• Home  / 
  • DELIBERATION 2011-181

DELIBERATION 2011-181

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministère de l'Education nationale, de la jeunesse et de la vie associative (MENJVA) de deux projets d'arrêté prévoyant la mise en place d'un dispositif de vote électronique à distance pour l'élection des représentants du personnel du ministère ;

Vu la convention n°108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n°95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 27-II-4° ;

Vu la loi n°83-634 du 13 juillet 1983 modifiée portant droits et obligations des fonctionnaires, ensemble la loi n°84-16 du 11 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique de l'Etat ;

Vu l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n°2010-112 du 2 février 2010 modifié pris pour l'application des articles 9,10 et 12 de l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;

Vu le décret n°2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l'élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l'Etat ;

Vu la délibération n°2010-371 du 21 octobre 2010 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;
Après avoir entendu Mme Isabelle FALQUE-PIERROTIN, Vice-présidente, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;


Emet l'avis suivant :

Le 24 mai 2011, le ministère de l'Education Nationale, de la Jeunesse et de la Vie Associative (MENJVA), a saisi la CNIL d'une demande d'avis relative à un projet d'arrêté portant création de traitements automatisés de données à caractère personnel dans le cadre du vote électronique par internet pour l'élection des représentants des personnels aux comités techniques, aux commissions administratives paritaires et aux commissions consultatives paritaires compétentes (dit arrêté traitements automatisés ).

Le 7 juin 2011, sur demande expresse de la CNIL, le MENJVA a officiellement saisi la Commission du projet d'arrêté relatif aux modalités d'organisation du vote électronique par internet des personnels relevant du ministre chargé de l'éducation nationale pour l'élection des représentants des personnels aux comités techniques, aux commissions administratives paritaires et aux commissions consultatives paritaires pour les élections fixées du 13 octobre 2011 au 20 octobre 2011 (dit arrêté modalités d'organisation ).

Cette double saisine fait suite à la publication, le 28 mai 2011, du décret n°2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l'élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l'Etat. Ce décret avait donné lieu à un avis préalable de la CNIL, en date du 28 avril 2011.

Elle a été précédée par l'élection-test, organisée par le MENJVA du 17 au 22 mars 2011 dans l'objectif de valider le processus logistique d'opérations électorales dématérialisées.

Ce vote rassemblera environ 1 million d'électeurs dans le cadre de scrutins ouverts du 13 octobre 2011, 10 heures, au 20 octobre 2011, 17 heures. Il permettra aux personnels relevant du MENJVA régulièrement inscrits sur les listes électorales de voter par internet pour élire leurs représentants du personnel aux comités techniques, aux commissions administratives paritaires et aux commissions consultatives paritaires qui les représentent.

A titre liminaire

Comme elle l'avait déjà fait dans sa délibération du 28 avril 2011, la Commission souhaite rappeler qu'elle reste très attentive aux conditions de développement du vote électronique.

Celui-ci ne peut notamment être envisagé que si sont remplies quatre conditions essentielles :
- l'obligation de prévoir un système dans lequel le chiffrement du bulletin est ininterrompu entre le poste de l'électeur et l'urne électronique ;
- l'assurance que toute intervention du prestataire technique n'interviendra qu'après un avertissement préalable du bureau de vote ;
- la nécessité d'opérer une destruction totale de tous les fichiers supports (copies des programmes sources et exécutables, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) sous le contrôle de la commission électorale ;
- une gestion de l'attribution du mot de passe prévoyant des modalités de génération et d'envoi des codes personnels qui garantissent, même en cas de perte ou de vol, leur confidentialité.

Compte tenu des risques particuliers que ces traitements peuvent présenter pour les personnes, comme la divulgation de leurs opinions politiques ou syndicales, la Commission rappelle au ministère la nécessité de mettre en place des mesures de sécurité adéquates, notamment pour garantir la confidentialité des votes exprimés durant l'élection.

A ce titre, la Commission souhaite insister sur la nécessité de respecter sa recommandation du 21 octobre 2010.

C'est pourquoi, concernant l'élection des représentants du personnel du ministère de l'Education nationale, de la Jeunesse et de la Vie Associative (MENJVA) par internet, qui s'appuiera, selon les deux arrêtés précités, exclusivement sur un vote électronique, la Commission est particulièrement vigilante et a demandé au ministère des mesures de sécurité additionnelles et la conduite d'une analyse de risques.

Sur le régime de formalités préalables applicable

Le décret n°2011-595 du 26 mai 2011 fixe le cadre général permettant le vote électronique dans l'élection des représentants du personnel et, notamment, les mesures de sécurité à respecter par les administrations et les établissements publics de l'Etat lors de l'organisation des scrutins.

Toutefois, ce texte ne crée pas les traitements automatisés de données mis en œuvre pour le vote électronique. Il ne dispensait donc pas le ministère de l'Education Nationale, de la Jeunesse et de la Vie Associative, de la Jeunesse et de la Vie Associative (MENJVA), en tant que responsable des traitements, de l'obligation de déclarer ses systèmes de vote à la CNIL.

La CNIL est donc saisie sur le fondement de l'article 27-II-4° par le MENJVA d'une demande d'avis sur deux arrêtés qui encadrent, d'une part, la création des traitements automatisés de données mis en œuvre pour le vote électronique (arrêté traitements automatisés ) et, d'autre part, les modalités d'organisation de ce vote (arrêté modalités d'organisation ).

Le projet d'arrêté relatif aux traitements automatisés crée deux traitements automatisés distincts : le fichier des électeurs et l'urne électronique (article 2 du projet d'arrêté). Il précise la maîtrise d'ouvrage et la maîtrise d'œuvre du système de vote électronique par internet (article 3), le contrôle de la conformité des listes électorales et des listes des candidatures (article 4), les catégories de données à caractère personnel enregistrées (article 5), les destinataires ou catégories de destinataires des informations traitées (article 6), les droits des personnes concernées (articles 7 et 8) et le contrôle effectif des représentants de l'administration (article 9).

Le projet d'arrêté relatif aux modalités d'organisation du vote électronique par internet précise les informations suivantes :
- la description détaillée du fonctionnement du système retenu et du déroulement des opérations. (articles 5 à 7 du projet d'arrêté), notamment concernant les moyens d'authentification des électeurs (articles 29 à 31), le déroulement des opérations électorales (articles 32 à 36) et la clôture des opérations électorales (articles 37 à 40) ;
- les modalités d'accès au vote pour les électeurs ne disposant pas d'un poste informatique sur leur lieu de travail (article 33 alinéa 6 du projet d'arrêté) ;
- les modalités de préparation des opérations électorales (articles 23 à 28 du projet d'arrêté) ;
- les modalités de fonctionnement de la cellule d'assistance technique à l'électeur (article 7) ;
- la durée du scrutin (article 2) ;
- les modalités d'établissement des clés de chiffrement (articles 19 à 22) ;
- l'institution de bureaux de vote électronique et d'un bureau de vote centralisateur (articles 8 à 18) ;
- les dispositions applicables à Mayotte, à la Nouvelle-Calédonie, à la Polynésie française, à Wallis et Futuna et à Saint-Pierre et Miquelon (articles 41 à 46).

Sur l'expertise indépendante du dispositif de vote électronique

La Commission prend acte du recours par le MENJVA à une expertise complète du système de vote, avant, pendant et après le scrutin.

Concernant l'expertise avant le vote, la Commission confirme avoir reçu le rapport intégral d'expertise indépendante initiale dans le cadre du système de vote par Internet mis en place par le MENJVA pour les élections qui auront lieu en 2011, ainsi que le tableau comparatif entre la solution choisie et la recommandation de la CNIL du 21 octobre 2010 relative au vote électronique.

La Commission prend acte des conclusions de cette expertise initiale garantissant que la solution retenue offre un haut niveau de conformité à la recommandation CNIL 2010 .

Elle relève également que plusieurs points seront approfondis ultérieurement, en fonction des choix définitifs du responsable de traitement.

Dans ces conditions, elle demande à être destinataire des rapports d'expertise futurs, qu'ils concernent la précision de certains points, le déroulement du scrutin lui-même ou les procédures et mesures de sécurité mises en œuvre après le scrutin. Elle rappelle que cette obligation de transmission découle des dispositions de l'article 5 du projet d'arrêté modalités d'organisation , étant donné que celui-ci dispose ... que les règles de gestion, de maintenance et les modalités d'expertise qui lui sont applicables sont fixées par l'arrêté et les documents transmis à la commission nationale de l'informatique et des libertés ... .

Dans sa délibération du 28 avril 2011, la CNIL avait souhaité que la possibilité d'exprimer son vote sur un poste dédié dans un lieu aménagé à cet effet fasse l'objet d'une expertise. La Commission se félicite que ses recommandations aient été suivies et reprises (article 7 alinéa 1 du décret du 26 mai 2011).

Toutefois, l'alinéa 4 de l'article 33 de l'arrêté modalités de traitement indique que les écoles du premier degré de moins de 8 électeurs ne disposent pas de postes dédiés. Ces électeurs ont accès aux établissements et services disposant d'un kiosque de vote ; or, l'alinéa 6 de ce même article mentionne que tout électeur qui se trouve dans l'incapacité de recourir au vote électronique à distance peut être en cas de besoin accompagné d'un électeur de son choix sous réserve des dispositions fixées au III de l'article 9 du décret , c'est-à-dire sous réserve que l'électeur de son choix appartienne au service ou à l'établissement où se trouve le poste dédié .

Sur ce point, la Commission indique que les électeurs des écoles du premier degré de moins de 8 électeurs qui se trouvent dans l'incapacité de recourir au vote électronique à distance, et qui auraient besoin d'être physiquement secondés pour accomplir l'acte de vote, seront susceptibles de rencontrer des difficultés pour se faire accompagner par un électeur appartenant au service de l'établissement où il sera tenu d'aller voter.

Or, elle souligne que le dispositif doit remplir l'obligation de l'administration de veiller à assurer le bénéfice effectif d'une mise à disposition de l'ensemble des contenus relatifs aux élections (professions de foi, candidatures) pour les électeurs ne disposant pas d'un poste informatique sur leur lieu de travail , comme le prescrit l'article 6-V du décret du 26 mai 2011.

Dans ces conditions, et pour que cette obligation soit remplie dans les établissements de moins de 8 électeurs, la Commission recommande une mise à disposition des contenus susmentionnés sous format papier.

Sur l'anonymat du scrutin

La Commission rappelle la nécessité de respecter les mesures prévues afin de garantir que l'identité de l'électeur ne puisse pas être mise en relation avec l'expression de son vote, et cela à tout moment du processus de vote, y compris après le dépouillement.

Elle prend acte que l'article 13-III du décret du 26 mai 2011 est complété par l'arrêté traitements automatisés , en son article 2 : les données contenues dans l'urne électronique ne doivent pas comporter de lien permettant l'identification des électeurs .

Toutefois, faisant suite à l'avis rendu le 28 avril 2011, elle attire à nouveau l'attention du ministère sur le fait que la séparation physique du fichier des électeurs et de l'urne prévue à l'article 7 du projet de décret n'est qu'une solution parmi d'autres pour garantir cet anonymat.

A ce titre, elle demande à ce que les conditions techniques et organisationnelles de garantie de l'anonymat du vote soient précisées dans l'arrêté modalités d'organisation .

Sur la mise en œuvre des sécurités informatiques

L'article 3 alinéa 3 de l'arrêté traitements automatisés indique que le prestataire technique doit appliquer toutes les mesures de sécurité prescrites par les dispositions du décret du 26 mai 2011, ainsi que toute mesure nécessaire à la protection des données à caractère personnel .

La Commission recommande que cette mention soit précisée par l'insertion des mentions de l'article I-1 de la délibération de la CNIL du 21 octobre 2010 qui concerne la vérification attestant a posteriori que les différents composants logiciels sur lesquels a porté l'expertise n'ont pas été modifiés sur le système utilisé durant le scrutin .

Dans le cadre de l'article 3-IV du décret du 26 mai 2011, la Commission approuve que l'article 7 du projet d'arrêté modalités d'organisation prévoie la création d'une cellule d'assistance technique le 1er septembre 2011 au plus tard.

Sur le scellement du dispositif de vote électronique et la confidentialité des données

La Commission observe que les dispositions de l'article 12-III du décret du 26 mai 2011 ont suivi la recommandation de la CNIL de mettre en place un dispositif technique garantissant l'information du bureau de vote en cas d'intervention sur le système de vote.

Elle regrette toutefois que l'arrêté modalités d'organisation ne précise pas que cette information, en plus d'être immédiate, doive également être systématique , comme cela avait été préconisé par la CNIL dans son avis du 28 avril 2011.

Elle recommande donc que l'arrêté modalités d'organisation indique dans son chapitre IV que le bureau de vote sera automatiquement informé de toute intervention sur le système de vote.

Sur la surveillance effective du scrutin

La Commission approuve que le contrôle de la régularité du scrutin soit dévolu aux bureaux de vote électronique.

Elle recommande que l'article 15 du projet d'arrêté modalités d'organisation indique que toutes les facilités doivent être accordées aux membres du bureau de vote et aux délégués des candidats, s'ils le souhaitent, pour pouvoir assurer une surveillance effective de l'ensemble des opérations électorales et, en particulier, de la préparation du scrutin, du vote, de l'émargement et du dépouillement (article I-6 alinéa 2 de la délibération du 21 octobre 2010).

En outre, dans la délibération rendue le 28 avril 2011, la Commission avait relevé l'absence de mise à disposition de tous documents utiles permettant la formation des représentants de l'organisme responsable du traitement, des experts, des membres du bureau de vote, des délégués des candidats et des scrutateurs au fonctionnement du dispositif de vote électronique. Elle recommande donc que les contenus nécessaires à cette formation soient effectivement mis à disposition des personnes concernées.

Sur les procédés d'authentification

L'article 31 alinéa 3 du projet d'arrêté modalités d'organisation a particulièrement retenu l'attention de la Commission. Il dispose qu' en cas de perte du seul mot de passe avant ou pendant le déroulement des scrutins, il est procédé à la demande de l'électeur, à la réattribution par voie électronique du même mot de passe que l'électeur ait déjà pris part à l'un des scrutins ou non .

Or, la perte d'un mot de passe ne saurait donner lieu à la réattribution, par voie électronique, du mot de passe égaré sans compromettre la sécurité de l'authentification. En outre, une telle disposition supposerait l'existence d'une liste des mots de passe en clair, ce qui présente un risque de sécurité en soi. De plus, la Commission rappelle la nécessité de veiller à ce que les personnes chargées de traiter les cas de perte et les demandes de réattribution de mots de passe ou d'identifiants n'aient pas accès aux données de vote des électeurs.

C'est pourquoi la Commission propose de mettre en œuvre la solution préalablement retenue en matière de vote électronique, à savoir, en cas de perte ou de vol des identifiants et/ou mots de passe, la réattribution d'un nouveau mot de passe au moyen d'un dispositif d'authentification renforcé (article II-1-2° de la recommandation de la CNIL du 21 octobre 2010).

Enfin, la Commission émet de fortes réserves sur le dispositif d'attribution des identifiants et des mots de passe décrit par l'article 29 de l'arrêté modalités d'organisation (alinéas 2 et 3) : l'identifiant est remis à l'électeur par les chefs d'établissement et les chefs de service contre émargement sur un support papier garantissant la confidentialité et le mot de passe est remis à l'électeur par voie électronique à l'aide des informations contenues dans le document d'émargement précité.

Outre la connaissance du NUMEN (Numéro d'identifiant internet de l'Education Nationale) et du département de naissance de l'électeur, le ministère a indiqué que la récupération du mot de passe suppose l'accès à une adresse électronique de l'électeur, qui serait donc déjà connue du ministère.

Toutefois, la Commission n'a eu d'informations ni sur les conditions de collecte des adresses électroniques qui seront utilisées, ni sur la nature professionnelle ou personnelle de ces adresses, ni sur la validité des informations utilisées dans ce cadre. A cet égard, elle demande à être informée sur l'ensemble de ces points et recommande, dans le respect des choix de chaque électeur, le recours à des adresses personnelles plutôt que professionnelles.

Elle insiste sur la nécessité absolue de garantir la confidentialité des informations permettant de voter et demande au ministère qu'il fasse connaître les conditions dans lesquelles les personnes concernées récupèreront leur identifiant et leur mot de passe, en cas de perte ou de vol de ceux-ci.

Par conséquent, la Commission recommande au MENJVA de préciser les conditions de sécurité finalement retenues pour permettre une sécurisation effective de ce dispositif.

Par ailleurs, l'arrêté modalités d'organisation ne mentionne pas de destruction des supports papier contenant les identifiants qui n'auraient pas été distribués par les chefs d'établissement et les chefs de service, ni les modalités d'une éventuelle conservation de ces documents.

Sur le contrôle du système avant le scrutin

La Commission prend acte que la recommandation qu'elle avait formulée le 28 avril 2011 a été incluse dans l'article 11-I du décret adopté le 26 mai 2011 et que le contrôle du système de vote, avant le scrutin, est encadré par l'article 4 de l'arrêté traitements automatisés .

Sur les clés de chiffrement et le dépouillement

La Commission se félicite que sa recommandation d'insérer un article relatif aux clés de chiffrement des bulletins ait été suivie.
En effet, dans l'arrêté modalités d'organisation , les articles 19 à 22 précisent les modalités d'établissement et de répartition de ces clés et l'article 39 décrit les conditions de recours aux clés de chiffrement pour procéder publiquement à l'ouverture de l'urne électronique en activant les clés de chiffrement .

Néanmoins, il serait souhaitable de mentionner que la procédure d'établissement des clés garantit que seuls les titulaires de ces clés, c'est-à-dire les membres des bureaux de vote (article 19 alinéa 1) et, à titre dérogatoire, les membres du bureau de vote électronique centralisateur (article 19 alinéa 2), ont connaissance des clés, à l'exclusion de toute autre personne, y compris les personnels techniques chargés du déploiement du système de vote, comme indiqué dans la recommandation de la CNIL du 21 octobre 2010.

Sur le chiffrement du bulletin de vote

Le chiffrement du bulletin de vote est mentionné au dernier alinéa de l'article 13-III du décret du 26 mai 2011 : Le suffrage exprimé est anonyme et chiffré par le système et transmis au fichier contenu de l'urne électronique mentionné au II de l'article 4 où il est ainsi conservé jusqu'au dépouillement . En outre, les documents techniques fournis montrent un chiffrement sur le poste de l'électeur.

Toutefois, la Commission relève que, tel qu'il est présenté dans le décret du 26 mai 2011, le chiffrement du bulletin de vote pourrait laisser la possibilité de ne chiffrer les données que sur le serveur de vote. En effet, l'article 4-I du décret exige que les systèmes de vote électronique par internet comportent les mesures physiques et logiques permettant d'assurer la confidentialité des données transmises et vise la confidentialité des fichiers constitués pour établir les listes électorales, ainsi que la sécurité de l'adressage des moyens d'authentification, de l'émargement, de l'enregistrement et du dépouillement des votes , sans viser directement la confidentialité du vote.

Or, pour garantir la confidentialité du vote, un chiffrement du bulletin doit être opéré sur le poste de l'électeur et maintenu, de manière ininterrompue jusqu'à son dépouillement dans l'urne.

Par conséquent, compte-tenu du caractère crucial de cette mesure pour la protection de l'anonymat, la Commission demande au ministère de mentionner, dans l'arrêté modalités d'organisation , l'existence d'un chiffrement sur le poste de l'électeur. Elle propose la formulation suivante: Le bulletin de vote est chiffré sur le poste de l'électeur et stocké dans l'urne, en vue du dépouillement, sans avoir été déchiffré à aucun moment, même de manière transitoire .

Sur le dépouillement et la clôture du scrutin

Concernant la procédure de scellement de l'urne électronique avant dépouillement, la Commission prend acte que l'article 14 du décret du 26 mai 2011 mentionne le scellement de l'urne et de la liste d'émargement avant le dépouillement, mais ne mentionne pas la copie de tous les documents utiles pour le contrôle a posteriori . Elle prend également acte que l'article 14-I du décret dispose : Le bureau de vote contrôle, avant le dépouillement, le scellement du système .

En conséquence, il conviendrait de compléter l'article 14 du décret dans l'arrêté modalités d'organisation par l'adjonction de la phrase : L'ensemble des informations nécessaires à un éventuel contrôle a posteriori doit également être recueilli lors de cette phase .

Concernant l'article 40 alinéa 2 du projet d'arrêté modalités d'organisation , la Commission insiste sur la nécessité de détruire tous les fichiers supports dès l'expiration des délais de recours. Sur ce point, elle confirme qu'une conservation de ces fichiers pendant deux ans est contraire à l'article III-2 de la recommandation de la CNIL du 21 octobre 2010.

En revanche, l'alinéa 3 de l'article 40 n'appelle aucune observation.

Autres recommandations de la CNIL

La Commission approuve l'article 23 du projet d'arrêté modalités d'organisation et surtout l'article 6-II alinéa 3 du décret du 26 mai 2011 : La mise en ligne des candidatures ne se substitue pas à l'affichage des candidatures dans des locaux facilement accessibles au personnel et auxquels le public n'a pas normalement accès .

Elle regrette que l'article 27 du projet d'arrêté modalités d'organisation n'indique pas aux organisations syndicales comment elles peuvent déposer leurs candidatures ou leurs professions de foi, et particulièrement que le renvoi en annexe 2 ou 3 initialement prévu ait été oblitéré.

Elle attire l'attention du MENJVA sur les articles 20 à 22 de l'arrêté modalités d'organisation relatifs à l'attribution des clefs de chiffrement : ces articles devraient faire apparaître une fourchette du nombre de clefs susceptibles d'être attribuées lors de ces élections, ainsi que du nombre de clefs nécessaires au dépouillement.

Enfin, sur la base de ces observations, et compte tenu du caractère exclusivement électronique de ce scrutin, la Commission demande au ministère de lui communiquer un bilan détaillé des opérations électorales, à l'échéance des opérations de vote, afin d'apprécier les conditions de sécurité physique et logique mises en œuvre pour garantir effectivement la confidentialité des données traitées et les droits des personnes concernées.

Le Président

Alex TÜRK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: