Avantages de l’expertise du système de vote électronique
La réalisation de l’expertise indépendante par un expert indépendant, neutre et impartial permet :
- De rassurer l’organisateur, les candidats et les électeurs avant l’ouverture des scrutins ;
- De rassurer les candidats sur le bon fonctionnement de la plateforme ;
- De rassurer les électeurs sur la bonne prise en compte de l’expression de leur vote ;
La solution KeyVote a été conçue dans l’objectif de permettre aux structures concernées de faire des économies en dématérialisant leurs opérations de vote tout en garantissant un haut niveau de sécurité et en respectant les exigences réglementaires.
Ce document décrit l’infrastructure telle qu’elle est mise en place dans les cadres de vote (élections, résolutions, délibérations…) et les réponses apportées aux différents enjeux en matière de sécurité tant bien au niveau de l’infrastructure que de l’application. Il s’articule entre autre autour des points soulevés par les délibérations n°2010-371 du 21 octobre 2010 et n°2019-053 du 25 avril 2019 relatives aux votes électroniques.
Principales vérifications de l’expertise
Les contrôles réalisés ont pour objectif de garantir à minima :
- Que la liste des électeurs et leurs moyens d’authentification restent bien confidentiels et ceci même pour le prestataire ;
- Que le système mis en œuvre est correctement dimensionné par rapport au nombre d’électeurs maximum (Garantie de disponibilité) ;
- Qu’il est impossible de retrouver l’électeur à partir d’un bulletin (Garantie de l’anonymat) ;
- Que l’électeur peut vérifier que son bulletin est bien présent dans l’urne (Garantie de Traçabilité) ;
- Qu’une fois le bulletin déposé dans l’urne, il ne puisse plus être modifié (Garantie d’Intégrité) ;
- Que l’électeur dispose bien d’une preuve de vote ;
- Que chaque bulletin déposé dans l’urne est bien comptabilité et correspond à chaque fois à un émargement horodaté ;
- Qu’il est impossible pour un électeur de voter plus d’une seule fois ;
- Qu’il est impossible de retirer des bulletins de l’urne pendant les scrutins et une fois les scrutins clos ;
- Que tous les bulletins seront pris en compte lors du dépouillement ;
- Qu’un électeur qui a perdu ses codes dispose d’une assistance lui permettant de voter avec de nouveaux codes ;
- Qu’en cas de contestation, les élections peuvent être rejouées à partir de chacune des traces automatiquement enregistrées ;
- Que les mesures de sécurité mises en place on réduit à leur minimum les risques d’usurpation d’identité ;
- Que les mesures de sécurité mises en place ont réduit à leur minimum les risques de piratage de la liaison Internet de l’électeur, la modification ou la falsification d’un vote ;
- Que les électeurs disposeront bien d’une notice d’utilisation.
Les points de contrôle de la solution de vote électronique
Les points de contrôles portent sur :
- Le code source correspondant à la version du logiciel effectivement mise en œuvre ;
- Les mécanismes de scellemen utilisés aux différentes étapes du scrutin ;
- Le système informatique sur lequel le vote va se dérouler ;
- Les échanges réseau;
- Les mécanismes de chiffrement utilisés, notamment pour le chiffrement du bulletin de vote ;
- Les mécanismes d’authentification des électeurs et la transmission des secrets à ces derniers ;
- L’évaluation du niveau de risque du scrutin ;
- La pertinence et l’effectivité des solutions apportées par la solution de vote aux objectifs de sécurité.
Une démarche rassurante de l’expertise
La réalisation de ces contrôles par un Expert neutre et impartial permet de garantir à la fois aux candidats et aux électeurs qu’un organisme externe et indépendant de l’organisateur des élections et indépendant de l’éditeur de la plateforme de vote électronique a effectué les contrôles stricts permettant de garantir la vérification du respect des exigences de la CNIL représentant une base technique et réglementaire de confiance.
Texte de référence sur les obligations d’expertise de plateformes de vote électronique
Selon la délibération de la CNIL n° 2019-053 du 25 avril 2019 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet, portée au Journal Officiel le 21 juin 2019 :
Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire.