Introduction
Les élections en ligne organisées par Votil sont sécurisées et garantissent l'intégrité du vote. Nous mettons tout en œuvre pour garantir la confidentialité des données et la transparence du processus électoral.
Dans ce cadre, nous respectons les exigences du RGPD et les recommandations de la CNIL de niveau 2 adaptées au vote électronique pour les élections de représentants de parents d'élèves.
RGPD
Le Règlement Général sur la Protection des Données (RGPD) est une réglementation européenne qui vise à protéger les données personnelles des citoyens de l'Union Européenne. Votil est conforme au RGPD et s'engage à protéger les données personnelles des utilisateurs.
Pour en savoir plus, vous pouvez consulter notre registre des traitements.
Recommandations de la CNIL
La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié des recommandations pour le vote électronique. Votil respecte les objectifs liés à ces recommandations en proposant des solutions adaptées aux élections de représentants de parents d'élèves.
Objectifs de sécurité
Pour garantir les élections de représentants de parents d'élèves, les objectifs de sécurité sont ceux des niveaux 1 et 2 proposés par la CNIL. Les solutions mises en place par Votil incluent sans s'y limiter les suivantes :
| N° | Objectif CNIL | Solution Votil |
|---|---|---|
| 1-01 | Mettre en œuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l'éditeur et/ou rendue publique par des tiers). | Utilisation de frameworks récents et à jour avec des bibliothèques de sécurité telles que Bcrypt pour le hachage des mots de passe. Le https garantit l'impossibilité d'interception. Notre hébergeur Clever Cloud en tant que PaaS et DBaaS nous garantit les mises à jour de sécurité au niveau du système d'exploitation, du SGBD etc. |
| 1-02 | Définir le vote d'un électeur comme une opération atomique comprenant le choix, la validation, l'enregistrement du bulletin dans l'urne, l'émargement et la délivrance d'un récépissé. | Le système effectue toutes les actions sans discontinuité jusqu'à la délivrance du récepissé. Le vote n'arrive à la base de données qu'après traitement et anonymisation, en effet la quantité de vote par liste est isolée de l'émargement du parent. |
| 1-03 | Authentifier les électeurs en s'assurant que les risques majeurs liés à une usurpation d'identité sont réduit de manière significative. | L'électeur s'authentifie à l'aide d'un couple identifiant et mot de passe personnel. En cas de perte ou de vol de son moyen d'authentification, le parent a la possibilité de demander au directeur la réédition de son étiquette, ceci aura pour effet de rendre invalide l'ancienne étiquette et d'en générer une nouvelle que le directeur pourra transmettre par le bias de l'enfant, par envoi postal ou par email. De plus, au bout de 3 erreurs dans un mot de passe, un temps d'attente de 2 min est exigé. Ceci rend impossible les attaques "bruteforce". |
| 1-04 | Assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant. | Le bulletin est chiffré pendant son envoi par le protocole HTTPS. |
| 1-05 | Assurer la stricte confidentialité et l'intégrité du bulletin pendant son transport. | De la même manière l'intégrité pendant le transport est garantie par le HTTPS via un certificat SSL. |
| 1-07 | Assurer l'étanchéité totale entre l'identité de votant et l'expression de son vote pendant toute la durée du traitement. | Les valeurs de nombre de votes pour chaque liste et d'émargement sont stockées séparément. En effet, un booléen et une date permettent de savoir quand et si le parent a voté mais en aucun cas le choix qu'il a fait. Le choix est bel est bien enregistré de façon non horodatée via l'incrémentation d'une valeur associée à la liste. |
| 1-08 | Renforcer la confidentialité et l'intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d'un seuil de secret déterminé. | Le dépouillement en mode production n'est pas possible avant la date de clôture du scrutin, ce qui garantit que personne ne peut faire de dépouillement avant la date de clôture prévue. Une erreur dans la date de clôture définie qu'elle soit volontaire ou involontaire rendrait les résultats invalides aux yeux du bureau de vote. De plus aucun vote n'est possible après la date de clôture même si le dépouillement n'est pas encore fait. Ainsi le scellement des résultats automatique permet de garantir la confidentialité et l'intégrité des données. |
| 1-09 | Définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin. | Ceci est garanti par le système CF. Objectif n°1-08. |
| 1-10 | Assurer l'intégrité du système, de l'urne et de la liste d'émargement. | Le système a été vérifié et peut être à nouveau vérifié par un RSSI ou un expert indépendant. |
| 1-11 | S'assurer que le dépouillement de l'urne puisse être vérifié a posteriori. | Le système gérant le vote peut être vérifié à tout moment, ce qui ne signifie pas que le dépouillement peut être rejoué. En effet, la possibilité de rejouer le dépouillement irait à l'encontre de la démocratie car elle impliquerait que l'identité du votant soit connue et enregistrée. Cela signifie que même si non rendue publique, l'enregistrement en base de données permettrait l'accès aux données aux administrateurs systèmes, au responsable de traitement ou à l'hébergeur. |
| 2-01 | Assurer une haute disponibilité de la solution. | Le système est tel que nous pouvons prévoir le nombre de personnes que devra accueillir le logiciel, nous pouvons ainsi dimensionner l'infrastructure au moyen de tests de charge. De plus, notre hébergeur nous permet de mettre en place un autoscaling qui signifie l'adaptation dynamique de l'infrastructure au trafic reçu. Lorsqu'un pic de charge est observé, un nouveau serveur est ainsi automatiquement déployé et ceci dans des limites inatteignables par un logiciel de ce type. De plus une redondance supplémentaire sera mise en place lors de l'élection au niveau de la base de données permettant des solutions de secours en cas de défaillance. |
| 2-02 | Assurer un contrôle automatique de l'intégrité du système, de l'urne et de la liste d'émargement. | Le contrôle automatique de l'intégrité du système est effectué par une simple comparaison. La quantité de votes cumulés dans toutes les listes et le nombre de parents ayant voté. |
| 2-03 | Permettre le contrôle automatique par le bureau électoral de l'intégrité de la plateforme de vote pendant tout le scrutin. | Le contrôle est permis par l'interface de suivi qui permet de suivre le taux de participation et la feuille d'émargement. |
| 2-04 | Authentifier les électeurs en s'assurant que les risques majeurs et mineurs liés à une usurpation d'identité sont réduits de manière significative. | Un certificat RGS individuel coûte au minimum 60€ par an et par électeur et nécessite une vérification d'identité poussée demandant une vérification présentielle individuelle appuyée par une autorité de certification, qui n'est donc pas réalisable pour aucun prestataire. Bien que cela ne soit pas la solution la plus adaptée selon nous, il est possible de transmettre via 2 canaux différents l'identifiant et le mot de passe et de faire expirer le moyen d'authentification en cas de perte ou de vol. En revanche, il est impossible de proposer une question défi-réponse non triviale dont seul le responsable légal de l'enfant et le responsable de traitement ont connaissance. En effet, pour obtenir ces informations il faudrait d'abord les collecter, mais il est impossible de garantir à 100% que la donnée soit entrée par la bonne personne. Sachant cela, nous renvoyons au point 1-03. |
| 2-06 | Utiliser un système d'information mettant en œuvre les mesures de sécurité physique et logique recommandées par les éditeurs et l'ANSSI. | Des mesures de mise à jour et de sécurité sont prises pour garantir la sécurité du système conformément aux recommandations de l'ANSSI. |
| 2-07 | Assurer la transparence de l'urne pour tous les électeurs. | Un UUID est généré et confié au parent dans son récepissé pour attester de la réception de son vote. L'ensemble des UUID sont pubics et consultables ici. Voici à quoi ressemble un UUIDV4 : b65563ba-20df-4b6e-89b4-708d6ff4f5fe |
Conclusion
Votil s'engage à garantir la sécurité et l'intégrité des élections en ligne. Nous mettons en place des solutions techniques et organisationnelles pour protéger les données personnelles des utilisateurs.
Pour toute question relative à la sécurité et à l'intégrité du vote, vous pouvez nous contacter à l'adresse suivante contact@votil.fr ou via notre formulaire de contact.
Des informations complémentaires sont également disponibles dans notre politique de confidentialité.