Article mis en ligne le 11 mai 2009

Cet article s’inspire largement d’un chapitre du Guide du vote électronique de la Fédération Nationale des Tiers de Confiance (FNTC) paru en avril 2009. Cecurity.com a participé à la rédaction de ce guide notamment pour les chapitres consacrés à l’expertise indépendante et aux exigences de la Cnil.

La publication concomitante d’une synthèse en ligne de la Cnil et d’un guide de la Fédération Nationale des Tiers de Confiance (FNTC) consacre l’importance de l’expertise indépendante en matière de vote électronique. Au-delà de la seule dimension conformité, le recours à une expertise indépendante participe à la chaîne de confiance d’un dispositif de vote électronique dans l’intérêt de l’organisateur du scrutin mais aussi pour les prestataires.

***

L’expertise indépendante des systèmes de vote électronique est une exigence de la Cnil qui figure dans la délibération n° 03-036 du 1er juillet 2003 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique. À l’exception des machines à voter définies par le code électoral qui font l’objet d’une procédure d’agrément spécifique par le Ministère de l’intérieur, la recommandation indique que « tout système de vote électronique devrait faire l’objet (…) d’une expertise indépendante ». Tous les scrutins par Internet sont donc concernés notamment ceux relatifs à l’élection des représentants du personnel.

Même s’il ne s’agit pas à proprement parler d’une obligation légale, la Cnil a rappelé cette exigence à plusieurs reprises ne serait-ce que pour déplorer qu’elle n’était pas respectée. Dans son 26e Rapport d’activité 2005, dans le chapitre consacré au vote électronique, la Cnil écrit que « dans aucun des projets présentés, une expertise indépendante n’a été réalisée alors que c’était un des points forts de la recommandation de la CNIL pour garantir la sécurité et la fiabilité des dispositifs utilisés. ». Dans sa délibération du 23 février 2006 relative au dispositif de vote électronique pour les élections à l’Assemblée des Français de l’étranger du 18 juin 2006, elle « constate qu’aucune expertise n’a été menée et jointe au dossier de formalités préalables.(…) L’absence de cette expertise indépendante préalable à la saisine de la CNIL amoindrit les garanties nécessaires permettant de s’assurer que le dispositif de vote électronique projeté respecte la sincérité, l’anonymat, la transparence, l’ «auditabilité » et la sécurité du scrutin ainsi que les principes généraux de protection des données à caractère personnel. ». En cas de contrôle de la Cnil, la situation de l’organisme sera à l’évidence plus confortable si l’étape de l’expertise n’aura pas été « oubliée ».

Expert et indépendant

Se pose dès lors la première question : « qu’est-ce qu’un expert indépendant ? » En premier lieu, l’expert indépendant est un expert. On peut imaginer que ses compétences s’exercent dans les trois domaines suivants : la sécurité des systèmes informatiques, le domaine informatique et libertés et le droit électoral.

La Cnil n’exige pas de l’expert qu’il soit agréé, certifié ou référencé. A la différence des organismes qui procèdent à l’évaluation des machines à voter, l’expert n’a pas à être reconnu au préalable par une autorité avec une inscription sur une liste officielle. En second lieu, l’expert indépendant est indépendant des prestataires de vote. Il ne peut s’agir d’un salarié du prestataire qui met en œuvre le dispositif de vote électronique à la demande de l’organisateur du scrutin, ni d’un prestataire ayant comme client le prestataire de vote. Inversement, il peut très bien s’agir d’un salarié de l’organisme qui organise le scrutin comme par exemple son RSSI.

Si le rapport d’expertise est produit par l’expert indépendant à l’attention de l’organisateur du scrutin, la Cnil est également destinataire du rapport. Dans la recommandation de juillet 2003, il est indiqué que le rapport d’expertise devra être joint aux formalités préalables à accomplir auprès de la Cnil. Sauf cas exceptionnels, comme dans le cas de dispositifs d’authentifications biométriques, le vote électronique est un traitement qui entre dans le régime de déclaration auprès de la Cnil et non dans celui de l’autorisation préalable. L’exigence complémentaire qui résulte de la transmission simultanée du rapport d’expertise avec la déclaration semble faire du vote électronique un traitement soumis à un régime de formalités renforcé (déclaration et rapport d’expertise). Dans le cas où le responsable du traitement a désigné un Correspondant Informatique et Libertés (CIL), il sera dispensé de déclarer le traitement à la Cnil. Dans ce cas, il ne sera pas tenu de transmettre le rapport d’expertise à la Cnil mais simplement de le tenir à sa disposition. Il peut également prendre l’initiative d’adresser le rapport à la Cnil.

La Cnil ne précise pas ce que doit être le contenu du rapport d’expertise. Cependant, les trois délibérations du 17 novembre 2005 portant avis sur les dispositifs de vote électronique pour les élections aux barreaux de Lyon, Nanterre et Paris en 2005 permettent d’une part de constater qu’un rapport peut être considéré comme insatisfaisant par la Cnil en raison « de sa brièveté » et d’autre part qu’un rapport d’expert ne peut se limiter à un audit ne portant « que sur les mesures de sécurité face aux risques d’intrusions externes via internet. ». Dans ses interventions publiques sur le sujet, la Cnil insiste régulièrement sur le nécessaire accès aux codes source de la solution mise en œuvre.

La question du Référentiel

Pour mener à bien sa mission, l’expert doit disposer de référentiels qui lui permettent d’apprécier la conformité du système de vote électronique par rapport à un niveau d’exigence et à un état de l’art. A l’évidence, la recommandation Cnil du 1er juillet 2003 relative à la sécurité des systèmes de vote électronique constitue un des référentiels pertinents avec l’ensemble de ses exigences technologiques et organisationnelles couvrant les différentes étapes d’un scrutin. Les documents produits par la DCSSI en matière de technologies de chiffrement peuvent également constituer des référentiels pertinents. Au-delà du référentiel l’expert pourra compléter son analyse en recourant à l’approche considérant qu’en matière de sécurité, le système de vote électronique, doit être « globalement au moins équivalent » au système antérieur. L’objectif est bien d’atteindre un niveau de sécurité satisfaisant et non de chercher à atteindre un niveau de sécurité absolu ce qui aurait des conséquences rédhibitoires sur le coût du scrutin, sur le respect des délais ou sur le niveau de participation des électeurs.

Deux types d’expertises envisageables

Dans ce contexte, les organisateurs de scrutin par Internet ont la possibilité de mettre en œuvre deux philosophies d’expertise du système de vote électronique. La première approche consistera pour eux à mener une expertise du système de vote électronique en se focalisant essentiellement sur les aspects techniques de la solution mise en œuvre. Ici, l’organisateur cherche à se protéger des éventuels manquements de son prestataire. Loin de se réduire à une pénible contrainte, ce type d’expertise correspond bien souvent pour les prestataires les plus professionnels à une forme approximative de labellisation.

Dans une approche plus large, l’expertise indépendante portera sur l’ensemble du scrutin et pas uniquement sur la solution de vote. L’ensemble des aspects techniques et organisationnels abordés par la recommandation Cnil du 1er juillet 2003 seront alors pris en considération. Le prestataire devra toujours répondre des aspects techniques mais l’organisateur sera également audité pour les aspects organisationnels qui sont de sa responsabilité. Dans ce second cas de figure, l’organisateur sera en mesure de dire à ses électeurs que le prestataire et lui-même ont fait l’objet d’un contrôle. Cette seconde approche va au-delà des attentes minimales de la Cnil mais elle est en mesure de conforter la confiance des électeurs. Une confiance qui reste bien souvent à construire en matière de vote par Internet.