Ce que dit la CNIL sur les élections par voie électronique
Afin d’améliorer la sécurité des élections par vote électronique, la CNIL a adopté une recommandation le 25 avril 2019.
Premièrement, la CNIL indique que l’entreprise qui souhaite instaurer un vote électronique doit évaluer le niveau de risque qu’il présente. En fonction du résultat de cette évaluation, elle devra mettre en place des solutions de sécurité adéquates.
La CNIL a également défini 3 niveaux de risques. Dans le cadre d’élections professionnelles, le niveau 2 est préconisé. Cependant, le niveau 3 est recommandé pour certain organisme. Tels que : une société importante ou encore un organisme au climat social sensible.
Concernant le RGPD, la CNIL rappelle qu’il y a différents critères à prendre en compte pour savoir si il faut réaliser une AIPD. Dans le cadre d’élections professionnelles, la réalisation d’une AIPD est d’ailleurs préconisée par la CNIL.
Notons que l’information aux électeurs de la procédure de vote par voie électronique doit être donnée en temps utile. Mais aussi, détaillée avec précision.
Enfin, la CNIL spécifie que le système de vote électronique mis en place doit être vérifié par un expert indépendant. Celui-ci analysera l’intégralité de la solution installée. Cela permet de garantir que les objectifs de sécurité sont pleinement atteints.
Les 3 niveaux d’objectifs de sécurité
Les objectifs de sécurité sont classés dans 3 niveaux.
- Objectifs de sécurité de niveau 1 : pour atteindre ce niveau de sécurité, la structure organisatrice du vote électronique devra utiliser une solution :
- ne présentant pas de faille majeure ;
- permettant d’authentifier les électeurs, d’assurer la confidentialité des votes et des données, de chiffrer le bulletin du votant ;
- offrant la possibilité de réaliser un dépouillement de l’urne a posteriori pour vérification…
- Objectifs de sécurité de niveau 2 : pour ce niveau de sécurité, il est indispensable que la solution :
- assure une haute disponibilité ;
- contrôle de façon automatique l’intégrité du système ;
- permette d’authentifier les électeurs en réduisant les risques d’usurpation d’identité ;
- assure la transparence de l’urne…
- Objectifs de sécurité de niveau 3 : pour parvenir à ce niveau de sécurité, il est nécessaire que la solution de vote électronique :
- permette d’avoir une transparence de l’urne à partir d’outils tiers ;
- assure une très haute disponibilité ;
- permette le contrôle automatique et manuel de l’intégrité de la plateforme durant tout le scrutin.
Mentionnons que pour atteindre ces différents niveaux d’objectifs de sécurité, la CNIL propose des solutions à mettre en place.
Comment définir le niveau de risque pour le vote électronique ?
La recommandation de la CNIL est accompagnée d’une grille d’analyse. Cette grille permet de définir le niveau de sécurité à respecter. En répondant à ce questionnaire, l’entreprise pourra se situer facilement. Ainsi, elle pourra déterminer les objectifs de sécurité à atteindre.
La grille d’analyse est une liste de questions fermée. À chaque fois que le responsable de traitement répond « faux » à une question, il comptabilise 1. Notons que le score final obtenu définit le niveau de sécurité à respecter.
La CNIL met à disposition des organismes une recommandation complète. Elle aide les entreprises dans la mise en place des élections par vote électronique. Notons que les entreprises peuvent s’appuyer sur ces outils pour mettre en place les élections par vote.