Sur le régime de formalités préalables applicable :
Aux termes de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, sont autorisés par arrêté, ou en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé de la CNIL, « les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I aux fins de mettre à disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques ».
Le dispositif de vote électronique proposé par le ministère des affaires étrangères s'effectue par le biais d'un site internet mis à disposition de l'électeur. Ce dispositif constitue donc un téléservice de l'administration électronique.
Les électeurs inscrits sur les listes électorales consulaires sont des usagers de l'administration des affaires étrangères.
De surcroît, ce téléservice comporte un identifiant propre à chaque électeur (numéro d'électeur, code d'accès individuel et mot de passe). Il remplit donc les conditions fixées par l'article 27-II (4°) de la loi du 6 janvier 1978.
Sur l'expertise indépendante du dispositif de vote électronique :
La commission relève qu'en application des dispositions de l'article 13 du projet de décret relatif au vote par correspondance électronique des électeurs inscrits sur les listes électorales consulaires en Europe, Asie et au Levant pour les élections de 2006 à l'Assemblée des Français de l'étranger et de l'article 5 du projet d'arrêté pris en application de ce décret, qui lui sont soumis, le système de vote doit faire l'objet d'une expertise indépendante, dont l'avis est rendu sous la forme d'un rapport détaillé transmis à la CNIL et également d'une expertise durant les opérations de vote. Les résultats sont portés à la connaissance du comité technique visé à l'article 8 du projet d'arrêté.
La commission prend acte de ces dispositions mais constate qu'aucune expertise n'a été menée et jointe au dossier de formalités préalables.
Dans ces conditions, la commission déplore cette situation de fait alors même que le projet de décret et le projet d'arrêté relatifs aux modalités du vote électronique pour les élections à l'AFE de juin 2006 le prévoient expressément.
L'absence de cette expertise indépendante préalable à la saisine de la CNIL amoindrit les garanties nécessaires permettant de s'assurer que le dispositif de vote électronique projeté respecte la sincérité, l'anonymat, la transparence, l'« auditabilité » et la sécurité du scrutin ainsi que les principes généraux de protection des données à caractère personnel. La commission estime en tout état de cause nécessaire qu'une expertise soit effectuée pendant les opérations électorales afin de vérifier ces éléments.
Sur la séparation des données identifiantes des électeurs et des votes :
Le secret du vote doit être garanti par la mise en oeuvre de procédés rendant impossible l'établissement d'un lien entre le nom de l'électeur et l'expression de son vote. Il en résulte que la gestion du fichier des votes et celle de la liste d'émargement doivent être faites sur des « systèmes informatiques distincts, dédiés et isolés » selon la recommandation de la CNIL du 1er juillet 2003. Ces fichiers doivent, en outre, faire l'objet de mesures de chiffrement selon un algorithme public réputé « fort ».
La commission rappelle que le prestataire doit s'engager à garantir une réelle séparation opérationnelle entre ces deux systèmes, ce qui implique au minimum deux équipes techniques distinctes.
La commission prend acte que le système de vote présenté dans le dossier du ministère des affaires étrangères entend mettre en oeuvre ces préconisations majeures.
Elle considère, cependant, que les éléments d'analyse du système de vote qui lui ont été fournis ne permettent pas de s'assurer de l'effectivité de la séparation de l'urne et du fichier des électeurs sur des systèmes distincts, dédiés et isolés. En effet, les termes du dossier se limitent à « l'architecture proposée dédie un serveur spécifique pour la liste d'émargement et un autre pour l'urne électronique ». Il en va de même pour l'organisation des équipes techniques.
La commission demande que l'effectivité de ces éléments soit vérifiée au cours de l'expertise indépendante réalisée durant le scrutin ainsi que, plus largement, toutes les mesures physiques et logiques prises tant au niveau des serveurs du dispositif que sur les postes accessibles au public afin de garantir la sécurité et la confidentialité des données personnelles, en particulier contre les intrusions venant de l'extérieur.
Sur le chiffrement du bulletin de vote :
La commission rappelle que le cahier des clauses techniques particulières prévoit que le bulletin de vote doit être chiffré par un algorithme réputé « fort » dès son émission, depuis le terminal d'accès à distance (poste de travail informatique de l'électeur) et jusqu'à son stockage sur le serveur de vote. Or, le dossier du ministère des affaires étarngères ne permet pas de juger de l'effectivité de la solution retenue.
La commission regrette l'absence récurrente des éléments techniques lui permettant, pour cette application, de juger de l'effectivité et de l'étendue du chiffrement mis en oeuvre. Elle demande que l'expertise indépendante à venir vérifie ce point.
Sur la localisation des serveurs du système de vote électronique :
Le dossier précise que le système de vote électronique sera localisé sur le territoire de France métropolitaine. La commission souligne l'adéquation de la solution retenue avec sa recommandation du 1er juillet 2003.
Sur la surveillance effective du scrutin :
La commission rappelle, au regard de sa recommandation du 1er juillet 2003, que la mise en oeuvre du système de vote électronique doit être opérée sous le contrôle effectif, tant au niveau des moyens informatiques centraux que de ceux, éventuellement, déployés sur place, de représentants de l'organisme mettant en place le vote ou d'experts désignés par lui.
Elle prend acte que le projet de décret prévoit qu'un bureau central de vote électronique est chargé du contrôle de l'ensemble des opérations de vote électronique et du dépouillement du vote. Ce bureau veille au bon déroulement technique des opérations électorales ; en particulier, il s'assure des dispositifs de sécurité prévus pour assurer le secret du vote et son intégrité, de la confidentialité du fichier des électeurs comportant des éléments d'authentification, du chiffrement de l'urne électronique et de la conservation des votes dans un traitement distinct de celui du fichier des électeurs, de la conservation des différents supports d'information dans les mêmes conditions de sécurité et de confidentialité pendant et après le scrutin ainsi que de la vérification du nombre et de la qualité des personnes autorisées à accéder au système.
La commission constate que ce bureau sera assisté par un comité technique dont les membres sont désignés par le ministre des affaires étrangères et la composition fixée par le projet d'arrêté ministériel.
La commission souligne l'intérêt de la mise en place du bureau du vote électronique et du comité technique. Outre qu'elles satisfont à sa recommandation du 1er juillet 2003, ces mesures sont de nature à apporter des garanties importantes aux électeurs et aux candidats.
Cependant, la commission remarque qu'en l'état actuel du projet d'arrêté soumis à la CNIL le comité technique n'est pas nécessairement composé d'experts. En raison de l'absence d'une expertise indépendante préalable du dispositif de vote électronique, il apparaît nécessaire que la présence d'experts indépendants soit obligatoire et le projet d'arrêté complété en ce sens.
La commission demande, par conséquent, que l'article 8 du projet soit complété des termes suivants : « Il associe un ou plusieurs experts informatiques indépendants compétents dans les domaines couverts par les opérations de vote » au lieu de : « Il peut associer ou consulter toute personne indépendante disposant d'une expertise dans les domaines couverts par les opérations de vote ».
Sur l'authentification des électeurs :
Le ministère des affaires étrangères a prévu un envoi postal des codes personnels. La commission constate que l'électeur est obligé d'exprimer, préalablement au scrutin, son choix de voter par internet pour recevoir, par la voie postale, ses codes. Elle souligne que la fiabilité d'un envoi postal non recommandé des codes personnels est étroitement liée aux conditions de fonctionnement de la poste de chaque pays. De plus, le projet de décret soumis à la commission n'indique pas clairement que l'électeur qui s'est inscrit au scrutin électronique dispose tout de même de la faculté de voter sur place.
Par conséquent, la commission demande qu'en cas de perte des codes personnels d'un électeur celui-ci soit explicitement autorisé à voter le jour du scrutin dans un bureau de vote.
La commission propose que l'article 3 du projet de décret soit complété des termes suivants : « L'électeur qui a choisi de voter par voie électronique mais qui n'a pas utilisé ses codes personnels a la possibilité de voter sur place le jour du scrutin. »
Dans l'hypothèse d'un vol et de l'utilisation de ces codes par un tiers, la commission souhaite qu'un registre puisse consigner les réclamations des électeurs.
De surcroît, la commission souhaite que l'infrastructure de vote électronique soit dotée d'un système d'authentification mieux sécurisé, dans l'hypothèse d'une généralisation du recours au vote électronique pour les élections des représentants des Français de l'étranger.
Enfin, s'agissant du chiffrement du fichier permettant de générer les identifiants et les mots de passe des électeurs, la commission demande que l'expertise indépendante puisse vérifier, avant le déroulement des opérations électorales, l'effectivité des sécurités mises en oeuvre pour assurer la confidentialité des données, en particulier au moment de l'impression ou de la mise sous pli.
Sur la définition des fonctions d'administration et la traçabilité des actions menées sur le système :
La commission constate l'absence de définition des actions d'administration détaillant les opérations et les contrôles associés, techniques et organisationnels réalisés sur le système. Compte tenu des droits techniques élevés des administrateurs sur le système, la rédaction d'un document fixant les règles d'administration chez l'hébergeur pendant la durée du vote et l'existence d'une traçabilité sécurisée des actions d'administration sur une machine distincte et non administrable par les mêmes moyens sont essentielles.
Sur le dépouillement du vote :
Le dispositif de vote électronique envisagé par le ministère des affaires étrangères prévoit cinq clés de dépouillement, générées en présence du président et des assesseurs. Elles sont stockées sur plusieurs clés USB. Deux clés sont destinées à être conservées en secours.
La commission estime que ce dispositif est d'un niveau de sécurité suffisant, à la condition que ces mesures puissent être vérifiées par l'expertise indépendante.
En revanche, la commission regrette que rien ne soit précisé sur l'édition sécurisée des résultats dans le dossier déposé à la CNIL par le ministère ou dans les projets de textes réglementaires qui lui sont également soumis. Elle demande que le projet d'arrêté ministériel soit complété en ce sens.
Sur le contrôle des opérations de vote :
La commission rappelle que le dispositif de vote électronique doit être en mesure de fournir les éléments techniques (fiabilité du scellement, anonymat du vote, liste d'émargement, intégrité de l'urne, possibilité de nouveau décompte des voix...) permettant, en cas de contentieux électoral, de vérifier le fonctionnement réel de l'application. Les fichiers supports doivent être conservés sous scellés jusqu'à l'épuisement des délais de recours.
Le dispositif retenu par le ministère des affaires étrangères prévoit un scellement du système à l'issue du scrutin et que les fichiers supports seront remis sur CD ou DVD signés. La commission constate que le dossier qui lui a été soumis ne comporte pas les éléments techniques de cette signature. La commission demande que l'arrêté ministériel soit complété afin de préciser les modalités de cette signature.
La commission constate, par ailleurs, que le dossier soumis à la CNIL prévoit que les fichiers de sauvegarde sont archivés pendant un an chez l'hébergeur. Elle rappelle que les fichiers de données à caractère personnel, en particulier les listes électorales, listes d'émargement, éléments d'authentification ou urne électronique et, en général, tous les fichiers supports, devront être détruits à l'issue des délais de recours et en aucun cas conservés chez l'hébergeur ou le prestataire de vote.
Elle souligne que l'article 4 du projet d'arrêté prévoit que les supports d'information sont conservés par le maître d'oeuvre sous le contrôle du bureau central de vote électronique. De telles dispositions conduisant à placer entre les mains du prestataire tous les éléments permettant de contrôler le bon déroulement du scrutin, en particulier au plan technique, sont contradictoires avec l'article 10 de ce même arrêté qui prévoit que : « Dès la clôture du scrutin électronique, le contenu de l'urne, la liste d'émargement et les états courants gérés par les serveurs de vote sont figés, horodatés, et scellés automatiquement sur l'ensemble des serveurs. Le ministre des affaires étrangères reçoit l'ensemble de ces données en deux exemplaires sur cédéroms portant une sérigraphie et non réinscriptibles. Une clé de chiffrement permet l'authentification des cédéroms et un condensé chiffré public en garantit l'intégrité. »
La commision demande, par conséquent que l'article 4 du projet d'arrêté soit modifié et que les termes : « conservés par le maître d'oeuvre » soient remplacés par les termes : « par le ministère des affaires étrangères ».