Moderne et pratique, le vote électronique par correspondance gagne de plus en plus d’adeptes parmi les entreprises. La CNIL vient d’adopter une recommandation sur la sécurité de tels dispositifs. Parue au Journal officiel du 21 juin, celle-ci rappelle d’emblée que « le recours à de tels systèmes doit s’inscrire dans le respect des principes fondamentaux qui commandent les opérations électorales : le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ». Problème : les travaux menés par la CNIL depuis 2003 l’ont conduit à constater que « les systèmes de vote existants ne fournissaient pas encore toutes les garanties exigées par les textes légaux ». En conséquence, la commission reste « réservée » quant à l’utilisation de dispositifs de vote par correspondance électronique, notamment via Internet, « pour des élections politiques », indique la recommandation. Sans surprise, le régulateur note que le vote électronique à distance, notamment via Internet, présente « des difficultés accrues » pour les personnes chargées d’organiser le scrutin et celles chargées d’en vérifier le déroulement, principalement à cause de l’opacité et de la technicité importante des solutions mises en œuvre, ainsi que de la « très grande difficulté de s’assurer de l’identité et de la liberté de choix de la personne effectuant les opérations de vote à distance ».

La CNIL souhaite donc que « la solution utilisée pour le scrutin tienne compte de l’importance du niveau de risque de l’élection ainsi que des éventuels bénéfices pour les parties prenantes de recourir à un système de vote par correspondance électronique et que la solution choisie réponde à tous les objectifs de sécurité fixés au regard de ce niveau de risque ». Le responsable du traitement doit donc confier à un expert indépendant l’évaluation du risque encouru, « que la solution de vote soit gérée en interne ou fournie par un prestataire ». Par ailleurs, l’expertise « doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), la constitution des listes d’électeurs et leur enrôlement et l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.). » Point crucial, l’expert est tenu de « fournir un moyen technique permettant de vérifier a posteriori que les différents composants logiciels sur lesquels a porté l’expertise n’ont pas été modifiés sur le système utilisé durant le scrutin ».

Pour chacun des trois niveaux de risque identifiés, la CNIL liste une série d’objectifs de sécurité à atteindre et propose des fiches pratiques permettant de les atteindre. Pour les votes présentant un risque de niveau 3, les organisateurs devront au total remplir 23 objectifs de sécurité. Les utilisateurs de ce type de système devront aussi se plier aux obligations du RGPD. La CNIL rappelle que la note explicative « détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote par correspondance électronique » ne se substitue pas « à l’obligation d’information imposée par les articles 13 et 14 du règlement européen sur la protection des données (RGPD) s’agissant du traitement des données ».