Le vote électronique est-il autorisé ?

À ce jour, aucune convention n'a été signée par les DASEN, et nous avons reçu confirmation hier qu'il n'y en aura pas cette année. Cet article vise à vous informer des raisons techniques et légales qui empêchent des solutions de vote électronique, comme Votil, d'obtenir une convention de sous-traitance. Malgré ces obstacles, nous continuons à proposer nos services de vote électronique en toute transparence, car nous pensons que notre solution est fiable et parfaitement adaptée aux élections de représentants de parents d’élèves.

Les recommandations de la CNIL

Les recommandations de la CNIL de 2019 sur la sécurité des systèmes de vote par internet définissent des objectifs de sécurité ainsi que des solutions à mettre en place. Bien que notre logiciel soit bien plus sécurisé que le vote papier, il propose des alternatives pour répondre aux exigences de la CNIL. Cependant, un expert indépendant ne peut actuellement attester que ces solutions respectent incontestablement toutes les recommandations.

Problème d'authentification

L'une des principales difficultés concerne l'objectif de sécurité n°2-04, qui impose de s'assurer que les électeurs sont authentifiés de manière à limiter significativement les risques d’usurpation d’identité. La CNIL recommande de fournir l’identifiant et le mot de passe via deux canaux séparés, accompagné d'une question défi-réponse non triviale, dont seul le parent (et le responsable de traitement) connaît la réponse. Cependant, ce processus n'est pas réalisable pour aucun prestataire, car il ne permet pas de garantir l’identité de la personne qui répond et demande des informations personnelles auxquelles le prestataire n’a pas accès.

De plus, cette méthode est incompatible avec notre vision d’un logiciel simple et rapide à mettre en place pour les directeurs d’établissements. Par ailleurs, la liste électorale fournie par ONDE ne contient pas d’adresses e-mail, ce qui nécessiterait la collecte d'un second fichier avec des données sensibles, inutiles pour ces élections. En outre, certains parents ne possèdent pas d'adresse e-mail personnelle et l'on ne peut garantir la livraison d'un email, ce qui complique davantage la réception des informations de vote.

Le certificat électronique RGS : une option non viable

Une autre solution proposée par la CNIL est l’utilisation d’un certificat électronique RGS pour authentifier les électeurs. Cependant, cette méthode est inapplicable, tant pour des raisons budgétaires (environ 60€ par parent et par an) que logistiques, puisqu'elle nécessite un déplacement physique de chaque électeur et que le certificat expire rapidement, ce qui rend cette solution inefficace pour le vote électronique.

Nos solutions techniques

Notre solution permet aux directeurs d'invalider un identifiant en cas de perte ou de vol et intègre des mécanismes empêchant les tentatives multiples de mots de passe. De plus, nous utilisons des identifiants et codes PIN suffisamment longs pour réduire encore le risque d'usurpation d’identité.

Dépouillement et transparence

Un autre point soulevé par la CNIL concerne la vérification a posteriori du dépouillement (objectif 1-11). Si notre système permet de vérifier à tout moment le processus de vote, il ne permet pas de « rejouer » le dépouillement. Rejouer un dépouillement impliquerait de conserver les informations d’identité des électeurs, ce qui irait à l'encontre du principe de vote secret et de la démocratie. Même si ces données ne sont pas publiquement accessibles, elles pourraient l’être pour les administrateurs systèmes, le responsable de traitement ou l'hébergeur, ce qui pose un problème de confidentialité.

Conclusion

Notre priorité est de simplifier le processus électoral pour les directeurs d’établissement tout en respectant au mieux les recommandations de la CNIL. Nous cherchons un compromis qui puisse convenir à tous, tout en maintenant un haut niveau de sécurité. Les retours de nos utilisateurs actuels sont d’ailleurs très positifs, ce qui nous conforte dans notre approche.

Références

• Délibération de la CNIL du 25 avril 2019 relative à la sécurité de systèmes de vote par internet
• Article 5 de la loi du 21 décembre 2021 permettant la voie électronique sur décision du directeur après consultation du conseil d’école
• Arrêté du 2 juillet 2024 relatif aux conditions du vote électronique
• Registre de traitement - Votil
• Sécurité et intégrité du vote - Votil
• Politique de Confidentialité et de Protection des Données - Votil