e-Procuration : la CNIL réclame une réévaluation régulière des risques
Avis e-occulté
Le 07 avril 2021 à 12h51
6 min
Droit
Droit
Le 12 mars dernier, au Journal officiel, a été publié le décret sur l'e-procuration de vote. Next INpact a obtenu, après procédure CADA, l’avis de la CNIL qui n’avait été diffusé jusqu’alors. L'autorité a occulté plusieurs passage. Nous diffusons le document, partiellement amputé.
« La "e-procuration" sera prête pour les prochaines élections », s’était félicité Gérarld Darmanin sur Twitter. « Plus de simplicité pour nos concitoyens et un gain de temps pour nos forces de sécurité ». Et le ministre de l’Intérieur d’assurer que faire sa procuration en gendarmerie ou au commissariat de police ne prendra que « 10 secondes ». Maximum.
Après avoir reçu un laconique avis favorable du Conseil national d’évaluation des normes en octobre dernier, le texte encadrant ce traitement fut publié au Journal officiel à la mi-mars.
« Plus personne ne pourra dire que c'est compliqué de faire une procuration » applaudit encore le ministre, dans les colonnes du JDD, doigt pointé sur le site officiel, maprocuration.gouv.fr.
L’e-procuration, comment ça marche ?
Traditionnellement, « le vote par procuration permet à un électeur (le mandant) de confier l’expression de son vote à un autre électeur (le mandataire). Le mandant donne procuration au mandataire. Le jour du scrutin, le mandataire vote à la place du mandant dans le bureau de vote de ce dernier » résume le site officiel.
Le nouveau texte introduit un régime de téléprocédure en la matière. Le formulaire CERFA n’est pas abandonné, il cohabite avec cette voie dématérialisée.
Dans ce cadre, quatre étapes sont prévues : se rendre sur le site www.maprocuration.gouv.fr pour s’authentifier avec FranceConnect. Votre état civil est déjà prérempli. Vous n’avez donc qu’à mentionner la commune de vote et les données nominatives du mandataire, tout en spécifiant le périmètre de ce pouvoir (telle élection, telle durée, entre 1 mois et 1 an).
Ensuite, dans les deux mois, il suffit de se rendre dans n’importe quelle brigade de gendarmerie ou un commissariat de police pour faire valider le tout. « Pour éviter les risques de fraude, il est indispensable qu’un policier ou un gendarme habilité par le juge contrôle votre identité et s’assure de votre libre consentement. Votre mandataire n’a pas à se déplacer avec vous », explique le site officiel. Sur place, il faut donc présenter une pièce d’identité outre ses références de demande « Maprocuration » (un mélange de 6 chiffres et lettres).
Validée, la procuration est enfin transmise à la mairie électroniquement. Une fois les dernières vérifications faites, vous n’avez plus qu’à informer le mandataire qu’il pourra voter à votre place.
Attention, prévient le site du ministère, « il n’est pas possible pour l’instant d’annuler une procuration sur le site Maprocuration. Si vous pouvez finalement aller voter vous-même le jour du scrutin, rien ne vous empêche de vous rendre au bureau de vote. À condition de prévenir votre mandataire pour qu’il ne vote pas avant vous, vous n’avez pas besoin d’annuler votre procuration ». La résiliation reste possible via un formulaire CERFA.
Tous les électeurs peuvent utiliser ce service en ligne, à l’exception des Français inscrits sur les listes électorales consulaires.
Une délibération non publiée, finalement en partie caviardée
Le décret publié au JORF mentionne dans ses visas (ses premières lignes, débutant par « vu »), une délibération de la CNIL en date du 14 janvier 2021, portant donc sur l’avant-projet de décret.
Seul hic, cet avis n’avait pas été diffusé sur Legifrance. Nous avons donc entamé une demande « CADA » pour obtenir communication de cette pièce auprès de l’autorité.
Hier, la CNIL nous a finalement transmis cette pièce, après plusieurs relances, non sans avoir coupé plusieurs passages, « conformément aux dispositions des articles L. 311 - 5 et L. 1311 - 6 du Code des relations entre le public et l’administration ».
Ces dispositions du CRPA l’autorisent à occulter les pièces dont la communication porterait atteinte notamment à « la sécurité des systèmes d'information des administrations » voire aux « secrets protégés par la loi ». La Commission reste vague sur les raisons de cette occultation.
Dans les 6 pages de son avis, la CNIL rappelle en tout cas la nécessité de « s’assurer que la dématérialisation de la procuration s’accompagne de mesures de sécurité particulièrement robustes, de nature notamment à assurer l’intégrité et la confidentialité des données transmises ».
Elle anticipe un scénario, celui d’une dématérialisation complète, sans vérification d’identité devant un officier ou un agent de police judiciaire : dans cette hypothèse, elle « appelle à une vigilance particulière au regard notamment des risques que cela pourrait engendrer pour le mandant en particulier afin de s’assurer du caractère volontaire de l’établissement de sa procuration ».
La CNIL relève que au surplus « les accès au traitement se [feront] via le protocole TLS dans ses versions les plus récentes, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement », outre que « le responsable de traitement a intégré dans les référentiels applicables son obligation de conformité au décret n° 2010 - 112 du 2 février 2010 (référentiel général de sécurité) dans le cadre de l'homologation préalable du téléservice. »
Le traitement fera l’objet d’une journalisation. Il comprendra à cette fin « des traces techniques et fonctionnelles conservées pour une durée d’un an » pour détecter et prévenir des opérations illégitimes sur les données principales.
Les paragraphes 26 et 29 ont disparu du document qui nous a été transmis, et que nous relayons ci-dessous. L’autorité semble y émettre des réserves.
Au point 28, la CNIL relève en tout cas que l’Intérieur « a précisé qu’une des finalités du traitement de ces traces [pourra] être de traiter d’éventuels contentieux » puisque « la gestion des procurations est susceptible, dans certains cas, d’avoir un impact sur la sincérité d’un scrutin ». Ces traces seront conservées pendant un an.
Réévaluation régulière des risques
« Par ailleurs, la Commission rappelle que des mécanismes d’analyse proactive automatique ou semi-automatique des traces, ainsi que certaines mesures organisationnelles devraient être mis en oeuvre, afin de permettre de repérer les détournements du traitement ».
Au final, la Commission rappelle que ce dispositif est placé sous le règne du RGPD et que l’obligation de sécurité qu’il impose « nécessite la mise à jour de l’analyse d’impact relative à la protection des données et de ses mesures de sécurité au regard de la réévaluation régulière des risques ».
e-Procuration : la CNIL réclame une réévaluation régulière des risques
-
L’e-procuration, comment ça marche ?
-
Une délibération non publiée, finalement en partie caviardée
-
Réévaluation régulière des risques
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/04/2021 à 09h54
Je ne vois pas bien ce qui pouvait être présent dans cet avis qui ait besoin d’être occulté ? Des détails techniques ?
Le 08/04/2021 à 13h05
“L’autorité semble y émettre des réserves.”
Peut être que le gouvernement n’apprécie pas trop les “réserves”
Le 08/04/2021 à 14h03
Oui, enfin aux dernières nouvelles c’est pas un argument pour occulter des choses ^^ D’autant que la CNIL est indépendante (normalement)