Retour à la section

Délibération n°2016-313 du 6 octobre 2016

JORF n°0239 du 13 octobre 2016

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté portant création d'un système de vote électronique en vue des élections des membres des chambres de commerce et d'industrie (CCI) devant se dérouler du 20 octobre au 2 novembre 2016 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du commerce, notamment ses articles L. 713-1 à L. 713-15 et R. 713-18 à R. 713-26 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11 (4°) ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 98-041 du 28 avril 1998 portant recommandation sur l'utilisation des systèmes de vote par codes-barres dans le cadre d'élections par correspondance pour les élections professionnelles ;
Vu la délibération n° 04-073 du 21 septembre 2004 relative à une demande d'avis portant sur la mise en œuvre d'un système de vote électronique à distance pour l'élection des membres des chambres de commerce et d'industrie ;
Vu la délibération n° 2010-371 du 21 octobre 2010 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;
Vu le dossier et ses compléments ;
Sur proposition de Mme Dominique CASTERA, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministère de l'économie et des finances a saisi la commission d'une demande d'avis concernant un projet d'arrêté portant création d'un système de vote électronique en vue des élections des membres des chambres de commerce d'industrie (CCI) devant se dérouler du 20 octobre au 2 novembre 2016. Il s'agit de proposer aux différentes CCI, listées en annexe dudit arrêté, un système de vote par correspondance électronique mis en œuvre sous la responsabilité de la CCI France, établissement national fédérateur et animateur pour l'ensemble des CCI, dans le cadre d'un comité de pilotage national dédié à l'organisation de ces élections consulaires.
Ces élections concernent la désignation des représentants de chefs d'entreprise et commerçants au sein des CCI locales (CCIT) et régionales (CCIR), l'élection des délégués consulaires n'étant pas concernée par le traitement projeté. Elles sont susceptibles de mobiliser environ 2 millions d'électeurs.
Conformément à l'article R. 713-20 et R. 713-26 du code du commerce, d'une part, et à l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, d'autre part, les traitements de données à caractère personnel mis en œuvre pour l'organisation du système de vote électronique doivent être autorisés par arrêté du ministre chargé de la tutelle administrative des CCI, pris après avis motivé et publié de la commission.
Sur l'architecture globale du dispositif de vote mis en œuvre :
La commission relève que le système de vote par correspondance électronique comporte une unique urne, composée de différents sous-ensembles correspondant aux différents scrutins, et deux sous-systèmes distincts de vote. Le premier permet le vote à distance par l'intermédiaire du réseau Internet (ci-après « vote par correspondance électronique »). Le second sous-système concerne l'émargement automatique des électeurs exprimant leur suffrage par voie de correspondance postale, à partir de la lecture des codes-barres apposés sur chaque pli d'acheminement.
Concernant le second sous-système d'émargement automatique des votes par correspondance postale, l'article 14 du projet d'arrêté fait application de l'article R. 713-20 du code du commerce qui prévoit que les opérations manuelles liées au dépouillement des suffrages exprimés peuvent être effectuées avec l'assistance de moyens électroniques, dans des conditions fixées par arrêté du ministère en charge de la tutelle administrative des CCI, pris après avis de la CNIL.
A cet égard, l'article 14 du projet d'arrêté prévoit que chaque pli postal contenant le suffrage exprimé permet d'assurer un émargement automatique par lecture du code-barres apposé, avant d'être inséré en l'état dans une urne physique, par un membre de la commission électorale, conformément aux dispositions de l'article R. 173-18 du code du commerce.
Sur ce point, la commission rappelle que la délibération n° 98-041 du 28 avril 1998 susvisée contient ses principales recommandations en matière d'utilisation des systèmes de vote par codes-barres dans le cadre d'élections par correspondance postale pour les élections professionnelles et que les traitements de données mis en œuvre doivent faire l'objet des formalités préalables prévues par la loi « Informatique et Libertés ». Elle prend acte que le ministère s'engage à compléter l'arrêté pour circonscrire le périmètre de cette opération à l'émargement et préciser son articulation avec le dépouillement manuel des urnes physiques.
Sur l'expertise indépendante du dispositif de vote électronique :
L'article ler du projet d'arrêté prévoit que le système de vote par correspondance électronique doit faire l'objet, préalablement à sa mise en œuvre, d'une expertise indépendante, qui doit être complétée par une expertise menée en continu durant les opérations de vote.
Cette expertise préliminaire, concernant le système de vote dans son intégralité (dispositif technique et modalités de mise en œuvre), a été communiquée à la commission. Celle-ci considère que les propositions de résolutions formulées par les experts permettraient de mettre le système de vote en conformité à ses recommandations en la matière, formulées dans sa délibération n° 2010-371 du 21 octobre 2010 susvisée.
La commission estime néanmoins que le choix du « défi réponse » reste à améliorer. En effet, certaines catégories de données ne peuvent, par nature, être utilisées pour organiser un « défi réponse » assurant une authentification suffisante, du fait de leur accessibilité, à l'instar des dates de naissance des électeurs ou d'autres données soumises à une obligation de publicité légale dans le cadre du Registre du Commerce et des Sociétés (RCS). Elle recommande dès lors d'utiliser une autre catégorie de donnée afin de consolider effectivement la sécurité de l'enrôlement de l'électeur, sans qu'il soit pour autant nécessaire de modifier le projet d'arrêté sur ce point.
Sur l'anonymat du scrutin :
L'article ler du projet d'arrêté précise que le système de vote « garantit la confidentialité et l'anonymat du vote ». Dans cette perspective, l'article 7 dudit projet prévoit les modalités d'envoi des moyens d'authentification des électeurs. Ainsi, il est prévu que chaque électeur reçoive, par le même canal de communication, un identifiant et un code contenus dans une enveloppe cachetée, adressée sous pli postal sécurisé. Le code ainsi adressé est en outre dissimulé par une « case à gratter », un support d'assistance étant enfin disponible, par téléphone ou courriel, en cas de problème d'authentification.
Dans la mesure où ces deux caractéristiques permettent de considérer le mode de distribution du matériel de vote comme étant conforme à l'exigence de sécurité prévue à l'article 34 de la loi « Informatique et Libertés », la commission prend acte que, à sa demande, le ministère s'engage à les mentionner dans le projet d'arrêté.
En tout état de cause, la commission prend acte que, à sa demande, le ministère s'engage à compléter l'arrêté pour préciser expressément que le numéro de téléphone et l'adresse électronique permettant de contacter ledit support d'assistance sont facilement accessibles, y compris par tout utilisateur qui n'aurait pas reçu son matériel de vote.
Sur la sécurité et l'intégrité du dispositif :
La délibération n° 2010-371 du 21 octobre 2010 de la commission mentionne que « l'établissement des clés est public de manière à prouver de façon irréfutable que seuls les détenteurs de ces clés […] en ont connaissance à l'exclusion de toute autre personne ». La commission prend acte que, à sa demande, le ministère s'engage à faire apparaître cette caractéristique explicitement dans le projet d'arrêté.
En ce qui concerne le chiffrement du bulletin de vote, l'article 8 du projet d'arrêté prévoit : « Le vote est anonyme et immédiatement chiffré par le système ».
La commission considère que cette rédaction ne permet pas de garantir que le bulletin sera chiffré sur le poste de l'électeur et qu'il ne sera pas déchiffré jusqu'au dépouillement de l'urne. Elle prend acte que, à sa demande, le ministère s'engage à compléter l'arrêté afin de décrire plus fidèlement la solution choisie par l'organisateur du scrutin en indiquant explicitement qu'il s'agit d'un double chiffrement, composé à la fois d'un chiffrement du bulletin sur le poste de l'électeur et de son envoi par un canal chiffré vers les serveurs de vote, ce conformément aux recommandations « Informatique et Libertés » en la matière.
Elle rappelle en outre que le nombre de clés utilisées pour le chiffrement des bulletins et le dépouillement de l'urne électronique est à définir au regard du contexte d'organisation des élections. Si le minimum est en effet de trois, la commission recommande néanmoins que la rédaction soit moins stricte sur ce point.
S'agissant de la transmission des données à caractère personnel aux prestataires, la commission relève que l'organisateur des scrutins a retenu une prestation dont l'ensemble des moyens de traitement est mis en œuvre sur le territoire national. En outre, les prestataires sont liés par un engagement contractuel de confidentialité concernant notamment la transmission de ces données.
En l'absence d'information sur ce point, la commission rappelle que les prestataires doivent s'engager à détruire ou restituer, de façon définitive et sécurisée, l'ensemble des données en leur possession à l'issue des opérations électorales.
En outre, elle rappelle que le système de vote électronique doit être capable de fournir, notamment en cas de contentieux électoral, un ensemble d'éléments techniques permettant d'attester du bon déroulement du scrutin.
Ainsi, tous les fichiers supports (notamment copies des programmes sources et exécutables ; matériels de vote ; fichiers d'émargement et de résultats ; sauvegardes) doivent être conservés sous scellés jusqu'à l'épuisement des délais de recours contentieux, et ce dans des conditions garantissant le secret du vote ainsi que l'intégrité et l'authenticité du matériel conservé.
Dès lors, la commission prend acte que, à sa demande, le ministère s'engage à compléter l'article 11 du projet d'arrêté en précisant que, jusqu'à expiration des délais de recours contentieux, l'ensemble de ces fichiers supports doit être figé, horodaté et scellé à la fin du vote. L'article 5 du projet d'arrêté concernant les durées de conservation est également complété par une précision analogue.
Sur la surveillance effective du scrutin :
Les articles 9 et 10 du projet d'arrêté définissent la composition et les missions confiées à la cellule chargée de veiller au bon déroulement du scrutin. Celle-ci peut notamment demander l'assistance de toute personne indépendante disposant de l'expertise nécessaire pour répondre aux besoins exprimés.
La commission prend acte que, à sa demande, le ministère s'engage à compléter le projet d'arrêté pour indiquer explicitement que toute intervention sur le système de vote doit faire l'objet d'un accord de cette cellule en lien, le cas échéant, avec les commissions d'organisation des élections concernées, ainsi que d'une consignation au procès-verbal du ou des scrutins concernés, ce qui permet de considérer les mesures de surveillance prévues comme effectives.
L'article 10 du projet d'arrêté indique qu'en cas de force majeure entraînant la suspension des opérations de vote, les suffrages préalablement émis par voie électronique sont conservés. La commission recommande que le choix de conserver ou non ces suffrages soit confié à la cellule nationale prévue à l'article 9 du projet d'arrêté, éventuellement après concertation avec la ou les commissions d'organisation des élections concernées et prend acte de l'engagement du ministère à compléter l'arrêté sur ce point.
S'agissant du contrôle du vote a posteriori, une opération de sauvegarde de l'urne est réalisée en fin de scrutin, avant le dépouillement de l'urne, conformément aux recommandations de la commission.
Sous réserve des précédentes observations et de la prise en compte des propositions formulées par les experts indépendants dans l'audit fourni à la commission, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté portant création d'un système de vote électronique en vue des élections des membres des chambres de commerce et d'industrie (CCI) devant se dérouler du 20 octobre au 2 novembre 2016 ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code du commerce, notamment ses articles L. 713-1 à L. 713-15 et R. 713-18 à R. 713-26 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11 (4°) ;

Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 98-041 du 28 avril 1998 portant recommandation sur l'utilisation des systèmes de vote par codes-barres dans le cadre d'élections par correspondance pour les élections professionnelles ;

Vu la délibération n° 04-073 du 21 septembre 2004 relative à une demande d'avis portant sur la mise en œuvre d'un système de vote électronique à distance pour l'élection des membres des chambres de commerce et d'industrie ;

Vu la délibération n° 2010-371 du 21 octobre 2010 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;

Vu le dossier et ses compléments ;

Sur proposition de Mme Dominique CASTERA, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

Le ministère de l'économie et des finances a saisi la commission d'une demande d'avis concernant un projet d'arrêté portant création d'un système de vote électronique en vue des élections des membres des chambres de commerce d'industrie (CCI) devant se dérouler du 20 octobre au 2 novembre 2016. Il s'agit de proposer aux différentes CCI, listées en annexe dudit arrêté, un système de vote par correspondance électronique mis en œuvre sous la responsabilité de la CCI France, établissement national fédérateur et animateur pour l'ensemble des CCI, dans le cadre d'un comité de pilotage national dédié à l'organisation de ces élections consulaires.

Ces élections concernent la désignation des représentants de chefs d'entreprise et commerçants au sein des CCI locales (CCIT) et régionales (CCIR), l'élection des délégués consulaires n'étant pas concernée par le traitement projeté. Elles sont susceptibles de mobiliser environ 2 millions d'électeurs.

Conformément à l'article R. 713-20 et R. 713-26 du code du commerce, d'une part, et à l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, d'autre part, les traitements de données à caractère personnel mis en œuvre pour l'organisation du système de vote électronique doivent être autorisés par arrêté du ministre chargé de la tutelle administrative des CCI, pris après avis motivé et publié de la commission.

Sur l'architecture globale du dispositif de vote mis en œuvre :

La commission relève que le système de vote par correspondance électronique comporte une unique urne, composée de différents sous-ensembles correspondant aux différents scrutins, et deux sous-systèmes distincts de vote. Le premier permet le vote à distance par l'intermédiaire du réseau Internet (ci-après « vote par correspondance électronique »). Le second sous-système concerne l'émargement automatique des électeurs exprimant leur suffrage par voie de correspondance postale, à partir de la lecture des codes-barres apposés sur chaque pli d'acheminement.

Concernant le second sous-système d'émargement automatique des votes par correspondance postale, l'article 14 du projet d'arrêté fait application de l'article R. 713-20 du code du commerce qui prévoit que les opérations manuelles liées au dépouillement des suffrages exprimés peuvent être effectuées avec l'assistance de moyens électroniques, dans des conditions fixées par arrêté du ministère en charge de la tutelle administrative des CCI, pris après avis de la CNIL.

A cet égard, l'article 14 du projet d'arrêté prévoit que chaque pli postal contenant le suffrage exprimé permet d'assurer un émargement automatique par lecture du code-barres apposé, avant d'être inséré en l'état dans une urne physique, par un membre de la commission électorale, conformément aux dispositions de l'article R. 173-18 du code du commerce.

Sur ce point, la commission rappelle que la délibération n° 98-041 du 28 avril 1998 susvisée contient ses principales recommandations en matière d'utilisation des systèmes de vote par codes-barres dans le cadre d'élections par correspondance postale pour les élections professionnelles et que les traitements de données mis en œuvre doivent faire l'objet des formalités préalables prévues par la loi « Informatique et Libertés ». Elle prend acte que le ministère s'engage à compléter l'arrêté pour circonscrire le périmètre de cette opération à l'émargement et préciser son articulation avec le dépouillement manuel des urnes physiques.

Sur l'expertise indépendante du dispositif de vote électronique :

L'article ler du projet d'arrêté prévoit que le système de vote par correspondance électronique doit faire l'objet, préalablement à sa mise en œuvre, d'une expertise indépendante, qui doit être complétée par une expertise menée en continu durant les opérations de vote.

Cette expertise préliminaire, concernant le système de vote dans son intégralité (dispositif technique et modalités de mise en œuvre), a été communiquée à la commission. Celle-ci considère que les propositions de résolutions formulées par les experts permettraient de mettre le système de vote en conformité à ses recommandations en la matière, formulées dans sa délibération n° 2010-371 du 21 octobre 2010 susvisée.

La commission estime néanmoins que le choix du « défi réponse » reste à améliorer. En effet, certaines catégories de données ne peuvent, par nature, être utilisées pour organiser un « défi réponse » assurant une authentification suffisante, du fait de leur accessibilité, à l'instar des dates de naissance des électeurs ou d'autres données soumises à une obligation de publicité légale dans le cadre du Registre du Commerce et des Sociétés (RCS). Elle recommande dès lors d'utiliser une autre catégorie de donnée afin de consolider effectivement la sécurité de l'enrôlement de l'électeur, sans qu'il soit pour autant nécessaire de modifier le projet d'arrêté sur ce point.

Sur l'anonymat du scrutin :

L'article ler du projet d'arrêté précise que le système de vote « garantit la confidentialité et l'anonymat du vote ». Dans cette perspective, l'article 7 dudit projet prévoit les modalités d'envoi des moyens d'authentification des électeurs. Ainsi, il est prévu que chaque électeur reçoive, par le même canal de communication, un identifiant et un code contenus dans une enveloppe cachetée, adressée sous pli postal sécurisé. Le code ainsi adressé est en outre dissimulé par une « case à gratter », un support d'assistance étant enfin disponible, par téléphone ou courriel, en cas de problème d'authentification.

Dans la mesure où ces deux caractéristiques permettent de considérer le mode de distribution du matériel de vote comme étant conforme à l'exigence de sécurité prévue à l'article 34 de la loi « Informatique et Libertés », la commission prend acte que, à sa demande, le ministère s'engage à les mentionner dans le projet d'arrêté.

En tout état de cause, la commission prend acte que, à sa demande, le ministère s'engage à compléter l'arrêté pour préciser expressément que le numéro de téléphone et l'adresse électronique permettant de contacter ledit support d'assistance sont facilement accessibles, y compris par tout utilisateur qui n'aurait pas reçu son matériel de vote.

Sur la sécurité et l'intégrité du dispositif :

La délibération n° 2010-371 du 21 octobre 2010 de la commission mentionne que « l'établissement des clés est public de manière à prouver de façon irréfutable que seuls les détenteurs de ces clés […] en ont connaissance à l'exclusion de toute autre personne ». La commission prend acte que, à sa demande, le ministère s'engage à faire apparaître cette caractéristique explicitement dans le projet d'arrêté.

En ce qui concerne le chiffrement du bulletin de vote, l'article 8 du projet d'arrêté prévoit : « Le vote est anonyme et immédiatement chiffré par le système ».

La commission considère que cette rédaction ne permet pas de garantir que le bulletin sera chiffré sur le poste de l'électeur et qu'il ne sera pas déchiffré jusqu'au dépouillement de l'urne. Elle prend acte que, à sa demande, le ministère s'engage à compléter l'arrêté afin de décrire plus fidèlement la solution choisie par l'organisateur du scrutin en indiquant explicitement qu'il s'agit d'un double chiffrement, composé à la fois d'un chiffrement du bulletin sur le poste de l'électeur et de son envoi par un canal chiffré vers les serveurs de vote, ce conformément aux recommandations « Informatique et Libertés » en la matière.

Elle rappelle en outre que le nombre de clés utilisées pour le chiffrement des bulletins et le dépouillement de l'urne électronique est à définir au regard du contexte d'organisation des élections. Si le minimum est en effet de trois, la commission recommande néanmoins que la rédaction soit moins stricte sur ce point.

S'agissant de la transmission des données à caractère personnel aux prestataires, la commission relève que l'organisateur des scrutins a retenu une prestation dont l'ensemble des moyens de traitement est mis en œuvre sur le territoire national. En outre, les prestataires sont liés par un engagement contractuel de confidentialité concernant notamment la transmission de ces données.

En l'absence d'information sur ce point, la commission rappelle que les prestataires doivent s'engager à détruire ou restituer, de façon définitive et sécurisée, l'ensemble des données en leur possession à l'issue des opérations électorales.

En outre, elle rappelle que le système de vote électronique doit être capable de fournir, notamment en cas de contentieux électoral, un ensemble d'éléments techniques permettant d'attester du bon déroulement du scrutin.

Ainsi, tous les fichiers supports (notamment copies des programmes sources et exécutables ; matériels de vote ; fichiers d'émargement et de résultats ; sauvegardes) doivent être conservés sous scellés jusqu'à l'épuisement des délais de recours contentieux, et ce dans des conditions garantissant le secret du vote ainsi que l'intégrité et l'authenticité du matériel conservé.

Dès lors, la commission prend acte que, à sa demande, le ministère s'engage à compléter l'article 11 du projet d'arrêté en précisant que, jusqu'à expiration des délais de recours contentieux, l'ensemble de ces fichiers supports doit être figé, horodaté et scellé à la fin du vote. L'article 5 du projet d'arrêté concernant les durées de conservation est également complété par une précision analogue.

Sur la surveillance effective du scrutin :

Les articles 9 et 10 du projet d'arrêté définissent la composition et les missions confiées à la cellule chargée de veiller au bon déroulement du scrutin. Celle-ci peut notamment demander l'assistance de toute personne indépendante disposant de l'expertise nécessaire pour répondre aux besoins exprimés.

La commission prend acte que, à sa demande, le ministère s'engage à compléter le projet d'arrêté pour indiquer explicitement que toute intervention sur le système de vote doit faire l'objet d'un accord de cette cellule en lien, le cas échéant, avec les commissions d'organisation des élections concernées, ainsi que d'une consignation au procès-verbal du ou des scrutins concernés, ce qui permet de considérer les mesures de surveillance prévues comme effectives.

L'article 10 du projet d'arrêté indique qu'en cas de force majeure entraînant la suspension des opérations de vote, les suffrages préalablement émis par voie électronique sont conservés. La commission recommande que le choix de conserver ou non ces suffrages soit confié à la cellule nationale prévue à l'article 9 du projet d'arrêté, éventuellement après concertation avec la ou les commissions d'organisation des élections concernées et prend acte de l'engagement du ministère à compléter l'arrêté sur ce point.

S'agissant du contrôle du vote a posteriori, une opération de sauvegarde de l'urne est réalisée en fin de scrutin, avant le dépouillement de l'urne, conformément aux recommandations de la commission.

Sous réserve des précédentes observations et de la prise en compte des propositions formulées par les experts indépendants dans l'audit fourni à la commission, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.