La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'éducation nationale, de la jeunesse et de la vie associative (MENJVA) de deux projets d'arrêté prévoyant la mise en place d'un dispositif de vote électronique à distance pour l'élection des représentants du personnel du ministère ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données, à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 27 (II, 4°) ;
Vu la loi n° 83-634 du 13 juillet 1983 modifiée portant droits et obligations des fonctionnaires, ensemble la loi n° 84-16 du 11 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique de l'Etat ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-l7 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-l516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l'élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l'Etat ;
Vu la délibération n° 2010-371 du 21 octobre 2010 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;
Après avoir entendu Mme Isabelle Falque-Pierrotin, vice-présidente, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le 24 mai 2011, le ministère de l'éducation nationale, de la jeunesse et de la vie associative (MENJVA) a saisi la CNIL d'une demande d'avis relative à un projet d'arrêté portant création de traitements automatisés de données à caractère personnel dans le cadre du vote électronique par internet pour l'élection des représentants des personnels aux comités techniques, aux commissions administratives paritaires et aux commissions consultatives paritaires compétentes (dit arrêté « traitements automatisés »).
Le 7 juin 2011, sur demande expresse de la CNIL, le MENJVA a officiellement saisi la commission du projet d'arrêté relatif aux modalités d'organisation du vote électronique par internet des personnels relevant du ministre chargé de l'éducation nationale pour l'élection des représentants des personnels aux comités techniques, aux commissions administratives paritaires et aux commissions consultatives paritaires pour les élections fixées du 13 octobre 2011 au 20 octobre 2011 (dit arrêté « modalités d'organisation »).
Cette double saisine fait suite à la publication, le 28 mai 2011, du décret n° 2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l'élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l'Etat. Ce décret avait donné lieu à un avis préalable de la CNIL, en date du 28 avril 2011.
Elle a été précédée par l'élection test organisée par le MENJVA du 17 au 22 mars 2011 dans l'objectif de valider le processus logistique d'opérations électorales dématérialisées.
Ce vote rassemblera environ un million d'électeurs dans le cadre de scrutins ouverts du 13 octobre 2011, 10 heures, au 20 octobre 2011, 17 heures. Il permettra aux personnels relevant du MENJVA régulièrement inscrits sur les listes électorales de voter par internet pour élire leurs représentants du personnel aux comités techniques, aux commissions administratives paritaires et aux commissions consultatives paritaires qui les représentent.
A titre liminaire :
Comme elle l'avait déjà fait dans sa délibération du 28 avril 2011, la commission souhaite rappeler qu'elle reste très attentive aux conditions de développement du vote électronique.
Celui-ci ne peut notamment être envisagé que si sont remplies quatre conditions essentielles :
― l'obligation de prévoir un système dans lequel le chiffrement du bulletin est ininterrompu entre le poste de l'électeur et l'urne électronique ;
― l'assurance que toute intervention du prestataire technique n'interviendra qu'après un avertissement préalable du bureau de vote ;
― la nécessité d'opérer une destruction totale de tous les fichiers supports (copies des programmes sources et exécutables, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) sous le contrôle de la commission électorale ;
― une gestion de l'attribution du mot de passe prévoyant des modalités de génération et d'envoi des codes personnels qui garantissent, même en cas de perte ou de vol, leur confidentialité.
Compte tenu des risques particuliers que ces traitements peuvent présenter pour les personnes, comme la divulgation de leurs opinions politiques ou syndicales, la commission rappelle au ministère la nécessité de mettre en place des mesures de sécurité adéquates, notamment pour garantir la confidentialité des votes exprimés durant l'élection.
A ce titre, la commission souhaite insister sur la nécessité de respecter sa recommandation du 21 octobre 2010.
C'est pourquoi, concernant l'élection des représentants du personnel du ministère de l'éducation nationale, de la jeunesse et de la vie associative (MENJVA) par internet, qui s'appuiera, selon les deux arrêtés précités, exclusivement sur un vote électronique, la commission est particulièrement vigilante et a demandé au ministère des mesures de sécurité additionnelles et la conduite d'une analyse de risques.
Sur le régime de formalités préalables applicable :
Le décret n° 2011-595 du 26 mai 2011 fixe le cadre général permettant le vote électronique dans l'élection des représentants du personnel et, notamment, les mesures de sécurité à respecter par les administrations et les établissements publics de l'Etat lors de l'organisation des scrutins.
Toutefois, ce texte ne crée pas les traitements automatisés de données mis en œuvre pour le vote électronique. Il ne dispensait donc pas le ministère de l'éducation nationale, de la jeunesse et de la vie associative (MENJVA), en tant que responsable des traitements, de l'obligation de déclarer ses systèmes de vote à la CNIL.
La CNIL est donc saisie sur le fondement de l'article 27 (II, 4°) par le MENJVA d'une demande d'avis sur deux arrêtés qui encadrent, d'une part, la création des traitements automatisés de données mis en œuvre pour le vote électronique (arrêté « traitements automatisés ») et, d'autre part, les modalités d'organisation de ce vote (arrêté « modalités d'organisation »).
Le projet d'arrêté relatif aux traitements automatisés crée deux traitements automatisés distincts : le fichier des électeurs et l'urne électronique (art. 2 du projet d'arrêté). Il précise la maîtrise d'ouvrage et la maîtrise d'ouvre du système de vote électronique par internet (art. 3), le contrôle de la conformité des listes électorales et des listes des candidatures (art. 4), les catégories de données à caractère personnel enregistrées (art. 5), les destinataires ou catégories de destinataires des informations traitées (art. 6), les droits des personnes concernées (art. 7 et 8) et le contrôle effectif des représentants de l'administration (art. 9).
Le projet d'arrêté relatif aux modalités d'organisation du vote électronique par internet précise les informations suivantes :
― « la description détaillée du fonctionnement du système retenu et du déroulement des opérations » (art. 5 à 7 du projet d'arrêté), notamment concernant les moyens d'authentification des électeurs (art. 29 à 31), le déroulement des opérations électorales (art. 32 à 36) et la clôture des opérations électorales (art. 37 à 40) ;
― « les modalités d'accès au vote pour les électeurs ne disposant pas d'un poste informatique sur leur lieu de travail » (art. 33, alinéa 6, du projet d'arrêté) ;
― les modalités de préparation des opérations électorales (art. 23 à 28 du projet d'arrêté) ;
― les modalités de fonctionnement de la cellule d'assistance technique à l'électeur (art. 7) ;
― la durée du scrutin (art. 2) ;
― les modalités d'établissement des clés de chiffrement (art. 19 à 22) ;
― l'institution de bureaux de vote électronique et d'un « bureau de vote centralisateur » (art. 8 à 18) ;
― les dispositions applicables à Mayotte, à la Nouvelle-Calédonie, à la Polynésie française, à Wallis-et-Futuna et à Saint-Pierre-et-Miquelon (art. 41 à 46).
Sur l'expertise indépendante du dispositif de vote électronique :
La commission prend acte du recours par le MENJVA à une expertise complète du système de vote avant, pendant et après le scrutin.
Concernant l'expertise avant le vote, la commission confirme avoir reçu le rapport intégral d'expertise indépendante initiale dans le cadre du système de vote par internet mis en place par le MENJVA pour les élections qui auront lieu en 2011 ainsi que le tableau comparatif entre la solution choisie et la recommandation de la CNIL du 21 octobre 2010 relative au vote électronique.
La commission prend acte des conclusions de cette expertise initiale garantissant que la solution retenue « offre un haut niveau de conformité à la recommandation CNIL 2010 ».
Elle relève également que plusieurs points seront approfondis ultérieurement, en fonction des choix définitifs du responsable de traitement.
Dans ces conditions, elle demande à être destinataire des rapports d'expertise futurs, qu'ils concernent la précision de certains points, le déroulement du scrutin lui-même ou les procédures et mesures de sécurité mises en œuvre après le scrutin. Elle rappelle que cette obligation de transmission découle des dispositions de l'article 5 du projet d'arrêté « modalités d'organisation », étant donné que celui-ci dispose « [...] que les règles de gestion, de maintenance et les modalités d'expertise qui lui sont applicables sont fixées par l'arrêté et les documents transmis à la commission nationale de l'informatique et des libertés [...] ».
Dans sa délibération du 28 avril 2011, la CNIL avait souhaité que la possibilité d'exprimer son vote sur un poste dédié dans un lieu aménagé à cet effet fasse l'objet d'une expertise. La commission se félicite que ses recommandations aient été suivies et reprises (art. 7, premier alinéa, du décret du 26 mai 2011).
Toutefois, l'alinéa 4 de l'article 33 de l'arrêté « modalités de traitement » indique que « les écoles du premier degré de moins de huit électeurs ne disposent pas de postes dédiés. Ces électeurs ont accès aux établissements et services disposant d'un kiosque de vote » ; or, l'alinéa 6 de ce même article mentionne que tout électeur qui se trouve dans l'incapacité de recourir au vote électronique à distance « peut être en cas de besoin accompagné d'un électeur de son choix sous réserve des dispositions fixées au III de l'article 9 du décret », c'est-à-dire sous réserve que l'électeur de son choix appartienne « au service ou à l'établissement où se trouve le poste dédié ».
Sur ce point, la commission indique que les électeurs des écoles du premier degré de moins de huit électeurs qui se trouvent dans l'incapacité de recourir au vote électronique à distance et qui auraient besoin d'être physiquement secondés pour accomplir l'acte de vote seront susceptibles de rencontrer des difficultés pour se faire accompagner par un électeur appartenant au service de l'établissement où ils seront tenus d'aller voter.
Or, elle souligne que le dispositif doit remplir l'obligation de l'administration de veiller « à assurer le bénéfice effectif » d'une mise à disposition de l'ensemble des contenus relatifs aux élections (professions de foi, candidatures) pour « les électeurs ne disposant pas d'un poste informatique sur leur lieu de travail », comme le prescrit l'article 6 (V) du décret du 26 mai 2011.
Dans ces conditions, et pour que cette obligation soit remplie dans les établissements de moins de huit électeurs, la commission recommande une mise à disposition des contenus susmentionnés sous format papier.
Sur l'anonymat du scrutin :
La commission rappelle la nécessité de respecter les mesures prévues afin de garantir que l'identité de l'électeur ne puisse pas être mise en relation avec l'expression de son vote, et cela à tout moment du processus de vote, y compris après le dépouillement.
Elle prend acte que l'article 13 (III) du décret du 26 mai 2011 est complété par l'arrêté « traitements automatisés », en son article 2 : les données contenues dans l'urne électronique « ne doivent pas comporter de lien permettant l'identification des électeurs ».
Toutefois, faisant suite à l'avis rendu le 28 avril 2011, elle attire à nouveau l'attention du ministère sur le fait que la séparation physique du fichier des électeurs et de l'urne prévue à l'article 7 du projet de décret n'est qu'une solution parmi d'autres pour garantir cet anonymat.
A ce titre, elle demande à ce que les conditions techniques et organisationnelles de garantie de l'anonymat du vote soient précisées dans l'arrêté « modalités d'organisation ».
Sur la mise en œuvre des sécurités informatiques :
L'article 3, alinéa 3, de l'arrêté « traitements automatisés » indique que le prestataire technique doit appliquer toutes les mesures de sécurité prescrites par les dispositions du décret du 26 mai 2011 « ainsi que toute mesure nécessaire à la protection des données à caractère personnel ».
La commission recommande que cette mention soit précisée par l'insertion des mentions du I-1 de la délibération de la CNIL du 21 octobre 2010 qui concerne la vérification attestant « a posteriori que les différents composants logiciels sur lesquels a porté l'expertise n'ont pas été modifiés sur le système utilisé durant le scrutin ».
Dans le cadre de l'article 3 (IV) du décret du 26 mai 2011, la commission approuve que l'article 7 du projet d'arrêté « modalités d'organisation » prévoie la création d'une cellule d'assistance technique le 1er septembre 2011 au plus tard.
Sur le scellement du dispositif de vote électronique et la confidentialité des données :
La commission observe que les dispositions de l'article 12 (III) du décret du 26 mai 2011 ont suivi la recommandation de la CNIL de mettre en place un dispositif technique garantissant l'information du bureau de vote en cas d'intervention sur le système de vote.
Elle regrette toutefois que l'arrêté « modalités d'organisation » ne précise pas que cette information, en plus d'être immédiate, doive également être « systématique », comme cela avait été préconisé par la CNIL dans son avis du 28 avril 2011.
Elle recommande donc que l'arrêté « modalités d'organisation » indique dans son chapitre IV que le bureau de vote sera automatiquement informé de toute intervention sur le système de vote.
Sur la surveillance effective du scrutin :
La commission approuve que le contrôle de la régularité du scrutin soit dévolu aux bureaux de vote électronique.
Elle recommande que l'article 15 du projet d'arrêté « modalités d'organisation » indique que « toutes les facilités doivent être accordées aux membres du bureau de vote et aux délégués des candidats, s'ils le souhaitent, pour pouvoir assurer une surveillance effective de l'ensemble des opérations électorales et, en particulier, de la préparation du scrutin, du vote, de l'émargement et du dépouillement » (I-6, alinéa 2, de la délibération du 21 octobre 2010).
En outre, dans la délibération rendue le 28 avril 2011, la commission avait relevé l'absence de mise à disposition de « tous documents utiles » permettant la formation des représentants de l'organisme responsable du traitement, des experts, des membres du bureau de vote, des délégués des candidats et des scrutateurs au fonctionnement du dispositif de vote électronique. Elle recommande donc que les contenus nécessaires à cette formation soient effectivement mis à disposition des personnes concernées.
Sur les procédés d'authentification :
L'article 31, alinéa 3, du projet d'arrêté « modalités d'organisation » a particulièrement retenu l'attention de la Commission. Il dispose qu'« en cas de perte du seul mot de passe avant ou pendant le déroulement des scrutins, il est procédé, à la demande de l'électeur, à la réattribution par voie électronique du même mot de passe, que l'électeur ait déjà pris part à l'un des scrutins ou non ».
Or, la perte d'un mot de passe ne saurait donner lieu à la réattribution, par voie électronique, du mot de passe égaré sans compromettre la sécurité de l'authentification. En outre, une telle disposition supposerait l'existence d'une liste des mots de passe en clair, ce qui présente un risque de sécurité en soi. De plus, la commission rappelle la nécessité de veiller à ce que les personnes chargées de traiter les cas de perte et les demandes de réattribution de mots de passe ou d'identifiants n'aient pas accès aux données de vote des électeurs.
C'est pourquoi la commission propose de mettre en œuvre la solution préalablement retenue en matière de vote électronique, à savoir, en cas de perte ou de vol des identifiants et/ou mots de passe, la réattribution d'un nouveau mot de passe au moyen d'un dispositif d'authentification renforcé (II-1-2° de la recommandation de la CNIL du 21 octobre 2010).
Enfin, la commission émet de fortes réserves sur le dispositif d'attribution des identifiants et des mots de passe décrit par l'article 29 de l'arrêté « modalités d'organisation » (alinéas 2 et 3) : « l'identifiant est remis à l'électeur par les chefs d'établissement et les chefs de service contre émargement sur un support papier garantissant la confidentialité » et « le mot de passe est remis à l'électeur par voie électronique à l'aide des informations contenues dans le document » d'émargement précité.
Outre la connaissance du NUMEN (numéro d'identifiant interne de l'éducation nationale) et du département de naissance de l'électeur, le ministère a indiqué que la récupération du mot de passe suppose l'accès à une adresse électronique de l'électeur, qui serait donc déjà connue du ministère.
Toutefois, la commission n'a eu d'informations ni sur les conditions de collecte des adresses électroniques qui seront utilisées, ni sur la nature professionnelle ou personnelle de ces adresses, ni sur la validité des informations utilisées dans ce cadre. A cet égard, elle demande à être informée sur l'ensemble de ces points et recommande, dans le respect des choix de chaque électeur, le recours à des adresses personnelles plutôt que professionnelles.
Elle insiste sur la nécessité absolue de garantir la confidentialité des informations permettant de voter et demande au ministère qu'il fasse connaître les conditions dans lesquelles les personnes concernées récupéreront leur identifiant et leur mot de passe, en cas de perte ou de vol de ceux-ci.
Par conséquent, la commission recommande au MENJVA de préciser les conditions de sécurité finalement retenues pour permettre une sécurisation effective de ce dispositif.
Par ailleurs, l'arrêté « modalités d'organisation » ne mentionne pas de destruction des supports papier contenant les identifiants qui n'auraient pas été distribués par les chefs d'établissement et les chefs de service, ni les modalités d'une éventuelle conservation de ces documents.
Sur le contrôle du système avant le scrutin :
La commission prend acte que la recommandation qu'elle avait formulée le 28 avril 2011 a été incluse dans l'article 11 (I) du décret adopté le 26 mai 2011 et que le contrôle du système de vote, avant le scrutin, est encadré par l'article 4 de l'arrêté « traitements automatisés ».
Sur les clés de chiffrement et le dépouillement :
La commission se félicite que sa recommandation d'insérer un article relatif aux clés de chiffrement des bulletins ait été suivie.
En effet, dans l'arrêté « modalités d'organisation », les articles 19 à 22 précisent les modalités d'établissement et de répartition de ces clés et l'article 39 décrit les conditions de recours aux clés de chiffrement pour procéder « publiquement à l'ouverture de l'urne électronique en activant les clés de chiffrement ».
Néanmoins, il serait souhaitable de mentionner que la procédure d'établissement des clés garantit que seuls les titulaires de ces clés, c'est-à-dire les membres des bureaux de vote (art. 19, alinéa 1) et, à titre dérogatoire, les membres du bureau de vote électronique centralisateur (art. 19, alinéa 2), ont connaissance des clés, à l'exclusion de toute autre personne, y compris les personnels techniques chargés du déploiement du système de vote, comme indiqué dans la recommandation de la CNIL du 21 octobre 2010.
Sur le chiffrement du bulletin de vote :
Le chiffrement du bulletin de vote est mentionné au dernier alinéa de l'article 13 (III) du décret du 26 mai 2011 : « Le suffrage exprimé est anonyme et chiffré par le système et transmis au fichier "contenu de l'urne électronique” mentionné au II de l'article 4, où il est ainsi conservé, jusqu'au dépouillement. » En outre, les documents techniques fournis montrent un chiffrement sur le poste de l'électeur.
Toutefois, la commission relève que, tel qu'il est présenté dans le décret du 26 mai 2011, le chiffrement du bulletin de vote pourrait laisser la possibilité de ne chiffrer les données que sur le serveur de vote. En effet, l'article 4 (I) du décret exige que « les systèmes de vote électronique par internet comportent les mesures physiques et logiques permettant d'assurer la confidentialité des données transmises » et vise « la confidentialité des fichiers constitués pour établir les listes électorales, ainsi que la sécurité de l'adressage des moyens d'authentification, de l'émargement, de l'enregistrement et du dépouillement des votes », sans viser directement la confidentialité du vote.
Or, pour garantir la confidentialité du vote, un chiffrement du bulletin doit être opéré sur le poste de l'électeur et maintenu, de manière ininterrompue, jusqu'à son dépouillement dans l'urne.
Par conséquent, compte tenu du caractère crucial de cette mesure pour la protection de l'anonymat, la commission demande au ministère de mentionner, dans l'arrêté « modalités d'organisation », l'existence d'un chiffrement sur le poste de l'électeur. Elle propose la formulation suivante : « Le bulletin de vote est chiffré sur le poste de l'électeur et stocké dans l'urne, en vue du dépouillement, sans avoir été déchiffré à aucun moment, même de manière transitoire. »
Sur le dépouillement et la clôture du scrutin :
Concernant la procédure de scellement de l'urne électronique avant dépouillement, la commission prend acte que l'article 14 du décret du 26 mai 2011 mentionne le scellement de l'urne et de la liste d'émargement avant le dépouillement, mais ne mentionne pas la copie de tous les documents utiles pour le contrôle a posteriori. Elle prend également acte que l'article 14 (I) du décret dispose : « Le bureau de vote contrôle, avant le dépouillement, le scellement du système. »
En conséquence, il conviendrait de compléter l'article 14 du décret dans l'arrêté « modalités d'organisation » par l'adjonction de la phrase : « L'ensemble des informations nécessaires à un éventuel contrôle a posteriori doit également être recueilli lors de cette phase. »
Concernant l'article 40, alinéa 2, du projet d'arrêté « modalités d'organisation », la commission insiste sur la nécessité de détruire tous les fichiers supports dès l'expiration des délais de recours. Sur ce point, elle confirme qu'une conservation de ces fichiers pendant deux ans est contraire au III-2 de la recommandation de la CNIL du 21 octobre 2010.
En revanche, l'alinéa 3 de l'article 40 n'appelle aucune observation.
Autres recommandations de la CNIL :
La commission approuve l'article 23 du projet d'arrêté « modalités d'organisation », et surtout l'article 6 (II), troisième alinéa, du décret du 26 mai 2011 : « La mise en ligne des candidatures ne se substitue pas à l'affichage des candidatures dans des locaux facilement accessibles au personnel et auxquels le public n'a pas normalement accès. »
Elle regrette que l'article 27 du projet d'arrêté « modalités d'organisation » n'indique pas aux organisations syndicales comment elles peuvent déposer leurs candidatures ou leurs professions de foi, et particulièrement que le renvoi en annexe 2 ou 3 initialement prévu ait été oblitéré.
Elle attire l'attention du MENJVA sur les articles 20 à 22 de l'arrêté « modalités d'organisation » relatifs à l'attribution des clefs de chiffrement : ces articles devraient faire apparaître une fourchette du nombre de clefs susceptibles d'être attribuées lors de ces élections ainsi que du nombre de clefs nécessaires au dépouillement.
Enfin, sur la base de ces observations, et compte tenu du caractère exclusivement électronique de scrutin, la commission demande au ministère de lui communiquer un bilan détaillé des opérations électorales, à l'échéance des opérations de vote, afin d'apprécier les conditions de sécurité physique et logique mises en œuvre pour garantir effectivement la confidentialité des données traitées et les droits des personnes concernées.