Après avoir entendu Mme Dominique CASTERA, commissaire, en son rapport, et Mme Catherine POZZO DI BORGO, commissaire adjoint du Gouvernement, en ses observations,
Emet l'avis suivant :
La Fédération des tiers de confiance (FNTC) a saisi pour avis la commission sur son projet de label « E-vote », composé des documents suivants :
- le règlement du label ;
- le référentiel, composé de 122 exigences ;
- la grille et le guide d'audit.
Sur la procédure mise en œuvre par la FNTC :
La CNIL a constaté que, pour créer son label, la FNTC s'était fondée principalement sur la recommandation de la commission du 21 octobre 2010 relative à la sécurité des systèmes de vote électronique. La FNTC a, notamment, réduit volontairement le périmètre de son label pour reprendre les réserves formulées dans la recommandation susvisée en prévoyant d'introduire son référentiel par le passage qui suit :
« Le présent référentiel n'est pas conçu pour garantir la sécurité des solutions de vote potentiellement utilisées lors des élections politiques, où le vote à l'isoloir est le seul garant de la sincérité du scrutin. Il vise les solutions de vote par Internet venant ouvrir un nouveau canal pour les élections où le vote par correspondance est déjà possible : par courrier, par téléphone ou par tout autre moyen.
Pour ces élections (ordres professionnels, représentants du personnel, mutuelles…), le législateur, en autorisant le vote par correspondance, a accepté un niveau de sécurité moins exigeant de façon à favoriser une plus large participation. »
Partant de ce postulat, la FNTC décrit, dans ses trois documents, les fonctionnalités de base attendues dans toute solution de vote par Internet pour assurer un niveau de fiabilité équivalent aux recommandations de la commission. L'ensemble de ces textes lui permettra de délivrer des labels aux prestataires de vote électronique sur la base d'un rapport qu'elle fera réaliser par un organisme tiers, appelé le COREF.
Pour être candidats à ce label « E-vote », les organismes ne doivent pas obligatoirement être adhérents à la FNTC. Par conséquent, tout prestataire, éditeur de solutions de vote électronique, peut prétendre à ce label. En outre, l'appartenance éventuelle à la FNTC d'un éditeur de solutions de vote ne préjuge pas de sa capacité à obtenir la certification « E-vote » pour les solutions qu'il propose.
Sur les vérifications effectuées dans le cadre de l'examen de conformité à la loi du 6 janvier 1978 modifiée :
A l'appui de sa demande, la FNTC a, en particulier, apporté des précisions à la commission :
- sur la notion de « secret du vote » qui a été remplacée, dans le cadre du vote électronique et en l'absence d'isoloir, par les notions de « confidentialité » et d'« anonymat » ;
- sur la nécessité d'analyser la documentation du prestataire afin de s'assurer qu'il a prévu d'informer ses clients des recommandations de la CNIL, notamment en matière d'envoi des identifiants au moyen de deux canaux différents ou de conservation sécurisée, et séparée, des morceaux de clés de chiffrement ;
- sur l'ouverture du label aux solutions cryptographiques de vote.
Sur les résultats de l'examen de conformité à la loi du 6 janvier 1978 modifiée :
L'examen des documents présentés met en évidence que :
- le référentiel, définissant les attentes relatives aux solutions de vote par Internet, se fonde sur la délibération de la CNIL n° 2010-371 du 21 octobre 2010 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique ;
- la grille et le guide d'audit, permettant aux experts du COREF de connaître la liste des objectifs de contrôle, recensent de manière exhaustive les points d'analyse à prévoir pour chacune des exigences inscrites dans le référentiel ;
- le règlement du label, expliquant la procédure de labellisation, prévoit une attention particulière à porter aux décisions et recommandations de la commission.
Il résulte donc de l'examen de ces trois documents qu'ils satisfont aux exigences de la loi du 6 janvier 1978 modifiée.
En conséquence, la commission est d'avis que le projet d'attribution du label « E-vote » de la FNTC est conforme aux dispositions de la loi du 6 janvier 1978 modifiée.
Cette délibération sera publiée au Journal officiel de la République française.