Retour à la section

Délibération n° 2012-083 du 15 mars 2012

JORF n°0108 du 8 mai 2012

Pour pallier de tels inconvénients, la commission recommande de renforcer l'information délivrée lors de l'inscription, facultative, au registre consulaire d'un Français établi hors de France, notamment sur :
― les finalités de la collecte de l'adresse électronique ;
― son report sur la LEC ;
― le fait que la LEC, à l'instar de toute liste électorale, est susceptible d'être communiquée à tout électeur, candidat, parti ou groupement qui en ferait la demande auprès du département en application de l'article L. 330-4 du code électoral ;
― l'impossibilité de s'opposer à cette communication à des fins de contrôle démocratique et de prospection politique ;
― le droit de s'opposer, auprès de tout expéditeur, à recevoir tout nouveau message de prospection politique.
Par ailleurs, dans le cadre de son Observatoire des élections 2012, la commission a eu connaissance d'un formulaire, adressé par un consulat, dans le cadre de la mise à jour des coordonnées des Français établis hors de France. Le formulaire propose de renseigner deux adresses électroniques tout en précisant la finalité de chacune, en ces termes :

Extrait du formulaire de mise à jour des coordonnées

| Adresse électronique n° 1 | | |:--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------:|:-------------------------------------------------------------------------------------------------------------------------------------------------------------:| |Comme l'exige la loi, l'adresse électronique n° 1 figure sur la liste électorale consulaire. Elle est communicable, à leur demande, aux électeurs inscrits, aux candidats, aux élus et aux partis et groupements politiques.| @ | | Adresse électronique n° 2 | | | L'adresse électronique n° 2 vous permet recevoir les informations envoyées par votre consulat ; elle ne figure pas sur la liste électorale. | @ | | |Vos mots de passe de vote par internet (un pour chaque tour) seront envoyés à cette adresse électronique (à fournir ou mettre à jour si besoin avant le 7 mai).|

N.B. ― Vous pouvez fournir une seule adresse électronique. Elle rempilera alors les deux fonctions : elle figurera sur les liste électorale consulaire et vous permettra aussi de recevoir les informations envoyées par votre consulat.
La commission ne peut que souscrire à la généralisation de cette pratique permettant d'atténuer le risque créé par la communication de la liste consulaire comportant l'adresse électronique et l'année de naissance de l'électeur, ces deux données personnelles étant utilisées dans la sécurité du système de vote électronique.
6. Sur les droits d'accès, de rectification et d'opposition des personnes.
Voter par voie électronique demeure une procédure facultative, complétée par des modes de scrutin plus traditionnels.
L'article 8 du projet d'arrêté prévoit l'existence d'une procédure pour :
« (...) faire consigner leurs observations au procès-verbal du vote électronique (...) en les faisant parvenir par courrier postal ou électronique, au secrétariat du bureau de vote électronique avant la fin des opérations (...). A l'issue de ces opérations, ils peuvent obtenir communication du procès-verbal selon les modalités prévues (...). »
La commission relève que l'article R. 176-3 du code électoral dispose que :
« Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi n° 78-17 du janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'exercent auprès de l'ambassadeur ou du chef de poste consulaire chargé d'organiser les opérations de vote. Le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas à ce traitement automatisé. »
Elle n'a pas d'observation à formuler sur ce point.
7. Sur la sécurité des données et la traçablilté des actions :
a) Le respect du Référentiel général de sécurité (« RGS ») :
Malgré la demande formulée dans sa délibération n° 2011-160, le décret n° 2011-843 ne vise pas l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qui crée le référentiel général de sécurité (« RGS »), ni le décret n° 2010-112 du 2 février 2010 relatif au RGS.
S'agissant de textes relatifs aux garanties permettant d'assurer et d'accompagner l'évolution nécessaire des mesures de sécurité et de confidentialité des données traitées, la commission réitère sa demande pour l'arrêté.
Elle prend acte de ce que le ministère a indiqué intégrer les visas de ces textes dans son arrêté.
b) Les conséquences de la diffusion, sur la liste électorale consulaire, de l'adresse électronique et l'année de naissance de chaque électeur :
La sécurité du système de vote électronique s'appuie notamment sur trois données personnelles de chaque électeur.
― l'adresse postale qui est utilisée pour communiquer par courrier la carte à gratter portant l'identifiant ;
― l'adresse électronique qui est utilisée pour communiquer par courriel le mot de passe (authentifiant), et s'il est nécessaire de le « récupérer », pour communiquer un lien à usage unique ;
― l'année de naissance qui est utilisée en réponse au « défi/réponse » permettant d'activer ce lien à usage unique et récupérer le mot de passe.
Or, ces données personnelles, utilisées pour adresser et récupérer le matériel de vote (identifiant, mot de passe, « défi/réponse »), font partie de la liste électorale consulaire qui est elle-même communicable.
Il en résulte notamment deux risques identifiés : la récupération de l'identifiant en interceptant le courrier postal ou le SMS, d'une part, la récupération de l'authentifiant en piratant l'adresse électronique d'autre part.
Le premier risque, inévitablement résiduel, est d'ailleurs assumé par le ministère. En effet, rendre difficile la récupération de l'identifiant est limité par la communication de l'adresse postale sur la liste électorale, la sécurité des courriers postaux acheminés dans un pays étranger, et/ou par la confidentialité du SMS.
En revanche, le second risque est maîtrisable car la publicité donnée aux adresses électroniques des électeurs facilite les piratages éventuels de leur messagerie électronique.
La commission recommande donc :
― d'utiliser une adresse électronique réservée aux échanges entre l'électeur et l'administration,
― et de modifier la réponse au « défi-réponse » par une donnée qui ne fasse pas partie de la liste consulaire et qui soit moins aisément accessible qu'une année de naissance.
c) Un dispositif d'alerte par un électeur des autorités et les mesures nécessaires en cas de soupçon de corruption du matériel de vote :
L'alinéa 4 de l'article 4 du projet d'arrêté prévoit une procédure en cas de perte « pour récupérer son authentifiant, via un lien à usage unique, envoyé à cette même adresse électronique ».
La commission observe que les hypothèses de vol ou de corruption du matériel de vote ou des vecteurs de communication (téléphone portable, adresses postale et électronique) ne sont pas prévues dans le texte.
Or, dans ces circonstances, il parait indispensable que l'électeur puisse facilement et rapidement alerter les autorités, par exemple dans l'hypothèse de courriel intercepté ou de carte à gratter dont l'identifiant était déjà découvert à réception du courrier postal. En réponse, les autorités doivent prendre les mesures de sécurité nécessaires pour remédier à cette faille, telles que révoquer le matériel de vote ; assurer, si les délais le permettent, l'accès à une procédure alternative ou générer un nouveau matériel de vote.
La commission demande au ministère de définir la procédure permettant à un électeur d'alerter les autorités administratives et à ces dernières de prendre les mesures nécessaires, en cas de soupçon de corruption du matériel de vote (identifiant, authentifiant) ou des vecteurs de communication.
La commission prend acte que le ministère s'est engagé à communiquer une adresse électronique par courrier postal, en même temps que son identifiant. La commission demande toutefois à ce que cette adresse soit largement diffusée.
d) La séparation des prestataires d'envoi des identifiants et des authentifiants :
Pour garantir un niveau de sécurité satisfaisant, il convient de recourir à deux prestataires distincts : l'un pour adresser aux électeurs leur identifiant, le second pour leur authentifiant.
Le système expertisé par la société C [ALTI] confirme le recours à deux prestataires distincts : la société D [KOBA] et la société E [GEDICOM].
Cependant, bien que le premier prestataire [KOBA] ne soit en charge que des « travaux d'éditique » (imprimer et mettre sous pli les identifiants adressés par courrier postal), le second prestataire [GEDICOM] est chargé d'envoyer non seulement les identifiants par SMS mais également les mots de passe (authentifiants) par courriel.
Or, en disposant de l'identifiant et de l'authentifiant, il ne reste qu'à prendre communication de la liste électorale pour connaître la réponse au « défi-réponse » et donc voter. On rappellera que la réponse au « défi/réponse » est, à ce jour, l'année de naissance de l'électeur qui, en plus d'être une donnée aisément accessible, est communiquée avec la liste électorale.
La commission considère la séparation des prestations d'envois des identifiants et des authentifiants comme nécessaire. En conséquence, le dispositif doit être modifié.
Ainsi, il conviendrait :
― soit de mettre en place une procédure satisfaisante permettant d'assurer la traçabilité et la destruction des identifiants (suppression totale, absence de copie, etc.) avant de livrer au prestataire les authentifiants des électeurs ;
― soit de changer de prestataire pour l'envoi des SMS (un 3e prestataire) ou pour l'envoi des courriers (pour choisir un prestataire capable d'adresser les identifiants par SMS et courriers postaux).
Des deux options proposées, le ministère s'est engagé à mettre en place la première en offrant une procédure satisfaisante pour assurer la traçabilité et la destruction des identifiants avant de livrer les authentifiants.
De plus, l'article 3 du projet d'arrêté développe le cadre de la maîtrise d'œuvre confiée à un prestataire technique, en précisant notamment :
« A l'issue des opérations électorales, le prestataire leur restitue les fichiers restant en sa possession et détruit toutes les copies, totales ou partielles, qu'il a été amené à effectuer, sur quelque support que ce soit »
Toutefois, le rapport d'audit, notamment en pages 28 et 30, met en évidence la nécessité de compléter l'expertise sur ce point avant le vote réel.
Si l'article R. 179-1 du code électoral prévoit qu'« A l'expiration du délai de recours (...) il est procédé, sous le contrôle de la commission électorale, à la destruction de ces supports et données », incluant d'ailleurs les prestataires dans son champ d'application, la commission prend acte que les procédures de destruction des données et de traçabilité mises en œuvre par les prestataires techniques ne sont pas précisées à ce jour.
e) Le principe du protocole « HTTPS » :
Le rapport d'audit se développe à partir du postulat que l'électeur se connecte au site de vote électronique avec le protocole sécurisé « HTTPS ». Le protocole « HTTPS » est donc le principe.
Pourtant, certaines circonscriptions électorales consulaires se situent dans des pays étrangers ne permettant pas de garantir l'utilisation de ce protocole sécurisé tout au long d'une procédure de vote. En effet, certains gouvernements peuvent avoir mis en place un dispositif technique (exemple : un pare-feu « firewall ») refusant toute connexion entrant ou sortant de leur territoire avec le protocole « HTTPS ».
La commission prend acte que le ministère s'engage à ce que le vote électronique ne soit pas possible sans utiliser le protocole « HTTPS ».
Le ministère indique également la mise en place, plusieurs mois avant le premier scrutin, d'un dispositif de vérification permettant notamment à l'électeur de s'assurer qu'il peut voter à partir d'un ordinateur donné ; complété d'une plate-forme d'assistance en ligne guidant l'électeur pour procéder aux éventuelles mises à jour techniques nécessaires.
De plus, une note d'information disponible sur le site de l'élection détaillera comment l'électeur peut détecter ou se prémunir des risques de fraude.

1 version

Historique des versions

Version 1

Pour pallier de tels inconvénients, la commission recommande de renforcer l'information délivrée lors de l'inscription, facultative, au registre consulaire d'un Français établi hors de France, notamment sur :

― les finalités de la collecte de l'adresse électronique ;

― son report sur la LEC ;

― le fait que la LEC, à l'instar de toute liste électorale, est susceptible d'être communiquée à tout électeur, candidat, parti ou groupement qui en ferait la demande auprès du département en application de l'article L. 330-4 du code électoral ;

― l'impossibilité de s'opposer à cette communication à des fins de contrôle démocratique et de prospection politique ;

― le droit de s'opposer, auprès de tout expéditeur, à recevoir tout nouveau message de prospection politique.

Par ailleurs, dans le cadre de son Observatoire des élections 2012, la commission a eu connaissance d'un formulaire, adressé par un consulat, dans le cadre de la mise à jour des coordonnées des Français établis hors de France. Le formulaire propose de renseigner deux adresses électroniques tout en précisant la finalité de chacune, en ces termes :

Extrait du formulaire de mise à jour des coordonnées

Adresse électronique n° 1

Comme l'exige la loi, l'adresse électronique n° 1 figure sur la liste électorale consulaire. Elle est communicable, à leur demande, aux électeurs inscrits, aux candidats, aux élus et aux partis et groupements politiques.

@

Adresse électronique n° 2

L'adresse électronique n° 2 vous permet recevoir les informations envoyées par votre consulat ; elle ne figure pas sur la liste électorale.

@

Vos mots de passe de vote par internet (un pour chaque tour) seront envoyés à cette adresse électronique (à fournir ou mettre à jour si besoin avant le 7 mai).

N.B. ― Vous pouvez fournir une seule adresse électronique. Elle rempilera alors les deux fonctions : elle figurera sur les liste électorale consulaire et vous permettra aussi de recevoir les informations envoyées par votre consulat.

La commission ne peut que souscrire à la généralisation de cette pratique permettant d'atténuer le risque créé par la communication de la liste consulaire comportant l'adresse électronique et l'année de naissance de l'électeur, ces deux données personnelles étant utilisées dans la sécurité du système de vote électronique.

6. Sur les droits d'accès, de rectification et d'opposition des personnes.

Voter par voie électronique demeure une procédure facultative, complétée par des modes de scrutin plus traditionnels.

L'article 8 du projet d'arrêté prévoit l'existence d'une procédure pour :

« (...) faire consigner leurs observations au procès-verbal du vote électronique (...) en les faisant parvenir par courrier postal ou électronique, au secrétariat du bureau de vote électronique avant la fin des opérations (...). A l'issue de ces opérations, ils peuvent obtenir communication du procès-verbal selon les modalités prévues (...). »

La commission relève que l'article R. 176-3 du code électoral dispose que :

« Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi n° 78-17 du janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'exercent auprès de l'ambassadeur ou du chef de poste consulaire chargé d'organiser les opérations de vote. Le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas à ce traitement automatisé. »

Elle n'a pas d'observation à formuler sur ce point.

7. Sur la sécurité des données et la traçablilté des actions :

a) Le respect du Référentiel général de sécurité (« RGS ») :

Malgré la demande formulée dans sa délibération n° 2011-160, le décret n° 2011-843 ne vise pas l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qui crée le référentiel général de sécurité (« RGS »), ni le décret n° 2010-112 du 2 février 2010 relatif au RGS.

S'agissant de textes relatifs aux garanties permettant d'assurer et d'accompagner l'évolution nécessaire des mesures de sécurité et de confidentialité des données traitées, la commission réitère sa demande pour l'arrêté.

Elle prend acte de ce que le ministère a indiqué intégrer les visas de ces textes dans son arrêté.

b) Les conséquences de la diffusion, sur la liste électorale consulaire, de l'adresse électronique et l'année de naissance de chaque électeur :

La sécurité du système de vote électronique s'appuie notamment sur trois données personnelles de chaque électeur.

― l'adresse postale qui est utilisée pour communiquer par courrier la carte à gratter portant l'identifiant ;

― l'adresse électronique qui est utilisée pour communiquer par courriel le mot de passe (authentifiant), et s'il est nécessaire de le « récupérer », pour communiquer un lien à usage unique ;

― l'année de naissance qui est utilisée en réponse au « défi/réponse » permettant d'activer ce lien à usage unique et récupérer le mot de passe.

Or, ces données personnelles, utilisées pour adresser et récupérer le matériel de vote (identifiant, mot de passe, « défi/réponse »), font partie de la liste électorale consulaire qui est elle-même communicable.

Il en résulte notamment deux risques identifiés : la récupération de l'identifiant en interceptant le courrier postal ou le SMS, d'une part, la récupération de l'authentifiant en piratant l'adresse électronique d'autre part.

Le premier risque, inévitablement résiduel, est d'ailleurs assumé par le ministère. En effet, rendre difficile la récupération de l'identifiant est limité par la communication de l'adresse postale sur la liste électorale, la sécurité des courriers postaux acheminés dans un pays étranger, et/ou par la confidentialité du SMS.

En revanche, le second risque est maîtrisable car la publicité donnée aux adresses électroniques des électeurs facilite les piratages éventuels de leur messagerie électronique.

La commission recommande donc :

― d'utiliser une adresse électronique réservée aux échanges entre l'électeur et l'administration,

― et de modifier la réponse au « défi-réponse » par une donnée qui ne fasse pas partie de la liste consulaire et qui soit moins aisément accessible qu'une année de naissance.

c) Un dispositif d'alerte par un électeur des autorités et les mesures nécessaires en cas de soupçon de corruption du matériel de vote :

L'alinéa 4 de l'article 4 du projet d'arrêté prévoit une procédure en cas de perte « pour récupérer son authentifiant, via un lien à usage unique, envoyé à cette même adresse électronique ».

La commission observe que les hypothèses de vol ou de corruption du matériel de vote ou des vecteurs de communication (téléphone portable, adresses postale et électronique) ne sont pas prévues dans le texte.

Or, dans ces circonstances, il parait indispensable que l'électeur puisse facilement et rapidement alerter les autorités, par exemple dans l'hypothèse de courriel intercepté ou de carte à gratter dont l'identifiant était déjà découvert à réception du courrier postal. En réponse, les autorités doivent prendre les mesures de sécurité nécessaires pour remédier à cette faille, telles que révoquer le matériel de vote ; assurer, si les délais le permettent, l'accès à une procédure alternative ou générer un nouveau matériel de vote.

La commission demande au ministère de définir la procédure permettant à un électeur d'alerter les autorités administratives et à ces dernières de prendre les mesures nécessaires, en cas de soupçon de corruption du matériel de vote (identifiant, authentifiant) ou des vecteurs de communication.

La commission prend acte que le ministère s'est engagé à communiquer une adresse électronique par courrier postal, en même temps que son identifiant. La commission demande toutefois à ce que cette adresse soit largement diffusée.

d) La séparation des prestataires d'envoi des identifiants et des authentifiants :

Pour garantir un niveau de sécurité satisfaisant, il convient de recourir à deux prestataires distincts : l'un pour adresser aux électeurs leur identifiant, le second pour leur authentifiant.

Le système expertisé par la société C [ALTI] confirme le recours à deux prestataires distincts : la société D [KOBA] et la société E [GEDICOM].

Cependant, bien que le premier prestataire [KOBA] ne soit en charge que des « travaux d'éditique » (imprimer et mettre sous pli les identifiants adressés par courrier postal), le second prestataire [GEDICOM] est chargé d'envoyer non seulement les identifiants par SMS mais également les mots de passe (authentifiants) par courriel.

Or, en disposant de l'identifiant et de l'authentifiant, il ne reste qu'à prendre communication de la liste électorale pour connaître la réponse au « défi-réponse » et donc voter. On rappellera que la réponse au « défi/réponse » est, à ce jour, l'année de naissance de l'électeur qui, en plus d'être une donnée aisément accessible, est communiquée avec la liste électorale.

La commission considère la séparation des prestations d'envois des identifiants et des authentifiants comme nécessaire. En conséquence, le dispositif doit être modifié.

Ainsi, il conviendrait :

― soit de mettre en place une procédure satisfaisante permettant d'assurer la traçabilité et la destruction des identifiants (suppression totale, absence de copie, etc.) avant de livrer au prestataire les authentifiants des électeurs ;

― soit de changer de prestataire pour l'envoi des SMS (un 3e prestataire) ou pour l'envoi des courriers (pour choisir un prestataire capable d'adresser les identifiants par SMS et courriers postaux).

Des deux options proposées, le ministère s'est engagé à mettre en place la première en offrant une procédure satisfaisante pour assurer la traçabilité et la destruction des identifiants avant de livrer les authentifiants.

De plus, l'article 3 du projet d'arrêté développe le cadre de la maîtrise d'œuvre confiée à un prestataire technique, en précisant notamment :

« A l'issue des opérations électorales, le prestataire leur restitue les fichiers restant en sa possession et détruit toutes les copies, totales ou partielles, qu'il a été amené à effectuer, sur quelque support que ce soit »

Toutefois, le rapport d'audit, notamment en pages 28 et 30, met en évidence la nécessité de compléter l'expertise sur ce point avant le vote réel.

Si l'article R. 179-1 du code électoral prévoit qu'« A l'expiration du délai de recours (...) il est procédé, sous le contrôle de la commission électorale, à la destruction de ces supports et données », incluant d'ailleurs les prestataires dans son champ d'application, la commission prend acte que les procédures de destruction des données et de traçabilité mises en œuvre par les prestataires techniques ne sont pas précisées à ce jour.

e) Le principe du protocole « HTTPS » :

Le rapport d'audit se développe à partir du postulat que l'électeur se connecte au site de vote électronique avec le protocole sécurisé « HTTPS ». Le protocole « HTTPS » est donc le principe.

Pourtant, certaines circonscriptions électorales consulaires se situent dans des pays étrangers ne permettant pas de garantir l'utilisation de ce protocole sécurisé tout au long d'une procédure de vote. En effet, certains gouvernements peuvent avoir mis en place un dispositif technique (exemple : un pare-feu « firewall ») refusant toute connexion entrant ou sortant de leur territoire avec le protocole « HTTPS ».

La commission prend acte que le ministère s'engage à ce que le vote électronique ne soit pas possible sans utiliser le protocole « HTTPS ».

Le ministère indique également la mise en place, plusieurs mois avant le premier scrutin, d'un dispositif de vérification permettant notamment à l'électeur de s'assurer qu'il peut voter à partir d'un ordinateur donné ; complété d'une plate-forme d'assistance en ligne guidant l'électeur pour procéder aux éventuelles mises à jour techniques nécessaires.

De plus, une note d'information disponible sur le site de l'élection détaillera comment l'électeur peut détecter ou se prémunir des risques de fraude.