Vote électronique – CNIL : Nouvelles règlementations 2019 :
Quels changements dans l’expertise ?
La plateforme utilisée pour le vote électronique ainsi que son expertise doivent être conformes au cadre légal et notamment aux dernières recommandations de la CNIL du 25 avril 2019 (mise à jour de la recommandation du 21 octobre 2010 relative à la sécurité des systèmes de vote électronique).
Qu’est ce qui change?
Les qualifications requises de l’expert
Ce qui est maintenu :
L’indépendance de l’expert.
Il doit avoir des compétences informatiques dans la cybersécurité.
Il ne doit pas avoir d’intérêt capitalistique au sein de la société dont la solution est expertisée ni dans l’entité donneuse d’ordre.
L’expert doit posséder une expérience analytique dans les systèmes de vote électronique.
Il doit avoir réalisé une expertise de systèmes d’au moins deux prestataires différents.
Ce qui est nouveau :
La formation délivrée par la CNIL n’est plus une obligation.
Les missions
Ce qui est maintenu :
S’assurer que le système fournit les éléments techniques permettant de prouver au minimum et de façon formelle que :
~ Le procédé de scellement est resté intègre durant le scrutin
~ Les clés de chiffrement/déchiffrement ne sont connues que de leurs seuls détenteurs
~ Le vote est anonyme lorsque la législation l’impose
~ La liste d’émargement ne comprend que la liste des électeurs ayant voté
~ L’urne dépouillée est bien celle contenant les suffrages des électeurs et qu’elle ne contient que ces suffrages
~ Aucun décompte partiel n’a pu être effectué durant le scrutin
~ Le dépouillement de l’urne peut être vérifié a posteriori et qu’il s’est déroulé de façon correcte
L’expert doit fournir également un moyen technique permettant de vérifier, a posteriori, que les différents composants logiciels sur lesquels a porté l’expertise n’ont pas été modifiés sur le système utilisé durant le scrutin.
Ce qui est nouveau :
Suite à la mise en place par la CNIL de niveaux de sécurisation des systèmes de vote. Pour en savoir plus cliquez-ici
L’expert doit valider le niveau de risque choisit et s’assurer que le responsable du traitement n’ait pas surévalué ou sous-évalué le niveau de sécurité.
Lors de scrutins présentant un niveau de risque 2 ou 3, (recommandations de la CNIL), l’expert soit s’assurer de la cohérence et de l’efficacité des solutions apportées, notamment par le biais de tests d’intrusion.
Le rappport d’expertise
Ce qui est maintenu :
L’expertise doit porter sur l’ensemble des éléments constituant la solution de vote. La méthode et les moyens permettant d’effectuer cette vérification doivent être décrits dans le rapport d’expertise. Pour ce faire, l’expert peut, par exemple, avoir recours aux empreintes numériques
Ce qui est nouveau :
Le rapport d’expertise doit comporter une partie spécifique, présentant l’évaluation du dispositif au regard des différents points de la recommandation (niveaux et objectifs de sécurité).
Pour plus de détails sur les objectifs de sécurité, cliquez-ici
L’ensemble des opérations effectuées lors de l’expertise des scrutins présentant un niveau de risque 2 ou 3 doit être annexé au rapport.
La durée de validité de l’expertise
Ce qui est nouveau :
Selon le niveau de sécurité la validité de l’expertise diffère.
Pour les systèmes de vote électronique de niveau 1 et de niveau 2 :
Depuis la dernière expertise il faut pouvoir prouver :
-qu’il n’y a eu aucune modification substantielle depuis celle-ci.
-qu’il n’y a pas eu d’incidents qui ont démontré la vulnérabilité de la plateforme.
Pour le niveau 1 l’expertise ne doit pas être antérieure à 24 mois et de 12 mois pour le niveau 2.
Pour les systèmes de vote électronique de niveau 3 :
Une nouvelle expertise pour chaque élection est obligatoire.
Que fait-on du rapport d’expertise ?
Le rapport d’expertise ainsi que ses annexes doivent être :
-Remis au responsable de traitement et au prestataire de solution de vote électronique
-Mis à disposition de la CNIL
-Transmis sur demande aux partenaires sociaux.
Pour échanger avec un de nos experts, cliquez-ici
Lire aussi :