• Home  / 
  • DELIBERATION 2005-067

DELIBERATION 2005-067

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie le 9 mars 2005 par le conseil national de l'ordre des pharmaciens d'un dossier de formalités préalables portant sur un projet de vote électronique,

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;

Vu le code de la santé publique et en particulier l'article L. 4233-3 ;

Vu le décret n° 2005-261 du 21 mars 2005 modifiant le chapitre III du livre II de la quatrième partie du code de la santé publique et relatif aux modalités d'élection aux conseils de l'ordre des pharmaciens ;

Après avoir entendu, Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Catherine Pozzo di Borgo, commissaire adjointe du Gouvernement, en ses observations ;

Emet l'avis suivant :

Le conseil national de l'ordre des pharmaciens souhaite mettre en place un dispositif de vote électronique pour les élections aux conseils de l'ordre des pharmaciens.

Les élections des conseils de l'ordre des pharmaciens sont régies par les dispositions de l'article L. 4233-3 du code la santé publique et celles du décret n° 2005-261 du 21 mars 2005.

Sur le décret relatif aux modalités d'élection

La Commission regrette et s'étonne qu'elle n'ait pas été consultée sur le décret n° 2005-261 du 21 mars 2005 modifiant le chapitre III du titre II de la quatrième partie du code de la santé publique qui prévoit notamment la possibilité d'organiser un scrutin par voie électronique pour les élections aux conseils de l'ordre des pharmaciens.

Le décret d'une portée générale n'encadre pas précisément les opérations de vote électronique sans pour autant renvoyer à un texte d'application le soin de détailler les modalités techniques du système de vote et d'apporter un niveau de garanties suffisant pour les électeurs.

En conséquence, la Commission souhaite que ce décret soit modifié afin de prévoir, après avis de la CNIL, un arrêté d'application, également pris après avis de la Commission, définissant les finalités du traitement, l'intervention d'un prestataire extérieur, les catégories de données à caractère personnel traitées, les destinataires de ces informations, la durée de conservation, les modalités du droit d'accès et de rectification ainsi que les mesures de sécurité ou de contrôle prises pour ce vote électronique.

Sur le régime de formalités préalables applicable

Aux termes de l'article 27.II.4° de la loi du 6 janvier 1978 modifiée, sont autorisés par arrêté, ou en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé de la CNIL : "les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I aux fins de mettre à disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques". Le CNOP est une structure privée chargée d'une mission de service public.

La Commission considère qu'il s'agit d'un téléservice mis en oeuvre par un organisme privé chargé d'une mission de service public qui s'inscrit dans le cadre de l'article 27.II.4° de la loi du 6 janvier 1978 modifiée dans la mesure où le vote électronique s'effectue par le biais d'un site internet mis à disposition de l'électeur et que le dispositif prévu comporte un identifiant individuel propre à chaque électeur.

Conformément à l'article 27.II.4° susvisé, le conseil national de l'ordre des pharmaciens a joint à ce dossier un projet d'acte réglementaire pour lequel la Commission demande les modifications suivantes.

Sur les finalités

La Commission ne délivre le présent avis que pour les élections de 2005 et demande que le projet d'acte réglementaire prévu à l'article 27.II.4° de la loi du 6 janvier 1978 modifiée limite la finalité du traitement, à savoir la création d'un système de vote électronique, aux élections au CNOP organisées cette année.

Le conseil national de l'ordre des pharmaciens devra adresser un nouveau dossier de formalités préalables s'il souhaite pérenniser son dispositif.

Sur l'expertise indépendante

Le dossier de formalités préalable remis par le CNOP propose de s'appuyer sur des audits réalisés lors de précédentes opérations de vote électronique utilisant le même dispositif. Les rapports d'audits remis à la Commission, essentiellement fondés sur des entretiens, ne comportent pas d'analyse complète du code source ni du chiffrement. Les expertises versées au dossier ne répondent donc pas aux termes de la recommandation de la CNIL du 1er juillet 2003.

La Commission considère, en conséquence que l'obligation de procéder à une expertise indépendante du système de vote n'est pas remplie. Elle estime qu'une expertise complémentaire doit être effectuée sur les points suivants durant le scrutin :

- la réalité des éléments d'architecture et de sécurité prévus et leur résistance à des tests d'intrusion ;

- l'analyse de risques sur l'architecture technique et l'organisation déployée, incluant l'analyse des scénarios d'incidents potentiels pouvant survenir au cours du scrutin ;

- la sécurité du processus de gravure des cédéroms au moment de la clôture du scrutin et l'édition sécurisée des résultats ;

- la conservation sous scellé de tous les fichiers support (copies des programmes sources et exécutables, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) jusqu'à l'expiration des délais de recours contentieux ;

- le transfert des fichiers supports en la possession du prestataire technique à l'issue du scrutin à la personne ou au tiers nommément désigné pour assurer la conservation des supports et lorsque aucune action contentieuse n'a été engagée à la date d'épuisement des délais de recours, la destruction de toutes les copies totales ou partielles que le prestataire technique aurait été amené à effectuer sur quelque support que ce soit ;

- la présence de tous les éléments de traçabilité nécessaires au contrôle du juge.

Elle recommande qu'une expertise complète et préalable soit effectuée avant toute nouvelle utilisation du dispositif.

Sur la séparation des données identifiantes des électeurs et des votes

Le secret du vote doit être garanti par la mise en oeuvre de procédés rendant impossible l'établissement d'un lien entre le nom de l'électeur et l'expression de son vote. Il en résulte que la gestion du fichier des votes et celle de la liste d'émargement doivent être faites sur des systèmes informatiques distincts, dédiés et isolés. Ces fichiers doivent faire l'objet de mesures de chiffrement d'un haut niveau selon un algorithme public.

Le CNOP a indiqué que les données figuraient sur des bases distinctes mais sur le même serveur.

De surcroît, les fonctions d'authentification des électeurs et de collecte de leurs votes sont hébergées dans des systèmes informatiques rassemblées en un même lieu géographique. Le déploiement et l'administration de l'ensemble de ces systèmes informatiques sont assurés par le même prestataire technique retenu qui est également responsable de la génération et la diffusion des secrets (clés de chiffrement/déchiffrement).

La Commission estime donc qu'il est nécessaire de prévoir une séparation tant logique que physique des urnes et de la liste des électeurs et qu'en tout état de cause, le prestataire doit s'engager à garantir une réelle séparation opérationnelle entre ces deux traitements, ce qui implique au minimum deux équipes techniques distinctes.

Sur le scellement du dispositif de vote électronique

Les systèmes de vote électronique ont fait l'objet d'un essai en situation réelle en présence du prestataire de services et de représentants du CNOP à la suite duquel l'architecture technique du dispositif a été arrêtée.

Cependant, dans la mesure où le système n'a pas fait l'objet d'une véritable expertise, la Commission n'est pas en mesure d'apprécier s'il existe un véritable scellement du système, c'est à dire un procédé permettant de déceler toute modification de ce système. Le procédé de scellement n'a pas été agréé.

Sur la surveillance effective du scrutin

La Commission considère que le projet d'acte réglementaire devra être modifié afin de préciser la composition de la cellule veillant à l'effectivité des principes électoraux fondamentaux, en particulier la présence d'experts indépendants et de représentants des candidats et du corps électoral.

Sur les données à caractère personnel utilisées

Il conviendrait que le projet d'acte réglementaire soit complété afin de préciser les éléments relatifs aux nom, prénom, et le cas échéant, la date de naissance et le numéro dans la liste.

Sur les mesures de sécurité

La Commission souligne la nécessité de renforcer les mesures de sécurité mises en oeuvre dans le cadre du système de vote électronique projeté, afin d'assurer la confidentialité des données et l'anonymat du vote, en particulier les mesures de chiffrement des données et les conditions du scellement du dispositif de vote. Ces éléments devront être détaillés dans le projet d'acte réglementaire. Ce texte devra également préciser explicitement le recours à des systèmes informatiques distincts, dédiés et isolés, ce qui implique au minimum deux équipes techniques distinctes pour gérer l'urne et la liste électorale. Ce dernier prévoira aussi la délivrance d'un accusé de réception à l'électeur à l'issue de son vote.

La Commission considère que les moyens d'authentification des électeurs mis en oeuvre, eu égard à la nature professionnelle des élections, sont acceptables et analogues à ceux prévus pour le vote par correspondance.

Elle estime, de surcroît, que dans l'hypothèse d'une généralisation de ce système de vote pour les élections au CNOP, la confidentialité du vote devra être renforcée par le recours au chiffrement du bulletin de vote sur le poste de l'électeur dès son émission.

Sur le droit d'accès, de rectification et de suppression

La Commission demande que les droits d'accès, de rectification et de suppression soient prévus dans le projet d'acte réglementaire ainsi que le lieu de leur exercice.

Sur la durée de conservation des données

La Commission estime que l'acte réglementaire doit être complété par une disposition relative à l'horodatage de la liste et à la conservation des données enregistrées à savoir, notamment, le support utilisé, les mesures de sécurité prises et la durée de conservation.

Le président, Alex TURK.

Guy ROSIER Vice-Président Délégué

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: