Imprimer

Pour qui ?

Conçu pour les organisateurs de scrutins, ce module s’adresse également à tous ceux pour qui les élections constituent un enjeu fort ou un moment clef dans la vie de l’entreprise : organisations syndicales, comité d’entreprise, électeurs, DSI et RSSI soucieux de la sécurité de cette application aux contraintes spécifiques…

 

Pourquoi ?

De plus en plus d’élections professionnelles (CSE, CT/CAP/CCP) mais aussi de votes de conseils d’administration, voire d’élections politiques, sont organisées à l’aide de solutions de vote par Internet, comme mode unique de vote ou parmi d’autres modalités (vote à l’urne, vote par correspondance papier…).

La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté le 25 avril 2019 une délibération N° 2019-053 portant adoption d’une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet, qui décrit les objectifs de sécurité que doit atteindre une telle solution, en fonction d’un niveau de risque qu’il convient d’estimer en amont.

La première de ces mesures de sécurité est la réalisation d’un audit de la solution de vote dans le cadre du scrutin par un expert indépendant, qui doit être expert en sécurité informatique, indépendant de l’organisateur du scrutin et du prestataire fournissant la solution, et expérimenté dans ce domaine extrêmement spécifique.

Voir : Attestation de certification CNIL lien

À ce titre, nous avons réalisé de nombreux audits sur la plupart des solutions de vote par Internet du marché, pour des élections allant de quelques dizaines d’électeurs à plusieurs millions (élections professionnelles du ministère de l’Éducation nationale, vote des Français résidant hors de France pour les élections législatives de 2012, vote des TPE dans le cadre de la réforme de la représentativité syndicale…).

L’audit a pour but de garantir, par un regard indépendant, le respect des bonnes pratiques de sécurité, et d’indiquer les évolutions éventuelles à apporter, tant en termes techniques qu’organisationnels, afin de prouver que la solution de vote par Internet apporte une réponse satisfaisante aux exigences qui conditionnent la régularité des scrutins :

 

La démarche

Contrôle de pertinence du niveau de risque estimé :

Étude du contexte spécifique de l’élection

Expertise indépendante avant le vote

Expertise indépendante pendant le scrutin

Expertise indépendante après le scrutin :

expertise post scrutin

 

Les livrables

Tout audit donne lieu à un rapport détaillé incluant une synthèse, des conclusions et des recommandations :

Un rapport synthétique destiné à la CNIL est remis préalablement au début du scrutin ; il comporte :

 

Les gains

L’expertise indépendante des solutions de vote par Internet est une obligation.

Délibération CNIL 2019-053 :

Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire.

Mais au-delà de ce simple caractère de contrainte, l’expertise indépendante est l’occasion de créer un climat de confiance dans le projet, dont tous les participants n’ont pas nécessairement la même sensibilité sur l’usage du vote par Internet, ni la même confiance a priori dans les solutions techniques proposées.

Enfin, grâce aux recommandations faites à chaque étape de l’audit, l’expertise indépendante permet de faciliter fortement la conduite de projet.

 

Liste des solutions de vote auditées

Nous avons procédé à l’expertise indépendante des solutions de vote de 15 prestataires :

Almerys-logo AlphaVote logo datavote logo docaposte logo Eurovote logo
gedivote logo gs-vote logo neovote logo numsoft logo Levote Orange logo
Paragon logo Scytl logo sdti logo voxaly logo Wechooz logo

 

Un exemple de mission

Ministère des Affaires Étrangères et Européennes : vote des Français résidant hors de France pour les élections législatives de 2012 lien