Le 25 avril dernier, la Commission nationale de l’informatique et des libertés a adopté une nouvelle recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet.

Se faisant, la Cnil abroge la délibération du 21 octobre 2010 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique.

Cette nouvelle recommandation détermine les objectifs de sécurité auxquels les systèmes de vote électronique doivent se conformer au regard des risques qu’ils présentent.

A ce titre, la Commission propose une nouvelle méthodologie pour les responsables de traitement souhaitant recourir à un système de vote électronique.

Qu’apporte cette nouvelle recommandation relative à la sécurité des systèmes de vote électronique ? Mathias Avocats vous en dit plus.

Le vote électronique un traitement de données à caractère personnel

Rappelons que le vote électronique est un traitement de données à caractère personnel. Dès lors, les responsables de traitement doivent respecter les principes relatifs à cette opération au regard du règlement général sur la protection des données (RGPD).

Ainsi, le recours au système de vote électronique n’exclut en aucun cas les principes fondamentaux en matière de protection des données, lesquels figurent à l’article 5 du RGPD. Ces principes sont les suivants : la licéité, la loyauté, la limitation des finalités, la minimisation des données, l’exactitude des données, la conservation limitée des données et la sécurité des données.

En outre, le responsable de traitement devra procéder à une analyse d’impact relative à la protection des données compte tenu du contexte dans lequel le vote est réalisé, de la nature des données traitées (données relatives aux opinions politiques et appartenances syndicales notamment) et de l’existence d’une éventuelle collecte de données à grande échelle (nombre de personnes concernées, volume de données traitées, périmètre géographique du traitement, etc.).

Le périmètre de la nouvelle recommandation

Il convient de souligner que cette nouvelle recommandation a pour champ d’application « les dispositifs de vote par correspondance électronique, en particulier via Internet ».

Aucune définition de « vote par correspondance électronique » (ci-après le vote électronique) n’est insérée dans cette recommandation.

En revanche, la Commission précise que sont exclus « les dispositifs de vote par codes-barres, les dispositifs de vote par téléphone fixe ou mobile, ni les systèmes informatiques mis à disposition des votants sous forme de boîtiers de vote ou en isoloirs (dites « machines à voter ») ».

Les outils mis à disposition par la Cnil

Cette nouvelle recommandation s’accompagne d’une fiche pratique qui présente une méthodologie en deux temps.

Une grille d’analyse composée de questions fermées qui permettent de déterminer le niveau de sécurité que le système de vote électronique doit respecter.

A ce titre, la Commission identifie des objectifs de sécurité cumulables applicables à trois niveaux de risques. Ces objectifs permettent ainsi aux responsables de traitement de déterminer quel est le niveau de sécurité attendu, notamment au regard de leur obligation de sécurité prévue par le RGPD.

Vote électronique et exigences de sécurité

En application du RGPD, le responsable du traitement et au sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adaptées aux risques.

En matière de vote électronique, les exigences de sécurité sont déterminées en fonction du score de la grille d’analyse.

En ce sens, dans sa communication du 10 juillet 2019, la Commission énonce des seuils  :

  • Entre 0 et 2 points, la solution doit répondre aux objectifs de niveau 1 ;
  • Entre 3 et 6 points, la solution doit répondre aux objectifs de niveau 2 ;
  • Entre 7 et 10 points, la solution doit répondre aux objectifs de niveau 3.

Le recours à un expert indépendant

Dans sa communication du 10 juillet 2019, la Commission mentionne que « seule l’étude réalisée par les experts indépendants permettra d’assurer au responsable de traitement que l’objectif de sécurité énoncé est pleinement et correctement atteint ».

A ce titre, la nouvelle recommandation énonce que « tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire ».

Bien que le recours à un expert indépendant ne constitue pas une nouveauté pour les responsables de traitement, cette nouvelle recommandation du 25 avril 2019 apporte quelques précisions.

Tout d’abord, il est mentionné que pour les scrutins présentant un niveau de risques 2 ou 3, l’expert devra réaliser des audits sur la plateforme afin de s’assurer de la cohérence et de l’effectivité des solutions apportées par le biais de tests d’intrusions.

Cette exigence soulève des enjeux contractuels entre le responsable de traitement et les prestataires tels que la faculté d’audit du dispositif de vote par le responsable du traitement ou par un tiers mandaté par ce dernier, l’organisation des modalités d’audit, la prise en charge des éventuels frais de mise en conformité ou de renforcement des mesures de sécurité ou encore les modalités de résiliation du contrat si le système de vote ne peut être mis en conformité.

L’exigence d’expertise soulève également des enjeux contractuels entre le responsable du traitement et l’expert indépendant tels que la responsabilité (notamment si les mesures de sécurité sont jugées insatisfaisantes a posteriori), le périmètre de la mission ou encore l’assurance de l’expert.

Calendrier de mise en conformité

La Commission énonce que la recommandation « devra être prise en compte par les responsables de traitement après un délai transitoire de douze mois à compter de sa publication. ».

Cette nouvelle recommandation a été publiée au Journal Officiel le 21 juin 2019. Les responsables de traitement devront donc être en conformité à compter de juin 2020.

Toutefois, il convient de noter que la Commission n’apporte pas de précision sur les éventuels contrôles qu’elle pourrait mener pendant cette période transitoire.

Mathias Avocats reste à votre disposition pour échanger avec vous avant et vous accompagner dans vos projets.