le vote automatise: l`e-démocratie face à l`analyse critique des flux d

Transcription

UNIVERSITE LIBRE DE BRUXELLES
Faculté de Philosophie et Lettres
LE VOTE AUTOMATISE
L’E-DÉMOCRATIE FACE À L’ANALYSE CRITIQUE DES FLUX D’INFORMATION
VANDERELST
CAROLINE
Mémoire présenté sous la
direction de Mme le Professeur
Isabelle Boydens, en vue de
l’obtention du titre de licenciée
en Sciences du Livre et des
Bibliothèques
ANNÉE ACADÉMIQUE 2001-2002
Tout d’abord, nous tenons particulièrement à remercier notre directrice de mémoire :
sa disponibilité, ses conseils et ses encouragements ont grandement contribué à la rigueur et à
la clarté de notre travail.
Nous remercions également toutes les personnes qui ont contribué, de près ou de loin, à la
réalisation de ce travail et parmi elles :
Monsieur Henry Snyer, informaticien du ministère de l’Intérieur, spécialisé dans le vote
électronique, qui a eu la gentillesse de répondre à toutes nos interrogations sur les aspects
techniques et pratiques du vote automatisé tel qu’il est organisé en Belgique ;
Messieurs Benoît Vandersmissen et Daniel Lodewyckx, membres du personnel
administratif de la commune de Woluwé-Saint-Lambert, qui nous ont fait bénéficier de leur
expérience sur le terrain ;
Madame Ingrid Bens, conseillère au service Elections et Population du ministère de
l’Intérieur, par les précieux contacts qu’elle a établis en notre nom ;
Mademoiselle Geneviève Audenaert, pour le "coup de pouce" qu’elle nous a donné ;
Mesdames Carine Procureur et Myriam Stern ainsi que mesdemoiselles Cécile Cubert et
Bénédicte Plovier, pour leurs relectures attentives.
Table des matières
1.
Introduction ....................................................................................................... 5
A.
MISE EN CONTEXTE ......................................................................................................... 5
1. De l’ "e-démocratie" au vote électronique................................................................. 6
2. De l’adoption du vote électronique............................................................................ 6
B.
PRESENTATION DU SUJET................................................................................................. 7
C.
CRITERES D’EVALUATION ............................................................................................... 8
1. Critères traditionnels ................................................................................................. 9
2. Limites des systèmes traditionnels ........................................................................... 10
3. Critères adaptés à l’informatique ............................................................................ 11
2.
Méthodologie ................................................................................................... 12
3.
Historique et typologie des systèmes ........................................................... 15
A.
PRESENTATION CHRONOLOGIQUE .................................................................................. 15
1. Les machines à levier mécanique............................................................................. 15
2. Les lecteurs de cartes perforées ............................................................................... 16
3. Le scanner optique ................................................................................................... 17
4. Les systèmes électroniques d’enregistrement direct ................................................ 18
5. Le vote par courrier électronique ............................................................................ 20
6. Le vote en ligne ........................................................................................................ 20
7. Autres systèmes ........................................................................................................ 22
8. Lieu de dépouillement des résultats ......................................................................... 22
B.
CONCLUSIONS ............................................................................................................... 23
4.
Deux systèmes distincts de vote automatisé ............................................... 24
A.
LES SYSTEMES ELECTRONIQUES D’ENREGISTREMENT DIRECT ....................................... 24
1. Mise à disposition de l’équipement .......................................................................... 25
1.1.
Infrastructure matérielle ................................................................................... 26
1.2.
Infrastructure logicielle .................................................................................... 28
1.3.
Information de l’électeur.................................................................................. 29
1.4.
Conclusions ...................................................................................................... 30
2. Préparation de l’infrastructure................................................................................ 31
2.1.
Au niveau du ministère de l’Intérieur .............................................................. 31
2.2.
Au niveau du bureau de vote............................................................................ 32
2.3.
Information du président et des assesseurs ...................................................... 33
2.4.
Conclusions ...................................................................................................... 34
3. Réalisation du vote ................................................................................................... 34
3.1.
Identification des électeurs et distribution des cartes magnétiques.................. 35
3.2.
Rédaction du bulletin ....................................................................................... 35
3.3.
Vérification du vote.......................................................................................... 37
3.4.
Enregistrement du vote..................................................................................... 38
3.5.
Surveillance de la procédure ............................................................................ 39
3.6.
Conclusions ...................................................................................................... 41
2
4.
Stockage et comptage des votes ............................................................................... 41
4.1.
Au niveau du bureau de vote............................................................................ 42
4.2.
Au niveau du bureau principal ......................................................................... 42
4.3.
Conclusions ...................................................................................................... 43
5. Publication des résultats .......................................................................................... 44
5.1.
Conclusions ...................................................................................................... 44
6. Ergonomie ................................................................................................................ 45
7. Vers une généralisation du vote automatisé … ........................................................ 45
8. Synthèse.................................................................................................................... 45
8.1.
Typologie des fraudes ..................................................................................... 46
8.2.
Impact des interventions humaines ................................................................. 47
8.3.
Les systèmes électroniques d’enregistrement direct face aux critères
d’évaluation ................................................................................................ 49
9. Conclusion................................................................................................................ 51
B.
LE VOTE EN LIGNE ......................................................................................................... 53
1. Inscription à l’élection ............................................................................................. 54
1.1.
Identification de l’électeur ............................................................................... 55
1.2.
Distribution des identificateurs ........................................................................ 55
1.3.
Conclusions ...................................................................................................... 56
2.1.
Infrastructure matérielle et logicielle ............................................................... 57
2.2.
Danger des codes malicieux ............................................................................. 59
2.3.
2.4.
Conclusions ...................................................................................................... 65
3. Réalisation du vote ................................................................................................... 66
3.1.
Identification des électeurs............................................................................... 67
3.2.
Rédaction et envoi du bulletin.......................................................................... 69
3.3.
Conclusions ...................................................................................................... 74
4. Réception et stockage des votes ............................................................................... 75
4.1.
Transfert du bulletin ......................................................................................... 75
4.2.
Comptage des votes.......................................................................................... 76
4.3.
Gestion des identificateurs ............................................................................... 77
4.4.
Conclusions ...................................................................................................... 77
5.1.
Rétroaction ....................................................................................................... 78
5.2.
Conclusions ...................................................................................................... 81
6. Ergonomie de la procédure...................................................................................... 81
7. Vers une adoption du vote en ligne …...................................................................... 81
8. Synthèse.................................................................................................................... 82
8.1.
8.2.
8.3.
Le vote en ligne face aux critères d’évaluation................................................ 85
9. Conclusion................................................................................................................ 87
C.
LES MACHINES A VOTER FACE AU VOTE EN LIGNE ......................................................... 88
3
5.
Une alternative : Le dépouillement optique .................................................. 90
A.
LE SCANNER OPTIQUE.................................................................................................... 90
1.1.
Infrastructure matérielle ................................................................................... 91
1.2.
1.3.
Conclusions ...................................................................................................... 92
2. Préparation de l’infrastructure................................................................................ 92
2.1.
Au niveau du ministère de l’Intérieur .............................................................. 92
2.2.
Au niveau du bureau principal ......................................................................... 93
2.3.
Information du président et des assesseurs ...................................................... 94
2.4.
Conclusions ...................................................................................................... 94
3. Réception et stockage des votes ............................................................................... 95
3.1.
Réception des urnes.......................................................................................... 95
3.2.
Lecture et comptage des bulletins .................................................................... 96
3.3.
Totalisation des résultats .................................................................................. 96
3.4.
Surveillance de la procédure ............................................................................ 97
3.5.
Conclusions ...................................................................................................... 97
5. Vers une adoption du dépouillement optique … ...................................................... 98
6. Synthèse.................................................................................................................... 98
6.1.
6.2.
6.3.
Le dépouillement optique face aux critères d’évaluation............................... 101
7. Conclusion.............................................................................................................. 102
6.
Conclusion..................................................................................................... 103
7.
Bibliographie ................................................................................................. 104
8.
Annexes ......................................................................................................... 123
A.
QUELQUES DEFINITIONS … .............................................................................................. I
B.
LEGISLATION ORGANISANT LE VOTE AUTOMATISE ......................................................... II
C.
DIAGRAMMES DE FLUX D’INFORMATIONS ...................................................................... IV
D.
TABLEAUX SYNOPTIQUES .............................................................................................XXI
4
1. Introduction
A.
Mise en contexte
« Deux cent cinquante-cinq voix à chacune des cases de tête des listes
Nouvelles communes, Parti socialiste et Liste du bourgmestre, cinquante-cinq à
celle du Parti Ecolo. Un total de six mille cinq cent vingt-cinq suffrages pour
seulement six mille quatre cent quarante-huit électeurs, soit septante-sept voix
excédentaires. »5
Tels furent les résultats annoncés par les autorités jurbisiennes au soir des
élections électroniques du 20 octobre 2000. Hasard ? Défaillance du système ?
Deux urnes non-scellées conservées dans un local non fermé et un dépouillement
réalisé sur base de la copie de sauvegarde motivèrent l’annulation de l’élection par
le Conseil d’Etat. Elle fut reconduite le 22 avril suivant, légitimant les
nominations motivées par le premier scrutin.
Si cette situation constitua un cas isolé lors des dernières élections, elle fut brandie en
exemple par les détracteurs du nouveau système électoral. L’informatique fut pointée du doigt
ainsi que la violation flagrante de la procédure, rien ne garantissant que d’autres incidents
similaires ne s’étaient pas produits, sans être détectés (de nombreux recours en annulation
furent d’ailleurs introduits un peu partout dans le pays, preuve de la méfiance omniprésente
vis-à-vis des machines). Menace réelle ou imaginaire, source de polémique, le vote
électronique6 est néanmoins une réalité avec laquelle nous devons dorénavant compter7, et
dont la généralisation et l’extension (le vote en ligne8) sont déjà envisagées à long terme, dans
la vague "e-démocratique" actuelle.
5
Vanderhaegen (Thierry), Vote électronique sur la sellette. Jurbise va recompter trois disquettes, in : Le Soir
n°287, 12/12/2000, p.4
6
cf. définition en annexe A
7
la somme des investissements déjà réalisés par l’Etat et par les communes interdisant tout retour en arrière. Les
premiers tests de 1991 coûtèrent cinquante millions de francs à l’Etat Belge. Le coût du matériel et des
logiciels acquis pour les élections ultérieures s’élevaient déjà à six cent cinquante millions en 1997. S’y
ajoutent les investissements réalisés par les communes, auxquels l’Etat participe à raison de vingt pour
cent. L’amortissement de ce financement est étalé sur dix ans.
[X, Le vote automatisé, Bruxelles, Ministère de l’Intérieur – Direction générale de la Législation et des
Institutions nationales, 1997, pp.20-23]
8
5
1.
De l’ "e-démocratie" au vote électronique
Le concept d’"e-démocratie" ou "démocratie électronique"9 émergea rapidement, au
cours de la dernière décennie, avec le développement des réseaux informatiques de
télécommunication et d’Internet en particulier. Ce dernier présageait un nouvel élan pour nos
démocraties occidentales en permettant une plus grande interaction entre gouvernants et
gouvernés. Celle-ci serait la source d’une meilleure information des citoyens, d’une plus
grande transparence de l’action publique ainsi que d’une mobilisation politique accrue. Elle
apporterait également une réponse à la désaffection des citoyens pour le monde politique et à
leur défiance à l’égard des élus. D’ores et déjà, de nombreux pays disposent d’une
administration en ligne dont les services s’étendent de la simple information (droits civils,
projets publics en préparation, …) à une automatisation des procédures (soumission de
formulaires, dialogue avec les autorités, …). Dans ce travail, nous nous focaliserons sur une
composante essentielle de la démocratie électronique, ou plutôt de notre démocratie : le vote
électronique.
2.
De l’adoption du vote électronique
Dans notre société où la participation à la vie civique décline (en témoignent la
difficulté croissante de trouver des assesseurs d’une élection à l’autre et la faiblesse des taux
de participation dans les pays ne connaissant pas un scrutin obligatoire10), l’automatisation du
scrutin11 est apparue aux autorités comme une solution acceptable, pouvant être mise en
œuvre sans modification profonde du code électoral12 et à un coût identique à celui du scrutin
traditionnel. Régression de la démocratie et facteur d’exclusion selon certains, modernisation
inévitable garante de sa survie et facteur de démocratisation selon d’autres, force est de
constater que les opinions divergent et que les interrogations quant à sa fiabilité sont
nombreuses13. De multiples associations, telles que la Ligue des Droits de l’Homme ou
PourEVA14 menée par Nabil Antoun, se sont ainsi formées, dénonçant la violation des
propriétés
fondamentales
d’une
élection
démocratique15.
Toutes
privilégient
une
9
En France, tout comme aux Etats-Unis, le vote en ligne est d’ailleurs perçu comme une technique susceptible
d’augmenter les taux de participation aux élections.
11
12
cf. annexe B
13
cf. p.5
14
http://www.poureva.org/
15
Celles-ci seront énoncées au point D de ce chapitre.
10
6
automatisation partielle du scrutin, autrement dit l’usage de scanners optiques16. Certaines
introduisent d’ailleurs des recours auprès des diverses instances compétentes.
Aux réticences des uns fait face l’enthousiasme des autres, dont certains envisagent déjà un
scrutin automatisé17 dispersé : le vote en ligne, réalisé à domicile18.
B.
Présentation du sujet
Dans ce travail, nous nous interrogerons sur les apports et les limites du vote
électronique tel qu’il est envisagé dans notre pays, c’est-à-dire par l’emploi de machines à
voter, de scanners optiques et d’Internet. Nous commencerons par dresser un bref historique
des méthodes d’automatisation du scrutin déjà appliquées à l’étranger. Il nous permettra
d’effectuer une première analyse critique globale de ces techniques avant d’entrer dans le vif
du sujet. Nous étudierons alors successivement les systèmes électroniques d’enregistrement
direct19 et le vote en ligne (méthodes d’automatisation totale du scrutin), puis les scanners
optiques (n’intervenant que pour le dépouillement des résultats). Nous évaluerons leur
compatibilité aux caractéristiques d’une élection démocratique (établies à la fin de ce
chapitre) ainsi que leurs apports en regard du scrutin traditionnel. En analysant les flux
d’informations qui les parcourent, nous observerons les fraudes potentielles et l’impact des
interventions humaines sur le processus. Nous effectuerons ensuite une comparaison
systématique des différents processus, sur base des observations réalisées. Nous espérons en
inférer les apports et les risques potentiels des processus étudiés et déterminer le caractère
démocratique du vote électronique. Plus spécifiquement, nous tenterons d’estimer s’il
constitue ou non un progrès par rapport au scrutin traditionnel, si les menaces avancées par les
diverses associations et relayées par la presse sont fondées, et si l’intégration d’Internet dans
notre système électoral est souhaitable.
16
18
Un bref historique des différentes techniques de vote automatisé sera présenté dans le second chapitre.
19
17
7
C.
Critères d’évaluation 20
Avant d’aborder la description et la critique des procédures électorales automatisées, il
nous semble nécessaire d’établir une liste, non hiérarchique, des caractéristiques attendues
d’un système électoral. Celles-ci peuvent être réparties en deux catégories : aux critères
traditionnels - déjà en vigueur lors des scrutins "papier", s’appuyant sur une conception
démocratique des élections et donc "obligatoires" - s’ajoutent des critères adaptés aux
caractéristiques propres des systèmes automatisés.
Les premiers vérifieront : l’identification des votants et leur authentification ; l’unicité,
le secret et l’indépendance du vote ; la précision et l’intégrité du scrutin ; la transparence et la
vérification du processus électoral ainsi que la correction du scrutin.
Les seconds s’intéresseront à la fiabilité du système, à la flexibilité et l’ergonomie de
l’équipement, à la mobilité de l’installation ainsi qu’à la certification du système. Ils sont
davantage marqués de subjectivité et dépendent de ce qui est réellement attendu de
l’automatisation du scrutin. Bien que l’aspect économique et humain soit généralement mis en
exergue, une informatisation du scrutin traditionnel ne saurait selon nous se justifier que par
une résolution des problèmes engendrés par les systèmes actuels (qui seront succinctement
présentés). Ces critères tiendront donc également compte de l’aspect fonctionnel et
ergonomique des procédés étudiés. En outre, certains d’entre eux s’appliqueront de façon
générale à toutes les procédures de vote automatisées alors que d’autres s’adresseront
spécifiquement à un (ou plusieurs) système(s) particulier(s). Enfin, des contradictions entre
ces critères ne sont pas exclues et seront d’ailleurs mises en évidence lors de leur application
systématique dans les chapitres qui suivront.
L’ensemble des critères ainsi définis sera confronté aux flux d’informations impliqués
dans les différentes étapes des systèmes étudiés afin d’identifier leurs avantages, leurs
carences et les compromis envisageables en leur sein.
20
Etablis principalement à partir de :
Cranor (Laurie F.) et Cytron (R.K.), Sensus: a Security-conscious Electronic Polling System for the Internet, in :
Proc. 30th IEEE Hawaii INT. Conf. on System Science, 1997, pp.562-263
Cranor (Lorrie F.), Declared-strategy Voting: an Instrument for Group Decision-making, Saint-Louis, 12/1996,
pp.30-32
Dini (Gianluca), Electronic Voting in a Large-scale Distributed System, in : Networks vol.38 n°1, 2001, p.23
Neumann (Peter G.), Security Criteria for Electronic Voting, Maryland, 1993, s.p.
Saltman (Roy G.), Accuracy, Integrity and Security in Computerized Vote-tallying, NBS Special Publication
500-158, s.l., Institute for Computer and Science Technology, 08/1988, pp. 96-117
X, Report of the National Workshop on Internet Voting: Issues and Research Agenda, s.l., Internet Policy
Institute, 03/2001, pp.11-27
8
1.
Critères traditionnels
L’identification des votants et leur authentification : seuls les citoyens jouissant
des droits civils et politiques sont autorisés à voter 21 ;
Le caractère unique du vote ou rejet des votes supplémentaires : aucun électeur
ne doit être autorisé à voter plus d’une fois au cours d’un même scrutin22 ;
Le secret du vote et l’impossibilité d’interaction entre les votants : personne ne
doit être capable de déterminer le vote d’une personne tierce, afin d’éviter les pratiques de
coercition et de vente des votes 23 ;
Le rejet des votes multiples : l’électeur ne peut voter pour deux listes différentes au
cours de la même élection24 ;
La précision du scrutin ou complétude des résultats : l’ensemble des votes émis
doit être pris en compte 25;
L’intégrité du scrutin : aucun vote ne doit pouvoir être modifié, contrefait ou
effacé sans détection de la part des autorités 26;
La transparence du processus électoral : celui-ci doit pouvoir être compris par les
votants en possédant une connaissance générale 27;
La possibilité de vérifier le scrutin
28
: le résultat de l’élection doit pouvoir être
vérifié par n’importe quel citoyen, sans qu’une connaissance spécifique dans l’un ou l’autre
domaine ne soit requise (deux niveaux de vérification seront envisagés : la vérification
universelle, n’importe quel citoyen pouvant vérifier de manière indépendante que tous les
votes ont été comptés correctement, et la vérification individuelle, les électeurs pouvant
vérifier de manière indépendante que leur propre vote a été compté correctement). Dans le cas
des scrutins automatisés, nous nous interrogerons également sur la possibilité d’effectuer un
recomptage indépendant, c’est-à-dire non-informatisé, du scrutin ;
21
Critère institué par l’article 10 de la Constitution coordonnée, Moniteur Belge, 17 février 1994
X, Report on Electronic Democracy Projects, Legal Issues of Internet Voting and Users Requirements
Analysis, Louvain, Commission Européenne, 1/06/2001, p.16
22
Critère institué par l’article 61 de la Constitution coordonnée, Moniteur Belge, 17 février 1994 [Ibid., p.20]
23
Critère institué par l’article 62 de la Constitution coordonnée, Moniteur Belge, 17 février 1994 [loc.cit.]
24
25
26
27
Critère implicite de l’article 64 de la Constitution coordonnée, Moniteur Belge, 17 février 1994 [loc.cit.]
28
Critère implicite de l’article 64 de la Constitution coordonnée, Moniteur Belge, 17 février 1994 [loc.cit.]
9
La correction du scrutin ou adéquation des résultats aux votes effectifs : le
résultat publié doit être égal au résultat réel de l’élection ; aucune information supplémentaire
ne doit être ajoutée au scrutin avant sa publication29.
2.
Limites des systèmes traditionnels
Le manque de mobilité du scrutin : celui-ci est aliéné à un site particulier. Voter
requiert donc des procédures administratives fastidieuses pour les électeurs se trouvant à
l’étranger ou ne pouvant pas se déplacer ;
L’accessibilité du scrutin : les infrastructures actuelles ne sont pas adaptées aux
personnes souffrant d’un handicap quel qu’il soit. Celles-ci doivent donc compter sur
l’assistance d’un tiers30 (compromettant ainsi le secret et l’indépendance de leur vote) ou lui
confier une dérogation ;
La difficulté de recruter des assesseurs : cette situation est la conséquence du
nombre croissant d’absences, justifiées ou non, d’une élection à l’autre31;
Le coût du matériel : chaque élection nécessite une grande quantité de papier dont
résultent des coûts d’achat et de stockage importants ;
La difficulté et la lenteur du comptage manuel : quiconque a un jour été assesseur
se souviendra de la difficulté à obtenir successivement le même résultat pour un ensemble
donné de bulletins, et de la longueur du processus.
L’absence de vérification individuelle : si des observateurs indépendants assistent
au dépouillement du scrutin (et exercent à ce titre une vérification universelle, au nom de tous
les citoyens), aucun électeur ne peut vérifier que son vote particulier sera effectivement
compté (il pourrait par exemple être invalidé)32.
29
Alors que l’intégrité du scrutin s’applique aux étapes de traitement et de comptage des votes, sa correction
concerne la publication des résultats. Critère institué par l’article 64 de la Constitution coordonnée,
Moniteur Belge, 17 février 1994 [loc.cit.]
30
Article 143 de la Constitution coordonnée, Moniteur Belge, 17 février 1994 [Ibid., p.48]
31
Ce point ne constitue pas vraiment une limite du système mais plutôt une conséquence de la baisse du sens
civique des citoyens déjà évoquée et problématique pour l’avenir de la procédure traditionnelle.
32
Si nous considérons que cette caractéristique est le corollaire de la procédure électorale démocratique, et plus
particulièrement du secret du vote, et qu’elle ne constitue en aucun cas une carence du système, nous
avons toutefois jugé qu’elle en constituait une limite, en regard du vote en ligne qui sera ultérieurement
étudié (cf. point 4.B.5.1.).
10
3.
Critères adaptés à l’informatique
La fiabilité ou robustesse du système : les systèmes électoraux devraient
fonctionner de manière fiable, sans risque de perte de votes, malgré les possibilités d’échec
des machines ou la perte totale des communications en ligne. Ils devraient également pouvoir
découvrir le comportement déviant de parties en coalition33 ; de plus, les votes qui ne peuvent
pas être pris en compte par la machine34 devraient pouvoir être comptés manuellement ; enfin,
la protection contre la présence d’un code caché dans le logiciel électoral doit être envisagée ;
La flexibilité de l’équipement : l’équipement électoral devrait être compatible avec
différents formats d’élections35, une variété de plates-formes et de technologies, et être
accessible aux personnes souffrant d’un handicap ;
L’ergonomie de l’équipement : outre la transparence du système électoral, les
votes devraient nécessiter un minimum de manipulations possibles, aisées à comprendre et à
effectuer ;
La mobilité de l’installation : aucune restriction sur le lieu de vote ne devrait être
imposée ;
La possibilité de certification du système : les systèmes électoraux devraient
pouvoir faire l’objet de simulations préalables à leur emploi réel, de façon à ce que les
administrateurs soient certains qu’ils rencontrent les critères nécessaires.
33
c’est-à-dire la collusion entre plusieurs administrateurs électoraux (par exemple le président et son bureau),
entre un administrateur et une personne tierce, etc. visant à modifier les résultats électoraux
34
leur support étant altéré ou illisible pour le système
35
Les principaux formats électoraux sont : le vote simple (un seul scrutin), le vote multiple (plusieurs scrutins se
déroulent simultanément) et le référendum (une ou plusieurs options sont à approuver ou à rejeter).
11
2. Méthodologie
Notre démarche a été dans un premier temps exclusivement théorique, axée sur nos
recherches bibliographiques essentiellement effectuées à partir d’Internet. Par la suite, nous
avons pris différents contacts afin d’approfondir nos analyses sur les systèmes électroniques
d’enregistrement direct et le dépouillement optique. Enfin, lorsque toutes les informations ont
été rassemblées, nous avons construit les diagrammes de flux d’informations qui ont servi de
base à nos critiques.
La rédaction de notre historique nous a d’abord conduite à consulter la presse
quotidienne et hebdomadaire, "papier" ou en ligne, belge ou étrangère. Nous avons exploité
les archives traditionnelles mais également celles des sites Internet ainsi que des CD-Roms,
lorsqu’ils existaient. Nous nous sommes limitée à une rétrospective de dix années
correspondant à la date d’introduction du vote automatisé en Belgique. Elle nous a permis de
percevoir le climat politique et social dans lequel il s’était développé. Nous y avons relevé un
certain nombre de critiques, plus ou moins pertinentes, à son égard qui nous ont ouvert
quelques pistes de recherche (associations réfractaires, …).
Nous nous sommes ensuite tournée vers les catalogues des différentes bibliothèques
universitaires belges ainsi que vers le Catalogue Collectif Belge. Si nous n’avons pas trouvé
de monographie spécifique à notre sujet, nous avons exploité les bibliographies des ouvrages
portant sur des thèmes connexes au nôtre, voire plus spécifiques.
Nous avons également utilisé différentes bases de données accessibles en ligne consacrées à la
littérature scientifique et technique. Notre objectif n’était pas de faire un recensement
exhaustif des articles publiés : nous sous sommes donc limitée aux études exclusivement
consacrées au vote électronique et dont la date de publication n’excédait pas dix ans (en
raison de l’évolution des concepts). La majorité d’entre elles était accessible en ligne, via des
sites personnels ou des bibliothèques virtuelles. La plupart avaient trait au vote en ligne et
nous ont permis de répertorier les différentes techniques applicables dans ce domaine. La
difficulté d’appréhender leur contenu nous a parfois conduite à consulter des sources de
vulgarisation scientifique (telles que www.commentcamarche.com). L’exploitation de leur
bibliographie nous a amenée à la consultation de différents rapports et thèses, officiels ou
universitaires, essentiellement d’origine américaine. Ils évaluaient les apports et les limites du
12
vote en ligne ainsi que des techniques antérieures et nous ont aidé à dresser la liste des critères
à prendre en considération dans notre analyse.
Ne maîtrisant pas la langue néerlandaise, nous nous sommes généralement basée sur les
versions anglaises des documents proposés par les universités néerlandophones. L’une de nos
conférences se déroulant en néerlandais, nous nous sommes procurée son compte rendu afin
de mieux pouvoir l’exploiter.
Par la suite, nous avons visité les sites des sociétés commerciales proposant des
systèmes de vote automatisé et des portails d’informations politiques (essentiellement
français). Nous avons alors réalisé la spécificité des systèmes utilisés en Belgique et leur
démarcation par rapport à notre démarche théorique adaptée au vote en ligne : ce dernier est
envisagé d’une manière assez homogène dans le monde car il se situe encore, sauf aux EtatsUnis, dans une phase de conceptualisation. Les machines à voter étant déjà bien installées,
différents systèmes concurrents se partagent le marché. C’est pourquoi nous sommes
concentrée, dans ce dernier cas, sur la situation de notre pays. Nous avons alors consulté les
informations proposées par le ministère de l’Intérieur sur son site Internet (notamment les
différentes brochures destinées aux citoyens) ainsi que la législation belge. Nous avons
contacté une commune connaissant un scrutin électronique, en l’occurrence celle de
Woluwé-Saint-Lambert, afin de conceptualiser les informations que nous avions récoltées et
cerner les difficultés rencontrées. Nous avons également assisté à une conférence organisée à
Charleroi à l’attention des électeurs dans le cadre des Ateliers du Travail du parti socialiste.
Certaines réponses apportées à cette occasion par le délégué du ministère ont évolué par la
suite, et nous avons dû en tenir compte dans notre travail (par exemple, le "ticketing").
Lorsque les descriptions "théoriques" ont été terminées, nous nous sommes tournée vers
le ministère de l’Intérieur afin de les préciser et d’approfondir l’aspect technique des deux
systèmes belges (celui-ci n’étant pas traité par la documentation couramment répandue). La
démonstration proposée par Monsieur Snyer, informaticien de ce ministère, s’est ainsi révélée
particulièrement intéressante et nous a permis de réaliser l’application effective des notions
préalablement décrites.
13
Sur base des différentes informations récoltées, nous avons ensuite réalisé des
diagrammes de flux d’information en nous inspirant du modèle proposé par Chris Gane et
Trish Sarson36. Nous les avons conçus comme des outils nous permettant situer les échanges
internes et externes aux systèmes étudiés ainsi que leurs failles potentielles. Ils ont été
effectués à partir des descriptions réalisées et ont servi de base à nos critiques qui ont conduit
à la construction de nos tableaux synoptiques37. Nous avons présenté les trois systèmes
étudiés selon la même structure afin de faciliter leur comparaison et d’homogénéiser les
chapitres, les tableaux et les schémas. Cependant, le découpage des chapitres ne correspond
pas nécessairement à celui des processus, la profondeur d’analyse des schémas étant
arbitraire38. Toutefois, nous avons intégré dans le texte des renvois systématiques vers les
processus étudiés.
36
Gane (Chris) et Sarson (Trish), Structured System Analysis: Tools and Techniques, New Jersey, Prentice-Hall,
Inc., 1979, xii+239p
37
Leur construction est explicitée en annexe D.
38
cf. p.IV
14
3. Historique et typologie des systèmes
Si la Belgique s’intéresse depuis une dizaine d’années au scrutin "électronique" et a
acquis dans ce domaine un statut de "précurseur européen", les premières procédures de vote
automatisées ont vu le jour à la fin du dix-neuvième siècle de l’autre côté de l’Atlantique.
Ce chapitre présentera chronologiquement les différentes techniques conçues depuis
l’invention de la machine à voter par Thomas Edison en 1869. Celles-ci sont toujours en
usage actuellement bien que leur forme ait évolué au cours du temps. Leur typologie39 se veut
la plus généraliste possible, chaque technologie impliquant des spécifications, voire même des
dénominations, propres aux constructeurs, au format de l’élection (vote simple, multiple ou
référendum) et à sa mise en œuvre. Une première conclusion, sous forme de tableau
comparatif récapitulant les principales caractéristiques des systèmes évoqués, clora le
chapitre.
A.
1.
Présentation chronologique
1892 : Les machines à levier mécanique
La première machine à levier mécanique (la machine Meyers) fut introduite en 1892
dans l’Etat de New York avant d’être adoptée par toutes les grandes métropoles américaines
dans les années trente.
Description matérielle et fonctionnelle
Ce système automatise à la fois le dépôt et le dépouillement des votes. Il est constitué
d’un isoloir muni de roues où des commutateurs (ou leviers) font face à une liste de noms des
candidats, de partis ou d’options de référendum. Les votants y actionnent les commutateurs
qui correspondent à leur choix. Ce dernier est comptabilisé à l’arrière de la machine lorsque le
levier principal est enclenché.
Les compteurs actuels sont basés sur la notation décimale : l’arrivée d’une donnée met en
mouvement la roue des unités ; chaque fois que cette dernière a effectué un tour complet, elle
39
Etablie principalement à partir de :
X, Report of the National Workshop on Internet Voting: …, pp.6, 9-10
X, A Preliminary Assessment of the Reliability of Existing Voting Equipment, pp.4-5
Jones (Douglas W.), op. cit., s.p.
Saltman (Roy G.), op. cit., pp.14-17, 32-53
15
actionne la roue des dizaines d’un dixième de sa révolution ; celle-ci active de la même façon
la roue des centaines ; etc. 40
Des disjoncteurs empêchent les fraudes telles que les votes supplémentaires et les votes
multiples41. Quand l’électeur quitte l’isoloir, les leviers reprennent automatiquement leur
position originale, garantissant le secret du scrutin.
A la fin de l’élection, les machines sont ouvertes et la valeur de chaque compteur est transcrite
sur un document officiel (ou imprimée automatiquement sur les machines plus récentes) qui
sera traité au centre de comptage.
Si le manque de mobilité du matériel et ses coûts de stockage élevés constituent les
principales limites des machines à levier mécaniques, l’adéquation des résultats aux votes
effectifs (possibilité d’introduction de votes supplémentaires par les assesseurs) et la
vérification du scrutin (il n’y a pas d’enregistrement indépendant des compteurs et, en cas de
nombre de votes inférieur à celui des votants, il est impossible de déterminer si un défaut de la
machine ou une erreur de manipulation de l’électeur en est la cause) sont sujets à caution.
2.
c.1960 : Les lecteurs de cartes perforées
Développés à partir de 1890 mais introduits effectivement dans les années soixante, les
lecteurs de cartes perforées automatisent la comptabilisation des votes en recourant à la
technologie informatique. Ils sont particulièrement utilisés lors d’élections internes au sein
des écoles américaines en raison de leur mobilité, de la faiblesse de leur coût et de leur
durabilité. Suite au fiasco de Floride42, leur emploi lors d’élections publiques est toutefois mis
en péril, de nombreuses entreprises43 ayant annoncé le développement de technologies
électroniques de vote pour les remplacer.
40
Hayes (Brian), How to count, in : Computing Science, 2001, s.p.
Dès que le votant confirme son vote, le disjoncteur change d’état et refuse l’enregistrement d’un élément
supplémentaire par le compteur pour le même électeur.
42
Lors des élections présidentielles de 2000, conformément à la législation en vigueur en Floride, le faible écart
de voix entre les deux candidats conduisit à un recomptage manuel des bulletins. Celui-ci démontra la
défectuosité du système de lecture des cartes perforées, de nombreux votes valables étant rejetés.
L’importance de l’enjeu entraîna de nombreux recours. Ils aboutirent à des jugements contradictoires tour
à tour émis par les différentes instances de l’Etat et à de multiples comptages aux résultats différents. Ces
derniers fragilisèrent les bulletins et le problème ne fut plus de savoir comment compter mais plutôt que
compter. [Mattheim (Nathalie) et Gorissen (Agnès), Les cinq semaines de la bataille de Floride, in : Le
Soir, 14/12/2000, s.p.]
Un problème similaire mais moins médiatisé s’est posé en Géorgie où nonante-quatre mille votes furent
rejetés, ce qui représente trois virgule cinq pour cent des votes de l’Etat, un taux d’échec par conséquent
plus important que les deux virgule neuf pour cent de votes manquants en Floride (la moyenne nationale
étant de un virgule neuf pour cent).
43
dont Microsoft, Dell Computer et Unisys
41
16
Cette technique repose sur des bulletins de vote lisibles par ordinateur qui sont perforés
par les électeurs, soit par l’intermédiaire d’une machine soit à l’aide d’un poinçon.
La première forme utilisée est développée par IBM et baptisée Votomatic. Lors du scrutin, le
votant reçoit une carte comportant autant de numéros que de choix possibles et se réfère à un
index, disponible dans l’isoloir, pour effectuer son choix en perforant la marque qui lui fait
face. Le bulletin est déposé dans l’urne et comptabilisé ultérieurement, de manière centralisée,
par un lecteur standard de cartes perforées attaché à un système informatique.
Le Datavote, autre système basé sur les cartes perforées, ne se différencie de la technique
précédente que par la soumission à l’électeur d’une carte porteuse du nom des candidats ou de
la description des choix possibles.
Ce système, économique mais lent, offre la possibilité de recompter les votes en cas de
litige grâce aux bulletins marqués physiquement. Toutefois, l’utilisation du poinçon présente
davantage de problèmes de lecture, notamment en raison de perforations incomplètes. Enfin,
l’utilisation d’un index dans le Votomatic rend ce dernier moins ergonomique et plus
vulnérable que son successeur (l’index pouvant être altéré par un votant au cours de la
procédure).
3.
1964 : Le scanner optique
La technologie du scanner optique fut mise au point par l’Université de l’Iowa en 1955,
notamment en vue du traitement des examens d’entrée. Elle ne sera toutefois envisagée que
bien plus tard comme pouvant s’appliquer aux élections à grande échelle.
La plupart des pays européens étudient aujourd’hui les possibilités de ce système, parfois
perçu comme une alternative aux machines à voter. La Belgique l’expérimenta lors des
élections législatives du 13 juin 1999 dans les cantons de Chimay et Zonnebeke. Le système
de lecture optique Favor44, conçu par la société Fabricom de Tractebel, s’avéra défectueux et
l’expérience se solda par un échec45. Elle fut réitérée en octobre 2000 avec plus de succès
mais des tests sont actuellement réalisés pour améliorer la performance du scanner.
Lors du scrutin, les votants enregistrent leur choix en noircissant une ou plusieurs
case(s) sur le bulletin (traditionnel) qui leur est remis. Ce dernier est introduit dans l’urne et
44
45
FAbricom Vote count through Optical Reading
Il considéra à tort un nombre important de bulletins comme blancs.
17
soumis plus tard au scanner électronique, qui comptabilise les résultats au fur et à mesure de
leur lecture optique. Le scanner n’automatise donc que le dépouillement du scrutin.
En outre, certaines techniques permettent à l’électeur de scanner le bulletin dans l’isoloir afin
de vérifier son vote.
Si la possibilité de voir certains bulletins rejetés par la machine ne peut être écartée, un
comptage manuel est toujours possible.
4.
c.1970 : Les systèmes électroniques d’enregistrement direct
En 1969, le législateur français aménagea le code électoral afin de préciser les
conditions d’utilisation de machines à voter destinées à remplacer les bulletins de vote, les
urnes et les isoloirs. Plusieurs types de machines furent alors agréés : si le principe
fonctionnait, les fréquents problèmes de fiabilité, les réticences des électeurs et les coûts de
maintenance élevés entraînèrent le retrait progressif des six cents machines installées46. Ce
n’est qu’en 2001, lors de procédures de référendum locales47, que de nouvelles machines
furent testées. Bien que l’expérience fût un succès, le vote électronique fut encore à un stade
expérimental lors des élections présidentielles de 2002.
Envisagé depuis 1989 par le ministère de l’Intérieur, le premier test de vote automatisé
fut réalisé dans notre pays lors des élections législatives du 24 novembre 1991, dans les
communes de Verlaine et de Waarschoot. Deux techniques furent alors envisagées : un
panneau électronique tactile ou une carte magnétique avec un crayon optique. Le second
système fut finalement adopté et, le 11 avril 1994, la loi Tobback48 institua le vote par voie
électronique. Il s’étendit progressivement au cours des scrutins suivants jusqu’à atteindre, lors
des élections d’octobre 2000, quarante-quatre pour cent de l’électorat dans soixante-trois
cantons via vingt mille machines installées. La conception des systèmes est actuellement
confiée au groupe informatique Bull (qui travaille en sous-traitance avec Banksys), auteur du
Digivote (utilisé principalement au Nord du pays) et à l’association momentanée PhilipsStesud, concepteur du système Jites (pour le sud de la Belgique). Le coût des systèmes est
supporté par les communes, aidées par le ministère de l’Intérieur à raison de vingt pour cent,
et par la Région Flamande au nord du pays.
46
Si nous avons pu établir que la méfiance des utilisateurs à l’égard des valises à voter s’était surtout manifestée
en Corse (ses habitants voyaient en elles une expression de la méfiance de la capitale à leur égard), nous
n’avons pu évaluer la fréquence des problèmes techniques rencontrés et leur coût. Une recherche plus
approfondie en ce sens devrait donc être effectuée.
47
Brest, le 13 janvier 2001
48
Loi du 11 avril 1994 organisant le vote, Moniteur Belge, 20 avril 1994
18
Quant aux Pays-Bas, les premières machines à voter y furent introduites en 1975. De
plus, ce pays, tout comme le Royaume-Uni, autorise depuis longtemps le vote politique par
correspondance49 facilitant ainsi l’émergence du vote électronique et à distance.
Au cours de l’année 2000, la Grande-Bretagne, l’Allemagne, la Grèce et l’Irlande
testèrent successivement eux aussi des machines à voter électroniques lors d’élections
municipales. Ils envisagent actuellement une introduction progressive de ces techniques lors
des prochaines élections.
Les premiers systèmes, construits par Shoup et Microvote50, n’étaient en fait que de
simples transpositions électroniques des machines à leviers mécaniques grâce à la technologie
des microprocesseurs qui émergea au milieu des années septante.
Le processus de vote est effectué sur un ordinateur dédié spécifiquement ou
temporairement à cette tâche. Couplé à un écran tactile (ou à une série de boutons-poussoirs),
il enregistre les votes au fur et à mesure de leur introduction. Au cours de la procédure,
l’électeur effectue son choix en touchant le nom du candidat sur l’écran et peut revoir la
session entière pour vérifier son vote. Lorsque ce dernier est arrêté, il doit être confirmé pour
être enregistré. Tout comme lors de l’utilisation des machines à levier, il est impossible de
voter deux fois au cours de la même élection.
L’ordinateur rassemble les votes via son compteur binaire51. Ce dernier est basé sur une
technique appelée flip-flop. Le compteur a une seule entrée et une seule sortie, étiquetées 0 et
1. Au début, tous les flip-flop sont à l’état 0. Lorsque le flip-flop reçoit une impulsion
d’entrée, il passe en état 1 et ne fait rien d’autre. Dès que l’opération se répète, il revient à
l’état 0 et émet une impulsion de sortie qui incrémente le flip-flop suivant de la même
manière. Un compteur binaire de k bits demande k flip-flop. Ils sont câblés ensemble dans une
cascade d’arrangements, la sortie de chaque dispositif devenant l’entrée du suivant.
Ces systèmes jouent à la fois le rôle d’isoloir, d’urne et de compteur.
Toutes les machines actuellement sur le marché (notamment les valises à voter,
système le plus répandu en Europe) utilisent des logiciels propriétaires et toutes les données
sont également enregistrées sous des formats propriétaires, ce qui limite la vérification des
49
conséquence probable de la politique d’ouverture menée depuis longtemps par le premier et de l’étendue des
colonies du second
50
http://www.microvote.com
51
Hayes (Brian), op.cit., s.p.
19
résultats. De plus, il n’existe aucun bulletin papier et donc aucun enregistrement indépendant
de la mémoire électronique.
5.
1995 : Le vote par courrier électronique
Cette technique est souvent utilisée par les organisations étendues géographiquement,
mais l’Oregon est actuellement le seul Etat à avoir adopté un vote entièrement par courrier
électronique.
Les bulletins de vote sont envoyés par e-mail à tous les votants enregistrés, qui les
renvoient complétés par le même canal sécurisé. Des ordinateurs publics en ligne sont mis à la
disposition de tous les citoyens, ainsi que des lieux de dépôt des bulletins pour les électeurs
qui le souhaitent. Le dépouillement des résultats est réalisé de manière centralisée par des
scanners optiques.
Une des faiblesses de ce système est l’absence de rétroaction immédiate, à la fois pour
le votant qui ne sait si son bulletin a été accepté et pour l’autorité qui ignore si le bulletin
envoyé est arrivé à destination avant la fin de l’élection.
6.
2000 : Le vote en ligne
L’Arizona fut le premier Etat à accueillir des élections en ligne, à savoir les primaires
du Parti Démocrate. Parallèlement au vote traditionnel, le scrutin s’effectua sur le site
www.elections.com et convainquit cinquante pour cent des électeurs. Les Etats-Unis occupent
d’ailleurs actuellement une position de leader dans ce domaine, les logiciels de vote étant
majoritairement commercialisés par deux sociétés américaines : Election.com et VoteHere,
Inc52. Des prévisionnistes annoncent même la quasi-disparition des isoloirs américains
classiques dès 2004.
Quant à l’Europe, elle se lança à son tour dans le vote en ligne en septembre 2000 en
initiant le projet Cybervote53, co-financé par la Commission européenne et par les industriels
Matra, Nokia et British Telecom. Son objectif est la conception d’un système de vote en ligne
intégrant un protocole de vote par Internet hautement sécurisé et vérifiable, pouvant être
utilisé dans des élections de niveau local, régional, national et européen, (…) et garantissant
l’intégrité et la confidentialité du vote depuis son envoi sur Internet jusqu’au dépouillement
52
53
choisi en Alaska pour le scrutin républicain
où la Belgique est représentée par l’Université Catholique de Louvain
20
du scrutin54 conforme aux différentes législations en vigueur. Les premiers tests devraient être
réalisés dès 2003 en Allemagne, en France et en Suède.
Un second projet européen, E-Poll, fut initié par France Télécom R&D en collaboration avec
Siemens et testé en France lors des dernières législatives55. Toutefois, faute de conformité
légale, il ne remplaça pas le vote traditionnel mais y fut couplé, les quelque sept cents
électeurs appelés dans les bureaux pilotes de Gironde et de Meurthe-et-Moselle votant donc à
deux reprises. Dès mai 2002, les étudiants européens purent néanmoins participer au premier
vote en ligne d’envergure européenne, le EU-StudentVote56, projet soutenu par Election.com
et le CNRS, qui permit l’élection d’un conseil d’étudiants européens représentatif.
En Belgique, les sénateurs Alain Destexhe (PRL) et Vincent Quickenborne (Volksunie)
déposèrent le 20 avril 2000 une proposition de loi sur "le vote automatisé à distance" ou vote
en ligne. Celle-ci fut rejetée, le Parlement concluant que le secret et l’indépendance du vote ne
peuvent être garantis si celui-ci n’est pas réalisé sur les sites électoraux traditionnels.
L’administration envoie par la poste un code PIN57 aux électeurs. Ces derniers se
rendent sur le site des élections (tel que www.elections.com dans le cas de l’Arizona) et
s’identifient grâce au code PIN et à une ou plusieurs autres données personnelles. Le vote
peut alors être effectué. Il est crypté et envoyé, via un réseau sécurisé, vers le système gérant
la base de données des électeurs. Si le votant essaie de voter plus d’une fois, deux cas de
figure se présentent selon la technologie utilisée : soit le second vote est rejeté, soit il est
compté, annulant ainsi le précédent. En cas de saturation du site, un autre site prend le relais,
comme cela se passe lors des transactions financières en ligne.
Trois types de vote en ligne sont généralement distingués en fonction du lieu du vote :
A distance : le vote est réalisé à partir de sites privés tels que le domicile, l’école ou
le lieu de travail ;
A partir d’un site électoral : le vote se déroule à partir de postes publics contrôlés
par les administrateurs électoraux (surveillance du matériel et du logiciel utilisés ainsi que de
l’environnement physique du site électoral) ;
54
Communiqué de presse pour le projet Cybervote, http://www.eucybervote.org/
Les résultats de ces tests n’ont pas encore été publiés.
56
www.eu-studentvote.org
57
Personnal Identification Number
55
21
A partir de kiosques : solution intermédiaire aux deux cas précédents, les kiosques
peuvent être surveillés par des administrateurs, des observateurs, ou même des caméras afin
d’assurer l’indépendance et le secret du scrutin.
7.
Autres systèmes
Enfin, par souci d’exhaustivité, nous citerons aussi :
Le système mixte : qui se traduit par l’utilisation conjointe de plusieurs des
techniques énumérées ci-dessus en raison de problèmes budgétaires ou techniques rencontrés
par l’administration ;
Le vote par correspondance : tous les Etats américains offrent la possibilité de
voter par correspondance, voire par e-mail, avant l’élection. Certains en restreignent toutefois
l’usage aux personnes justifiant une incapacité de se rendre sur le lieu de vote le jour de
l’élection, pour des raisons telles qu’un voyage ou un handicap. En Europe, le Royaume-Uni
et les Pays-Bas ont également adopté cette procédure.
8.
Lieu de dépouillement des résultats
Les systèmes décrits ci-dessus peuvent également être caractérisés en fonction du lieu
de dépouillement des résultats :
Le dépouillement centralisé des résultats : l’ensemble des bulletins, non
dépouillés et issus des différents lieux d’élection, sont transportés en un lieu centralisé.
L’aspect sécuritaire de ce transfert et du traitement des différents bulletins requiert bien
entendu des procédures adéquates respectant l’intégrité et la complétude des résultats de
chaque urne ;
Le dépouillement sur place : l’arrivée des micro-ordinateurs a permis un
dépouillement centralisé du scrutin. Les machines de votes intègrent alors un EPROM58 qui
adapte la machine aux conditions de l’élection : les résultats sont comptabilisés soit au fur et à
mesure de l’introduction des votes, soit lors de la fermeture du bureau électoral pour
l’ensemble de ce bureau.
58
Erasable, Programmable Read-Only Memory
22
B.
Conclusions
Le tableau en annexe59 résume et compare les principales caractéristiques des
différentes technologies décrites au point 3.A, permettant de tirer les premières conclusions
sur base de critères établis au point 2.C. Celles-ci seront étoffées pour les systèmes
d’enregistrement direct, le vote en ligne et le scanner optique respectivement aux points 4 et 5
de ce document.
Un premier constat manifeste est l’incompatibilité des technologies "en ligne" avec les
critères démocratiques traditionnels, l’absence d’isoloir entravant le secret du vote et son
indépendance. En outre, toutes les techniques permettant une automatisation du dépôt du
bulletin n’autorisent aucune vérification indépendante du scrutin ou de son vote par l’électeur,
aucun enregistrement distinct de la machine (tel un enregistrement "papier" classique) n’étant
disponible.
Une deuxième constatation surprenante est la faiblesse des risques de votes supplémentaires
et multiples dans tous les systèmes évoqués. Celle-ci résulte d’une double hypothèse : le bon
fonctionnement des machines et l’honnêteté de leurs administrateurs. Ce postulat conditionne
en outre la précision du scrutin, qui dépend aussi de l’utilisation du matériel par les votants.
Nous remarquons également que chaque système évoqué est a priori compatible avec tous les
formats électoraux.
Enfin, l’absence de mobilité caractérise exclusivement les systèmes électroniques
d’enregistrement direct (ainsi que leurs prédécesseurs) et motive la volonté des autorités de
les remplacer par des technologies reposant sur les réseaux informatiques.
Ces conclusions se basent sur la description succincte présentée au début de ce chapitre
et pourront faire l’objet de précisions voire d’une correction lors de l’étude approfondie
proposée.
59
cf. tableau 1 en annexe D
23
4. Deux systèmes distincts de vote automatisé
Ce chapitre étudiera les deux grandes techniques d’automatisation du scrutin envisagées
en Belgique, à savoir les systèmes électroniques d’enregistrement direct et le vote en ligne.
Leur analyse sera systématique, basée sur les critères établis précédemment60, chaque système
étant décomposé en plusieurs étapes prédéfinies, divisées à leur tour en phases spécifiques,
permettant un suivi de la progression des informations tout au long du scrutin. Elle nous
permettra de mettre en lumière les avantages et les inconvénients des scrutins automatisés par
rapport aux procédures traditionnelles et d’appréhender les fraudes potentielles. Elle se clora
par une comparaison des deux méthodes, identifiant leurs avantages et leurs carences.
A.
Les systèmes électroniques d’enregistrement direct
En raison de la particularité des systèmes électroniques d’enregistrement direct belges61,
notre description se basera d’une part sur les lois belges organisant le vote automatisé et la
documentation produite par le ministère de l’Intérieur, d’autre part sur les entretiens réalisés62.
Dans une perspective d’efficience, nous nous focaliserons sur les caractéristiques du
processus distinctes de celles du scrutin traditionnel.
Afin d’être systématique et exhaustive, nous adopterons une présentation chronologique
de la procédure, parcourant le scrutin de la mise à disposition du matériel à la publication des
résultats. A chacune des étapes, nous ferons le point sur les apports et les limites du système
en regard des élections traditionnelles et sur les fraudes potentielles, réalisant à cet effet un
tableau synoptique et des diagrammes de flux d’informations63. Ceux-ci serviront de base à
notre synthèse qui confrontera la séquence étudiée aux critères déjà envisagés64. Nous y
établirons également une typologie générale des fraudes et analyserons l’impact des
interventions humaines sur le scrutin.
60
cf. point 2.C.
cf. infra
62
cf. point 7.B.6.
63
cf. figures 1 à 5 et figure 15 en annexe C
64
cf. point 2.C.
61
24
Séquence étudiée
1. Mise à disposition de l’équipement
2. Préparation de l’infrastructure
3. Réalisation du vote
4. Stockage et comptage des votes
5. Publication des résultats
La "Mise à disposition de l’équipement" comprendra une description de l’infrastructure
matérielle et logicielle utilisée par l’électeur et se terminera par des observations sur
l’information des électeurs quant à son utilisation. Le reste de l’équipement électoral sera
envisagé dans la section suivante, à mesure de l’appréhension de sa préparation.
Dans la "Réalisation du vote", nous nous placerons du point de vue des électeurs et
critiquerons les manipulations qu’ils doivent effectuer pour exprimer leur suffrage : obtenir
une carte magnétique, rédiger le bulletin, vérifier le contenu de la carte puis l’enregistrer.
Nous nous intéresserons aussi au système de "ticketing" étudié par le ministère de l’Intérieur,
ainsi qu’au collège des Délégués Citoyens chargé de superviser la procédure.
Dans la section suivante, nous analyserons les méthodes de stockage et de comptage des
résultats avant d’aborder leur publication.
Enfin, nous nous attarderons sur quelques considérations ergonomiques et envisagerons
l’avenir des systèmes électroniques d’enregistrement direct65.
1.
Mise à disposition de l’équipement [Processus 1]
1.1. Infrastructure matérielle
1.2. Infrastructure logicielle
1.3. Information de l’électeur
Nous aborderons ici la critique des systèmes électroniques d’enregistrement direct
belges tels qu’ils sont organisés par la loi du 11 avril 199466, c’est-à-dire composés d’une urne
électronique, de machines à voter et de systèmes électroniques de totalisation67. Nous nous
intéresserons à la deuxième génération de ces systèmes, en service depuis 1999, qu’il s’agisse
65
Ces deux derniers points ne faisant pas partie de la procédure de vote, ils ne sont pas intégrés à la séquence
étudiée et seront donc absents des diagrammes de flux d’information et des tableaux synoptiques.
66
Article 2 de la Loi du 11 avril 1994 organisant le vote, Moniteur Belge, 20 avril 1994
67
Les systèmes électroniques d’enregistrement directs utilisés ailleurs en Europe intègrent l’urne électronique
aux machines à voter. Celles-ci enregistrent donc immédiatement les suffrages des électeurs dans leur
mémoire (technique identique à celle du panneau électronique tactile testé en Belgique en 1991 mais
abandonné). En outre, elles comportent parfois des fonctions d’identification (en générant une paire de
clés publiques/privées, en rendant anonymes les bulletins de vote) et de rétroaction (en fournissant un
vote-tag). Celles-ci seront envisagées pour le vote en ligne, dans la section suivante de ce travail.
25
du système Digivote de Bull ou de la machine à voter Jites de Philips. Nous terminerons en
évoquant l’information proposée aux électeurs.
Pour l’électeur, l’infrastructure matérielle se compose d’une machine à voter et d’une
urne électronique.
1.1.1.
La machine à voter
Chaque isoloir du bureau de vote est équipé d'une machine à voter, à raison de trois à
huit machines par bureau. Celles-ci sont de deux types, selon le constructeur choisi par la
commune : le système Jites de Philips est une machine à voter minimale, ne permettant pas
d’autre emploi ; le Digivote de Bull, davantage répandu en Flandres, est un P.C. qui pourra
être utilisé à d’autres fins après les élections68. Les deux systèmes sont dépourvus de disque
dur et ne peuvent donc conserver aucune trace de l’élection ou du logiciel utilisé69. Les
communes souhaitant rentabiliser leurs infrastructures électorales en "recyclant" les systèmes
Bull, dans leurs administrations ou leurs écoles, doivent dès alors y intégrer un disque dur.
Dans ce cas, le matériel pourrait faire l’objet de manipulations délictueuses entre deux
élections, particulièrement s’il est utilisé en réseau70. Or, ce risque est mineur puisque les
autorités sont tenues de restituer le système dans son état initial avant les élections71.
Chaque système dispose d’un lecteur de disquettes (utilisé pour l’initialisation de la machine
mais inaccessible à l’électeur), d’un crayon optique et d’un lecteur de cartes magnétiques. Ces
derniers sont particulièrement vulnérables : le lecteur de cartes magnétiques peut facilement
être mis hors d’usage par l’introduction d’un objet étranger tandis que le crayon optique peut
être abîmé. La machine à voter est donc équipée d’un dispositif lumineux et/ou sonore
permettant au président de bureau de vote de détecter tout fonctionnement défectueux ou toute
manipulation anormale du système. De plus, dans la pratique, l’état du matériel est vérifié par
68
Ce qui constitue pour les communes un avantage non négligeable, la majorité des coûts du système étant à leur
charge.
69
cf. point 1.2.
70
ses risques sont alors identiques à ceux qui seront évoqués au point B.2.2. pour le vote en ligne.
71
26
un assesseur après chaque utilisation. Celui-ci s’assure, entre autres, que l’électeur a bien
extrait sa carte magnétique du lecteur, de nombreuses pannes étant survenues en 1994 suite à
l’introduction successive de deux cartes dans la machine, les votants n’ayant pas compris
l’importance de confirmer leur vote72.
Du point de vue de l’accessibilité de l’infrastructure, le code électoral prévoit
l’aménagement d'un isoloir pour les personnes souffrant d’un handicap physique et le collège
d’experts a recommandé l’utilisation d’écrans de visualisation plus grands73.
1.1.2.
L’urne électronique
Dans les bureaux de vote électroniques, l’urne traditionnelle est remplacée par une urne
électronique. Celle-ci est différente selon le système utilisé : celle du système Bull se
compose d’un ordinateur (constitué d’un écran, d’un clavier, d’un lecteur de disquette et
d’une valideuse74), aussi appelé machine du président, et d’une urne (bac de récupération des
supports de vote) surmontée d’un lecteur-enregistreur de cartes magnétiques ; celle du
système Jites se manipule à l’aide d’un pavé numérique et intègre la valideuse, le lecteurenregistreur de cartes magnétiques et l’urne. Outre cet aspect matériel, une différence
principale se situe au niveau des compteurs indiquant le nombre de cartes validées et celui des
votes réalisés : ceux du système Bull sont constamment affichés à l’écran tandis que ceux de
la machine Jites nécessitent l’introduction du code adéquat par le président75.
Ces bureaux doivent donc disposer d’une infrastructure électrique suffisante, afin de
supporter l’ensemble du matériel électronique, et d’un système de secours pour ne pas
interrompre le cours normal de la procédure en cas de panne76 ou, tout au moins, pour
terminer le traitement en cours.
72
X, Le vote automatisé, pp.15-16
En Floride, les machines sont par ailleurs équipées d’une interface sonore permettant leur emploi par les
personnes souffrant d’un handicap visuel.
74
utilisée pour la préparation du scrutin (cf. point 2)
75
Entretien avec Monsieur Henri Snyer, informaticien du ministère de l’Intérieur, le 9/08/2002
76
En 1994, une panne électrique générale a paralysé le matériel électoral des Halles des Foires de Coronmeuse à
Liège pendant une demi-heure. La procédure à suivre en cas de panne sera explicitée au point 3.5.
73
27
Le logiciel électoral permet d’une part d’afficher les bulletins et le contenu des cartes
magnétiques, d’autre part de compter les votes (à partir des cartes magnétiques d’abord, des
disquettes de stockage ensuite). Il doit donc proposer au votant une interface utilisateur
conviviale et ergonomique, étudiée pour diminuer le nombre de manœuvres inadéquates,
notamment dues à la difficulté des utilisateurs à suivre de simples directives77. Lorsqu’une
erreur est commise, le système doit rester opérationnel et permettre à l’utilisateur de reprendre
la procédure là où elle a été interrompue. Depuis les premiers tests de 1991, plusieurs
améliorations y ont été apportées suite aux difficultés rencontrées : multiplication des écrans
de confirmation, amélioration de la présentation, …78 Dans son rapport de 1999, le collège
d’experts recommandait en outre d’utiliser des couleurs, comme pour le scrutin traditionnel.
En ce qui concerne la fiabilité du logiciel, tous les programmes nécessaires au
fonctionnement de l’ordinateur, du système d’exploitation au logiciel électoral lui-même,
peuvent contenir des codes cachés, difficilement détectables, susceptibles de corrompre
l’élection79. Ceux-ci pourraient être introduits par leurs développeurs ou par les autorités80.
Toutefois, préalablement à leur utilisation, les logiciels font l’objet de nombreuses
vérifications : le code source est soumis par le fournisseur aux experts du ministère de
l’Intérieur. Ceux-ci étudient et testent sa fiabilité avant de l’approuver. Ils le soumettent
ensuite aux experts désignés par le Parlement81 qui l’éprouvent et supervisent l’ensemble de la
procédure82. Le code source original est alors enfermé dans un coffre bancaire, devant
témoins, où il est conservé jusqu’à la validation de l’élection. En cas de doute, une
comparaison entre les logiciels utilisés lors du scrutin et ceux du coffre est alors effectuée. Si
77
par exemple, entourer et non biffer les options d’un formulaire
Entretien avec Monsieur Henri Snyer
79
En 2000, dans le Middlesex (NJ), un système de comptage de vote a simplement détruit tous les votes pour les
têtes de liste des partis républicains et démocrates.
80
Cette question sera étudiée au point 2 de ce chapitre.
81
cf. point 3.5.1. sur le collège des Délégués Citoyens
82
Article 4 de la Loi du 12 août 2000 modifiant la loi du 11 avril 1994 organisant le vote automatisé, ainsi que le
Code électoral, Moniteur Belge, 25 août 2000
78
28
des dissemblances apparaissent, la preuve est établie que le code a été manipulé avant son
utilisation83.
Sans accès aux codes sources de ces programmes, les citoyens sont tenus de faire confiance
au fournisseur du logiciel et aux experts désignés par le ministère de l’Intérieur et par les
assemblées élues84. Jusqu’à peu, ce ministère refusait de divulguer le logiciel électoral,
affirmant que sa publicité faciliterait les tentatives de fraudes. Suite à la plainte déposée par
des citoyens au sujet de la transparence du système électoral, le Conseil d’Etat l’a contraint à
publier son code source, accessible sur le site du ministère85 au lendemain des élections de
2000, sans toutefois révéler les codes de sécurité employés. Lors des prochaines élections, le
logiciel et les codes de sécurité seront publiés préalablement à l’élection, leur amélioration
amoindrissant les possibilités de manipulations86. S’ils peuvent être consultés par n’importe
quel citoyen, leur compréhension et leur vérification nécessitent des compétences possédées
par les initiés, ce qui n’améliore que modérément la transparence du système.
Quelques mois avant l’élection, des campagnes d’information sont organisées par les
administrations communales : distribution de brochures, publication d’articles dans les
journaux locaux ou de communiqués dans les stations locales de télévision, etc. Les citoyens
souhaitant se familiariser avec les nouvelles infrastructures peuvent en outre participer à des
séances d’information publiques et/ou à des simulations réalisées sur base de listes factices.
Ces dernières se sont multipliées lors des dernières élections car, si elles sont plus onéreuses,
elles se sont révélées plus efficaces87. Enfin, une description complète de la procédure suivie
83
Toutefois, ces derniers représentent l’ensemble des citoyens (cf. point 3.5.1.).
85
http://elections.fgov.be/Logiciel/Digivote/FR/Cdocu1.htm
http://elections.fgov.be/Logiciel/Jites/FR/Cdocu1.htm
86
L’algorithme de Randall, permettant la production de codes de seize caractères au lieu de huit, étant
théoriquement impossible à pirater, du moins dans les délais impartis. [Entretien avec Monsieur Henri
Snyer]
87
X, Le vote automatisé, p.17
84
29
par les électeurs et les assesseurs est disponible sur le site du ministère de l’Intérieur88, ainsi
qu’une liste de liens et de contacts pour des informations complémentaires.
Le jour du scrutin, en plus des documents traditionnels89, un exemplaire de la loi
relative au vote automatisé doit être disponible dans chaque bureau de vote90. De plus, si
l’électeur le souhaite, il peut requérir la présence d’un assesseur lors de son vote. Celle-ci
pourrait toutefois compromettre l’indépendance et le secret du vote91. La nécessité d’une telle
intervention pourrait être réduite si les machines intégraient des rubriques d’aide, comme
celles actuellement utilisées en Floride (mais elles ne seraient bien entendu d’aucune utilité
pour les difficultés relevant d’une méconnaissance des technologies informatiques).
1.4. Conclusions
A
cette
étape
de
l’analyse,
nous
avons
déjà
observé
deux
types
de
fraudes envisageables du chef de l’électeur : la détérioration du matériel électoral et
l’altération de ses logiciels92. Toutefois, l’absence de disque dur limite la propagation d’une
telle attaque, la contamination de toutes les machines requérant la visite de chaque isoloir et le
contournement du système d’alarme installé. De plus, la procédure électorale se déroule sous
le contrôle du bureau, des témoins et des experts du ministère et des assemblées élues.
En regard des élections "papier", les systèmes électroniques d’enregistrement direct
n’améliorent pas la mobilité du scrutin, les sites électoraux traditionnels étant conservés (et
posant les mêmes problèmes d’accessibilité). Les circonstances du vote étant donc identiques,
elles requièrent un nombre semblable d’assesseurs dans les bureaux de vote93 et permettent de
garantir le secret et l’indépendance du vote. Toutefois, l’intervention d’un assesseur dans
l’isoloir pourrait compromettre ces conditions. Nous observons donc ici un antagonisme entre
les critères que nous avons étudiés : la possibilité de se faire assister dans la réalisation du
vote constitue un avantage ergonomique (du point de vue de l’information de l’électeur) mais
risque de compromettre le secret et l’indépendance de son suffrage.
88
http://elections.fgov.be/
le code électoral, les listes électorales, etc.
90
Article 9 de la Loi du 18 décembre 1998 organisant le dépouillement des votes automatisés au moyen d'un
système de lecture optique et modifiant la loi du 11 avril 1994 organisant le vote automatisé, Moniteur
Belge, 31 décembre 1998
91
cf. point 3.2.
92
Les articles 23 et 24 de la loi du 11 avril 1994 organisant le vote automatisé sanctionnent la contrefaçon des
supports de mémoire et des cartes magnétiques ainsi que l’altération des systèmes et des supports
électoraux.
93
Par contre, moins d’assesseurs seront nécessaires dans les bureaux de comptage et de totalisation des votes (cf.
point 4).
89
30
Si l’achat et le stockage d’une grande quantité de papier ne sont plus nécessaires (bien que
l’introduction du "ticketing"94 remette en cause cette constatation), le coût d’un scrutin
électronique est, selon l’étude du ministère de l’Intérieur, identique à celui d’un scrutin
traditionnel et ne constituait donc pas un motif de son introduction95.
2.
Préparation de l’infrastructure [Processus 2]
2.1. Au niveau du ministère de l’Intérieur
2.2. Au niveau du bureau de vote
2.3. Information du président et des assesseurs
La préparation des matériels et logiciels électoraux s’effectue en deux temps : au niveau
du ministère de l’Intérieur, ses délégués adaptent le logiciel à l’élection concernée ; au niveau
des bureaux principaux et locaux, le président et les assesseurs assument la mise en fonction
des installations (et bénéficient dès lors d’une formation adéquate).
2.1. Au niveau du ministère de l’Intérieur 96 [Processus 2.1. et 2.2.]
Le ministère de l’Intérieur97 se charge d’adapter le logiciel de base et de concevoir les
paramètres d’identification des bureaux, sous le contrôle du collège des Délégués Citoyens.
Des machines de préparation, composées d’un ordinateur avec écran, clavier, disque dur et
imprimante, sont utilisées pour introduire les paramètres des élections (type d’élection, sièges
à attribuer, listes de candidats, identificateurs des bureaux de vote et des bureaux principaux,
etc.) sur les disquettes de démarrage (le logiciel se compose en fait de deux parties : celle du
code électoral ne peut subir aucune modification mais une base de données Excel accueille les
94
cf. point 3.5.1.
Le coût par vote et par électeur ne peut pas être supérieur à ± 35 BEF, soit le coût du vote traditionnel, quel
que soit le nouveau système employé.
Vanneste (Luc) (éd.), Elections du 8 octobre 2000 : Les nouveaux conseils communaux et provinciaux,
Bruxelles, Ministère de l’Intérieur, 2000, p.15
96
97
Les infrastructures électorales relèvent donc de la compétence du pouvoir exécutif. Le collège d’experts
chargé de l’évaluation des élections de 1999 réclame davantage de séparation entre le ministère de
l’Intérieur et les fournisseurs de l’équipement.
95
31
paramètres électoraux98), identiques pour tous les bureaux, produire les cartes magnétiques
contenant les codes propres à chaque bureau et les disquettes de stockage qui leur sont
intrinsèquement liées99. Ceux-ci ne pourront donc être utilisés que dans le bureau pour lequel
ils ont été conçus.
Les différents supports créés sont placés dans des enveloppes scellées distinctes et remis aux
présidents des bureaux principaux, avec leurs mots de passe100, au moins trois jours avant le
scrutin. La veille de l’élection, les présidents des bureaux de vote reçoivent les enveloppes qui
les concernent. Durant cette période, les autorités compétentes sont responsables de la
conservation des enveloppes, dont les scellés constituent une garantie contre leur violation.
De plus, tout au long de la procédure, le stockage des cartes et disquettes magnétiques doit se
faire à une température adéquate, à l’abri d’une exposition accidentelle ou délibérée à des
champs magnétiques ou électriques qui pourraient détruire les données.
2.2. Au niveau du bureau de vote [Processus 2.3. et 2.4.]
Comme lors des élections traditionnelles, l’installation du matériel est réalisée par les
administrations communales. Au cours des sept semaines précédant le scrutin ainsi que la
veille de celui-ci, les communes doivent vérifier toutes les machines à l’aide des disquettes de
test fournies par le constructeur, pour qu’il puisse remédier à leurs défaillances à temps. La
veille du scrutin, les fonctionnaires du ministère contrôlent l’installation du matériel dans les
bureaux de vote.
Préalablement à l’ouverture du bureau de vote, le matériel et les logiciels électoraux
doivent être vérifiés et initialisés, autrement dit adaptés à l’élection concernée, avant d’être
mis en fonction, en présence de l’ensemble du bureau. Dans un premier temps, toutes les
cartes magnétiques sont comptées et l’urne (vide) est scellée. La machine du président (ou
l’urne électronique) peut alors être mise en fonction (de même que toutes les machines à voter
des isoloirs) grâce à la disquette fournie par le ministère de l’Intérieur, activée par un mot de
98
Chacune des disquettes est couplée à une disquette de secours ou de sauvegarde utilisée en cas de défectuosité
des supports originaux.
100
cf. infra
99
32
passe propre à chaque bureau de vote et dont le président est le seul titulaire, et par la carte
magnétique portant un code d’identification propre également. Tout au long de cette
procédure, le président est guidé par l’écran de visualisation du système. Au terme de
l’activation, la disquette est extraite du lecteur et, dans le cas des machines à voter, celui-ci est
dissimulé par un cache. Dans le cas de l’urne électronique, la disquette de stockage est alors
introduite dans le lecteur prévu à cet effet.
Les cartes magnétiques sont d’abord initialisées par la valideuse qui les rend opérationnelles
pour les élections qui se déroulent ce jour-là dans ce bureau de vote précis. En présence des
assesseurs, le président émet ensuite un vote de référence (choisi de manière arbitraire) sur
chacune des machines à voter du bureau à l’aide de cartes magnétiques initialisées. Celles-ci
sont numérotées (d’après le numéro de l’isoloir) et envoyées dans une enveloppe scellée au
président du bureau principal de canton. Elles seront mentionnées dans le procès-verbal101 et
conservées au greffe du tribunal de première instance ou de la justice de paix jusqu’à la
validation de l’élection (ou son annulation).
En cas de panne électrique, la procédure d’activation des machines à voter doit être
reconduite. Par contre, l’urne électronique conserve toutes les informations enregistrées en
mémoire et, dans le cas des systèmes Bull, réaffiche l’état des compteurs dès le rétablissement
du courant.
La préparation et le bon déroulement d’une élection nécessitent de fournir au personnel
une formation adéquate et de le préparer à faire face à tous les problèmes susceptibles de
survenir. Préalablement à chaque scrutin, un certain nombre de responsables communaux sont
donc formés par le ministère de l’Intérieur. Ils se chargent non seulement de la formation de
leurs collègues au sein de leur propre commune, mais aussi de celle des présidents et des
secrétaires des bureaux de vote et des bureaux principaux.
101
Les modèles des différents formulaires utilisés lors des élections sont accessibles en ligne :
http://elections.fgov.be/FR/Docu/Formulaires/Cdocu7.htm
33
Depuis les premiers tests de 1991, l’importance de cette formation est apparue aux
autorités. En effet, de nombreux problèmes se sont posés en 1994, lors de l’ouverture des
bureaux de vote, en raison du manque de préparation du personnel102.
2.4. Conclusions
Les fraudes observées dans la section précédente, la détérioration du matériel électoral
et l’altération de ses logiciels, sont également valables à cette étape du processus. Elles
relèvent à la fois du chef du concepteur et des "gestionnaires" des infrastructures. Elles
présentent toutefois un risque mineur grâce au contrôle exercé par le ministère de l’Intérieur,
le collège des Délégués Citoyens et les membres du bureau, ainsi qu’aux différentes mesures
de sécurité mises en œuvre tout au long de la procédure de préparation. Toutefois, si le
logiciel électoral est libre et qu’une certification de l’infrastructure est effectuée, aucune
intervention ne peut garantir totalement la fiabilité du système.
3.
Réalisation du vote [Processus 3]
3.1. Identification des électeurs et distribution des cartes magnétiques
3.2. Rédaction du bulletin
3.3. Vérification du vote
3.4. Enregistrement du vote
3.5. Surveillance de la procédure
Nous nous placerons ici du point de vue de l’électeur, de son entrée dans le bureau de
vote à l’introduction de sa carte magnétique dans l’urne électronique. L’identification des
votants pouvant être partiellement informatisée, nous l’aborderons succinctement avant
d’analyser la procédure de vote proprement dite, qui se clora par l’étude de la surveillance du
processus.
102
X, Le vote automatisé, p.15
34
[Processus 3.1.]
Comme lors de scrutins traditionnels, l’électeur est tenu de présenter sa convocation et
sa carte d'identité au président du bureau de vote ou à l’assesseur désigné. Son nom est pointé
simultanément sur deux listes, la seconde ayant une fonction de contrôle, éventuellement sur
un ordinateur103. L’électeur reçoit alors une carte magnétique validée au lieu d’un bulletin de
vote traditionnel.
3.2. Rédaction du bulletin [Processus 3.2.]
Porteur d’une carte magnétique, l’électeur entre dans l’isoloir et introduit celle-ci dans
le lecteur de la machine à voter104 dont l’écran le guidera tout au long de la procédure de vote.
Dans la Région de Bruxelles-Capitale ainsi que dans les communes germanophones et dans
certaines communes à facilités linguistiques, il est d'abord tenu de sélectionner la langue
d’affichage105.
L’écran de visualisation indique d’abord l’(les) élection(s) pour laquelle (lesquelles) un
vote peut être réalisé106. Il affiche ensuite le numéro d'ordre et le sigle de toutes les listes de
candidats. L’électeur sélectionne celle de son choix. La machine lui propose alors les nom et
103
Celui-ci doit être validé par le président du bureau principal, et le président du bureau de vote doit vérifier
l'exactitude du pointage électronique (alors que la tenue d’une seconde liste est facultative).
104
Celui-ci ne peut accepter que des cartes magnétiques validées par le bureau de vote où la machine est
installée.
105
En Floride, les machines actuellement utilisées possèdent de sept interfaces linguistiques différentes et
peuvent parler aux aveugles.
106
Les électeurs belges votent d'abord pour les élections provinciales et ensuite pour les élections communales à
l'aide de la même carte magnétique
35
prénom des candidats de cette liste107. Quand le votant a effectué son choix, il est tenu de le
confirmer ou de l’annuler et de recommencer la procédure. Il peut également émettre un vote
blanc, en cochant la case prévue à cet effet. S’il confirme son vote, celui-ci est définitif108.
Si plusieurs élections se déroulent simultanément, la même opération se répète pour chacune
d’elles et la carte magnétique enregistre l’ensemble des votes. Celle-ci est automatiquement
restituée au votant à la fin de la procédure, empêchant les votes multiples (le votant est donc
contraint d’effectuer un choix pour récupérer sa carte).
Si l’électeur effectue trois manipulations inappropriées, l’alarme de la machine est
activée et un assesseur pénètre dans l’isoloir pour évaluer la situation. Si le votant éprouve des
difficultés de manipulation, le code électoral prévoit qu’il peut se faire assister par le président
ou l’un des assesseurs mais en aucun cas par une personne tierce109. Dans la pratique,
l’assesseur se contente souvent de sélectionner la liste demandée par le votant, avant de
quitter l’isoloir, afin que celui-ci puisse ainsi attribuer secrètement son suffrage. Toutefois, si
l’électeur le requiert, il peut parcourir l’ensemble des écrans à sa place et lui remettre la carte
magnétique complétée afin qu’il l’introduise personnellement dans l’urne. Dans ce cas,
l’honnêteté de l’assesseur est primordiale : il ne peut en aucun cas influencer l’électeur (voire
falsifier son suffrage) ou communiquer la teneur du vote.
Une étude menée par la Vrije Universiteit van Brussel en 1995110 a montré que le vote
électronique n’a pas de réelle influence sur les résultats des partis. Toutefois, les listes étant
affichées à l’écran sur plusieurs colonnes, les "bonnes" places sont plus nombreuses111. De
plus, la proportion de votes blancs et nuls diminue de moitié lors d’élections électroniques112.
Cette situation s’explique en partie du fait que le vote blanc requiert dorénavant une démarche
active de l’électeur (cocher la case prévue à cet effet). Quant aux votes nuls, ils sont
107
Pour faciliter l’orientation du votant, la liste des candidats disponible dans l'isoloir peut être une copie du
bulletin de vote affiché.
108
Dans une optique ergonomique, chacune des opérations précédentes fait également l’objet d’une confirmation
permettant au votant de passer à l’écran suivant.
109
La presse a toutefois rapporté des situations où plus d’une personne se trouvaient dans l’isoloir en même
temps. [Robert (François), Foulards, djellabas et sourires pour gommer les caprices du crayon
magnétique à Schaerbeek, in : Le Soir n°136, 14/06/1999, p.4 et X, Le vote automatisé, p.20]
110
Deschouwer (Kris), Buelens (Jo) et Heyndels (Bruno), De invoering van het elektronisch stemmen in 1995 en
1999 : De impact op het stemgedrag en op de verkiezingsuitslag, Bruxelles, VUB, 01/05/2000,
25p.
111
Ainsi, lors des élections au Parlement bruxellois en 1995, le soixante-sixième candidat d’une liste, placé en
tête de la troisième colonne, a reçu trois cents pour cent de votes supplémentaires dans les bureaux
électroniques que dans les bureaux traditionnels. [loc.cit.]
112
Lemal (Isabelle), Le vote électronique ne change rien aux résultats des partis, in : Le Soir n°125 30/05/2000,
p.4
36
désormais marginaux avec les nouveaux systèmes puisque le président vérifie l’état des cartes
et que l’urne électronique rejette les supports vierges ou altérés113.
3.3.1. Le "ticketing"
Suite à la suspicion de certains citoyens envers le contenu réel des cartes magnétiques
utilisées, l’électeur a la possibilité, depuis les élections d’octobre 2000, de vérifier le contenu
de sa carte en la réintroduisant dans le lecteur après son vote114. Celui-ci affiche l’ensemble
des suffrages enregistrés sur la carte magnétique. Selon Nabil Antoun, cette garantie n’est pas
suffisante puisque le vote affiché peut ne pas correspondre à celui qui sera réellement compté.
L’instauration du "ticketing" permettra une vérification supplémentaire par l’électeur.
3.3.1.
Le "ticketing" [Processus 3.2.a.]
3.3.1. Le "ticketing"
Les experts chargés d’évaluer les élections d’octobre 2000 ont recommandé
l’instauration d’un système de reçus : le "ticketing". Celui-ci est actuellement étudié par le
ministère qui prévoit de le tester dans deux cantons lors des prochaines élections. Cependant,
les détails de la procédure n’ont pas encore été fixés.
Dans chaque isoloir, la machine à voter serait reliée à une imprimante. Dès sa
confirmation, le vote serait immédiatement imprimé sur un ticket (ou sur un rouleau de papier
d’impression, le choix n’ayant pas encore été arrêté). Ce dernier serait visualisé par l’électeur
mais conservé par l’autorité qui pourrait effectuer un recomptage manuel indépendant des
113
114
cf. point 3.4.
technique inspirée des expériences brésiliennes [Entretien avec Madame Ingrid Bens, conseillère au service
Elections et Population du ministère de l’Intérieur, le 9/08/2002]
37
suffrages (hormis les cas de litige, un contrôle serait effectué sur trois pour cent des bureaux
choisis au hasard). Il ne serait donc jamais en possession de l’électeur (auquel cas, il serait
indispensable de contrôler que ce reçu est effectivement déposé dans l’urne car il pourrait,
dans le cas contraire, être communiqué à une tierce personne et attenter au secret et à
l’indépendance du vote).
Toutefois, la nécessité d’équiper chaque isoloir d’une imprimante s’avère coûteuse (en
matériel et en papier) et nous pouvons nous interroger sur les avantages économiques acquis
vis-à-vis des systèmes traditionnels.
3.4. Enregistrement du vote 115 [Processus 3.3.]
Lorsque l’électeur sort de l’isoloir, il soumet sa carte magnétique au président qui
vérifie qu’elle ne porte aucune marque et qu’elle n’a pas été détériorée. S’il est satisfait de son
vote, il introduit sa carte dans l'urne électronique. Celle-ci en vérifie alors l’état et rejette tout
support défectueux ou laissé vierge. Dans ce cas, l’électeur est tenu de recommencer son vote,
muni d’une nouvelle carte. Au terme de deux essais infructueux, le vote sera considéré
comme nul et la carte conservée par le président.
Si la carte est acceptée, son contenu est copié sur le disque dur de l’urne et sur la disquette de
stockage. Le compteur de l’urne est incrémenté, indiquant que le vote est enregistré et
permettant au président de connaître à tout moment le nombre de suffrages déjà exprimés116.
Si le votant souhaite modifier son choix, il en informe le président qui lui remet une nouvelle
carte magnétique en échange de celle utilisée117 [Processus 3.4.]. Le rapport de 1999 du
collège d’experts recommandait de permettre de recommencer la procédure sans nouvelle
carte. Dans ce cas, si le risque de compter des cartes annulées est supprimé, nous supposons
que cette technique nécessiterait l’utilisation de cartes réinscriptibles dont le contenu pourrait
être modifié par une tierce personne.
115
Article 6 de la Loi du 12 août 2000 modifiant la loi du 11 avril 1994 organisant le vote automatisé, ainsi que
le Code électoral, Moniteur Belge, 25 août 2000
116
sans connaître leur répartition
117
Celle-ci est conservée par le président qui rempli le formulaire adéquat.
38
3.5.1. Par le collège des Délégués Citoyens
Le suivi et la coordination des élections sont assurés, par canton, par un fonctionnaire
du ministère de l'Intérieur. En outre, tout au long de la procédure, un ou plusieurs
responsables communaux gardent les urnes. En cas de panne, le fournisseur répare ou
remplace le plus vite possible l'appareil défectueux118. S’il s’agit d'une machine à voter,
l’élection se poursuit sur les autres machines. S’il s’agit de la machine du président, les
opérations électorales sont interrompues jusqu’à sa réparation. En cas de descellement de
l’urne, toute carte magnétique restée dans le lecteur de l'urne durant la panne (et enlevée par
le technicien) est annulée et l'électeur en reçoit une nouvelle. Le descellement d'une urne
durant les opérations électorales doit être mentionné au procès-verbal. Une fois réparée, l'urne
est à nouveau scellée119.
Enfin, comme lors de scrutins traditionnels, la procédure (de la préparation du bureau de vote
à la totalisation des suffrages) est soumise au contrôle des assesseurs et des témoins de
l’élection.
118
Depuis 1994, le ministère de l’Intérieur sollicite Banksys pour l’assistance technique lors des élections.
http://www.registrenational.fgov.be/rrn_fr/jaarverslag/jv_2000_fr_inleiding.htm
119
En 1999, parmi les vingt-cinq mille machines électroniques, environ huit cents pannes ont été enregistrées :
erreurs de manipulation, défectuosités mécaniques, …
39
3.5.1.
Le collège des Délégués Citoyens 120 [Processus 1 de la figure 15]
3.5.1. Par le collège des Délégués Citoyens
En 2000, le collège d’experts fut renommé collège des Délégués Citoyens afin de mettre
l’accent sur le fait qu’il représente la population via les assemblées élues121. Il est constitué
de six spécialistes dont quatre sont désignés par la Chambre des Représentants, le Sénat et le
Conseil de la Région de Bruxelles-Capitale, et les deux autres par le Conseil régional wallon,
le Conseil flamand et le Conseil de la Communauté germanophone. Ceux-ci sont chargés de
superviser l’ensemble du processus électoral (des opérations de préparation de l’équipement à
la publication des résultats) et remettent leur rapport au ministère de l’Intérieur et aux
assemblées législatives au plus tard quinze jours après le scrutin, ce qui pousse Paul Bienbon
à s’interroger sur la profondeur de l’analyse réalisable en des délais si courts122.
Préalablement à l’élection, le ministère de l’Intérieur lui fournit le matériel électoral et
les instructions nécessaires à son utilisation afin qu’il vérifie sa fiabilité (par la réalisation de
votes factices et l’observation du comportement de l’urne et des systèmes de totalisation). La
loi prévoit que les experts effectuent le contrôle des logiciels la veille et le jour de l’élection
(avant l’ouverture des bureaux de vote et avant le début des opérations de dépouillement). Or,
la veille du scrutin, les disquettes de vote avec le logiciel et les éléments de sécurités
indispensables à l’utilisation des disquettes se trouvent dans des enveloppes scellées,
destinées aux présidents de bureaux de vote. Et le jour de l’élection, le contrôle ne peut
s’exercer qu’entre sept heures trente et huit heures afin de ne pas ralentir les opérations
électorales. Une vérification complète des logiciels utilisés est donc impossible et remplacée
par des sondages de référence. Le collège a toutefois la possibilité de renouveler ses tests
après la publication du scrutin, jusqu’à la remise de son rapport.
Dans son rapport de 1999, si le collège d’experts recommandait une plus grande
transparence des systèmes, il conclut ne pas avoir constaté d’erreurs ou de tentatives de fraude
120
121
ID., Les sceptiques du vote électronique, in : Le Soir n°233, 07/10/2000, p.8
122
Les conclusions du Comité de 1999 recommandaient d’ailleurs d’allonger les délais de remise du rapport.
40
susceptibles d’entraver l’utilisation et le bon fonctionnement des systèmes de vote lors des
élections du 13 juin123.
3.6. Conclusions
Si l’identification des électeurs peut être automatisée, le maintien d’une liste de contrôle
est souhaitable afin de réduire les risques de votes supplémentaires. En ce qui concerne le
vote proprement dit, nous avons déjà abordé, dans la section précédente, le risque que
présentait l’intervention de l’assesseur envers le secret et l’indépendance du suffrage124, et la
contamination possible de l’infrastructure par l’électeur.
Par rapport au système traditionnel, l’électeur a la possibilité de vérifier que son bulletin
est pris en compte (le compteur de l’urne est incrémenté). Toutefois, il ne peut être certain de
la correction de cet enregistrement, et plus particulièrement du contenu de sa carte. Si la
réintroduction de la carte dans le lecteur en constitue déjà une garantie, cette dernière sera
davantage probante avec l’introduction du "ticketing" (un recomptage manuel révélant toute
fraude lors de l’enregistrement). Selon la Ligue des Droits de l’Homme et Nabil Antoun, cette
suspicion est d’autant plus forte et légitime en l’absence de contrôle démocratique, ou plutôt
vu le passage de ce contrôle entre les mains d’experts125 (le collège des Délégués Citoyens
représentant les citoyens de par leur désignation par les assemblées élues).
4.
Stockage et comptage des votes [Processus 4]
4.2. Au niveau du bureau principal
Les votes émis font l’objet de stockages successifs, aux niveaux des bureaux de vote
(des cartes magnétiques à la mémoire de l’urne puis sur les disquettes de stockage et de
sauvegarde) et des bureaux principaux (des disquettes de stockage à la mémoire du système
de totalisation puis sur le procès-verbal). Par contre, leur totalisation s’effectue uniquement
dans le bureau principal, à partir des disquettes des bureaux de vote.
123
X, Report on Electronic Democracy Projects…, pp.54-56
cf. point 3.2.
125
Lambert (Eddy), Vote automatisé : Danger pour la démocratie ?, in : Le Soir n°70, 24/03/1999, p.3
124
41
4.1. Au niveau du bureau de vote 126 [Processus 4.1. et 4.2.]
Avant la clôture du bureau de vote, les assesseurs sont tenus de faire l'inventaire des
cartes magnétiques reprises et de celles qui n'ont pas été utilisées, ainsi que des électeurs
présents, des absents et de ceux qui ont été admis sans figurer sur les listes électorales.
Dès que le bureau de vote est clos, le président rend l’urne inopérante pour des votes
ultérieurs et copie le contenu de son disque dur, c’est-à-dire l’ensemble des suffrages émis,
sur la disquette de sauvegarde. Le nombre de votes émis (recueilli sur le compteur de l’urne)
est porté au procès-verbal, de même que celui des cartes annulées ou non utilisées et les
difficultés survenues au cours de la procédure. Il est remis au président du bureau principal,
accompagné des cartes annulées et inutilisées, des disquettes de démarrage et des supports de
mémoire, dans des enveloppes scellées distinctes. Quant à l'urne électronique, elle est remise
scellée au responsable désigné par l’administration concernée (communale, provinciale, …).
4.2. Au niveau du bureau principal 127 [Processus 4.3. à 4.5.]
Au niveau du bureau principal se trouvent une ou plusieurs machines de totalisation des
votes équipées d’un processeur, d’une unité de stockage, d’un lecteur-enregistreur de
disquettes ainsi que d’une imprimante. Elles sont mises en fonction par la disquette, le mot de
passe et le code fournis par le ministère selon la même procédure que celle appliquée dans les
bureaux de vote128. Le lecteur-enregistreur assure d’une part l’enregistrement des résultats des
différents bureaux de vote, d’autre part celui des résultats globaux obtenus au niveau du
bureau principal.
126
Articles 10, 11, 12 et 13 de la Loi du 11 avril 1994 organisant le vote, Moniteur Belge, 20 avril 1994
Articles 18, 19, 20 et 21 de la Loi du 11 avril 1994 organisant le vote, Moniteur Belge, 20 avril 1994
128
cf. point 2.2.
127
42
Au fur et à mesure de leur réception par le bureau principal, les disquettes129 sont
copiées sur le disque dur du (des) système(s) de totalisation. Celui-ci ne peut accepter que des
disquettes relatives à l’élection concernée, provenant des bureaux de vote relevant du bureau
principal qu’ils desservent et insérées pour la première fois dans le lecteur. A tout moment, le
président peut vérifier les bureaux de vote déjà enregistrés et le nombre de suffrages qui leur
est associé (qui doit être identique à celui indiqué sur le procès-verbal du bureau local).
Lorsque tous les résultats sont enregistrés, l’un des systèmes totalise l’ensemble des votes du
canton ou de la commune. Il procède alors à l’impression du procès-verbal et du tableau de
recensement des votes. Comme lors d’un scrutin traditionnel, ceux-ci sont signés par le
bureau, placés dans une enveloppe scellée et remis dans les vingt-quatre heures à l’autorité
responsable, selon l’élection.
Notons qu’une telle procédure de totalisation se déroule en trois minutes et requiert trente
mille assesseurs de moins par rapport au système traditionnel (puisqu’elle ne nécessite plus de
bureaux intermédiaires de comptage).
Au terme de la procédure, les cartes magnétiques utilisées et vierges, tout comme les
disquettes du bureau principal, sont conservées à l’administration communale. Celles qui ont
été annulées ou qui ont servi de tests, de même que les disquettes des bureaux de vote sont
déposées au tribunal de première instance ou de la justice de paix. Dès que l’élection est
définitivement validée (ou annulée), elles sont toutes remises à un fonctionnaire du ministère
de l’Intérieur qui procède à leur effacement130. Lors des élections suivantes, leur réutilisation
nécessitera une nouvelle initialisation (celle-ci supprime le risque de compter des suffrages
destinés à l’élection précédente, les systèmes électoraux n’acceptant que des cartes validées
pour leur bureau).
4.3. Conclusions
Les risques d’une telle procédure sont évidents et ont trait à la manipulation (ou la
détérioration) des supports utilisés131 ainsi qu’à l’ajout de votes frauduleux (voire à la
modification ou à la suppression de votes valides). Des mesures sont toutefois prises pour
marginaliser ce dernier risque : le scellement de l’urne lorsque le bureau de vote est clôturé, le
lien intrinsèque qui existe entre tous les supports et les systèmes employés, le contrôle des
129
En cas d’échec d’enregistrement d’un support, la disquette de sauvegarde est employée. Si elle s’avère
également inutilisable, l’urne correspondante est descellée et le président procède à un nouveau comptage
des cartes magnétiques.
130
131
Cette question a déjà était abordée aux points 1 et 2 de cette section.
43
membres du bureau et des experts (du ministère de l’Intérieur et du Parlement) et, surtout, la
tenue rigoureuse des procès-verbaux.
C’est à ce moment de notre analyse que nous percevons l’avantage majeur des systèmes
électroniques d’enregistrement direct par rapport aux scrutins traditionnels : le comptage est
centralisé, ne nécessitant donc aucune instance intermédiaire et engageant un nombre réduit
d’assesseurs, et peut être réalisé en trois minutes, dispensant les bureaux de longues heures de
dépouillement manuel. Toutefois, le contrôle de ce processus nécessite des connaissances
spécifiques et ne peut donc être réalisé que par des experts, nuisant ainsi à la transparence du
système.
5.
Publication des résultats [Processus 5]
Lorsque le procès-verbal est établi et imprimé, les résultats peuvent être publiés
[Processus 5.1.].
En cas de litige [Processus 5.2.], un nouveau décompte peut être réalisé à
partir des disquettes de "back-up" et des cartes magnétiques132 mais, comme le fait remarquer
la Ligue des Droits de l’Homme, ce recomptage reste informatique et ne peut donc pas être
qualifié d’indépendant133. Le système de "ticketing"134, actuellement étudié par le ministère de
l’Intérieur, permettra d’effectuer un recomptage sur base d’une copie "papier".
Des contrôles sont également réalisés sur les disquettes utilisées au cours de l’élection : une
copie des disquettes de sauvegarde utilisées, exemptes de leurs suffrages, sont d’ailleurs
soumises au collège des Délégués Citoyens135.
5.1. Conclusions
Bien qu’aucune fraude n’ait été envisagée pour cette étape de la procédure, la
problématique des systèmes électroniques d’enregistrement direct y apparaît clairement et
réside dans l’absence de vérification indépendante du scrutin, aussi longtemps que le système
132
Curieusement, lors du litige des élections jurbisiennes d’octobre 2000 (cf. p.5), la Députation permanente a
procédé à deux vérifications, celle des résultats sur les disquettes et celle des Eprom (sorte de boîtes
noires située à l’extérieur de chaque urne, identiques aux disquettes), sans avoir recours aux cartes
magnétiques.
133
Dans une logique en cascade, s’il y a une erreur dans l’enregistrement des données, leur comptage produira
toujours le même résultat erroné.
134
cf. point 3.3.1.
135
cf. point 3.5.1.
44
de "ticketing" n’est pas mis en place, et donc de contrôle démocratique. Seules des
vérifications informatiques (sur les cartes magnétiques, les disquettes de démarrage et de
stockage) peuvent être effectuées. Elles nécessitent donc des compétences dans ce domaine et
restent, par conséquent, le fait des experts.
6.
Ergonomie
En raison de l’allongement des files d’attente dans les bureaux électroniques lors des
élections de 1994, le législateur a procédé à des aménagements pratiques : les heures
d’ouverture des bureaux électroniques ont ainsi été prolongées jusqu’à quinze heures136, leur
nombre d’assesseurs a été augmenté et le nombre maximal d’électeurs est passé de deux cent
cinquante à cent quatre-vingts en 2000137.
7.
Vers une généralisation du vote automatisé …
Quelles que puissent être les critiques à l’égard des systèmes électroniques
d’enregistrement direct, un retour au scrutin traditionnel est inenvisageable en raison des
investissements déjà réalisés par l’Etat belge et par les communes138. Néanmoins, le vote
électronique ne sera pas élargi pour les prochaines élections de 2003. En 2005, lors des
élections européennes, l’utilisation d’une telle infrastructure dépendra de son approbation par
le Parlement européen139. N’oublions pas que, malgré la multiplication des machines à voter
dans notre pays, cette technologie est toujours en phase expérimentale et fait l’objet
d’aménagements continuels afin d’améliorer sa fiabilité et la confiance de ses utilisateurs.
8.
Synthèse
Comme nous l’avions annoncé au début de ce chapitre, notre synthèse se basera sur les
tableaux synoptiques140 ainsi que sur les diagrammes de flux d’informations141 réalisés à
chaque étape du processus. Les premiers nous permettront d’établir une typologie générale
des fraudes, les seconds d’analyser l’impact des interventions humaines sur le déroulement de
136
Arrêté royal du 12 août 2000 prolongeant jusqu'à 15 heures dans les cantons électoraux et communes
désignés pour l'usage d'un système de vote automatisé, les heures d'ouverture des bureaux de vote pour
les élections des conseils provinciaux, des conseils communaux, des conseils de district et pour l'élection
directe des conseils de l'aide sociale, Moniteur Belge, 24 août 2000
137
X, Le vote automatisé, p. 10
138
cf. p.5
139
Entretien avec Madame Ingrid Bens
140
cf. tableaux 2 à 4 en annexe D
141
cf. figures 1 à 5 en annexe C
45
l’élection. Nous effectuerons alors une critique globale du processus, sur base des éléments
déjà présentés, en regard des critères établis au point 2.C de ce travail.
8.1. Typologie des fraudes 142
L’analyse exposée ci-dessus nous conduit à établir une typologie des fraudes
envisageables au cours de la procédure. Celles-ci émanent des trois entités suivantes : les
électeurs, les administrateurs électoraux (qui, dans notre optique, se composent des délégués
du ministère ainsi que des membres des bureaux principaux et locaux) et le fournisseur de
l’infrastructure.
8.1.1.
Par les électeurs
Contamination ou détérioration du matériel électoral : les machines à voter
peuvent être victimes d’un virus (pendant le scrutin) et / ou être rendus inutilisables en cours
d’élection ;
Réalisation d’un (de) vote(s) supplémentaire(s) : envisageable dans le cas d’un
pointage informatisé unique, sans le maintien d’une seconde liste de pointage des électeurs.
8.1.2.
Par les administrateurs électoraux
Influence du votant : l’assesseur qui assiste le votant (à sa demande) pourrait
influencer ce dernier (voire "voler" son suffrage, lorsqu’il réalise l’ensemble des
manipulations à sa place) ;
Compromission du secret du vote : le même assesseur, s’il réalise le vote à la
place de l’électeur, en connaît le contenu et pourrait donc le divulguer;
Ajout de votes frauduleux : celui-ci peut se faire aux niveaux des bureaux
principaux et locaux :
par l’ajout ou la substitution de cartes magnétiques (dans les bureaux locaux
uniquement) ;
par la substitution des disquettes de stockage ;
par la corruption du logiciel électoral.
Corruption du matériel électoral : cf. infra.
142
cf tableau 2
46
8.1.3.
Par la société commerciale
Corruption du matériel électoral : un code pourrait être caché par les concepteurs
des logiciels électoraux, compromettant l’une ou l’autre étape du processus électoral, voire sa
totalité :
Modification des votes émis ;
Atteinte au comptage des votes émis.
8.2. Impact des interventions humaines 143
Nous allons à présent analyser les interventions des différents acteurs électoraux, c’està-dire les administrateurs (cf. supra), les électeurs et le collège des Délégués Citoyens, à
chaque étape de la procédure. Nous déterminerons si elles constituent un risque ou un gage de
sécurité au bon déroulement du scrutin. Puisque, au regard du tableau réalisé, la plupart des
interventions peuvent être perçues comme une prévention ou un frein aux risques liés à
l’utilisation de technologies dans les élections, nous répertorierons successivement chaque
risque et mettrons en évidence les mesures prises à leur encontre. Le collège des Délégués
Citoyens ayant été conçu dans une optique sécuritaire et ayant un rôle "uniforme" tout au long
de la procédure, nous l’évoquerons à la fin de cette section.
Les premiers risques identifiés, du chef des administrateurs ou des électeurs, ont trait
aux manipulations de l’infrastructure matérielle et logicielle électorale. Celles-ci peuvent
survenir tout au long de la procédure électorale et occasionnent diverses mesures préventives.
Tout d’abord, les délégués du ministère certifient et contrôlent les équipements avant
l’élection. Ils conservent dans un coffre le code source du logiciel acquis afin de pouvoir s’y
référer en cas de suspicion à l’égard des supports électoraux utilisés. Cette précaution
n’empêche donc pas la manipulation du logiciel mais permet de la découvrir au terme de
l’élection.
Lors de la préparation du scrutin, les délégués modifient la base de données, non le logiciel
lui-même. Ils créent alors des copies de sécurité pour faire face aux éventuelles détériorations
des supports originaux. Ils scellent ensuite les différents supports produits puisque, durant
environ trois jours, ces derniers seront conservés par les administrations communales. Ils
pourront uniquement être descellés en présence du bureau et activés par son président. Ce
143
cf. tableau 3
47
dernier initialise les systèmes et émet des votes de référence qui seront contrôlés au terme de
l’élection.
Dès que l’électeur entre dans l’isoloir, il est susceptible d’y effectuer des manipulations
inadéquates (introduction d’un objet étranger dans le lecteur, …) mais un assesseur intervient
immédiatement si l’alarme de la machine est déclenchée. A la fin de la procédure, le votant
peut réintroduire sa carte dans le système afin de vérifier que son vote a été correctement
enregistré.
Lors de la clôture des bureaux de votes, les supports de stockage sont dupliqués et scellés,
dans le même but que celui évoqué pour la préparation. Lorsque les votes sont totalisés, le
président compare les résultats obtenus avec les procès-verbaux dressés dans les bureaux de
vote.
Notons enfin que ces deux dernières étapes sont soumises au contrôle des assesseurs et des
témoins comme dans un scrutin traditionnel.
Un second risque est lié à l’intervention d’un assesseur dans l’isoloir, la sécurité
apportée par ce dernier étant compromise. Aucune mesure ne peut être prise à ce sujet, le
secret et l’indépendance du vote reposant dès lors sur l’honnêteté de l’intervenant.
Un risque similaire est encouru si l’électeur marque sa carte. Celle-ci est toutefois vérifiée par
le président avant son introduction dans l’urne et annulée si elle s’avère détériorée.
Une autre menace concerne les administrateurs susceptibles d’encoder des cartes
magnétiques annulées. Ces dernières sont néanmoins répertoriées dans le procès-verbal,
garant du bon déroulement de la procédure. Le contrôle des témoins et assesseurs constitue
également un gage de l’intégrité du scrutin, de sa réalisation à sa publication.
Un dernier risque a trait à la réalisation par les électeurs de votes supplémentaires qui,
comme dans un scrutin traditionnel, peuvent être marginalisés par le maintien d’une seconde
liste de pointage dans le bureau.
Sous réserve de l’honnêteté de ses membres, le collège des Délégués Citoyens a pour
but de sécuriser la procédure électorale et d’exercer un contrôle démocratique au nom des
citoyens. C’est pourquoi il revêt surtout un rôle d’observation : de la préparation des supports
électoraux, des conditions de vote et de la totalisation des résultats. Dans cette optique, il
teste, avant et après le scrutin, la fiabilité des infrastructures (logicielles essentiellement).
48
8.3. Les
systèmes électroniques
d’enregistrement
direct face aux critères
d’évaluation
Sur base du tableau synoptique situé en annexe144, nous confronterons chaque critère
d’évaluation à la procédure électorale mise en place lors de l’utilisation de systèmes
électroniques d’enregistrement direct. Nous considérerons d’abord les critères traditionnels
avant d’aborder les critères adaptés au vote automatisé.
8.3.1.
Face aux critères traditionnels
L’authentification des votants se déroule dans des conditions identiques à celles d’un
scrutin traditionnel et présente donc les mêmes garanties. Toutefois, selon nous,
l’informatisation du pointage des électeurs ne doit pas dispenser de la tenue d’une seconde
liste (de contrôle) afin d’assurer la fiabilité de la procédure.
La principale garantie du secret et de l’indépendance du vote repose sur le maintien des
sites électoraux, et donc des isoloirs et de leur surveillance par les membres du bureau. De
plus, l’absence de disque dur dans la machine à voter assure ces conditions tout au long de la
procédure, tout comme l’indépendance entre l’électeur et sa carte magnétique (l’état de cette
dernière étant d’ailleurs vérifié par le président du bureau). Néanmoins, la possibilité de
solliciter l’aide d’un assesseur dans la réalisation du vote est de nature à compromettre ces
caractéristiques démocratiques.
La vérification du vote et du scrutin a été envisagée par les concepteurs des systèmes de
vote. Une vérification individuelle est effectuée par l’électeur en réintroduisant sa carte dans
le lecteur de la machine après son vote. La vérification universelle est possible sur les cartes
magnétiques et les différents supports impliqués dans l’élection. Toutefois, si ces deux
contrôles constituent une assurance de la fiabilité du matériel, ils sont, nous l’avons vu,
insuffisants car informatisés. La mise en place du "ticketing", introduisant une "preuve
matérielle" de chaque vote, permettra d’effectuer des contrôles, aux deux niveaux, dans des
conditions similaires à celles d’un scrutin traditionnel.
Le risque de votes multiples est inexistant, la carte magnétique étant éjectée du lecteur
dès que le suffrage est confirmé. De plus, l’urne électronique ne serait pas en mesure de lire le
contenu d’une carte non-conforme. Le risque de votes supplémentaires est également presque
inexistant : il dépend, comme lors d’un scrutin traditionnel, de l’identification des votants
dans le bureau de vote, et plus précisément de la tenue de la liste des électeurs.
144
cf. tableau 4
49
La précision du scrutin résulte, bien entendu, de la fiabilité du matériel. Lors de
l’enregistrement du suffrage, sa prise en compte est indiquée par l’incrémentation du
compteur de l’urne. Celui-ci ne garantit toutefois pas l’intégrité de cet enregistrement qui peut
être vérifiée, a posteriori, par une comparaison des résultats obtenus avec, d’une part, les
procès-verbaux des bureaux locaux et principaux et, d’autre part, les cartes magnétiques
employées et conservées. De plus, les systèmes d’enregistrement et de comptage des votes
font l’objet de mesures de sécurité de nature à décourager les manipulations frauduleuses.
La transparence du scrutin dépend de plusieurs facteurs, et principalement de
l’information fournie aux électeurs. Celle-ci est disponible auprès de différentes autorités
(communales, provinciales, ministérielles, etc.) mais sa profondeur est "adaptée" au niveau de
connaissances techniques possédé par ses destinataires. Ainsi, les informations et la
documentation proposées par le ministère de l’Intérieur sont générales et pratiques, au
détriment d’une approche technique qui nécessite un minimum de connaissances spécifiques
(tout comme l’appréhension du logiciel électoral, malgré son accessibilité).
La correction du scrutin, comme lors d’une élection traditionnelle, est garantie par la
surveillance des assesseurs et des témoins du bureau. S’y ajoute la présence du collège des
Délégués Citoyens qui supervise l’ensemble de la procédure électorale. De plus, une
comparaison des résultats obtenus avec les procès-verbaux établis au cours de l’élection est
effectuée. Enfin, lors de la totalisation des suffrages émis, le système refuse l’enregistrement
successif d’un même support.
8.3.2.
Face aux critères adaptés
Le matériel et les logiciels électoraux sont particulièrement fragiles : tous sont
susceptibles d’être manipulés, altérés ou simplement défectueux. Toutefois, un certain nombre
de mécanismes sont mis en œuvre afin de garantir leur fiabilité, notamment leur
certification145 préalable à l’élection. De plus, les différents supports utilisés et leurs copies de
sauvegarde sont conservés dans des enveloppes scellées et protégés par des codes de sécurité.
Un système d’alarme avertit les administrateurs de toute manipulation frauduleuse et, après
chaque utilisation de l’infrastructure par un électeur, l’état du matériel est contrôlé. En cas de
panne d’une composante du système, l’urne est en mesure de terminer le traitement en cours
et l’élection peut reprendre son cours normal lorsque l’incident est clos.
145
cf. infra
50
Les machines à voter sont flexibles puisque leur logiciel est adapté à l’élection avant
d’être utilisé. Leur caractère ergonomique est évolutif, des améliorations étant apportées à
l’infrastructure après chaque élection, suite aux erreurs et aux difficultés rencontrées
(affichage de la procédure à suivre, multiplication des écrans de confirmation, possibilité de
continuer voire de recommencer la procédure en cas d’erreur, éjection automatique de la carte
après le vote, etc.). Les séances d’informations organisées ont également fait l’objet
d’adaptations (organisation de simulations) et, lors de son vote, l’électeur peut se faire assister
par un assesseur146. Toutefois, dans la phase d’enregistrement du vote, le système Bull s’avère
plus ergonomique que le système Jites puisqu’il nécessite moins de manipulations de la part
du président.
Les conditions de vote étant identiques à celles d’une élection traditionnelle, la mobilité
du scrutin n’est aucunement améliorée par l’utilisation de systèmes électroniques
d’enregistrement direct.
La certification des infrastructures est placée entre les mains des experts du ministère de
l’Intérieur et de ceux désignés par les assemblées élues. Ils testent la fiabilité du matériel et
des logiciels avant leur acquisition et avant leur emploi. En outre, le collège des Délégués
Citoyens supervise l’ensemble de la procédure électorale, de la phase de préparation de
l’équipement à celle de publication des résultats.
9.
Conclusion
Nous conclurons ce chapitre par deux interrogations. Elles nous semblent essentielles au
regard des observations que nous avons faites et conditionneront notre acceptation ou non du
vote électronique :
Tout d’abord, il est incontestable que l’intégration de l’informatique dans nos
élections, de par l’évolution constante des technologies et de leur complexité, est propice à
toutes sortes de dérives difficilement évitables voire détectables. Quelles que soient les
mesures prises à leur encontre, nous devons juger l’ampleur des risques électoraux et
déterminer s’ils sont acceptables.
En second lieu, l’automatisation du scrutin porte atteinte à la symbolique des
élections, liée à l’utilisation du crayon et du papier et, plus spécifiquement, au contrôle
"universel" de la procédure. Le problème n’est pas tant lié à la médiation de la vérification147
146
147
Les risques d’une telle intervention ont déjà été envisagés (cf. supra).
Dans un scrutin traditionnel, si un recomptage peut théoriquement être effectué indistinctement par tous les
citoyens, seule une infime partie d’entre eux le réalise en pratique, au nom de tous les autres.
51
mais plutôt aux compétences désormais nécessaires pour l’effectuer. Nous devons donc
déterminer si nous sommes prêts à placer entre les mains d’experts (élus par nos assemblées)
la confiance que nous placions habituellement entre celles des responsables électoraux et de
nos représentants.
52
B.
Le vote en ligne
Afin de permettre une comparaison ultérieure avec les flux d’informations parcourant
les systèmes électroniques d’enregistrement direct, les principales étapes envisagées cidessous seront identiques à celles étudiées précédemment et respecteront la même logique de
présentation. S’y ajouteront néanmoins les phases d’inscription en ligne, d’accès à Internet et
de transfert des votes spécifiques au vote en ligne. L’utilisation de ce procédé à grande échelle
étant encore dans une phase émergente, les propos seront principalement théoriques mais
illustrés d’une part par les situations rencontrées lors de l’utilisation de ce système aux EtatsUnis, d’autre part par des projets européens, plus ou moins aboutis, de vote en ligne.
Séquence étudiée 148
1. Inscription à l’élection
2.3.1. Accès démocratique au vote en ligne
4. Réception et stockage des votes
Dans la première section, nous envisagerons l’inscription des électeurs en ligne,
impliquant leur authentification et la distribution des identificateurs. La deuxième partie,
"Mise à disposition de l’équipement", sera similaire à celle du chapitre précédent et se
limitera à l’appréhension de l’infrastructure utilisée par le votant. Nous nous y interrogerons
sur l’accès des citoyens aux technologies de télécommunications et établirons une typologie
des informations civiques et politiques disponibles149. Le reste de l’équipement sera envisagé
dans la cinquième section qui s’intéressera en outre au transfert du bulletin et à son traitement
avant qu’il soit compté. Le contenu des autres sections sera similaire à celui des systèmes
électroniques d’enregistrement direct. Comme nous l’avons fait précédemment, nous nous
intéresserons ensuite à l’ergonomie du processus et terminerons par une interrogation sur
l’avenir du vote en ligne en regard de celui des transactions financières sur le réseau150. Une
synthèse clora alors ce chapitre et se basera sur un tableau synoptique, comparant
systématiquement les différentes étapes du processus aux critères définis précédemment151, et
148
En gras : étapes ajoutées à la séquence des systèmes électroniques d’enregistrement direct.
Bien que cette question soit extérieure à la procédure de vote en tant que telle, nous avons décider de
l’aborder car elle relève d’un emploi potentiel de l’infrastructure électorale.
150
Rappelons que ces deux derniers points ne font pas partie de la séquence étudiée et seront par conséquent
absents des diagrammes de flux d’information et des tableaux synoptiques.
151
cf. point 2.C.
149
53
sur les diagrammes de flux d’informations152 réalisés à chaque étape décrite. Nous établirons
de nouveau une typologie des fraudes et analyserons l’impact des interventions humaines sur
le scrutin.
1.
Inscription à l’élection [Processus 1]
1.1. Identification de l’électeur
1.2. Distribution des identificateurs
L’inscription à l’élection par Internet peut aller du simple téléchargement d’un
formulaire administratif, à renvoyer selon la voie traditionnelle ou sous forme scannée, à une
réelle inscription en ligne. Elle se fait pendant une période d’enregistrement formelle ou suite
à une annonce officielle selon laquelle tout membre d’un groupe défini est autorisé à voter à
un moment déterminé. Nous distinguerons cette étape du processus électoral de celle
d’identification des citoyens lors du vote proprement dit (qui se base sur les citoyens inscrits
préalablement), bien qu’elles puissent être fusionnées. L’enregistrement requiert néanmoins
une identification de tous les citoyens aptes à voter, afin de vérifier si chaque candidat à
l’inscription jouit de ses droits civils et politiques, s’il ne s’enregistre qu’une seule fois pour
un même scrutin et n’usurpe pas l’identité d’un autre individu (notamment celle d’une
personne décédée)153. Lorsque l’identité du votant est établie, un identificateur unique lui est
remis.
152
153
En Belgique, si le scrutin obligatoire ne requiert pas d’inscription active du citoyen à l’élection, les problèmes
décrits ci-dessous sont pertinents puisque l’ensemble des électeurs doit pouvoir être identifié afin que
chacun ne reçoive qu’un seul et unique identificateur par élection. Cette identification est réalisée à partir
des registres communaux, dont la plupart sont tenus à jour à l’aide du Registre National (qui constitue
toutefois une banque de données totalement différente et indépendante des enregistrements communaux).
Les difficultés du processus d’identification national ont été analysées par Isabelle Boydens [Boydens (I.),
Informatique, normes et temps, Bruxelles, Bruylant, 1999, pp.246-251] et se concrétisent notamment par
l’adjonction d’un Registre bis au Registre National : « Lors des contrôles sur les données d’identification,
des divergences sont progressivement apparues entre les informations communiquées par les employeurs
et celles consignées dans le fichier du Registre National : adresse, orthographe du nom … Ainsi, en cas
de doute au sujet d’un individu, un numéro bis lui est octroyé en attendant plus de précisions …
[éventuellement] à plusieurs reprises pour un même individu … Il va de soi que le nombre de cas
[d’individus] qui ne seraient éventuellement repris dans aucun registre ou de cas qui seraient repris dans
plus d’un registre est inconnu. »
54
1.1. Identification de l’électeur [Processus 1.1. à 1.3.]
L’identification du votant se fait via une base de données reprenant l’ensemble des
citoyens du pays. Elle repose donc sur la précision de cette base de données et son
actualisation. En Floride, de nombreux problèmes de fraude se sont posés avec la DBT
Online, une comparaison ultérieure avec la liste d’adresses entretenue par le service postal
américain révélant cent cinquante mille enregistrements doubles ou frauduleux dans la base
de données154. Outre les répétitions dont les noms ne diffèrent que d’une seule lettre (et
échappent donc aux programmes informatiques de comparaison typiques), l’entretien de la
base de données est compliqué par l’absence de base de données uniforme nationale des
citoyens américains, chaque juridiction entretenant ses propres enregistrements sous des
formats variés155 (ainsi, au Texas, si une uniformisation est prévue légalement depuis quinze
ans, elle n’a jamais été réalisée, faute de moyens)156.
1.2. Distribution des identificateurs [Processus 1.4.]
Au terme de son inscription et selon l’élection, le futur électeur reçoit un code PIN ou
une carte magnétique, identificateur qui lui servira le jour du scrutin. Une typologie des
identificateurs sera établie au point 3.1. de ce chapitre. Remarquons toutefois qu’en vue de
préserver le secret du vote (et donc son indépendance), cette distribution doit se faire au
hasard, aucune autorité ne devant pouvoir faire le lien entre un identificateur et un électeur.
154
Alexander (Kim) et Jefferson (David), Internet Voting: Proceed cautiously, in : Mercury News, 16/05/2000
Au Texas, la constitution des bases de données "citoyens" est simplifiée par la mise sur pied par l’Etat du
Texas Voter Registration System (TVRS), qui peut être utilisé par l’ensemble des juridictions texanes
pour mettre à jour leurs bases de données, et par les comtés ne disposant pas de base de données pour
établir la liste de leurs citoyens.
156
http://commoncriteria.org/cc/cc.html
155
55
1.3. Conclusions
La procédure d’identification des votants ne diffère pas de celle du scrutin traditionnel
et manifeste donc les mêmes carences157. Toutefois, l’authentification des votants, et plus
particulièrement la distribution des identificateurs, présente davantage de risques. Les
rapports du California Internet Voting Task Force et de l’Internet Policy Institute158
recommandent d’ailleurs de ne pas automatiser cette étape du scrutin et de conserver le
processus administratif traditionnel pour fournir les identificateurs. Ceux-ci pourraient être
subtilisés lors de leur transfert (et remplacés par des codes non valides) ou attribués à tort à
des citoyens interdits de vote (usurpation d’identité), voire simplement défectueux. Le
problème pourrait être résolu par la constitution de bases de données biométriques159
permettant d’identifier de façon unique chaque citoyen. Celles-ci sont toutefois
inenvisageables en raison de leur coût dans des applications à grande échelle et des problèmes
de protection de la vie privée qu’elles soulèveraient. De plus, un tel équipement ne pourrait
être mis en place que sur des sites électoraux déterminés.
Nous observons donc une première contradiction entre les critères que nous avons établis : si
l’inscription à l’élection, et surtout la distribution des identificateurs, en réseau accroît la
mobilité, voire la rapidité, du processus par rapport au scrutin traditionnel, elle pourrait
compromettre l’authentification des votants (usurpation d’identité) et l’unicité du vote (vol
des identificateurs). La solution à ce problème (les systèmes biométriques), plus coûteuse que
le système actuel, aliénerait l’électeur à un site particulier.
157
cf. point 2.C.2.
California Secretary of State Bill Jones (éd.), California Internet Voting Task Force: a Report of the
Feasibility of Internet Voting, California, 01/2001, p.1
X, Report of the National Workshop on Internet Voting …, p.34
159
cf. point 3.1.3.
158
56
2.
2.1. Infrastructure matérielle et logicielle
2.2. Danger des codes malicieux
Du côté de l’électeur, le matériel électoral se compose d’un ordinateur disposant d’une
connexion à Internet. Nous commencerons par présenter les infrastructures électorales
matérielles et logicielles avant d’aborder leur vulnérabilité aux codes malicieux et
l’information nécessaire à leurs utilisateurs.
Dans cette section, nous critiquerons indépendamment les infrastructures disponibles
sur les sites électoraux et celles fournies par l’électeur (soit directement soit via un organisme
privé ou public extérieur à l’élection), les exigences et les problèmes rencontrés étant
distincts. Nous nous intéresserons ensuite au réseau télématique, commun aux deux
configurations.
2.1.1.
Les sites électoraux
L’avantage majeur des sites électoraux est le maintien de l’isoloir, garant de
l’indépendance et du secret du vote. Toute la procédure électorale, y compris l’infrastructure
matérielle, est placée sous le contrôle des administrateurs (par leur présence effective sur
place ou via des caméras de surveillance) et peut être adaptée au contrôle des citoyens. Des
sondages "papier" peuvent ainsi être mis en place pour surveiller les performances de la
machine (ceux-ci s’opposent toutefois aux principes de secret et d’indépendance du scrutin, le
reçu pouvant être utilisé pour prouver l’intention du vote). Enfin, les logiciels utilisés étant
identiques sur tous les postes, aucun problème de compatibilité ne se pose.
Une telle organisation aliène toutefois l’électeur à un site particulier et ne présente
aucun avantage de mobilité par rapport aux systèmes d’enregistrement direct. Le coût de
57
l’infrastructure reste à la charge des autorités responsables de l’entretien et de la fourniture
des plates-formes. Cet investissement est peu rentable si l’on considère que la durée de vie
moyenne d’un ordinateur est de trois à cinq ans et qu’il est souhaitable de ne pas l’utiliser à
d’autres fins qu’électorales160 (afin d’empêcher sa corruption entre deux scrutins161).
2.1.2.
Les sites personnels
Lorsque le vote s’effectue à distance, le contrôle du processus électoral est
généralement partagé entre les administrateurs électoraux et le vendeur du logiciel dont le
code est tenu secret. Si un contrôle du matériel et des simulations sont effectués par un comité
d’experts désignés par les autorités pour certifier le système, aucune vérification indépendante
ne peut être opérée par le citoyen162. Aucune surveillance n’étant possible quant aux
conditions de vote, l’indépendance et le secret du scrutin ne peuvent être garantis.
Outre la mobilité de l’électeur, le principal attrait d’une telle configuration est d’ordre
économique et se traduit a priori de plusieurs façons : les votants paient pour la plus grande
partie de l’infrastructure de vote ; aucune impression n’est nécessaire ; aucun assesseur ne
doit être recruté, entraîné et rémunéré163. Néanmoins des investissements supplémentaires
doivent être réalisés pour garantir la fonctionnalité du système. Tout d’abord, celui-ci doit
supporter une gamme variée d’ordinateurs, de systèmes d’exploitation et de techniques
coexistants. Il doit être compatible avec différents types de plates-formes et d’interfaces
utilisateur (lors des élections du Parti Démocrate en 2000, des problèmes de compatibilité se
sont posés avec les utilisateurs de Macintosh). Une solution envisageable est d’offrir au votant
la possibilité de télécharger la configuration minimale des logiciels requis pour l’élection
(notamment la version du navigateur). Ensuite, si aucun assesseur ne doit être recruté, des
bureaux d’aide et d’autres services aux électeurs rencontrant des difficultés doivent être mis
sur pied. De plus, un certain nombre de bureaux de vote devront être maintenus pour les
électeurs ne disposant pas d’accès en ligne. Enfin, l’identification des votants à distance
requiert la distribution de techniques d’authentification (clés, PINs, cartes à puce, …), inutiles
sur les sites électoraux.
160
Alexander (Kim) et Jefferson (David), op. cit., s.p.
cf. point 2.2.
162
Nous avons toutefois vu dans le chapitre précédent qu’en Belgique, les logiciels de vote électronique et de
dépouillement optique avaient été libérés (cf. point A.1.2.).
163
op. cit.
161
58
2.1.3.
Le réseau télématique
Quel que soit le lieu de vote, il est indispensable de contrôler la qualité de la liaison
avec le serveur électoral afin d’assurer l’intégrité des données transmises et leur arrivée à
destination. Cette surveillance peut être active (c’est-à-dire intrusive, pouvant affecter les
services actifs) ou passive (n’ajoutant pas de trafic supplémentaire sur le réseau en observant
des paquets liés). Un outil traditionnel pour surveiller la connectivité d’une machine sur
Internet est le Ping, un outil question-réponse qui permet d'envoyer un paquet de données à un
ordinateur du réseau et d’évaluer le temps de réponse de ce dernier. Les délais de livraison et
la perte de paquets vus par les pings sont les reflets de la performance générale du réseau. Des
pings répétés peuvent être utiles pour des boîtes noires testant le réseau tout au long de
l’élection164.
En cas de défaillance du serveur électoral, un autre serveur devra prendre
immédiatement le relais, de façon à ne perdre aucun suffrage et permettre à l’élection de
continuer sans interruption. De même, les données traitées seront dupliquées au fur et à
mesure de leur réception sur des supports distincts afin de faire face à une éventuelle
détérioration du médium principal (dans le cas contraire, l’élection devra être reconduite).
Bien que cette question soit inhérente à celle de l’infrastructure logicielle, nous
l’aborderons séparément en raison de son importance. L’expression "code malicieux" renvoie
ici à la fois aux virus informatiques, extérieurs à l’application elle-même, et aux
manipulations frauduleuses de logiciels. Après avoir étudié les modes de contamination des
systèmes, nous examinerons successivement ces deux cas en les illustrant respectivement par
la présentation des "chevaux de Troie" et des proxies. Pour ce faire, nous nous baserons
principalement sur l’étude menée par Avi Rubin165 sur les différentes attaques informatiques
susceptibles de corrompre une élection en ligne. Remarquons enfin que si nous avons décidé
164
Philips (Deborah M.) et Von Spakovsky (Hans A.), Gauging the Risks of Internet Elections, in
Communications of the ACM vol. 44 n° 1, p.73
165
Rubin (Avi), Security Considerations for Remote Electronic Voting over the Internet, c.2001., s.p.
:
59
d’examiner la problématique des virus à ce niveau de l’analyse, il n’en reste pas moins vrai
que l’infrastructure électorale de transfert et de comptage est aussi vulnérable à certaines
manipulations délictueuses que l’infrastructure de vote proprement dite166.
2.2.1.
Les modes de contamination
L’installation de codes malicieux sur un ordinateur peut s’effectuer selon deux
voies distinctes : soit physiquement (par une disquette voire un support optique) soit par une
livraison automatique à distance (par e-mail).
L’installation physique de virus concerne plus particulièrement les ordinateurs
personnels (qu’ils se situent sur le lieu de travail ou au domicile) et ceux des lieux publics,
leur environnement étant rarement contrôlé. Le plus de machines possible sont alors infectées
et susceptibles de toucher à leur tour d’autres ordinateurs.
Les livraisons automatiques à distance sont très fréquentes car elles permettent
d’atteindre plus rapidement un grand nombre de machines. Dans ce cas, s’il est
communément admis que l’ouverture du fichier attaché provoque l’installation du virus, une
simple visualisation du message suffit parfois à son activation. Cette pratique peut être plus
facilement contrecarrée si le scrutin est effectué dans un environnement contrôlé où la
machine est dédiée spécifiquement à l’élection.
La fragilité des sites personnels résulte aussi du fait que la plupart des foyers n’équipent pas
leurs ordinateurs personnels de logiciel anti-virus ou ne mettent pas ce dernier à jour, alors
que de nouveaux virus sont constamment identifiés. Toutefois, l’efficacité de ces systèmes de
protection est limitée puisqu’ils comparent un programme avec une liste de virus recensés,
seuls les codes malicieux identifiés pouvant dès lors être éradiqués.
Enfin, selon Avi Rubin167, la vulnérabilité des systèmes d’exploitation des ordinateurs
personnels, et plus précisément leurs bugs opérationnels et leurs problèmes de sécurité, est
problématique. Ces faiblesses peuvent être exploitées à distance pour installer un code
malicieux. L’exemple le plus courant est un "buffer overflow", qui apparaît lorsqu’un
programme assigne à un endroit de la mémoire plus de données que celles prévues par le
programmeur. Le pirate peut donc manipuler la mémoire de l’ordinateur pour activer le code
malicieux.
166
167
cf. point A.2.4
Rubin (Avi), op. cit. , s.p.
60
2.2.2.
Les "chevaux de Troie"
Les virus qui peuvent attaquer un système informatique sont innombrables mais dès que
la corruption du matériel électoral est envisagée, le danger le plus fréquemment évoqué est
l’installation d’un programme caché, ou cheval de Troie168, qui interférerait avec le vote au
moment voulu. Celui-ci est installé via un ActiveXControl, un programme téléchargé
automatiquement et anonymement à partir d’un serveur web, qui peut-être inclus dans les
plug-ins de navigateurs, les écrans de veille, les calendriers, et d’autres programmes
téléchargeables sur Internet. Généralement, l’application elle-même est intacte mais le
programme d’installation introduit un fichier système (DLL) ou d’autres codes malicieux,
allant parfois jusqu’à remplacer certains modules du système d’exploitation. La date des
élections étant fixée longtemps à l’avance, des virus tels que Chernobyl ou CIH, programmés
pour entrer en action un jour particulier à une heure précise (le 26 avril 1999, des milliers
d’ordinateurs furent ainsi atteints en Asie), pourraient corrompre l’ensemble de l’élection en
ne visant qu’un groupe ciblé d’internautes. Le virus modifiant le bios169 du système, les
dommages occasionnés sont si importants qu’ils nécessitent souvent un retour du matériel au
magasin.
Un cheval de Troie peut également épargner l’ordinateur infecté et viser le serveur de
l’élection. Ainsi, en février 2000, des attaques DDOS170 massives ont interdit l’accès à
plusieurs portails Internet par l’activation simultanée de programmes cachés sur un certain
nombre de machines. Ceux-ci ont envoyé vers la cible plus de trafic qu’elle ne pouvait en
supporter et l’ont complètement bloquée171.
A une plus grande échelle, la position proéminente de certains produits logiciels du
marché (tels Adobe Acrobat, Microsoft Office, RealPlayer et Winzip installés sur un grand
nombre d’ordinateurs personnels) place une responsabilité importante sur les épaules de leurs
concepteurs. Ceux-ci ont la possibilité de modifier n’importe quel fichier de configuration,
infectant ainsi les machines de leurs utilisateurs. Et même si leur compagnie n’a aucun intérêt
à corrompre l’élection, un seul programmeur malhonnête suffit.
168
Partie de l’ordinateur qui initialise et gère les relations et les flux de données entre les composantes du
système (le disque dur, les ports en séries et parallèles, et le clavier).
170
Distributed Denial Of Service
171
169
61
Un problème similaire se pose avec les logiciels libres. Avi Rubin prend comme exemple le
BO2K172. Selon lui, le code d’un tel programme pourrait être modifié et recompilé
frauduleusement de façon à ce qu’un virus donné puisse échapper à la détection du logiciel
de protection qui recherche les signatures connues de programmes173.
2.2.3.
Les proxies 174
La présence d’un virus n’est pas la seule menace pour un ordinateur personnel ou une
machine électorale puisque leur navigateur web pourrait être manipulé à l’insu de leurs
utilisateurs. L’élection peut ainsi être corrompue par l’installation d’un proxy, une option
incluse dans les deux navigateurs les plus répandus au niveau mondial, Netscape et Internet
Explorer. Ce programme, inséré entre le client et le serveur Internet, offre la possibilité de
contrôler tous les échanges effectués entre ces deux points. Il est notamment utilisé dans les
sites qui contiennent certains types de firewall175. Si le proxy est activé, le navigateur ajoute
un ensemble de lignes à un fichier de configuration et envoie tout le contenu web entrant et
sortant de l’ordinateur sur la machine spécifiée. Si les proxies ne permettent pas de lire les
informations d’une connexion sécurisée, ils peuvent être utilisés pour diriger un électeur dans
une connexion sécurisée avec le pirate, au lieu du serveur de vote réel, sans qu’il ne le réalise.
L’information de l’électeur porte d’une part sur l’utilisation générale d’un ordinateur et
d’Internet en particulier (cf. infra), d’autre part sur la procédure électorale en tant que telle.
Dans ce dernier cas, une information générale mais commerciale est proposée par la société
organisatrice du scrutin. Des informations pratiques pourront être obtenues auprès des
assesseurs des bureaux de vote maintenus (pour la population ne disposant pas d’un accès
172
Suite logicielle d’administration de réseau, disponible gratuitement sur le web. Elle propose un antivirus lié à
un serveur de contrôle à distance qui, une fois installé sur la machine, permet à un administrateur à
distance de voir et de contrôler chaque aspect de cette machine, comme s’il était assis à la console.
173
Une signature est un schéma qui identifie un virus connu particulier.
174
Rubin (Avi), op. cit., s.p.
175
Système permettant de protéger un ordinateur des intrusions provenant du réseau, ou de protéger un réseau
local des attaques provenant d'Internet.
62
personnel à Internet) ou via les bureaux d’aide qui devront être organisés pour les électeurs
votant à domicile. Comme dans le cas des systèmes électroniques d’enregistrement direct, des
séances informatives pourraient être organisées préalablement à l’élection par les autorités176.
Elles sont d’ailleurs indispensables dans une optique de transparence de la procédure.
2.3.1.
Accès démocratique au vote en ligne
La possibilité de s’informer par Internet dépend avant tout de l’accès des citoyens aux
moyens technologiques et de leur maîtrise des outils proposés. Ainsi, aux Etats-Unis, une
étude menée en décembre 1999 par le Public Policy Institute de Californie soulignait
l’importance du revenu dans la pénétration des foyers américains par Internet177. De même, en
Europe, toute la population ne possédant pas l’équipement adéquat, l’organisation d’accès en
ligne pour le public à un prix modique, avec une offre de formation adaptée, est nécessaire.
En France, depuis 1998, plusieurs milliers de points d’accès publics d’information (Papi) ont
été installés dans ce but, d’abord dans les bureaux de poste et ensuite dans les lieux de
passage du public tels que le métro, les bibliothèques, les mairies, les agences pour
l’emploi,178 ….179 En Belgique, aucune action gouvernementale similaire n’a été initiée mais
un nombre croissant de bibliothèques publiques proposent un accès gratuit à Internet ainsi que
des formations adaptées. De plus, le coût des communications en ligne ayant chuté au cours
des années, les cybercafés et autres points d’accès payants deviennent abordables mais
n’offrent pas de formation et se concentrent surtout dans les grandes villes.
176
cf. point A.1.3.
Conclusions entre autre confirmées par Falling Through the Net: Defining the Digital Divide, étude publiée
en juillet 1999 par le National Telecommunications and Information Administration of Commerce (cf.
www.ntia.doc.gov). Ce point est important puisque de nombreux litiges autour des élections d’Arizona en
2000 concernaient la discrimination et non la sécurité.
178
http://www.admiroutes.asso.fr/action/theme/democratie/demoelec.htm
179
Plusieurs projets similaires ont été lancés : Cyberposte (www.illiclic.com) qui vise l’équipement de deux
mille bureaux de poste ; les bornes Netanoo de France Télécom (www.netanoo.com) qui se déploient dans
les hôtels, les cybercafés, les supermarchés ; les Cyberdeck (www.cyberdeck.fr) de la RATP ; les
Cyberbases (www.cyberbase.org) issues d’un projet d’une banque publique (CDC).
177
63
Typologie des informations en ligne
Nous distinguerons deux types d’informations proposées en ligne : les unes concernant
exclusivement la campagne électorale, les autres sur la politique courante du pays, de la
région ou de la commune.
Dans le premier cas, des portails sont développés par de grands opérateurs ou des
professionnels de la communication politique180. Ainsi, le Democracy Network (DNet)
constitue aux Etats-Unis un véritable guide de l’électeur internaute à l’échelle nationale181. Il
permet à ce dernier d’accéder rapidement à des informations variées (biographies,
programmes, lieux de rencontres, etc.) sur le candidat de son choix. La principale
caractéristique de ce site est la "matrice du candidat", tableau synoptique du positionnement
des candidats sur les principaux enjeux de société182. Les candidats à l’élection peuvent
également développer leur propre site et proposer plus ou moins d’informations pertinentes.
Selon Marina Villa183, les sites de candidats peuvent être divisés en quatre catégories : les
sites "affiche" qui, comme leur nom l’indique, reprennent les affiches du parti, avec le visage
du candidat, parfois sans informations complémentaires ; les sites amplificateurs qui
présentent la campagne du parti ou du candidat ; les sites "services" qui proposent des
informations générales sur le fonctionnement des institutions, le mode de scrutin, etc. ; et
enfin, les sites interactifs qui sont conçus comme un lieu de rencontre et de débats entre
citoyens.
Dans le second cas, les options proposées peuvent aller de la simple information à une
participation active du citoyen à la vie politique. Ainsi, en Italie, la principale fonction de la
communication électorale par Internet est le networking184, c’est-à-dire la création de liens,
voire d’un dialogue, entre les militants et entre les différents organes du parti, ainsi que la
présentation aux citoyens de la structure et des activités de l’organisation. Les partis veulent
informer et délivrer une information plus pédagogique sans passer par des intermédiaires tels
que les médias. A Amsterdam, le site Digital City vise à renforcer la dimension associative
dans la démocratie tandis qu’à Athènes, le réseau Périclès offre aux citoyens la possibilité de
voter sur les enjeux de la collectivité185. Dans notre pays et en France, les assemblées en
180
De nombreux portails se sont développés en France, tels www.lapolitique.com, www.France-elections.net,
www.lafranceelectorale.com, www.courrierdesmaires.com, www.ternova.com, …
181
http://www.senat.fr/evenement/colloque991119_mono.html
182
Bien que fournissant un aperçu de l’orientation générale du candidat, cette matrice ne dispense bien entendu
aucunement de la consultation de ressources plus détaillées, seules sources d’opinions pertinentes.
183
loc. cit.
184
loc. cit
185
loc. cit.
64
ligne186 permettent la publicité des débats mais également un dialogue avec nos représentants,
voire la prise en compte des avis et propositions des internautes pour la France. Par ailleurs,
dans plusieurs villes françaises (Issy et Amiens entre autres), les débats des conseils
municipaux peuvent être suivis en ligne mais aucune expérience, de niveau national ou local,
de débat interactif n’a été tentée.
Hormis ces sites "officiels", des communautés virtuelles et d’autres sites
d’informations peuvent être créés par quiconque le souhaite, permettant réflexions et débats,
voire coalition, en dehors des institutions officielles et des canaux traditionnels. Comme
l’explique Pierre Levy187 : « les communautés virtuelles inventent de nouvelles formes
d’opinion : la domination des médias de masse, comme la radio et la télévision, sur le débat
public tend à exacerber et à pervertir la notion même d’opinion publique. En inventant un
média interactif au sein duquel n’importe quel individu peut agir instantanément en
participant aux débats et/ou en créant et diffusant une ressource éditoriale, l’Internet permet
aux citoyens de passer du statut de téléspectateur à celui de télé-acteur.» Il faut toutefois
garder à l’esprit que la validité des informations ainsi disséminées, tout comme leur
représentativité de la situation, dépend de leur origine ainsi que de l’honnêteté de leurs
auteurs, les rumeurs se propageant à une vitesse accrue sur le réseau. De même, leur mise en
perspective est difficile dans le cas d’une information "en temps réel".
2.4. Conclusions
Cette section illustre également l’antagonisme entre la mobilité et la fiabilité du
système, tout d’abord par rapport au scrutin traditionnel : les deux infrastructures envisagées
(vote sur un site électoral ou à distance) comportent des risques de manipulations
frauduleuses, de détériorations188 et de contamination des infrastructures par leurs concepteurs
ou par leurs utilisateurs, particulièrement si le vote s’effectue à distance. Même si le logiciel
électoral est libre et qu’une certification de l’infrastructure est effectuée, rien ne garantit que
la fraude sera décelée. En raison de la diversité et de l’évolution technologique constante des
attaques possibles (allant de la simple interruption de l’élection à une corruption indécelable
du résultat du scrutin), celles-ci sont difficiles à identifier et peuvent être activées le jour de
186
Pour la Belgique : http://www.senate.be/ et http://www.lachambre.be/ ; Pour la France : www.assembleenationale.fr et www.senat.fr
187
loc. cit.
188
Dans le cas d’élections maintenues sur un site électoral, la solution apportée peut être identique à celle
envisagée pour les systèmes électroniques d’enregistrement direct (alarme sonore et visuelle, vérification
après chaque utilisation).
65
l’élection (chevaux de Troie). Ni la fiabilité du système, ni le secret, la précision ou l’intégrité
du scrutin ne peuvent donc être garantis. Ce constat est renforcé par l’utilisation des réseaux
informatiques, la possibilité d’interception, de communication et/ou d’utilisation des
informations transmises par une tierce personne ne pouvant être écartée189.
L’antagonisme observé se marque aussi entre les deux types de vote en ligne : si la mobilité
du scrutin est accrue par le vote à distance, la certification des infrastructures utilisées par les
électeurs, malgré ses limites, n’est possible que sur des sites électoraux.
En outre, si le vote est réalisé à distance, la mobilité de l’infrastructure s’oppose aux
règles fondamentales d’une élection démocratique (possibilité de coercition ou de vente du
vote en l’absence d’isoloir, impossibilité de vérification du scrutin par le citoyen, risques liés
à l’utilisation d’identificateurs, indispensables dans ce cas). Dans son rapport, le
Massachusetts Institute of Technology190 recommande d’ailleurs, dans un premier temps, de
conserver le scrutin sur un site électoral, dans des conditions similaires au scrutin traditionnel,
avant d’envisager une élection réellement dispersée.
Enfin, contrairement à ce que nous pourrions penser, la décentralisation de l’élection
engendre des économies moindres que celles généralement attendues (nécessité de
standardiser les installations et de conserver des centres électoraux publics). Toutefois, en
regard du scrutin traditionnel, elle résout les problèmes d’accessibilité à l’élection (le vote
pouvant être réalisé à domicile) et la pénurie d’assesseurs (le nombre de bureaux de vote étant
considérablement réduit).
3.
Réalisation du vote [Processus 3]
3.1. Identification des électeurs
3.2. Rédaction et envoi du bulletin
4. Réception stockage des votes
Cette section présentera chronologiquement les manipulations effectuées par l’électeur
pour voter. Celui-ci étant tenu de s’identifier avant de recevoir un bulletin à compléter, nous
répertorierons d’abord les différentes techniques d’identification avant de décrire la rédaction
et le cryptage du bulletin.
189
190
Depuis le 3 février 2001, la Belgique dispose d’une loi relative à la criminalité informatique dont l’article 6
porte sur les infractions contre la confidentialité, I'intégrité et la disponibilité des systèmes informatiques
et des données qui sont stockées, traitées ou transmises par ces systèmes.
X, An Assessment of the Reliability of Existing Voting Equipment, Caltech / MIT Project Version 2,
Massachusetts, MIT, 03/2001, p.1-2
66
3.1. Identification des électeurs [Processus 3.1. et 3.2.]
4. Réception stockage des votes
Cette étape ne concerne pas, bien entendu, les sites électoraux où une vérification
traditionnelle est maintenue.
Différentes technologies peuvent être envisagées pour identifier les électeurs : le code
PIN (la plus répandue actuellement), la carte à puce, l’identification biométrique
(reconnaissance vocale, rétinienne, d’empreintes digitales), la carte d’identité électronique, …
Elles seront successivement présentées et critiquées dans ce chapitre. Rappelons que les
risques de leur mode de distribution ont déjà été envisagés au point 1.2 de ce chapitre.
3.1.1.
Le code PIN
Le code PIN (ou mot de passe)191 est utilisé dans de nombreux domaines, des cartes
bancaires aux téléphones portables. Il a un rôle d’identificateur unique permettant de vérifier
l’autorisation d’accès à des services automatisés. Un tel système peut être facilement
compromis si une attention particulière n’est pas portée au lieu de stockage et au processus
d’attribution des codes. Utilisés dans un contexte électoral, les codes PINs ne doivent être
octroyés qu’à des citoyens autorisés à participer à l’élection192. Lorsque ceux-ci sont
identifiés, leur envoi se fait par courrier ou par courriel et comporte dès lors des risques : il
est impossible de déterminer si le récepteur du code est bien le destinataire visé (le courrier
pourrait être intercepté et le code utilisé par une tierce personne). La sécurité du processus
peut être accrue en demandant à l’électeur, au moment de sa connexion en ligne, un second
identificateur en plus du code PIN, tel un numéro de carte d’identité. Une autre solution est de
lier les codes PINs à des cartes à puce, inutilisables séparément. Un autre problème est
d’ordre humain : les électeurs doivent comprendre que leur code est strictement personnel et
ne peut être communiqué sous aucun prétexte à une tierce personne, son utilisation étant
automatiquement imputée à son propriétaire193.
191
http://www.aceproject.org/main/english/et/et73.htm
cf. point 1.1.
193
http://www.votingintegrity.org
192
67
En Arizona, les votants reçurent un code PIN (un code alpha-numérique de sept
caractères) par mail quelques semaines avant les élections du Parti Démocrate. Le jour du
scrutin, ils devaient en outre fournir leur date de naissance, les quatre derniers chiffres de leur
numéro de sécurité sociale, et la réponse à deux questions choisies au hasard parmi cinq
questions confidentielles194. A Genève si, dans un premier temps, les électeurs pourront
choisir entre vote traditionnel et vote en ligne (sur un site électoral), ils recevront tous un code
PIN masqué, à gratter et utilisable une seule fois. Ils fourniront également une ou deux
données personnelles supplémentaires, telle leur date de naissance ou leur commune
d’origine, prouvant ainsi leur identité.
3.1.2.
Les cartes à puce
Les cartes à puce ont la taille d’une carte de crédit et contiennent un microprocesseur.
Elles peuvent être envoyées par courrier aux votants avec des bulletins pré-programmés aussi
bien que des clés de cryptage195. A côté des problèmes de sûreté potentiels des cartes ellesmêmes (défectuosité de la carte, publicité de son contenu), cette technologie pose les mêmes
problèmes de sécurité que les codes PINs. De plus, elle oblige l’électeur à se rendre sur un site
électoral puisqu’il ne dispose en principe pas du lecteur adéquat à domicile.
3.1.3.
Les systèmes biométriques
Les systèmes d’identification biométriques196 résolvent le problème de confidentialité
des informations. Ils sont de deux types : visuels et électroniques. Les premiers utilisent les
photographies, les signatures ou des empreintes de la carte d’identité. Sur le site électoral,
celle-ci est remise à l’assesseur qui compare ses données aux caractéristiques du votant.
Toutefois, de telles comparaisons nécessitent des connaissances spécifiques que doivent
maîtriser les assesseurs et ne sont pas suffisamment fiables pour être utilisées dans un
processus électoral (notamment, de par la difficulté d’identifier une personne à partir de sa
photo, celle-ci pouvant dater de plusieurs années). Les seconds peuvent utiliser la voix
digitalisée, des empreintes ou des images rétiniennes. Ces informations personnelles sont
stockées sur des disques ou des cartes à puces et sont comparées aux caractéristiques de la
personne réelle. Plus fiable, ce système est coûteux et, comme sa version visuelle, ne pourrait
être mise en place que sur des sites électoraux traditionnels (pour vérifier que le matériel
194
Wolf (Richard), Arizona Voters click into History, in : USA Today, 07/06/2000, s.p.
cf. point 3.2.3.
196
http://www.aceproject.org/main/english/et/et73.htm
195
68
électoral est employé correctement). L’utilisation de ces techniques pose également des
problèmes inhérents au respect de la vie privée.
3.1.4.
Les cartes d’identité magnétiques
Les cartes d’identité magnétiques peuvent être divisées en deux groupes : celles qui
permettent la lecture de données et celles qui peuvent être lues et modifiées. Outre leur usage
administratif traditionnel, ces dernières pourraient remplir trois fonctions dans le processus
électoral : identifier la personne (en intégrant éventuellement les fonctionnalités de la carte à
puce biométrique, afin d’empêcher les fraudes), vérifier son habilitation à voter (en
connectant le lecteur de cartes à une base de données adéquate) et se verrouiller après usage
pour ne plus être utilisée au cours de la même élection. Leur contrefaçon peut être évitée par
l’introduction d’hologrammes ou de graphiques colorés difficiles à reproduire au sein des
cartes.
En France, le projet de l’ADEP197 prévoit d’expérimenter une carte d’identification du
citoyen porteuse d’un certificat électronique. Il regroupe une vingtaine de municipalités et
permettrait de sécuriser l’usage des télé-procédures198. Aucune date d’expérimentation n’a
toutefois encore été fixée.
3.2.1. Acquisition du bulletin
3.2.2. Rédaction du bulletin
3.2.3. Cryptage du bulletin
3.2.4. Multi-vote
4. Réception du bulletin et stockage des votes
Lorsque la phase d’identification est terminée, l’électeur acquiert un bulletin de vote
qu’il doit compléter puis crypter avant de le renvoyer. Cette section étudiera donc ces
différentes manipulations et se terminera par la présentation des techniques de multi-vote.
197
198
http://www.e-procedures.fr.st/
69
3.2.1.
L’acquisition du bulletin
3.2.4. Multi-vote
Deux configurations sont possibles : soit l’électeur télécharge une page Internet qui
contient le bulletin, soit il reçoit ce dernier par courrier électronique, après s’être identifié
auprès des autorités électorales199. Dans les deux cas, le bulletin, complété et crypté, est
renvoyé par le même canal.
Quel que soit le lieu de l’élection, les votants doivent pouvoir vérifier qu’ils
communiquent bien avec le serveur de l’élection et non avec une personne tierce qui
s’immiscerait dans la communication. Il est ainsi possible de se substituer au site électoral en
envoyant un e-mail à l’électeur lui demandant de cliquer sur un lien qui l’amènerait sur un site
électoral factice (ou qui contiendrait un bulletin factice). Même si la présentation de ce dernier
diffère de celle du site (ou du bulletin) officiel, l’utilisateur moyen ne s’en rendra pas compte.
Le pirate peut alors collecter la référence de l’électeur et réaliser le vote à sa place. Une
attaque plus sérieuse est possible en visant le DNS200 qui dirigerait alors tous les utilisateurs
d’un secteur donné vers le site factice. De telles attaques peuvent être contrecarrées grâce à
l’utilisation de signatures cryptées201.
199
cf. point 3.1.
Domain Name Service : service qui gère les adresses IP.
201
cf. point 3.2.3.
200
70
3.2.2.
La rédaction du bulletin
3.2.4. Multi-vote
L’électeur complète donc son bulletin et le crypte avant de l’envoyer. Le vote de
l’utilisateur (même sous forme cryptée), conservé dans une partie volatile de la mémoire de
l’ordinateur, doit alors impérativement être effacé afin que seul le compteur puisse en prendre
connaissance.
Remarquons
que,
théoriquement,
tout
comme
les
systèmes
électroniques
d’enregistrement direct, cette méthode de vote pourrait sensiblement affecter les intentions
des votants et les résultats électoraux202.
3.2.3.
Le cryptage du bulletin
3.2.4. Multi-vote
4. Réception et stockage des votess
Le cryptage du bulletin complété est effectué à l’aide d’une signature cryptée203, une
forme spéciale de signature numérique204. Nous aborderons donc d’abord l’étude de cette
dernière avant celle du cryptage, étape ultérieure du processus.
La signature électronique ou numérique
L’objectif de la signature numérique est double : authentifier l'expéditeur d’un message
et vérifier que l’intégrité de ce dernier a été respectée lors du transfert. Elle assure également
202
se référer au point 3.2. dans les systèmes électroniques d’enregistrement direct
http://www.commentcamarche.com/crypto/signature.php3
204
Depuis décembre 2000, la Belgique dispose d’une législation sur l’emploi de la signature électronique dans le
monde judiciaire et celui de la sécurité sociale (cf. annexe B). Extrait de la loi du 20 octobre2000
introduisant l'utilisation de moyens de télécommunication et de la signature électronique dans la
procédure judiciaire et extrajudiciaire : Art. 3. Peut satisfaire à l'exigence d'une signature, pour
l'application du présent article, un ensemble de données électroniques pouvant être imputé à une
personne déterminée et établissant le maintien de l'intégrité du contenu de l'acte.
203
71
une fonction de non-répudiation, l’expéditeur ne pouvant nier avoir envoyé le message. Le
procédé est utilisé par les deux interlocuteurs de l’élection : les administrateurs électoraux, qui
peuvent signer les formulaires numériques contenant les bulletins afin que les votants puissent
vérifier l’authenticité du bulletin reçu, et les électeurs, qui peuvent signer une enveloppe
numérique de bulletin de sorte que les autorités électorales reconnaissent que le bulletin a été
envoyé par un votant enregistré. La signature utilise deux fonctions distinctes : l’une de
hachage, l’autre de chiffrage.
La fonction de hachage (appelée aussi fonction de condensation) permet d'obtenir
un condensé (ou haché) d'un texte, c'est-à-dire une suite de caractères assez courte, sorte
d’empreinte digitale de ce texte205. A chaque document ne correspond qu’un seul haché, et
toute modification de celui-ci entraîne la modification de son haché. Il s’agit d'une fonction à
sens unique, le texte original ne pouvant être reconstitué à partir du condensé. En expédiant
un message accompagné de son haché, il est possible de vérifier qu’il n'a pas été altéré
(intentionnellement ou de manière fortuite) lors de son transfert en calculant le haché du
document reçu et en le comparant au haché du message.
La fonction de chiffrage : Pour authentifier un message, l'expéditeur doit signer
(c’est-à-dire chiffrer) le condensé à l'aide de sa clé privée et envoyer le résultat, appelé sceau,
au destinataire qui le décrypte à l’aide de la clé publique correspondante. Le premier
algorithme de chiffrement à clé publique fut développé par R. Merckle et M. Hellman en
1977. Son utilisation fut de courte durée puisqu’un an plus tard, celui de Rivest, Shamir et
Adelman (RSA) lui succéda (il est d’ailleurs toujours utilisé actuellement).
Le fonctionnement du cryptosystème RSA repose sur la difficulté de factoriser deux
nombres entiers. L’expéditeur du document sélectionne au hasard deux nombres premiers p et
q, et d un entier premier. Le triplet (p,q,d) constitue ainsi sa clé privée. Sa clé publique est le
doublet (n,e) tel que n = pq et e = 1/d mod((p-1)(q-1)).
La fiabilité des clés publiques et privées repose sur les deux hypothèses suivantes : la clé
privée doit être tenue secrète (tel le code PIN, toute utilisation de cette clé sera considérée
comme émanant de son propriétaire. Son accès pourra être régulé si elle est stockée sur une
carte à puce, exclusivement activée grâce à un code PIN) et la clé publique doit être certifiée
(garantie que la clé dont on dispose est bien celle de la personne visée).
205
L’algorithme de hachage le plus utilisé est SHA (Secure Hash Algorithm) qui crée des empreintes d'une
longueur de cent soixante bits.
72
La signature cryptée
Tout comme dans le cas de la signature digitale, seul le signataire peut créer une
signature cryptée au moyen de sa fonction de signature privée, alors que n’importe quel
individu peut vérifier la signature grâce à la clé publique du signataire. La seule différence
réside dans le fait que le signataire ne connaît ni l’origine ni le contenu des messages signés.
De plus, il ne sait pas quelles sont les signatures cryptées créées et ne peut donc pas corréler
un message signé donné avec une signature, même s’il garde un enregistrement de chaque
signature cryptée produite206.
Le premier schéma de signature cryptée fut proposé par le Dr Chaum en 1987207. Sa faiblesse
réside dans la possibilité de contrefaire la signature cryptée en obtenant un nombre suffisant
de signatures antérieures de l’individu ou de l’autorité visé. Ainsi, si le pirate obtient les
signatures de m1, m2, m3 , m4, … mt-1, il pourrait déduire la signature mt qui n’a jamais été
produite par le signataire. Parmi les recherches ultérieures inspirées par le protocole de
Chaum208, celles de Fan, Chen et Yeh209 ont résolu ce problème en augmentant le nombre de
facteurs de hasard. Son schéma génère trois entiers (au lieu de deux) mais requiert davantage
de ressources de communication et de calculs.
3.2.4.
Le multi-vote
3.2.4. Multi-vote
Pour être complets, mentionnons l’existence de techniques de multi-vote210 qui
permettent à l’électeur de participer à une séquence définie de scrutins en utilisant un seul
"ticket"211. Ce dernier contient toutes les intentions possibles du votant au cours de ses
différents votes. Lors du suffrage, seule la partie correspondant à l’élection en cours est
206
Propriété d’"unlinkabiblity"
Fan (Chun-I), Chen (Wie-Kuei) et Yeh (Yi-Shung), Randomization Enhanced Chaum’s Blind Signature
Scheme, in : Computer Communications vol.23 n°17, 2000, pp.1678-1679
208
parmi lesquelles celles de Benaloh et Fisher en 1985 et celles de Benaloh et Tuinstra en 1995
Juang (Wen-sheng) et Lei (Chin-Laug), A Secure and Pratical Electronic Scheme for Real World
Environments, in : IEICE Transactions fundamentals, c.1998, p.2
209
Fan (Chun-I), Chen (Wie-Kuei) et Yeh (Yi-Shung), op.cit., pp.1678-1679
210
Fan (Chun-I) et Lei (Chin-Laung), Multi-recastable Ticket Schemes for Electronic Voting, in : IEICE
Transactions Fundamentals vol.E81-A n°5, 05/1998, pp.940-949
211
Cette technique est équivalente à celle utilisée pour les cartes magnétiques (cf. point A.3.2.).
207
73
utilisée. L’avantage d’un tel système est le fait qu’un seul enregistrement préalable soit
nécessaire pour participer à plusieurs scrutins. Cette technique permet donc de diminuer le
trafic du réseau dans le cas d’un enregistrement en ligne212. Elle est actuellement couramment
employée lorsque les sénateurs américains doivent se prononcer sur un ensemble de
propositions. L’autorité n’extrait du ticket que le vote requis.
3.3. Conclusions
Nous percevons de nouveau l’antagonisme entre mobilité et fiabilité au niveau de
l’identification des votants. Au vu des fraudes déjà envisagées précédemment quant à la
distribution des identificateurs, les sites électoraux offrent la possibilité d’effectuer une
vérification supplémentaire. Si l’élection est totalement dispersée, la fiabilité de
l’identification des votants repose sur l’utilisation complémentaire de plusieurs techniques
d’authentification actuelles (code PIN et données personnelles, cartes à puce et code PIN),
afin d’empêcher leur emploi frauduleux213. Si elles permettent un scrutin réellement dispersé
(les cartes à puce requièrent néanmoins un lecteur adéquat), elles ne sont toutefois pas à l’abri
d’une indiscrétion de leur propriétaire. Comme nous l’avons déjà mentionné, l’utilisation de
systèmes biométriques et de cartes d’identité magnétiques tend à augmenter la sécurité du
processus mais sacrifie sa mobilité. Outre les problèmes de respect de la vie privée soulevés,
la mise en œuvre de telles techniques s’avère également coûteuse. Nous remarquons
également que l’utilisation du réseau télématique est sujette à caution lors de l’acquisition du
bulletin : l’électeur doit être sûr de communiquer avec le serveur électoral (dans le cas
contraire, son vote pourrait être substitué ou communiqué, violant les caractéristiques
fondamentales de l’élection).
Enfin, dans le cas du vote à distance, son secret peut être compromis si la mémoire de
l’ordinateur garde une trace du vote réalisé.
212
213
Celui-ci est réduit de m-1/m, m étant le nombre d’élections auxquelles le ticket permet de participer.
cf. point 3.1.
74
4.
Réception et stockage des votes [Processus 4]
4.1. Transfert du bulletin
4.2. Comptage des votes
4.3. Gestion des identificateurs
Nous nous plaçons à présent du point de vue de l’administration électorale, aucune
intervention du votant n’étant possible après qu’il a confirmé l’envoi de son bulletin. Deux
autorités indépendantes seront étudiées : l’agent d’"anonymisation" (ainsi que sa forme
évoluée : le canal anonyme) pour le transfert du bulletin et le compteur pour le dénombrement
et le stockage des résultats. Leur description sera suivie d’une remarque préventive quant à la
gestion des identificateurs par ces autorités.
4.1. Transfert du bulletin [Processus 4.1.]
4.1.1. L’approche mix-net
Dès qu’un suffrage est renvoyé à l’autorité, il est intercepté par un "anonymiseur" qui
mélange au hasard les bulletins reçus afin de les transmettre au compteur dans un ordre
différent de celui dans lequel ils sont arrivés. Ainsi, si le compteur garde une trace de tous les
votes reçus, il ne peut pas en déterminer l’origine, contrairement à l’"anonymiseur" qui
connaît l’adresse IP émettrice et entretient une base de données stockant une copie de tous les
bulletins (cryptés) reçus au cours de l’élection. Celle-ci permet, en cas de litige (perte ou vol
d’un vote, par exemple) de tracer la progression d’un bulletin. L’anonymat des électeurs est
toutefois compromis si l’"anonymiseur" et le compteur conspirent (le premier connaissant le
votant, le second ayant décrypté le bulletin). Une telle collusion est complexifiée par
l’utilisation d’un canal anonyme.
75
4.1.1.
L’approche mix-net 214 [Processus 4.2.]
4.1.1. L’approche mix-net
L’approche "mix-net", aussi appelée canal anonyme, accroît le nombre de parties
nécessaires pour compromettre le secret du scrutin. Les messages cryptés sont envoyés
successivement à différents agents d’"anonymisation", le dernier d’entre eux communiquant
le bulletin au compteur. L’hypothèse de base de ce système est qu’au moins un agent est
honnête. Mais dans cette approche, il est plus difficile de vérifier si un votant n’a pas envoyé
son message à l’administrateur par le canal anonyme ou si l’administrateur ne l’a pas reçu215.
La vérification universelle et individuelle ne peut pas être exercée. Ce problème est résolu en
fournissant à l’électeur une preuve certifiant que son bulletin a été accepté. Si le bulletin est
modifié ou n’apparaît pas lors de la publication du scrutin, le votant peut utiliser ce reçu pour
prouver la fraude216.
4.2. Comptage des votes [Processus 4.3. à 4.8.]
Lorsque le compteur reçoit le bulletin du canal anonyme (ou d’un seul agent), il doit
effectuer plusieurs vérifications : tout d’abord, la signature de l’administrateur doit se trouver
sur le bulletin, garantissant son authenticité. Dans le cas contraire, le vote est refusé et signalé
à l’autorité compétente. Ensuite, le compteur vérifie si l’identificateur est unique. Si deux
votes contiennent le même identificateur, ils sont supposés être identiques et seule une copie
est comptée, généralement la dernière reçue (l’électeur peut ainsi modifier son choix en cas
d’erreur ou employer son identificateur après qu’il a été utilisé par une tierce personne). Il
décrypte ensuite le contenu du bulletin soit en utilisant la clé attachée au vote soit grâce à une
214
Michels (Markus) et Honsier (Patrick), Some Remarks on a Receipt-free and Universally Verifiable Mix-type
Voting Scheme, in : Asiacrypt’96, 1996, pp.2-7
215
Juang (Wen-sheng) et Lei (Chin-Laug), op. cit., p.4
216
cf. point 5.1.
76
clé publique en sa possession. Dans ce dernier cas, comme dans le canal anonyme, pour plus
de sécurité, la clé de décryptage peut être divisée entre différentes autorités possédant chacune
un numéro d’identification distinct et coopérant pour le comptage des votes217. Le contenu du
vote est ensuite stocké dans une base de données (ou une table) distincte et indépendante de
celle contenant l’identificateur du votant. Notons toutefois que lors des scrutins par courrier
électronique en Oregon, tous les bulletins reçus sont imprimés et soumis à un lecteur
optique218.
4.3. Gestion des identificateurs [Processus 4.8.b.]
Quel qu’ait été leur mode de distribution, les identificateurs219 non-utilisés ne doivent
pas être connus par les autorités réceptionnant ou comptant les bulletins afin qu’elles ne
puissent pas se les approprier220. Leur utilisation frauduleuse demandera alors à l’autorité de
faire des suppositions : si un électeur n’a pas utilisé son identificateur au bout d’un certain
temps inférieur à la durée de l’élection, il ne l’utilisera pas et elle le fera à sa place. Si ce
votant s’abstient réellement, l’autorité parvient à ajouter un vote et ni le votant ni
l’observateur externe ne détecteront la fraude. Sinon, le dernier vote émis sera compté et la
tentative se soldera par un échec. Les risques d’une telle situation sont accrus si le résultat des
votes n’est contrôlé que par un seul administrateur.
4.4. Conclusions
L’instauration de deux entités distinctes et indépendantes, le canal anonyme et le(s)
compteur(s), pour le transfert221 et le comptage des votes constitue une garantie du secret du
scrutin qui sera toutefois compromis en cas de collusion des deux partis (ce risque est
inversement proportionnel au nombre de partis en présence de chaque côté) ou par un
217
Du Rette (Brandon William), Multiple Administrators for Electronic Voting, Massachusetts, MIT, 1999,
pp.5-10
218
Ce système sera étudié au point 5 de ce chapitre.
219
Typologie des identificateurs au point 3.1.
220
Ce paragraphe concerne exclusivement les systèmes ne fournissant pas de reçu à l’électeur (cf. point 5.1).
221
La problématique du transfert par le réseau informatique a déjà été envisagée aux points 2.1.3 et 4.1 de cette
section.
77
administrateur du système, un lien devant toujours exister entre un identificateur et un vote
reçus afin de pouvoir, le cas échéant, effectuer le remplacement dudit vote.
Par rapport au système traditionnel, l’automatisation du comptage économise temps et
personnel. Toutefois, en l’absence de vérification par l’électeur222, rien n’empêche le
compteur de modifier ou de supprimer des votes sans être découvert. Il pourrait également
ajouter des votes frauduleux, particulièrement s’il connaît les identificateurs non-utilisés.
5.
5.1. Rétroaction
Tous les bulletins valides recensés, le compteur publie les résultats de l’élection et tous
les votes qui ont été reçus, éventuellement dans une version téléchargeable en ligne. Ce
processus se réalise sous le contrôle d’observateurs s’assurant qu’aucune information n’est
ajoutée ou substituée au scrutin avant sa publication. Puisque les votes sont rendus publics,
n’importe quelle partie le souhaitant peut vérifier le compte des votes et éventuellement
introduire un recours auprès de l’autorité compétente. Nous nous placerons donc de nouveau
du point de vue des votants, plus précisément du contrôle qu’ils peuvent exercer sur le
traitement de leur vote. Bien qu’elles impliquent des étapes antérieures du processus électoral,
nous illustrerons tout d’abord ce point par l’étude des techniques "homomorphiques", la
rétroaction constituant le centre de leur questionnement, avant d’envisager d’autres
constructions de reçus.
5.1. Rétroaction [Processus 5.2.]
5.1. Rétroaction
5.1.1. Le cryptage homomorphique
5.1.2. Généralisation
L’électeur ne peut exercer un contrôle sur le traitement de son vote que si une trace de
ce dernier lui est fournie, sous la forme d’un reçu, dont les objectifs sont de certifier la
réception du bulletin à son auteur et d’empêcher les autorités de créer un vote valide différent
de celui réalisé. Le reçu est expédié au votant avant que son bulletin n’entre dans le canal
222
cf. point 5.1.
78
anonyme. Il est important que ce reçu ne révèle pas l’intention du votant afin de garantir le
secret et l’indépendance de son vote.
5.1.1.
Le cryptage "homomorphique"
5.1. Rétroaction
Contrairement au canal anonyme, la technique "homomorphique" cache le contenu des
votes et non l’identité des votants. Prenons l’exemple du schéma de Chang et Wu223. Lors de
l’inscription des votants à l’élection, l’autorité crée un ensemble d’identificateurs valides et
les lie à un bulletin. Tous les bulletins ainsi produits224 sont mélangés et distribués au hasard,
à raison de un par électeur, de sorte que personne ne connaît l’identificateur d’un votant. Son
vote réalisé, ce dernier étiquette son bulletin avec l’identificateur avant de le renvoyer.
Lorsque le centre énonce le résultat de l’élection, il publie les noms des candidats et les
étiquettes d’identification correspondantes. L’électeur est alors seul capable de vérifier si son
vote a été correctement compté. S’il ne le fait pas ou s’il s’abstient de voter, le centre peut
remplacer des votes valides (ou manquants) par les siens, en veillant à ne pas dépasser le
nombre d’identificateurs valides afin que la fraude ne soit pas détectée par un observateur
extérieur. Dans une version ultérieure du protocole, seuls les votants réels (ceux qui envoient
effectivement leurs votes) doivent vérifier le traitement de leur vote, et non les
abstentionnistes, un identificateur ne pouvant être utilisé qu’après avoir été validé par son
propriétaire. Pour ce faire, une autorité de validation n’est pas suffisante puisqu’elle pourrait
éliminer un vote en éliminant son identificateur. Celui-ci doit donc être stocké dans une base
de données indépendante supervisée par un observateur. Le centre de validation pourrait
également altérer un vote en allouant l’identificateur étiquetant le vote à un autre candidat que
celui spécifié. Il faut donc lier de manière indissoluble le vote à son identificateur de façon à
ce qu’un observateur externe puisse appliquer une fonction vérifiant la provenance du
message.
223
Dini (Gianluca), Electronic Voting in a Large-scale Distributed System, in : Networks vol.38 n°1, 2001,
pp.24-30
224
Le nombre de bulletins produits doit correspondre exactement aux nombres d’électeurs inscrits de façon à ce
qu’aucun faux votant ne puisse être généré.
79
Constatant que beaucoup de schémas "homomorphiques" souffrent de collisions de
bulletins parce qu’ils produisent des identificateurs au hasard, Juang, Lei et Yu225 ont mis au
point un schéma basé sur une technique appelée signature cryptée unique ne produisant pas
d’identificateurs identiques au cours de la même session. Celui-ci permet en outre au votant
de s’abstenir en cours de processus, son identificateur n’étant alors pas transféré à l’autorité.
Ce type de schéma fut utilisé lors du scrutin organisé par Election.com en Arizona.
5.1.2.
Généralisation
5.1. Rétroaction
Fournir un reçu sans porter atteinte au secret du vote est possible en utilisant des
"vote-tags"226. Formes particulières de signatures cryptées227, ils s’en distinguent par leur lien
intrinsèque à un certain vote. S’ils n’en révèlent pas le contenu, ils empêchent toutefois
l’autorité de le modifier. Le votant obtient donc une preuve certifiant que son bulletin a été
accepté mais ne reflétant pas son opinion.
Lors du cryptage de son vote, le votant produit une clé asymétrique au hasard. La clé
publique représente le "vote-tag" qui doit être certifié de manière cryptée par l’autorité. Le
vote, sa signature et la clé de vérification publique (le vote-tag certifié) sont envoyés au canal
anonyme. Deux votes valides pour le même vote-tag ne peuvent en principe pas être créés
puisqu’ils nécessiteraient la connaissance de la clé privée utilisée dans la signature du vote
que seul le votant est censé connaître228. De plus, il est évident qu’une clé publique au hasard
seule ne révèle pas d’information sur le vote, et les signatures cryptées garantissent qu’aucune
relation ne peut être établie entre des bulletins reçus anonymement et les reçus signés
préalablement.
Au terme de la procédure électorale, le résultat des votes est publié avec les vote-tags
correspondants. Si un vote particulier n’est pas compté, le votant concerné peut ouvrir son
vote-tag (c’est-à-dire le décrypter à l’aide de la clé publique fournie par l’autorité) afin de
225
Juang (Wen-sheng), Lei (Chin-Laug) et Yu (Pei-Ling), A Verifiable Multi-authorities Secret Election
allowing Abstaining from Voting, c.1998, pp.4-18
226
Riera (Andreu), Rifa (Joseph) et Borrell (Joan), Efficient Construction of Vote-tags to allow Open Objection
to the Tally in Electronic Elections, in Information Processing Letters vol.75 n°5, 2000, pp.212-215
227
cf. point 3.2.3.
228
problématique du secret des clés privées (cf. point 3.2.3.)
80
prouver qu’il n’a pas été traité correctement. Les reçus n’empêchent toutefois pas le centre de
vote d’ajouter des votes invalides au scrutin, se substituant aux abstentionnistes229.
5.2. Conclusions
En théorie, la distribution de reçus constitue un avantage par rapport au système
traditionnel puisque chaque électeur peut vérifier personnellement, lors de la publication du
scrutin, que son vote a été (correctement) pris en compte. Toutefois, quelle que soit leur
méthode de construction, le point faible des techniques de rétroaction est leur dépendance visà-vis des votants, tenus de vérifier leur vote et de ne pas communiquer leur reçu (ce qui
violerait le secret de leur vote lors de la publication du scrutin). Cette coopération, même
limitée aux votants effectifs (schéma homomorphique amélioré), est impossible à garantir en
pratique.
6.
Ergonomie de la procédure
L’aspect ergonomique de l’installation est primordial et doit se traduire de plusieurs
façons. Sur ce point, les remarques émises pour les systèmes électroniques d’enregistrement
direct restent valables230. L’électeur doit savoir à tout moment à quelle étape de la procédure
il se situe et pouvoir effectuer des retours aux pages précédentes aussi longtemps qu’il n’a pas
confirmé l’envoi de son bulletin. Afin d’éviter qu’il ne se "perde", toute publicité
commerciale doit être bannie du site. Les réponses du serveur à ses manipulations doivent être
rapides (de l’ordre de quelques secondes) et si aucune réponse n’intervient dans les secondes
suivant la confirmation du vote, celui-ci devra être considéré comme refusé et recommencé
par l’électeur.
7.
Vers une adoption du vote en ligne …
Il peut sembler étrange que les procédures électorales en ligne n’aient pas connu la
croissance et l’expansion des transactions commerciales sur Internet. Selon le rapport du
California Internet Voting Task Force231, cette situation est due à une différence fondamentale
entre les deux procédures : dans la seconde, les transactions financières sont effectuées en
ligne mais un processus indépendant "offline" les vérifie et corrige les erreurs détectées. Ce
229
Une solution à ce problème est présentée pour le schéma "homomorphique" au point 5.1.1.
cf. points A.1.2 et A.6.
231
California Secretary of State Bill Jones (éd.), California Internet Voting Task Force…, p.3
230
81
dernier ne peut être mis en œuvre dans le cadre du vote en ligne et l’aspect sécuritaire doit
encore être amélioré par rapport aux transactions actuelles.
8.
Synthèse
Notre synthèse se basera sur les tableaux synoptiques situés en annexe232 ainsi que sur
les diagrammes de flux d’informations233 réalisés à chaque étape. Nous établirons, dans un
premier temps, une typologie générale des fraudes avant d’analyser l’impact des interventions
humaines sur le processus électoral. Nous clorons ce chapitre par une critique globale du
processus, sur base des éléments déjà présentés, en regard des critères établis au point 2.D. de
ce travail.
Au vu de l’analyse exposée dans ce chapitre, les fraudes potentielles peuvent relever
de trois entités distinctes : les électeurs (ou plus généralement, toute personne extérieure au
scrutin qui y trouve un intérêt, à l’exception des deux entités suivantes), les autorités
électorales et la société commerciale fournisseuse du système.
8.1.1.
Par les électeurs
Communication ou vol du reçu : le secret et l’indépendance du vote sont alors
compromis lors de la publication du scrutin ;
Contamination ou détérioration du matériel électoral : celui-ci peut être victime
d’une attaque de virus (préalablement au scrutin) et / ou être rendu inutilisable en cours
d’élection ;
Influence du votant : en l’absence d’isoloir, il est impossible de garantir le secret et
l’indépendance du vote.
Prise de connaissance du bulletin par un tiers : le secret d’un vote peut être
compromis par la consultation de la mémoire de l’ordinateur utilisé ;
Usurpation d’identité : quiconque peut s’enregistrer sous le nom d’une tierce
personne, vivante ou non235, s’il dispose des informations nécessaires à son inscription (date
de naissance, numéro de sécurité sociale, …) ;
232
234
cf. tableau 5
235
fonction de la précision de la base de données d’identification
233
82
Vol ou communication des identificateurs : quel que soit le cas de figure, il
permet au possesseur des identificateurs de voter en lieu et place de la personne autorisée. Si
la communication des identificateurs résulte d’une indiscrétion de leur propriétaire, le vol peut
s’effectuer de plusieurs façons :
Conception d’un site électoral et / ou de bulletins factices : l’électeur se
connecte sans le savoir à un site électoral factice et y envoie son bulletin complété.
Le fraudeur collecte alors l’identificateur et effectue un vote à la place de son
propriétaire légitime ;
Contrefaçon des clés privées : la connaissance de signatures préalablement
réalisées par un votant pourrait conduire à forger des signatures valides, sans avoir
besoin de s’approprier sa clé privée ;
Interception de l’identificateur : l’identificateur est copié ou subtilisé lors de
son transfert à l’électeur.
8.1.2.
Ajout de votes frauduleux : le compteur pourrait modifier le résultat du scrutin en
ajoutant des votes à ceux reçus à l’aide des identificateurs non-utilisés, en veillant à ne pas
dépasser le nombre d’identificateurs validés afin de ne pas être découvert ;
Collusion entre le compteur et le canal anonyme : le premier connaissant le
contenu du vote, le second l’adresse émettrice, le secret du scrutin est compromis ;
Modification ou rejet des votes reçus : le compteur pourrait modifier sans
difficulté le contenu de bulletins reçus (ou rejeter des votes valides) si leur émetteur n’exerce
pas de contrôle lors de la publication du scrutin ;
Corruption du matériel électoral : cf. infra.
8.1.3.
des logiciels électoraux, compromettant l’une ou l’autre étape du processus électoral, voire sa
totalité :
Compromission du secret du scrutin ;
Modification des votes émis.
83
Les administrateurs du système et les électeurs constituent les deux acteurs électoraux
susceptibles d’avoir un impact, positif ou négatif, sur le déroulement du scrutin. Nous
parcourons donc chacune des étapes de ce dernier et déterminerons si les interventions des
deux partis constituent une menace ou une sécurité. Enfin, rappelons que si nous n’avons pas
pris en compte l’intervention du collège des Délégués Citoyens dans ce chapitre, nous
supposons qu’elle serait similaire à celle envisagée pour les systèmes électroniques
d’enregistrement direct.
Lors de l’inscription à l’élection, nous observons des risques liés d’abord à
l’identification erronée des électeurs, ensuite à la distribution des identificateurs. Dans le
second cas, l’administrateur pourrait établir un lien entre un identificateur donné et son
utilisateur. Afin d’éviter une telle situation, les identificateurs sont distribués au hasard.
Toutefois, rien ne garantit qu’ils entreront effectivement en possession de leur propriétaire
légitime. Leur utilisation demande donc l’adjonction de données personnelles. Si le vote se
déroule sur un site électoral, une vérification de l’identité des votants peut également être
réalisée et dispense même de l’emploi d’identificateurs.
Pendant la préparation et l’utilisation des infrastructures, celles-ci sont susceptibles de
faire l’objet de manipulations délictueuses, par les administrateurs ou les électeurs,
particulièrement si le scrutin s’effectue à distance. Le réseau fait ainsi l’objet de tests pour
vérifier sa fiabilité et les données transmises sont systématiquement copiées sur un support
distinct.
Lors de la réalisation du vote proprement dit, la possibilité d’influence du votant par une
tierce personne, tout comme la consultation de son vote dans la mémoire de l’ordinateur ne
peuvent être écartées en l’absence d’isoloir. Les risques sont amoindris par la certification de
tous les échanges réalisés entre les électeurs et l’administration ainsi que par la possibilité de
recommencer la procédure.
Durant le transfert et le comptage des résultats, les administrateurs peuvent suivre la
progression des bulletins. Celle-ci leur permet d’effectuer les vérifications nécessaires en cas
de recours mais pourrait affecter le secret du scrutin en cas de collusion entre l’"anonymiseur"
et le compteur. Ces derniers sont néanmoins multiples et totalement indépendants les uns des
autres.
236
cf. tableau 6
84
Afin de garantir l’anonymat des bulletins (dont l’adresse IP émettrice est connue), ceux-ci
sont mélangés par le canal anonyme avant d’être envoyés au compteur. Ce dernier les vérifie
afin de rejeter les suffrages invalides. Il pourrait compromettre le scrutin en introduisant ou en
modifiant des votes reçus. Il serait toutefois découvert lors de la publication du scrutin dans la
mesure où l’électeur vérifie son vote. Toutefois, s’il ne le fait pas ou si le compteur a employé
des identificateurs non-utilisés, la fraude ne sera pas découverte. Il est donc préférable que le
compteur ne connaisse pas ces identificateurs ou que ceux-ci nécessitent une validation pour
être utilisés.
Enfin, le succès de la rétroaction sur la procédure repose sur la coopération des électeurs
et sur la confidentialité de leur reçu.
8.3. Le vote en ligne face aux critères d’évaluation
Sur base du tableau synoptique237 situé en annexe, nous confronterons chaque critère
d’évaluation au vote en ligne, tenant compte de ses apports et de ses limites mis en évidence
lors de l’analyse. Nous considérerons d’abord les critères traditionnels avant d’aborder les
critères adaptés au vote en ligne.
8.3.1.
L’authentification des votants intervient à deux phases du processus, lors de
l’inscription à l’élection et lors de la réalisation du vote. Dans le premier cas, elle est tributaire
de la réussite de l’identification (usurpation d’identité238) et de la distribution des
identificateurs (vol ou communication des identificateurs239). Dans le second, elle dépend de
l’identification du votant (qui concerne particulièrement les sites personnels et peut être
sécurisée par la validation des identificateurs avant leur emploi) et de la communication avec
le site électoral (subtilisation des identificateurs ou des bulletins240).
Le secret et l’indépendance du vote doivent être certifiés tout au long de la procédure.
Seul le maintien de sites électoraux, avec leurs isoloirs et la présence des autorités ou
d’observateurs externes, est à même de garantir ces conditions lors du vote proprement dit, de
même que l’impossibilité de consulter la mémoire de l’ordinateur utilisé. Lors de l’envoi du
bulletin, l’utilisation de réseaux informatiques comporte des risques d’interception du bulletin
(dont le cryptage constitue une assurance). Pendant son traitement, la sécurité est accrue par la
237
cf. tableau 7
cf. supra
239
cf. supra
240
cf. supra
238
85
multiplication des autorités en présence ("anonymiseurs" et compteurs), chacune exerçant un
contrôle sur les autres et les empêchant de lier le fichier des votes à celui des identificateurs.
Enfin, lors de la publication des résultats, le secret du vote peut être compromis si le reçu est
communiqué, voire volé241, et décrypté.
Dans les techniques que nous avons décrites, aucune vérification universelle ne peut
être exercée (le contrôle des observateurs est limité en raison de la décentralisation des
infrastructures) mais une vérification individuelle, en plus de la rétroaction du serveur
électoral à la réception du vote, peut être effectuée grâce aux reçus242 lors de la publication du
scrutin.
Le risque de votes multiples est quasiment inexistant, le bulletin utilisé ou le compteur
pouvant être programmé à les rejeter. Par contre, celui des votes supplémentaires dépend de la
gestion et de l’utilisation (déjà évoquées) des identificateurs.
La précision du scrutin résulte quant à elle de la fiabilité du réseau informatique et des
techniques de réception et de comptage des suffrages.
L’intégrité du scrutin est d’une part assurée par l’utilisation de la fonction de hachage
dans le cryptage du bulletin (qui garantit son intégrité), d’autre part par la production d’un
nombre limité d’identificateurs (validés préalablement à leur emploi). Son contrôle est
possible par les électeurs, grâce à la distribution de reçus, mais leur coopération ne peut être
garantie.
La transparence du scrutin est toute relative : elle dépend de l’information de l’électeur,
de son accès aux infrastructures électorales (notamment aux logiciels) et surtout de ses
connaissances techniques (indispensables à une compréhension approfondie du système
électronique).
La correction du scrutin peut être favorisée en liant intrinsèquement les votes à leur
bulletin et en dissimulant aux autorités les identificateurs non-utilisés mais, en cas de litige,
un recomptage indépendant (non-informatisé) des suffrages est impossible.
241
242
cf. supra
dont les risques ont déjà été évoqués (cf. supra)
86
8.3.2.
La fiabilité du matériel et des logiciels électoraux est problématique : tous sont
susceptibles d’être manipulés, altérés ou simplement défectueux (identificateurs, systèmes et
réseaux informatiques243, …). Leur certification244 peut être effectuée avant l’élection (sauf
sur les sites personnels) mais est irréalisable en cours de processus (principalement en raison
de l’utilisation du réseau informatique dont l’environnement ne peut, dans l’état actuel des
choses, être totalement sécurisé).
Du point de vue de leur flexibilité, les infrastructures peuvent être uniformisées,
adaptées à tous les formats électoraux et facilement accessibles (tout au moins sur les sites
personnels) puisque mobiles. A ces caractéristiques s’ajoutent des exigences ergonomiques :
la confirmation de toute manipulation (avant qu’elle ne soit définitive), des rétroactions
rapides du serveur, le dépouillement de l’interface utilisateur et sa compatibilité avec
différentes infrastructures matérielles et/ou logicielles, etc.
9.
Conclusion
Nous conclurons ce chapitre par trois constatations en défaveur du vote en ligne
dispersé245 :
Tout d’abord, une telle infrastructure exclut toute la symbolique habituellement
attachée aux élections (dont l’élément central : l’isoloir) et empêche ainsi tout contrôle sur les
conditions effectives du vote ;
Ensuite, au-delà du problème du contrôle de la procédure par des experts, la
dispersion du scrutin ne permet pas de certifier l’ensemble de l’infrastructure utilisée (même
si les sites électoraux sont conservés, un contrôle efficace du réseau ne peut pas être réalisé
dans l’état actuel des choses).
Enfin, si la possibilité de vérifier individuellement son vote peut sembler être un
avantage par rapport au scrutin traditionnel, la démarche active qu’elle requiert du chef des
électeurs met en cause son efficacité246.
243
cf. supra
Nous supposons que, si la Belgique adoptait le vote en ligne, le processus de certification des infrastructures
matérielles et logicielles serait organisé selon les mêmes modalités que celles mises en place dans le cas
des systèmes électroniques d’enregistrement direct et du scanner optique (cf. point A.3.5.1.).
245
Notons toutefois que les interrogations émises pour les systèmes électroniques d’enregistrement direct sont
également valables pour le vote en ligne sur sites électoraux : ses caractéristiques sont similaires à
l’exclusion de l’utilisation du réseau informatique et de ses implications (cf. point A.9.).
246
Rappelons que de nombreux pays voient dans le scrutin en ligne un moyen d’encourager les citoyens à
s’intéresser à nouveau à la politique, et plus particulièrement aux élections.
244
87
C.
Les machines à voter face au vote en ligne
Nous confronterons les systèmes électroniques d’enregistrement direct au vote en ligne
par le biais d’un tableau comparatif247. Les différentes caractéristiques de ces deux techniques
ayant déjà été développées dans les sections précédentes248, nous ne nous y attarderons plus et
tirerons immédiatement les conclusions, en commençant par les similarités observées.
Similitudes
Premièrement, la flexibilité et la transparence du processus sont semblables dans les
deux systèmes : la première caractéristique se traduit par l’adaptation du logiciel à l’élection ;
la seconde nécessite un minimum de connaissances techniques et dépend de l’information des
électeurs.
Ensuite, des mesures techniques ont été conçues pour les deux procédés afin
d’empêcher les votes multiples.
Enfin, la vérification du scrutin a également été envisagée dans les deux cas mais de
façon différente : pour les systèmes électroniques d’enregistrement direct, elle est universelle
et porte donc sur le résultat du scrutin ; pour le vote en ligne, elle est individuelle et porte sur
un vote particulier.
Différences
Tout d’abord, grâce au maintien des sites électoraux, les systèmes électroniques
d’enregistrement direct garantissent l’authentification des électeurs ainsi que le secret et
l’indépendance du vote. Ceux-ci ne peuvent l’être lors d’une procédure en ligne : même si les
sites électoraux sont maintenus, rien ne peut attester la fiabilité du réseau informatique.
En second lieu, la réalisation de votes supplémentaires dépend en partie de la réussite de
l’identification des votants : puisque celle-ci est problématique lorsqu’elle est réalisée à
distance, le risque de votes supplémentaires est accru lors d’un scrutin dispersé.
Troisièmement, la précision et l’intégrité du scrutin (voire sa correction) sont plus
difficiles à garantir lors d’un scrutin dispersé en raison du contrôle limité auquel il peut être
soumis et de la difficulté de certifier l’équipement utilisé. Ces caractéristiques conditionnent
en outre la fiabilité du système.
247
248
cf. supra
88
De plus, un recomptage totalement indépendant des votes est impossible dans le cas du
vote par Internet puisque, si ce dernier est dispersé, cette vérification ne peut être exercée que
sur des données ayant transité sur le réseau.
Enfin, la mobilité du scrutin peut être considérablement accrue par la mise en place du
vote en ligne alors que les systèmes électroniques d’enregistrement direct n’y apportent
aucune amélioration.
Conclusion
Au vu de ces comparaisons, nous conclurons donc que les systèmes électroniques
d’enregistrement direct sont davantage sûrs que le vote en ligne (qu’il soit local ou dispersé),
tant du point de vue des critères traditionnels que de celui des critères adaptés à
l’informatique. Nous confirmons donc la constatation que nous avions faite à plusieurs
reprises en confrontant le scrutin traditionnel au vote en ligne : théoriquement, le degré de
mobilité du système électoral est inversement proportionnel à sa fiabilité.
89
5. Une alternative : Le dépouillement optique
Dans ce chapitre, nous aborderons une autre facette du vote électronique : le
dépouillement optique. Comme son nom l’indique, celui-ci n’automatise que la lecture et la
totalisation des suffrages, contrairement aux techniques déjà abordées. Il est souvent perçu
comme une alternative aux systèmes d’automatisation complète car il repose sur un support
traditionnel, non-informatisé, sur lequel un contrôle démocratique peut être facilement exercé.
Comme nous l’avons fait dans les sections précédentes, nous analyserons le dépouillement
optique de façon systématique, nous limitant toutefois aux critères adaptés à cette
procédure249, dans le but de mettre en lumière ses avantages et ses limites par rapport au
scrutin traditionnel et d’anticiper les fraudes potentielles. Nous le comparerons ensuite aux
techniques étudiées précédemment, c’est-à-dire aux systèmes électroniques d’enregistrement
direct et au vote en ligne.
A.
Le scanner optique
Comme dans le cas des systèmes électroniques d’enregistrement direct, notre
description se basera d’une part sur les lois belges organisant le dépouillement optique et la
documentation produite par le ministère de l’Intérieur, d’autre part sur les entretiens
réalisés250. Pour faciliter la comparaison avec les techniques étudiées préalablement, nous
adopterons une méthode similaire à celle déjà mise en oeuvre, nous focalisant toutefois sur les
étapes se distinguant de celles du scrutin traditionnel. Nous les parcourons donc de la
préparation de l’élection à la publication du scrutin, en omettant le vote proprement dit.
Toutefois, certains aspects de la procédure de dépouillement optique étant identiques à ceux
déjà abordés pour les systèmes électroniques d’enregistrement direct, nous effectuerons des
renvois opportuns vers le chapitre précédent. A chacune des étapes, nous établirons une
comparaison avec les systèmes traditionnels ainsi qu’une synthèse des fraudes potentielles
observées, réalisant à cet effet des tableaux synoptiques251 et des diagrammes de flux
d’information252. Nous clorons cette section par une synthèse comprenant une typologie des
fraudes observées, une analyse de l’impact des interventions humaines sur le scrutin et une
comparaison systématique du processus aux critères retenus.
249
cf. point 7.B.6.
251
252
250
90
Séquence étudiée
Nous commencerons donc par décrire le système de dépouillement et son adaptation à
l’élection, relevant les différences apparaissant à l’électeur ainsi que l’information fournie à
ce dernier. Nous analyserons ensuite la procédure de dépouillement des bulletins, de leur
réception à leur totalisation, et terminerons en abordant la publication du scrutin.
1.
Comme dans le cas des systèmes électroniques d’enregistrement direct, nous aborderons
d’abord la description de l’infrastructure utilisée par les électeurs avant d’analyser, dans la
section suivante, le système de dépouillement proprement dit et son adaptation à l’élection.
Nous clorons cette partie en évoquant l’information communiquée aux citoyens.
Du point de vue de l’électeur, l’infrastructure électorale ne diffère guère de celle utilisée
lors d’un scrutin traditionnel : elle se compose de bulletins "papier", d’isoloirs munis d’un
crayon et d’une urne. Ces éléments sont néanmoins adaptés pour optimiser le dépouillement
des votes : la présentation du bulletin est agencée pour une lecture optique253, le crayon utilisé
est noir et non rouge, et l'urne, dont la fente se trouve alors à l’avant, intègre un plan incliné
afin de conserver les bulletins relativement ordonnés254.
253
254
91
L’information de l’électeur est également identique à celle déjà envisagée dans le cas
des machines à voter255, si ce n’est l’absence de simulations publiques.
1.3. Conclusions
En regard des systèmes traditionnels, la mobilité du scrutin ainsi que son coût matériel
et humain ne sont guère améliorés puisque les conditions du vote sont identiques (maintien
des bureaux de votes, et donc des isoloirs, et des bulletins "papier") et garantissent donc le
caractère démocratique de l’élection.
2.
Préparation de l’infrastructure [Processus 2]
L’infrastructure est d’abord adaptée par le ministère de l’Intérieur (et son fournisseur)
avant d’être mise en fonction par le président du bureau principal (qui reçoit dans ce but une
formation adaptée).
2.1. Au niveau du ministère de l’Intérieur 256 [Processus 2.1. et 2.2.]
La préparation des systèmes de dépouillement optique diverge quelque peu de celle des
systèmes électroniques d’enregistrement direct257. L’adaptation du logiciel électoral est
réalisée cette fois par le fournisseur du système et approuvée par le ministère de l’Intérieur.
255
256
cf. point A.1.3.
92
Ce dernier confectionne les disquettes de démarrage des systèmes de dépouillement ainsi que
celles destinées à l'enregistrement et au comptage des votes exprimés. Elles sont placées dans
des enveloppes cachetées distinctes et remises aux présidents des bureaux principaux,
minimum huit jours avant l'élection, en même temps que les éléments de sécurité nécessaires
à leur utilisation. Comme dans le cas déjà étudié258, chaque disquette est liée intrinsèquement
à un bureau particulier259. Cette procédure se déroule sous le contrôle du collège des Délégués
Citoyens.
2.2. Au niveau du bureau principal 260 [Processus 2.3. et 2.4.]
2.1. Par le ministère de l’Intérieur
Selon l’arrêté royal du 9 juin 1999 déterminant les normes techniques des systèmes de
lecture optique261, un système de dépouillement optique comprend un appareil de lecture
optique des bulletins de vote et d'enregistrement des suffrages qui y sont exprimés, un
ordinateur, un lecteur de disquette et une imprimante. Il dispose d'une alarme lumineuse et
sonore signalant tout fonctionnement défectueux de la machine ou toute manipulation
anormale de celle-ci. Enfin, il doit pouvoir fonctionner de manière indépendante en cas de
panne électrique, afin de terminer le traitement en cours.
Le président du bureau principal active le système de dépouillement au moyen de la
disquette de démarrage et des éléments de sécurité fournis par le ministère, dans les mêmes
conditions que celles étudiées pour les systèmes de totalisation262. Il dispose en outre d'un
programme-test destiné à contrôler le fonctionnement du système.
257
cf. point A.2.
pour les systèmes de totalisation des suffrages des systèmes électroniques d’enregistrement direct
259
Les risques de contamination des logiciels ont déjà été étudiés au point A.2. du chapitre 4.
260
Instructions aux présidents des bureaux de vote utilisant le vote traditionnel et des bureaux principaux de
canton équipés d'un système de dépouillement automatisé au moyen d'un système de lecture optique dans
les cantons de Zonnebeke et de Chimay, Moniteur Belge, 5 mai 1999
261
Arrêté royal du 9 juin 1999 déterminant les normes techniques auxquelles doivent répondre les systèmes de
lecture optique des bulletins de vote destinés au dépouillement automatisé des suffrages qui y sont
exprimés, Moniteur Belge, 12 juin 1999
262
cf. point A.4.2. Toutefois, aucun code d’identification du bureau n’est ici nécessaire puisque les bulletins sont
traditionnels.
258
93
2.1. Par le ministère de l’Intérieur
L’information fournie aux présidents de bureaux et à leurs assesseurs est dispensée
selon les mêmes modalités que celles exposées pour les systèmes électroniques
d’enregistrement direct263. Si les scanners optiques ne sont mis en place qu’au niveau des
bureaux principaux, les membres des bureaux de vote reçoivent la même formation afin de
pourvoir répondre aux questions éventuelles des votants.
2.4. Conclusions
Les deux types de fraudes que nous avions envisagés pour les systèmes
d’enregistrement direct sont également valables pour le dépouillement optique. Il s’agit de la
détérioration du matériel électoral et l’altération de ses logiciels, par le fournisseur ou par les
administrateurs des infrastructures264. Des mesures sont toutefois prises pour éviter de telles
manipulations : la préparation de l’élection est contrôlée par le collège des Délégués Citoyens
auquel s’ajoutent, dans le bureau principal, le délégué du ministère ainsi que le président, les
assesseurs et les témoins du bureau. De plus, différents codes de sécurité sont mis en œuvre
pour authentifier les supports utilisés et éviter leur emploi frauduleux. Toutefois, comme dans
le cas des techniques déjà étudiées, un logiciel électoral libre et une certification de
l’infrastructure ne garantissent aucunement la fiabilité du système (la fraude pouvant ne pas
être détectée).
263
264
cf. point 4.A.2.3.
Les articles 17 et 18 de la loi du 18 décembre 1998 organisant le dépouillement des votes automatisés
condamnent la falsification des supports de mémoire et l'altération frauduleuse des procédés de
dépouillement automatisé, des supports de mémoire et des logiciels utilisés lors des élections.
94
3.
Réception et stockage des votes 265 [Processus 3]
3.Réception et stockage des votes
3.1. Réception des urnes
3.2. Lecture et comptage des bulletins
3.3. Totalisation des résultats
Outre la totalisation des suffrages, nous considérerons ici le traitement appliqué aux
bulletins de vote avant leur introduction dans le scanner optique266 ainsi que le contrôle opéré
sur la procédure.
3.1. Réception des urnes [Processus 3.1.]
A la clôture de son bureau de vote, le président, éventuellement accompagné de
témoins, transmet l’ensemble des bulletins émis (dans une urne ou une enveloppe scellée) au
bureau principal dont il dépend. Celui-ci en entame le dépouillement après avoir constaté que
les urnes sont dûment fermées et les cachets intacts.
Au fur et à mesure de la réception des urnes, les membres du bureau procèdent au
comptage des bulletins, dont le nombre est porté au procès-verbal. Ils les déplient, pour les
préparer à la lecture optique, et les trient, comme lors d’un scrutin traditionnel, rejetant les
bulletins de vote altérés ou différents du modèle validé. A cet effet, chaque bureau dispose de
bacs de différentes couleurs.
265
Articles 13, 15 et 16 de la Loi du 18 décembre 1998 organisant le dépouillement des votes automatisés au
moyen d'un système de lecture optique et modifiant la loi du 11 avril 1994 organisant le vote automatisé,
Moniteur Belge, 31 décembre 1998
266
Nous appréhenderons donc le dépouillement centralisé des bulletins choisi par la Belgique. D’autres pays ont
opté pour un dépouillement sur le lieu de vote, le scanner optique étant intégré à l’urne.
95
3.2. Lecture et comptage des bulletins [Processus 3.2.]
Tous les bulletins retenus sont alors classés par élection et groupés par paquets en
provenance d'au moins deux bureaux de vote. Ceux-ci sont mélangés et successivement
introduits dans le système de lecture optique qui lit et enregistre les votes exprimés. Si
certains d’entre eux sont rejetés par la machine267, ils sont réexaminés par les membres du
bureau qui décident de les valider ou de les annuler [Processus 3.3.]. Dans le premier cas, les
bulletins sont saisis manuellement, lorsque tous les résultats en provenance des bureaux de
vote ont été enregistrés. Les bulletins comptés sont ensuite placés dans des enveloppes
cachetées.
3.3. Totalisation des résultats [Processus 3.5.]
Le détail et la somme des suffrages exprimés dans les différents paquets scannés sont
introduits dans le système de totalisation qui les additionne268. Le résultat ainsi obtenu est
enregistré sur disquette et imprimé.
Le président du bureau principal conserve tous les supports de mémoire utilisés lors de
l'élection. Comme pour les systèmes électroniques d’enregistrement direct, ils sont effacés par
un délégué du ministère de l'Intérieur dès que l'élection est validée ou annulée. Le système de
lecture optique est également désactivé, le programme informatique utilisé et les résultats
électoraux enregistrés étant alors automatiquement effacés.
267
Pour être pris en compte, le contraste de la marque du vote émis doit être égal ou supérieur à cinquante pour
cent, le papier blanc étant la référence. Afin d’éviter le rejet de bulletins valides, l'accès au réglage de la
sensibilité du lecteur optique doit être protégé. [Article 17 de l’Arrêté royal du 9 juin 1999 déterminant
les normes techniques auxquelles doivent répondre les systèmes de lecture optique des bulletins de vote
destinés au dépouillement automatisé des suffrages qui y sont exprimés, Moniteur Belge, 12 juin 1999]
268
comme dans le cas des systèmes électroniques d’enregistrement direct (cf. point 4.A.4.2.)
96
3.4. Surveillance de la procédure [Processus 1 de la figure 15]
Le contrôle exercé par le collège des Délégués Citoyens269 et par le délégué du ministre
de l’Intérieur, sur l’infrastructure comme sur le déroulement du processus, est identique à
celui opéré sur les systèmes électroniques d’enregistrement direct, et est organisé selon les
mêmes modalités270.
3.5. Conclusions
La procédure de comptage des bulletins, et plus spécifiquement leur dépouillement,
n’est donc que partiellement automatisée par les systèmes de dépouillement optique et
requiert toujours une intervention humaine (tri des bulletins, introduction dans le scanner,
analyse des bulletins rejetés, etc.). Celle-ci se rapproche de celle du scrutin traditionnel et
constitue une garantie supplémentaire au bon déroulement des opérations mais également une
menace. Les risques de manipulation des supports utilisés271 et d’ajout de votes frauduleux
sont néanmoins réduits par le contrôle des membres du bureau et des experts (du ministère de
l’Intérieur et du Parlement) et, surtout, la tenue rigoureuse des procès-verbaux.
Les systèmes de dépouillement optique possèdent le même avantage que celui des
systèmes électroniques d’enregistrement direct par rapport aux scrutins traditionnels : le
comptage est centralisé, nécessitant donc un nombre limité d’assesseurs, et est plus rapide
qu’une procédure complètement manuelle. Néanmoins, si le contrôle de l’infrastructure est le
domaine réservé des experts, seuls le comptage et la totalisation des suffrages sont
informatisés. Une vérification identique à celle exercée lors d’un scrutin traditionnel peut dès
lors être mise en œuvre grâce au maintien des bulletins "papier".
269
270
cf. point A.3.5.
271
cf. point 2 de ce chapitre
97
4.
3. Comptage et stockage des résultats
La publication des résultats ne diffère pas de celle réalisée lors d’un scrutin traditionnel.
En cas de litige, outre la vérification des logiciels et des supports utilisés, un recomptage
manuel des bulletins peut également être réalisé.
5.
Vers une adoption du dépouillement optique …
Le dépouillement optique fut expérimenté pour la première fois en Belgique, dans deux
cantons électoraux, lors des élections du 13 juin 1999. Le système utilisé s’avéra défectueux,
considérant à tort un grand nombre de bulletins comme blancs272. En octobre 2000,
l’expérience fut reconduite avec davantage de succès. Toutefois, des tests sont toujours en
cours pour améliorer la fiabilité du matériel273.
Malgré les résultats mitigés obtenus en Belgique, notons néanmoins que, selon l’étude du
Massachusetts Institute of Technology sur les différentes techniques d’automatisation du
scrutin aux Etats-Unis274, le scanner optique est le plus précis de tous les équipements
actuellement en usage (hormis le comptage manuel).
6.
Synthèse
Comme dans le chapitre précédent, notre synthèse se basera sur les tableaux
synoptiques275 ainsi que sur les diagrammes de flux d’informations276 situés en annexe. Nous
établirons de nouveau une typologie générale des fraudes et analyserons l’impact des
interventions humaines sur la procédure électorale. Une critique globale du processus, en
regard des critères retenus pour ce système277, clora ce chapitre.
272
A Zonnebeke, le système de dépouillement s’est trompé huit cent soixante-quatre fois sur huit mille deux cent
deux bulletins.
273
274
X, An Assessment of the Reliability …, p.17
275
cf. tableaux 9 à 11
276
cf. figures 11 à 15
277
98
L’analyse exposée ci-dessus nous conduit à établir une typologie des fraudes
susceptibles de corrompre l’élection. Contrairement aux cas étudiés précédemment, celles-ci
relèvent exclusivement des administrateurs électoraux et du fournisseur du système.
6.1.1.
Ajout de votes frauduleux : celui-ci peut se faire aux niveaux des bureaux
principaux et locaux :
par l’ajout ou la substitution de bulletins (dans les bureaux locaux
uniquement) ;
par l’encodage manuel de votes frauduleux ;
par la substitution des disquettes de stockage ;
par la corruption du logiciel électoral.
Corruption (ou détérioration) du matériel électoral : cf. infra.
6.1.2.
des logiciels électoraux, compromettant l’enregistrement ou la totalisation des suffrages.
Nous analyserons ici l’impact des différents acteurs électoraux, les administrateurs et le
collège des Délégués Citoyens, sur le processus de dépouillement optique. Nous
déterminerons ainsi leurs apports au bon déroulement du scrutin. Comme dans le chapitre
précédent, la plupart des interventions peuvent être perçues comme une prévention aux
risques liés à l’utilisation de technologies dans les élections (toutefois, ceux-ci concernent
cette fois uniquement les administrateurs du système). Nous répertorierons donc à nouveau
chaque risque observé et mettrons en évidence les mesures prises à son encontre. Le collège
des Délégués Citoyens ayant un rôle identique à celui envisagé dans le cas des systèmes
électroniques d’enregistrement direct, nous l’évoquerons à la fin de cette section.
Les premiers risques identifiés ont trait aux manipulations de l’infrastructure matérielle
et logicielle électorale, lors de sa préparation et de son utilisation. Comme pour les systèmes
278
279
cf. tableau 9
cf. tableau 10
99
électroniques d’enregistrement direct, les délégués du ministère certifient et contrôlent les
équipements avant l’élection. Ils conservent le code source du logiciel acquis dans un coffre
afin de pouvoir le comparer ultérieurement aux supports électoraux utilisés. Rappelons que
cette mesure n’empêche pas la manipulation du logiciel mais permet de la découvrir, au terme
de l’élection.
Lors de la préparation du scrutin, des copies de sécurité sont produites pour prévenir les
éventuelles détériorations des supports originaux. Les différents supports produits sont ensuite
scellés pour empêcher leur manipulation durant leur conservation dans les locaux des
administrations communales. Ils ne peuvent être descellés qu’en présence du bureau et sont
activés par son président. Ce dernier initialise les systèmes et dispose d’un progamme-test
destiné à contrôler la fiabilité des systèmes.
La procédure de comptage des votes est partiellement automatisée et permet un contrôle des
résultats produits par la machine. Les bulletins sont préalablement comptés, triés et portés aux
procès-verbaux. Ces derniers sont comparés à ceux des bureaux de vote. Les bulletins rejetés
par la machine sont examinés par le bureau et, s’ils sont validés, introduits manuellement.
Lorsque tous les votes sont totalisés, le président compare les résultats obtenus à ceux des
procès-verbaux.
Notons enfin que cette étape est soumise au contrôle des assesseurs et des témoins comme
dans un scrutin traditionnel. De plus, en cas d’erreur, un recomptage manuel, total ou partiel,
peut être réalisé sur les bulletins conservés dans des plis scellés.
Un autre risque a trait à la modification des votes émis ou à l’ajout de suffrages
frauduleux lors du transfert des urnes, du tri des bulletins, de leur encodage manuel ou de la
publication des résultats. Dans le premier cas, la présence de scellés garantit l’intégrité des
bulletins transmis. Dans le second, la présence des assesseurs et la tenue rigoureuse des
procès-verbaux constituent un frein à ces pratiques répréhensibles.
Enfin, sous réserve de l’honnêteté de ses membres, le collège des Délégués Citoyens a
pour but de sécuriser la procédure électorale et d’exercer un contrôle démocratique au nom
des citoyens. Il a principalement un rôle d’observation : de la préparation des supports
électoraux, du comptage et de la totalisation des résultats. Dans ce but, il teste, avant et après
le scrutin, la fiabilité des infrastructures (logicielles essentiellement).
100
6.3. Le dépouillement optique face aux critères d’évaluation
Sur base du tableau synoptique situé en annexe280, nous confronterons les critères
d’évaluation retenus à la procédure de dépouillement optique exposée dans ce chapitre. Nous
considérerons d’abord les critères traditionnels avant d’aborder les critères adaptés au vote
automatisé.
6.3.1.
Le secret du suffrage, s’il concerne particulièrement la réalisation du vote proprement
dit, est ici garanti par le rejet des bulletins marqués, comme lors d’un scrutin traditionnel, lors
de leur tri. Ce dernier permet également de rejeter les bulletins portant des votes
supplémentaires. Si ces derniers ne sont pas tous éliminés, ils le seront plus tard par le scanner
optique.
Comme lors d’un scrutin traditionnel281, aucune vérification d’un vote individuel n’est
possible mais une vérification universelle identique et indépendante est possible en
recomptant manuellement les bulletins de vote.
La précision du scrutin dépend de la fiabilité de l’infrastructure. Pour contrôler cette
dernière, le contenu des urnes, reçues scellées, est compté avant d’être introduit dans le
scanner optique afin de comparer le résultat obtenu à celui du système. En cas de fraude ou de
doute, un recomptage manuel peut être entrepris. De plus, l’ensemble de la procédure se
déroule sous le contrôle de témoins282 qui vérifient entre autres l’intégrité du scrutin.
La transparence du scrutin dépend principalement de l’information fournie aux électeurs
par les autorités (communales, provinciales, ministérielles, etc.). Celle-ci est similaire à celle
proposée dans le cas des systèmes électroniques d’enregistrement direct, le logiciel utilisé
étant libre également. Des connaissances informatiques sont donc nécessaires pour
comprendre l'intégralité du processus. Toutefois, celui-ci est davantage abordable par
l’électeur puisque seule la procédure de dépouillement est automatisée et qu’un comptage
manuel indépendant, identique à celui d’une élection "papier", peut être réalisé.
La correction du scrutin, comme lors d’une élection traditionnelle, est garantie par la
surveillance des assesseurs et des témoins du bureau, à laquelle s’ajoute la présence du
collège des Délégués Citoyens qui supervise l’ensemble de la procédure électorale. De plus,
en cas de doute, un recomptage manuel peut être effectué.
280
cf. tableau 11
cf. point 2.D.2.
282
cf. infra
281
101
6.3.2.
Comme nous l’avons déjà remarqué pour les techniques d’automatisation totale du
scrutin, le matériel et les logiciels électoraux sont susceptibles d’être manipulés, altérés ou
simplement défectueux. Toutefois, ces dégradations sont découragées par un certain nombre
de mesures identiques à celles envisagées pour les systèmes électroniques d’enregistrement
direct : certification283 de l’infrastructure avant l’élection, contrôle de la procédure par le
collège des Délégués Citoyens, génération de copies de sauvegarde des différents supports
utilisés, utilisation de codes de sécurité et de systèmes d’alarme, etc. De plus, nous l’avons vu,
un comptage manuel traditionnel peut être effectué en cas de fraude.
Les systèmes de dépouillement et de totalisation des résultats sont flexibles puisque leur
logiciel est adapté à l’élection avant d’être utilisé. D’un point de vue ergonomique, leur
manipulation par les présidents et les assesseurs est simplifiée par l’affichage de la procédure
suivie par l’écran de visualisation.
La certification des infrastructures est placée entre les mains des experts du ministère de
l’Intérieur et du collège des Délégués Citoyens. Ils testent la fiabilité du matériel et des
logiciels avant leur acquisition et avant leur emploi. Toutefois, comme nous l’avons vu,
celle-ci peut être contrôlée, au cours de la procédure, par le président, ses assesseurs et les
témoins.
7.
Conclusion
Ce système est incontestablement celui qui se rapproche le plus des scrutins actuels
(seules la lecture et la totalisation des votes diffèrent). Il en présente également les mêmes
garanties grâce au maintien de l’infrastructure coutumière du bureau de vote. Si le collège des
Délégués Citoyens joue un rôle d’observateur, une vérification traditionnelle peut toujours
être effectuée indistinctement par n’importe quel électeur. Néanmoins, il comporte peu
d’avantages par rapport à son prédécesseur : les bureaux de comptage intermédiaires sont
supprimés mais la procédure reste encore essentiellement manuelle.
283
cf. infra
102
6. Conclusion
La conclusion de notre travail pourrait se résumer en une seule question : concrètement,
suite aux observations réalisées, sommes-nous pour une automatisation complète ou partielle
des élections ? Et dans quelles conditions ?
Au vu de notre travail et de l’état actuel des technologies, le degré d’automatisation et
de mobilité284 du scrutin est inversement proportionnel à sa fiabilité : ainsi, le dépouillement
optique est (théoriquement) le plus fiable, le vote en ligne le plus "informatisé" et donc le
moins "contraignant". Néanmoins, même dans une élection traditionnelle, le risque de fraude
existe et nous ne rejèterons donc pas d’emblée les systèmes d’automatisation totale du scrutin.
En fait, le problème n’est pas l’existence de dérives (que nous avons identifiées) mais la
possibilité de les chiffrer et donc de les découvrir. Seuls des tests approfondis et répétés à
grande échelle (insuffisants jusqu’à présent dans notre pays) permettront d’évaluer ce
risque285. De plus, les évolutions techniques joueront un rôle primordial dans la sécurisation
des élections.
Toutefois, selon nous (et comme l’avait déclaré le Parlement à propos de la proposition de loi
sur le vote en ligne), quelle que soit la technique envisagée, l’indépendance et le secret du
vote ne pourront être garantis que par le maintien des sites électoraux traditionnels et d’une
infrastructure contrôlée. Le vote par Internet ne répondant pas à ces exigences, il ne constitue
par conséquent pas une solution envisageable. Selon nous, il n’a d’ailleurs pas lieu d’être dans
notre pays : puisque nous connaissons un scrutin obligatoire, les projets de vote en ligne n’ont
donc pas pour but de ramener les citoyens vers les urnes286.
Pour terminer et faire suite à notre dernière remarque, sans être réfractaires au "progrès"
et indépendamment des caractéristiques des systèmes considérés, nous devrions nous
interroger sur la nécessité d’automatiser nos élections au vu des raisons invoquées par le
ministère de l’Intérieur287. Si cette question nous semble primordiale, elle sort toutefois du
cadre de notre travail et nous n’y apporterons donc pas de réponse.
284
caractéristiques qui sont liées
Notons à ce sujet que, selon la Ligue des Droits de l’Homme, le principe de l’égalité entre personnes n’est pas
respecté aussi longtemps que plusieurs modes de scrutins, avec des contrôles démocratiques différents,
coexistent285. Toutefois, d’un point de vue légal, cette situation n’est pas conflictuelle puisque les trois
systèmes (le vote traditionnel, les systèmes électroniques d’enregistrement direct et le scanner optique)
ont été approuvés par les assemblées élues285 et publiés au Moniteur Belge.
286
Remarquons que si cet argument a entre autres été invoqué en Arizona lors du vote par Internet, il n’a pas
encore été prouvé que ce dernier favorisait effectivement la participation électorale.
287
notamment la difficulté de recruter des assesseurs
285
103
7. Bibliographie
A.
1.
Bibliographie générale
Outils de travail
Batini (C.), Ceri (S.) et Navathe (S), Conceptual Database Design. An Entity-relationship
Approach, Redwood City, The Benjamin/Cummings Publishing Company, 1992, 470p.
Boydens (Isabelle), La banque de données "LATG" de l'O.N.S.S. Les flux de l'information
traitée à partir d'une banque de données: étude critique, Mémoire de Licence Infodoc,
Bruxelles, ULB, 1992, 123p.
Gane (Chris) et Sarson (Trish), Structured System Analysis: Tools and Techniques, New
Jersey, Prentice-Hall, Inc., 1979, xii+239p.
2.
Bibliographies spécialisées
Greenstadt (Rachel), Electronic Voting Bibliography, Massachussets, MIT, 01/2000, s.p.
http://theory.lcs.mit.edu/~cis/voting/greenstadt-voting-bibliography.html
http://liinwww.ira.uka.de/bibliography/index.html : The Collection of Computer Science
Bibliographies
3.
Ressources en ligne
http://bibcmi.univ-mrs.fr/e-journals.html : Bibliothèque digitale de littérature scientifique
[actuellement inaccessible]
http://citeseer.nj.nec.com/ : Bibliothèque digitale de littérature scientifique
http://infomine.ucr.ed/ : Infomine
http://www.csa1.co.uk/ : Cambridge Scientific Abstracts
http://www.cs.indiana.edu:800/estr/ : Unified Computer Science TR Index
http://www.moniteur.be : Le Moniteur Belge en ligne
http://www.bib.ulb.ac.be/erl/ccon_qs.html : Current Contents
http://www.sciencedirect.com/science/home
104
4.
Monographies
Becker (Ted) et Slaton (Christa Daryl), TheFuture of Teledemocracy, Westport, Praeger,
2000, xii+230p.
Boydens (Isabelle), Informatique, normes et temps – Evaluer et améliorer la qualité de
l’information : les enseignements d’une approche herméneutique appliquée à la base de
données « LATG » de l’O.N.S.S., Bruxelles, Bruylants, 1999, xx+570p.
Perrineau (Pascal) et Reynié (Dominique) (dir), Dictionnaire du vote, Paris, PUF, 2001,
xxiv+997p.
B.
1.
Bibliographie spécialisée
Monographies
Alvarez (Michaël) et Nagler (Jonathan), The Likely Consequences of Internet Voting for
Political Representation, California, Internet Voting and Democracy Symposium,
26/10/2000, 38p.
www.lls.edu/internetvoting/ivote3c.pdf
Saltman (Roy G.), Accuracy, Integrity and Security in Computerized Vote-tallying, NBS
Special Publication 500-158, s.l., Institute for Computer and Science Technology,
08/1988, 130p.
2.
http://www.itl.nist.gov/lab/specpubs/500-158.htm
Articles de périodiques
Alexander (Kim), Voting Technology: Commentary for KQED’s “California Report”,
17/11/2000, s.p.
http://www.calvoter.org/publications/votingtech.html
Baraani-Dastjerdi (A.), A Secure Voting Protocol using Threshold Schemes, in : Proc. IIth
IEEE Annual Computer Security Application Conference, 1995, pp.143-155
Bonetti (Pierluigi), Ravaioli (Stefano) et Piergallini (Simone), The Italian Community’s
Electronic Voting System, in : Computer Networks vol.34 n°6, 2000, pp.851-860
Borrel (Joan) et Rifà (Joseph), An Implementable Secure Voting Scheme, in : Computer &
Security vol.15 n°4, s.d., pp.327-338
Brown (Doug), In the running, in : Interactive Week, 22/11/2000, s.p.
http://www.notablesoftware.com/Press/Brown1.html
Chang (C.-C.) et Wu (Wen-Bin), A Secure Voting System on a Public Network, in : Networks
n°29, 1997, pp.81-88
105
Chaum (David), Elections with Unconditionally-secret Ballots and Disruption Equivalent to
breaking RSA, in : Eurocrypt’88, 1988, pp.177-182
Chen (Ing-Ray), Wang (Ding-Chau) et Chu (Chih-Ping), Response Time Behaviour of
Distributed Voting Algorithms for managing Replicated Data, in : Information
Processing Letters vol.75 n°6, 2000, pp.247-253
Clausing (Jeri), Encryption Debate heats up in Washington, in : Computer & Security vol.17
n°4, 1998, p.329
Clift (Steven L.), An Internet of Democracy, in : Communications of the ACM vol.43 n°11,
11/2000, s.p.
http://www.publicus.net/articles/netdem.html
Clift (Steven L.), Putting Pen to Paper: Electronic Democracy, write on !, in : G7
Government Online Project's - Online Support for Democracy sub-project, 1996, s.p.
http://www.e-democracy.org/do/library/pen.html
Communications of the ACM, vol 44 n°1 (numéro spécial E-Democracy), 01/2001, 160p.
Cramer (R.), Franklin (M.), Schoenmaker (B.) et Young (M.), Multi-authority Secret-ballot
Elections with Linear Work, in : Eurocrypt’96 vol.1070, 05/1996, pp.72-83
Cramer (R.), Gennaro (R.), Schoenmaker (B.), A Secure and Optimally Efficient Multiauthority Election, in : Eurocrypt ’97, 1997, pp.103-118
Cranor (Lorrie F.), Electronic Voting: Computerized Polls may save Money, protect Privacy,
in : ACM Crossroads Student Magazine, 23/01/2001, s.p.
http://www.acm.org/crossroads/xrds2-4/voting.html
Cranor (Laurie F.), Internet Privacy: a Public Concern, in : NetWorker: The Craft of Network
Computing Vol. 2, No. 3, 06-07/1998, pp.13-18
http://lorrie.cranor.org/pubs/networker-privacy.html
Cranor (Lorrie F.), Voting after Florida: No Easy Answer, in : Ubiquity: An ACM IT
Magazine and Forum. Vol.47, 13-19/02/2001, s.p.
http://www.acm.org/ubiquity/views/l_cranor_1.html
Cranor (Laurie F.) et Cytron (R.K.), Design and Implementation of a Security-conscious
Electronic Polling System, in : Washington Computer Science Technical report,
02/1996, s.p.
http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps
Cranor (Laurie F.) et Cytron (R.K.), Sensus: a Security-conscious Electronic Polling System
for the Internet, in : Proc. 30th IEEE Hawaii INT. Conf. on System Science, 1997,
pp.561-571
106
Dini (Gianluca), Electronic Voting in a Large-scale Distributed System, in : Networks vol.38
n°1, 2001, pp.22-32
Elliot (David M.), Examining Internet Voting in Washington, 2000, s.p.
www.electioncenter.org/voting/InetVotingWhitePaper.html
Fan (Chun-I), Chen (Wie-Kuei) et Yeh (Yi-Shung), Randomization enhanced Chaum’s blind
Signature Scheme, in : Computer Communications vol.23 n°17, 2000, pp.1677-1680
Fan (Chun-I) et Lei (Chin-Laung), Multi-recastable Ticket Schemes for Electronic Voting, in :
IEICE Transactions Fundamentals vol.E81-A n°5, 05/1998, pp.940-949
Gibson (Rachel), Elections Online: Assessing Internet Voting in Light of the Arizona
Democratic Primary, in : Political Science Quarterly n°116, 2001, pp.561-584
Grossman (Wendy M.), No E(asy) Cure, in : Scientific American vol.284 n°2, 02/2001, p.36
Hayes (Brian), How to count, in : Computing Science, 03-04/2001, s.p.
http://www.americanscientist.org/Issues/Comsci01/compsci2001-03.html
Hevia (Alejandro) et Kiwi (Marcos), Electronic Jury Voting Protocols, c.2000, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/15046/http:zSzzSzwww.dim.uchile.clzSz~mk
iwizSzpublicationszSzhk-iacr00.pdf/electronic-jury-voting-protocols.pdf
Hirt (Martin) et Sako (K.), Efficient Receipt-free Voting based on Homomorphic Encryption,
in : Eurocrypt’ 2000, 2000, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/20658/ftp:zSzzSzftp.inf.ethz.chzSzpubzSzpub
licationszSzpaperszSztizSzisczSzwwwisczSzHirSak00.pdf/hirt00efficient.pdf
Hoffman (Lance), Internet Voting: Will it spur or corrupt Democracy?, 2000, s.p.
www.netvoting.org/Resources/p219-hoffman.pdf
Hwang (Jing-Jang), A Conventional Approach to Secret Balloting, in : Computer & Security
vol.15 n°3, 1996, pp.249-263
Juang (Wen-sheng) et Lei (Chin-Laug), A Secure and Pratical Electronic Scheme for Real
World Environments, in : IEICE Transactions fundamentals, 1997, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/1022/ftp:zSzzSzftp.cs.uow.edu.auzSzpubzSzp
aperszSz1994zSztr-94-13.pdf/a-practical-electronic-voting.pdf
Juang (Wen-sheng), Lei (Chin-Laug) et Yu (Pei-Ling), A verifiable Multi-authorities Secret
Election allowing abstaining from voting, c.1998, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/21147/http:zSzzSzcrypto.ee.ntu.edu.twzSz~vi
malzSzpaperszSzics98jon.pdf/a-verifiable-multi-authorities.pdf
107
Khilla (Insoo), Kimb (Jiseon), Hanc (Ingoo) et Ryoud (Jaecheol), Multi-party fair Exchange
protocol using Ring Architecture Model, in : Computer & Security vol.20 n°5, 2001,
pp.422-439
Kleppner (Caleb), Modernizing Voting Equipment: Guidelines for ensuring Security and
Reliability, 09/2001, s.p.
http://www.fairvote.org/administration/modernize.htm
Ku (Wei-Chi) et Wang (Sheng-De), A Secure and Practical Electronic Voting Scheme, in :
Computer Communications vol.22 n°3, 1999, pp.279-286
Kurlantzick (Joshua), Companies look for a Surge in Electronic Voting, in : U.S. News and
World Report, 03/05/2001, p.45
http://www.usnews.com/usnews/issue/010305/
Lake (Adam), Direct Democracy : Is the United States prepared ?, in : ACM Crossroads
Student Magazine, 14/05/1995, s.p.
http://info.acm.org/crossroads/xrds1-4/democracy.html
Lee (Jong-Hyeon), The Big Brother ballot, c.2000, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/11699/http:zSzzSzwww.cl.cam.ac.uk.zSz~jhl
21zSzdocszSzbbb-osr.pdf/the-big-brother-ballot.pdf
Mercuri (Rebbeca), Corrupted Polling, in : Communications of the ACM vol.36 n°11,
11/1993, p.93
Mercuri (Rebecca), Generic Security Assessment Questions, Rebecca Mercuri Ed., 2000, s.p.
http://www.notablesoftware.com/checklists.html
Mercuri (Rebecca), Statement on Electronic Voting, Rebecca Mercuri Ed., 2001, s.p.
http://www.notablesoftware.com/RMstatement.html
Mercuri (Rebbeca), Voting Automation, in : Communications of the ACM vol.43 n°11,
11/2000, p.125
Mercuri (Rebbeca), Voting-machine Risks, in : Communications of the ACM vol.35 n°11,
11/1992, p.29
Michels (Markus) et Honsier (Patrick), Some Remarks on a Receipt-free and Universally
Verifiable Mix-type Voting Scheme, in : Asiacrypt’96, 1996, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/11643/http:zSzzSzwww.geocities.comzSzCap
eCanaveralzSzLabzSz8983zSzTR-95-12.pdf/michels96some.pdf
Neumann (Peter G.), Risks in Computerized Elections, in : Communications of the ACM
vol.33 n°11, 11/1999, p.170
108
Niemi (V.) et Renvall (A.), Cryptographic Protocols and Voting, in : Computer Science
n°812, 1994, pp.307-316
Okamoto (Tatsuaki), Receipt-free Electronic Voting Schemes forLarge Scale Elections, 1997,
s.p.
http://citeseer.nj.nec.com/cache/papers/cs/1025/http:zSzzSzwww.dmi.ens.frzSz~vauden
ayzSzspw97zSzspw97_Oka1.pdf/okamoto97receiptfree.pdf
Peralta (Rene), Voting over the Internet, 04/2000, s.p.
www.netvoting.org/Resources/peralta.doc
Phillips (Deborah M.), Setting the Standard for Election Integrity, in : VIP, 16/01/2001, s.p.
Phillips (Deborah M.) et Jefferson (David), Is Internet Voting safe ?, c.2000, s.p.
http://www.brook.edu/dybdocroot/gs/projects/iVoting.htm
Ray (Indrajit), Ray (Indrakshi) et Narasimhamurthi (Natarajan), An Anonymous Electronic
Voting Protocol for Voting Over The Internet, c.2001, s.p.
http://citeseer.nj.nec.com/cache/papers/cs/23902/http:zSzzSzwww.cs.colostate.eduzSz~i
ndrajitzSzwecwis01.pdf/an-anonymous-electronic-voting.pdf
Riera (Andreu), Rifa (Joseph) et Borrell (Joan), An Uncoercible Verifiable Electronic Voting
Protocol, 1998, 10p.
http://citeseer.nj.nec.com/cache/papers/cs/7037/http:zSzzSzccd.uab.eszSz~josepzSzpscr
iptszSz11.pdf/riera98uncoercible.pdf
Riera (Andreu), Rifa (Joseph) et Borrell (Joan), Efficient Construction of Vote-tags to allow
Open objection to the Tally in Electronic Elections, in : Information Processing Letters
vol.75 n°5, 2000, pp.211-215
Rubin (Avi), Security Considerations for Remote Electronic Voting over the Internet,
11/2000, 10p. avirubin.com/e-voting.security.html
Schoenmakers (Berry), Compensating for a Lack of Transparency, in : Communications of
the ACM, 2000, s.p.
http://www.cfp2000.org/papers/schoenmaker.pdf
Shamos (Michael Ian), Electronic Voting – Evaluating the Threat, in CFP’93, 03/1993, s.p.
www.cpsr.org/conferences/cfp93/shamos.html
Stanton (Michael), The Importance of recounting Votes, in : Agência O Estado de São Paulo,
13/11/2000, s.p. www.notablesoftware.com/Press/electronic_voting_in_brasil.htm
Stinson (Doug), Visual Cryptography and Threshold Schemes, in : Dr. Dobb’s Journal,
04/1998, pp.36-43
109
Suzuki (Ako), Kaji (Yuichi) et Watanabe (Hajime), Relations among Security Goals of
Probabilistic Public-key Cryptosystems, in : IEICE Transactions Fundamentals vol.E84A n°1, 01/2001, pp.172-178
Thompson (Ken), Reflections on Trusting Trust, in : Communications of the ACM vol.27 n°8,
08/1984, pp.761-763
Vankin (Jonathan), The Real Scandal is the Voting Machines themselves, in : New York Press
vol.13 n°50, 13/12/2000, s.p.
http://www.commondreams.org/views/121400-108.htm
Wildstrom (Stephen H.), Online Voting: click and be counted - Online Elections could work if
Security and Equal Access for all can be guaranteed, in : Business Week (US) n°3678,
24/04/2000, p.22
Woehr (Jack), A Conversation with Ron Rivest : how important is Cryptography and
Computer Security ?, in : Dr Dobb’s Journal, 10/1997, pp.18-24
X, Cyberview : Electronic Voting : a World without Chad, in : Scientific American n°284,
2001, pp.36-39
X, Technology in the Electoral Process, in : Electoral Insight vol. 2 n°1, 06/2000, pp.2-25
www.elections.ca/eca/eim/insight0600_e.pdf
3.
Rapports, thèses, mémoires
Alexander (Kim), Ten Things I want People to know about Voting Technology, Discours
présenté au Democracy Online Project's National Task Force National Press Club,
Washington D.C.,17/01/2001, s.p.
http://www.calvoter.org/publications/tenthings.html
Boeringer (Charles-Henri) et Landsberger (Benjamin), Internet : Enjeux de théorie politique,
Conférence de Paul Mathias, Institut d’Etudes Politiques de Paris, 05/2000, 15p.
http://barthes.ens.fr/scpo/
Clift (Steven L.) (éd.), Building Citizen-based Electronic Democracy Efforts, Discours
présenté lors de la conférence : Internet and Politics: The Modernization of Democracy
Through the Electronic Media, Munich, 1997, 9p.
http://www.e-democracy.org/intl/library/build.html
Clift (Steven L.) (éd.), The E-Democracy E-Book: Democracy is Online 2.0 - Draft, s.l., 2000,
25p.
http://www.e-democracy.org/intl/library/buildppt/sld001.htm
110
Craft (Paul), Internet Voting: spurring or corrupting Democracy?, Débat tenu lors de la 10me
Conference
on
Computers,
Freedom
&
Privacy,
Ontario,
7/04/2000,
s.p.
paulcraft.net/cfpivote.htm
Cranor (Lorrie F.), Declared-strategy Voting: an Instrument for Group Decision-making,
Thèse présentée au Sever Institute of Washington University, Saint-Louis, 12/1996,
151p.
http://lorrie.cranor.org/pubs/diss/
Cranor (Laurie F.), Electoral Management: Election Automation, s.l., 23/09/1998, 7p.
Cranor (Laurie F.) et Cytron (L.K.), Design and Implementation of a Security-conscious
Electronic Polling System, Washington University Computer Science Technical Report,
Washington, 02/1996, s.p.
http://lorrie.cranor.org/pubs/hicss/
Cranor (Laurie F.), Online Privacy : what are people so concerned about and what is being
done about it ?, Princeton ACM/IEEE Computer Society Chapters December 2000
Joint Meeting, Princeton, 2000, s.p.
http://www.acm.org/chapters/princetonacm/mtg0012.html
Cranor (Lorrie F.) et Cytron (R.), Towards an Information-neutral Voting Scheme that does
not leave too much to chance, Présenté au 54me meeting annuel de la Midwest Political
Science Association, s.l., 18-20/04/1996, s.p.
http://lorrie.cranor.org/pubs/mpsa/
Deschouwer (Kris), Buelens (Jo) et Heyndels (Bruno), De invoering van het elektronisch
stemmen in 1995 en 1999 : De impact op het stemgedrag en op de verkiezingsuitslag,
Bruxelles, VUB, 01/05/2000, 25p.
Du Rette (Brandon William), Multiple Administrators for Electronic Voting, Massachusetts,
MIT, 1999, 14p.
http://theory.lcs.mit.edu/~cis/theses/DuRette-bachelors.pdf
Esclatine (Antoine), Les formes de démocratie purement virtuelles : Existence et limites,
Conférence de Paul Mathias, s.l., 01/2000, 4p.
http://barthes.ens.fr/scpo/Presentations99-00/Esclatine/esclatine.html
Hersberg (Mark A.), Secure Electronic Voting using the World Wide Web, Master’s Thesis,
Massachusetts, MIT, 06/1997, 67p.
http://theory.lcs.mit.edu/~cis/theses/herschberg/
Jones (Douglas W.), E-voting – Prospects and Problems, Exposé présenté au Tau Beta Pi's
31st Annual Paul D. Scholz Symposium University of Iowa, Iowa City, 13/04/2000, s.p.
www.cs.uiowa.edu/~jones/voting/taubate.html
111
Jones (Douglas W.), Evaluating Voting Technology, Testimony before the United States Civil
Rights Commission, s.l., 11/01/2001, s.p.
http://www.cs.uiowa.edu/~jones/voting/uscrc.html
Ledoux (Nicolas), Les risques juridiques liés au site Internet d’une commune – Une menace
réelle pour le développement et l’efficacité des sites web de petites communes ? – Les
cas des communes de M., B. et G., Mémoire de DESS Urbanisme et aménagement,
année 2000-2001, Paris, Institut Français d’Urbanisme, Université Paris VIII, 134p.
http://www.w00.net/php3/index4.php?http%3A//www.w00.net/php3/commune/memoir
e.php3
Neumann (Peter G.), Security Criteria forElectronic Voting, Essai présenté à la 16me
National Computer Security Conference, Maryland, September 20-23/09/1993, s.p.
http://www.csl.sri.com/users/neumann/ncs93.html
Newkirk (M. Glenn), From Dark Corner to DOT-Com: the Road ahead for Online Voting,
National
Conference
of
State
Legislatures,
Chicago,
15/07/2000,
s.p.
www.infosentry.com/DarkCorner_to_DOTCOM.htm
Vanneste (Luc) (éd.), Elections du 8 octobre 2000 : Les nouveaux conseils communaux et
provinciaux, Bruxelles, Ministère de l’Intérieur, 2000, 20p.
http://elections.fgov.be/FR/Docu/Brochure/vitamine.htm
X, An Assessment of the Reliability of Existing Voting Equipment, Caltech / MIT Project
Version 2, Massachusetts, MIT, 03/2001, 18p.
http://www.hss.caltech.edu/%7Evoting/CalTech_MIT_Report_Version2.pdf
X, California Internet Voting Task Force: a Report of the Feasibility of Internet Voting,
California, California Secretary of State Bill Jones (Ed.), 01/2001, 89p.
http://www.ss.ca.gov/executive/ivote/
X, Le vote automatisé, Bruxelles, Ministère de l’Intérieur – Direction générale de la
Législation et des Institutions nationales, 1997, 25p.
http://mibz.fgov.be/pd/pdd/frdd15.pdf
X, Report of the National Workshop on Internet Voting: Issues and Research Agenda, s.l.,
Internet Policy Institute, 03/2001, 58p.
http://www.internetpolicy.org/research/e_voting_report.pdf
X, Report on Electronic Democracy Projects, Legal Issues of Internet Voting and Users
Requirements Analysis, Louvain, Commission Européenne, 1/06/2001, 91p.
http://www.eucybervote.org/KUL-WP2-D4V2-v1.0.pdf
112
X, Technology and the Voting Process – Final Report, Canada, KPMG/Sussex Circle,
06/2000, 76p.
www.elections.ca/loi/vot/votingprocess_e.pdf
X, The Future of Internet Voting, Symposium co-sponsored by The Brookings Institution and
Cisco Systems, Inc, s.l., 20/01/2000, s.p.
http://www.brookings.org/comm/transcripts/20000120.htm
X, Voting :What is, what could be - Report of the Caltech-MIT Voting Technology Project,
Massachusetts, MIT, 06/2001, 95p.
http://www.vote.caltech.edu/Reports/index.html
4.
Ressources en ligne
http://demlib.com/netlib/netrev/evote.htm : Site du parti français Démocratie Libérale
http://e-gov.admin.ch/fr/index.php : Projets de "Cyberadministration" de la Chancellerie
fédérale suisse
http://elections.fgov.be/ : Site du ministère de l’Intérieur belge consacré aux élections
http://francaix-michel.nom.fr/dossier/evote/evote.html : Site du député socialiste de l’Oise,
Michel Françaix
http://mibz.fgov.be : Site du ministère de l’Intérieur belge
http://registrenational.fgov.be
http://www.abc-politique.com/evote/evote1.html : Portail d’information politique
http://www.aceproject.org/
http://www.banksys.be/
http://www.carrefourlocal.org/ : Présentation des lois en discussion à l’Assemblée nationale
française
http://www.citoyennetv.com/ : "Première chaîne participative des initiatives citoyennes sur
Internet"
http://www.e-democracy.org : Organisme du Minnesota visant à l’intégration par les citoyens
du système informatisé lors des élections
http://www.election.com/ : Site de Nedap / France Election
http://www.e-poll-project.net/E-Poll.pdf
http://www.e-procedures.fr.st/ : Association pour le développement des e-procédures
http://www.eucybervote.org/
113
http://www.eu-studentvote.org
http://www.fadeuilhe.com/ : Petit journal des débats sur l’E-démocratie
http://www.fing.org/home.php : Site de la FING (Fondation Internet Nouvelle Génération)
http://www.France-elections.net
http://www.francetelecom.com/
http://www.illico.org/public/projets/ : Projets de logiciels libres pour les élections
http://www.industrie.gouv.fr/rntl/AAP2001/Fiches_Resume/SYVIC : SYstème de Vote par
Internet Certifiable pour les élections professionnelles
http://www.internetactu.com/archives/edito/edito53.html
http://www.issy.com/e-democratie/ : Comptes rendus des trois forums mondiaux sur la
démocratie électronique
http://www.journaldunet.com/0003/000331/election.shtml
http://www.linux-gull.ch/evote : Groupe romand des Utilisateurs de Linux et de Logiciels
Libres
http://www.medecin.ch/modules.php?name=News&file=article&sid=58
http://www.netvoting.org : National Workshop on Internet Voting (soutenu par la National
Science Fondation et l’Université du Maryland)
http://www.notablesoftware.com/ : Société de Consultants fondée par Rebecca Mercuri
http://www.poureva.org/ : Site de l’association Pour EVA (Pour une éthique du vote
automatisé)
http://www.psc.be/docparlement/interieur.htm
http://www.senat.fr/evenement/colloque991119_mono.html : Les parlements dans la société
de l’information, 20/07/00
http://www.sos.state.mi.us/election/voteguide : Guide électronique du votant 2000 du
Michigan
http://www.temps-reels.net/ : Vote en ligne et machines à voter, Lettre n°32, 2/10/00
http://www.voterenligne.com/
http://www.votingintegrity.org : Projet d’étude du vote en ligne du gouvernement américain
http://www//cnn.com/2001/TECH/computing/01/15/electronic.voting.idg
114
5.
Articles de presse
Achenbach (Joël), A Renegade Reciprocal Miracle Chad, in : Washington Post, 17/11/2000,
s.p.
http://www.notablesoftware.com/Press/roughdraft.htm
Alsteens (Olivier), 900.000 votes à puces, in : Le Soir n°131, 07/06/1994, p.3
Alsteens (Olivier) et Delfosse (Luc), Le 12 juin, saurez-vous voter à la mode de Verlaine, in :
Le Soir n°35, 11/02/1994, p.3
Av.C., Le vote électronique divise, in : La Libre Belgique n°159, 08/06/2001, p.6
B., Quatre électeurs mènent le vote électronique devant la justice, in : Le Soir n°206,
06/09/2000, p.3
Baudry (Constance), Le droit électoral à l’épreuve d’Internet, in : Le Monde interactif
07/03/200, s.p.
http://www.lemonde.fr/
Berry (Steve), County Studies Plan for new Voting Machines, in : The Times, 11/12/2000, s.p.
http://www.notablesoftware.com/Press/latimes2.html
Bienbon (Paul), La fiabilité du vote électronique (ou automatisé) en Belgique, et du
dépouillement par lecture optique des votes à l’occasion des élections, Bruxelles, Paul
Bienbon (éditeur), 1999, 53p.
Borenstein (Seth), Computer Voting: attractive but flawed, in : Philadelphia Inquirer,
13/11/2000, s.p.
http://www.notablesoftware.com/Press/Borenstein.html
Borenstein (Seth), Rush to Newfangled Voting Machines Abates, Detroit Free Press,
Washington, 25/01/2001, s.p.
http://www.notablesoftware.com/Press/BorenDetroit.html
Borloo (Jean-Pierre), Un recours dans deux communes contre le vote automatisé, in : Le Soir
n°253, 31/10/2000, p.4
Bortolin (Claire), Jurbize à l’épreuve du vote électronique, in : La Libre Belgique n°3,
03/01/2001, p.4
Bourton (William), Rejet de la plainte écolo, demande d’abrogation du PSC. Vote
électronique en ballotage, in : Le Soir n°276, 29/11/2000, p.4
Burgraff (Eric), La population d’Erezée a expérimenté, dimanche, le vote par ordinateur, in :
Le Soir n°43, 16/03/1994, p.12
Burke (Lydd), No Voting Opportunity for All, in : Wired News, 13/03/2000, s.p.
http://www.wired.com/news/politics/0,1283,34914-2,00.html
115
CO.B., Le flop des portails politiques, in : Le Monde interactif, 07/03/2001, s.p.
Copps (Alan), Is Online Democracy the next Step for the Internet?, in : The Times,
22/09/1999, p.10
http://www.timesonline.co.uk/
Copps (Alan), Ready to click and vote? Not so fast, in : The Times, 04/12/00, p.10
http://www.infosentry.com/DarkCorner_to_DOTCOM.htm
Coulon (Daniel), Autoriser le vote à la gare, par e-mail, par téléphone ?, in : Le Soir n°142,
21/06/1999, p.1
De Keyser (Eugénie), Opinions et débats : Le vote électronique, in : Le Soir n°243,
18/10/1994, p.2
Delfosse (Luc), Des pannes ? Quelles pannes ?, in : Le Soir n°254, 31/10/1994, p.3
Delfosse (Luc), En janvier, un groupe de travail évaluera les incidences du vote électronique,
in : Le Soir n°254, 31/10/1994, p.3
Delfosse (Luc), Ne pas mouiller le crayon SVP, in : Le Soir n°26, 31/01/1996, p.3
Delfosse (Luc), Une loi sur le vote automatisé, in : Le Soir n°63, 16/03/1994, p.3
Dorobek (Christopher J.), E-voting Experts put regs first, in : FCW, 23/05/2001, s.p.
http://www.fcw.com/fcw/articles/2001/0604/pol-evote-06-04-01.asp
Dorzee (Hugues) et Lambert (Eddy), Le vote automatisé enlèvera-t-il tous les suffrages ?, in :
Le Soir n°166, 07/05/1999, p.3
Drinkard (Jim), Holes in Punch-card System noted long ago, in : USA Today, 03/07/2001,
p.A.06
http://www.usatoday.com/news/politics/2001-03-07-voting.htm
Dugger (Ronnie), Have Butterfly Ballots and Chads undermined the Credibility of how we
elect our Leaders?, in : Los Angeles Times, 19/11/2000, s.p.
http://www.notablesoftware.com/Press/Dugger1.html
Elie (Michel), L’e-démocratie en marche ?, in : Le Monde, 25/10/2000, p.5
Elliot (Valerie), Electronic Voting mooting in Election Shake-up, in : The Times, 19/01/1998,
p.1
Elliott (Valerie), Straw expected to back Weekend Voting at Touch of a Button, in : The
Times, 17/08/1998, p.8
Evens (Thierry), Le vote électronique en rodage, in : Le Soir n°136, 13/06/1994, p.3
Evens (Thierry), On a tiré les leçons de juin et retouché le système électronique, in : Le Soir
n°235, 08/10/1994, p.3
116
Fessenden (Ford), Counting the Vote: the Machine, in : National Desk, 19/11/2000, s.p.
http://www.notablesoftware.com/Press/Fessenden.html
Foucard (Stéphane) et Mandard (Stéphane), Le vote électronique peut-il réduire
l’abstentionnisme ?, in : Le Monde, 24/04/2002, s.p.
Gelles (Jeff), City to get high-tech Voting Machines, in : Inquirer, c.2000, s.p.
http://www.notablesoftware.com/Press/Gelles.html
Gelles (Jeff), N.J. Critic says Booth proved not so fail-safe, in : The Inquirer, c.2001, s.p.
http://www.notablesoftware.com/Press/NJvote.html
Giuseppe (Pagano), Vote électronique et démocratie, in : Le Soir n°231, 05/10/2000, p.2
Gros (Marie-Joëlle), Le vote en ligne bloqué dans l'isoloir : les expériences se multiplient
mais malmènent le rituel républicain, in : Libération, 15/06/2000, s.p.
http://www.liberation.com/
Gutierrez (Ricardo), Résultats : Le mulot a pédalé dans la semoule, in : Le Soir n°137,
15/06/1999, p.3
Huisman (Eliot), Vote électronique anti-pédagogique ?, in : Le Soir n°174, 29/07/1999, p.2
Jennotte (Alain), Au web citoyens ! La démocratie en ligne passera par l’alphabétisation
numérique, l’expérience de Bologne en témoigne, in : Le Soir n°51, 22/12/1999, p.3
Kavanagh (John), Danger of Voting with our Mouse, in : The Times, 10/06/1998, p.15
Kennedy (Charles), Britain’s sickly Democracy, in : The Times, 11/09/2000, p.2
Kite (Melissa), Three-day Voting and Shop Booths may beat Apathy, in : The Times,
09/06/2001, p.10
Lambert (Eddy) et Thienpont (Pierre-Yves), Le collège d’experts, désigné par les assemblées
et chargé du contrôle du vote électronique, a remis son rapport sur les élections du 13
juin, in : Le Soir n°180, 05/08/1999, p.3
Lambert (Eddy), Démonstration, jeudi, à Chimay, du dépouillement par lecture optique.
L’alternative au vote électronique ?, in : Le Soir n°121,28/05/1999, p.5
Lambert (Eddy), Des citoyens requièrent l’annulation des élections, in : Le Soir n°138,
16/06/1999, p.5
117
Lambert (Eddy), L’ordinateur ou la lecture optique ? Dilemme, in : Le Soir n°235,
09/10/1998, p.6
Lambert (Eddy), Le vote papier s’efface devant l’ordinateur Bull, in : Le Soir n°118,
22/05/1999, p.3
Lambert (Eddy), Vote automatisé : Danger pour la démocratie ?, in : Le Soir n°70,
24/03/1999, p.3
Lane (Earl), Election Debacle highlights debate on new Voting Systems, in : Newsday, 2000,
p.H22
http://www.notablesoftware.com/Press/Lane.html
Ledbetter (James), Net Voting leaves Alaskans Cold, in : The Industry Standard, 27/01/2000,
s.p.
http://www.thestandard.com/article/display/0,1151,9163,00.html
Lemal (Isabelle), Le vote électronique ne change rien aux résultats des partis, in : Le Soir
n°125, 30/05/2000, p.4
Lemal (Isabelle), Les sceptiques du vote électronique, in : Le Soir n°233, 07/10/2000, p.8
Lemal (Isabelle), Sur l’action intentée par quatre citoyens pour dénoncer les dangers du vote
automatisé, in : Le Soir n°219, 21/09/2000, p.2
Lenglart (Eve), L’Europe à l’aube de la cyberdémocratie, in : Le Monde, 09/06/1999, p.1
Lenglart (Eve), Trois questions à … Thierry Vedel, chercheur au Centre d’étude de la vie
politique française, in : Le Monde, 09/06/1999, p.6
Malwitz, No voting Machine is going to be perfect – and not just in Florida, in : Home News
Tribune, 30/11/2000, s.p.
http://www.notablesoftware.com/Press/Malwitz.html
Mandard (Stéphane), C’est le progrès, c’est moderne, ça fait gagner du temps, in : Le Monde,
24/04/2002, s.p.
Mandard (Stéphane), Municipales sur le net, ce n’est qu’un début, in : Le Monde interactif,
07/03/200, s.p.
Mandard (Stéphane) et Marino (Christina), Bruxelles cherche l’impulsion, in : Le Monde,
09/06/1999, p.2
118
Mattheim (Nathalie) et Gorissen (Agnès), Les cinq semaines de la bataille de Floride, in : Le
Soir, 14/12/2000, s.p.
http://doc.lesoir.be/
Matthews (William), Election Reform Act raises Stakes, in : FCW, 01/02/2001, s.p.
http://www.fcw.com/fcw/articles/2001/0129/web-vote-02-01-01.asp
Matthews (William), Internet Voting gains new Appeal, in : FCW, 11/12/2000, s.p.
http://www.fcw.com/fcw/articles/2000/1211/pol-vote-12-11-00.asp
Matthews (William), Online Voting serves Youth, poll finds, in : FCW, 30/10/2000, s.p.
http://www.fcw.com/fcw/articles/2000/1030/web-poll-10-30-00.asp
Matthews (William), Optical Scanning best for Ballots, in : FCW, 18/07/01, s.p.
http://www.fcw.com/fcw/articles/2001/0716/web-voting-07-18-01.asp
Matthews (William), Punching Holes in Dated Vote Systems, in : FCW, 12/03/2001, s.p.
http://www.fcw.com/fcw/articles/2001/0312/news-punch-03-12-01.asp
Matthews (William), Voting Researchers Eye Optical Scans, in : FCW, 23/07/2001, s.p.
http://www.fcw.com/fcw/articles/2001/0723/news-voting-07-23-01.asp
Montvalon (Jean-Baptiste de), Les errements de la machine à voter perturbent les débats au
Palais-Bourbon, in : Le Monde, 31/10/1997, p.8
Napoli (Lisa), The latest Internet Buzzword: Community, in : New York Times, 06/12/1998,
s.p.
http://fox.rollins.edu/~tlairson/ecom/internet10.html
Norr (Henry), The Risks of Touch-screen Balloting, in : San Francisco Chronicle, 04/12/2000,
p.D1
http://www.notablesoftware.com/Press/Norr.html
O’Neill (Jennifer), You might vote Online, but not from home, in : Medill News Service,
06/03/2001, s.p.
http://www.pcworld.com/news/article/0,aid,43642,00.asp
Paques (Cyrus), L’informatique ? C’est plutôt bon pour la démocratie, in : Le Soir n°173,
28/07/1999, p.3
Perera (Rick), Would E-voting help avoid Cliffhangers?, in : IDG News service, 08/11/2001,
s.p.
Petignat (Yves), En 2002, les Genevois seront les premiers à voter par Internet, in : Le
Temps, 15/05/2001, s.p.
http://www.eto.ch/pdf/evoting15mai.pdf
Piret (Paul), Elections : Une question de confiance, in : La Libre Belgique n°69, 09/03/2001,
p.3
119
Piret (Paul), Les élections annulées à Jurbize : C’est le vote électronique qui est à l’épreuve,
in : La Libre Belgique n°68, 08/03/2001, p.4
Piret (Paul), On revote à Jurbize, in : La Libre Belgique n°111, 22/04/2001, p.4
Preston (Morag), Online Polling takes the Chance to make its Mark, in : The Times,
13/11/2000, p.2
Riché (Pascal), Un goût amer de raison d'Etat, in : Libération, 15/12/2000, s.p.
Robert (François), Clotilde Nyssens taille le crayon électronique, in : Le Soir n°279,
01/12/1999, p.4
Robert (François), Foulards, djellabas et sourires pour gommer les caprices du crayon
magnétique à Schaerbeek, in : Le Soir n°136, 14/06/1999, p.4
Robert (François), Plainte du BSC-CVB à la Députation, in : Le Soir n°243, 18/10/1994, p.19
Roland (Lilianne), Quelques réflexions à l’approche des élections communales, in : Le Soir
n°225, 27/09/1994, p.2
S.C., Les électeurs ont plébiscité le vote de l’an 2000, in : Le Soir n°274, 25/11/1991, p.4
S.P., L’e-vote pour bientôt ?, in : La Voix du Nord, 11/02/2001, p.1
http://www.lavoixdunord.fr/vdn/elections/mars2001/evote.shtml
Santini (André), L'e-démocratie réveillera la politique, in : Libération, 21/04/2000, s.p.
Shaw (Brian), Electronic Voting, in : The Times, 16/03/1999, p.19
Schiavetto (Fabrizio), Jurbize. Action auprès du conseil d’Etat. Les socialistes contestent
toujours, in : Le Soir n°301, 29/12/2000, p.4
Schoure (Christophe), Auderghem : Coûteuses urnes électroniques, in : Le Soir n°296,
23/12/1997, p.16
Sherman (Jill), London may get Electronic Election, in : The Times, 12/03/1999, p.2
St.M., Plus de radicalité sur la toile, in : Le Monde interactif, 07/03/2001, s.p.
T.C., Le vote électronique touchera les même communes qu’en 1999, in : Le Soir n°181,
14/08/2000, s.p.
http://www.lesoir.be/
120
Tellier (Didier), L’ "écran à voter" : L’essayer c’est l’adopter, in : Le Soir n°135, 11/06/1994,
p.3
Thibodeau (Patrick), The Price for Electronic Voting, in : Computerworld, 15/01/2001, s.p.
Tye (Avril), Why your Country needs the Internet, in : The SundayTimes, 14/05/2000, p.2
Van Heeswijck (Marie-Jeanne), Résultats non fiables, in : Le Journal du Mardi n°1,
1/06/1999, s.p.
Vanderhaegen (Thierry), Jurbize. La mandature 1994-2000 renaît de ses cendres, in : Le Soir
n°62, 14/03/2001, p.22
Vanderhaegen (Thierry), Le vote électronique mis en cause. Retour aux urnes à Jurbise, in :
Le Soir n°58, 9/03/2001, p.2
Vanderhaegen (Thierry), Vote électronique sur la sellette. Jurbise va recompter trois
disquettes, in : Le Soir n°287, 12/12/2000, p.4
Verdussen (Marc), A propos du vote électronique, in : Le Journal du Mardi n°1, 1/06/1999,
p.5
Weber (Thomas E.), “Scalable” Ballot Fraud: Why one Tech Maven fears Computer Voting,
in : The Wall Street Journal, 03/19/2001, p.B1
http://www.notablesoftware.com/Press/WSJ.html
Whitworth (Damian), The Importance of a hanging Chad, in : The Times, 13/11/2000, p.14
Winters (John), Time for online Voting ?, in : Sun Chronicle, 25/11/2000, s.p.
http://www.notablesoftware.com/Press/Winters.html
Winton (Tony), Experts: Machine counts inaccurate, Associated Press, 2000, s.p.
http://www.notablesoftware.com/Press/APwinton.html
Wolf (Richard), Arizona Voters click into History, in : USA Today, 07/06/2000, s.p.
http://www.usatoday.com/life/cyber/tech/cth533.htm
X, 220 V, in : Le Soir n°97, 26/04/1994, p.3
X, A Welcome Set of Experiments for the Local Elections, in : The Times, 27/04/2000, p.23
X, Elections – Demande d’annulation, in : Le Soir n°269, 19/11/1994, p.4
X, Electoral Reforms take vote to People, in : The Times, 20/10/1999, p.13
121
X, L’intention de l’électeur est le souci premier, in : Le Monde, 11/10/2000, p.3
X, Liège : Pannes, embouteillages, rires et déceptions, in : Le Soir n°236, 10/10/1994, p.7
X, Premier vote électronique à Santeny, in : Le Monde, 22/09/1992, p.11
X, The Importance of recounting Votes, in : Agência O Estado de São Paulo, 13/11/2000, s.p.
http://www.notablesoftware.com/Press/electronic_voting_in_brasil.htm
X, Vote automatisé : Requête recevable, in : Le Soir n°288, 11/12/1999, p.3
X, Woluwé-Saint-Lambert fait ses comptes électoraux, in : Le Soir n°248, 24/10/1994, p.14
6.
Autres
Entretien avec Madame Ingrid Bens, conseillère au service Elections et Population du
ministère de l’Intérieur, le 9/08/2002
Entretien avec Monsieur Henri Snyer, informaticien du ministère de l’Intérieur spécialisé dans
le vote électronique, le 9/08/2002
Entretien téléphonique avec Monsieur Daniel Lodewyckx, fonctionnaire responsable des
élections dans la commune de Woluwé-Saint-Lambert , le 23/07/2002
Le vote électronique : prise de pouvoir par la machine ?, Atelier de discussion dans le cadre
des Ateliers du progrès organisés par le Parti Socialiste, Université du Travail de
Charleroi, 20/11/2001
Verkiezingenresultaten en databanken, Odis Workshop, Bruxelles, 23/11/2002
http://www.odis.be
122
8. Annexes
123
A.
Quelques définitions …
La diversité du jargon électoral et des acceptions de ses termes nous conduit à
restreindre la portée du vocabulaire que nous employons dans notre travail :
E-démocratie : Tout exercice, passif ou actif, de la démocratie grâce aux
technologies informatiques de télécommunication. Elle inclut des concepts aussi variés que
l’information en ligne, la participation à des forums politiques, la communication avec les
élus, l’automatisation de procédures administratives, la soumission de proposition de lois, le
vote en ligne, etc. Par extension, on y inclut toutes les procédures de vote assistées par
ordinateur.
Système
de
dépouillement
optique
ou
scanner
optique :
Méthode
d’automatisation du scrutin, par lecture optique des bulletins et totalisation des suffrages,
limitée à son dépouillement.
Scrutin : Ensemble des opérations électorales, comprenant le dépôt des bulletins,
leur dépouillement et la proclamation des résultats.
Système électronique d’enregistrement direct : Infrastructure électorale utilisée
dans tous les scrutins réalisés sur une machine à voter, c’est-à-dire un ordinateur1 dépourvu de
connexion en ligne. Nous y distinguons les machines à voter simples (programmées
exclusivement à cette tâche) des P.C. pourvus d’un logiciel électoral pour la durée du scrutin.
Vote : Opinion exprimée (suffrage, voix).
Vote automatisé : Toute technologie qui automatise partiellement ou totalement la
procédure électorale, mécaniquement (machines à levier mécanique) ou informatiquement
(des lecteurs de cartes perforées au vote en ligne).
Vote électronique : Toute procédure de vote automatisée grâce aux technologies
informatiques. Remarquons toutefois que cette expression est fréquemment utilisée pour se
référer spécifiquement aux systèmes électroniques d’enregistrement direct (dans ce cas, nous
préférerons ce terme à celui de vote électronique).
Vote en ligne : Toute forme de scrutin reposant sur les technologies en ligne (site
électoral, vote par mail).
1
au sens premier du terme, à savoir Machine électronique de traitement numérique de l'information, exécutant à
grande vitesse les instructions d'un programme enregistré selon Le Petit Robert
i
B.
1.
Législation organisant le vote automatisé 2
Législation relative au vote électronique
Loi du 11 avril 1994 organisant le vote, Moniteur Belge, 20 avril 1994
Spécifications concernant les fichiers et les formulaires qui doivent être utilisés par les
logiciels qui seront mis en oeuvre dans les bureaux de recensement, les bureaux
principaux et les bureaux centraux automatisés, Moniteur Belge, 24 février 2000
Loi du 12 août 2000 modifiant la loi du 11 avril 1994 organisant le vote automatisé, ainsi que
le Code électoral, Moniteur Belge, 25 août 2000
Arrêté royal du 12 août 2000 prolongeant jusqu'à 15 heures dans les cantons électoraux et
communes désignés pour l'usage d'un système de vote automatisé, les heures
d'ouverture des bureaux de vote pour les élections des conseils provinciaux, des conseils
communaux, des conseils de district et pour l'élection directe des conseils de l'aide
sociale, Moniteur Belge, 24 août 2000
Arrêté ministériel du 21 août 2000 déterminant les modèles des instructions pour l'électeur
dans les cantons électoraux et communes désignés pour l'usage d'un système de vote
automatisé lors des élections simultanées pour les conseils provinciaux, les conseils
communaux et les conseils de district et pour l'élection directe des conseils de l'aide
sociale, Moniteur Belge, 24 août 2000
Arrêté ministériel du 11 septembre 2000 constatant la conformité aux conditions générales
d'agrément des systèmes automatisés de vote et des systèmes électroniques de
totalisation présentés par l'association momentanée Philips-Stesud sous les appellations
« JITES I » et « JITES II », Moniteur Belge, 14 septembre 2000
Arrêté ministériel du 11 septembre 2000 constatant la conformité aux conditions générales
d'agrément de systèmes automatisés de vote et des systèmes électroniques de
totalisation présentés par la S.A. Bull N.V. sous les appellations « Digivote I » et
« Digivote II », Moniteur Belge, 14 septembre 2000
2
Bibliographie sélective
ii
2.
Législation relative au dépouillement optique
Loi du 18 décembre 1998 organisant le dépouillement des votes automatisés au moyen d'un
système de lecture optique et modifiant la loi du 11 avril 1994 organisant le vote
automatisé, Moniteur Belge, 31 décembre 1998
Instructions aux présidents des bureaux de vote utilisant le vote traditionnel et des bureaux
principaux de canton équipés d'un système de dépouillement automatisé au moyen d'un
système de lecture optique dans les cantons de Zonnebeke et de Chimay, Moniteur
Belge, 5 mai 1999
Arrêté royal du 9 juin 1999 déterminant les normes techniques auxquelles doivent répondre
les systèmes de lecture optique des bulletins de vote destinés au dépouillement
automatisé des suffrages qui y sont exprimés, Moniteur Belge, 12 juin 1999
Arrêté royal du 2 juin 1999 déterminant le nombre d'assesseurs et d'assesseurs suppléants que
comptent les bureaux principaux de canton et les bureaux principaux communaux en cas
d'élections, dans les cantons électoraux et communes faisant usage d'un système de
lecture optique des bulletins de vote destiné au dépouillement automatisé des suffrages
qui y sont exprimés, Moniteur Belge, 10 juin 1999
3.
Loi relative au piratage informatique
Loi du 28 novembre 2000 relative à la criminalité informatique, Moniteur Belge, 3 février
2001
4.
Législation relative à l’utilisation de signatures électroniques
Arrêté royal du 16 octobre 1998 portant des dispositions relatives à la signature électronique,
qui s'applique à la sécurité sociale, en application de l'article 38 de la loi du 26 juillet
1996 portant modernisation de la sécurité sociale et assurant la viabilité des régimes
légaux des pensions, Moniteur Belge, 7 novembre 1998
Loi du 20 octobre 2000 introduisant l'utilisation de moyens de télécommunication et de la
signature électronique dans la procédure judiciaire et extrajudiciaire, Moniteur Belge, 22
décembre 2000
Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures
électroniques et les services de certification, Moniteur Belge, 29 septembre 2001
iii
C.
Diagrammes de flux d’informations
Comme nous l’avions annoncé dans l’introduction, nous avons réalisé des diagrammes
de flux d’informations en nous basant sur le modèle présenté par Chris Gane et Trish Sarson3.
Nos schémas reposent sur les descriptions réalisées dans les chapitres 4 et 5 de ce travail. Ils
ne constituent en aucun cas une représentation exhaustive de la réalité exposée : nous nous
sommes concentrée sur les flux d’informations internes aux systèmes de vote et à leurs
échanges avec des acteurs externes. De plus, le modèle choisi permet théoriquement une
décomposition à l’infini des processus exposés : nous nous sommes donc limitée à une
profondeur d’analyse adaptée à notre objectif. Enfin, le sujet même de notre travail impliquait
l’appréhension d’interactions continuelles entre aspects matériels, logiciels et conceptuels.
Celle-ci nous a conduit à nous éloigner quelque peu de la sémantique normale des
diagrammes de flux d’informations afin de prendre en compte ces différents aspects.
Dans notre optique, les entités suivantes font partie du système : les délégués du
ministère de l’Intérieur, les présidents et assesseurs des bureaux de vote et des bureaux
principaux ainsi que, plus généralement, tout le personnel administratif jouant un rôle actif
dans la procédure électorale automatisée. Nous avons identifié trois identités externes : les
électeurs, le fournisseur de l’infrastructure et le collège des Délégués Citoyens (ces derniers
n’intervenant que dans les procédures des systèmes électroniques d’enregistrement direct et
de dépouillement optique en raison de leur adoption effective en Belgique4). Pour chacune des
techniques, nous présenterons d’abord un schéma sommaire donnant un aperçu de la
procédure dans sa globalité. Certains processus seront alors développés en fonction de leur
importance dans notre analyse.
Pour terminer, nous l’avons dit, l’intervention du collège des Délégués Citoyens n’a été
envisagée que pour deux des trois systèmes présentés et elle couvre l’ensemble de la
procédure électorale. Nous avons donc décidé de représenter par un diagramme spécifique les
démarches "actives"5 de ce comité. Son organisation étant similaire dans les deux systèmes,
nous avons réalisé un schéma unique.
3
Gane (Chris) et Sarson (Trish), Structured System Analysis: Tools and Techniques, New Jersey, Prentice-Hall,
Inc., 1979, pp.8-47
4
Rappelons toutefois que nous supposons que l’intervention du collège serait similaire pour le vote en ligne si
celui-ci était adopté par notre pays.
5
par opposition aux observations des tâches réalisées par d’autres
iv
1.
Table des figures
1. Processus de vote electronique..........................................................................vi
2. PREPARER L’INFRASTRUCTURE ......................................................................................... VII
3. DIRIGER LA REALISATION DU VOTE .................................................................................. VIII
4 .STOCKER ET COMPTER LES VOTES ...................................................................................... IX
5. PUBLIER LES RESULTATS ..................................................................................................... X
6. Processus de vote en ligne ................................................................................ xi
7. TRAITER LES DEMANDES D’INSCRIPTION ........................................................................... XII
8. DIRIGER LA REALISATION DU VOTE .................................................................................. XIII
9. RECEPTIONNER ET STOCKER LES VOTES ...........................................................................XIV
10. PUBLIER LES RESULTATS .................................................................................................XV
11. Processus de dépouillement optique .............................................................xvi
12. PREPARER L’INFRASTRUCTURE......................................................................................XVII
13. RECEPTIONNER ET STOCKER LES VOTES ...................................................................... XVIII
14. PUBLIER LES RESULTATS ................................................................................................XIX
15. Interventions du Collège des Délégués Citoyens..........................................XX
v
D.
Tableaux synoptiques
Les tableaux ci-dessous ont été réalisés au fur et à mesure de nos observations et ont
servi de base à nos différentes synthèses et comparaisons. Chaque technique étudiée en
compte trois : le premier dressant une typologie des fraudes (et de leurs solutions, partielles,
envisageables), le deuxième étudiant l’impact des interventions humaines sur la procédure et
le dernier présentant une comparaison systématique des différentes étapes du processus aux
critères d’évaluation établis dans notre introduction6. Dans chacun d’eux, les étapes
considérées coïncident à la structure textuelle de notre travail et non à celle des diagrammes
de flux d’informations. Elles sont différentes puisque, nous l’avons dit, la construction et la
profondeur d’analyse de nos schémas correspondent à nos objectifs7. Toutefois, un
rapprochement peut être aisément effectué puisque, dans tous les tableaux, chaque étape
principale correspond à un processus du schéma général de la procédure en question8.
1.
Table des tableaux synoptiques
Première analyse .................................................................................................. xxii
Les systèmes électroniques d’enregistrement direct :
TYPOLOGIE DES FRAUDES.................................................................................................. XXIV
IMPACT DES INTERVENTIONS HUMAINES ............................................................................ XXV
FACE AUX CRITÈRES D’ÉVALUATION ................................................................................. XXVI
Le vote en ligne :
TYPOLOGIE DES FRAUDES................................................................................................ XXVIII
IMPACT DES INTERVENTIONS HUMAINES ........................................................................... XXIX
FACE AUX CRITÈRES D’ÉVALUATION .................................................................................. XXX
Comparaison des deux systèmes.....................................................................xxxvi
Le dépouillement optique :
TYPOLOGIE DES FRAUDES.............................................................................................. XXXVIII
IMPACT DES INTERVENTIONS HUMAINES ......................................................................... XXXIX
FACE AUX CRITÈRES D’ÉVALUATION ..................................................................................... XL
6
cf. point 2.D.
cf. annexe C
8
De plus, un renvoi systématique vers les processus des différents diagrammes est effectué dans le corps du
travail.
7
xxi

le vote automatise: l`e-démocratie face à l`analyse critique des flux d

Transcription

Documents pareils

à tous les membres cols blancs du parc six flags sec (la ronde)

À TOUS LES MEMBRES COLS BLANCS DU PARC SIX FLAGS

Arrêté de création de la commission électorale (pdf - fr

REPUBLIQUE FRANCAISE MAIRIE DE PUISSALICON COMPTE

Consultez le programme - CEREGE

CR 2010 12 06

iprof ………………….Webmail ……………toutatice ………… adresse

bulletin d`information communal

cr-cm-juillet-2015

reglement interieur de la royale ligue velocipedique belge