Le 25 avril 2019, la CNIL a adopté une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Elle présente aux responsables de traitement souhaitant recourir à un tel système de vote une approche par niveau de risque et par objectifs de sécurité à atteindre.

La recommandation s’accompagne d’une fiche pratique qui présente une méthodologie en deux temps :

• une grille d’analyse pour déterminer le niveau de sécurité que le système de vote par correspondance électronique, notamment via Internet, doit respecter ;
• des niveaux d’objectifs de sécurité avec des exemples de moyens , non limitatifs, à mettre en œuvre pour atteindre ces objectifs.

Tout comme pour les recommandations de 2010, VOTEO n'a aucune obligation légale à respecter les éléments décrits dans cette délibération. Malgré cela, et toujours avec l'objectif de rendre VOTEO plus sûr et plus sécurisé, AKG SOLUTIONS a rendu conforme l'application VOTEO aux trois niveaux d'objectifs proposés par la CNIL. Chaque version applicative est certifiée conforme à ces recommandations par une entreprise tierce. Vous trouverez ci-dessous les différents objectifs de sécurité avec, pour chaque article, comment VOTEO satisfait aux exigences.

Le système Voteo est exploité sur une technologie de Cloud computing.

Ces technologies sont capables de faire abstraction du matériel et ainsi pouvoir parer à ses défaillances. Ce système permet en plus dupliquer les applications de vote très rapidement en cas de besoin.

Au descellement, un contrôle d’intégrité de la base automatique est fait.

Si l’empreinte change au cours du vote, le système déclenchera une alerte et empêchera le dépouillement.

Au descellement, un contrôle d’intégrité de la base automatique est fait.

Si l’empreinte change au cours du vote, le système déclenchera une alerte et empêchera le dépouillement. De plus il est possible de vérifier l’empreinte des fichiers de l’application déployés par rapport à la valeur de référence réalisée lors de l’audit.

L'adressage des moyens d'authentification se font soit par courrier à l'adresse de l’électeur, soit par courriel à son adresse électronique.

L'authentification de l'électeur se fait au travers d'un identifiant et d'un mot de passe qui seront communiqués par Voteo.

Un critère d'identification personnel est ajouté afin de renforcer la sécurité et notamment de diminuer encore plus les risques d’usurpation d’identité.

L’utilisation du système de chiffrement cryptographique réseau (TLS) permet d’assurer la transmission sécurisée des informations d’authentification de l’électeur. De plus, l’utilisation d’un clavier virtuel permet d’éviter les tentatives de capture de frappe via un keylogger.

Pour chaque scrutin, une application web entière est recréée à chaque fois.

La base de données contient uniquement un seul vote électronique. Ainsi, stopper un vote n’aura aucun impact sur les autres scrutins en cours.

L’application Voteo est hébergée chez Gandi, hébergeur Français reconnu, fiable et sécurisé.

Les centres de données utilisés par Voteo sont localisés sur le territoire Français.