Un dossier d’achat de système de vote conforme anssi arrive sur votre bureau. Concrètement, trois prestataires affichent les mêmes mentions. Conforme ANSSI, conforme CNIL, RGPD respecté, audit réalisé. Pourtant, les niveaux de sécurité réels sont très différents. Ainsi, savoir lire un référentiel fait la différence entre un scrutin solide et un scrutin contestable.
Ce guide décrypte la délibération CNIL 2019-053 et les recommandations ANSSI. Plus précisément, vous y trouverez les trois niveaux de risque, les sept objectifs de sécurité et six questions à poser. En pratique, l’objectif est simple. Vous donner une méthode reproductible pour évaluer un système de vote conforme anssi sans dépendre du discours commercial du fournisseur.
En résumé
Tout d’abord, le référentiel CNIL délibération 2019-053 définit trois niveaux de risque pour le vote par internet aux élections non politiques.
Ensuite, les recommandations ANSSI fixent les garanties techniques. Concrètement, chiffrement, authentification et vérifiabilité.
Par ailleurs, la conformité affichée n’engage que le prestataire. Ainsi, seules une analyse de risques tracée et un audit indépendant valent preuve.
En outre, un système conforme ANSSI couvre la sécurité informatique. Cependant, il ne dispense ni du décret CSE ni de l’habilitation CTEP.
Enfin, la vérifiabilité individuelle change la donne. En effet, elle transforme une confiance affichée en preuve démontrable.
Pourquoi vérifier la conformité ANSSI et CNIL avant de choisir un système de vote
Un cadre juridique à deux niveaux
Tout d’abord, un vote par internet manipule deux données sensibles. D’une part, l’identité du votant. D’autre part, le contenu du bulletin. En pratique, ces flux sont protégés par le RGPD, par le secret du vote et par le code du travail pour les élections professionnelles.
Par ailleurs, la CNIL et l’ANSSI encadrent ces risques. Concrètement, la CNIL publie le référentiel juridique. De son côté, l’ANSSI publie les recommandations techniques. Ainsi, un système de vote conforme ANSSI documente la manière dont les objectifs sont atteints.
Les conséquences d’une non-conformité
En effet, en cas de contestation, l’absence d’analyse de risques tracée est un motif d’annulation classique. De plus, la CNIL peut prononcer une mise en demeure ou une sanction publique. Par conséquent, pour une élection CSE annulée, le coût direct se cumule au risque d’image.
Cependant, la conformité protège aussi le décideur. Concrètement, quand le prestataire couvre le niveau requis, la responsabilité du responsable de traitement est protégée. À l’inverse, choisir au seul prix le plus bas expose à une remise en cause juridique facile.
Pour un cadrage juridique complet, voyez notre guide du vote en ligne légal.
Le référentiel CNIL : trois niveaux de risque pour un système de vote
Tout d’abord, la délibération CNIL n° 2019-053 du 25 avril 2019 structure l’analyse autour de trois niveaux. En effet, plus le niveau est élevé, plus les exigences cryptographiques le sont aussi. Par ailleurs, le choix dépend d’une analyse préalable, à conduire et à conserver.
Niveau 1 : risque faible
Tout d’abord, le niveau 1 concerne les scrutins à faibles conséquences. Typiquement, vote interne d’association, sondage, consultation informelle. Concrètement, les objectifs CNIL exigent ici l’authentification, la confidentialité et l’intégrité du scrutin. Cependant, ce niveau ne sera jamais opposable pour une élection professionnelle.
Niveau 2 : risque modéré
Ensuite, le niveau 2 vise les scrutins à impact réel sur l’organisation. Par exemple, élections de représentants, instances professionnelles, assemblées générales. Par ailleurs, la CNIL exige une vérification par un tiers et une traçabilité accrue. Ainsi, un système de niveau 2 doit produire des preuves d’intégrité reproductibles.
Niveau 3 : risque élevé
Enfin, le niveau 3 s’applique aux scrutins à fort enjeu. Notamment, élections de CSE de grande entreprise et votes statutaires majeurs. Concrètement, les exigences atteignent leur maximum. En pratique, architecture cryptographique avancée, vérifiabilité individuelle et universelle, audit indépendant du code et journalisation horodatée.
Les sept objectifs de sécurité CNIL à vérifier dans un dossier d’achat
Au-delà des trois niveaux, le référentiel CNIL énumère sept objectifs de sécurité. En effet, c’est la grille d’audit la plus directe pour comparer deux prestataires. Par conséquent, l’absence de réponse claire sur un objectif vaut alerte.
Objectifs liés à la sécurité du scrutin
Le secret du vote. Tout d’abord, aucune personne ne doit pouvoir relier un bulletin à un électeur. Concrètement, cette exigence impose le chiffrement homomorphe ou les preuves à divulgation nulle de connaissance.
La sincérité du scrutin. Ensuite, le résultat publié doit refléter les bulletins déposés. Ainsi, un tiers compétent doit pouvoir recompter sans accéder au contenu nominatif.
L’unicité du vote. Par ailleurs, chaque électeur vote une seule fois, ou selon les règles du scrutin. En effet, le système doit empêcher techniquement le double vote.
L’intégrité des données. De plus, les bulletins ne doivent pas pouvoir être modifiés après dépôt. Par exemple, toute altération doit être détectable par signature cryptographique.
Objectifs liés aux données et au service
La confidentialité des données personnelles. En outre, les identifiants des électeurs sont protégés selon le RGPD. Concrètement, l’accès est restreint et journalisé. Enfin, les données sont effacées après les délais de contestation.
La disponibilité du service. Par ailleurs, le système reste accessible pendant tout le scrutin. En pratique, un plan de continuité documenté est obligatoire en cas d’incident.
La transparence et la vérifiabilité. Enfin, l’électeur vérifie que son vote a été pris en compte, sans révéler son choix. C’est précisément ici que se joue la différence entre une solution déclarative et une solution démontrable.
Pour approfondir les garanties techniques détaillées par la CNIL, voyez notre article sur la sécurité du vote électronique.
🗳️ Évaluer notre couverture des objectifs CNIL
Comment notre architecture répond aux sept objectifs
Nous documentons chaque objectif CNIL avec des preuves techniques vérifiables. Demandez la fiche de conformité ElectCore ou ElectRegalia, adaptée aux scrutins de niveau 2 et 3.
Découvrir nos solutions →Les recommandations ANSSI : ce que le guide technique exige
Tout d’abord, l’ANSSI publie un guide technique dédié au vote par internet. En effet, il complète le référentiel CNIL. Concrètement, la CNIL traite les données et l’ANSSI traite la sécurité informatique de bout en bout. Ainsi, le guide est la référence pour tout RSSI confronté à un dossier d’achat de système de vote conforme ANSSI.
Vérifiabilité individuelle et universelle
Premièrement, le guide insiste sur la vérifiabilité. Plus précisément, la vérifiabilité individuelle permet à chaque votant de vérifier que son bulletin est dans l’urne. De son côté, la vérifiabilité universelle autorise un tiers à recompter les bulletins chiffrés. Ainsi, ces deux propriétés représentent aujourd’hui l’état de l’art.
Cryptographie robuste et publiée
Deuxièmement, l’ANSSI exige une cryptographie documentée. En particulier, les preuves à divulgation nulle de connaissance sont citées comme moyen technique. Concrètement, elles réconcilient secret du vote et vérifiabilité. Cependant, peu de solutions sur le marché les implémentent réellement.
Audit indépendant et chaîne de confiance
Troisièmement, le guide insiste sur l’audit indépendant. En effet, un éditeur qui s’auto-évalue n’apporte aucune garantie. Ainsi, l’audit doit être conduit par un tiers compétent, idéalement qualifié PASSI. Par conséquent, le rapport doit être versé au dossier d’achat.
Enfin, l’ANSSI exige la traçabilité complète des tiers. Concrètement, cela inclut les autorités d’enregistrement, les opérateurs d’urne, les administrateurs et les hébergeurs. Ainsi, chaque maillon est identifié, son rôle décrit et ses droits encadrés.
Si vous comparez plusieurs offres, notre comparatif des solutions de vote selon sept critères reprend cette grille opérationnelle.
Trois preuves à exiger systématiquement
Un rapport d’audit indépendant signé par un tiers reconnu. La documentation cryptographique de la solution. La procédure de vérifiabilité individuelle accessible à chaque électeur.
Si l’une de ces trois pièces manque, la conformité reste déclarative.
Comment lire les certifications d’un prestataire : six questions à poser
Voici six questions opérationnelles à intégrer dans votre cahier des charges. En pratique, elles font le tri entre les prestataires sérieux et ceux qui s’abritent derrière du jargon.
Vérifier le niveau et les audits
Quel niveau du référentiel CNIL revendiquez-vous ? Tout d’abord, un prestataire sérieux indique le niveau. Concrètement, il précise la délibération de référence et explique sur quels objectifs il s’appuie.
Pouvez-vous transmettre votre dernier rapport d’audit indépendant ? Ensuite, un audit récent, daté et signé par un tiers vaut mieux que dix logos sur une plaquette. Par conséquent, le refus de communiquer est un signal négatif.
Votre architecture cryptographique est-elle documentée ? Par ailleurs, demandez le schéma de chiffrement et la mention des preuves à divulgation nulle. En effet, un système qui ne répond pas ne couvre probablement pas le niveau 3.
Vérifier l’hébergement, le CTEP et la vérification individuelle
Où sont hébergées les données et qui y a accès ? De plus, un hébergement en France ou en Union européenne, idéalement qualifié SecNumCloud, est un gage de conformité RGPD. Ainsi, les administrateurs doivent être identifiés et journalisés.
Êtes-vous habilité pour la transmission électronique au CTEP ? En outre, pour les élections professionnelles, le Centre de Traitement du Ministère du Travail accepte uniquement les solutions habilitées. Concrètement, cette habilitation est vérifiable.
Comment chaque électeur peut-il vérifier son vote ? Enfin, beaucoup de systèmes affichent une simple confirmation. À l’inverse, une solution mature fournit un bulletin d’audit individuel. Ainsi, l’électeur retrouve son vote chiffré dans l’urne publique.
Pour aller plus loin, notre article sur le vote à bulletin secret en ligne détaille comment concilier secret et vérification.
🗳️ Auditer votre dossier d’achat
Faire vérifier la conformité réelle de votre future solution
Nous pouvons analyser avec vous les réponses fournies par vos prestataires et identifier les zones de fragilité. Échange de 15 minutes pour cadrer votre niveau de risque.
Réserver un échange →Au-delà de la conformité affichée : la vérifiabilité individuelle change la donne
Une preuve mathématique au lieu d’une confiance déclarative
Tout d’abord, toutes les solutions ne se valent pas, même sous la même conformité. En effet, la différence se joue sur la capacité du système à apporter une preuve. Ainsi, c’est ce que la vérifiabilité individuelle permet d’établir.
Concrètement, le système apporte une preuve mathématique, vérifiable par n’importe quel tiers compétent. Par conséquent, pour un juriste ou un DRH méfiant, c’est le type de garantie qui résiste à une contestation devant un tribunal. Ainsi, un système de vote conforme ANSSI devient non seulement affiché mais surtout démontrable.
Belenios, la brique open source CNRS/INRIA
Par ailleurs, notre solution repose sur Belenios. En effet, c’est une brique cryptographique développée par le CNRS et l’INRIA, publiée en open source. Concrètement, Belenios implémente nativement les preuves à divulgation nulle de connaissance.
En pratique, chaque électeur reçoit un bulletin d’audit personnel. Ainsi, il vérifie que son vote figure dans l’urne sans révéler son choix. Enfin, l’architecture est documentée dans des publications scientifiques évaluées par les pairs.
Notre gamme face aux trois niveaux CNIL
Tout d’abord, l’ElectLite gratuit s’adresse aux petits collèges sans enjeu critique. Ensuite, l’ElectCore à 1 650 € HT couvre le niveau 2 avec conformité CNIL, ANSSI et habilitation CTEP. Enfin, l’ElectRegalia à 3 300 € HT ajoute l’assistance juridique et la personnalisation pour le niveau 3.
Pour évaluer votre budget selon le niveau requis, voyez notre guide complet des tarifs avec grille de critères.
La conformité réelle se prouve dans un dossier d’achat
Un prestataire qui revendique l’ANSSI et la CNIL doit verser six pièces. La délibération CNIL citée, le niveau ciblé, le rapport d’audit, la documentation cryptographique, la preuve d’habilitation CTEP et le mode opératoire de la vérifiabilité.
C’est cette pile de pièces qui transforme une conformité affichée en conformité démontrée.
FAQ : système de vote conforme ANSSI et CNIL
Référentiel CNIL et niveaux de risque
Que recouvre exactement le référentiel CNIL pour le vote par internet ?
Il s’agit de la délibération n° 2019-053 du 25 avril 2019. Elle décrit les recommandations CNIL pour le vote par internet aux élections non politiques. Elle définit trois niveaux de risque et sept objectifs de sécurité. C’est la référence utilisée par tout responsable de traitement avant de retenir un prestataire.
Comment savoir à quel niveau de risque correspond votre élection ?
Le niveau dépend du scrutin, de la taille du collège et des conséquences d’une fraude. Un vote interne d’association se rattache souvent au niveau 1. Une élection CSE d’une grande entreprise bascule vers les niveaux 2 ou 3. L’analyse préalable est exigée par la CNIL et doit être tracée par écrit.
Un prestataire peut-il être certifié niveau 3 par la CNIL ?
Non. La CNIL ne délivre aucune certification de niveau. Elle décrit les exigences, mais c’est au responsable de traitement de vérifier la couverture réelle. Quand un prestataire annonce un niveau 3, exigez les preuves : rapport d’audit, documentation cryptographique, schéma d’urne.
Recommandations ANSSI et audit indépendant
Quelle est la différence entre ANSSI et CNIL sur le vote en ligne ?
L’ANSSI publie les recommandations techniques de sécurité informatique. La CNIL publie le référentiel juridique de protection des données et du secret du vote. Les deux textes sont complémentaires. Un système conforme couvre les deux périmètres.
Que doit contenir un audit de sécurité d’une solution de vote ?
L’audit doit couvrir l’architecture cryptographique, le code source, les procédures d’exploitation et la chaîne des tiers de confiance. L’auditeur doit être indépendant du fournisseur. Un simple test d’intrusion ne suffit pas.
Le code source d’une solution de vote doit-il être public ?
Le référentiel CNIL ne l’impose pas. Il recommande néanmoins la transparence pour les niveaux 2 et 3. Belenios, la brique cryptographique de notre solution, est publiée en open source par le CNRS et l’INRIA, avec des preuves mathématiques évaluées par les pairs.
Mise en œuvre concrète et choix du prestataire
Que demander à un prestataire qui annonce être conforme ANSSI et CNIL ?
Demandez six pièces. La délibération CNIL citée, le niveau de risque adressé, le rapport d’audit indépendant, le pays d’hébergement, la documentation cryptographique et la procédure de vérification individuelle. Si une pièce manque, la conformité reste déclarative.
La conformité ANSSI suffit-elle pour organiser une élection CSE ?
Non. Vous devez aussi respecter le décret n° 2011-1497 du 9 novembre 2011 et le code du travail. Le système doit être habilité pour la transmission électronique au CTEP. La conformité ANSSI couvre la sécurité, pas le cadre juridique CSE.
Que se passe-t-il si le système n’est pas conforme au référentiel CNIL ?
Le juge ou l’inspecteur du travail peut prononcer l’annulation du scrutin. La CNIL peut aussi prononcer une sanction pour défaut de protection des données. Dans les deux cas, vous devez recommencer l’élection. Le coût direct s’ajoute au risque d’image.
En résumé
Pour résumer, un système de vote conforme ANSSI ne se choisit pas sur une mention dans une plaquette. En effet, la conformité réelle se prouve. Concrètement, analyse de risques tracée, niveau CNIL revendiqué, rapport d’audit indépendant et architecture cryptographique documentée.
Par ailleurs, la grille des sept objectifs CNIL et les recommandations ANSSI fournissent un cadre opérationnel. Ainsi, la vérifiabilité individuelle représente aujourd’hui le standard le plus protecteur. Enfin, pour les élections professionnelles, notre guide juridique du vote électronique pour CSE détaille les obligations spécifiques.
🗳️ ÉCHANGER AVEC UN EXPERT
Sécuriser votre prochain scrutin avec un système de vote conforme ANSSI
Nous documentons chaque exigence du référentiel CNIL et du guide ANSSI dans nos dossiers d’achat. Échange de 15 minutes pour cadrer votre niveau de risque.
