RGPD & CNIL
Introduction
Les élections organisées en ligne via la plateforme Mon opale reposent sur des protocoles de sécurité avancés afin de garantir la confidentialité des données et l’intégrité du processus électoral. Notre priorité est d’assurer un scrutin transparent, fiable et respectueux de la vie privée de chaque participant.
Conformité RGPD
Mon opale s’engage pleinement à respecter le Règlement Général sur la Protection des Données (RGPD), qui encadre la collecte, le traitement et la conservation des données personnelles au sein de l’Union Européenne. Toutes les informations recueillies dans le cadre des élections sont traitées de manière sécurisée, et ne sont utilisées que pour garantir le bon déroulement du vote.
Pour plus de détails, vous pouvez demander à consulter notre registre des traitements.
Recommandations de la CNIL
La plateforme Mon opale applique les recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL), notamment celles du niveau 1, spécialement adaptées au vote électronique pour les élections de représentants de parents d’élèves mais va plus loin en adoptant aussi le niveau 2. Cela garantit la sécurité des opérations de vote, l’anonymat des électeurs et la transparence du dépouillement.
Notre engagement
Mon opale va plus loin dans la transparence : chaque électeur reçoit un récépissé PDF de son vote, contenant un hash unique et toutes les informations nécessaires à la vérification de la prise en compte de son bulletin. Un service en ligne permet de vérifier à tout moment la validité de ce récépissé, tout en garantissant l’anonymat du votant.
| Objectif CNIL | Exemple de solution CNIL | Réponse Mon opale |
|---|---|---|
| 1-01 : Solution technique et organisationnelle de qualité, sans faille majeure | Utiliser les dernières versions stables et mises à jour des systèmes d’exploitation, serveurs web, bases de données et solutions de chiffrement. Employer des protocoles et algorithmes publics de chiffrement réputés « forts ». | Les serveurs, bases de données et applications sont maintenus à jour avec les dernières versions stables. Le framework Symfony est utilisé et régulièrement mis à jour ; le développeur est formé à l’OWASP et aux principales vulnérabilités. Les protocoles et algorithmes de chiffrement recommandés par Symfony sont appliqués (ex : TLS 1.3, AES-256). Des audits internes sont réalisés à chaque évolution majeure du produit. Toute vulnérabilité détectée est traitée en priorité absolue. |
| 1-02 : Vote = opération atomique (choix, validation, enregistrement, émargement, récépissé) | Toutes les opérations doivent s’enchaîner sans interruption. L’échec d’une étape annule tout le processus. Un récépissé est délivré à l’électeur. | Le processus de vote en ligne enchaîne automatiquement le choix, la validation, l’enregistrement du bulletin et l’émargement. À l’issue du vote, un récépissé officiel au format PDF est généré et remis à l’électeur. Ce récépissé contient un hash unique, la date et le nom de l’élection, permettant à l’électeur de prouver la prise en compte de son vote. En cas d’échec, aucune donnée n’est conservée. |
| 1-03 : Authentification des électeurs et réduction du risque d’usurpation d’identité | Authentification par identifiant et mot de passe remis par deux canaux séparés ; stockage sécurisé des identifiants ; procédure de renouvellement en cas de perte/vol. | Chaque électeur reçoit un token unique généré aléatoirement, remis en main propre par le directeur d’école. Les mots de passe sont chiffrés selon les standards Symfony. En cas de perte ou de vol, un nouveau token peut être généré et l’ancien devient inutilisable. |
| 1-04 : Confidentialité du bulletin dès sa création | Chiffrer le bulletin sur le poste du votant, côté client, avant son émission, à l’aide d’un algorithme public réputé « fort ». | Les bulletins sont transmis via une requête POST sécurisée et ne sont jamais liés à l’électeur en base de données. Il est donc impossible de relier le choix de vote à l’électeur, garantissant ainsi l’anonymat et la confidentialité du scrutin. |
| 1-05 : Confidentialité et intégrité du bulletin pendant le transport | Utiliser un canal sécurisé (HTTPS/TLS) pour acheminer le bulletin, lui-même déjà chiffré, du poste du votant jusqu’à l’urne électronique. | Les bulletins sont transmis exclusivement via HTTPS (TLS à jour). Les certificats sont valides et conformes aux normes. L’intégrité est renforcée par l’utilisation de tokens CSRF, de requêtes POST et par la vérification systématique du droit de vote du token avant acceptation du bulletin. |
| 1-07 : Étanchéité totale entre identité du votant et expression du vote | Ne disposer d’aucun lien entre le votant et son bulletin chiffré. Le bulletin n’est pas horodaté, et bulletins et liste d’émargement sont stockés séparément. | Les bulletins sont stockés dans un espace distinct de la liste d’émargement. Aucun lien ne peut être établi entre votant et bulletin. Les bulletins ne sont pas horodatés, contrairement à la liste d’émargement. |
| 1-08 : Répartition du secret de dépouillement | Générer au moins trois clés, deux nécessaires pour le dépouillement, stockées par le président et les assesseurs. | Le dépouillement est automatisé et n’est accessible qu’après la date de clôture. Le directeur et les superviseurs peuvent consulter les résultats uniquement à partir de ce moment. Il n’y a pas de répartition de clés, mais l’accès est strictement impossible avant la fin du scrutin. |
| 1-09 : Dépouillement atomique et post-scrutin | L’option de dépouillement ne doit être activable qu’après la fermeture du scrutin et le scellement de l’urne et de la liste d’émargement. | Le dépouillement ne peut être lancé qu’après la fermeture officielle du scrutin. L’urne électronique et la liste d’émargement sont automatiquement scellées. Le dépouillement est une opération continue, qui ne peut être interrompue. |
| 1-10 : Intégrité du système, de l’urne et de la liste d’émargement | S’assurer que le dispositif déployé est identique à celui audité par un expert indépendant ; calculer et vérifier des empreintes numériques ; sceller l’urne et la liste d’émargement. | Le système a été vérifié par un expert en sécurité informatique. L’urne et la liste d’émargement sont scellées à la clôture du scrutin. Un nouvel audit peut être réalisé à chaque évolution ou scrutin pour garantir l’intégrité du système. |
| 1-11 : Vérification a posteriori du dépouillement | Conserver tous les éléments nécessaires pour rejouer le dépouillement et fournir une preuve cryptographique garantissant l’absence d’erreur. | Vérification du dépouillement Le processus de dépouillement offre une vérification partielle, conformément à notre engagement en faveur de la confidentialité des votes. Par choix délibéré, aucun lien n’est enregistré entre un électeur et son vote, préservant ainsi l’anonymat. Garanties techniques apportées : Hachage individuel : Chaque vote est associé à un hash unique, préservant son intégrité. Hachage global de l’urne : Un hash agrégé de l’ensemble des votes est calculé à la clôture, garantissant qu’aucune modification n’est intervenue post-dépouillement. Journal d’audit : Un log cryptographique est généré pour chaque élection, stockant le hash de l’urne, la date et l’identifiant de l’élection. Avantages : ✅ Intégrité vérifiable : Toute altération des votes ou des résultats serait immédiatement détectable via les hashs. 🔒 Confidentialité préservée : L’absence de lien électeur-vote protège l’anonymat, conformément à nos exigences éthiques. Limite assumée : Cette approche implique un compromis contrôlé : si l’authenticité individuelle (qui a voté quoi) ne peut être vérifiée en raison de la confidentialité, l’intégrité globale des résultats reste incontestable grâce aux preuves cryptographiques. |
| Objectif CNIL | Exemple de solution CNIL | Réponse Mon opale |
|---|---|---|
| 2-01 : Assurer une haute disponibilité de la solution | Disposer d’une infrastructure dimensionnée pour supporter l’élection et la charge attendue. Prévoir un système de redondance par un dispositif de secours offrant les mêmes garanties. | L’infrastructure est hébergée chez Hostinger, avec surveillance des pics de charge et possibilité de montée en ressources rapide. Le système peut être adapté facilement pour répondre à la charge. Un dispositif de secours explicite n’est pas mentionné, mais la continuité est assurée par la flexibilité de l’hébergement. |
| 2-02 : Contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement | Calculer à intervalles non réguliers et non prévisibles une empreinte des éléments et les comparer à la valeur de référence. | Le système vérifie que le nombre de votes enregistrés correspond au nombre de votants pour lesquels un token a été généré. Il n’y a pas de calcul d’empreintes numériques à intervalles non prévisibles, mais un contrôle de cohérence est assuré. |
| 2-03 : Contrôle automatique par le bureau électoral de l’intégrité de la plateforme | Mettre à disposition du bureau électoral un dispositif permettant de vérifier depuis un écran de contrôle la mise en œuvre de l’objectif 2-02. | Le directeur et les superviseurs ont accès au scrutin en cours pour vérifier son intégrité et la cohérence des votes. Un contrôle manuel est possible à tout moment depuis l’interface de gestion. |
| 2-04 : Authentification renforcée des électeurs | Certificat électronique conforme RGS ou identifiant/mot de passe remis par deux canaux séparés + question défi-réponse non triviale. | L’identification se fait via un token aléatoire remis en main propre par le directeur. En cas de perte, un nouveau token est généré et l’ancien devient inutilisable. Il n’y a pas de question défi-réponse. |
| 2-06 : Sécurité physique et logique du système d’information | Appliquer les bonnes pratiques des éditeurs et les recommandations de l’ANSSI (guides sécurité web, TLS, IPsec, GNU/Linux, Java, hygiène informatique). | Les développeurs appliquent le guide ANSSI pour le développement sécurisé, ainsi que les bonnes pratiques des éditeurs. Cette démarche vise à garantir la sécurité, la robustesse et la conformité du système d’information. |
| 2-07 : Assurer la transparence de l’urne pour tous les électeurs | Générer un récépissé unique non lié à l’identité du votant, publié pour vérification, et mettre à disposition un espace de test pour simuler des votes. |
Fonctionnalité en place : Un récépissé PDF unique, contenant le hash du vote, la date et l’élection, est généré pour chaque électeur à l’issue du vote.
Vérification : Un espace de vérification est accessible à tous : il permet de saisir un hash et d’obtenir la preuve de l’enregistrement du vote, avec le détail (élection, date), sans lien avec l’identité du votant. Transparence : Ce mécanisme garantit à chaque électeur la possibilité de contrôler la présence de son bulletin dans l’urne, tout en préservant l’anonymat. L’espace de test pour simuler des votes reste à développer. |