Recommandation de la CNIL relative à la sécurité des systèmes de vote électronique 1er juillet 2003

Contenu

Recommandation de la CNIL relative à la sécurité des systèmes de vote électronique

La CNIL rappelle tout d'abord les principes fondamentaux qui doivent commander les opérations électorales, à savoir : le secret du scrutin sauf pour les scrutins publics, le caractère personnel, libre et anonyme du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l'élection.

La CNIL recommande donc un certain nombre de conditions techniques qui mises en œuvre, permettent de garantir ces principes fondamentaux, et notamment :

• l'expertise préalable du système de vote électronique par le Ministère de l'intérieur ou par un expert indépendant ;
• la séparation des données nominatives de l'électeur et du fichier des votes (l'urne électronique) sur des systèmes informatiques distincts, ainsi que le chiffrement du bulletin de vote dématérialisé dès son émission sur le terminal ;
• le chiffrement des fichiers et la conservation des clés de chiffrement/déchiffrement sous forme scellée ;
• la mise en place de mesures de sécurité informatique pour garantir la sécurité et la confidentialité des données personnelles ;
• l'adoption de procédés fiables d'authentification de l'électeur. La CNIL exprime d'ailleurs sa préférence pour le certificat électronique dans le cas d'élections où un vote à distance a été prévu ;
• le chiffrement des bulletins de vote par un algorithme public réputé " fort " dès leur émission ;
• la conservation de tous les fichiers supports sous scellés jusqu'à l'épuisement des délais de recours contentieux ;
• la traçabilité de l'ensemble du système de vote afin de garantir une base solide aux audits externes, notamment en cas de contentieux électoral.

Commentaire

On peut noter que, en ce qui concerne les procédés d'authentification à distance de l'électeur, si la CNIL recommande l'utilisation du certificat électronique, elle ne rejette pas pour autant la méthode du code identifiant et du mot de passe, ou l'usage de la biométrie.

Pour rédiger cette recommandation, la CNIL s'est essentiellement appuyée sur les dossiers qui lui ont été soumis dans le cadre des formalités préalables prévues par la loi " informatique et libertés " du 6 janvier 1978.