● Next INpact Télécom 📅 27/04/2026 à 08:13

Vote électronique en AG d’assos, copros, primaires, etc. : les recommandations de la CNIL

Géopolitique 👤 Martin Clavey

🏷️ Tags : otan cert rag rte stoc surveillance

Vote électronique en AG d’assos, copros, primaires, etc. : les recommandations de la CNIL A voté ! Unsplash Martin Clavey Le 27 avril à 08h13 La pratique du vote par correspondance électronique se développe de plus en plus. Ce constat posé, la CNIL a émis une nouvelle recommandation pour proposer un cadre plus clair sur les objectifs de sécurité. Celle-ci est applicable pour tout nouveau scrutin dont la préparation n’a pas déjà commencé. Elle s’accompagne d’un guide plus technique de l’ANSSI pour atteindre ces objectifs. Une erreur ? La CNIL vient d’actualiser sa recommandation sur la sécurité des systèmes de vote par correspondance électronique qui datait de 2019. Celle-ci s’accompagne d’un guide de l’ANSSI pour aider à entrer un peu plus dans le technique si on veut mettre en place un tel système. En France, le vote par correspondance électronique n’est utilisé pour des élections politiques que pour celui des Français résidant à l’étranger à l’occasion des élections législatives et de celles des conseillers et délégués des Français de l’étranger. Celles-ci sont particulières et « nécessitent des mesures de sécurité complémentaires » que la CNIL et l’ANSSI n’abordent pas dans leurs recommandations. Mais on ne vote pas que lors des scrutins politiques nationaux. Tous les Français qui sont engagés dans des organisations doivent parfois se plier à cette formalité. Assemblées générales d’associations, d’actionnaires ou de copropriétaires, élections organisées par des ordres professionnels, fédérations sportives ou universités, il y a de multiples occasions de voter. Rappelons qu’avant les élections officielles pour la présidentielle de 2027, certains veulent aussi organiser des primaires. La CNIL et l’ANSSI rangent ces scrutins dans le même sac que les élections « non politiques ». De plus en plus, les organisations pensent pouvoir s’appuyer sur le vote par correspondance électronique, qui a le mérite de toucher plus de monde que celles et ceux qui viennent aux réunions. Pour tous ces scrutins « non politiques », ces deux organismes ont décidé de mettre à jour leurs recommandations. Du côté de la CNIL, l’autorité fixe dans sa recommandation [PDF] les objectifs de sécurité minimaux « en fonction des risques que présentent l’organisation et le déroulement du vote ». Alors que l’ANSSI, elle, propose un guide pour mettre en place techniquement le système afin de répondre à ces objectifs. Comme elle l’avait indiqué en fin d’année dernière, la CNIL confirme dans son nouveau communiqué que les scrutins déjà en préparation et prévus en 2026, comme ceux des élections des représentants du personnel de la fonction publique, « pourront continuer à appliquer la version de 2019 de la recommandation ». Elle ajoute cependant qu’« en revanche, la nouvelle recommandation s’applique à tout nouveau scrutin ». Des « principes fondamentaux » à respecter Dans sa recommandation, la CNIL rappelle « des principes fondamentaux qui commandent les opérations électorales concernées ». En 2019, son texte listait « le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ». La nouvelle recommandation ajoute « l’intégrité des suffrages exprimés » et « l’accès au vote pour tous les électeurs ». Elle donne aussi des définitions à ces principes, ce qui permet d’éclaircir son point de vue quant à leur mise en place réelle. Des objectifs à atteindre en fonction de trois niveaux de risques Comme en 2019, l’autorité s’appuie sur un système en trois niveaux de risque du scrutin pour évaluer quels sont les objectifs de sécurité qui doivent être atteints. Mais elle les a remaniés pour « mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propre ». Ainsi le niveau 1 (risques faibles) concerne des élections où les sources de menaces ont « peu de ressources et peu de motivations », et où « l’administrateur (ou les administrateurs) du systèmed’information n’est ni votant, ni candidat ». La CNIL cite en exemple des « élections de représentants de parents d’élèves dans les établissements scolaires ou de scrutins organisés au sein d’associations locales ». Le niveau 2 concerne des élections pour lesquelles les sources de menaces « peuvent disposer de ressources moyennes et de motivations moyennes ». Elle considère que « des élections de représentants du personnel au sein d’organismes de petite taille ou de taille moyenne » sont un bon exemple de ce genre de cas. Enfin, le niveau 3 concerne des votes plus importants où les personnes risquant d’attaquer peuvent « disposer de ressources importantes ou de fortes motivations », comme dans le cadre « d’élections organisées au sein d’ordres professionnels réglementés, des primaires de partis politiques, ou d’élections de représentants du personnel au sein d’organisations importantes ». Si ces niveaux semblent assez vagues, la CNIL propose dans sa recommandation un questionnaire qui permet de s’autoévaluer avec un système de points (niveau 1 : entre 0 et 4, niveau 2 : entre 5 et 8 points et niveau 3 : plus de 8 points) : La proposition de la CNIL de grille d’évaluation des risques en matière de vote électronique En fonction de ce niveau, la CNIL donne une liste d’objectifs de sécurité à atteindre allant du minimum consistant à « mettre en œuvre une solution technique et organisationnelle ne présentant pas de faille majeure » à, par exemple pour le niveau 3, « renforcer le caractère secret du scrutin en ne manipulant jamais le secret permettant leur dépouillement sur un serveur qui serait en capacité de rapprocher l’identité des électeurs de leur bulletin ». L’ANSSI vous guide Dans son document, l’autorité explique qu’ « il revient au responsable de traitement ou à son prestataire de déterminer les moyens permettant d’atteindre les objectifs de sécurité énoncés, ces choix devant être documentés ». Mais comme on vous l’a dit plus tôt, l’ANSSI vous a concocté un guide. Celui-ci [PDF] fait 150 pages et détaille, par objectif fixé par la CNIL, ce qu’il faut faire. Il rajoute même quelques recommandations complémentaires « limitant les impacts de situations où le serveur de vote pourrait permettre le bourrage d’urne, la conservation illégitime ou la fuite de la clé privée de l’élection et la génération d’une clé privée de l’élection favorisant un des attributaires ». En plus de ces objectifs de sécurité à atteindre, la CNIL ajoute à sa recommandation des indications sur les informations à fournir aux électeurs, sur l’accessibilité du vote, la mise en place d’une expertise indépendante pour la mise en place de la solution, le déroulé du vote en lui-même ainsi que sur la garantie d’un contrôle a posteriori et la conservation des données. Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui

🔗 Lire l'article original 👁️ 0 lecture

← Retour