• Home  / 
  • DELIBERATION 2004-093

DELIBERATION 2004-093

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche pour avis, d'un projet de décret et d'un projet d'arrêté relatifs au vote par voie électronique pour l'élection des représentants des usagers aux conseils des établissements publics à caractère scientifique, culturel et professionnel ;

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;

Vu le code de l'éducation ;

Vu le décret n° 85-59 du 18 janvier 1985 fixant les conditions d'exercice du droit de suffrage, la composition des collèges électoraux et les modalités d'assimilation et d'équivalence de niveau pour la représentation des personnels et des étudiants aux conseils des établissements publics à caractère scientifique, culturel et professionnel ainsi que les modalités de recours contre les élections ;

Vu la délibération n° 03-036 du ler juillet 2003 de la Commission nationale de l'informatique et des libertés portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;

Vu le dossier de formalités préalables l'accompagnant enregistré sous le numéro 1056774 ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Charlotte-Marie Pitrat, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les élections des représentants des usagers aux conseils des établissements publics à caractère scientifique, culturel et professionnel sont régies par les dispositions des articles L. 719-1 à L719-2 du code de l'éducation ainsi que par celles du décret n° 85-59 du 18 janvier 1985 modifié.

Les opérations pour les élections de ces représentants sont organisées par le président ou le directeur de l'établissement public à caractère scientifique, culturel ou professionnel.

Le décret n° 85-59 du 18 janvier 1985 fixe les conditions d'exercice du droit de suffrage, la composition des collèges électoraux et les modalités d'assimilation et d'équivalence de niveau pour la représentation des personnels et des étudiants aux conseils des établissements publics à caractère scientifique, culturel et professionnel ainsi que les modalités de recours contre les élections.

Le projet de décret, soumis pour avis à la Commission, prévoit la possibilité d'organiser un scrutin par voie électronique pour les conseils visés précédemment. La décision ressort du président ou du directeur de l'établissement universitaire.

Le projet d'arrêté, pris en application du projet précité, a pour objet de définir les traitements opérés et leurs fonctionnalités. Il prévoit, en outre, la réalisation d'une expertise indépendante dont le rapport sera transmis à la CNIL, le principe du recours à un prestataire et le contrôle des opérations électorales par la commission définie dans le décret du 18 janvier 1985. L'arrêté énumère aussi les catégories de données à caractère personnel enregistrées, les destinataires et les modalités du droit d'accès et de rectification. Il dispose qu'une cellule d'assistance technique est mise en oeuvre pour s'assurer du bon fonctionnement et de la surveillance du système informatique. Enfin, il décrit le processus de vote, de dépouillement et de conservation des données jusqu'à l'expiration des délais de recours.

Le dossier de demande d'avis, soumis à la CNIL en application de l'article 27 - II 4° porte sur une expérience pilote d'un système de vote électronique pour l'élection des représentants des usagers aux conseils des établissements publics à caractère scientifique, culturel et professionnel pour les universités de Nantes et de Lyon II. La possibilité de voter par internet leur sera ainsi proposée les 6 et 7 décembre prochains.

Le présent traitement, compte tenu de ses caractéristiques, s'inscrit dans le cadre de l'article 27 - II 4° de la loi du 6 janvier 1978 modifiée dans la mesure où d'une part, il s'agit d'un téléservice de l'administration électronique puisque le vote électronique s'effectue par le biais d'un site internet mis à disposition de l'électeur dans les bureaux de vote de chaque université participante à l'opération et d'autre part, le dispositif de vote électronique mis en place comporte un identifiant de chaque électeur.

1. L'expertise du système de vote

Le projet d'arrêté dispose que le système de vote fait l'objet d'une expertise indépendante réalisée par un comité d'experts dont l'avis est rendu sous la forme d'un rapport détaillé et transmis à la CNIL afin de faire partie intégrante du dossier de formalités préalables.

La Commission estime nécessaire qu'une expertise complémentaire soit effectuée pendant les opérations électorales afin de vérifier la prise en compte, notamment, des éléments de sa recommandation du 1er juillet 2003 et que le rapport établi à l'issue de cette expertise lui soit communiqué.

2. L'authentification de l'électeur

L'article 5 du projet d'arrêté prévoit que les listes électorales établies sous la responsabilité du président ou du directeur de l'établissement public sont arrêtées par la commission de contrôle des opérations électorales. Elles sont transmises par chaque université au prestataire technique et la conformité des listes importées sur le système de vote électronique par rapport aux listes électorales transmises au prestataire est contrôlée par cette même commission. La même procédure est appliquée pour l'intégration et le contrôle des candidatures.

L'article 5 dispose que chaque électeur reçoit un code identifiant et un mot de passe permettant son authentification lors des opérations de vote. Cet identifiant et ce mot de passe sont strictement personnels et sont délivrés dans le bureau de vote le jour de l'élection.

La Commission considère que ces dispositions permettent, compte tenu de la nature des élections, d'assurer l'authentification de l'électeur dans des conditions satisfaisantes.

3. Le procédé de scellement du dispositif de vote électronique

La Commission constate que le scellement du dispositif de vote électronique réalisé ne correspond pas au sens de la recommandation de la CNIL. Le scellement ne peut consister en la simple remise d'une copie du logiciel à un personne de confiance avant l'ouverture du scrutin.

Le scellement doit être appliqué une fois réalisé l'audit du système afin de fournir un mécanisme probant permettant de vérifier que lors du déploiement à l'occasion de l'élection, qu'il s'agit bien du même produit que celui expertisé.

La Commission considère que le scellement mis en place est utile mais insuffisant et estime qu'il est indispensable qu'un procédé de scellement fiable et probant soit élaboré et mis en oeuvre pour les développements à venir du système de vote.

4. Le contrôle des opérations de vote

La cellule d'assistance technique prévue à l'article 9 de l'arrêté est potentiellement chargée de surveiller le déroulement du scrutin sur les serveurs du prestataire.

L'arrêté prévoit ainsi que : "le chef d'établissement désigne les personnes habilitées à accéder aux locaux qui abritent les serveurs pendant les opérations électorales". Cette cellule ne peut se limiter cependant à une simple "assistance" mais doit avoir un rôle de surveillance sur le plan technique. Ce sont donc sa composition et ses missions qui doivent être précisées dans l'arrêté.

La Commission, en conséquence, demande à ce que le deuxième alinéa de l'article 9 de l'arrêté soit ainsi complété : "aux fins de veiller, notamment par des experts indépendants, en particulier à l'effectivité des dispositifs de sécurité prévus pour assurer le secret du vote et son intégrité".

5. Le rôle des administrateurs informaticiens

La Commission estime, enfin, que les interventions sur le système de vote électronique durant le déroulement des opérations électorales doivent bénéficier de mesures de traçabilité et qu'elles ne peuvent se faire qu'après accord exprès de la cellule d'assistance technique.

6. Evaluation du dispositif de vote électronique

La Commission demande qu'un bilan de la mise en oeuvre du dispositif de vote électronique utilisé soit établi à brève échéance par le ministère de l'éducation nationale et lui soit adressé.

Emet l'avis suivant sur le projet d'arrêté relatif à l'élection des représentants des usagers aux conseils des établissements publics à caractère scientifique, culturel et professionnel :

La Commission nationale de l'informatique et des libertés prend acte de ce que le dispositif de vote électronique présenté entend faire application de ses recommandations en matière de sécurité des systèmes de vote électronique figurant dans la délibération n° 03-036 du 1er juillet 2003. Les choix effectués ont été motivés par la volonté d'assurer tout à la fois la confidentialité et l'anonymat du vote dans le respect des textes en vigueur, la simplicité du dispositif dans un but de participation électorale accrue et un haut niveau de sécurité

1) La Commission considère qu'une expertise complémentaire doit être menée pendant les opérations électorales afin de vérifier notamment la prise en compte des éléments de sa recommandation du 1er juillet 2003, en particulier :

- la réalité des éléments d'architecture et de sécurité prévus ;

- l'analyse de risques sur l'architecture technique et l'organisation déployée, incluant l'analyse des scénarios d'incidents potentiels pouvant survenir au cours du scrutin ;

- l'édition sécurisée des résultats ;

- la conservation sous scellé de tous les fichiers support (copies des programmes sources et exécutables, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) jusqu'à l'expiration des délais de recours contentieux ;

- la présence de tous les éléments de traçabilité nécessaires au contrôle du juge.

La Commission demande à ce que le rapport d'expertise complémentaire lui soit adressé.

2) Compte tenu de la nature des élections, la Commission considère que les dispositions prévues permettent d'assurer l'authentification de l'électeur dans des conditions satisfaisantes.

3) La Commission considère que la procédure de scellement du dispositif de vote électronique doit être renforcée à l'avenir afin qu'il puisse être attesté que le système expertisé est identique à celui déployé à l'occasion de l'élection.

4) La Commission demande que l'article 9 relatif à la cellule d'assistance technique soit précisé afin d'ajouter au deuxième alinéa qui dispose que "le chef d'établissement désigne les personnes habilitées à accéder aux locaux qui abritent les serveurs pendant les opérations électorales", les termes : "afin de vérifier, notamment par des experts indépendants, en particulier l'effectivité des dispositifs de sécurité prévus pour assurer le secret du vote et son intégrité".

5) La Commission estime que les interventions sur le système de vote électronique durant le déroulement des opérations électorales doivent bénéficier de mesures de traçabilité et qu'elles ne peuvent se faire qu'après accord exprès de la cellule d'assistance technique.

6) La Commission considère que le projet d'arrêté du ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche vaudra projet d'acte réglementaire unique au sens de l'article 27-III de la loi du 6 janvier 1978 modifiée. Elle demande aux deux universités concernées de déclarer leur traitement par un engagement de conformité à cet arrêté à condition qu'elles en respectent les termes ainsi que les dispositions du présent avis.

7) La Commission demande au ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche, en cas d'organisation de tout nouveau scrutin par voie électronique, de la saisir d'un nouveau projet d'arrêté relatif à l'élection des représentants des usagers aux conseils des établissements publics à caractère scientifique, culturel et professionnel accompagné d'un dossier de formalités préalables.

Le Président, Alex TURK.

Vice-Président Délégué, Guy ROSIER.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: