Ordre des infirmiers : élection sous contrôle de la CNIL
27 juillet 2008
Élection à l’ordre des infirmiers : une des plus grandes opérations de vote électronique sous contrôle de la CNIL
La CNIL a rendu le 21 février 2008, un avis sur le projet du ministère de la santé d’organiser un vote électronique à l’occasion des élections aux conseils départementaux, régionaux et nationaux de l’ordre des infirmiers qui viennent d’être créés.
Ces élections, prévues par un arrêté du ministère de la santé du 13 mars 2008, constituent une des plus grandes opérations de vote électronique jamais organisée puisque près de 500 000 électeurs sont concernés du 9 au 24 avril 2008. La CNIL s’est félicitée que le dispositif de vote retenu reprenne ces préconisations émises dans sa recommandation du 1er juillet 2003 sur la sécurité des systèmes de vote électronique. Ainsi, une expertise approfondie du système de vote a été effectuée et ses résultats ont été transmis à la Commission. Une seconde expertise du système de vote, cette fois dans l’environnement d’exécution, viendra compléter la première.
Le dossier présenté par le ministère comporte différentes mesures de sécurité telles que : le verrouillage des serveurs, le masquage des codes envoyés aux électeurs, le chiffrement de l’urne électronique, les clefs électroniques de dépouillement ou la conservation des éléments techniques du système jusqu’à l’expiration des délais de recours.
Deux points ont appelé des remarques de la CNIL
Le premier concerne le scellement de l’urne électronique qui est garanti par un système qui répartit les mots de passe d’accès aux différents serveurs entre les administrateurs du prestataire et un huissier désigné. La CNIL a considéré que ce partage des mots de passe était une garantie supplémentaire pour assurer la sécurité du système de vote mais a recommandé au ministère que soient mis en place des moyens pour assurer un réel scellement de l’urne afin que son contenu ne puisse être modifié que par l’ajout de votes exprimés par des électeurs habilités.
Par ailleurs, même si le bulletin de vote sera transmis au travers d’un canal sécurisé et qu’il sera stocké de façon chiffrée dans l’urne, la CNIL a estimé que ce dispositif n’assurait pas complètement l’intégrité et la confidentialité du vote. En effet, il ne permet pas de garantir un chiffrement sans interruption du bulletin de vote entre son émission et sa réception dans l’urne électronique.
Dans le cadre de ces élections, la CNIL a effectué plusieurs contrôles sur place afin de s’assurer des modalités effectives du vote.
Lien : http://www.cnil.fr/index.php?id=2422
**********************************************************
Texte paru au JORF n°0070 du 22 mars 2008
Délibération n° 2008-052 du 21 février 2008 portant avis sur la mise en place d’un traitement automatisé de données à caractère personnel pour les élections par voie électronique des conseils de l’ordre des infirmiers (dossier n° 1271802) NOR : CNIX0806772X
La Commission nationale de l’informatique et des libertés,
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée en 2004, notamment ses articles 27-II (4°) et 35 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu le décret n° 2007-554 du 13 avril 2007 relatif aux modalités d’élection par voie électronique des conseils de l’ordre des infirmiers et modifiant le code de la santé publique ;
Vu la délibération n° 03-036 du 1er juillet 2003 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique ;
Sur le rapport de Mme Isabelle Falque-Pierrotin, commissaire, et les observations de Mme Pascale Compagnie, commissaire du Gouvernement,
Emet l’avis suivant :
La direction de l’hospitalisation et de l’organisation des soins du ministère de la santé, de la jeunesse et des sports a saisi la Commission, conformément au 4° du II de l’article 27 de la loi du 6 janvier 1978 modifiée, d’un dossier de demande d’avis et d’un projet d’arrêté portant création du traitement relatif à l’organisation pratique des opérations de vote électronique qui concerneront à la fois les conseils départementaux, régionaux et nationaux des infirmiers.
Ce projet d’arrêté est également pris en application de l’article D. 4311-82 du code de la santé publique institué par le décret n° 2007-554 du 13 avril 2007 relatif aux modalités d’élection par voie électronique des conseils de l’ordre des infirmiers et modifiant le code de la santé publique.
Sur le projet d’arrêté :
La commission se félicite qu’après le décret l’arrêté s’inspire largement des préconisations de la recommandation de la CNIL relative à la sécurité des systèmes de vote électronique du 1er juillet de 2003.
En particulier, elle prend acte que le projet de d’arrêté prévoit que :
― les codes d’identification et mots de passe sont recouverts, une fois imprimés, d’un masque permettant de garantir l’intégrité et la confidentialité de ces informations ;
― l’identifiant de chaque électeur est unique ;
― les mots de passe sont générés de manière aléatoire et immédiatement chiffrés. Seul le résultat du chiffrement est stocké ;
― afin de garantir la confidentialité, la sincérité, le contrôle et la sécurité des élections, une expertise est effectuée par un organisme indépendant préalablement au vote ;
― les urnes sont chiffrées dès leur création. Dès la clôture du scrutin, le contenu de l’urne, les listes d’émargement et les états courants gérés par les serveurs sont figés, horodatés et scellés automatiquement.
La commission prend acte que le projet d’arrêté portant création du traitement fait appel pour sa mise en œuvre à un prestataire, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978.
La commission prend également acte que le projet d’arrêté prévoit les données traitées, les destinataires de ces données ainsi que les droits d’accès et de rectification.
Sur l’expertise :
L’expertise préalable du système de vote transmise à la Commission a conduit à une revue du code source sur certains programmes du logiciel ; elle doit également être complétée par une expertise du système de vote dans son environnement d’exécution. La commission prend acte que le résultat de cette expertise lui sera communiqué.
Sur les scellements du dispositif :
La recommandation de la CNIL du 1er juillet 2003 relative à la sécurité des systèmes de vote électronique rappelle l’importance du scellement de l’ensemble du dispositif de vote, comportant à la fois le logiciel et l’urne électronique.
La procédure de scellement permet de déceler toute modification ultérieure du système. La vérification du scellement doit pouvoir se faire à tout moment et par tout électeur.
S’agissant du scellement du logiciel, la procédure retenue par le prestataire consiste à effectuer une copie du progiciel, des sources du programme ainsi que de ses fichiers annexes et à les déposer chez un huissier. Cette procédure apparaît comme lourde et inadaptée un contrôle en temps réel du logiciel lors des opérations de vote. Dès lors, la commission recommande que ce dispositif soit complété par la mise en place d’un processus de hachage des programmes sous scellés. Le résultat de ce hachage pourrait être porté sur le procès-verbal de mise sous scellés et pouvoir ainsi être comparé à tout moment à celui calculé sur le système de vote afin d’en vérifier le scellement.
La commission prend acte de l’engagement du commissaire du Gouvernement selon lequel cette préconisation de hachage sera mise en œuvre.
S’agissant de l’urne, le scellement du système de vote consiste à restructurer les mots de passe administrateur des différentes machines, de sorte qu’une partie soit connue des administrateurs du prestataire et l’autre de l’huissier. Ainsi, toute modification du système est rendue impossible sauf à demander à l’huissier sa partie du mot de passe.
Le partage des mots de passe, s’il constitue une garantie pour la sécurité du système en contrôlant l’accès à celui-ci, ne peut être considéré comme un réel dispositif de scellement garantissant l’intégrité de l’urne tout au long de l’élection. Dès lors, la commission souhaite attirer l’attention du ministère sur la nécessité de mettre en place des moyens de nature à assurer l’intégrité de l’urne afin que le contenu de celle-ci ne puisse être modifié que par l’ajout de votes exprimés par des électeurs habilités.
Enfin, la commission prend acte qu’à l’issue du scrutin une copie des programmes, de l’urne et des fichiers annexes est mise sous scellés chez l’huissier.
Sur le chiffrement du bulletin de vote :
Dans sa délibération du 1er juillet 2003 relative à la sécurité des systèmes de vote électronique, la CNIL recommande en matière de vote un chiffrement du bulletin dès son émission sur le poste de l’électeur et un acheminement dans l’urne par un canal sécurisé.
Cette exigence de chiffrement du bulletin figure expressément dans le décret et le projet d’arrêté, ce dont la CNIL se félicite.
Le dispositif proposé par le prestataire procède à un brouillage du bulletin lors de son envoi par le poste de l’électeur vers le serveur de vote puis à un chiffrement du bulletin lors de son enregistrement dans l’urne. Le canal de communication entre le poste de l’électeur et le serveur de vote est sécurisé par le protocole SSL (https).
La commission considère que le dispositif proposé par le prestataire reposant à la fois sur un brouillage du bulletin et trois chiffrements successifs ne correspond pas aux recommandations de CNIL dans la mesure où il ne permet pas de garantir un chiffrement sans interruption du bulletin de vote entre l’émission de celui-ci et sa réception dans l’urne électronique et qu’il n’assure donc pas complètement l’intégrité et la confidentialité du vote.
Sur la nécessité d’un bilan des opérations électorales :
Conformément à la recommandation de 2003, la commission demande qu’un bilan du traitement lui soit transmis à l’issue des élections.
Le président, A. Türk