Le contenu de cette page est potentiellement obsolète.

Le wiki sert d'archive et certaines pages ne représentent plus la vision actuelle du Parti Pirate. Pour connaître les positions des Pirates, aujourd'hui, vous pouvez consulter :

Et pour toute autre question, vous pouvez nous contacter et discuter avec nous :

contact@partipirate.org | @PartiPirate sur Twitter | Parti Pirate sur Facebook | Discourse (espace libre d'échanges et discussions) | Discord (espace d'échanges instantanés textuel et vocal)

Talk/idées histoire/sources/referent cnil

De Wiki du Parti Pirate
Aller à la navigation Aller à la recherche

recommandations générales : [1]

Général

[2]

Recommandations

  • Conformément à l'article 8 de la loi du 6 janvier 1978 modifiée, les partis ou groupements à caractère politique qui mettent en œuvre des traitements relatifs à leurs membres ou aux personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leur activité politique (par exemple, les personnes qui versent des fonds, qui soutiennent de manière régulière l'action du parti ou de l'organisme politique concerné ou qui sont abonnées à une lettre d'information éditée par le parti ou le groupement à caractère politique) n'ont pas à effectuer de déclaration auprès de la CNIL ni à recueillir le consentement des personnes dont les données sont traitées.
  • En revanche, les traitements mis en œuvre par les élus ou les candidats et les traitements mis en œuvre par les partis ou groupements à caractère politique qui comprennent des données relatives aux personnes s'étant occasionnellement mises en relation avec eux (à l'occasion de l'envoi d'une pétition, d'une demande de documentation ou d'une visite sur un « blog » par exemple) doivent être déclarés à la CNIL. Ces traitements peuvent être déclarés en référence à la norme simplifiée n° 34 adoptée par la Commission.

Lorsque ces traitements sont susceptibles de faire apparaître les opinions politiques, réelles ou supposées, des personnes, la loi impose le recueil de leur consentement écrit. L'ensemble des traitements mis en œuvre par un parti, un groupement à caractère politique, un élu ou un candidat doit respecter les conditions suivantes en manière d'information des personnes, d'exercice de droits des personnes et de confidentialité des informations traitées.


a trier

A. l'information des personnes lors de la collecte de leurs données Les personnes doivent être informées, au moment de la collecte de leurs données :

  • de l'identité de celui qui procède à cette collecte : s'agit-il d'un parti politique, d'un comité de soutien extérieur au parti, d'un candidat, d'un groupe de sympathisants ? ;
  • de la ou des finalité(s) de cette collecte : les données collectées sont-elles utilisées à des fins de gestion de l'adhésion et des cotisations, pour l'envoi de journaux et autres documents de communication politique ? Les données collectées sont-elles destinées à être diffusées sur un site web de soutien à un candidat ? etc. ;
  • du caractère obligatoire ou facultatif de leurs réponses et des conséquences en cas de défaut de réponse ;
  • des destinataires des informations collectées : les données sont-elles uniquement destinées à la fédération locale, sont-elles transmises au siège du parti ?
  • des modalités selon lesquelles elles peuvent exercer leur droit d'accès, de rectification et de radiation auprès du service ou de la personne désignée pour répondre à ces demandes.

Ces mentions doivent figurer sur les bulletins d'adhésion et sur l'ensemble des supports (tracts, pages web, etc.) permettant un recueil de données à caractère personnel. En outre, les sites web peuvent utilement comporter une rubrique « informatique et libertés/ protection des données personnelles » accessible dès la page d'accueil.

B. les droits des personnes dont les données sont traitées

Les personnes doivent pouvoir exercer facilement, et dans des délais rapides, les droits qui leur sont reconnus par la loi. En particulier, le droit :

  • d'obtenir, en justifiant de leur identité, communication et copie de l'ensemble des informations les concernant, ainsi que celui de se faire communiquer l'origine des ces informations ;
  • d'exiger que les informations les concernant qui sont inexactes, incomplètes, équivoques ou périmées soient rectifiées, complétées, mises à jour ou effacées ;
  • de s'opposer, à tout moment, à la conservation par l'élu, le candidat, le parti ou le groupement politique des données à caractère personnel les concernant.

L'exercice de ces droits doit être facilité par la mise en place d'une adresse postale ou d'une adresse de courrier électronique spécifiquement dédiée à cet effet dont l'existence aura été portée clairement à la connaissance des personnes intéressées sur les différents supports de collecte des données. Enfin, les données recueillies ne peuvent être cédées à des tiers, sauf accord écrit des personnes concernées.

C. Les conditions de sécurité, d'accès et de communication des données traitées par les partis ou groupements à caractère politique, les élus ou les candidats

La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. La Commission appelle l'attention des élus, candidats, partis ou groupements à caractère politique sur le respect de cette obligation, en particulier au regard de la nature sensible des données collectées.

  • Ainsi, la Commission recommande que l'accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. En effet, eux seuls peuvent, dans le cadre de leur fonction au plan national ou local, légitimement y prétendre, aux côtés des personnels administratifs habilités à gérer ces traitements.

Les conditions de ces accès devraient être précisées dans les statuts du parti ou du groupement à caractère politique.

Les accès individuels aux traitements devraient être garantis, par exemple, par l'attribution d'un identifiant et d'un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification.

  • La transmission, à des fins de communication politique, de la liste des adhérents à un candidat à une élection interne à un parti politique est possible sous réserve que ce dernier s'engage à ne pas en faire un usage autre. En cas d'organisation d'une élection interne par vote électronique, la Commission préconise le respect des dispositions de sa recommandation en date du 1er juillet 2003.
  • L'utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s'accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier.


II. Sur l'organisation d'opérations de communication politique,

A. L'utilisation de fichiers constitués par le candidat ou le parti politique lui-même,

Un parti, un groupement à caractère politique, un élu ou un candidat peut utiliser, à des fins de communication politique, les fichiers qu'il détient dès lors que les données ont été collectées en conformité avec les principes rappelés ci-dessus et sous réserve de permettre aux personnes démarchées de s'opposer à tout moment à la réception de nouveaux messages et de se faire radier, le cas échéant, du fichier utilisé.

B.

L'interdiction d'utiliser les fichiers des administrations ou des collectivités locales, Les fichiers mis en œuvre dans les administrations et les collectivités locales ne peuvent être utilisés que pour les seules finalités pour lesquelles ils ont été constitués dans le cadre des missions de service public qui leur sont imparties. Toute autre utilisation est susceptible de constituer un détournement de finalité, constitutive d'une infraction pénale. Dès lors, l'utilisation de ces fichiers à des fins de communication politique ne peut être admise. Ainsi, à titre d'exemple, les registres d'état civil, les fichiers de taxes et redevances, les fichiers d'aide sociale, les fichiers de parents d'élèves, les adresses de courrier électronique collectées à partir d'un site web institutionnel et, d'une façon générale, les fichiers d'administrés et d'usagers ne peuvent en aucun cas être utilisés à des fins de communication politique.

C. L'utilisation de la liste électorale,

Aux termes de l'article L. 28 du code électoral, tout électeur, tout candidat et tout parti ou groupement politique peut prendre communication et copie de la liste électorale auprès des communes concernées, à la condition de ne pas en faire un usage commercial. Cette disposition n'interdit pas aux élus, candidats ainsi qu'aux partis et groupements politiques, d'utiliser les informations issues des listes électorales à des fins de recherche de moyens de financement. Il est possible d'opérer, à partir des listes électorales obtenues, des extractions en fonction de l'âge ou du bureau de vote de rattachement des électeurs afin d'effectuer une opération de communication politique ciblée. En revanche, la Commission estime qu'un traitement consistant à opérer des tris sur la base de la consonance du nom des électeurs, sur leur département ou leur lieu de naissance afin de s'adresser à eux en raison de leur appartenance, réelle ou supposée, à telle communauté ethnique ou religieuse, ne constitue pas, au regard des articles 6 et 8 de la loi, une collecte loyale et licite de données. Un tel traitement doit donc être proscrit car comportant un risque de sélection et de discrimination susceptible de porter atteinte aux droits et libertés des personnes. La Commission recommande que tout courrier adressé à un électeur à partir de la liste électorale indique l'origine des informations utilisées pour le lui faire parvenir.

D. L'utilisation des fichiers commerciaux,

  • Seuls les fichiers loués ou cédés à des fins de prospection commerciale (fichiers de clients ou de prospects) peuvent être utilisés par un candidat, un élu ou un parti politique à des fins de communication politique.
  • Ainsi, les fichiers de gestion interne (par exemple, les fichiers de gestion et de paie du personnel) ne peuvent être utilisés à des fins de communication politique.
  • L'élu, le candidat ou le parti ou le groupement à caractère politique est responsable du traitement mis en œuvre dans le cadre d'une opération de prospection politique, quand bien même l'organisation de cette campagne ne le conduit pas à traiter directement les données à caractère personnel des personnes démarchées, c'est-à-dire lorsqu'il fait appel aux services de sociétés extérieures qui gèrent elles-mêmes l'organisation et la réalisation technique de l'opération de prospection.

A ce titre, il doit procéder à la déclaration du traitement à la CNIL et s'assurer, notamment par l'insertion de clauses spécifiques dans le contrat de location du fichier dont l'utilisation est envisagée, que les personnes ont été informées de l'utilisation à des fins de prospection politique de leurs données et des droits qui leur sont ouverts au titre de la loi "informatique et libertés". Une sélection des personnes à démarcher, notamment sur la base de leur centre d'intérêt (par exemple, la politique), de leur âge ou de leur résidence géographique est possible à la condition qu'elle ne se base pas sur la consonance des noms des personnes ou sur leur lieu de naissance et qu'elle ne fasse pas apparaître, directement ou indirectement, les origines raciales, ou ethniques ou les opinions politiques, réelles ou supposées, des personnes concernées.

  • La particularité des opérations de prospection politique conduit la Commission à recommander une information particulière des personnes dont les données sont traitées, d'une part, lors de la collecte de leurs données, d'autre part, lors de la réception du message.

1. la nécessité d'une information claire et transparente des personnes lors de la collecte de leurs données

La Commission recommande que les personnes soient averties, lors du recueil de leurs données par le prestataire détenteur du fichier dont l'utilisation est envisagée, de la possible utilisation de leurs données à des fins de prospection politique.

  • concernant l'organisation d'opérations de prospection par voie postale ou téléphonique,

Les personnes doivent, en outre, être averties de leur droit de s'opposer à cette utilisation et à la transmission à des tiers de leurs données – ici, le parti, le groupement à caractère politique, le candidat ou l'élu – par un moyen simple et immédiat, une case à cocher par exemple.

  • concernant l'organisation d'opérations de prospection par voie électronique,

La loi pour la confiance dans l'économie numérique du 21 juin 2004 a posé le principe du consentement préalable des personnes concernant la réception de messages de « prospection directe », entendu au sens de commerciale, fournis notamment au moyen de courriers électroniques, mais n'a pas abordé le cas de la prospection politique.

Face au silence de la loi, la Commission estime que ce régime devrait s'appliquer aux opérations de prospection politique opérées par voie électronique et, dès lors, appelle l'attention du Gouvernement sur l'intérêt qui s'attacherait à ce qu'une disposition législative vienne préciser le régime juridique applicable aux opérations de prospection politique opérées par voie électronique.

La Commission estime dès à présent que les opérations de prospection politiques opérées par courrier électronique devraient n'utiliser que des bases de données de personnes ayant exprimé leur consentement à être démarchées, dits fichiers « opt-in ». (exemple de recueil de consentement par une case à cocher : « ? Oui, j'accepte de recevoir par e-mail des sollicitations de vos partenaires commerciaux, d'associations ou de groupements à caractère politique »).

Prenant acte du fait que les personnes dont les adresses de courrier électronique sont aujourd'hui contenues dans les fichiers de prospection commerciale n'ont pas été informées de la possible utilisation de leurs données à des fins de prospection politique, la Commission recommande que les gestionnaires de bases de données souhaitant proposer la location de leur base à des fins de prospection politique adressent un courrier électronique à chacune des personnes présentes dans leur base pour les informer que leur adresse électronique est dorénavant susceptible d'être utilisée à des fins de prospection politique et de la faculté qu'elles ont de s'y opposer.

2. la nécessité de renforcer l'information des personnes lors de la réception d'un message de prospection politique

La Commission préconise que le message envoyé aux personnes sollicitées, quel que soit le support utilisé, précise de façon claire et visible :

  • l'origine du ou des fichiers utilisés ou du programme de fidélisation auquel elles se seraient inscrites (par exemple : « Vous recevez cet e-mail/ ce courrier parce que vous vous êtes inscrit auprès de …. Si vous ne souhaitez plus recevoir de messages de sa part, cliquez ici/ écrivez à l'adresse ci-dessous ») ;
  • le fait que le candidat, l'élu ou le parti à l'origine de la campagne ne dispose pas de l'adresse utilisée mais a eu recours à un prestataire extérieur (par exemple : « Ce message vous a été envoyé par un prestataire pour le compte de notre parti qui n'a pas connaissance de votre adresse ») ;
  • du droit de s'opposer, à tout moment, à recevoir de tels messages. L'exercice de ce droit doit permettre à l'internaute de ne plus recevoir de message à vocation de prospection politique du fichier à partir duquel ses coordonnées électroniques ont été utilisées.

3. la gestion des radiations exprimées par les personnes

Un parti, un groupement à caractère politique, un élu ou un candidat ne peut traiter lui-même dans un fichier (type « liste rouge ») les données des personnes ne souhaitant plus être démarchées. En effet, la constitution d'un tel fichier pourrait révéler, directement ou indirectement, les opinions politiques des personnes qui y sont inscrites. Il revient donc aux prestataires de gérer le fichier des oppositions exprimées par les personnes, en évitant toute indication susceptible de révéler indirectement les opinions politiques des personnes, à savoir la campagne à l'origine de la demande de désinscription.

4. l'utilisation d'autres moyens de communications électroniques

Au regard du caractère particulièrement intrusif de la prospection opérée par télécopieurs ou par automates d'appel, la Commission recommande que les candidats, élus ou partis et groupements à caractère politique s'abstiennent d'utiliser ces moyens de communication pour effectuer une opération de prospection politique. La Commission relève que le format actuel des messages qui peuvent être envoyés sur les téléphones portables (SMS) ne permet généralement pas de fournir aux personnes démarchées les informations nécessaires dans le cadre d'une opération de prospection politique. En conséquence, elle préconise de ne pas utiliser ce moyen de communication afin de réaliser des opérations de communication politique.

III. Sur l'organisation d'opérations de parrainage,

Les partis, groupements à caractère politique, élus ou candidats peuvent vouloir organiser des opérations de parrainage leur permettant de s'adresser directement à une personne dont les données leur auront été communiquées par un tiers. Les opérations de parrainage constituant un mode de collecte indirecte de données, la Commission recommande qu'il soit adressé à la personne ainsi parrainée un seul et unique message l'informant de l'identité de la personne lui ayant transmis ses coordonnées (le parrain) et l'invitant à entrer en contact avec le parti, le groupement à caractère politique, l'élu ou le candidat à l'origine du message et, qu'à défaut, les coordonnées soient effacées à l'issue de cette opération (exemple : « Votre adresse nous a été transmise par M. X. Elle n‘est pas conservée et n'a été utilisée que pour vous faire parvenir ce message vous invitant à rentrer en contact avec nous en nous contactant à l'adresse suivante / par l'intermédiaire de notre site web).

Relatif au Vote Electronique

[3]

a trier

La Commission nationale de l'informatique et des libertés,

Vu la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés pris ensemble le décret d'application n° 78-774 du 17 juillet 1978 ;

Vu le code électoral ;

Après avoir entendu Monsieur Maurice BENASSAYAG, commissaire, en son rapport et Madame Charlotte-Marie PITRAT, commissaire du Gouvernement, en ses observations ;


Formule les observations suivantes :

La Commission constate le développement de systèmes de vote électronique sur place ou à distance tendant à faciliter l'expression du vote et les opérations matérielles de dépouillement.

Le recours à de tels systèmes qui nécessitent la mise en œuvre de traitements automatisés d'informations nominatives, au sens de l'article 5 de la loi du 6 janvier 1978, pour le fichier informatique des électeurs, le traitement automatisé des résultats (pour les données nominatives relatives aux candidats) ou la constitution de la liste d'émargement doit s'inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales : le secret du scrutin sauf pour les scrutins publics, le caractère personnel, libre et anonyme du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l'élection. Ces systèmes de vote électronique doivent également respecter les prescriptions des textes constitutionnels, législatifs et réglementaires en vigueur.

La présente recommandation porte sur les conditions techniques propres à garantir les principes fondamentaux préalablement énumérés et à assurer la sécurité des systèmes de vote électronique. Il appartient au législateur de définir les conditions juridiques de la mise en œuvre du vote électronique.

Elle a pour champ d'application les dispositifs de vote électronique sur place et à distance, en particulier par internet. Elle ne concerne pas les dispositifs de vote par codes-barres et les dispositifs de vote par téléphone fixe ou mobile sur lesquels la Commission sera amenée à se prononcer.

La recommandation prend appui essentiellement sur les dossiers qui ont été soumis à la Commission dans le cadre des formalités préalables prévues par la loi du 6 janvier 1978. Elle constitue une première approche de systèmes qui sont encore en pleine évolution. Elle est destinée à orienter cette évolution dans le sens du respect des principes de protection des données personnelles et à éclairer les responsables des scrutins pour le choix des dispositifs de vote électronique.


Compte tenu de ces observations préalables, la Commission émet la recommandation suivante :


I/ Sur les exigences préalables à la mise en œuvre des systèmes de vote électronique


1. L'expertise du système de vote électronique

Tout système de vote électronique devrait faire l'objet : - d'une procédure d'agrément par le ministère de l'intérieur pour les machines à voter définies par le code électoral ; - d'une expertise indépendante pour les autres systèmes. Le rapport d'expertise devra être joint aux formalités préalables à accomplir auprès de la CNIL.

La Commission estime que dans le cas d'une élection organisée par une collectivité publique, le code source des logiciels utilisés par le système de vote électronique devrait être accessible sans restriction, afin de permettre la réalisation de toutes les expertises jugées nécessaires.

Dans l'hypothèse de l'utilisation d'un logiciel libre, quelle que soit la personne mettant en œuvre le traitement, ce logiciel doit être expertisé.

Afin de garantir un contrôle effectif des opérations électorales, le prestataire technique doit mettre à disposition des représentants de l'organisme responsable du traitement, des experts, des membres du bureau de vote, des délégués des candidats et des scrutateurs tous documents utiles et assurer une formation de ces personnes au fonctionnement du dispositif de vote électronique.

2. La séparation des données nominatives des électeurs et des votes

Le secret du vote doit être garanti par la mise en œuvre de procédés rendant impossible l'établissement d'un lien entre le nom de l'électeur et l'expression de son vote. Il en résulte que la gestion du fichier des votes et celle de la liste d'émargement doivent être faites sur des systèmes informatiques distincts, dédiés et isolés. Ces fichiers doivent faire l'objet de mesures de chiffrement selon un algorithme public réputé « fort ».

3. Les sécurités informatiques

Il convient que toutes les mesures physiques (contrôle d'accès, détermination précise des personnes habilitées à intervenir…) et logiques (firewall, protection d'accès aux applicatifs…) soient prises tant au niveau des serveurs du dispositif que sur les postes accessibles au public afin de garantir la sécurité et la confidentialité des données personnelles en particulier contre les intrusions venant de l'extérieur. Les algorithmes de chiffrement, de signature électronique et les fonctions de hachage doivent être des algorithmes publics réputés « forts ».

4. Le scellement du dispositif de vote électronique

Les systèmes de vote électronique expertisés et utilisés doivent faire l'objet d'un scellement c'est à dire d'un procédé permettant de déceler toute modification de ce système. Le procédé de scellement doit lui-même être agréé. La vérification du scellement devrait pouvoir se faire à tout moment, y compris durant le déroulement du scrutin et par tout électeur.

5. L'existence d'une solution de secours

Tout système de vote électronique devrait comporter un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et les mêmes caractéristiques.

6. La surveillance effective du scrutin

La mise en œuvre du système de vote électronique doit être opérée sous le contrôle effectif, tant au niveau des moyens informatiques centraux que de ceux, éventuellement, déployés sur place, de représentants de l'organisme mettant en place le vote ou d'experts désignés par lui. Dès lors, il importe que toutes les mesures soient prises pour leur permettre de vérifier l'effectivité des dispositifs de sécurité prévus pour assurer le secret du vote et, en particulier, les mesures prises respectivement pour : - garantir la confidentialité du fichier des électeurs comportant les éléments d'authentification, - procéder au chiffrement des bulletins de vote et à leur conservation dans un traitement distinct de celui mis en oeuvre pour assurer la tenue du fichier des électeurs, - assurer la conservation des différents supports d'information pendant et après le déroulement du scrutin.

Toutes les facilités devraient être accordées aux membres du bureau de vote et aux délégués des candidats, s'ils le souhaitent, pour pouvoir assurer une surveillance effective de l'ensemble des opérations électorales et, en particulier, de la préparation du scrutin, du vote, de l'émargement et du dépouillement.

7. La localisation du système informatique central

Il paraît hautement souhaitable que les serveurs et les autres moyens informatiques centraux du système de vote électronique soient localisés sur le territoire national afin de permettre un contrôle effectif de ces opérations par les membres du bureau de vote et les délégués ainsi que l'intervention, le cas échéant, des autorités nationales compétentes.


II/ Sur le scrutin

A/ Sur les opérations précédant l'ouverture du scrutin

1. La confidentialité des données

Les fichiers nominatifs des électeurs constitués aux fins d'établir la liste électorale, d'adresser le matériel de vote et de réaliser les émargements ne peuvent être utilisés qu'aux fins précitées et ne peuvent être divulgués sous peine des sanctions pénales encourues au titre des articles 226-17 et 226-21 du code pénal.

La confidentialité des données est également opposable aux techniciens en charge de la gestion ou de la maintenance du système informatique.

Les fichiers comportant les éléments d'authentification des électeurs, les clés de chiffrement/déchiffrement et le contenu de l'urne ne doivent pas être accessibles, de même que la liste d'émargement, sauf aux fins de contrôle de l'effectivité de l'émargement des électeurs.

En cas de recours à un prestataire extérieur, celui-ci doit s'engager contractuellement à respecter ces dispositions par la signature d'une clause de confidentialité et de sécurité et à fournir le descriptif détaillé du dispositif technique mis en œuvre pour assurer cette confidentialité. Le prestataire doit également s'engager à restituer les fichiers restant en sa possession à l'issue des opérations électorales et à détruire toutes les copies totales ou partielles qu'il aurait été amené à effectuer sur quelque support que ce soit.

Le recours à une télé-maintenance des matériels et logiciels ne devrait pas être possible durant tout le scrutin et jusqu'à l'épuisement des délais légaux de recours contentieux.

2. Les procédés d'authentification de l'électeur

La Commission estime que dans le cas d'élections où un vote à distance a été prévu par le législateur, une authentification de l'électeur sur la base d'un certificat électronique constitue la solution la plus satisfaisante en l'état de la technique. Le tiers certificateur doit être un organisme indépendant professionnellement reconnu.

Dans l'état actuel des textes, le recours à l'enregistrement de données biométriques à des fins de constitution d'un fichier électoral pour s'assurer de l'identité de l'électeur et de l'unicité de son vote ne peut s'envisager que si la donnée biométrique figure dans la catégorie de celles ne laissant pas de traces ou que si cet enregistrement s'effectue sur un support individuel détenu par l'électeur et ne donne pas lieu à la constitution d'un fichier de données biométriques.

Adéfaut de recourir aux solutions précitées, dans le cas de la génération d'identifiants et de mots de passe à partir de la liste électorale, le fichier ainsi créé doit faire l'objet d'un chiffrement. Les modalités de génération et d'envoi des codes personnels doivent être conçues de façon à garantir leur confidentialité et en particulier que les divers prestataires éventuels ne puissent en prendre connaissance.

Dans le cas où le vote s'opérerait par l'enregistrement d'un identifiant permanent apposé sur une carte ou tout autre document ainsi qu'un mot de passe envoyé à chaque vote, la génération de ces identifiants et mots de passe devrait se faire dans les mêmes conditions de sécurité que celles énumérées ci-dessus. Il en va de même de l'envoi du mot de passe.

L'authentification de l'électeur peut être renforcée par un dispositif de type défi/réponse, c'est à dire l'envoi par le serveur d'authentification d'une question dont l'électeur devrait connaître la réponse.

3. L'information des électeurs

Il convient de fournir aux électeurs en temps utile une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote électronique.

4. Le test du système avant l'ouverture du scrutin

Un test du système de vote électronique doit être organisé avant l'ouverture du scrutin et en présence des scrutateurs afin de constater la présence du scellement, le bon fonctionnement des machines, la remise à zéro du compteur des voix et que l'urne électronique destinée à recevoir les votes est bien vide et scellée.

5. Les clés de dépouillement de vote

La génération des clés destinées à permettre le dépouillement des votes à l'issue du scrutin doit être publique et se dérouler le jour du dépouillement. Cette procédure devrait être conçue de manière à prouver de façon irréfutable que seuls le président du bureau et ses assesseurs prennent connaissance de ces clés, à l'exclusion de toute autre personne y compris les personnels techniques chargés du déploiement du système de vote. La Commission estime que le nombre de clés de chiffrement doit être au minimum de trois, la présence de deux titulaires de ces clés étant indispensable pour autoriser le dépouillement. Elle considère que les clés doivent ensuite être conservées sous pli scellé sous la responsabilité du président du bureau de vote qui les remet, lors de la clôture du scrutin, aux membres du bureau désignés, contre accusé de réception.

Le système de vote doit garantir que des résultats partiels (hormis le nombre de votants) ne seront pas accessibles durant le déroulement du vote.



B Sur le déroulement du vote

1. Le vote

Les heures d'ouverture et de fermeture du scrutin électronique doivent pouvoir être contrôlées par les membres du bureau de vote et les personnes désignées ou habilitées pour assurer le contrôle des opérations électorales.

Pour se connecter à distance ou sur place au système de vote, l'électeur doit se faire reconnaître par un dispositif d'authentification établi conformément à la présente recommandation, permettant au serveur de vérifier son identité et s'il n'a pas déjà voté.

L'électeur accède aux listes ou aux candidats officiellement retenus et dans l'ordre officiel. Le vote blanc doit être prévu lorsque la loi l'autorise.

L'électeur doit pouvoir choisir une liste, un candidat ou un vote blanc de façon à ce que ce choix apparaisse clairement à l'écran indépendamment de toute autre information. Il devrait avoir la possibilité de revenir sur ce choix. Il valide ensuite son choix et cette opération déclenche l'envoi du bulletin de vote dématérialisé vers le serveur des votes.

L'électeur devrait recevoir immédiatement confirmation de son vote et avoir la possibilité de conserver une trace de cette confirmation.

2. Le chiffrement du bulletin de vote

Le bulletin de vote doit être chiffré par un algorithme public réputé « fort » dès son émission sur la machine à voter ou le terminal d'accès à distance et être stocké sur le serveur des votes sans que ce chiffrement n'ait été à aucun moment interrompu. La liaison entre le terminal de vote de l'électeur et le serveur des votes doit faire l'objet d'un chiffrement pour assurer la sécurité tant du procédé d'authentification de l'électeur que la confidentialité de son vote.

3. L'émargement

L'émargement doit se faire dès la validation du vote de façon à ce qu'un autre vote ne puisse intervenir à partir des éléments d'authentification de l'électeur déjà utilisés. L'émargement comporte un horodatage. La liste d'émargement doit être située sur un système distinct de celui contenant l'urne électronique. Cette liste, aux fins de contrôle de l'émargement, ainsi que le compteur des votes ne doivent être accessibles qu'aux membres du bureau de vote et aux personnes autorisées.

La liste d'émargement doit être enregistrée sur un support scellé, non réinscriptible, rendant ainsi son contenu inaltérable et probant.

4. Le dépouillement

Le dépouillement est actionné par les clés de déchiffrement, remises par le président du bureau de vote après la clôture des opérations de vote aux membres du bureau dûment désignés au moment de la génération de ces codes. Les membres du bureau doivent actionner publiquement le processus de dépouillement.

Les décomptes des voix par candidat ou liste de l'élection doivent apparaître lisiblement à l'écran et faire l'objet d'une édition sécurisée pour être portés au procès-verbal de l'élection. Le cas échéant, l'envoi des résultats à un bureau centralisateur à distance devrait s'effectuer selon une liaison sécurisée empêchant toute captation ou modification des résultats.

Le système de vote électronique doit être bloqué après le dépouillement de sorte qu'il soit impossible de reprendre ou de modifier les résultats après la décision de clôture du dépouillement prise par la commission électorale.


III/ Sur le contrôle des opérations de vote a posteriori par le juge électoral

1. Les garanties minimales pour un contrôle a posteriori

Pour les besoins d'audit externe, notamment en cas de contentieux électoral, le système de vote électronique doit être capable de fournir les éléments techniques permettant au minimum de prouver de façon irréfutable que : - durant le scrutin le procédé de scellement est resté fiable ; - les clés de chiffrement/déchiffrement ne sont connues que de leurs seuls titulaires ; - le vote est anonyme ; - la liste d'émargement ne comprend que les électeurs ayant voté ; - l'urne dépouillée est bien celle contenant les votes des électeurs et elle ne contient que ces votes ; - aucun décompte partiel n'a pu être effectué durant le scrutin ; - la procédure de décompte des votes enregistrés doit pouvoir être déroulée de nouveau.

2. La conservation des données portant sur l'opération électorale

Tous les fichiers supports (copies des programmes sources et exécutables, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) doivent être conservés sous scellés jusqu'à l'épuisement des délais de recours contentieux. Cette conservation doit être assurée sous le contrôle de la commission électorale dans des conditions garantissant le secret du vote. Obligation doit être faite, le cas échéant, au prestataire de service de transférer l'ensemble de ces supports à la personne ou au tiers nommément désigné pour assurer la conservation des supports. Lorsque aucune action contentieuse n'a été engagée avant l'épuisement des délais de recours, il doit être procédé à la destruction de ces documents sous le contrôle de la commission électorale.

Dans la phase d'expérimentation des systèmes de vote électronique, la CNIL demandera qu'un bilan de la mise en œuvre du dispositif de vote électronique utilisé soit établi à brève échéance suivant le déroulement de l'élection et lui soit adressé.

Vote par code barre / correspondance

[4]

a trier

La Commission Nationale de l'Informatique et des Libertés,

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et notamment son article 29 ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi 78-17 du 6 janvier susvisée ;

Vu le code électoral ;

Vu le code de la sécurité sociale et notamment les articles L. 911-1 et suivants et R. 641-13 à R 641-28 ;

Après avoir entendu Monsieur Hubert BOUCHET en son rapport et Madame Charlotte-Marie PITRAT en ses observations ;


Considérant que divers organismes recourent, dans le souci de faciliter l'expression du vote et les opérations matérielles de dépouillement, à des systèmes de dépouillement automatique des bulletins ; que tel est le cas pour certaines élections professionnelles par correspondance, lorsque le nombre d'électeurs est élevé ;

Considérant que ces systèmes reposent sur le décompte automatique de bulletins qui comportent des données codées - généralement des codes-barres - permettant l'identification de l'électeur et des données codées exprimant son choix ; que le recours à de tels systèmes nécessite la mise en oeuvre de traitements automatisés d'informations nominatives, au sens de l'article 5 de la loi du 6 janvier 1978, qu'il s'agisse du fichier informatique des électeurs, du traitement automatisé des résultats ou de la constitution de la liste d'émargement ;

Considérant que le recours aux systèmes de vote par codes-barres et de dépouillement automatique des votes ne peut être admis que si le secret du vote, la sincérité des opérations électorales, la surveillance effective du scrutin et le contrôle a posteriori par le juge de l'élection garantissent le principe de la liberté du scrutin ;

RECOMMANDE I - ORGANISATION DES ELECTIONS

Le recours à un système de dépouillement automatique des votes par lecture de codes-barres doit être expressément mentionné dans le protocole d'accord préélectoral conclu entre les organisations syndicales sous le contrôle de la direction de l'organisme. Lorsque l'organisme relève des articles L. 911-1 ou R. 641-13 et suivants du code de la sécurité sociale, le protocole établi par la direction de l'organisme doit mentionner le recours à un système de dépouillement automatique des votes.

Ce protocole doit notamment préciser les conditions techniques de mise en oeuvre du système, les dispositions prises pour garantir le secret du vote et la sincérité des opérations électorales, les modalités pratiques d'acheminement des documents de vote (routage) et les critères généraux de détermination des votes blancs ou nuls.

A cet effet, il importe que toutes dispositions soient prises afin de permettre aux représentants du corps électoral d'assurer une surveillance effective de l'ensemble des opérations électorales, et en particulier, de la préparation du scrutin, du dépouillement et de l'émargement.

En cas de recours à un prestataire extérieur, une copie du cahier des charges doit être joint au protocole.

Un expert informatique figurant sur la liste établie par la Cour de cassation ou sur les listes établies par les cours d'appels peut être chargé par la direction de l'organisme de vérifier préalablement à l'élection que le système informatique qui sera utilisé respecte les dispositions énumérées ci-après et s'en assurer le jour du dépouillement. Dans le cas où il est recouru à un tel expert, mention doit en être faite dans le protocole.

En outre, la commission électorale, le cas échéant assistée d'un huissier de justice, devra être présente, assistée de l'éventuel expert informatique, lors des opérations de dépouillement et d'émargement, afin de dresser un rapport sur le déroulement du scrutin, auquel seront joints le rapport de vérification préalable, et le cas échéant, les observations de l'expert sus-mentionné.

II - PREPARATION DU SCRUTIN

1 - Les fichiers nominatifs d'électeurs constitués aux fins d'établir la liste électorale, d'adresser le matériel de vote et de réaliser les émargements ne peuvent être utilisés qu'aux fins précitées et ne peuvent être divulgués sous peine des sanctions pénales encourues au titre des articles 226-17 et 226-21 du code pénal.

En cas de recours à un prestataire extérieur, celui-ci doit s'engager contractuellement à respecter ces dispositions, à restituer les fichiers dès la fin des opérations, et s'engager à détruire toutes les copies totales ou partielles qu'il aurait été amené à effectuer sur quelque support que ce soit.

2 - le secret du vote doit être garanti par la mise en oeuvre de procédés rendant impossible l'établissement d'un lien entre le nom de l'électeur et l'expression de son vote. Il en résulte que :

- l'électeur ne doit être identifié sur la carte exprimant son vote que par un numéro spécifique généré de façon aléatoire, à l'exclusion de toute autre information. Ce numéro doit être modifié pour chaque scrutin ;

- le fichier de correspondance, établi pour permettre l'édition de la liste d'émargement, entre le nom des électeurs et les numéros qui leur sont attribués doit être conservé sous le contrôle de la commission électorale ;

- les documents de vote transmis par l'électeur doivent être conçus de façon à ce que le numéro qui permet son identification et le sens du vote exprimé fassent l'objet de lectures distinctes de sorte qu'il soit impossible techniquement d'établir un lien entre ces deux informations ;

- les documents de vote transmis par l'électeur doivent l'être sous pli clos.

3 - Toutes précautions utiles doivent être prises afin que les cartes de vote par correspondance ne subissent, lors de leur envoi par les électeurs, aucune altération de nature à empêcher la comptabilisation du vote ou à considérer le vote comme étant nul. Il en résulte que :

- l'envoi du matériel de vote aux électeurs doit être accompagné d'une note explicative détaillant de façon claire les modalités des opérations de vote et en particulier, les critères de comptabilisation et de détermination des votes nuls ou blancs ;

- au cas où l'expression de vote serait matérialisée par l'apposition sur la carte de vote d'une étiquette comportant un code-barre identifiant le candidat, cette étiquette ne doit pouvoir être décollée sans être irrémédiablement altérée.

III - DEPOUILLEMENT

1 - A l'issue des opérations de vote mais avant le dépouillement, un test doit être réalisé sur un lot aléatoire de bulletins, sous la conduite de la commission électorale.

2 - Les opérations de dépouillement doivent être effectuées par un ordinateur isolé ou plusieurs ordinateurs reliés en réseau local, ces ordinateurs ne devant en aucun cas comporter le fichier nominatif des votants, ni le ou les fichiers de correspondance entre le nom des électeurs et les numéros qui leurs sont attribués aléatoirement.

3 - Une solution de secours comportant notamment un dispositif complémentaire en cas de défaillance du système doit être prévue.

4 - Le système doit comporter un dispositif technique rejetant tout bulletin déjà lu.

5 - Le système automatisé doit être bloqué après le dépouillement de sorte qu'il soit impossible de reprendre ou de modifier les résultats après la décision de clôture du dépouillement prise par la commission électorale.

6 - Les voix doivent être comptabilisées par lot de sorte que les expressions individuelles de vote ne puissent être isolées et rapprochées de l'identité du votant.

IV - EMARGEMENT

Le rapprochement du fichier des numéros attribués aux électeurs et du fichier nominatif des électeurs, nécessaire pour l'établissement de la liste d'émargement, doit être réalisé en présence de la commission électorale assistée de l'éventuel expert informatique. La liste d'émargement ne comporte que l'identité des électeurs telle que prévue, aux articles L. 18 et L. 19 du code électoral ou par le protocole, le cas échéant l'identification du collège électoral, ainsi que la mention attestant la participation au vote, à l'exclusion de toute autre information.

V - CONTROLE A POSTERIORI PAR LE JUGE DE L'ELECTION

Tous les fichiers supports (copie des programmes source et exécutables, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) doivent être conservés sous scellés jusqu'à l'épuisement des délais de recours contentieux. Cette conservation doit être assurée sous le contrôle de la commission électorale dans des conditions garantissant le secret du vote. Obligation doit être faite, le cas échéant, au prestataire de service de transférer l'ensemble de ces supports à la personne ou au tiers nommément désigné pour assurer la conservation des supports. Sauf action contentieuse née avant l'épuisement des délais de recours, il est procédé à la destruction de ces documents sous le contrôle de la commission électorale.