La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment ses articles 27-II (4°) et 35 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié en 2007 ;

Vu le décret n° 2007-554 du 13 avril 2007 relatif aux modalités d'élection par voie électronique des conseils de l'ordre des infirmiers et modifiant le code de la santé publique ;

Vu la délibération n° 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;

Sur le rapport de Mme Isabelle Falque-Pierrotin, commissaire, et les observations de Mme Pascale Compagnie, commissaire du Gouvernement,

Emet l'avis suivant :

La direction de l'hospitalisation et de l'organisation des soins du ministère de la santé, de la jeunesse et des sports a saisi la Commission, conformément au 4° du II de l'article 27 de la loi du 6 janvier 1978 modifiée, d'un dossier de demande d'avis et d'un projet d'arrêté portant création du traitement relatif à l'organisation pratique des opérations de vote électronique qui concerneront à la fois les conseils départementaux, régionaux et nationaux des infirmiers.

Ce projet d'arrêté est également pris en application de l'article D. 4311-82 du code de la santé publique institué par le décret n° 2007-554 du 13 avril 2007 relatif aux modalités d'élection par voie électronique des conseils de l'ordre des infirmiers et modifiant le code de la santé publique.

Sur le projet d'arrêté :

La commission se félicite qu'après le décret l'arrêté s'inspire largement des préconisations de la recommandation de la CNIL relative à la sécurité des systèmes de vote électronique du 1er juillet de 2003.

En particulier, elle prend acte que le projet de d'arrêté prévoit que :

― les codes d'identification et mots de passe sont recouverts, une fois imprimés, d'un masque permettant de garantir l'intégrité et la confidentialité de ces informations ;

― l'identifiant de chaque électeur est unique ;

― les mots de passe sont générés de manière aléatoire et immédiatement chiffrés. Seul le résultat du chiffrement est stocké ;

― afin de garantir la confidentialité, la sincérité, le contrôle et la sécurité des élections, une expertise est effectuée par un organisme indépendant préalablement au vote ;

― les urnes sont chiffrées dès leur création. Dès la clôture du scrutin, le contenu de l'urne, les listes d'émargement et les états courants gérés par les serveurs sont figés, horodatés et scellés automatiquement.

La commission prend acte que le projet d'arrêté portant création du traitement fait appel pour sa mise en œuvre à un prestataire, conformément aux dispositions de l'article 35 de la loi du 6 janvier 1978.

La commission prend également acte que le projet d'arrêté prévoit les données traitées, les destinataires de ces données ainsi que les droits d'accès et de rectification.

Sur l'expertise :

L'expertise préalable du système de vote transmise à la Commission a conduit à une revue du code source sur certains programmes du logiciel ; elle doit également être complétée par une expertise du système de vote dans son environnement d'exécution. La commission prend acte que le résultat de cette expertise lui sera communiqué.

Sur les scellements du dispositif :

La recommandation de la CNIL du 1er juillet 2003 relative à la sécurité des systèmes de vote électronique rappelle l'importance du scellement de l'ensemble du dispositif de vote, comportant à la fois le logiciel et l'urne électronique.

La procédure de scellement permet de déceler toute modification ultérieure du système. La vérification du scellement doit pouvoir se faire à tout moment et par tout électeur.

S'agissant du scellement du logiciel, la procédure retenue par le prestataire consiste à effectuer une copie du progiciel, des sources du programme ainsi que de ses fichiers annexes et à les déposer chez un huissier. Cette procédure apparaît comme lourde et inadaptée un contrôle en temps réel du logiciel lors des opérations de vote. Dès lors, la commission recommande que ce dispositif soit complété par la mise en place d'un processus de hachage des programmes sous scellés. Le résultat de ce hachage pourrait être porté sur le procès-verbal de mise sous scellés et pouvoir ainsi être comparé à tout moment à celui calculé sur le système de vote afin d'en vérifier le scellement.

La commission prend acte de l'engagement du commissaire du Gouvernement selon lequel cette préconisation de hachage sera mise en œuvre.

S'agissant de l'urne, le scellement du système de vote consiste à restructurer les mots de passe administrateur des différentes machines, de sorte qu'une partie soit connue des administrateurs du prestataire et l'autre de l'huissier. Ainsi, toute modification du système est rendue impossible sauf à demander à l'huissier sa partie du mot de passe.

Le partage des mots de passe, s'il constitue une garantie pour la sécurité du système en contrôlant l'accès à celui-ci, ne peut être considéré comme un réel dispositif de scellement garantissant l'intégrité de l'urne tout au long de l'élection. Dès lors, la commission souhaite attirer l'attention du ministère sur la nécessité de mettre en place des moyens de nature à assurer l'intégrité de l'urne afin que le contenu de celle-ci ne puisse être modifié que par l'ajout de votes exprimés par des électeurs habilités.

Enfin, la commission prend acte qu'à l'issue du scrutin une copie des programmes, de l'urne et des fichiers annexes est mise sous scellés chez l'huissier.

Sur le chiffrement du bulletin de vote :

Dans sa délibération du 1er juillet 2003 relative à la sécurité des systèmes de vote électronique, la CNIL recommande en matière de vote un chiffrement du bulletin dès son émission sur le poste de l'électeur et un acheminement dans l'urne par un canal sécurisé.

Cette exigence de chiffrement du bulletin figure expressément dans le décret et le projet d'arrêté, ce dont la CNIL se félicite.

Le dispositif proposé par le prestataire procède à un brouillage du bulletin lors de son envoi par le poste de l'électeur vers le serveur de vote puis à un chiffrement du bulletin lors de son enregistrement dans l'urne. Le canal de communication entre le poste de l'électeur et le serveur de vote est sécurisé par le protocole SSL (https).

La commission considère que le dispositif proposé par le prestataire reposant à la fois sur un brouillage du bulletin et trois chiffrements successifs ne correspond pas aux recommandations de CNIL dans la mesure où il ne permet pas de garantir un chiffrement sans interruption du bulletin de vote entre l'émission de celui-ci et sa réception dans l'urne électronique et qu'il n'assure donc pas complètement l'intégrité et la confidentialité du vote.

Sur la nécessité d'un bilan des opérations électorales :

Conformément à la recommandation de 2003, la commission demande qu'un bilan du traitement lui soit transmis à l'issue des élections.

Le président,

A. Türk