Délibération n° 2006-042 du 23 février 2006 portant avis sur le traitement de données à caractère personnel mettant en oeuvre un dispositif de vote électronique pour les élections à l'Assemblée des Français de l'étranger du 18 juin 2006 (dossier n° 1 137 993) <BR>

J.O. 92 du 19 avril 2006 J.O. disponibles Alerte par mail Lois,décrets codes AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance

Délibération n° 2006-042 du 23 février 2006 portant avis sur le traitement de données à caractère personnel mettant en oeuvre un dispositif de vote électronique pour les élections à l'Assemblée des Français de l'étranger du 18 juin 2006 (dossier n° 1 137 993)

NOR : CNIX0609252X

La Commission nationale de l'Informatique et des Libertés,

Saisie le 23 décembre 2005 par le ministère des affaires étrangères d'un dossier de formalités préalables portant sur un projet de vote électronique ;

Vu la convention no 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive no 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment l'article 27 (II, 4°) ;

Vu la loi no 82-471 du 7 juin 1982 relative au Conseil supérieur des Français de l'étranger, modifiée par la loi no 2003-277 du 28 mars 2003 tendant à autoriser le vote par correspondance électronique des Français établis hors de France pour les élections du Conseil supérieur des Français de l'étranger ;

Vu le décret no 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

Le ministre des affaires étrangères souhaite mettre en place un dispositif de vote électronique pour les élections à l'Assemblée des Français de l'étranger (AFE) du 18 juin 2006 relatives aux circonscriptions de l'Europe, de l'Asie et du Levant.

Pour ce faire, le ministère des affaires étrangères a adressé, le 23 décembre 2005, à la commission un dossier de formalités préalables comportant un projet de décret et un projet d'arrêté destinés à encadrer réglementairement ce vote électronique ainsi que des éléments techniques relatifs au dispositif de vote électronique retenu.

A titre préalable, la commission constate que le cahier des clauses techniques particulières (CCTP) que lui a adressé le ministère des affaires étrangères pour avis, en juillet 2005, était très largement en conformité avec sa recommandation du 1er juillet 2003 sur les sécurités des dispositifs de vote électronique. Mais elle souligne que le dossier technique qui accompagne le présent dossier de formalités préalables, compte tenu de son caractère succinct, ne lui permet d'apprécier que partiellement si le contenu dudit cahier des charges techniques particulières est respecté.

Sur le régime de formalités préalables applicable :

Aux termes de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, sont autorisés par arrêté, ou en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé de la CNIL, « les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I aux fins de mettre à disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques ».

Le dispositif de vote électronique proposé par le ministère des affaires étrangères s'effectue par le biais d'un site internet mis à disposition de l'électeur. Ce dispositif constitue donc un téléservice de l'administration électronique.

Les électeurs inscrits sur les listes électorales consulaires sont des usagers de l'administration des affaires étrangères.

De surcroît, ce téléservice comporte un identifiant propre à chaque électeur (numéro d'électeur, code d'accès individuel et mot de passe). Il remplit donc les conditions fixées par l'article 27-II (4°) de la loi du 6 janvier 1978.

Sur l'expertise indépendante du dispositif de vote électronique :

La commission relève qu'en application des dispositions de l'article 13 du projet de décret relatif au vote par correspondance électronique des électeurs inscrits sur les listes électorales consulaires en Europe, Asie et au Levant pour les élections de 2006 à l'Assemblée des Français de l'étranger et de l'article 5 du projet d'arrêté pris en application de ce décret, qui lui sont soumis, le système de vote doit faire l'objet d'une expertise indépendante, dont l'avis est rendu sous la forme d'un rapport détaillé transmis à la CNIL et également d'une expertise durant les opérations de vote. Les résultats sont portés à la connaissance du comité technique visé à l'article 8 du projet d'arrêté.

La commission prend acte de ces dispositions mais constate qu'aucune expertise n'a été menée et jointe au dossier de formalités préalables.

Dans ces conditions, la commission déplore cette situation de fait alors même que le projet de décret et le projet d'arrêté relatifs aux modalités du vote électronique pour les élections à l'AFE de juin 2006 le prévoient expressément.

L'absence de cette expertise indépendante préalable à la saisine de la CNIL amoindrit les garanties nécessaires permettant de s'assurer que le dispositif de vote électronique projeté respecte la sincérité, l'anonymat, la transparence, l'« auditabilité » et la sécurité du scrutin ainsi que les principes généraux de protection des données à caractère personnel. La commission estime en tout état de cause nécessaire qu'une expertise soit effectuée pendant les opérations électorales afin de vérifier ces éléments.

Sur la séparation des données identifiantes des électeurs et des votes :

Le secret du vote doit être garanti par la mise en oeuvre de procédés rendant impossible l'établissement d'un lien entre le nom de l'électeur et l'expression de son vote. Il en résulte que la gestion du fichier des votes et celle de la liste d'émargement doivent être faites sur des « systèmes informatiques distincts, dédiés et isolés » selon la recommandation de la CNIL du 1er juillet 2003. Ces fichiers doivent, en outre, faire l'objet de mesures de chiffrement selon un algorithme public réputé « fort ».

La commission rappelle que le prestataire doit s'engager à garantir une réelle séparation opérationnelle entre ces deux systèmes, ce qui implique au minimum deux équipes techniques distinctes.

La commission prend acte que le système de vote présenté dans le dossier du ministère des affaires étrangères entend mettre en oeuvre ces préconisations majeures.

Elle considère, cependant, que les éléments d'analyse du système de vote qui lui ont été fournis ne permettent pas de s'assurer de l'effectivité de la séparation de l'urne et du fichier des électeurs sur des systèmes distincts, dédiés et isolés. En effet, les termes du dossier se limitent à « l'architecture proposée dédie un serveur spécifique pour la liste d'émargement et un autre pour l'urne électronique ». Il en va de même pour l'organisation des équipes techniques.

La commission demande que l'effectivité de ces éléments soit vérifiée au cours de l'expertise indépendante réalisée durant le scrutin ainsi que, plus largement, toutes les mesures physiques et logiques prises tant au niveau des serveurs du dispositif que sur les postes accessibles au public afin de garantir la sécurité et la confidentialité des données personnelles, en particulier contre les intrusions venant de l'extérieur.

Sur le chiffrement du bulletin de vote :

La commission rappelle que le cahier des clauses techniques particulières prévoit que le bulletin de vote doit être chiffré par un algorithme réputé « fort » dès son émission, depuis le terminal d'accès à distance (poste de travail informatique de l'électeur) et jusqu'à son stockage sur le serveur de vote. Or, le dossier du ministère des affaires étarngères ne permet pas de juger de l'effectivité de la solution retenue.

La commission regrette l'absence récurrente des éléments techniques lui permettant, pour cette application, de juger de l'effectivité et de l'étendue du chiffrement mis en oeuvre. Elle demande que l'expertise indépendante à venir vérifie ce point.

Sur la localisation des serveurs du système de vote électronique :

Le dossier précise que le système de vote électronique sera localisé sur le territoire de France métropolitaine. La commission souligne l'adéquation de la solution retenue avec sa recommandation du 1er juillet 2003.

Sur la surveillance effective du scrutin :

La commission rappelle, au regard de sa recommandation du 1er juillet 2003, que la mise en oeuvre du système de vote électronique doit être opérée sous le contrôle effectif, tant au niveau des moyens informatiques centraux que de ceux, éventuellement, déployés sur place, de représentants de l'organisme mettant en place le vote ou d'experts désignés par lui.

Elle prend acte que le projet de décret prévoit qu'un bureau central de vote électronique est chargé du contrôle de l'ensemble des opérations de vote électronique et du dépouillement du vote. Ce bureau veille au bon déroulement technique des opérations électorales ; en particulier, il s'assure des dispositifs de sécurité prévus pour assurer le secret du vote et son intégrité, de la confidentialité du fichier des électeurs comportant des éléments d'authentification, du chiffrement de l'urne électronique et de la conservation des votes dans un traitement distinct de celui du fichier des électeurs, de la conservation des différents supports d'information dans les mêmes conditions de sécurité et de confidentialité pendant et après le scrutin ainsi que de la vérification du nombre et de la qualité des personnes autorisées à accéder au système.

La commission constate que ce bureau sera assisté par un comité technique dont les membres sont désignés par le ministre des affaires étrangères et la composition fixée par le projet d'arrêté ministériel.

La commission souligne l'intérêt de la mise en place du bureau du vote électronique et du comité technique. Outre qu'elles satisfont à sa recommandation du 1er juillet 2003, ces mesures sont de nature à apporter des garanties importantes aux électeurs et aux candidats.

Cependant, la commission remarque qu'en l'état actuel du projet d'arrêté soumis à la CNIL le comité technique n'est pas nécessairement composé d'experts. En raison de l'absence d'une expertise indépendante préalable du dispositif de vote électronique, il apparaît nécessaire que la présence d'experts indépendants soit obligatoire et le projet d'arrêté complété en ce sens.

La commission demande, par conséquent, que l'article 8 du projet soit complété des termes suivants : « Il associe un ou plusieurs experts informatiques indépendants compétents dans les domaines couverts par les opérations de vote » au lieu de : « Il peut associer ou consulter toute personne indépendante disposant d'une expertise dans les domaines couverts par les opérations de vote ».

Sur l'authentification des électeurs :

Le ministère des affaires étrangères a prévu un envoi postal des codes personnels. La commission constate que l'électeur est obligé d'exprimer, préalablement au scrutin, son choix de voter par internet pour recevoir, par la voie postale, ses codes. Elle souligne que la fiabilité d'un envoi postal non recommandé des codes personnels est étroitement liée aux conditions de fonctionnement de la poste de chaque pays. De plus, le projet de décret soumis à la commission n'indique pas clairement que l'électeur qui s'est inscrit au scrutin électronique dispose tout de même de la faculté de voter sur place.

Par conséquent, la commission demande qu'en cas de perte des codes personnels d'un électeur celui-ci soit explicitement autorisé à voter le jour du scrutin dans un bureau de vote.

La commission propose que l'article 3 du projet de décret soit complété des termes suivants : « L'électeur qui a choisi de voter par voie électronique mais qui n'a pas utilisé ses codes personnels a la possibilité de voter sur place le jour du scrutin. »

Dans l'hypothèse d'un vol et de l'utilisation de ces codes par un tiers, la commission souhaite qu'un registre puisse consigner les réclamations des électeurs.

De surcroît, la commission souhaite que l'infrastructure de vote électronique soit dotée d'un système d'authentification mieux sécurisé, dans l'hypothèse d'une généralisation du recours au vote électronique pour les élections des représentants des Français de l'étranger.

Enfin, s'agissant du chiffrement du fichier permettant de générer les identifiants et les mots de passe des électeurs, la commission demande que l'expertise indépendante puisse vérifier, avant le déroulement des opérations électorales, l'effectivité des sécurités mises en oeuvre pour assurer la confidentialité des données, en particulier au moment de l'impression ou de la mise sous pli.

Sur la définition des fonctions d'administration et la traçabilité des actions menées sur le système :

La commission constate l'absence de définition des actions d'administration détaillant les opérations et les contrôles associés, techniques et organisationnels réalisés sur le système. Compte tenu des droits techniques élevés des administrateurs sur le système, la rédaction d'un document fixant les règles d'administration chez l'hébergeur pendant la durée du vote et l'existence d'une traçabilité sécurisée des actions d'administration sur une machine distincte et non administrable par les mêmes moyens sont essentielles.

Sur le dépouillement du vote :

Le dispositif de vote électronique envisagé par le ministère des affaires étrangères prévoit cinq clés de dépouillement, générées en présence du président et des assesseurs. Elles sont stockées sur plusieurs clés USB. Deux clés sont destinées à être conservées en secours.

La commission estime que ce dispositif est d'un niveau de sécurité suffisant, à la condition que ces mesures puissent être vérifiées par l'expertise indépendante.

En revanche, la commission regrette que rien ne soit précisé sur l'édition sécurisée des résultats dans le dossier déposé à la CNIL par le ministère ou dans les projets de textes réglementaires qui lui sont également soumis. Elle demande que le projet d'arrêté ministériel soit complété en ce sens.

Sur le contrôle des opérations de vote :

La commission rappelle que le dispositif de vote électronique doit être en mesure de fournir les éléments techniques (fiabilité du scellement, anonymat du vote, liste d'émargement, intégrité de l'urne, possibilité de nouveau décompte des voix...) permettant, en cas de contentieux électoral, de vérifier le fonctionnement réel de l'application. Les fichiers supports doivent être conservés sous scellés jusqu'à l'épuisement des délais de recours.

Le dispositif retenu par le ministère des affaires étrangères prévoit un scellement du système à l'issue du scrutin et que les fichiers supports seront remis sur CD ou DVD signés. La commission constate que le dossier qui lui a été soumis ne comporte pas les éléments techniques de cette signature. La commission demande que l'arrêté ministériel soit complété afin de préciser les modalités de cette signature.

La commission constate, par ailleurs, que le dossier soumis à la CNIL prévoit que les fichiers de sauvegarde sont archivés pendant un an chez l'hébergeur. Elle rappelle que les fichiers de données à caractère personnel, en particulier les listes électorales, listes d'émargement, éléments d'authentification ou urne électronique et, en général, tous les fichiers supports, devront être détruits à l'issue des délais de recours et en aucun cas conservés chez l'hébergeur ou le prestataire de vote.

Elle souligne que l'article 4 du projet d'arrêté prévoit que les supports d'information sont conservés par le maître d'oeuvre sous le contrôle du bureau central de vote électronique. De telles dispositions conduisant à placer entre les mains du prestataire tous les éléments permettant de contrôler le bon déroulement du scrutin, en particulier au plan technique, sont contradictoires avec l'article 10 de ce même arrêté qui prévoit que : « Dès la clôture du scrutin électronique, le contenu de l'urne, la liste d'émargement et les états courants gérés par les serveurs de vote sont figés, horodatés, et scellés automatiquement sur l'ensemble des serveurs. Le ministre des affaires étrangères reçoit l'ensemble de ces données en deux exemplaires sur cédéroms portant une sérigraphie et non réinscriptibles. Une clé de chiffrement permet l'authentification des cédéroms et un condensé chiffré public en garantit l'intégrité. »

La commision demande, par conséquent que l'article 4 du projet d'arrêté soit modifié et que les termes : « conservés par le maître d'oeuvre » soient remplacés par les termes : « par le ministère des affaires étrangères ».

Le président,

A. Türk