LegaVote :
Quelles sont les évolutions à attendre suite au projet de recommandation de la CNIL?

Aujourd’hui en France, près de 78% de la population est favorable à l’utilisation du vote électronique (informations FranceInfo : Les Français plébiscitent le vote par Internet mais sont opposés au vote obligatoire, selon notre sondage) La sécurité de ces systèmes est donc au cœur des préoccupations de la Commission nationale de l’Informatique et des Libertés et de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). En avril 2019 déjà, une première délibération a été établie afin de poser les premiers principes fondamentaux en matière de sécurité, confidentialité ou même d’accessibilité du vote en ligne. Cette délibération vise principalement les fournisseurs de système de vote électronique ainsi que les responsables de scrutins au sein des entreprises, associations ou autres organismes.

Elle s’appuie sur les contrôles effectués par la CNIL, les plaintes et notifications de violations reçues mais également sur ses actions d'accompagnement auprès des organismes. Les nouvelles mesures prendront place en 2026.

Quelles sont les principales évolutions ?

• Un recadrage des critères évaluant le niveau de risque des scrutins : Depuis 2019, la CNIL a reçu plusieurs plaintes de violations de systèmes de sécurité. Chaque cas a permis la détection de risques jusqu’alors non pris en compte. Cela a engendré une réévaluation des niveaux de risques et la modification du questionnaire d’auto-évaluation créée en 2019. Ce questionnaire apporte une certaine autonomie aux entités souhaitant mesurer le risque de leurs élections. Plusieurs points y sont soulevés notamment le nombre d’électeurs, si des litiges ont eu lieu lors des élections précédentes ou encore le contexte politique des élections. De plus, la CNIL recommande la réalisation d’une analyse d’impact relative à la protection des données (AIPD) par le responsable de l’opération.
• Une mise à jour des objectifs de sécurité : Les objectifs de sécurité varient en fonction du niveau de risque des élections (il en existe trois). De nouveaux objectifs ont été créés notamment l’obligation d'alerter le bureau de vote par correspondance électronique de tout incident de sécurité intervenu lors du scrutin. (objectif 2-04) ou encore l’obligation de publier le code source du scrutin avant le vote (objectif 3-08). D’autres objectifs ont vu leurs niveaux de sécurité modifiés, c’est notamment le cas de l’objectif 2-04 qui relève de l’alerte du bureau de vote en cas d’incident de sécurité. Cet objectif est aujourd’hui au niveau de sécurité 3, applicable aux élections avec un risque fort. Enfin, certains objectifs qui étaient déjà présents dans l’ancienne délibération ont été redéfinis, notamment concernant l’authentification des électeurs ou encore la confidentialité de l’expression du vote.
• La création d’un rappel des principes fondamentaux : La nouvelle délibération de la CNIL prévoit un rappel des principes fondamentaux avant les objectifs de sécurité. Ce rappel a pour but de donner de la valeur aux objectifs et de les rendre plus compréhensibles. Ces principes fondamentaux s’organisent autour de différentes thématiques comme l’intégrité des suffrages exprimés, la surveillance du vote ou bien la confidentialité du vote.
• Des précisions sur certains points : Plusieurs sujets ont été mis à jour lors de cette délibération. Parmi eux, les conditions de conservation des documents indispensables à la réalisation de contrôle post-élection. Ces documents doivent prouver plusieurs critères notamment la non divulgation des clés de chiffrement ou encore l’anonymisation du vote. Une copie des codes sources doit également être présente dans ces documents ainsi que les fichiers d’émargement, de résultats, de sauvegardes…). Toutes ces preuves doivent être conservées jusqu’au délai d'épuisement du recours au litige. D’autres thèmes sont abordés notamment sur le déroulé du vote. La CNIL recommande entre autres que les heures d’ouverture et de fermeture du scrutin soient contrôlées par les membres du bureau et les personnes habilitées pour assurer le contrôle des opérations. L’accessibilité est également évoquée avec une recommandation concernant les handicaps notamment visuels (adaptation de l’écran et des animations). Les personnes ne disposant pas d’accès internet doivent pouvoir également utiliser leur droit de vote. (mise à disposition d’un équipement informatique).
• Expertise de la solution de vote électronique : Un autre point important de cette délibération est l’expertise indépendante. En effet, la CNIL recommande que toute solution de vote électronique fasse l’objet d’une expertise indépendante avant son utilisation. L’expert choisi pour ce test doit être sélectionné en fonction de plusieurs critères notamment : une spécialisation dans la sécurité, aucun conflit d’intérêt en vigueur avec l’organisation responsable ou encore une expérience dans le système de vote électronique.

Afin de valider cette nouvelle délibération et de s’assurer que tous les sujets ont bien été traités, une consultation publique a été ouverte à l’ensemble des parties concernées par les scrutins électroniques. Les participants ont été invités jusqu’au 28 février 2025 à contribuer à la clarté, la portée et la pertinence des différents points de la délibération. LegaVote a participé à ce projet afin de faire valoir ses recommandations auprès de la CNIL. Nos chefs de projet, fort de plusieurs années d’expérience sont à même de proposer des innovations et solutions permettant de faciliter le processus de vote électronique et de renforcer sa sécurité.

N’hésitez pas à consulter le projet de délibération de la CNIL afin d’obtenir plus d'informations sur les nouveautés réglementaires à venir : Projet de recommandation - Sécurité des systèmes de vote par correspondance électronique