Vote électronique : Total épinglé par la CNIL pour des défauts de sécurité

La délibération date du 13 avril dernier, mais ne vient d’être communiquée qu’aujourd’hui : la Commission nationale pour l’informatique et les libertés a décidé d'adresser un avertissement public à Total Raffinage Marketing. Motif : l’autorité administrative a constaté l’année dernière des défauts de sécurité lors d'élections professionnelles effectuées par vote électronique, lesquels constituaient des manquements à la loi Informatique et Libertés aux yeux de la CNIL.

Capture extraite du site Election-Europe.

C’est un syndicat qui a contacté la CNIL au début du mois d’août 2012 pour l’avertir des élections professionnelles qui allaient se tenir par voie électronique au sein de la société Total Raffinage Marketing deux mois plus tard. Saisie du dossier, la présidente de l’autorité administrative ordonne alors formellement des opérations de vérification en septembre dernier.

Sauf que les contrôles effectués par la CNIL ont conduit à la mise en lumière de plusieurs manquements à la législation sur la protection des données personnelles. Suite à ces vérifications, opérées durant plusieurs jours et sur tous les stades du processus de vote électronique - de l'ouverture du vote jusqu'à son dépouillement, il est en effet apparu que « la société avait engagé les opérations électorales avant qu'une expertise indépendante du système de vote ait été rendue ». Ce faisant, celle-ci n’était « pas en mesure de s'assurer du fonctionnement correct de ce système notamment avant le jour du scrutin, ni d'en contrôler a posteriori le résultat ».

Des bulletins de vote qui n'étaient pas chiffrés de manière ininterrompue 

Autre problème : « plusieurs défauts de confidentialité des données des électeurs ont été observés tels que l'envoi des identifiants et des mots de passe permettant de voter, par courrier simple ou par courrier électronique, sans procédé de sécurisation particulier ». Toujours au rayon des problèmes de sécurité, « il a été relevé que le bulletin de vote n'était pas chiffré de manière ininterrompue entre son envoi depuis le poste de l'électeur et son stockage dans l'urne, en vue de son dépouillement ». En clair, il était possible de connaître le vote d'un électeur, comme d'en modifier le sens.

Dans sa délibération, la CNIL a donc retenu que la société Total Raffinage Marketing, qui avait mis en place ce vote électronique grâce à la solution « Election central » - commercialisée par Élection-Europe, était responsable de tous ces manquements, qui constituaient des violations de l’article 34 de la loi du 6 janvier 1978. L'entreprise a écopé d'un avertissement, lequel vient d'être rendu public.

Mise à jour du 21 mai 2013 : Nous avons fait suite à un droit de réponse de la part d'Election-Europe (lien).