II. Sur le scrutin
II.1. Sur les opérations précédant l'ouverture du scrutin
II.1.1. La confidentialité des données
Les fichiers nominatifs des électeurs constitués aux fins d'établir la liste électorale, d'adresser le matériel de vote et de réaliser les émargements ne peuvent être utilisés qu'aux fins précitées et ne peuvent être divulgués sous peine des sanctions pénales encourues au titre des articles 226-17 et 226-21 du code pénal.
La confidentialité des données est également opposable aux techniciens en charge de la gestion ou de la maintenance du système informatique.
Les fichiers comportant les éléments d'authentification des électeurs, les clés de chiffrement/déchiffrement et le contenu de l'urne ne doivent pas être accessibles, de même que la liste d'émargement, sauf aux fins de contrôle de l'effectivité de l'émargement des électeurs.
En cas de recours à un prestataire extérieur, celui-ci doit s'engager contractuellement à respecter ces dispositions par la signature d'une clause de confidentialité et de sécurité et à fournir le descriptif détaillé du dispositif technique mis en œuvre pour assurer cette confidentialité. Le prestataire doit également s'engager à restituer les fichiers restant en sa possession à l'issue des opérations électorales et à détruire toutes les copies totales ou partielles qu'il aurait été amené à effectuer sur quelque support que ce soit.
Le prestataire peut recevoir automatiquement des informations techniques sur le fonctionnement du système de vote pendant tout le déroulement du scrutin. Le prestataire ne doit intervenir sur le système de vote qu’en cas de dysfonctionnement informatique résultant d'une attaque du système par un tiers, d'une infection virale, d'une défaillance technique ou d'une altération des données. Un dispositif technique doit garantir que le bureau de vote est informé automatiquement et immédiatement de tout accès par le prestataire à la plate-forme de vote. Le prestataire doit informer le bureau de vote de toutes les mesures prises pour remédier au dysfonctionnement constaté. Le système de vote doit comprendre un module permettant la remontée automatique de cette information au bureau de vote.
Toutes les actions effectuées sur le serveur de vote ainsi que celles concernant le déroulement du scrutin doivent faire l'objet d'une journalisation. L’intégrité de cette journalisation doit être garantie à tout moment par un procédé cryptographique.
Le bureau de vote, quant à lui, a compétence pour prendre toute mesure d'information et de sauvegarde et notamment pour décider la suspension des opérations de vote. Le système de vote doit permettre d’informer les électeurs de cette éventuelle décision.
II.1.2. Les procédés d'authentification de l'électeur
Le système de vote doit prévoir l’authentification des personnes autorisées à accéder au système pour exprimer leur vote. Il doit garantir la confidentialité des moyens fournis à l’électeur pour cet accès et prendre toutes précautions utiles afin d’éviter qu’une personne non autorisée ne puisse se substituer frauduleusement à l’électeur.
La Commission estime qu’une authentification de l'électeur sur la base d'un certificat électronique constitue la solution la plus satisfaisante en l'état de la technique. Le certificat électronique doit être choisi et utilisé conformément aux préconisations du RGS.
Dans le cas du recours à un dispositif biométrique pour l’authentification, le responsable de traitement doit respecter les formalités imposées par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
A défaut de recourir aux solutions précitées, dans le cas de la génération d'identifiants et de mots de passe à partir de la liste électorale, le fichier ainsi créé doit faire l'objet d'un chiffrement. Les modalités de génération et d'envoi des codes personnels doivent être conçues de façon à garantir leur confidentialité et en particulier, que les divers prestataires éventuels ne puissent pas en prendre connaissance.
Dans le cas où le vote s'opérerait par l'enregistrement d'un identifiant permanent apposé sur une carte ou tout autre document ainsi qu'un mot de passe envoyé à chaque électeur, la génération de ces identifiants et mots de passe doit se faire dans les mêmes conditions de sécurité que celles énumérées ci-dessus. Il en va de même de l'envoi du mot de passe.
L'authentification de l'électeur peut être renforcée par un dispositif de type défi/réponse - c'est à dire l'envoi par le serveur d'authentification d'une question dont l'électeur est seul à connaître la réponse - ou par l’envoi d’un code par SMS sur le téléphone personnel de l’électeur.
En cas de perte ou de vol de ses moyens d'authentification, une procédure doit permettre à l'électeur d'effectuer son vote et de rendre les moyens d’authentification perdus ou volés inutilisables.
Le vote doit être accessible à tous les systèmes d’exploitation et tous les navigateurs utilisés par les électeurs. A défaut de mettre à disposition du matériel de vote accessible à tous, une procédure manuelle doit être prévue.
II.1.3. L'information des électeurs
Il convient de fournir aux électeurs en temps utile une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote électronique.
II.1.4. Le contrôle du système avant l'ouverture du scrutin
Un contrôle du système de vote électronique doit être organisé avant l'ouverture du scrutin et en présence des scrutateurs afin de constater la présence des différents scellements, le bon fonctionnement des machines, que la liste d’émargement est vierge et que l'urne électronique destinée à recevoir les votes est bien vide.
II.1.5. Les clés de chiffrement
La génération des clés destinées à permettre le déchiffrement des bulletins de vote doit être publique et se dérouler avant l’ouverture du scrutin. Cette procédure doit être conçue de manière à prouver de façon irréfutable que seuls le président du bureau et ses assesseurs prennent connaissance de ces clés, à l'exclusion de toute autre personne y compris les personnels techniques chargés du déploiement du système de vote. La Commission estime que le nombre de clés de chiffrement doit être au minimum de trois, la combinaison d’au moins deux de ces clés étant indispensable pour permettre le dépouillement.
Le système de vote doit garantir que des résultats partiels (hormis le nombre de votants) ne seront pas accessibles durant le déroulement du scrutin.
II.2. Sur le déroulement du vote
II.2.1. Le vote
Les heures d'ouverture et de fermeture du scrutin électronique doivent pouvoir être contrôlées par les membres du bureau de vote et les personnes désignées ou habilitées pour assurer le contrôle des opérations électorales.
Pour se connecter à distance ou sur place au système de vote, l'électeur doit s’authentifier conformément à la présente recommandation. Au cours de cette procédure, le serveur de vote vérifie l’identité de l’électeur et que celui-ci est bien autorisé à voter. Dans ce cas, il accède aux listes ou aux candidats officiellement retenus et dans l'ordre officiel. Le vote blanc doit être prévu lorsque la loi l'autorise.
L'électeur doit pouvoir choisir une liste, un candidat ou un vote blanc de façon à ce que ce choix apparaisse clairement à l'écran, indépendamment de toute autre information. Il doit avoir la possibilité de revenir sur ce choix. Il valide ensuite son choix et cette opération déclenche l'envoi du bulletin de vote dématérialisé vers le serveur des votes.
L'électeur doit recevoir immédiatement confirmation de son vote et avoir la possibilité de conserver une trace de cette confirmation.
II.2.2. Le chiffrement du bulletin de vote
Le bulletin de vote doit être chiffré par un algorithme public réputé « fort » dès son émission sur le poste de l’électeur et être stocké dans l’urne, en vue du dépouillement, sans avoir été déchiffré à aucun moment, même de manière transitoire. La liaison entre le terminal de vote de l'électeur et le serveur des votes doit faire l'objet d'un chiffrement distinct de celui qui s’applique au bulletin pour assurer la sécurité tant du procédé d'authentification de l'électeur que la confidentialité de son vote. La mise en place du canal de communication doit intégrer une authentification du serveur de vote.
Par ailleurs, le stockage du bulletin dans l’urne ne doit pas comporter d’horodatage, pour éviter tout rapprochement avec la liste d’émargement.
II.2.3. L'émargement
L'émargement doit se faire dès la validation du vote de façon à ce qu'un autre vote ne puisse intervenir à partir des éléments d'authentification de l'électeur déjà utilisés. L'émargement comporte un horodatage. Cette liste, aux fins de contrôle de l'émargement, ainsi que le compteur des votes ne doivent être accessibles qu'aux membres du bureau de vote et aux personnes autorisées.
II.2.4. Le dépouillement
La fermeture du scrutin doit immédiatement être suivie d’une phase de scellement de l’urne et de la liste d’émargement, phase qui précède le dépouillement. L’ensemble des informations nécessaires à un éventuel contrôle a posteriori doit également être recueilli lors de cette phase. Ces éléments sont enregistrés sur un support scellé, non réinscriptible et probant.
Le dépouillement est actionné par les clés de déchiffrement, remises aux membres du bureau dûment désignés au moment de la génération de ces clés. Les membres du bureau doivent actionner publiquement le processus de dépouillement.
Les décomptes des voix par candidat ou liste de l'élection doivent apparaître lisiblement à l'écran et faire l'objet d'une édition sécurisée, c’est-à-dire d’un mécanisme garantissant que l’affichage et l’impression des résultats correspondent au décompte de l’urne, pour être portés au procès-verbal de l'élection. Le cas échéant, l'envoi des résultats à un bureau centralisateur à distance doit s'effectuer par une liaison sécurisée empêchant toute captation ou modification des résultats.
Le système de vote électronique doit être bloqué après le dépouillement de sorte qu'il soit impossible de reprendre ou de modifier les résultats après la décision de clôture du dépouillement prise par la commission électorale.
A télécharger :
Aucun commentaire:
Enregistrer un commentaire