PROTOCOLE D’ACCORD RELATIF AU VOTE ELECTRONIQUE CONCERNANT LES ELECTIONS DES REPRESENTANTS DU PERSONNEL AU CONSEIL ET DU COMITE SOCIAL ET ECONOMIQUE EN 2022

Table des matières

Article 1 Principes du recours à un prestataire 3

Article 2 Cadre géographique des élections 4

Article 3 Déroulement des opérations de votes 4

Article 4 Consultation de la participation 6

Article 5 Le scellement 6

Article 6 Assistance aux utilisateurs 6

Article 7 Mise à disposition d’un ordinateur en libre-service 6

Article 8 Assistance aux personnes ne pouvant pas voter seules 7

Article 9 Bureau de vote 7

Article 10 Dépouillement 7

Article 11 Formalités 8

Article 12 Durée du protocole d’accord 8

Article 13 Révision 8

Article 14 Publicité 9

Caisse Primaire d’Assurance Maladie de

Représentée par,

d’une part,

Et

Les Organisations Syndicales représentées par leurs représentants respectifs dûment mandatés :

• La C.G.T, représentée par,

• Force Ouvrière, représentée par

d’autre part.

Il a été convenu ce qu’il suit :

Le présent accord se substitue de plein droit à compter de son entrée en vigueur à l’ensemble des dispositions conventionnelles, usages, décisions unilatérales ou accord atypique portant sur le même objet dans l’organisme.

Le présent accord a pour objet de mettre en place le vote électronique en vue des élections des représentants du personnel:

• au Conseil

et

• au Comité Social et Economique dans le cadre des dispositions de l’ordonnance n°2017-1386 du 22 septembre 2017 relative à la nouvelle organisation du dialogue social et économique dans l'entreprise et favorisant l'exercice et la valorisation des responsabilités syndicales.

Les informations relatives au processus électoral ont été et seront tout au cours de ce dernier réalisées dans le respect des dispositions légales.

Article 1 Principes du recours à un prestataire

La mise en œuvre du vote électronique sera confiée à la société PARAGON, spécialisée dans le développement du vote électronique, la conception et la mise en place du système de vote électronique sur la base du marché public mutualisé mis à disposition au sein du régime général par l’UCANSS (accord-cadre 18/AC/22 notifié le 25/02/2019).

Dans ce cadre, le cahier des charges a été établi dans le respect des dispositions des articles R2314-5 et suivants du code du travail. Il sera tenu à la disposition des salariés et consultable au service Ressources Humaines de l’Organisme. Il sera également mis à disposition sur l’intranet.

Afin d’assurer une plus grande facilité et homogénéité dans l’organisation du vote, la Direction a décidé que tous les électeurs de l’organisme voteront de manière électronique.

Aucun vote à bulletin secret sous enveloppe ne sera organisé.

La solution technique choisie pour ce vote est celle de la société PARAGON TRANSACTION dont le siège social est situé au 131 Chemin du Bac à Traille 69300 CALUIRE ET CUIRE, ci‑après dénommé le « Prestataire ».

Les parties reconnaissent que les modalités du vote électronique permettent d’assurer la confidentialité des données transmises, notamment de celles des fichiers constitués pour établir les listes électorales des collèges électoraux, ainsi que la sécurité de l’adressage des moyens d’authentification, de l’émargement, de l’enregistrement et du dépouillement des votes, conformément aux principes généraux du droit électoral.

Pour plus d’informations sur le fonctionnement et la description du vote électronique, il est également joint en annexe du présent protocole d’accord le mémoire technique du fonctionnement du système de vote électronique pour les élections au sein des organismes de Sécurité Sociale remis par le prestataire dans le cadre de la conclusion de l’accord-cadre 18/AC/22.

La solution retenue fera l’objet d’une expertise indépendante, elle doit permettre de garantir le bon fonctionnement du système de vote, l’efficacité des mesures de sécurité mises en œuvre, la confidentialité et l’anonymat du vote.

A cet effet, la CPAM fera expertiser la solution de vote électronique par un expert indépendant. Les conclusions de l’expertise seront communiquées aux parties signataires et consultables au service Ressources Humaines et sur l’intranet de la CPAM.

Article 2 Cadre géographique des élections

Ces élections concernent l’ensemble des salariés de la Caisse Primaire d’Assurance Maladie étant mis en place au niveau de l’organisme.

Article 3 Déroulement des opérations de votes

3.1 Transmission d’une notice d’information :

Chaque salarié sera également informé au moyen d’une notice d’information détaillée sur le déroulement des opérations électorales.

Toute facilité sera accordée au personnel pour lui permettre de voter. Le temps nécessaire à chaque électeur pour voter n'entraînera aucune réduction de salaire.

Les électeurs auront la possibilité de voter à tout moment pendant la période du scrutin, de n’importe quel terminal internet, de leur lieu de travail et/ou à distance.

3.2 Matériel de vote – Codes confidentiels

Afin de pouvoir se connecter au système de vote, chaque électeur recevra à son domicile un moyen d’authentification confidentiel.

Les codes d’accès, qui se composent d’un code d’accès et d’un mot passe, sont générés aléatoirement par le prestataire sans qu’ils soient communiqués à l’entreprise. L’envoi de ce matériel de vote sera réalisé par le prestataire pour chacune des élections.

Conformément aux recommandations de la CNIL, l’envoi du code d’accès (login) et du mot de passe sera fait par 2 envois séparés et deux moyens distincts (courrier simple et courriel).

De nouveaux codes seront générés en cas de deuxième tour.

Pour les deux tours d’élections, lors de la connexion, un 3ème identifiant consistant en une question dont le salarié est le seul à connaître la réponse (sont ainsi exclus la date de naissance et tout élément facilement décelable par un tiers) sera demandé au salarié.

1. 3.3 Protocole de restitution des codes confidentiels en cas de perte ou de non-réception

En cas de perte ou de non-réception de ce courrier, l’électeur pourra s’adresser à la hotline du Prestataire ou se déclarer en ligne.

L’électeur aura la possibilité de récupérer ses codes personnels en saisissant obligatoirement ses noms et prénoms et au choix :

- son département de naissance,

- une partie du numéro de sécurité sociale,

- son matricule (numéro d’agent).

Le prestataire lui adressera ses codes, soit à son adresse mail professionnelle, soit à une adresse mail personnelle, qui sera communiquée par l’électeur, et fournie dans le fichier des électeurs transmis au prestataire.

3. 3.4 Modalités de vote

Le prestataire assure la réalisation des pages Web et, notamment, la présentation à l’écran des bulletins de vote après avoir procédé à l’intégration dans le dispositif du vote électronique, des listes de candidats et des logos conformes à ceux présentés et transmis par leurs auteurs.

Les listes sont présentées à l’écran par tirage au sort.

Par ailleurs, afin de garantir l’égalité de traitement entre les listes de candidats le prestataire veillera à ce que la dimension des bulletins et la typographie utilisée soient identiques pour toutes les listes.

5. 3.5 Déroulement du vote

La connexion au site de vote a lieu par le navigateur internet à l’aide d’une adresse qui sera fournie par le prestataire. Cette adresse de connexion sera indiquée dans les protocoles d’accord préélectoraux.

Après avoir saisi cette URL dans la barre d’adresse dans le navigateur internet, l’électeur devra saisir le code d’accès et son mot de passe ainsi que le troisième identifiant.

Une fois connecté, l’électeur se verra présenter les seuls bulletins de vote correspondant à son collège, pour les titulaires et les suppléants.

Il pourra alors procéder à son choix :

- choisir une liste complète,

- raturer des candidats,

- voter blanc.

Le choix de l’électeur lui sera par la suite rappelé et pourra être modifié avant confirmation finale.

À tout moment, l’électeur peut interrompre le processus de vote et le reprendre.

La confirmation du vote par l’électeur vaut signature de la liste d’émargement dès réception dans l’urne électronique.

Un accusé réception confirmera au salarié l’enregistrement définitif de son vote.

Toute personne non reconnue n’aura pas accès aux pages du serveur de vote.

Article 4 Consultation de la participation

Le Prestataire est autorisé à consulter les taux de participation à chacun des scrutins pendant l'ouverture du vote électronique.

Il les consulte sur demande de la Direction de la CPAM, puis les lui communique afin qu'elle se charge de diffuser, le cas échéant, cette information à toutes les listes en présence.

Article 5 Le scellement

Afin de répondre à ses obligations techniques et légales, le prestataire formera sur le dispositif de scellement, avant l’ouverture du vote un correspondant des ressources humaines, les représentants du personnel et les membres du bureau de vote avant l’ouverture du site internet.

Le scellement des urnes électroniques a pour effet de :

- figer les données de l’élection (fichier électeurs, fichiers candidats, profession de foi, paramétrage global de l’élection),

- remettre les compteurs des urnes à zéro et ainsi s’assurer que les urnes sont vides,

- créer la clé globale de chiffrement de l’élection et donc des bulletins de vote.

Article 6 Assistance aux utilisateurs

La cellule assistance technique du prestataire sera chargée de veiller, tout au long du déroulement du processus de vote électronique, au bon fonctionnement, à la supervision technique de ce système de vote.

Durant la période d’ouverture du scrutin, la cellule d’assistance pourra être contactée par les électeurs par le biais de coordonnées communiquées lors de l’envoi des codes d’accès.

Article 7 Mise à disposition d’un ordinateur en libre-service

Durant chaque tour de scrutin, un ordinateur en libre-service protégé par un isoloir sera mis à disposition dans chaque établissement pour les électeurs non équipés (il peut être listé les catégories de salariés concernés). L’emplacement de cet ordinateur en libre-service sera indiqué dans les protocoles d’accord préélectoraux.

Cet ordinateur permet à tout électeur de procéder au vote électronique. Il est expressément précisé qu'aucun moyen ne sera prévu pour modifier les plages horaires de votes déterminées.

Les électeurs sont donc informés qu'en cas d'arrivée tardive ou d'arrivées nombreuses peu avant la fermeture du site internet, il peut arriver qu'ils ne puissent voter sur un poste en libre-service.

Article 8 Assistance aux personnes ne pouvant pas voter seules

Les électeurs qui ne sont pas en mesure d’utiliser l’espace de vote en raison d’un handicap ou d’une infirmité, ont le droit de se faire assister par un électeur de leur choix.

Article 9 Bureau de vote

Les membres du Bureau de vote contrôleront le bon déroulement des opérations électorales et proclameront les résultats.

La participation au Bureau de vote se fera pendant les heures de travail et n’entraînera aucune réduction de salaire.

À ce titre :

- ils seront invités à la réunion de contrôle des données, test et scellement du système de vote, au cours de laquelle les clés de déchiffrement seront générées,

- ils contrôleront le déroulement du vote, au moyen des informations mises à leur disposition via le système de vote,

- ils seront alertés par la Cellule d’assistance technique de tout incident et prendront toute décision utile,

- ils participeront à la séance de dépouillement, au cours de laquelle :

▪ ils autoriseront le dépouillement des urnes à l’aide de leurs clés de déchiffrement,

▪ ils proclameront les résultats, signeront les listes d’émargement et les procès-verbaux (formulaires CERFA), édités et imprimés sous leur contrôle.

Les membres du Bureau de vote pourront consulter sur le site de vote :

- les listes électorales,

- les listes de candidats et les documents éventuels attachés (professions de foi, photographies et vidéos),

- la composition du bureau de vote,

- l’évolution du taux de participation pendant la période d’ouverture du scrutin,

- le journal des événements,

- le code de scellement du Système de vote.

Article 10 Dépouillement

1. Procédure de dépouillement

Le dépouillement des urnes aura lieu en présence des membres du bureau de vote, des représentants de listes souhaitant être présents et du gestionnaire de l’élection.

Après saisie par les membres du bureau des clés de déchiffrement, 3 clés valides sur 4 seront suffisantes pour procéder au déscellement des urnes, le système de vote affichera les résultats du vote pour chaque scrutin.

Le dépouillement du premier tour sera effectué, même si le quorum n’est pas atteint, afin de déterminer la représentativité des organisations syndicales et l’audience des candidats leur permettant d’être désignés pour des fonctions syndicales.

2. Signature et conservation des listes d’émargement

À l’issue du dépouillement, les listes d’émargement seront imprimées et signées par les membres du Bureau de vote.

Les listes d’émargement signées seront placées dans une enveloppe qui sera scellée et conservée par l’employeur.

L’enveloppe sera détruite à l’issue de la période de recours.

Article 11 Formalités

Conformément à la loi n°78-17 du 6 janvier 1978 modifiée en 2004, une déclaration à la CNIL sera effectuée par l’employeur au titre de la constitution des fichiers électoraux et de candidats.

Conformément aux obligations légales, les utilisateurs du système de vote pourront faire valoir leur droit d’accès aux informations enregistrées les concernant, en adressant une demande par courrier postal auprès du prestataire et en justifiant de leur identité.

Conformément aux obligations relatives au vote électronique dans le cadre des élections professionnelles, le prestataire conservera sous scellés, jusqu’à l’expiration du délai de recours et, lorsqu’une action contentieuse a été engagée, jusqu’à la décision juridictionnelle devenue définitive, les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d’émargement, de résultats et de sauvegarde.

La procédure de décompte des votes pourra, si nécessaire, être exécutée de nouveau.

À l’expiration du délai de recours ou, lorsqu’une action contentieuse a été engagée, après l’intervention d’une décision juridictionnelle devenue définitive, le prestataire après en avoir informé le gestionnaire de l’élection, procédera à la destruction des fichiers supports.

Article 12 Durée du protocole d’accord

Le présent accord est conclu pour une durée déterminée correspondant à celle nécessaire pour l’organisation des élections professionnelles de 2022 : représentants du personnel au Conseil et au Comité Social et Economique.

A l’arrivée du terme de cet accord, il cessera de produire ses effets.

Article 13 Révision

Le présent accord peut être révisé, à tout moment pendant la période d’application, par accord collectif conclu sous la forme d’un avenant. Les organisations syndicales de salariés habilitées à engager la procédure de révision sont déterminées conformément aux dispositions de l’article L. 2261-7-1 du code du travail.

La demande d’engagement de la procédure de révision est formulée par lettre recommandée avec accusé de réception ou remise en main propre contre décharge à l’employeur et à chaque organisation habilitée à négocier l’avenant de révision.

A la demande de révision sont jointes les modifications que son auteur souhaite apporter au présent accord.

L’invitation à négocier l’avenant de révision est adressée par l’employeur aux organisations syndicales représentatives dans le mois courant à compter de la notification la plus tardive des demandes d’engagement de la procédure de révision.

Les conditions de validité de l’avenant de révision obéissent aux conditions posées par l’article L. 2232-12 du code du travail.

Article 14 Publicité

Il sera déposé un exemplaire auprès du Secrétariat-Greffe du Conseil des Prud’hommes.

Conformément aux dispositions légales et réglementaires en vigueur, cet accord sera également déposé sur la plateforme de téléprocédure du Ministère du travail.

Une copie sera remise à chaque organisation syndicale.

Le présent protocole fera l’objet d’une publication sous l’Intranet de la CPAM est sera consultable au service Ressources Humaines.

A , le 08 avril 2022

Le délégué syndical CGT, La Déléguée syndicale FO, Le Directeur,

TABLE DES MATIERES

1. CARACTERISTIQUES DE LA SOLUTION 3

   1. RESPONSIVE WEB DESIGN : 100 % COMPATIBLE SMARTPHONE/TABLETTE 4

   2. SITE D’ADMINISTRATION DU VOTE 5

   3. PILOTAGE DU VOTE ELECTRONIQUE PAR LA COMMISSION ELECTORALE 5

2. DESCRIPTION FONCTIONNELLE DE LA SOLUTION 10

   4. ETAPE 1 : TRANSMISSION DES CODES CONFIDENTIELS DE VOTE 11

   5. ETAPE 2 : LE SCELLEMENT 12

   6. ETAPE 3 : LE VOTE PAR INTERNET 14

   7. ETAPE 4 : DESCELLEMENT ET RESULTATS 22

   8. AFFICHAGE DES RESULTATS DU VOTE 22

   9. CONSERVATION ET ARCHIVAGE 22

   10. LE JOURNAL ELECTRONIQUE DE L’ELECTION 23

   11. ARCHITECTURE TECHNIQUE DE LA SOLUTION 24

   12. SECURISATION DU SYSTEME 29

   13. NIVEAUX DE SERVICE 31

   14. CONFORMITE CNIL 33

CARACTERISTIQUES DE LA SOLUTION

Conformément à vos exigences, PARAGON Elections fournira un site de vote pour les électeurs répondant aux caractéristiques suivantes :

• Un dispositif d'authentification unique de l’électeur sur la base d’un code d’accès et d’un mot de passe uniques générés aléatoirement et complétés d’un code défi .

• Au cours de cette procédure, le serveur de vote vérifie que l'électeur est bien autorisé à voter et qu’il n’a pas déjà voté. Dans ce cas seulement, l’électeur accède aux listes uniquement de son scrutin dans l'ordre officiellement retenu.

• Les moyens pour l’électeur d’exprimer son suffrage en accédant aux listes des candidats sur une page unique.

• La validation finale du vote après l’affichage du bulletin de vote sélectionné ne se fera qu’après une double confirmation, conformément aux recommandations de la CNIL.

Après confirmation du vote par une double validation, la prise en compte et la mémorisation sécurisée et chiffrée de l’expression du vote et de son émargement seront effectives.

L’électeur pourra télécharger et conserver un accusé de réception à valeur probante ou demander l’envoi de cet AR par Email après saisie de son adresse Email.

Toutes les informations relatives au vote de l’électeur sont chiffrées par un algorithme réputé fort.

La solution garantit à 100% la confidentialité du vote.

Quelqu’un qui accèderait au poste de l’électeur après son vote n’a pas d’information sur ce vote, ni directement à l’écran (une fois le vote confirmé, l’expression de celui-ci ne peut être retrouvée sur le site), ni via la fonction «retour» du navigateur (la fonction « retour » fait automatiquement revenir à la page d’accueil du site).

Après reconnexion sur le site de vote, l’électeur arrive sur l’accusé de réception sans possibilité de revoter ou de connaître l’expression du vote (ni via les cookies, ni via le cache du navigateur, ni via aucun autre canal).

La solution de vote PARAGON Elections est compatible avec tous les principaux navigateurs web sur le marché (Internet Explorer, Mozilla Firefox, Chrome, Safari, Opéra) représentant plus de 97% de compatibilité dans le monde.

Le site de vote est également compatible avec les smartphones et les tablettes disposant des systèmes d’exploitation les plus répandus sur le marché : IOS, Android, Windows XP et ultérieur, Linux.

Aucun logiciel n’est exigé pour notre solution qui ne requiert aucun téléchargement, source de faille sécuritaire et trop intrusif.

La solution ne nécessitant aucun logiciel spécifique et étant compatible avec l’extrême majorité des ordinateurs du parc français, l’outil de diagnostic ne parait pas essentiel, mais nous pourrons cependant mettre en place un contrôle de la version du navigateur web.

RESPONSIVE WEB DESIGN : 100 % COMPATIBLE SMARTPHONE/TABLETTE

Les internautes se connectant de plus en plus souvent depuis leur téléphone ou leur tablette notamment par le flashage d’un QR Code, les sites internet doivent s’adapter aux nouvelles modalités de connexion. Tactilité ou lenteur du débit internet, chaque terminal a des caractéristiques et une résolution d'écran qui lui sont propres et impacte la qualité visuelle du site de base.

L’approche technologique de création d’un site internet doit être repensée pour mieux anticiper les différentes contraintes liées à chaque support. Le Responsive Web Design est aujourd'hui une solution incontournable quel que soit le support de navigation emprunté.

Les avantages du Responsive Web Design sont nombreux :

• plus de réactivité au site web qui s'adapte alors aux différentes résolutions d'écrans disponibles.

• universaliser l'affichage d'un site web en utilisant les nouvelles règles acceptées par la grande majorité des navigateurs.

• Les colonnes et les images s'ajustent, se redimensionnent et se déplacent automatiquement selon que la résolution d'écran l'exige.

• ergonomie optimale en sauvegardant intacte la qualité de l'information du site de vote.

Avec le Responsive Web Design, c'est l'assurance d'une URL unique, peu importe le terminal utilisé (mobile ou fixe). En effet, le non-ajustement du site au support de navigation peut affecter grandement l'expérience de vote en ligne pour l’électeur.

Le site s'affiche automatiquement en fonction de l'écran sans demander de quelle manière l'utilisateur souhaite naviguer.

La plateforme de vote par Internet PARAGON Elections est un site internet Responsive Web Design, totalement compatible avec les Smartphones et Tablettes

SITE D’ADMINISTRATION DU VOTE

Conformément à vos exigences, PARAGON Elections fournira un site d’administration pour le bureau de vote et l’ensemble des personnes habilitées :

• Chaque personne désignée aura en sa possession un code et un mot de passe pour se connecter au site d’administration.

• Le site de gestion/administration permettra le scellement puis le descellement de l’élection.

• La possibilité de générer des clés de scellement ou la possibilité au bureau de vote de saisir leurs clés de scellement : Ces clés sont personnelles et connues seulement des membres les saisissant.

• Le dépouillement/déchiffrement des expressions de vote (bulletins de vote électroniques)

• La génération des résultats de l’élection par scrutin (urne) dans un fichier non modifiable et horodaté.

• Les listes d’émargement et l’accès au taux de participation tout au long du scrutin et après descellement/dépouillement. Plusieurs niveaux du taux de participation sont paramétrés : global, par région, par scrutin, etc…

• Le suivi en temps réel des alertes techniques et applicatives et les interventions éventuelles sur la solution de vote après le scellement dans un journal des interventions sécurisé, non modifiable et accessible uniquement par les seules personnes habilitées.

• La garantie que la version applicative et technique ainsi que les données (fichiers des électeurs, expression des votes et caractéristiques des scrutins) n’ont pas été altérées. Cette garantie est contrôlée par des prises d’empreintes régulières, aléatoires et déclenchées manuellement par les personnes habilitées quand ils le souhaitent permettant un suivi précis de la non modification des données tout au long de la période de vote.

• Les dates et heures d’ouverture et de fermeture sont mentionnées avant le scellement et paramétrable avant le processus de scellement selon les souhaits du client. Aucun vote ne pourra être enregistré avant et après ces dates. Avant l’ouverture et après la fermeture, un message avertira l’électeur que l’élection n’a pas encore commencée ou que l’élection est terminée.

• Aucun accès à des résultats partiels ne sera possible. Seule la participation sera consultable par les personnes habilités (gestionnaire, commission électorale, expert)

PILOTAGE DU VOTE ELECTRONIQUE PAR LA COMMISSION ELECTORALE

Le bureau de vote (ou commission électorale) a un rôle de surveillance du scrutin et doit disposer des outils nécessaires pour s’assurer de la bonne mise en œuvre de la plateforme de vote électronique. La CNIL précise aussi que le bureau de vote doit pouvoir agir sur le déroulement du scrutin en cas d’anomalie constatée.

A ce titre elle sera formée et elle dispose de codes d’accès spécifiques à l’interface gestionnaire lui permettant de :

• Procéder au scellement/descellement des urnes électroniques.

• Suivre le taux de participation en temps réel des scrutins en cours de vote

La participation globale et son évolution graphique dans le temps affichée à la demande après connexion offrira des indicateurs précis et en temps réel. La participation pourra également être observée par scrutin pour évaluer les scrutins à plus forte ou à plus faible participation. A la fin du vote internet, ces taux de participation seront historisés.

1. MISE EN PAUSE DU SCRUTIN

Mettre en pause le scrutin si une irrégularité est constatée (la CNIL demande à ce que cette fonctionnalité soit prévue).

Exemple d’écran de scrutins en pause :

2. CONTROLE D’INTEGRITE DU SCRUTIN

Contrôler l’intégrité du scrutin en déclenchant une prise d’empreinte de la solution. Cette action permet de s’assurer que rien n’a été modifié en cours de vote (par conception logicielle, rien ne peut être modifié, mais il doit être prévu un moyen pour le bureau de vote de le vérifier).

Ces prises d’empreinte peuvent être déclenchées manuellement par un membre du bureau de vote, et elles sont également réalisées par la plateforme de vote elle-même de manière régulière et aléatoire afin de détecter la moindre anomalie en temps réel.

Exemple d’écran de prises d’empreinte et comparaison des empreintes :

3. SUIVI EN TEMPS REEL

Le suivi en temps réel des alertes techniques, applicatives et les interventions éventuelles sur la solution de vote après le scellement dans un journal des interventions sécurisé, non modifiable et accessible uniquement par les seules personnes habilitées.

Exemple d’écran d’interventions techniques en cours de scrutin :

4. SCELLEMENT/DESCELLEMENT

Desceller les urnes électroniques et déchiffrer les expressions de vote pour accéder aux résultats de l’élection et aux listes d’émargement.

Ces fichiers sont non modifiables, horodatés et archivés à valeur probante dans un coffre-fort électronique.

DESCRIPTION FONCTIONNELLE DE LA SOLUTION

Les heures d’ouverture et de fermeture du scrutin sont fixées par le Client. Ce paramètre fera partie des éléments protégés par le scellement de l’opération de vote et ne seront plus modifiables après le scellement de la plateforme réalisé.

L’électeur recevra, par Courrier et/ou Email, les éléments pour savoir comment procéder le jour du vote (note explicative, code d’accès, …).

Chaque électeur disposera d’un code d’accès unique (aussi appelé login) et d’un mot de passe, générés aléatoirement et dont l’unicité est contrôlée à l’import des fichiers électeurs et candidats et à l’export avant l’édition des courriers. L’électeur se connecte en saisissant son code d’accès, son mot de passe et un code défi (cette information devra être fiable et connue de l’électeur lui-même). Nous recommandons d’utiliser comme code défi une donnée chiffrée pour une saisie facilitée.

Le vote validé, entraînera plusieurs actions :

• émargement avec génération de l’accusé de réception

• alimentation du taux de participation

• chiffrement du bulletin de vote sur le poste de l’électeur

• dépôt du bulletin de vote chiffré dans l’urne chiffrée en empêchant tout recoupement entre l’heure de dépôt de l’expression de vote et l’heure d’émargement ce qui garantit l’anonymat d’une façon optimale.

• enregistrement du vote qui déclenche l’impossibilité d’une nouvelle expression de vote par le même électeur pour l’élection considérée

Ces opérations reposent sur une gestion en temps réel des données directement sur les bases de données de l’élection.

L’ensemble du processus de vote comprend le scellement, le vote par internet, le dépouillement des urnes électroniques, le descellement et le calcul des résultats.

ETAPE 1 : TRANSMISSION DES CODES CONFIDENTIELS DE VOTE

Pour chaque électeur, il y a 2 codes confidentiels à transmettre : 1 code d’accès + 1 mot de passe.

L’électeur devra saisir ces 2 données pour se connecter au site de vote et procéder au vote électronique. Il est possible de lui demander de saisir une 3^ème donnée, par exemple son matricule.

L’envoi des codes est prévu par courrier et/ou par e-mail à l’adresse de l’électeur selon le cas

Exemple de courrier :

3. ETAPE 2 : LE SCELLEMENT

Avant de procéder au vote, il faudra sceller l’élection. Le client détermine l’heure d’ouverture et de fermeture du scrutin qui conditionne la période de vote par internet puis scelle l’élection en saisissant les clés de chiffrement distinctes

Le processus de scellement consiste à réaliser les opérations suivantes :

• le scrutin ne peut pas être ouvert tant que l’opération de scellement n’a pas été réalisée

• le scellement est effectué par le bureau de vote via des clés privées qu’il demeure le seul à connaître. La saisie de cette clé (pour rappel toutes les connexions sont réalisées en https) permet de générer un certificat dont la clé publique est seule communiquée et enregistrée par la plateforme pour le chiffrement des expressions de vote, conformément à la CNIL.

• le scellement déclenche le calcul d’une signature des programmes applicatifs aussi bien pour le site web (développé en php) que pour l’application serveur (développé en java). Le programme lui-même qui effectue le calcul de signature est intégré au calcul de signature si bien qu’il ne peut être altéré sans modification de la signature.

• Durant le scrutin il est possible à tout moment de consulter par les membres des bureaux de vote et le gestionnaire client le journal électronique de l’élection pour vérifier que les signatures des fichiers électeurs, candidats, ainsi que des programmes applicatifs sont inchangées et ainsi garantir la stabilité et l’intégrité de la plateforme de vote.

L’opération de scellement déclenche automatiquement les opérations suivantes :

• impossibilité de modifier toute donnée relative à l’élection : ajout ou modification de données électeur (nom, adresse, identifiant, catégorie,…), ajout ou modification de données candidat et/ou liste de candidature (nom de liste, nom et prénom de candidat, profession de foi,…),

• suppression de toutes les expressions de vote antérieurement enregistrées dans l’urne notamment pour les opérations de tests et de recette.

• effacement de toute information associée aux listes d’émargement, c'est-à-dire l’effacement de toute information de date et heure de votes tests, accusé de réception existant dans la base avant le scellement.

En fin d’opération de dépouillement des votes par correspondance (le cas échéant), les mêmes acteurs du scellement devront être présents sur place pour saisir ces mêmes clés afin de procéder au déchiffrement des urnes électroniques et accéder aux résultats et listes d’émargement, par collège.

Conformément aux dernières recommandations de la CNIL le prestataire n’a pas connaissance des clés de scellement :

Seuls les acteurs du scellement (habituellement les membres des bureaux de vote) en ont connaissance. La plate-forme de vote ne doit donc pas les générer pour eux.

Objectif 1-08 de la CNIL :

Renforcer la confidentialité et l'intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d'un seuil de secret déterminé.

Nous proposons une solution dont le nombre de clés de scellement est paramétrable avec les principes suivants :

• La génération des clés de scellement est prévue avec la saisie de clés de scellement par les membres de la commission électorale lors de la cérémonie de scellement complétée de la génération de clés de secours remis à des autorités tierces de confiance.

• Les clés de secours seules ne permettent pas le descellement de l’élection.

• Chaque clé de scellement saisie dans l’interface lors de la cérémonie de scellement permet de chiffrer un fragment de la clé globale de scellement et seules les personnes ayant saisie leur clé pourront procéder au déscellement du fragment concerné

• Les clés saisies par les membres de la commission électorale devront être réputée forte. 8 caractères (ce nombre peut être porté à 12 pour des élections très sensibles) contenant à minima une majuscule, une minuscule, un chiffre et un caractère spécial.

• Le déscellement de l’élection ne peut s’effectuer qu’avec la saisie du nombre de clés défini par le seuil minimum de clés, pouvant inclure les clés de secours confiées à des tiers de confiance sans que ceux-ci soient suffisants pour pouvoir desceller l’élection.

Pour rappel, la CNIL impose la saisie de 3 clés minimum au scellement et le déscellement par 2 au moins des 3 clés. Ce nombre de clés est paramétrable.

Principes du scellement/descellement :

• Pour effectuer le contrôle de conformité des clés de scellement lors du descellement, les identifiants des personnes ayant effectué le scellement sont concaténés et chiffrés avec la clé privée, puis une empreinte est générée et mémorisée par le serveur pour comparaison lors du descellement.

• La validation de la saisie des clés de scellement déclenche également la génération d’une

empreinte des fichiers électeurs, candidats ainsi que des programmes exécutables du serveur et du site Internet qui sont déposés dans le CFE Paragon.

• De manière aléatoire, des empreintes du fichier des électeurs, des candidats et programmes

exécutables sont réalisées de manière aléatoire à l’initiative du serveur ou à l’initiative du client sur son interface de gestion selon le même procédé que lors du scellement. Ces empreintes sont déposées sur le CFE Paragon avec toutes les fonctions associées (horodatage et garantie d’intégrité) tout en enregistrant l’opération sur le journal d’horodatage les éléments de la preuve de dépôt au CFE Paragon. Au terme de l’élection, après descellement un contrôle de similitudes des empreintes déposées est effectué et généré en liaison avec le journal d’horodatage.

• Un contrôle de validité de la saisie des clés, et donc de la clé globale de déchiffrement est

immédiatement effectué en procédant à la comparaison du résultat du calcul de l’empreinte des identifiants des personnes ayant effectué le scellement chiffré avec la clé privée qui vient d’être déchiffrée, par rapport à l’empreinte générée lors du scellement. En cas de discordance, la saisie de la clé de scellement n’est pas validée.

• Après validation du descellement, l’ensemble des bulletins déposés dans l’urne électronique sont

déchiffrés pour dépouillement et calcul des résultats.

• Après descellement, l’ensemble des informations sont accessibles : liste d’émargement, urne, résultats,…

4. ETAPE 3 : LE VOTE PAR INTERNET

   1. Page d’accueil :

• L’URL sera définie à votre convenance, par exemple : https://nomduclient.paragon-election.com

• Le logo et les textes sont paramétrables

• La communication entre le terminal de vote de l’électeur et les serveurs est en Https (SSL de niveau A).

• Le code d’accès de l’électeur sera généré de manière aléatoire. Ce code est anonyme et sera unique

dans toute l’élection, sur 10 positions numériques. Le mot de passe est sur 8 positions numériques.

• Le système bannit un électeur (comme un fail2ban) qui se trompe 5 fois de mot de passe avec un login valide. Ceci afin de bloquer les éventuelles « attaques en masse ». Cette donnée est paramétrable.

• Pour se connecter, l’électeur doit saisir son code d’accès reçu par courrier postal et la réponse à la question-défi.

• Après avoir cliqué sur le bouton « Vérifier », l’électeur est invité à cliquer sur le bouton « Envoyer » pour recevoir son mot de passe par mail (sur l’adresse email connue dans le système, c’est-à-dire celle transmise dans le fichier des électeurs).

• L’électeur reçoit instantanément un mail avec son mot de passe de vote à usage unique

• L’électeur est alors invité à remplir son mot de passe reçu par mail sur le champ prévu à cet effet,

puis cliquer sur le bouton « Connexion » pour accéder à son espace de vote.

• Sur la page d’accueil, un lien « Vous avez perdu vos codes ? », permet aux électeurs de demander de nouveaux codes de vote (en cas de perte ou de non réception)

Le renvoi automatisé des codes de vote en cas de perte/oubli :

• L’électeur peut récupérer ses codes de vote par Email, exclusivement à l’adresse connue dans le système

• Les informations demandées à l’électeur seront à définir avec le client : nom, prénom, numéro de matricule, code postal de résidence, date de naissance ….

• Ce module de récupération en ligne est un bon complément à la hotline téléphonique.

L’objectif étant que 100% des votants puissent récupérer leurs codes pour voter.

• À chaque demande de code, le mot de passe est modifié, invalidant l'information précédemment communiquée

  2. Présentation des scrutins (accessible AVANT et PENDANT le vote)

• L’électeur visualise tous les scrutins disponible la même page.

• L’électeur choisi le scrutin pour lequel il souhaite voter, à la fin de chaque vote il pourra revenir pour choisir un autre scrutin,

• Les scrutins pour lesquels il n’a pas encore voté sont clairement identifiés.

Présentation des listes candidates (accessible AVANT et PENDANT le vote)

• L’électeur visualise toutes les listes sur la même page.

• Pour chaque liste, l’électeur peut visualiser les noms des candidats ou les professions de foi des listes

3bis. Voir les candidats

3ter. Voir les professions de foi

4. Choix d’une liste - choix d’un bulletin de vote (uniquement en cours de vote)

Pour choisir une liste, l’électeur coche la case en face de la liste ou clique sur le logo de la liste, puis clique sur le bouton vert qui apparait en bas de page pour « Confirmer votre choix » :

Présentation du bulletin de vote choisi

• Le bulletin de vote sélectionné est alors présenté comme un bulletin de vote papier classique.

• L’électeur dispose de 3 possibilités : Voter pour la liste complète, Rayer des candidats ou revenir en arrière.

Vote définitif : double validation nécessaire

Double validation obligatoire pour confirmer définitivement son vote avant transmission à l’urne électronique.

L’électeur peut revenir en arrière à tout moment, tant qu’il n’a pas confirmé 2 fois son vote.

Le bulletin de vote est chiffré sur le poste de l'électeur et déposé dans l'urne sans jamais être déchiffré

Accusé de réception de son vote : Preuve du vote

Apres la double validation définitive, un accusé réception de vote est présenté à l’électeur.

Il atteste de la bonne réception de l’émargement de l’électeur et du bulletin de vote dans l’urne électronique.

Il est possible, de le télécharger ou de se l’envoyer par Email en renseignant l’adresse Email de son choix.

Le vote est totalement confidentiel et l’anonymat est garanti par la plateforme de vote qui a fait l’objet d’un audit indépendant et qui répond aux exigences de :

• la délibération CNIL n°2019-053 «portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique» du 25 avril 2019 ;

• du décret n°2007-602 et l’arrêté du 25 avril 2007 relatifs aux conditions et aux modalités de vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise.

  8. RETOUR MENU

S’il reste des scrutins, le bouton « choisir ce scrutin » reste disponible.

ETAPE 4 : DESCELLEMENT ET RESULTATS

Descellement des urnes électroniques par les mêmes acteurs du scellement

A la fin de la période de vote par internet, il est procédé au descellement des urnes par la commission électorale :

Les mêmes acteurs du scellement saisissent à nouveau leurs clés privées (codes secrets) de scellement. Les données de l’élection sont alors déchiffrées, les résultats deviennent lisibles et accessibles immédiatement.

Un dépôt au coffre-fort électronique a lieu à ce stade avec les données de l’élection (liste électorale, candidats, empreinte, liste d’émargement) pour un archivage à valeur probante et une prise d’empreinte.

AFFICHAGE DES RESULTATS DU VOTE

Une fois le descellement réalisé par la commission électorale (mêmes acteurs que le scellement), les résultats sont calculés puis affichés.

Le Procès-verbal de résultats est automatiquement renseigné avec les données du vote.

Remise au client sur support numérique (clé USB ou Email) des PV de résultats officiels, de la liste d’émargement et autres documents si nécessaire.

A l’issue du descellement et du dépouillement, PARAGON fournira, sous forme de fichier PDF, la liste d’émargement et les résultats de l’élection contenant les informations suivantes :

• nom de l’élection

• nom du collège

• prénom et nom de l’électeur

• le canal de vote

• le numéro unique d’accusé de vote

• l’horodatage du vote

La liste d’émargement s’enrichit en temps réel suite au vote d’un électeur par Internet, par collège.

CONSERVATION ET ARCHIVAGE

Conservation et archivage à valeur probante dans notre coffre-fort électronique des données informatiques jusqu’aux termes des délais de recours : Archivage, restitution et destruction des données

Selon les modalités prédéfinies avec le client, PARAGON Elections s’engage à remettre à son client l’ensemble des fichiers écrit et de d’effacer des supports informatiques les données relatives à l’élection une fois le délai de recours expiré et à la demande du client.

Les données informatiques sont conservées et archivées selon une méthode à valeur probante jusqu’aux termes des délais de recours dans un coffre-fort électronique chez un huissier, tiers de confiance.

LE JOURNAL ELECTRONIQUE DE L’ELECTION

D’un point de vue technique, la solution PARAGON Elections intègre une sécurisation complète de l’élection au moyen des dispositifs suivants :

Gestion des modifications : toute modification des listes, des paramètres de l’élection,… est impossible après le scellement de l’élection. Seul le descellement permet d’apporter des modifications aux données électeurs (modification adresses, identification,…), sachant que par construction le scellement entraîne un effacement de l’ensemble des expressions de vote ainsi qu’une remise à zéro de la liste d’émargement.

Avant le scellement de l’élection, toutes les opérations d’importation de fichiers, de modifications sur les électeurs ou les candidats font l’objet d’un enregistrement dans un journal d’importation qui comprend :

• les opérations de création client

• les opérations de création des élections

• les opérations d’importation des fichiers électeurs

• les opérations d’importation des fichiers candidats

Ce journal permet au client de suivre les opérations de modification des fichiers afin de faciliter les contrôles, même si cette étape n’a aucune incidence sur le déroulement sécurisé de l’élection

Suite au scellement, le journal électronique de l’élection est créé pour permettre au client de suivre le déroulement complet de l’élection. Il comprend :

• La date, l’heure et le nom des membres de la commission qui ont effectué le scellement de l’élection

• Les dates, heures et résultats des contrôles aléatoires de signature des fichiers des électeurs et des candidats, ainsi que des codes sources avec horodatage des résultats (uniquement en cas de modification d’empreinte)

• Les dates et heures des opérations de vérification d’émargement

• Les dates, heures et login des opérations de consultation des taux de participation

• La date et l’heure de la saisie des clés pour descellement de l’élection

• La date et l’heure de production des résultats

• La date et l’heure de production du Cerfa

Le Journal électronique est déposé (signé et horodaté) dans le Coffre-Fort Electronique de PARAGON Elections.

Un journal interne de l’applicatif à gestion aléatoire permet de vérifier et de contrôler la stabilité du système

ARCHITECTURE TECHNIQUE DE LA SOLUTION

Organisateur

de l’élection

Electeur

IP FailOver – en cas de

panne du data center n°1

Réplication

Sauvegarde

Réplication

Sauvegarde

Membres de la Commission électorale

Expert Informatique

Indépendant

Gestion des Profils

Copies Sécurisées et Horodatées

Via FTP sécurisé

Coffre-Fort Electronique de

l’Huissier (4 clés de scellement)

Coffre-Fort Electronique de PARAGON (garanties en cas de recours ou contestation)

Notre architecture technique basée sur une réplication de serveurs garantit un fonctionnement 24/24 et 7j/7.

Nos serveurs sont hébergés chez le professionnel OVH.

Nos centres d’hébergements présentent toutes les garanties de construction, de mesures anti- intrusion, anti-feu, etc. et notre hébergeur a obtenu la certification ISO/IEC 27001:2005 pour la fourniture et l’exploitation d’infrastructures dédiées de Cloud Computing. Cette norme internationale, qui lui a été délivrée par l’Afnor Certification, atteste de la mise en place d’une organisation sans faille de la sécurité sur l’offre Dedicated Cloud : mesures de sécurité, appréciation des risques, plan de traitement des risques.

 Vos données sont disponibles, et préservées de toute perte, vol ou altération.

Le périmètre de la certification ISO 27001 englobe l’ensemble des salles d’hébergement où sont localisés les serveurs Dedicated Cloud dans trois centres de données (P19, RBX2 et SBG). L’ensemble du personnel situé dans le périmètre ISO 27001 reçoit régulièrement des formations spécifiques à la sécurité du système d’information. De plus, notre hébergeur s’appuie sur les normes ISO 27002 afin de mettre en place des bonnes pratiques en termes degestion de la sécurité de l’information, et ISO 27005 afin de réaliser son appréciation des risques ainsi que leurs traitements associés.

Notre hébergement répond naturellement aux prérequis de sécurité physique suivant :

• énergie redondante

• générateur en cas de perte de courant

• réseau protégé (pare-feu, routeurs redondants, antivirus serveur, détection d’intrusion…)

• système d'extinction d'incendie par gaz (FM200, ou autre agréé)

• système de vidéosurveillance interne et externe sur l'ensemble du bâtiment: (enregistrement vidéo 24h/24)

• bâtiment entièrement sous alarme

• système de contrôle d'accès biométrique ou par badge.

• pour la connectivité et la disponibilité :

  • haute disponibilité (rétablissement sous 4 heures)

  • connectivité Internet redondante par 3 fournisseurs différents

  • bande passante redondante réservée

  • accès par réseau Internet

  • 2 accès EDF indépendants et prise en charge par des groupes électrogènes en cas de coupure totale

Les prestations réseaux, d’hébergement et de connexion comprennent :

• La mise à disposition des équipements permettant une connectivité dans un contexte hautement sécurisé à savoir : routeurs, pare-feu, système d'équilibrage de charges et redondance des systèmes

• La supervision et l’anticipation face aux incidents détectés, monitoring permanent des éléments du système ;

• La détection d’intrusions et le bannissement en cas d’intrusion par un système de fail2ban

• Notre plateforme est construite de manière à pouvoir s’adapter à tout besoin de dimensionnement en amont du processus de scellement et s’adapte aux différentes configurations exigibles en termes de volumétrie. Celle-ci sera analysée en amont de façon à éviter tout problème liée à celle-ci.

• La relance de machine sur demande 7 jours sur 7 : un technicien dédié prêt à intervenir 7/7 24h/24 en moins de 15min.

• La surveillance de la connexion IP permanente avec alerte envoyée par email pour

«Ping» et port serveur : La trace des accès entrants et sortant et la surveillance des adresses IP entrantes.

• L’administration du site 24 heures sur 24 et 7 jours sur 7 et la mise en place et exploitation des statistiques

• Toutes les machines constitutives du système de vote par Internet sont synchronisées sur une source de temps fiable.

Les principaux éléments techniques sont :

• L’électeur accède au site des élections au moyen de son login, son mot de passe et la réponse à la question-défi.

• La connexion au serveur est réalisée en mode HTTPS, certificat SSL de niveau A.

• Les serveurs sont hébergés dans des centres d’hébergement hautement sécurisés reliés par fibre optique privative (OVH)

• La plateforme de vote est structurée au travers de 2 serveurs distincts avec un serveur pour la gestion de l’élection (base de données électeurs, base de données candidats, applications de gestion des élections), et un serveur pour le stockage des expressions de vote (urne électronique)

• Chaque serveur est répliqué en temps réel sur son serveur miroir dans le second centre d’hébergement, faisant office de sauvegarde et de relais comme centre de secours en cas de panne ou du serveur principal ou d’interruption des accès au serveur principal

• Un mécanisme d’IP FailOver permet de transférer toutes les connexions en temps réel au serveur du 2nd centre d’hébergement en cas d’interruption de service sur le centre d’hébergement n°1

• Avant l’ouverture du scrutin, l’ensemble du dispositif est scellé afin d’assurer l’intégrité des données et des programmes pendant la durée du scrutin et jusqu’au dépouillement

• Les expressions de vote sont chiffrées par l’application web sur le PC de l’électeur au moyen de la clé publique associée à la clé privée de scellement connue uniquement par les membres de la commission électorale

• Seule la clé privée permet de déchiffrer les expressions de vote lors du descellement indispensable pour réaliser le dépouillement

• L’émargement et l’expression de vote sont stockés sur des serveurs distants et distincts empêchant tout rapprochement entre l’expression de vote et l’identité de l’électeur.

• Les serveurs sont localisés dans deux centres d’hébergement distincts protégés physiquement par des clôtures, des caméras et des équipes de sécurité. Pour accéder aux serveurs, la personne devra franchir la première barrière physique pour rentrer dans l’enceinte des locaux puis devra franchir 3 portiques avec un contrôle vidéo, magnétique et biométrique. Les serveurs sont également stockés dans un univers épuré avec un air purifié, une hygrométrie et une température constante. Ils sont également hors d’eau empêchant toute inondation.

• En cas de panne d’un site, l’autre site prendra automatiquement le relais grâce à un système de load balancer. Ce système offre donc les mêmes garanties que le système principal, et est totalement transparent pour l’utilisateur puisqu’aucune interruption de service ou baisse de la qualité de service ne pourra exister.

• Le dialogue entre le navigateur web et le serveur de données se fera sous forme de session, une fois l’électeur connecté par son login et mot de passe, il ne pourra que suivre l’ordre des actions à réaliser pour voter. Nous vérifions que l’électeur n’a pas déjà voté au moment de la connexion et au moment de l’action de voter.

  1. ROLES DU COFFRE-FORT ELECTRONIQUE POUR LE VOTE INTERNET

Parallèlement à l’action de scellement, les données de votre élection vont automatiquement s’archiver à valeur probante dans 2 coffres forts électroniques : PARAGON Elections (CFE hébergé chez EVERIAL) et chez un huissier de justice, tiers de confiance.

1. LE SCELLEMENT

3 actions associées au scellement en Base de Données :

• Remise à zéro des compteurs de voix et liste d’émargement (dans le cas de tests au préalable)

• Chiffrement des données de l’élection

• Scellement des urnes électroniques dans le périmètre du scellement.

  2. ENVOI AU COFFRE FORT ELECTRONIQUE PARAGON (CFE)

     • Fichier électeurs

     • Fichier candidats

     • Liste d'émargement

     • Empreinte code source de la plateforme de vote

  3. ENVOI AU COFFRE FORT ELECTRONIQUE DE L'HUISSIER (TIERS DE CONFIANCE)

     • 4 clés de chiffrement renseignées par le Client

     • Clé privée (qui sert à desceller l’urne (en cas de perte d’au moins une clé)

  4. L'OUVERTURE DU SCRUTIN

ENVOI AU CFE :

• Fichier électeurs

• Fichier candidats

• Liste d'émargement

• Empreinte code source et vérification avec l'envoi 1

HORODATAGE :

• à périodicité fixe : envoi des empreintes correspondantes aux fichiers : électeurs, candidats, code source

• à périodicité aléatoire : envoi des empreintes correspondantes aux mêmes fichiers ci- dessus.

• Les données issues d'un horodatage sont envoyées au CFE.

• Les dates et heures d’ouverture et de fermeture du scrutin.

5. LE DESCELLEMENT DU SCRUTIN

ACTIONS ASSOCIEES :

• ouverture des urnes électroniques.

• déchiffrement des expressions de vote.

ENVOI AU CFE :

• fichier électeurs

• fichier candidats

• listes d'émargement

• empreinte code source et vérification avec les envois antérieurs

• données du serveur urne (bulletins (en clair, non chiffrés))

• journal de l’élection

• PV de résultats

6. DESTRUCTION DES DONNEES

En fonction du protocole signé avec le Client, destruction des données après avis d'information. Toutes les données sont détruites : chez PARAGON Elections (serveurs et CFE) et chez l'Huissier.

Compléments d’information :

L'arborescence du CFE est organisée par Client et à un sous-niveau par élection.

Une élection = 1 urne = 1 fichier électeurs = 1 fichier candidats = 1 feuille d'émargement = 1 feuille de résultat = 1 taux de participation = 1 journal = 1 scellement/ descellement = 1 dossier dans le CFE = 1 dossier dans le CFE de l'Huissier

Nous pouvons grouper des circonscriptions dans un même scellement. Par exemple, dans votre cas, nous pouvons sceller tous les collèges en 1 scellement.

Le mode opératoire choisi par PARAGON élections permet de s’assurer d’une pleine conformité avec les recommandations de la CNIL. Il est décrit ci-après :

• Le scellement sera réalisé au moyen d’un cryptage asymétrique avec une solution de clés publique et privée.

• Le Client via une interface web dédiée pourra renseigner les clés de chiffrement (trois clés minimum recommandées par la CNIL). Celles-ci généreront un chiffrement de toutes les données d’expression de vote. Les clés seront conservées en parallèle chez un tiers de confiance, un huissier de justice, pour être réutilisables en cas de perte (partielle ou totale).

• Ces clés seront indispensables pour desceller la plateforme de vote et ainsi pouvoir procéder au dépouillement et proclamer les résultats.

• Ces clés ne seront jamais connues de l’opérateur ni de quiconque externe à la Commission électorale. En effet, lors de leur génération par le Client, elles donneront lieu à une clé publique qui permettra à PARAGON de chiffrer les expressions de vote, mais cette clé est insuffisante pour les déchiffrer selon le principe du chiffrement asymétrique.

• Les expressions de vote et l’émargement sont chiffrés grâce à un protocole de type RSA (asymétrique) en 1024 bits avec échanges de clés privées et de clés publiques.

SECURISATION DU SYSTEME

Les plus hautes précautions ont été prises dans la conception de la plateforme à plusieurs niveaux :

• concernant l’accès logique aux serveurs et aux applications : tous les ports des serveurs de vote sont fermés sauf les ports 22 (avec dispositif de fail2ban) et 443 (https), sachant que le port 80 est redirigé sur le port 443. Seul l’administrateur système dispose des moyens d’accès au serveur, mais ses possibilités d’action sont limitées par le dispositif de scellement qui comprend le chiffrement en temps réel des expressions de vote, la signature du fichier des électeurs et du fichier des candidats, ainsi que du code source du programme serveur et du site web permettant de vérifier de manière aléatoire avec horodatage qu’aucune modification n’a été apportée. Les opérations de contrôle aléatoire font l’objet d’un enregistrement d’évènement dans le journal électronique des élections qui a pour but de tracer l’ensemble des actions clés concernant le déroulement de l’élection : scellement, ouverture scrutin,

• fermeture scrutin, descellement, vérification des signature des programmes et site internet et des bases de données, connexion d’un utilisateur sur le système (gestionnaire client, administrateur technique),…

• concernant l’accès logique au serveur de l’électeur, du gestionnaire client, et de l’administrateur opérationnel des élections, toutes les connexions sont effectuées en mode sécurisé SSL.

• L’accès au serveur de l’administrateur technique est chiffré avec les algorithmes définis par ssh2 avec dialogue chiffré via aes128 et 3des.

• Les algorithmes de chiffrement des expressions de vote sont basés sur l’aes128.

Par ailleurs, les connexions client et administrateur sont enregistrées dans un journal de connexion contenant l’adresse IP de chacune des connexions complétées par l’envoi d’un mail informant de la connexion réalisée (ou ses tentatives échouées) à l’adresse e-mail référencée dans le système.

Les différents serveurs sont situés sur deux plates-formes françaises (Strasbourg et Roubaix). Les serveurs sont hébergés par une entreprise spécialisée garantissant une qualité de service supérieur à 99,9%.

En cas de défaillance de ce site de production, le site de repli prendrait le relais instantanément grâce à un système de réplication en temps réel. Ce site de repli est situé en région lilloise. Il n’y aurait aucun impact côté Client. Le dialogue entre les serveurs est basé sur un tunnel sécurisé (SSL) sur fibre optique propriétaire de l’hébergeur.

2.9.1. DESCRIPTION ET SECURITE DES LOCAUX D’HEBERGEMENT ET DE TRAITEMENT

La sécurité du traitement est une de nos priorités puisque nous traitons des données sensibles. Tous les serveurs du dispositif informatique de la plateforme PARAGON Elections sont localisés en France métropolitaine.

Concernant l’accès physique aux serveurs : ces 2 serveurs dédiés sont hébergés dans deux structures distinctes sécurisées d’un hébergeur de référence en France (OVH.com) et aucun accès physique n’est possible par des personnels extérieurs à cet hébergeur, afin de garantir la plus haute confidentialité et le plus haut niveau de sécurité d’accès physique. L’hébergeur gère un contrôle d’accès physique strict et avec une totale traçabilité interdisant l’accès à tout tiers non autorisé.

Afin de résister à toute forme d’intrusion ou d’aléa, chaque périmètre est sécurisé par des clôtures équipées de barbelés. Un système de vidéo-surveillance et de détection de mouvements fonctionne également en continu. L’activité dans les centres de données et à l’extérieur des bâtiments est monitorée puis enregistrée sur des serveurs sécurisés, tandis que des équipes de surveillance se relaient 24h /24, 7j /7.

Le fait de faire appel à un prestataire extérieur nous permet d'avoir une sécurité bien plus importante que si les serveurs étaient hébergés dans nos locaux, nous ne sommes pas des professionnels de la sécurité physique, notre hébergeur l'est.

De plus, l’ensemble des serveurs sont protégés de l’eau, des inondations et du feu, par une alimentation électrique redondante et si besoin par groupe électrogène, l’ensemble de notre système fonctionnera même en l’absence d’alimentation EDF.

Afin de contrôler et de surveiller l’accès à l’enceinte de notre hébergeur, des procédures de sécurité strictes sont en place. Chaque membre du personnel est équipé d’un badge RFID nominatif auquel sont associés ses droits d’accès. Ceux-ci sont régulièrement reconsidérés, en fonction des attributions de chacun. Pour accéder aux locaux, chaque employé doit tout d’abord soumettre son badge à une vérification, puis traverser un sas sécurisé.

Les Datacenters bénéficient d’une protection encore plus élevée, puisque seul le personnel autorisé peut y pénétrer. De plus, notre hébergeur est l’unique exploitant de ses installations ce qui garantit une sécurité et une traçabilité des mouvements optimale

Au sein de nos équipes, seules quelques personnes sont habilitées à intervenir et celles-ci doivent au préalable s'authentifier.

En parallèle de notre propre politique de développement durable et RSE, notre hébergeur de données OVH.com, 3^ème hébergeur internet dans le monde s’engage en matière de développement durable en mettant en place depuis 2004 de nombreuses solutions innovantes respectueuses de l’environnement. OVH a par exemple mis en place des solutions de watercooling pour refroidir les serveurs en consommant moins d’énergie, d’Ecosalles et une gestion des flux d’air chaud et froid optimisée.

11. NIVEAUX DE SERVICE

    1. PLATEFORME DE VOTE MULTICANAL

Nos serveurs de dépouillement (plateforme de vote) peuvent absorber environ 500 votes par seconde, sans dégradation perceptible des temps de réponse et tout en préservant l’intégrité et la sécurité. Lors du dépouillement des bulletins du RSI (800 000 votes en 1 journée), nous avions des pics à 350 votes par seconde sur nos serveurs.

Pour assurer la mise en œuvre d’une disponibilité optimale de la plateforme sur la base d’un

taux de service de 99,99 % pour une couverture 24h/24 et 7j/7, le système dispose :

• de serveurs redondants et avec répartition de charge dynamique

• des serveurs de dernière génération pour profiter de niveaux de performances optimales

• des datacenters redondants sur des sites différents

• d’un engagement de type SLA qui a pour objectif la mise en œuvre d’une qualité de service globale qualifiée, quantifiée et mesurable.

2. LE SITE DE VOTE PAR INTERNET

Le site de vote Internet est accessible 24 heures sur 24 et 7 jours sur 7.

Afin de garantir la meilleure disponibilité du site de vote, l’ensemble des équipements matériels est redondé :

• redondance des équipements réseaux : routeurs, pare-feu, switch,

• redondance des serveurs d’application,

• redondance des serveurs de données par une répartition de charge permanente pour garantir une très haute disponibilité.

En fonction des limites indiquées, le système surveille son propre trafic entrant afin de garantir des temps de réponse optimums et éviter des engorgements.

La disponibilité est mesurée et testée régulièrement pendant toute la période vote sans perturber et ni altérer la sincérité des suffrages. Les serveurs fonctionnent en mode actif-actif, avec répartition de charge basée sur l’adresse IP. Les données mises à jour sont automatiquement répliquées sur un serveur de secours.

Lors d’une élection à forte volumétrie en novembre 2014 (élections LES REPUBLICAINS), nous avions enregistré :

• 200 000 votes Internet en moins de 24h.

• Jusqu'à 32 000 connexions simultanées sur le site de vote Internet (front) pour 650 votes minutes au plus fort.

3. TEMPS DE REPONSE

Le temps de réponse (connexion, consultation de profession de foi, validation du vote, téléchargement de l’accusé de réception) quel que soit la volumétrie de connexion dans une limite de 10 000 connexions instantanées sera de moins de 3 secondes.

4. PREVENTION D’ATTAQUE CONTRE LA PLATEFORME DE VOTE INTERNET

Compte-tenu de la portée médiatique d’un tel évènement, il est très important de prévenir les attaques potentielles visant à déstabiliser le vote. L’objectif principal est de renforcer la protection pour prévenir et être capable de gérer les attaques visant à saturer la capacité réseau du serveur, épuiser les ressources système ou exploiter des failles des logiciels externes à Paragon. Ces attaques peuvent être du type :

• ICMP Echo Request Flood

• IP Packet Fragment Attack

• SMURF

• IGMP Flood

• Ping of Death

• TCP SYN Flood

• TCP Spoofed SYN Flood

• TCP SYN ACK Reflection Flood

• TCP ACK Flood

• TCP Fragmented Attack

• UDP Flood

• UDP Fragment Flood

• Distributed DNS Amplification Attack

• DNS Flood

• HTTP(S) GET/POST Flood

5. PRINCIPE DE BASE DES ATTAQUES DDOS

Nous utilisons une combinaison de technologies informatiques visant à protéger les services informatiques en ligne des attaques DDos (appelés AntiDDoS ).

Basé sur la technologie VAC développé par notre hébergeur (OVH.com), cette combinaison de techniques permet d’analyser le trafic entrant sur les serveurs, de l’aspirer et de le mitiger. La mitigation est un terme qui est employé pour désigner des moyens et des mesures mises en place pour atténuer les effets négatifs liés à un risque. Pour résister aux attaques DDoS, la mitigation consiste à repérer tous les paquets IP non légitimes, les filtrer et les aspirer via le VAC, laissant ainsi passer tous les paquets légitimes.

Le VAC est composé de plusieurs équipements qui assurent chacun une fonction spécifique afin de bloquer un ou plusieurs types d'attaque (DDoS, Flood, etc.). En fonction de l’attaque, une ou plusieurs stratégies de défense peuvent être mises en place sur chacun des équipements qui composent le VAC.

Grâce à son réseau de 3 Tbps, l'infrastructure peut absorber une très grande quantité de flux lors des attaques. Ces mesures permettront donc de se prémunir des attaques possibles sur un tel événement permettant au vote de se dérouler normalement.

12. CONFORMITE CNIL

    1. CHIFFREMENT DU BULLETIN DE VOTE DE BOUT EN BOUT (CNIL)

Conformément aux recommandations de la CNIL, le bulletin de vote est chiffré directement sur le poste de l’électeur.

Nous n’utilisons pas d’applet Java car cela implique pour chaque électeur d’installer Java sur son poste avec quelques difficultés potentielles (disposer du droit administrateur, indisponibilité sur mobile, failles de sécurité…).

Le processus mis en place est le suivant, au moment de la confirmation du vote par l’électeur, la solution chiffre le bulletin de vote en javascript côté client, le navigateur envoie le bulletin de vote chiffré au serveur qui le dépose dans l’urne chiffrée. Avec cette solution nous assurons la continuité du chiffrement de bout en bout entre le terminal de l’électeur et la plateforme de vote.

Le chiffrement de l’expression de vote étant réalisé côté client, il est toutefois techniquement possible (pour un utilisateur aguerri) de chiffrer une expression de vote invalide, dans ce cas, lors du déchiffrement des urnes, ces expressions de vote invalides seront transformées en vote nul.

Nous respectons donc en intégralité la directive de la CNIL car c'est bien par le navigateur du poste de travail de l’électeur que le chiffrement est effectué et il n’y a aucune possibilité de « contourner » l’expression de vote, en effet, à aucun moment nous ne déchiffrons le bulletin avant qu’il ne soit déposé « chiffré » dans l’urne électronique.

Toutes les expressions de vote sont sécurisées au moyen des clés publiques de chaque scrutin, générées lors du scellement de l’élection, dans le cadre d’un chiffrement asymétrique basé sur un chiffrement RSA 4096 bits, puis transmis au serveur pour stockage dans la base de données « urne électronique».

L’accès au site web s’effectue en mode https sur la base d’un certificat TLS.

Le dialogue entre le navigateur web et le serveur de données se fera sous forme de session, une fois l’électeur connecté par son login et mot de passe, il ne pourra que suivre l’ordre des actions à réaliser pour voter. Nous vérifions que l’électeur n’a pas déjà voté au moment de la connexion et au moment de l’action de voter.

Le système bannit un électeur (comme un fail2ban) qui se trompe 5 fois de mot de passe avec un login valide. Ceci afin de bloquer les « attaques en masse ». Cette donnée est paramétrable.

Le code d’anonymat (login) à 10 positions numériques ce qui représente au maximum 10 milliards de possibilités.

2. RAPPORT D’EXPERTISE INDEPENDANTE

Ci-dessous les conclusions du rapport d’expertise indépendante réalisée dans le cadre d’une élection en vote par Internet en 2020

Conforme à la délibération CNIL n°2019-053 «portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique» du 25 avril 2019

3. AUDIT SECURITE INFORMATIQUE DE LA PLATEFORME DE VOTE

Ci-dessous les conclusions de notre rapport sécurité IT réalisé dans le cadre d’une élection politique à fort enjeu. Tests d’intrusion réalisés en boite noire et en boite grise.