Par Lucille Wattraint - chargée de communication, et Dimitri Mouton – gérant de la Sté DEMAETER – auteur de « Sécurité de la dématérialisation » (Eyrolles).

Le 25 avril 2019, la CNIL a mis à jour sa recommandation relative à la sécurité des systèmes de vote électronique qui datait de 2010. Après une période transitoire de 12 mois depuis sa parution au Journal Officiel, la nouvelle recommandation est entrée en vigueur le 20 juin 2020. Dimitri Mouton, dirigeant de la société Demaeter, cabinet d'expertise indépendant spécialisé dans l'audit de processus de vote électronique, nous apporte son éclairage.

Pourriez-vous nous indiquer les principales évolutions apportées par la dernière recommandation CNIL ?

Il faut considérer d'abord ce qui ne change pas. Dans cette délibération, la CNIL réaffirme la nécessité d'une grande prudence dans la mise en œuvre du vote électronique. Elle insiste sur le besoin de placer la protection des données au cœur du dispositif de vote, tant pour protéger leur caractère personnel (informations sur les électeurs, coordonnées de contact, opinions politiques ou syndicales…) que pour défendre les grands principes du droit électoral : le secret du scrutin, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l'élection. A cette fin, elle confirme et renforce le rôle central de l'expertise indépendante, qui doit avant tout contrôler le respect de ces principes.

Après avoir rappelé les règles de base à respecter pour tout scrutin électronique, la nouvelle délibération adopte une approche radicalement différente de celle de 2010, qui était rédigée sous la forme d'une sorte de cahier des charges technique. La nouvelle mouture marque une forte responsabilisation de l'organisateur du scrutin, qui doit déterminer le niveau de risque de son scrutin sur une échelle de 1 à 3, selon les enjeux et le contexte de l'élection, et les moyens et motivations des attaquants potentiels. De ce niveau de risque découlent des objectifs de sécurité cumulatifs que la solution et sa mise en œuvre doivent permettre d'atteindre.

Sur le plan de ces objectifs de sécurité, les nouveautés introduites par la délibération 2019 portent principalement sur l'authentification des électeurs, sur la notion de transparence de l'urne, y compris des exigences d'intégrité nettement exprimées, et sur la robustesse de l'infrastructure technique et de son exploitation. La CNIL renvoie, pour les aspects techniques, aux recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), et notamment, pour les scrutins à niveau de risque élevé, à la nécessité de réaliser une analyse des risques formalisée.

Pourquoi cette intégration du niveau de risque ? Comment détermine-t-on le niveau de risque d'un scrutin ?

L'intégration du niveau de risque correspond à une attente des acteurs du marché d'une part, dans une approche pragmatique visant à adapter les moyens aux enjeux. Mais elle répond aussi à une évolution globale du cadre juridique, issue des règlements européens (RGPD, eIDAS), qui tendent à responsabiliser les acteurs par rapport à leurs choix, qu'ils devront être en mesure de défendre et de justifier a posteriori, plutôt qu'à définir exhaustivement et en détail les obligations pour chaque cas particulier. Les grands principes sont imposés, mais la façon de les respecter devient du ressort de chacun.

En plus de sa délibération, la CNIL a publié une fiche pratique visant à aider les responsables de traitement et les éditeurs de solutions de vote dans la mise en œuvre, et notamment sur le choix du niveau de risque. Cette fiche pratique comporte une grille (donnée de manière facultative et à titre d'exemple) de dix questions fermées, résultant en un score, à partir duquel le niveau de risque peut être déterminé. Toutefois, l'application directe de la grille donne parfois des résultats surprenants par rapport à l'analyse des définitions de ces niveaux : par exemple, un scrutin à très faible enjeu mais avec de nombreux électeurs risque de se retrouver au niveau 3, alors que les objectifs de sécurité additionnels apportés par le niveau 3 n'ont pas d'apport réel pour la sécurité du scrutin.

C'est pourquoi le rôle de l'expert indépendant est étendu à la validation du niveau de risque choisi, afin d'éviter que le responsable de traitement soit trop laxiste ou, au contraire, s'impose des contraintes trop dures par rapport au contexte du scrutin. Pour notre part, nous employons la grille fournie dans la fiche pratique en première analyse, mais revenons toujours aux définitions de la délibération pour arbitrer le choix du niveau de risque.

Quel est le rôle de l'expert en charge de l'audit du vote électronique ? Son intervention est-elle systématique ?

L'expert indépendant a une double casquette : il doit être un expert, et il doit être indépendant.

L'indépendance est double : vis-à-vis de l'organisateur du scrutin, et vis-à-vis de l'éditeur de la solution de vote. La parole de l'expert indépendant doit être libre, son rapport doit être objectif. C'est l'une des difficultés principales de ce métier : d'une part, les éditeurs sont des partenaires réguliers, et il est nécessaire de garder une distance par rapport à eux. D'autre part, l'organisateur du scrutin est le donneur d'ordre, mais le travail de l'expert indépendant consiste à contrôler la sécurité du scrutin, et le scrutin appartient avant tout aux électeurs et aux candidats.

L'expertise consiste à maîtriser la sécurité informatique et les concepts fondamentaux du vote afin d'en vérifier le respect. Afin de mettre en œuvre une expertise réelle, il est attendu de l'expert qu'il ait audité au moins deux solutions de vote différentes.

L'expertise en sécurité concerne deux aspects : la solution de vote elle-même (code informatique, conditions d'hébergement, robustesse technique), mais aussi ses modalités de mise en œuvre au sein de chaque scrutin (modes d'authentification des électeurs, organisation et prérogatives du bureau de vote, matrice des droits octroyés aux différents acteurs, procédures de décision et d'intervention en cas d'incident, conservation et de contrôle des éléments probants à l'issue du scrutin).

C'est pour cela que la CNIL a réaffirmé le besoin d'une expertise indépendante pour chaque scrutin : « Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant ».

Cette nouvelle recommandation implique-t-elle des évolutions techniques importantes sur les solutions de vote par Internet du marché ?

Oui, les éditeurs de solutions de vote électronique ont tous dû adapter leurs offres, sur deux aspects différents et complémentaires.

Tout d'abord, sur les aspects techniques, afin de respecter les objectifs de sécurité, notamment sur l'authentification, la transparence de l'urne ou la fiabilité technique de l'hébergement.

Ensuite, sur les aspects opérationnels, car la sécurité d'un système est inversement proportionnelle à la confiance que l'on doit donner à celui qui le met en œuvre. Ainsi, le « tiers de confiance » n'est pas quelqu'un à qui l'on fait confiance aveuglément, mais quelqu'un qui établit la confiance (entre l'organisateur du scrutin, les candidats, les électeurs) en prouvant, par des mesures techniques et organisationnelles, la sécurité qu'il garantit.

Rencontrez-vous des difficultés particulières supplémentaires dans la mise en pratique de cette nouvelle recommandation ?

Plusieurs points d'achoppement reviennent de manière récurrente, et nous ont amenés à adapter notre offre pour mieux accompagner les clients.

Le premier est le choix du niveau de risque. L'approche pluridisciplinaire et expérimentée de l'expert indépendant est précieuse pour aider l'organisateur du scrutin à faire un choix éclairé et pertinent.

Le deuxième est l'authentification des électeurs : la fiche pratique publiée par la CNIL vient préciser les choses en plaçant la barre très haut : deux canaux d'acheminement séparés pour l'identifiant et le mot de passe, et un défi complémentaire non trivial, qui ne peut pas, par exemple, être la date de naissance. La jurisprudence est venue rappeler que le réassort des codes perdus ou volés doit offrir le même niveau de sécurité que l'envoi initial. Les organisateurs de scrutins sont parfois démunis face à ces exigences, et il n'est pas aisé de trouver le bon compromis entre faisabilité, ergonomie et sécurité.

Le troisième, principalement pour les scrutins de niveau 3, porte sur la complexité et le coût liés aux exigences spécifiques de ce niveau : la réalisation de l'analyse de risques est loin de la culture des services organisant habituellement les élections, le cloisonnement physique des serveurs représente un surcoût parfois important, et la mise en œuvre de la transparence de l'urne « à l'aide d'outils tiers » présente une forte marge d'interprétation.

Quel bilan faites-vous sur les premières opérations encadrées par cette nouvelle délibération ? Constatez-vous des changements majeurs dans l'approche des projets ?

La délibération de 2010 avait mis plusieurs années à être respectée par la plupart des acteurs du marché. Il en ira de même de la délibération de 2019. La CNIL est consciente d'avoir publié un texte à la fois très exigeant et interprétable.

Nous estimons qu'il entre dans notre rôle d'experts indépendants d'accompagner les responsables de traitement et leurs prestataires dans la montée en gamme des solutions et des procédures qui les accompagnent, au travers de nos analyses et recommandations. Il est nécessaire de faire beaucoup de pédagogie, de rappeler les principes, d'expliquer les exigences techniques et organisationnelles liées à ces principes, de lutter contre le « ça ira bien comme ça » qui se traduit parfois par une méfiance accrue des candidats et des électeurs, et peut entraîner des annulations de scrutins par les tribunaux.

Nous avons pu observer que chaque éditeur de solution de vote apporte sa vision des choses et ses solutions propres, avec des approches très différentes des problématiques de sécurité. C'est de bon augure pour l'avenir du vote électronique. Ce qui nous semble fondamental, c'est que les éditeurs de solution jouent le jeu de la conformité, tant au niveau de leur recherche et développement que dans l'application de leur devoir de conseil.

Le respect de la délibération CNIL 2019 et la tenue systématique d'une expertise indépendante ne sont pas du domaine de la contrainte, mais de l'opportunité. Il s'agit de respecter les grands principes de la démocratie. Les acteurs du vote, que ce soient les prestataires, les organisateurs de scrutins ou les experts indépendants, portent cette forte responsabilité, et doivent travailler en bonne intelligence pour garantir le maintien des valeurs fondamentales de la représentation sincère des électeurs par leurs élus.

Article publié par Lucille Wattraint chargée de communication, sur le blog du site gedivote.fr le 9 février 2021 https://www.gedivote.frlien