accord ni intérêt financier avec les sociétés qui créent des solution de vote électronique ;
- et possède une expérience dans l’analyse de nombreux systèmes de vote de prestataires différents.
Denis JACOPINI ainsi respecte l'ensemble des conditions recommandées dans la Délibération de la CNIL n° 2019-053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.
Son expérience dans l'expertise de systèmes de votes électroniques, son indépendance et sa qualification en sécurité Informatique (ISO 27005 et cybercriminalité) vous apporte l'assurance d'une qualité dans ses rapport d'expertises, d'une rigueur dans ses audits et d'une impartialité et neutralité dans ses positions vis à vis des solutions de votes électroniques.
Correspondant Informatique et Libertés jusqu'en mai 2018 et depuis Délégué à La Protection des Données, nous pouvons également vous accompagner dans vos démarches de mise en conformité avec le RGPD (Règlement Général sur la Protection des Données).
http://www.cnil.fr/les-themes/vie-citoyenne/vote-electronique/ http://www.cnil.fr/documentation/deliberations/deliberation/delib/249/ http://infosdroits.fr/la-cnil-sanctionne-un-employeur-pour-defaut-de-securite-du-vote-electronique-pendant-une-election-professionnelle/
Aucun commentaire jusqu'à présent.