Le 21 juin 2019, la nouvelle recommandation de la Commission nationale de l’informatique et des libertés sur la sécurité des systèmes de vote électronique était publiée au Journal officiel de la République française (Délibération n° 2019-053 du 25 avril 2019).

Au terme de cette délibération, une période transitoire de douze mois avait été accordée par la Commission afin que les responsables de traitement puissent prendre en compte cette recommandation. Cette période transitoire s’est donc achevée le mois dernier.

Sur le fond, cette recommandation détermine les objectifs de sécurité auxquels les systèmes de vote électronique doivent se conformer au regard des risques qu’ils présentent. A ce titre, la Commission propose une nouvelle méthodologie pour les responsables de traitement souhaitant recourir à un système de vote électronique.

Un traitement de données à caractère personnel

Rappelons que la gestion d’opérations de vote électronique implique la mise en œuvre d’un traitement de données à caractère personnel. Dès lors, les responsables de traitement doivent respecter les principes relatifs à cette opération au regard du règlement général sur la protection des données (RGPD).

Ainsi, le recours au système de vote électronique n’exclut en aucun cas les principes fondamentaux en matière de protection des données, lesquels figurent à l’article 5 du RGPD. Ces principes sont les suivants : la licéité, la loyauté, la limitation des finalités, la minimisation des données, l’exactitude des données, la conservation limitée des données et la sécurité des données.

En outre, le responsable de traitement devra procéder à une analyse d’impact relative à la protection des données compte tenu du contexte dans lequel le vote est réalisé, de la nature des données traitées (données relatives aux opinions politiques et appartenances syndicales notamment) et de l’existence d’une éventuelle collecte de données à grande échelle (nombre de personnes concernées, volume de données traitées, périmètre géographique du traitement, etc.).

Le périmètre de la recommandation

La recommandation a pour champ d’application « les dispositifs de vote par correspondance électronique, en particulier via Internet ».

Aucune définition de « vote par correspondance électronique » (ci-après le vote électronique) n’est insérée dans ladite recommandation. En revanche, la Commission précise que sont exclus « les dispositifs de vote par codes-barres, les dispositifs de vote par téléphone fixe ou mobile, ni les systèmes informatiques mis à disposition des votants sous forme de boîtiers de vote ou en isoloirs (dites « machines à voter ») ».

Vote électronique et exigences de sécurité

En application du RGPD, le responsable du traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adaptées aux risques.

S’agissant du vote électronique, la Cnil présente une méthodologie en deux temps. Une grille d’analyse composée de questions fermées permet de déterminer le niveau de sécurité que le système de vote électronique doit respecter.

A ce titre, la Commission identifie des objectifs de sécurité cumulables applicables à trois niveaux de risques. Ces objectifs permettent ainsi aux responsables de traitement de déterminer quel est le niveau de sécurité attendu, notamment au regard de leur obligation de sécurité prévue par le RGPD.

Ensuite, les exigences de sécurité à satisfaire sont déterminées en fonction du score de la grille d’analyse.

En ce sens, dans sa communication du 10 juillet 2019, la Commission énonce des seuils  :

  • Entre 0 et 2 points, la solution doit répondre aux objectifs de niveau 1 ;
  • Entre 3 et 6 points, la solution doit répondre aux objectifs de niveau 2 ;
  • Entre 7 et 10 points, la solution doit répondre aux objectifs de niveau 3.

Le recours à un expert

Dans sa communication du 10 juillet 2019, la Commission mentionne que « seule l’étude réalisée par les experts indépendants permettra d’assurer au responsable de traitement que l’objectif de sécurité énoncé est pleinement et correctement atteint ».

A ce titre, la recommandation énonce que « tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire ».

Bien que le recours à un expert indépendant ne constitue pas une nouveauté pour les responsables de traitement, cette recommandation du 25 avril 2019 apporte quelques précisions.

Tout d’abord, il est mentionné que pour les scrutins présentant un niveau de risques 2 ou 3, l’expert devra réaliser des audits sur la plateforme afin de s’assurer de la cohérence et de l’effectivité des solutions apportées par le biais de tests d’intrusions.

Cette exigence soulève des enjeux contractuels entre le responsable de traitement et les prestataires tels que la faculté d’audit du dispositif de vote par le responsable du traitement ou par un tiers mandaté par ce dernier, l’organisation des modalités d’audit, la prise en charge des éventuels frais de mise en conformité ou de renforcement des mesures de sécurité ou encore les modalités de résiliation du contrat si le système de vote ne peut être mis en conformité.

L’exigence d’expertise soulève également des enjeux contractuels entre le responsable du traitement et l’expert indépendant tels que la responsabilité (notamment si les mesures de sécurité sont jugées insatisfaisantes a posteriori), le périmètre de la mission ou encore l’assurance de l’expert.

Mathias Avocats reste à votre disposition pour vous accompagner dans vos démarches de conformité.