Par Haas Avocats
Le 20 janvier 2025, la CNIL a publié un projet de recommandation[1] concernant la sécurité des systèmes de vote par correspondance électronique (SVE)[2].
La recommandation vise à remplacer et mettre à jour les dispositions de la précédente recommandation sur le sujet datant de 2019.
Améliorer l’Accessibilité et la Sécurité du Vote Électronique : Les Objectifs de la CNIL
A l’instar des Etats Unis, nul n’est sans ignorer que l’augmentation du taux de participation peut passer par une accessibilité toujours plus grande des modes de vote, à tous niveaux.
C’est dans cette optique pragmatique que la CNIL élabore le projet de recommandation dédiée. Elle doit fixer des objectifs de sécurité minimaux à atteindre par les SVE dans le cadre de la mise en œuvre d’un vote à bulletin secret. Pour ce faire, elle s’appuie sur une méthodologie de classification des risques. Par ailleurs, la CNIL indique que le guide de sécurité de l’ANSSI relatif à la sécurité du vote par correspondance sera publié sous peu.
Le projet de recommandation :
- S’adresse principalement aux fournisseurs des SVE avec l’objectif de respecter les principes généraux du droit électoral et de protection des données personnelles,
- Conseille les responsables de traitement dans leurs choix de systèmes de vote adaptés à leurs scrutins,
- S’adresse aux personnes en charge de l’audit des solutions de vote électronique pour les aider à en évaluer la conformité.
Les principaux objectifs de sécurité à mettre en œuvre lors de vote par correspondance électronique
La CNIL rappelle les principes fondamentaux qui commandent les opérations électorales. Il s’agit :
- du secret du scrutin ;
- le caractère personnel du vote ;
- le caractère libre du vote ;
- la sincérité des opérations électorales ;
- l’intégrité des suffrages exprimés ;
- l’accès au vote pour tous les électeurs ;
- la surveillance effective du vote ;
- la possibilité de contrôle a posteriori de l’élection par un juge.
Recommandation de la CNIL quant aux risques
La CNIL classe les risques en 3 niveaux selon les sources de menaces parmi les votants, les organisateurs du scrutin, les fournisseurs du système de vote, les personnes extérieures, etc..
Dans ce cadre, des objectifs de sécurité permettent de définir le niveau de sécurité minimum attendu pour le scrutin compte tenu des risques.
Autres recommandations de la CNIL : garantir la transparence et la fiabilité du vote électronique
Globalement, la CNIL recommande de fournir aux électeurs une note explicative détaillant les opérations de vote et les différentes étapes de vote ainsi que le fonctionnement général du SVE.
Elle recommande que toute solution de SVE fasse l’objet d’une expertise indépendante avant son déploiement effectif. Il doit être spécialisé dans la sécurité informatique, ne pas présenter de conflit d’intérêt avec le responsable de traitement et si possible une expérience dans l’analyse des systèmes de vote.
Le projet de recommandation se termine en listant les éléments techniques permettant de prouver (et garder) la fiabilité du SVE en cas de contentieux électoral. Ce point concerne également la conservation des données portant sur l’opération électorale.
En définissant des objectifs de sécurité clairs et en classant les risques selon leur gravité, la CNIL fournit un cadre structurant aux fournisseurs, aux organisateurs de scrutin et aux auditeurs. L’accent mis sur l’expertise indépendante et la conservation des preuves illustre la volonté de garantir la transparence et la fiabilité du processus électoral.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Il est soumis à consultation jusqu’au 28 février 2025.
[2] Vote par correspondance électronique : la CNIL ouvre une consultation publique pour mettre à jour sa recommandation | CNIL
