La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics et le ministre des affaires sociales et de la santé d'une demande d'avis concernant un projet d'arrêté relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l'élection des membres au conseil d'administration de la Caisse nationale de retraite des agents des collectivités locales et portant création de traitements automatisés de données à caractère personnel correspondants ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu l'ordonnance n° 45-993 du 17 mai 1945 relative aux services publics des départements, des communes et de leurs établissements publics ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-173 du 7 février 2007 relatif à la Caisse nationale de retraite des agents des collectivités locales ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu la délibération n° 2010-371 du 21 octobre 2010 de la Commission portant recommandation relative à la sécurité des systèmes de vote électronique ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Sébastien HUYGHE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
Le 29 juillet 2014, le ministre des finances et des comptes publics et le ministre des affaires sociales et de la santé ont saisi conjointement la commission d'une demande d'avis concernant un projet d'arrêté relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l'élection des membres au conseil d'administration de la Caisse nationale de retraite des agents des collectivités locales (CNRACL), étant précisé que cet arrêté emporte également création des traitements automatisés de données à caractère personnel correspondants.
La commission relève que le projet d'arrêté soumis à son examen s'inscrit dans un cadre réglementaire en cours de contreseing et, en particulier, que l'article 7 d'un projet de décret en Conseil d'Etat modifiant le décret n° 2007-173 du 7 février 2007 relatif à la composition et aux modalités d'élection des membres du conseil d'administration de la CNRACL donnera une base légale au vote électronique précité.
Elle relève également que ce vote électronique se déroulera du 20 novembre 2014, à 9 heures, au 4 décembre 2014, à 18 heures.
A titre liminaire, la commission souligne qu'elle est très attentive aux conditions de développement du vote électronique. Compte tenu des risques particuliers que ces traitements peuvent présenter pour les personnes, comme la divulgation de leurs opinions politiques et syndicales ou la manipulation de leur droit de vote, la commission rappelle aux ministères à l'origine de sa saisine pour avis l'importance de s'assurer que des mesures de sécurité adéquates seront mises en place de manière effective par les collectivités concernées. A ce titre, la commission souhaite donc insister sur la nécessité de respecter sa recommandation du 21 octobre 2010 remplaçant sa recommandation du 1er juillet 2003. En outre, la commission tient à préciser qu'au cas par cas des mesures de sécurité additionnelles peuvent être prévues, comme par exemple la conduite d'une analyse de risques dans le cas d'élections de grande ampleur et/ou à fort enjeu national.
Sur le régime des formalités préalables applicable :
Le dispositif de vote par internet soumis à l'avis de la commission ne concerne pas uniquement les seuls agents des collectivités, dans la mesure où les bénéficiaires du régime de retraite percevant une pension ainsi que les bénéficiaires d'une pension de réversion sont également appelés à voter.
Dès lors, ce dispositif de vote par internet constitue un téléservice de l'administration au sens de l'article 27-11(4°) de la loi "Informatique et libertés" et il doit, par conséquent, faire l'objet d'une saisine pour avis de la commission avant sa mise en œuvre.
Sur la finalité :
Le projet d'arrêté soumis à la commission prévoit la création des traitements automatisés de données à caractère personnel nécessaire pour la mise en œuvre d'un dispositif de vote électronique par internet pour élire les membres au conseil d'administration de la CNRACL.
Dans ce cadre, le gestionnaire de la CNRACL, à savoir la Caisse des dépôts et consignations, est chargée de la mise en œuvre du système de vote électronique dans les conditions définies par le projet d'arrêté examiné.
L'article 1er du projet d'arrêté autorise ainsi la création par la Caisse des dépôts et consignations de deux traitements automatisés distincts et isolés, respectivement dénommés "fichier des électeurs" et "urne électronique" .
Le fichier des électeurs a pour finalité, pour chaque scrutin, de délivrer à chaque électeur à partir de la liste électorale son identifiant et son mot de passe nécessaires aux opérations de vote, d'identifier les électeurs ayant pris part à chaque scrutin et d'éditer chaque liste d'émargement.
L'urne électronique, quant à elle, est destinée à recueillir les votes exprimés pour chaque scrutin.
Ces développements du projet d'arrêté n'appellent pas d'observation de la commission.
Sur les acteurs de la mise en œuvre des traitements :
La préparation et l'organisation des élections doivent être assurées par la Caisse des dépôts et consignations en sa qualité de gestionnaire de la CNRACL.
La commission relève que la gestion et la maintenance du système de vote électronique par internet peuvent être confiées à un prestataire choisi par la Caisse des dépôts et consignations, sur la base d'un cahier des charges respectant les dispositions du projet d'arrêté examiné.
A ce titre, la commission attire l'attention des ministères concernés sur le fait qu'il conviendra, le cas échéant, de contractualiser les obligations incombant au prestataire en matière de sécurité et de confidentialité et de s'assurer de leur mise en application concrète.
Sur le caractère exclusif du vote électronique par internet :
L'article 2 du projet d'arrêté examiné par la commission prévoit que le vote électronique par internet peut, aux choix de chaque collectivité, constituer la modalité exclusive d'expression des suffrages ou l'une de ses modalités.
Lorsque plusieurs modalités d'expression des suffrages sont offertes aux électeurs, le projet d'arrêté prévoit que les modalités doivent être identiques pour tous les électeurs appelés à participer au même scrutin.
A cet égard, la commission rappelle les réserves qu'elle a déjà pu émettre sur le caractère exclusif d'un service organisé par l'administration rendu accessible uniquement par internet, au regard des risques inhérents au réseau et de la crainte que les électeurs peuvent exprimer envers le vote électronique.
La commission estime, compte tenu des risques particuliers que les systèmes de vote électronique par internet peuvent présenter pour les personnes et des risques liés à l'impossibilité d'accéder à ce mode de scrutin, que le projet d'arrêté devrait encourager la mise en place de dispositifs de vote alternatifs, notamment lorsqu'il existe des difficultés techniques et organisationnelles liées à la mise en œuvre du vote électronique.
Sur l'expertise indépendante du dispositif de vote électronique :
L'article 5 du projet d'arrêté prévoit et précise une procédure d'expertise indépendante du dispositif de vote électronique qui doit couvrir l'intégralité du dispositif installé avant le scrutin, les conditions d'utilisation du système de vote durant le scrutin, les conditions d'utilisation du poste dédié mentionné à l'article 17 du projet d'arrêté ainsi que les étapes postérieures au vote.
Le projet d'arrêté précise également que, pour procéder à cette expertise, l'expert indépendant ou le collège d'experts indépendants a accès aux codes source de chaque système de vote, aux mécanismes de scellement et de chiffrement, aux systèmes informatiques mis en place, à l'enregistrement des événements et anomalies ainsi qu'aux échanges réseaux. Dans le cadre de ses missions, l'expert indépendant a également accès aux différents locaux de l'administration où s'organisent les élections ainsi qu'aux locaux des entreprises prestataires.
La commission relève que le projet d'arrêté ne définit pas la notion d'indépendance et ses différents critères.
La commission tient à rappeler les critères de l'indépendance pour un expert extérieur, à savoir :
- être un informaticien spécialisé dans la sécurité ;
- ne pas avoir d'intérêt financier dans la société qui a créé la solution de vote à expertiser ni dans la société responsable de traitement qui a décidé d'utiliser la solution de vote ;
- posséder une expérience dans l'analyse des systèmes de vote, si possible en ayant expertisé les systèmes de vote électronique d'au moins deux prestataires différents ;
- avoir suivi la formation dispensée par la CNIL sur le vote électronique.
La commission estime que les critères de la notion d'indépendance devraient être précisés dans l'arrêté.
Elle prend également acte que le rapport d'expertise devra lui être adressé par la Caisse des dépôts et consignations.
Sur l'anonymat du scrutin :
Le projet d'arrêté précise en son article 2 que le vote est organisé dans le respect des principes fondamentaux qui commandent les opérations électorales, notamment la sincérité des opérations électorales, l'accès au vote de tous les électeurs, le secret du scrutin, le caractère personnel, libre et anonyme du vote, l'intégrité des suffrages exprimés, la surveillance effective du scrutin et le contrôle a posteriori par le juge de l'élection.
La commission relève que ces exigences sont par la suite rappelées ou précisées par d'autres articles du projet d'arrêté, notamment par ses articles 4-II et 16 qui précisent que les données contenues dans les fichiers ne doivent pas, d'une part, comporter de lien permettant l'identification des électeurs et, d'autre part, que l'identité d'un électeur ne peut être mise en relation avec l'expression de son vote, y compris après le dépouillement.
Il est également prévu par son article 16 que les employeurs concernés, lorsque les électeurs votent sur leur lieu de travail à partir d'un poste dédié, devront s'assurer du respect des conditions nécessaires à l'anonymat, à la confidentialité et au secret du vote.
La commission observe que les ministères ont pris la mesure de l'importance des dispositions relatives à l'anonymat du scrutin. A toutes fins utiles, elle attire néanmoins leur attention sur le risque d'atteinte au secret du vote s'agissant des votes émis par correspondance, dans la mesure où il est prévu, lorsque les enveloppes émaneront d'électeurs ayant participé au vote électronique par internet, que les enveloppes seront mises à part sans être ouvertes. La commission estime à cet égard qu'il conviendra impérativement de veiller à ne pas laisser ces enveloppes sans surveillance.
Sur le scellement du dispositif de vote électronique et la confidentialité des données :
Les dispositions de l'article 12-II du projet d'arrêté sur le scellement reprennent la recommandation de la CNIL de 2010.
Concernant la confidentialité des données, l'article 18-III prévoit l'information systématique et immédiate du bureau de vote en cas d'intervention sur le système de vote. Cette information n'est cependant pas automatisée comme prévue dans sa recommandation. La commission suggère donc au ministère que l'obligation d'information du bureau de vote soit renforcée en ajoutant l'obligation de prévoir un dispositif technique garantissant l'information automatique du bureau de vote en cas d'intervention sur le système de vote.
Sur la surveillance effective du scrutin :
L'article 5 du projet d'arrêté prévoit que les membres des bureaux de vote et les représentants des listes candidates bénéficient d'une formation sur le système de vote électronique par internet. Il prévoit également que les documents de présentation soient mis à leur disposition.
Le IV de son article 3 prévoit, quant à lui, la création d'une cellule d'assistance technique chargée de veiller au bon fonctionnement et à la surveillance du système de vote électronique par internet.
L'article 12 du projet d'arrêté impose, avant la tenue des opérations électorales, la réalisation de test sur les dispositifs de vote et de dépouillement, sous le contrôle de la Caisse des dépôts et consignations.
Chaque bureau de vote doit quant à lui vérifier, avant le scrutin, que les composantes du système de vote n'ont pas été modifiées, que les tests précités ont bien été réalisés, constater la présence des différents scellements et le bon fonctionnement des machines, que l'émargement est vierge et que l'urne électronique est bien vide.
Les bureaux doivent ensuite procéder au scellement du système de vote électronique par internet, de la liste des candidats, de la liste des électeurs, des heures d'ouverture et de fermeture du scrutin ainsi que du système de dépouillement.
La commission relève que la séance au cours de laquelle il est procédé à l'établissement et à la répartition des clés de scellement et de chiffrement est ouverte aux représentants des listes candidates.
L'article 18 du projet d'arrêté prévoit, durant le déroulement des opérations de vote, que la liste d'émargement et l'urne électronique font l'objet d'un procédé garantissant qu'elles ne peuvent être modifiées que par l'ajout d'un émargement et par l'ajout d'un bulletin émanant d'un électeur authentifié.
Cet article prévoit également que les interventions sur le système de vote électronique par internet sont réservées aux seules personnes chargées de la gestion et de la maintenance et ne peuvent avoir lieu qu'en cas de risque d'altération des données. Les bureaux de vote sont immédiatement tenus informés des interventions techniques sur le système de vote ainsi que des mesures prises pour remédier au dysfonctionnement ayant motivé l'intervention.
En cas de force majeure, de dysfonctionnement informatique, de défaillance technique ou d'altération des données d'un scrutin sous sa responsabilité, l'article 19 du projet d'arrêté prévoit que le bureau de vote est compétent pour prendre toute mesure d'information et de sauvegarde, y compris la suspension, l'arrêt ou la reprise des opérations de vote. S'il s'avère indispensable de prononcer l'arrêt d'un, de plusieurs ou de l'ensemble des scrutins, le bureau de vote peut procéder à l'annulation des élections concernées et peut prononcer la caducité des opérations électorales enregistrées.
Cette compétence s'exerce par le bureau de vote concerné, après avis de la cellule d'assistance technique, sous réserve que la décision prise n'ait aucune incidence sur l'opération électorale relevant de l'autre bureau. Si tel n'est pas le cas, la décision devra être prise de manière collégiale par les deux présidents des bureaux.
Dès la clôture du scrutin, le contenu de l'urne, les listes d'émargement et les états courants gérés par les serveurs sont figés, horodatés et scellés automatiquement, dans des conditions garantissant la conservation des données.
Après avoir procédé à la vérification de l'intégrité du système de vote et reçu les conclusions des experts précisant que la solution de vote n'a fait l'objet d'aucune altération, les membres du bureau du vote qui détiennent des clés de scellement et de chiffrement procèdent publiquement à l'ouverture de l'urne électronique en descellant le système de vote puis en activant les clés de scellement et de chiffrement.
Le dépouillement des suffrages exprimés ne peut intervenir qu'en présence du président du bureau de vote ou de son suppléant, après que le bureau aura contrôlé le scellement du système.
Le bureau de vote contrôle ensuite que la somme des suffrages exprimés émis par voie électronique correspond au nombre de votants de la liste d'émargement électronique. Après la décision de clôture du dépouillement prise par le président du bureau de vote, le système de vote électronique par internet est scellé.
La commission constate enfin que l'article 26 du projet d'arrêté impose à la Caisse des dépôts et consignations ou à son prestataire, le cas échéant, de conserver sous scellés, dans les conditions fixées aux articles L. 212-2 et L. 212-3 du code du patrimoine et au 5° de l'article 6 de la loi du 6 janvier 1978 modifiée, les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d'émargement, de résultats et de sauvegarde, jusqu'à l'épuisement des délais contentieux.
Au regard de l'ensemble de ces éléments, la commission estime qu'un contrôle actif de l'intégrité du scrutin est bien prévu. Elle rappelle toutefois qu'il conviendra de s'assurer que ces mesures seront effectivement respectées par les acteurs concernés.
Sur les données traitées :
L'article 9 du projet d'arrêté précise les données à caractère personnel enregistrées, à savoir :
1. Concernant les quatre premiers collèges : numéro de contrat d'immatriculation à la Caisse nationale de retraites des agents des collectivités locales, désignation complète de l'employeur, statut de l'employeur (hospitalier/territorial), adresse complète, quatre premiers chiffres du numéro de SIRET ;
2. Concernant les cinquième et sixième collèges :
- pour les listes électorales : numéro d'inscription sur la liste électorale, nom de famille suivi, le cas échéant, du nom d'usage ainsi que du ou des prénoms, numéro d'affilié pour le cinquième collège et numéro de pension pour le sixième collège ;
- pour le fichier des électeurs : nom de famille ou nom d'usage, prénoms (deux au maximum), code sexe (H/F), adresse postale personnelle complète, année de naissance, numéro de contrat d'immatriculation de l'employeur principal pour le cinquième collège, numéro de contrat d'affiliation à la Caisse nationale de retraites des agents des collectivités locales ou numéro de pension pour le sixième collège ;
- pour les listes d'émargement : les données sont identiques à celles prévues pour la liste électorale.
3. Concernant les candidats :
- pour les listes des candidats : nom, prénoms, date et lieu de naissance, corps ou cadre d'emplois d'appartenance, grade statutaire détenu, établissement employeur (numéro du département) ;
- pour les listes des résultats : listes ou sigles, voix obtenues et nombre des sièges obtenus.
La commission considère que ces données ne sont pas excessives au regard de la finalité pour laquelle elles sont collectées.
Sur les destinataires des données :
L'article 10 du projet d'arrêté précise les destinataires ou catégories de destinataires des données collectées, à savoir :
- pour les listes électorales : électeurs concernés par le scrutin, organisations candidates au scrutin ;
- pour le fichier des électeurs : chaque électeur pour les informations le concernant ;
- pour les listes d'émargement membres du bureau de vote électronique compétent pour le scrutin concerné
- pour les listes des candidats : électeurs concernés par le scrutin, organisations candidates au scrutin ;
- pour les listes des résultats : électeurs, administration chargée de la mise en œuvre du vote électronique, membres du bureau de vote électronique compétent pour le scrutin concerné.
La commission relève que le projet d'arrêté prévoit également, en cas de contestation des élections, que ces pièces sont tenues à la disposition du juge de l'élection.
La commission estime que ces destinataires présentent un intérêt légitime à accéder aux données qui leur sont transmis.
Sur la durée de conservation des données :
Tel que précisé précédemment, les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d'émargement, de résultats et de sauvegarde, jusqu'à l'épuisement des délais contentieux.
Au terme de ce délai et si aucune action contentieuse n'a été engagée, la Caisse des dépôts et consignations procède à la destruction des fichiers supports. Seuls sont conservés les listes de candidats avec déclarations de candidatures et professions de foi, les procès-verbaux de l'élection ainsi que les actes de nomination des membres des bureaux de vote.
La commission estime que les données sont conservées pendant une durée qui n'excède pas la durée nécessaire à l'accomplissement de la finalité poursuivie.
Sur l'information des personnes :
Une notice d'information détaillée sur le déroulement des opérations électorales sera envoyée à chaque électeur au plus tard le 17 novembre 2014.
Afin de renforcer l'information des électeurs, la commission estime qu'il serait opportun que cette notice d'information soit également accessible sur internet.
Par ailleurs, l'article 7 du projet d'arrêté prévoit la création, par la Caisse des dépôts et consignations, d'une une plate-forme d'assistance téléphonique chargée de répondre aux questions des électeurs pendant toute la période de vote, étant précisé que cette mission peut-être confiée à un prestataire.
En dehors de son observation relative à la diffusion de la notice d'information, la commission estime que les modalités d'information des personnes sont satisfaisantes.
Sur les droits des personnes :
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du service chargé de l'organisation du scrutin concerné, par voie dématérialisée.
A ce titre, la commission estime qu'il serait opportun de prévoir que les demandes de droits d'accès ou de rectification puissent également intervenir et être satisfaites par voie postale.
Elle relève d'ailleurs que les demandes de réattribution des moyens d'identification et d'authentification peuvent, quant à elles, intervenir par voie postale, électronique ou téléphonique et qu'elles sont satisfaites par courrier jusqu'à dix jours avant la clôture du scrutin, ou par voie électronique jusqu'à vingt-quatre heures avant la clôture du scrutin.
Le droit d'opposition, prévu à l'article 38 de la loi du 6 janvier 1978 précitée, ne s'applique pas au présent traitement.
Cette exclusion du droit d'opposition n'appelle pas d'observation de la commission.
Sur les procédés d'authentification :
L'article 11 prévoit les principes de mise à disposition des moyens d'authentification des électeurs conformément aux recommandations de la CNIL.
La commission considère que cet article pourrait préciser plus clairement que le choix des moyens d'authentification doit protéger contre l'usurpation d'identité. A ce titre, la commission propose d'ajouter que : "Ce moyen d'authentification permet au serveur de vérifier son identité et qu'une personne non autorisée ne puisse se substituer frauduleusement à l'électeur. Il garantit également l'unicité de son vote".
Par ailleurs, la CNRACL a indiqué que le dispositif pratique impliquait l'envoi de l'identifiant et du mot de passe dans le même courrier, sans mesure compensatoire permettant de limiter les risques d'usurpation d'identité. Ce point n'est pas conforme aux recommandations de la commission qui spécifie un envoi par deux canaux différents pour les deux éléments.
L'article 17 spécifie le processus d'authentification qui prévoit, en plus de l'utilisation de son identifiant et de son mot de passe, de répondre à une question personnelle, conformément aux recommandations de la CNIL.
La CNRACL a cependant indiqué à la commission de prévoir d'utiliser le numéro SIRET pour les entreprises et l'année de naissance pour les personnes physiques.
La commission tient à souligner le caractère public de ces éléments et recommande l'utilisation d'une question ayant une réponse plus confidentielle, dans l'idéal connue uniquement de l'électeur et des responsables de l'élection.
Sur les clés de chiffrement et le dépouillement :
Les articles 12-111, 13 et 14 du projet d'arrêté fixent les modalités d'établissement, de répartition et d'attribution des clés de chiffrement/déchiffrement. Il précise les conditions de création de celles-ci et qui doit les détenir.
Par ailleurs, la recommandation de la CNIL mentionne que "l'établissement des clés est public de manière à prouver de façon irréfutable que seuls les détenteurs de ces clés (…) en ont connaissance à l'exclusion de toute autre personne" .
La commission note que la CNRACL a choisi une publicité limitée aux représentants des candidats. Par ailleurs, la rédaction de l'arrêté laisse partiellement la possibilité de clés générées par le prestataire en amont et distribuées en séance publique.
La commission propose donc que ce point soit précisé dans l'article 12 : "Les clés de chiffrement utilisées pour le chiffrement des bulletins et le dépouillement de l'urne sont générées avant l'ouverture du scrutin en présence des membres du bureau de vote."
La commission tient à rappeler la nécessité de prévoir, pour la procédure d'établissement des clés de chiffrement, des mesures de sécurité adaptées aux risques associés au scrutin, notamment en matière de confidentialité.
Sur le chiffrement du bulletin de vote :
Le chiffrement du bulletin de vote est mentionné à plusieurs reprises dans le projet d'arrêté, notamment à l'article 17-3.
La formulation retenue ne permet cependant pas de garantir que le bulletin sera chiffré sur le poste de l'électeur et qu'il ne sera pas déchiffré jusqu'au dépouillement comme cela est précisé dans la recommandation de 2010 de la CNIL.
La commission suggère que la mention du chiffrement sur le poste de l'électeur figure dans l'arrêté, compte tenu de l'importance de cette mesure, et soit complétée de la manière suivante :"Le bulletin de vote est chiffré sur le poste de l'électeur et stocké dans l'urne, en vue du dépouillement, sans avoir été déchiffré à aucun moment, même de manière transitoire."
Sur le dépouillement et la clôture du scrutin :
L'article 24 du projet d'arrêté mentionne le scellement de l'urne et de la liste d'émargement avant le dépouillement mais ne mentionne pas la copie de tous les documents utiles pour le contrôle a posteriori listés à l'article 26.
La commission propose en conséquence au ministère de préciser l'article 24 en ajoutant la phrase : "L'ensemble des informations nécessaires à un éventuel contrôle a posteriori doit également être recueilli lors de cette phase."