La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

Etant aussi présents Madame Marie-Hélène MITJAVILE. MM. Jean-Marie COTTERET, Jean-François CARREZ, et Dominique RICHARD, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n°95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2012-282C du 24 septembre 2012 de la Présidente de la Commission nationale de l'informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société X ;

Vu la plainte n°12024457du 07 août 2012;

Vu le rapport de M. Jean MASSOT, commissaire rapporteur, adressé par porteur à X, le 05 novembre 2012;

Vu les observations écrites versées par X le 08 décembre 2012, par Y les 06 décembre 2012, et 15 janvier 2013 ainsi que leurs observations présentées oralement lors de la séance de la formation restreinte du 17 janvier 2013 ;

Vu les autres pièces du dossier.

Ayant entendu, lors de la réunion de la formation restreinte du 17 janvier 2013:
- M. JEAN MASSOT, commissaire, en son rapport ;
- Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
- M. Edouard GEFFRAY, Secrétaire général de la CNIL,
- M. A, chef d'établissement de la société X, Me B, avocat, son conseil.
- M. C, Gérant de la société Y, en qualité d'intervenant volontaire, Me D, avocat, son conseil, Monsieur E, expert informatique agréé par la cour de Cassation et Monsieur F, son collaborateur.

Ces derniers ayant pris la parole en dernier,

A adopté la décision suivante : 

FAITS ET PROCÉDURE

La Commission nationale de l'informatique et des libertés (ci-après la "Commission" ou la "CNIL") a été saisie d'une plainte formée par un syndicat de la société X (ci-après "X" ou la "société") le 7 aout 2012. Cette plainte visait l'organisation des élections professionnelles par voie électronique au sein de la société.

Par courrier du 21 août 2012, la Commission a informé la société de la plainte et a demandé des précisions sur les mesures de sécurité entourant les élections par voie électronique. Il lui a été répondu le 6 septembre 2012. Aux termes de la réponse, la Commission a été informée de l'organisation des élections en octobre 2012 et du fait que le système de vote électronique retenu était celui de la société Y (ci-après le "prestataire" ou le "sous-traitant").

Par décision n°2012-282C du 24 septembre 2012, la Présidente de la Commission a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société.

Au vu des éléments constatés lors des missions diligentées dans les locaux de la société les 25, 27 septembre et 2 octobre 2012, la Présidente de la Commission a désigné, M. Jean MASSOT, Commissaire, membre de la CNIL, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a fait notifier à la société par porteur, le 05 novembre 2012, un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l'encontre de la société un avertissement, dont il sollicitait par ailleurs qu'il soit rendu public.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 13 décembre 2012 indiquant à la société qu'elle disposait d'un délai d'un mois pour communiquer ses observations écrites.

La société a fait connaître ses observations par courrier. A sa demande le prestataire a été admis à présenter ses observations en qualité d'intervenant volontaire, son intérêt à intervenir étant établi. Le sous-traitant a adressé ses observations par télécopie et coursier le 06 décembre 2012. Il a par ailleurs introduit devant le Conseil d'Etat une requête en référé par laquelle il sollicitait du juge qu'il ordonne des mesures d'expertise complémentaires. Par ordonnance du 12 décembre 2012, le Conseil d'Etat a rejeté cette demande. Dans le même temps la Présidente de la formation restreinte a ordonné le report de la séance au 17 janvier 2013. Le 15 janvier 2013, le prestataire a complété ses écritures par courrier. La société et le prestataire ont présenté leurs observations orales lors de la séance de la formation restreinte du 17 janvier 2013.

A l'issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté la décision dont la teneur suit.

MOTIFS DE LA DÉCISION

1. Sur la qualité de responsable de traitement

A titre liminaire, il appartient à la formation restreinte de se prononcer sur la qualité de la société et sur l'étendue de ses responsabilités au regard de l'organisation du scrutin par voie électronique, objet de la présente décision.

La société entend faire valoir dans ses écritures comme dans ses observations orales qu'elle a respecté l'obligation de moyen prévue par l'article 34 de la loi du 6 janvier 1978 modifiée relativement à la sécurité qui, dans ses différentes branches ou composantes, constitue l'unique manquement qui lui est reproché.

Elle affirme que pour l'organisation des élections professionnelles par voie électronique dont il est débattu, elle a fait appel à un prestataire connu et qui présentait toutes les apparences de garanties de confidentialité et de sécurité relativement au traitement de données à caractère personnel.

Elle indique qu'elle avait déjà eu recours à ce prestataire dans le passé et que la solution de vote électronique dite [...] n'a pas été remise en cause par les juridictions appelées à juger de l'organisation de plusieurs élections par voie électronique.

Elle affirme avoir pris contractuellement des mesures pour assurer, par des stipulations précises, le respect des obligations découlant tant du Code du travail que de la loi du 6 janvier 1978 modifiée.

Enfin, elle évoque une possible manœuvre destinée à remettre en cause l'accord professionnel relatif au vote électronique dont la plainte envoyée à la CNIL serait la traduction. A cet égard, elle fait valoir l'absence de contestation des résultats par les plaignants postérieurement à la tenue des élections. Elle estime qu'aucun élément n'atteste une quelconque fraude ou une atteinte aux données à caractère personnel.

En premier lieu, l'argument tiré de l'absence de contestation électorale est, au regard de la loi du 6 janvier 1978, inopérant.

En second lieu, l'obligation visée à l'article 34 de la loi du 6 janvier 1978 s'apprécie non pas au regard des critères de sélection d'un prestataire par la société mais bien au regard des seules mesures adoptées par ce prestataire pour assurer la sécurité des traitements et la confidentialité des données.

La formation restreinte rappelle qu'aux termes de l'art 35 de la loi, la société qui recourt à un sous-traitant n'en demeure pas moins l'unique responsable du traitement.

2. Sur les manquements à l'obligation d'assurer la sécurité des données au titre de l'article 34 de la loi du 6 janvier 1978 modifiée

A) Sur le défaut d'expertise du système de vote électronique

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a permis l'organisation des élections professionnelles par voie électronique. Le code du travail dans sa partie réglementaire contient les dispositions relatives à l'organisation et à la tenue des élections des délégués du personnel et des représentants du personnel au comité d'entreprise.

Le processus électoral prévu se trouve également soumis aux exigences de la loi du 6 janvier 1978 modifiée en ce qu'il fait appel à des traitements de données à caractère personnel. En particulier, il importe que la sécurité des traitements soit assurée en ce qu'elle participe à garantir le secret, la liberté et la sincérité du vote. Le décret n° 2007-602 du 25 avril 2007 relatif aux conditions et aux modalités de vote par voie électronique pour l'élection des délégués du personnel et des représentants du personnel au comité d'entreprise rend la CNIL destinataire légal des rapports préalables d'expertise pour lui permettre d'assurer le respect de la loi du 6 janvier 1978 modifiée.

Les dispositifs de vote électronique ont donné lieu à des délibérations de la CNIL en 2003 et 2010. La délibération 2010-371 du 21 octobre 2010 détaille la mise en œuvre concrète des exigences posées par la loi et notamment celles relatives à la prévues par l'article 34 de la loi du 6 janvier 1978 modifiée. A ce titre, les lignes directrices qu'elle pose permettent d'apprécier, tout en tenant compte du cas d'espèce, le respect des exigences prévues par la loi et le règlement.

Le prestataire entend contester la portée et le contenu de la délibération du 21 octobre 2010 de la CNIL dans ses observations complémentaires.

Il appartient à la formation restreinte d'apprécier les éventuels manquements relatifs à la sécurité des dispositifs de vote électronique, notamment par l'examen des expertises prévues par le Code du travail.

L'article 34 alinéa 1 de la loi du 6 janvier 1978 modifiée prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

L'article R 2314-12 alinéa 1er du Code du travail prévoit que préalablement à sa mise en place ou à toute modification substantielle de sa conception, le système de vote électronique est soumis à une expertise indépendante, destinée à vérifier le respect des articles R. 2314-8 à R. 2314-11. Le rapport de l'expert est tenu à la disposition de la Commission nationale de l'informatique et des libertés. . Les mêmes dispositions figurent à l'article R 2324-8 du même code concernant l'élection des délégués du personnel au comité d'entreprise.

L'exigence d'une telle expertise préalable à la mise en place du système de vote électronique est explicitée par la délibération de la CNIL.

En l'espèce, il ressort des constats effectués par les agents de la CNIL qu'une expertise a été réalisée le 1er octobre 2012, soit postérieurement au début des opérations de vote.

Le prestataire fait valoir que cette expertise était réalisée à sa demande sur la version dite V2 du système de vote électronique pour actualiser l'expertise réalisée en 2007 sur la version dite V1. Il indique que la version V2 n'aurait pas subi d'évolution majeure. De ce fait, l'expertise ne serait pas nécessaire au sens des exigences du code du travail. La société entend, pour sa part, faire valoir que cette mesure d'audit ¬non obligatoire ¬ aurait été présentée comme une garantie supplémentaire.

Le prestataire estime par ailleurs que l'expertise prévue par le Code du travail n'est pas imposée lors de chaque scrutin et que la recommandation de la CNIL irait au-delà des exigences réglementaires. Il fait valoir qu'une telle expertise portant sur l'intégralité du code du logiciel est matériellement et économiquement impossible ; qu'elle serait inutile en l'absence d'une quelconque incidence de l'environnement informatique de la société responsable de traitement sur la solution de vote électronique.

Enfin il conteste l'affirmation selon laquelle l'identité entre le système objet de l'expertise et celui utilisé dans le cadre des élections organisées par la société ne peut être établie.

La formation restreinte ayant pris connaissance tant des éléments figurant au rapport que de ceux fournis par la société et son prestataire estime, en l'espèce, que le dépôt d'un logiciel auprès d'un huissier de justice ne suffit pas à établir la correspondance entre le logiciel déposé et celui employé dans le système de vote électronique. Les éléments visés aux articles R 2314-20 et R 2324-16 du Code du travail conservés en vue d'une action contentieuse ne permettent pas de vérifier l'état du système avant sa mise en œuvre comme c'est le cas pour l'expertise indépendante préalable.

En l'espèce, si la comparaison des codes des logiciels, conservés par huissier et sous scellés à l'issue du vote, pourrait être réalisée, rien ne permet cependant d'affirmer comme le fait le prestataire l'identité entre le système expertisé et celui utilisé.

Le caractère préalable de l'expertise indépendante, tenue à la disposition de la CNIL et remise à la société, doit en effet permettre de s'assurer du fonctionnement du système de vote électronique notamment avant le jour du scrutin et de contrôler a posteriori le résultat.

A défaut d'une telle transmission préalablement à l'ouverture du vote et en l'absence des éléments permettant une comparaison effective, le manquement à l'article 34 de la loi du 6 janvier 1978 modifiée est constitué.

B) Sur le défaut de confidentialité des moyens d'authentification

Il est reproché à la société d'avoir manqué, en qualité de responsable de traitement, à son obligation de prendre ou de faire prendre par le prestataires toutes les précautions utiles pour assurer la sécurité des données à caractère personnel au sens de l'article 34 de la loi du 6 janvier 1978 modifiée. Ce défaut de sécurité affecterait la confidentialité des données à plusieurs titres dont il suffit de s'assurer que l'un au moins est constitué.

L'article R2324-5 et R 2314-9 disposent que Le système retenu assure la confidentialité des données transmises, notamment de celles des fichiers constitués pour établir les listes électorales des collèges électoraux, ainsi que la sécurité de l'adressage des moyens d'authentification, de l'émargement, de l'enregistrement et du dépouillement des votes

Il est établi que les identifiants et mots de passe permettant le vote sont adressés ensemble par courrier simple au domicile du salarié électeur, ou par courrier électronique. Il est également établi, sans que cela soit démenti, que ces envois ne donnent pas lieu à utilisation d'un procédé de sécurisation particulier ; ni pour la version papier, ni pour la version informatisée.

Le prestataire entend faire valoir que ces données ne présentent pas une sensibilité qui justifie à elle seule un niveau de sécurité plus élevé et que par ailleurs, s'agissant de codes à usage unique, le risque relatif à la sécurité est limité et nul concernant la confidentialité du vote.

La formation restreinte considère toutefois qu'en l'absence de mesures permettant de s'assurer que seul l'électeur aura accès aux moyens de vote ou destinées à séparer l'identifiant du mot de passe, les exigences de confidentialité prévues tant par le décret que par la délibération de la CNIL ne sont pas satisfaites. Pareillement, ces défauts ne permettent pas de se prémunir efficacement contre une éventuelle usurpation de la qualité d'électeur, que cette circonstance se soit ou non réalisée.

La constatation de ces éléments suffit à elle seule à caractériser le manquement à l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.

C) Sur le défaut de chiffrement ininterrompu du bulletin de vote

Il est enfin reproché à la société d'avoir manqué à son obligation de sécurité en ne recourant pas, pour la réalisation de ses opérations de vote, à une solution de vote électronique assurant un chiffrement ininterrompu du bulletin de vote émis par l'électeur. La solution appliquée ne présenterait pas les garanties de sécurité attendues d'un système de vote électronique en ce que le bulletin de vote ne serait pas chiffré de manière ininterrompue ce qui exposerait l'électeur, tant à la révélation du sens de son vote, qu'à une modification de celui-ci.

L'article 2 alinéa 3 de l'arrêté du 25 avril 2007 du ministre de l'emploi, de la cohésion sociale et du logement pris en application du décret n° 2007-602 du 25 avril 2007 relatif aux conditions et aux modalités de vote par voie électronique pour l'élection des délégués du personnel et des représentants du personnel au comité d'entreprise et modifiant le code du travail prévoit que "Les données du vote font l'objet d'un chiffrement dès l'émission du vote sur le poste de l'électeur". Il est ajouté à l'article 6 du même arrêté que le vote est anonyme et chiffré par le système, avant transmission au fichier " contenu de l'urne électronique " dans les conditions fixées à l'article 2, alinéa 3. La validation le rend définitif et empêche toute modification.

La délibération n°2010-371 du 21 octobre 2010 de la Commission précise dans ses recommandations relatives au chiffrement du bulletin de vote indique que Le bulletin de vote doit être chiffré par un algorithme public réputé fort dès son émission sur le poste de l'électeur et être stocké dans l'urne, en vue du dépouillement, sans avoir été déchiffré à aucun moment, même de manière transitoire.

Dans ses écritures, le prestataire dénonce les analyses techniques présentées au rapport et réalisées à partir des constats effectués à l'occasion de l'organisation des élections de la société. Il entend par ailleurs faire valoir que sa solution d'obfuscation correspondrait au chiffrement prévu par l'arrêté et que par ailleurs cette obfuscation pourrait être regardée comme un chiffrement fort. Il conteste enfin le fait que le procédé de chiffrement qu'il emploie serait interrompu en cela qu'il utiliserait des procédés cumulatifs et non successifs de cryptage et ceci à trois niveaux dans le processus conduisant de l'expression du vote à son enregistrement dans l'urne électronique. Enfin, il conteste la pertinence des choix techniques opérés dans la délibération et remet en cause à la fois sa praticabilité mais encore son efficacité. A cet effet, il fait valoir les conclusions de plusieurs rapports d'experts versés au soutien de ses écritures dont les rapports G, H et I.

Il appartient à la formation restreinte de déterminer si la méthode utilisée par le prestataire de la société peut être regardée, au vu des éléments présentés, comme emportant un chiffrement dès l'émission du vote sur le poste de l'électeur.

Il ressort clairement des termes de l'arrêté du ministre en charge du travail du 25 avril 2007, repris par la délibération de la CNIL, qu'il est attendu un chiffrement du bulletin de vote réalisé sur le poste de l'électeur, à l'exception de tout autre lieu ; que s'agissant de la séquence de cette opération technique, elle est attendue dès l'émission du vote et à aucun autre moment.

A la lecture des observations du prestataire, il peut être constaté que seul l'algorithme de chiffrement dénommé AES128 est réputé fort par l'expert appelé à examiner la version V2 du système de vote électronique. S'agissant de la technique dite de l'obfuscation, celle-ci est qualifiée de chiffrement par l'un seulement des experts mais deux rapports font état du fait qu'elle rend seulement difficilement exploitables les messages ou les flux. Il n'apparaît pas de ces éléments que les deux techniques puissent être tenues pour équivalentes quant au niveau de sécurité qu'elles offrent.

Par ailleurs et s'agissant des exigences de localisation des opérations de cryptage sur le poste de l'électeur, la formation restreinte constate que le rapport G laisse entendre que le vote qui avait été préalablement crypté dans la base temporaire est décrypté afin d'obtenir la confirmation du vote par l'électeur et que celui-ci est à nouveau chiffré par l'algorithme AES128 au niveau du serveur applicatif.

La formation restreinte estime donc que le dispositif de vote électronique [...] du prestataire ne permet pas de réaliser un chiffrement ininterrompu puisqu'une opération de levée de l'obfuscation est réalisée avant l'utilisation de l'algorithme AES 128 et que ce chiffrement n'a pas lieu sur le poste de l'électeur avant l'envoi du vote mais postérieurement avec un algorithme réputé fort.

Au vu de ce qui précède, la formation restreinte estime que le manquement à l'article 34 de la loi du 6 janvier 1978 modifiée est constitué ;

Sur les manquements constatés et la publicité de la décision

Dans ces conditions, la formation restreinte considère que la société X, en sa qualité de responsable de traitement, a manqué à plusieurs obligations lui incombant en application de l'article 34 de la loi du 6 janvier 1978 modifiée.

Au regard des circonstances, la formation restreinte décide de prononcer l'avertissement prévu par l'article 45 de cette loi et de rendre cet avertissement public.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer un avertissement à l'encontre de la société X ;

- De rendre publique sa décision sur le site Internet de la Commission et sur le site Légifrance.

La Présidente,

Claire DAVAL

Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.