Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vote électronique : l’expertise préalable comme principe fondamental du droit électoral

octobre 2017 par Emmanuel WALLE Avocat Lexing Alain Bensoussan Avocats Dimitri Mouton, Expert indépendant, Demaeter Bernard Starck, Expert indépendant de Bernard Starck Conseil, Administrateur du COREF

La fiabilité et les modalités de mise en œuvre du vote électronique sont soumises quasiment chaque année à l’examen du juge. Plus d’un a pu se dire surpris de la contradiction apparente entre la jurisprudence du Conseil d’État et celle de la Cour de cassation relativement à l’obligation de réaliser une expertise indépendante préalablement à chaque scrutin recourant au vote électronique.

Dimitri Mouton, Expert indépendant, Demaeter

Bernard Starck, Expert indépendant de Bernard Starck Conseil, Administrateur du COREF Emmanuel WALLE Avocat Lexing Alain Bensoussan Avocats

Le Conseil d’État, dans son arrêt 368748 du 11 mars 2015, a jugé nécessaire la réalisation d’une telle expertise avant chaque scrutin, afin de garantir de manière certaine « la sincérité des opérations électorales ».
La Cour de cassation, dans son arrêt du 21 septembre 2016, indique « qu’il résultait de l’expertise indépendante conduite entre juillet et octobre 2012 que le système de vote électronique utilisé pour le scrutin ne présentait aucune modification substantielle depuis celle qui avait été diligentée en 2005 lors de sa mise en place, le tribunal a exactement décidé qu’il avait été satisfait aux prescriptions des articles R. 2314-12 et R. 2324-8 du code du travail ; » On voit ici le problème qui se pose à l’organisateur d’un scrutin désireux de satisfaire à ses obligations mais aussi désireux de gérer au mieux les coûts occasionnés par l’organisation du vote électronique. Faut-il ou non diligenter une expertise indépendante, alors que la solution de vote a été expertisée auparavant ? Une circonstance est de nature à jeter un trouble encore plus grand lorsque l’on sait que le même système de vote a été utilisé dans les deux cas, objet de ces jurisprudences apparemment contradictoires, mais pour des élections différentes. Le problème n’est qu’apparent et la contradiction peu fondée.

L’arrêt du Conseil d’État

Le Conseil d’État a statué dans le cadre d’un recours contre la CNIL formé par l’organisateur d’un scrutin sanctionné par un avertissement de la Commission pour manquements à l’obligation de sécurité des données, sur le fondement de l’article 34 de la loi « Informatique et Libertés ».

Parmi les questions posées à la Haute juridiction figuraient :
o La CNIL était-elle fondée à sanctionner l’organisateur du scrutin ?
o Quel est le rapport entre la recommandation 2010 sur le vote électronique et la loi ?
o La responsabilité de l’organisateur était-elle engagée malgré l’accord d’entreprise, les éléments contractuels, l’absence de remise en cause par le juge judiciaire amené à se prononcer antérieurement.
o La réutilisation d’un système de vote électronique déjà expertisé lors d’une précédente élection doit-elle conduire à une nouvelle expertise indépendante avant les nouvelles opérations électorales ?

On se souviendra des réponses retenues par le Conseil d’État dans son arrêt 368748 du 11 mars 2015.

En premier lieu, l’expertise indépendante est requise :
o préalablement à la mise en place du système de vote électronique dans l’entreprise. ;
o lorsqu’intervient une modification de la conception du système de vote électronique déjà en place ;
o lors de chaque nouveau scrutin à l’occasion duquel il est prévu de recourir au système de vote électronique, peu important que le système de vote électronique déjà en place dans l’entreprise n’ait fait l’objet d’aucune modification de sa conception depuis sa précédente utilisation par l’entreprise.

Il est utile de rappeler que le vote électronique appartient à la définition d’un traitement de donnée à caractère personnel dont la Cnil est le régulateur. Ces données sont qualifiées de données sensibles au sens de l’article 8 de la loi informatique et libertés, en ce qu’elles sont relatives aux opinions syndicales ou politiques des votants et bénéficient de ce fait d’une protection renforcée.

Le Conseil d’État dans cet arrêt a mis en perspective ce rôle de régulateur du traitement de données personnelles avec le respect des dispositions législatives et réglementaires. En l’espèce il a validé la délibération du 11 avril 2013 de la CNIL sanctionnant par un avertissement l’organisateur du scrutin au motif que le système de vote employé pour ses élections présentait plusieurs manquements à l’obligation de sécurité des données, sur le fondement de l’article 34 de la loi « Informatique et Liberté ». Parmi ceux-ci figurait en bonne place l’absence d’expertise indépendante préalable au scrutin du système utilisé : « Le caractère préalable de l’expertise indépendante, tenue à la disposition de la CNIL et remise à la société, doit en effet permettre de s’assurer du fonctionnement du système de vote électronique notamment avant le jour du scrutin et de contrôler a posteriori le résultat. À défaut d’une telle transmission préalablement à l’ouverture du vote et en l’absence des éléments permettant une comparaison effective, le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est constitué.

Le décret de 2007 relatif aux conditions et aux modalités de vote par voie électronique pour les élections professionnelles exige que « le système de vote électronique, préalablement à sa mise en place ou à toute modification substantielle de sa conception, soit soumis à une expertise indépendante ». Ce rapport de l’expert doit être tenu à la disposition de la CNIL.

Le Conseil d’État statue que, conformément à sa mission, la CNIL édicte des recommandations destinées à garantir le respect des dispositions législatives et réglementaires. C’est donc à bon droit qu’elle en tient compte pour apprécier le respect de ces dispositions.

La Haute juridiction rappelle ainsi que sont liées indissolublement la loi et les recommandations de la CNIL qui sont comme les feux de route indispensables à une conduite respectueuse des règlements, sûre et prudente.

En deuxième lieu, dans la délibération attaquée, la CNIL avait pris soin de rappeler qu’aux termes de l’art 35 de la loi Informatique et Liberté, la société qui recourt à un sous-traitant n’en demeure pas moins l’unique responsable du traitement. Dans son arrêt, le Conseil d’État valide la position de la CNIL et indique que « sont à cet égard sans incidence les termes du contrat la liant à la société X., la circonstance que le juge judiciaire aurait reconnu la fiabilité de la solution de vote retenue, ou le respect de son obligation de signer avec les organisations syndicales un accord permettant l’organisation par voie électronique des élections professionnelles ».

En l’espèce, le Conseil d’État valide non seulement la délibération sanctionnant l’organisateur pour défaut d’expertise indépendante préalable, mais il répond par avance à la question que pourrait poser la jurisprudence de la Cour de cassation. Le responsable de traitement ne peut s’exonérer, par aucun moyen juridique, contractuel ou social, de sa responsabilité.

En troisième lieu enfin, le Conseil d’État déclare sans incidence sur la légalité de la délibération attaquée l’idée que « la circonstance qu’aucune atteinte effective aux données personnelles des électeurs ni aux principes du droit électoral ou aux libertés publiques n’ait été constatée lors de la tenue des élections professionnelles ».
En statuant ainsi, la Haute juridiction pose la question de la place de l’expertise indépendante préalable au regard des principes généraux du droit électoral, dont le secret du vote et la sincérité du scrutin sont des fondements absolus. Il est de jurisprudence constante dans l’appréciation de la régularité d’une élection que la violation de ces principes est de nature à conduire à l’annulation de l’élection, même en l’absence d’irrégularités constatées ou même alléguées, autres que la violation desdits principes.
Or comment, sans expertise indépendante préalable, garantir qu’aucune modification n’a été apportée propre à remettre en cause le secret du vote et la sincérité du scrutin ?
C’est tout le sens de la loi explicitée et encadrée par la CNIL, ici validée par le Conseil d’État.

L’arrêt de la Cour de cassation

De toute autre nature est l’arrêt du 21 septembre 2016, rendu à l’occasion d’un second pourvoi dans la même affaire (Soc. 27 févr. 2013, nos 12-16.789 et 12-60.175, Dalloz jurisprudence), dans lequel la cour de Cassation ne s’est pas placée sur le même terrain juridique.
En 2005, un dispositif de vote électronique est utilisé par une entreprise pour ses opérations électorales après avoir procédé à une expertise conformément aux dispositions du code du travail . Pour les élections de 2011 ce même dispositif prend à nouveau du service, sans qu’il soit effectué pour ces élections une nouvelle expertise.
C’est pourquoi la Cour de cassation, abandonnant au pouvoir souverain du juge du fond l’appréciation de la valeur et de la portée des éléments du preuve qui lui étaient soumis, constate que le juge du fond avait souverainement apprécié que l’on ne se trouvait pas dans le cas d’une modification substantielle de la conception du système, ce qui était attesté par l’expertise réalisée entre juillet et octobre 2012, donc postérieurement au scrutin de 2011 contesté. La Cour de cassation a retenu que le tribunal d’instance avait dès lors exactement décidé qu’il avait été satisfait aux prescriptions des articles R 2314-12 et R 2324-8 du code du travail, et qu’en conséquence le grief du pourvoi n’était pas fondé.

Mais cet arrêt contient un paradoxe. Une expertise menée postérieurement au scrutin établit que l’expertise indépendante préalable n’était pas nécessaire car aucune modification substantielle n’avait été réalisée. On conçoit que cela peut être suffisant au juge de l’élection en l’espèce, mais ne saurait satisfaire l’organisateur du scrutin, ni l’engager à ne pas réaliser d’expertise indépendante préalable. Qu’en aurait-il été si l’expertise avait été défavorable ?

Ici, la Cour de cassation n’a pas face à elle une décision de la CNIL. Elle doit prendre en compte la construction des juges du fond, en grande partie élaborée à partir de l’expertise de 2012, réalisée postérieurement au scrutin. On a vu que les deux arrêts concernent des élections différentes mais la même solution de vote. Or, En 2013, les agents de la CNIL n’ont pas retenu les conclusions de cette même expertise de 2012 concernant la conformité de la confidentialité des moyens d’authentification ou le chiffrement ininterrompu du bulletin de vote. S’en est suivi l’avertissement public de la CNIL que l’on sait pour manquement à plusieurs obligations incombant à l’organisateur du scrutin en application de l’article 34 de la loi du 6 janvier 1978 modifiée.

L’organisateur du scrutin doit-il s’en remettre au risque technique, judiciaire et jurisprudentiel pour valider postérieurement à sa tenue le scrutin à venir qu’il organise sur un système non expertisée de façon indépendante ?

Du point de vue de l’expert

Il existe un moyen technique permettant de vérifier que les différents composants logiciels sur lesquels a porté une expertise antérieure n’ont pas été modifiés. Ce moyen consiste en une prise d’empreinte numérique des composants logiciels expertisés, en particulier du code exécutable, de la structure des bases de données, du paramétrage de l’élection et des scripts de mise en œuvre. La moindre modification de la solution concernant l’un ou l’autre de ces composants entraîne la modification de leur empreinte. La CNIL exige que l’expert fournisse dans son rapport préalable un tel moyen technique de contrôle, permettant également de vérifier a posteriori que les différents composants logiciels sur lesquels a porté l’expertise n’ont pas été modifiés sur le système utilisé durant le scrutin. Or, l’évolution des technologies, la correction des bugs et les développements réguliers effectués pour optimiser les performances des solutions de vote entraînent des modifications constantes des logiciels de vote proposées par les éditeurs de solutions, donc une modification constante, d’un scrutin à l’autre, des empreintes relevées lors d’expertises précédentes.
En dehors d’une expertise indépendante différentielle menée entre la version actuelle et la version précédemment expertisée il n’est pas possible de déterminer si les évolutions peuvent être qualifiées de « substantielles », et encore moins de garantir qu’elles ne contreviennent pas, même étant mineures, au respect du principe du secret du vote et d’une façon générale de la conformité de l’élection aux lois et règlements qui l’organisent.

Conclusion

L’obligation de réaliser une expertise indépendante préalablement à la mise en place d’un système de vote figure dans les mêmes termes dans le Code électoral et le Code du travail. Son objet est de vérifier que sont respectées les garanties des principes fondamentaux du droit électoral que sont le secret du vote et la sincérité du scrutin.

Il n’est pas impossible, et sans doute souhaitable, que, découvrant dans l’avenir les conséquences éventuelles de l’absence d’expertise indépendante préalable à chaque nouveau scrutin, la Cour de cassation rejoigne la position du Conseil d’État, en consacrant l’expertise indépendante préalable à la mise en œuvre des systèmes de vote électronique comme participant des principes fondamentaux du droit électoral.

La différence d’approche entre les deux ordres de juridictions, qui n’est qu’apparente, puisque dans une situation différente le tribunal aurait pu juger différemment, ne doit pas faire oublier les responsabilités qui pèsent sur les organisateurs des scrutins pour lesquels il est recouru au système de vote électronique.

Toute élection est susceptible de recours devant deux juridictions distinctes et indépendantes : la CNIL et le juge judiciaire. En cas de manquement aux obligations de sécurité et aux principes fondamentaux du droit électoral, l’organisateur de l’élection est passible de sanction devant l’une et risque l’annulation de l’élection devant l’autre. C’est à ces deux risques qu’il s’expose en ne faisant pas réaliser d’expertise indépendante préalable à la mise en œuvre de son élection. Ces mêmes organisateurs auront compris que la décision de la Cour de cassation n’est pas synonyme d’un assouplissement du dispositif. La sensibilité des données traitées et la nature technique des solutions mises en œuvre dans le cadre d’un vote électronique impliquent toujours les garanties exigées par la Cnil et contrôlées par le Conseil d’État .




Voir les articles précédents

    

Voir les articles suivants