La sécurité est au cœur de la discussion sur le VE. Le projet suisse de vote par internet a beaucoup évolué dans ce domaine et continue de le faire. La dernière modification de l’Ordonnance de la Chancellerie fédérale sur le vote électronique (OVotE) exige la publication du code source du logiciel de vérifiabilité complète. [1] L’accès au code d’un des éléments clé de la sécurité du système permet au public, respectivement, de s’assurer de sa qualité et de contribuer à l’améliorer. Cette sécurité par la transparence marque un nouveau jalon dans le développement du vote électronique en ligne assorti des bonnes pratiques.
Évolution des exigences relatives à la sécurité
Le point de départ est le suivant : le vote électronique doit respecter l’ensemble des principes applicables aux votations et élections démocratiques et les exigences qui en découlent. [2] Autre prémisse : la sécurité absolue ne peut être atteinte par aucun canal de vote connu.[3]
Les systèmes de vote par internet du début des années 2000 n’offraient ni transparence ni vérification indépendante (aussi connu sous les termes de « security by obscurity »). À cette première génération a succédé une deuxième : la réglementation fédérale entrée en vigueur le 15 janvier 2014 exige des contrôles et vérifications externes reflétant l’état de la technique.[4] Certification et vérifiabilité complète sont les mots clé.
Une sécurité optimale du vote électronique repose sur trois piliers : des exigences élevées (cf. réglementation fédérale), le contrôle par des organismes indépendants et compétents de la conformité du système aux exigences (certification) et la possibilité de détecter d’éventuels problèmes qui pourraient, malgré tout, survenir pendant le vote ou le dépouillement (vérifiabilité complète). Les vérifications sont effectuées par le votant ou l’électeur (vérifiabilité individuelle) ainsi que par tout organisme disposant de compétences et du matériel nécessaires (vérifiabilité universelle).[5] La certification et la vérifiabilité complète apportent des preuves de conformité du système aux exigences et de l’absence/présence d’éventuels problèmes.
Les exigences juridiques, techniques et administratives applicables au vote électronique ont été affinées, complétées et renforcées au fil du temps, notamment avec l’entrée en vigueur le 15 janvier 2014 des modifications de l’ODP et de l’OVotE. Les exigences continuent d’évoluer pour tenir compte des développements techniques, juridico-politiques et sociétaux ainsi et pour intégrer les bonnes pratiques. Celles-ci sont importantes notamment en matière de sécurité.[6] La récente modification d’OVotE illustre l’introduction, dans la réglementation, d’une bonne pratique de sécurité. Désormais, en plus de la certification et après celle-ci, le code source du logiciel de vérifiabilité complète doit être publié. Les modalités de la publication doivent correspondre aux bonnes pratiques en la matière afin que le public intéressé puisse effectivement accéder au code source et ait le temps nécessaire pour l’analyser et réagir. La modification d’OVotE pose un nouveau jalon en matière de sécurité et de transparence. Elle marque l’aboutissement d’un long chemin parcouru depuis le début du vote électronique.
Évolution des exigences relatives à la transparence
Une étude juridique[7] mandatée par la Chancellerie d’État genevoise recommandait en 2001 de prévoir l’accès le plus large possible d’experts aux sources même du système. Non seulement d’experts de l’État ou du fournisseur mais d’experts des partis politiques et des milieux scientifiques indépendants.
Cependant, les systèmes de première génération, n’étaient pas soumis à l’exigence de divulguer le code source ou la documentation relative à la sécurité.[8] Le contrôle des exigences de sécurité relevait de la compétence des autorités électorales. Les rapports d’audits externes n’étaient pas rendus publics. Certains acteurs privilégiés avaient accès à ces informations, notamment les autorités fédérales dans le cadre de la procédure d’autorisation et les commissions électorales dans les cantons où elles existaient, notamment à Genève et Neuchâtel. Les partis politiques représentés dans ces commissions avaient ainsi accès aux documents. Ceci est considéré comme étant une bonne pratique.[9] Une forme de « contrôle par les pairs » était assurée par les groupes fédéraux d’accompagnement des projets composés de spécialistes du vote électronique d’autres cantons.
La question de la transparence s’est posée dans le premier arrêt sur le vote électronique du Tribunal fédéral (arrêt du 23 mars 2006, 1P.29/2006) opposant un particulier à la Chancellerie d’État du canton de Genève et à son fournisseur privé au sujet du droit d’accès au code source et à la documentation du vote électronique. De manière générale le TF a considéré que le droit d’accès aux informations sur le système n’est pas absolu mais peut être limité par des motifs ayant trait à la sécurité de l’État, au respect des secrets des affaires ou à la nécessité de ne pas avantager les concurrents. En disant cela, le TF a tenu compte de l’accès privilégié dont disposaient les partis politiques représentés dans la commission électorale (considérant 2.6). Le TF a pris note de la décision cantonale d’autoriser l’accès au code source et de considérer la clause de non divulgation (NDA, Non Disclosure Agreement) comme disproportionnée, sauf pour ce qui concerne la clause d’interdiction de diffusion de copie. Seul l’accès de l’électeur au code source – entendu comme la possibilité de consulter une version imprimée (papier) du code dans les locaux de la Chancellerie – était alors envisagé. Il faut avouer que la publication en ligne du code source n’était pas à l’ordre du jour.
La cour cantonale et le TF, tout en reconnaissant « l’intérêt du citoyen à s’assurer lui-même de la fiabilité du système de vote », considéraient, visiblement, que la consultation sur place du code source imprimé était une mesure suffisante pour protéger cet intérêt. En ce qui concerne les rapports d’audits, le TF et la cour cantonale se sont montrés encore plus restrictifs en estimant que « la nature même du système (de vote électronique) commande … que certains renseignements demeurent inconnus du public ». Cette approche différenciée autorisant l’accès (restreint) au code source mais interdisant l’accès aux rapports d’audits, est difficile à comprendre, si l’on tient compte de l’importance de ces deux types de documents pour la sécurité et la fiabilité du système.
Une modification plus récente (2016) prévoit que le Conseil d’État prend les mesures nécessaires afin de rendre public le code source des applications permettant de faire fonctionner le vote électronique et en fixe les conditions, l’étendue et les modalités pratiques (art. 60 B LEDP).
La réflexion s’est poursuivie, poussée également par les demandes d’accès. En 2009 une modification de la loi cantonale genevoise sur l’exercice des droits politiques (LEDP, rs/GE A5 05) posait le principe de la publication des rapports d’audits (art. 60 C al. 3 LEDP). La première publication s’est faite en 2012. Une modification plus récente (2016) prévoit que le Conseil d’État prend les mesures nécessaires afin de rendre public le code source des applications permettant de faire fonctionner le vote électronique et en fixe les conditions, l’étendue et les modalités pratiques (art. 60 B LEDP). Un rapport présenté au Grand Conseil résume les enjeux de la publication du code source.[10] Il est intéressant de relever que cette modification de la LEDP a été approuvée à l’unanimité sans aucune abstention. La première publication du code de CHVote s’est faite fin 2016 sur la plateforme Github.[11]
Au niveau international, l’ancienne Recommandation du Conseil de l’Europe sur le vote électronique,[12] en vigueur entre 2004 et 2017, préconisait la publication d’informations permettant de comprendre le fonctionnement du système sans préciser lesquelles.[13] Les lignes directrices sur la transparence qui complétaient l’ancienne recommandation, stipulaient que les observateurs nationaux et internationaux devaient avoir accès à toute la documentation pertinente (para. 6) et que le code source devait faire partie des éléments que les autorités devaient contrôler (para. 12). Le souci prioritaire était (et reste toujours, dans beaucoup de pays) d’assurer que les autorités électorales aient accès et puissent contrôler les logiciels fournis par des privés.
Le Bureau des institutions démocratiques et des droits de l’homme (BIDDH) de l’Organisation pour la sécurité et coopération en Europe (OSCE) – principal organe international d’observation des élections en Europe – a émis plusieurs recommandations sur les systèmes de vote électronique utilisés notamment en Suisse, Estonie, Norvège ou France, s’appuyant sur les recommandations détaillées du Conseil de l’Europe. S’il n’a pas émis de recommandation spécifique à la Suisse en matière de transparence, il préconise en général que les rapports sur les tests des systèmes soient publiés dans le but d’accroître la transparence et la vérification des processus.[14]
La vraie impulsion internationale en matière de transparence du code source est venue des « pairs ». La publication du code source du système norvégien[15] (établi par un fournisseur privé, la société espagnole SCYTL) a contribué au développement de la transparence du vote par internet. L’Estonie a publié le code source de son système, sur Github en 2013.[16]
La nouvelle Recommandation du Conseil de l’Europe sur les normes relatives au vote électronique (Rec(2017)5) recommande en général aux États de faire preuve de transparence pour tous les aspects du vote électronique (norme 31). La divulgation des composants du système à des fins de vérification et de certification (norme 33) a pour objectif d’assurer, avant tout, le droit d’accès des autorités en charge des élections. Si une publication plus large du code source est prévue, celle-ci devrait se faire bien avant le début de la période électorale.[17]
L’organisation actuelle de la réglementation fédérale du vote électronique, avec sa structure en cascade (LDP, ODP, OVotE et Annexe), permet la mise à jour relativement rapide des prescriptions détaillées (OVotE et annexe) afin de tenir compte notamment des développements techniques et des bonnes pratiques importantes pour la sécurité. La publication du code source du logiciel de vérifiabilité complète relève de la sécurité. Il est admis que les aspects de sécurité du vote électronique doivent être réglementés en détail au niveau fédéral afin d’assurer la mise uniforme des principes constitutionnels. Les cantons, sous l’impulsion notamment des électeurs, font plus, notamment en matière de transparence du code source du système en général. Avec la modification récente d’OVotE, la Confédération, dans le cadre de ses compétences, s’aligne sur les bonnes pratiques cantonales et internationales.
La digitalisation impose un cercle vertueux
L’introduction du vote électronique dans les cantons suisses a été l’occasion de commencer ou de poursuivre un effort de systématisation et de digitalisation des documents et des processus impliqués dans une votation ou élection. L’on pense notamment aux améliorations en termes de qualité des données apportées par l’harmonisation/centralisation des registres des Suisses de l’étranger, ou bien au travail de structuration et de standardisation lors de l’élaboration de normes eCH relatives aux droits politiques. Les résultats de cet effort bénéficient bien entendu à la conduite des élections et des votations en général.
Une fois le vote électronique introduit, la réglementation fédérale exige des efforts continus afin que les systèmes restent conformes à l’état de la technique. En parallèle, les exigences, en tout cas fédérales et notamment de sécurité, évoluent en fonction de développements techniques, politiques etc. et pour s’aligner sur de bonnes pratiques, comme en témoigne l’exemple du code source.
Ces deux aspects illustrent le fait que la digitalisation en général et le vote électronique en particulier sont exigeants envers les autorités, électorales en l’occurrence. L’avantage c’est que cela leur permet d’être en phase avec les développements sociaux et techniques, ce qui contribue de manière générale au développement de la démocratie. Le processus d’apprentissage est continu. La publication du code source est une nouvelle approche de la sécurité du vote électronique (de centralisée et caché elle devient ouverte) en ligne avec les bonnes pratiques actuelles. Elle témoigne de la maturité des projets.
Referenzen
[1] La modification du 30 mai 2018 de l’OVotE (RO 2018 2279) (modification de l’article 7 alinéas 2 et 3 et introduction des articles 7a et 7b) est entrée en vigueur le 1er juillet 2018. L’annexe d’OVotE a également été adaptée à cette date. Lien vers les documents: https://www.bk.admin.ch/bk/fr/home/droits-politiques/groupe-experts-vote-electronique/criteres-pour-les-essais.html (tous les liens internet ont été consultés le 14/082018).
[2] Au niveau fédéral, le vote électronique est régi par des principes constitutionnels, notamment l’article 34.2 Cst. (Cst., RS 100) sur la liberté de vote et légaux. L’article 8a de la loi fédérale sur les droits politiques (LDP, RS 161.1) en est la base légale. Des prescriptions détaillées sur la mise en œuvre des principes se trouvent dans l’ODP, l’OVotE et son annexe.
[3] Le premier rapport du Conseil fédéral sur le vote électronique de 2002 note que « La sécurité permanente et absolue est une illusion » (FF 2002 612, 639).
[4] Le troisième rapport du Conseil fédéral sur le vote électronique du 14 juin 2013, FF 2013 4519, pose les lignes directrices du développement de la deuxième génération. À sa suite, l’Ordonnance fédérale sur les droits politiques (ODP, RS 161.11) a été modifiée et un nouvel instrument, l’Ordonnance de la Chancellerie fédérale sur le vote électronique (OVotE, RS 161.116) a été introduit le 13 décembre 2013 (resp. RO 2013 5365 et RO 2013 5371). En vigueur depuis le 15 janvier 2014.
[5] Vérifiabilité individuelle et vérifiabilité universelle composent la vérifiabilité complète.
[6] Cf. les renvois aux bonnes/meilleures pratiques dans l’Annexe OVotE
[7] Andreas Auer/Nicolas von Arx, «La légitimité des procédures de vote: les défis du e-voting», Genève 2001, https://www.ge.ch/document/10276/telecharger
[8] La sécurité reposait sur les mesures prises par le votant pour protéger son poste privé, sur l’effet dissuasif des dispositions pénales et sur la sécurité offerte par le système lui-même au niveau structurel, fonctionnel et technique. On comptait également sur le caractère complémentaire et non pas exclusif du canal de vote électronique. Cf. par exemple le premier rapport du Conseil fédéral sur le vote électronique de 2002 (FF 2002 612, 632 ss, notamment l’exemple rapporté en p. 640).
[9] Cf. point 5.4.4 du troisième rapport du Conseil fédéral sur le vote électronique.
[10] Rapport de la Commission des droits politiques et du règlement du Grand Conseil chargée d’étudier le projet de loi du Conseil d’État modifiant la loi sur l’exercice des droits politiques (LEDP) (A 5 05) (Accès au code source du vote électronique), déposé le 7 janvier 2016. PL 11701 – A http://ge.ch/grandconseil/data/texte/PL11701A.pdf
[11] https://github.com/republique-et-canton-de-geneve/chvote-1-0
[12] La documentation sur Conseil de l’Europe sur le vote électronique est disponible sur https://www.coe.int/fr/web/electoral-assistance/e-voting
[13] Standards 20 ss. de l’ancienne Recommandation Rec(2004)11 du Comité des Ministres aux États membres sur les normes juridiques, opérationnelles et techniques relatives au vote électronique, adoptée le 30 septembre 2004.
[14] Pour une vue d’ensemble des recommandations internationales pertinentes, voir le troisième rapport du Conseil fédéral sur le vote électronique, notamment le point 1.8.1
[15] https://www.regjeringen.no/en/historical-archive/Stoltenbergs-2nd-Government/Ministry-of-Local-Government-and-Regiona/tema-og-redaksjonelt-innhold/kampanjesider/e-vote-trial/id597658/
[16] https://github.com/vvk-ehk/ivxv
[17] Lignes directrices pour la mise en œuvre des dispositions de la Recommandation Rec(2017)5 sur les normes relatives au vote électronique, no. 31.b