Ordre des infirmiers : élection sous contrôle de la CNIL

La CNIL a rendu le 21 février 2008, un avis sur le projet du minis­tère de la santé d’orga­ni­ser un vote électronique à l’occa­sion des élections aux conseils dépar­te­men­taux, régio­naux et natio­naux de l’ordre des infir­miers qui vien­nent d’être créés.

Ces élections, pré­vues par un arrêté du minis­tère de la santé du 13 mars 2008, cons­ti­tuent une des plus gran­des opé­ra­tions de vote électronique jamais orga­ni­sée puis­que près de 500 000 électeurs sont concer­nés du 9 au 24 avril 2008. La CNIL s’est féli­ci­tée que le dis­po­si­tif de vote retenu reprenne ces pré­co­ni­sa­tions émises dans sa recom­man­da­tion du 1er juillet 2003 sur la sécu­rité des sys­tè­mes de vote électronique. Ainsi, une exper­tise appro­fon­die du sys­tème de vote a été effec­tuée et ses résul­tats ont été trans­mis à la Commission. Une seconde exper­tise du sys­tème de vote, cette fois dans l’envi­ron­ne­ment d’exé­cu­tion, vien­dra com­plé­ter la pre­mière.

Le dos­sier pré­senté par le minis­tère com­porte dif­fé­ren­tes mesu­res de sécu­rité telles que : le ver­rouillage des ser­veurs, le mas­quage des codes envoyés aux électeurs, le chif­fre­ment de l’urne électronique, les clefs électroniques de dépouille­ment ou la conser­va­tion des éléments tech­ni­ques du sys­tème jusqu’à l’expi­ra­tion des délais de recours.

Deux points ont appelé des remar­ques de la CNIL

Le pre­mier concerne le scel­le­ment de l’urne électronique qui est garanti par un sys­tème qui répar­tit les mots de passe d’accès aux dif­fé­rents ser­veurs entre les admi­nis­tra­teurs du pres­ta­taire et un huis­sier dési­gné. La CNIL a consi­déré que ce par­tage des mots de passe était une garan­tie sup­plé­men­taire pour assu­rer la sécu­rité du sys­tème de vote mais a recom­mandé au minis­tère que soient mis en place des moyens pour assu­rer un réel scel­le­ment de l’urne afin que son contenu ne puisse être modi­fié que par l’ajout de votes expri­més par des électeurs habi­li­tés.

Par ailleurs, même si le bul­le­tin de vote sera trans­mis au tra­vers d’un canal sécu­risé et qu’il sera stocké de façon chif­frée dans l’urne, la CNIL a estimé que ce dis­po­si­tif n’assu­rait pas com­plè­te­ment l’inté­grité et la confi­den­tia­lité du vote. En effet, il ne permet pas de garan­tir un chif­fre­ment sans inter­rup­tion du bul­le­tin de vote entre son émission et sa récep­tion dans l’urne électronique.

Dans le cadre de ces élections, la CNIL a effec­tué plu­sieurs contrô­les sur place afin de s’assu­rer des moda­li­tés effec­ti­ves du vote.

Lien : http://www.cnil.fr/index.php?id=2422

**********************************************************

Texte paru au JORF n°0070 du 22 mars 2008

Délibération n° 2008-052 du 21 février 2008 por­tant avis sur la mise en place d’un trai­te­ment auto­ma­tisé de don­nées à carac­tère per­son­nel pour les élections par voie électronique des conseils de l’ordre des infir­miers (dos­sier n° 1271802) NOR : CNIX0806772X

La Commission natio­nale de l’infor­ma­ti­que et des liber­tés,

Vu la conven­tion n° 108 du Conseil de l’Europe pour la pro­tec­tion des per­son­nes à l’égard du trai­te­ment auto­ma­tisé des don­nées à carac­tère per­son­nel ;

Vu la direc­tive 95 / 46 / CE du Parlement euro­péen et du Conseil du 24 octo­bre 1995 rela­tive à la pro­tec­tion des per­son­nes phy­si­ques à l’égard du trai­te­ment de don­nées à carac­tère per­son­nel et à la libre cir­cu­la­tion de ces don­nées ;

Vu la loi n° 78-17 du 6 jan­vier 1978 rela­tive à l’infor­ma­ti­que, aux fichiers et aux liber­tés, modi­fiée en 2004, notam­ment ses arti­cles 27-II (4°) et 35 ;

Vu le décret n° 2005-1309 du 20 octo­bre 2005 pris pour l’appli­ca­tion de la loi n° 78-17 du 6 jan­vier 1978 rela­tive à l’infor­ma­ti­que, aux fichiers et aux liber­tés, modi­fié en 2007 ;

Vu le décret n° 2007-554 du 13 avril 2007 rela­tif aux moda­li­tés d’élection par voie électronique des conseils de l’ordre des infir­miers et modi­fiant le code de la santé publi­que ;

Vu la déli­bé­ra­tion n° 03-036 du 1er juillet 2003 por­tant adop­tion d’une recom­man­da­tion rela­tive à la sécu­rité des sys­tè­mes de vote électronique ;

Sur le rap­port de Mme Isabelle Falque-Pierrotin, com­mis­saire, et les obser­va­tions de Mme Pascale Compagnie, com­mis­saire du Gouvernement,

Emet l’avis sui­vant :

La direc­tion de l’hos­pi­ta­li­sa­tion et de l’orga­ni­sa­tion des soins du minis­tère de la santé, de la jeu­nesse et des sports a saisi la Commission, confor­mé­ment au 4° du II de l’arti­cle 27 de la loi du 6 jan­vier 1978 modi­fiée, d’un dos­sier de demande d’avis et d’un projet d’arrêté por­tant créa­tion du trai­te­ment rela­tif à l’orga­ni­sa­tion pra­ti­que des opé­ra­tions de vote électronique qui concer­ne­ront à la fois les conseils dépar­te­men­taux, régio­naux et natio­naux des infir­miers.

Ce projet d’arrêté est également pris en appli­ca­tion de l’arti­cle D. 4311-82 du code de la santé publi­que ins­ti­tué par le décret n° 2007-554 du 13 avril 2007 rela­tif aux moda­li­tés d’élection par voie électronique des conseils de l’ordre des infir­miers et modi­fiant le code de la santé publi­que.

Sur le projet d’arrêté :

La com­mis­sion se féli­cite qu’après le décret l’arrêté s’ins­pire lar­ge­ment des pré­co­ni­sa­tions de la recom­man­da­tion de la CNIL rela­tive à la sécu­rité des sys­tè­mes de vote électronique du 1er juillet de 2003.

En par­ti­cu­lier, elle prend acte que le projet de d’arrêté pré­voit que :

― les codes d’iden­ti­fi­ca­tion et mots de passe sont recou­verts, une fois impri­més, d’un masque per­met­tant de garan­tir l’inté­grité et la confi­den­tia­lité de ces infor­ma­tions ;

― l’iden­ti­fiant de chaque électeur est unique ;

― les mots de passe sont géné­rés de manière aléa­toire et immé­dia­te­ment chif­frés. Seul le résul­tat du chif­fre­ment est stocké ;

― afin de garan­tir la confi­den­tia­lité, la sin­cé­rité, le contrôle et la sécu­rité des élections, une exper­tise est effec­tuée par un orga­nisme indé­pen­dant préa­la­ble­ment au vote ;

― les urnes sont chif­frées dès leur créa­tion. Dès la clô­ture du scru­tin, le contenu de l’urne, les listes d’émargement et les états cou­rants gérés par les ser­veurs sont figés, horo­da­tés et scel­lés auto­ma­ti­que­ment.

La com­mis­sion prend acte que le projet d’arrêté por­tant créa­tion du trai­te­ment fait appel pour sa mise en œuvre à un pres­ta­taire, confor­mé­ment aux dis­po­si­tions de l’arti­cle 35 de la loi du 6 jan­vier 1978.

La com­mis­sion prend également acte que le projet d’arrêté pré­voit les don­nées trai­tées, les des­ti­na­tai­res de ces don­nées ainsi que les droits d’accès et de rec­ti­fi­ca­tion.

Sur l’exper­tise :

L’exper­tise préa­la­ble du sys­tème de vote trans­mise à la Commission a conduit à une revue du code source sur cer­tains pro­gram­mes du logi­ciel ; elle doit également être com­plé­tée par une exper­tise du sys­tème de vote dans son envi­ron­ne­ment d’exé­cu­tion. La com­mis­sion prend acte que le résul­tat de cette exper­tise lui sera com­mu­ni­qué.

Sur les scel­le­ments du dis­po­si­tif :

La recom­man­da­tion de la CNIL du 1er juillet 2003 rela­tive à la sécu­rité des sys­tè­mes de vote électronique rap­pelle l’impor­tance du scel­le­ment de l’ensem­ble du dis­po­si­tif de vote, com­por­tant à la fois le logi­ciel et l’urne électronique.

La pro­cé­dure de scel­le­ment permet de déce­ler toute modi­fi­ca­tion ulté­rieure du sys­tème. La véri­fi­ca­tion du scel­le­ment doit pou­voir se faire à tout moment et par tout électeur.

S’agis­sant du scel­le­ment du logi­ciel, la pro­cé­dure rete­nue par le pres­ta­taire consiste à effec­tuer une copie du pro­gi­ciel, des sour­ces du pro­gramme ainsi que de ses fichiers annexes et à les dépo­ser chez un huis­sier. Cette pro­cé­dure appa­raît comme lourde et ina­dap­tée un contrôle en temps réel du logi­ciel lors des opé­ra­tions de vote. Dès lors, la com­mis­sion recom­mande que ce dis­po­si­tif soit com­plété par la mise en place d’un pro­ces­sus de hachage des pro­gram­mes sous scel­lés. Le résul­tat de ce hachage pour­rait être porté sur le procès-verbal de mise sous scel­lés et pou­voir ainsi être com­paré à tout moment à celui cal­culé sur le sys­tème de vote afin d’en véri­fier le scel­le­ment.

La com­mis­sion prend acte de l’enga­ge­ment du com­mis­saire du Gouvernement selon lequel cette pré­co­ni­sa­tion de hachage sera mise en œuvre.

S’agis­sant de l’urne, le scel­le­ment du sys­tème de vote consiste à restruc­tu­rer les mots de passe admi­nis­tra­teur des dif­fé­ren­tes machi­nes, de sorte qu’une partie soit connue des admi­nis­tra­teurs du pres­ta­taire et l’autre de l’huis­sier. Ainsi, toute modi­fi­ca­tion du sys­tème est rendue impos­si­ble sauf à deman­der à l’huis­sier sa partie du mot de passe.

Le par­tage des mots de passe, s’il cons­ti­tue une garan­tie pour la sécu­rité du sys­tème en contrô­lant l’accès à celui-ci, ne peut être consi­déré comme un réel dis­po­si­tif de scel­le­ment garan­tis­sant l’inté­grité de l’urne tout au long de l’élection. Dès lors, la com­mis­sion sou­haite atti­rer l’atten­tion du minis­tère sur la néces­sité de mettre en place des moyens de nature à assu­rer l’inté­grité de l’urne afin que le contenu de celle-ci ne puisse être modi­fié que par l’ajout de votes expri­més par des électeurs habi­li­tés.

Enfin, la com­mis­sion prend acte qu’à l’issue du scru­tin une copie des pro­gram­mes, de l’urne et des fichiers annexes est mise sous scel­lés chez l’huis­sier.

Sur le chif­fre­ment du bul­le­tin de vote :

Dans sa déli­bé­ra­tion du 1er juillet 2003 rela­tive à la sécu­rité des sys­tè­mes de vote électronique, la CNIL recom­mande en matière de vote un chif­fre­ment du bul­le­tin dès son émission sur le poste de l’électeur et un ache­mi­ne­ment dans l’urne par un canal sécu­risé.

Cette exi­gence de chif­fre­ment du bul­le­tin figure expres­sé­ment dans le décret et le projet d’arrêté, ce dont la CNIL se féli­cite.

Le dis­po­si­tif pro­posé par le pres­ta­taire pro­cède à un brouillage du bul­le­tin lors de son envoi par le poste de l’électeur vers le ser­veur de vote puis à un chif­fre­ment du bul­le­tin lors de son enre­gis­tre­ment dans l’urne. Le canal de com­mu­ni­ca­tion entre le poste de l’électeur et le ser­veur de vote est sécu­risé par le pro­to­cole SSL (https).

La com­mis­sion consi­dère que le dis­po­si­tif pro­posé par le pres­ta­taire repo­sant à la fois sur un brouillage du bul­le­tin et trois chif­fre­ments suc­ces­sifs ne cor­res­pond pas aux recom­man­da­tions de CNIL dans la mesure où il ne permet pas de garan­tir un chif­fre­ment sans inter­rup­tion du bul­le­tin de vote entre l’émission de celui-ci et sa récep­tion dans l’urne électronique et qu’il n’assure donc pas com­plè­te­ment l’inté­grité et la confi­den­tia­lité du vote.

Sur la néces­sité d’un bilan des opé­ra­tions électorales :

Conformément à la recom­man­da­tion de 2003, la com­mis­sion demande qu’un bilan du trai­te­ment lui soit trans­mis à l’issue des élections.

Le pré­si­dent, A. Türk