Menu du siteÉtablir un cadre juridique pour le vote électronique au Canada
4.0 Principales conclusions et recommandations
Un cadre juridique pour le vote électronique devrait intégrer les valeurs inhérentes à notre système de vote actuel que nous avons décrites plus tôt, à savoir l'intégrité et le secret. Il devrait également créer un équilibre entre ces dernières et la réalité concrète de la technologie en évolution et des risques internes et externes. L'examen des publications universitaires et des mises en œuvre de ce mode de scrutin déjà réalisées au niveau national et à des niveaux inférieurs démontre clairement qu'on ne doit pas étudier seulement le contenu de règles normatives, mais aussi le processus, le style et la forme que les fonctionnaires électoraux et les législateurs emploieront pour formuler un cadre formel pour le vote électronique, soit, en particulier, les points suivants :
- le niveau auquel on définira les éléments du cadre, notamment peut-être les dispositions législatives conçues par le Parlement, les règlements produits par délégation par le directeur général des élections et les politiques publiques;
- la mesure dans laquelle les normes devraient être générales et souples, pour laisser aux administrateurs la latitude de gérer les points de détail en fonction de leur contexte, ou définies avec précision dès le départ;
- les moyens à la disposition du public, des entités et des experts politiques pour accéder à l'information et participer à la formulation des règles ou des politiques, à l'examen des composantes techniques et au déploiement du système électoral.
Concernant les questions de procédure et de forme, ainsi que de contenu des règles et des politiques éventuelles, la présente étude vise à s'inspirer scrupuleusement des approches employées dans les autres pays et des résultats réels, positifs comme négatifs, qu'elles ont produits. En matière de vote électronique, le cadre juridique dans lequel la technologie est déployée peut être tout aussi important que son efficacité, notamment pour stimuler la confiance du public, et tout aussi important que les points de détail de l'utilisation d'une technologie particulière (Goldsmith, 2011).
Conception du cadre juridique
Le cadre juridique pour le vote électronique englobera divers instruments légaux et institutionnels. Au niveau le plus élevé se trouve la Loi électorale du Canada, une loi adoptée par le Parlement qui définit en détail le dépouillement des votes et les exigences relatives à l'inscription des électeurs, ainsi que les infractions électorales et qui délimite les pouvoirs de l'organisme électoral. D'autres lois, comme celles relatives à la protection des renseignements personnels ou à l'accès à l'information, peuvent également faire partie d'un cadre juridique pour le vote électronique. De plus, le cadre juridique peut comporter des instruments créés par l'organisme électoral. Par exemple, la loi habilitante peut conférer aux organismes électoraux le pouvoir de créer des règlements contraignants. Le cadre juridique inclut en outre des instruments non contraignants, tels que des énoncés de politique et des directives internes qui contribuent à définir les moyens par lesquels l'organisme électoral prévoit s'acquitter de ses obligations réglementaires.
En règle générale, la définition législative des questions primordiales favorise la légitimité démocratique en permettant aux représentants élus de débattre et d'adopter des lois. L'inconvénient de ce principe réside dans la longueur de l'échéancier à respecter pour toute modification, même mineure, des lois. Certains points, comme les infractions criminelles, ne sont définis que par la loi. En revanche, pour beaucoup d'autres questions, le Parlement peut déléguer le pouvoir de créer des règles à des organismes administratifs, soit en accordant à l'organisme électoral toute latitude pour élaborer des règlements, soit en limitant son pouvoir réglementaire par des critères précis à respecter.
La Loi en vigueur autorise Élections Canada à mettre à l'essai le vote électronique, sous réserve de l'approbation de comités parlementaires, dans le cadre d'un projet pilote. Quand d'autres pays ont administré des projets pilotes, ils l'ont souvent fait en appliquant des exigences procédurales contenues dans des règlements d'application et des documents techniques. Les lois en vigueur étaient souvent vagues, à cause de la faiblesse des risques et de la souplesse nécessaire pour se livrer à cette expérimentation. Les rapports de l'OSCE ont critiqué néanmoins des pays comme l'Estonie qui ont utilisé le vote par Internet au niveau national sans avoir adopté une loi décrivant de manière suffisamment détaillée et approfondie les procédures requises.
Dans un projet pilote de 2011, la Norvège s'est appuyée sur des spécifications techniques et des règlements approuvés par le ministère du Gouvernement local et du Développement régional, alors que la loi habilitante autorisait simplement le gouvernement à procéder à des mises à l'essai. Bien que le vote par Internet n'ait été utilisé qu'au niveau local, l'OSCE a quand même estimé que des procédures plus formelles auraient été bénéfiques pour ce projet pilote (OSCE, 2012b). Le ministère du Gouvernement local et du Développement régional a reconnu dans un rapport que des modifications législatives de grande envergure auraient été nécessaires avant de mettre en œuvre le vote électronique à l'échelle nationale, mais a conclu que ce n'était ni souhaitable ni nécessaire pour le projet pilote municipal (ministère norvégien du Gouvernement local et du Développement régional, 2006).
La Suisse autorise également chaque canton à mettre le vote électronique à l'essai, en se conformant à des exigences dont la majorité sont décrites dans leurs propres règlements. Les dispositions législatives électorales contiennent quelques critères relatifs au contenu obligatoire de ces règlements, tels que les exigences en matière de sécurité. Le système électoral de la Suisse est cependant très décentralisé et la majorité des procédures électorales sont contenues, en règle générale, dans des ordonnances locales.
Les lois en vigueur au Canada au niveau provincial ont tendance à être largement habilitantes et à manquer de précision. Par exemple, l'Election Act de l'Alberta autorise la mise à l'essai d'un matériel différent, mais seulement dans le cadre d'une élection partielle et sous réserve de l'approbation du comité législatif permanent, et exige que l'organisme électoral dresse la liste du matériel qui sera utilisé et des procédures qui devront être modifiées (paragraphe 4.1(1)). Les lois régissant le vote électronique pour les élections municipales en Ontario et en Nouvelle-Écosse permettent aux municipalités d'adopter des règlements autorisant d'autres modes de scrutin. La Municipal Elections Act de la Nouvelle-Écosse exige que ces règlements contiennent des mesures relatives au dépouillement et au rejet des bulletins de vote, à la forme des bulletins de vote et à l'information des électeurs (article 146A). Il faut remarquer qu'elle autorise également les municipalités à définir des infractions liées au scrutin, passibles d'amendes d'au plus 10 000 dollars ou d'une incarcération de deux ans moins un jour, ou de ces deux peines à la fois (paragraphe 146A(7)). Le vote électronique n'est permis qu'à titre de mesure supplémentaire, la loi exigeant la conduite d'un vote par anticipation ou d'un scrutin traditionnel par d'autres moyens (paragraphe 146A(6)). La Loi sur les élections municipales de l'Ontario, en revanche, autorise simplement les municipalités à introduire le vote électronique par le biais d'un règlement, sous réserve que les mesures prises dans ce dernier soient conformes aux principes de la Loi (article 42).
Dans certains des pays où le vote électronique a été utilisé lors d'une élection générale, on a ajouté à la loi des articles détaillés relatifs au vote électronique. En Australie, l'État de Nouvelle-Galles du Sud a commencé par autoriser la Commission électorale à mettre à l'essai le vote électronique. En revanche, avant de l'utiliser dans une élection générale, l'Assemblée législative a adopté une série de modifications relativement exhaustives introduisant de nouvelles infractions criminelles, des exigences en matière de vérification et des dispositions fondamentales en matière de sécurité. La Loi a conféré à l'organisme électoral le pouvoir d'élaborer des règlements détaillés se conformant à des critères précis. Par exemple, la Parliamentary Electorates and Elections Act 1912 de Nouvelle-Galles du Sud autorise expressément l'organisme électoral à « approuver des procédures afin de faciliter le vote des électeurs admissibles » (paragraphe 120AC(1)), puis fournit une liste non exhaustive de critères à inclure dans ces procédures (article 120AK).
Le tableau 1 est une brève comparaison des éléments du vote électronique contenus dans les lois habilitantes de divers pays.
| Pays | Éléments clés en matière de vote électronique contenus dans la loi habilitante |
|---|---|
| Nouvelle-Galles du Sud, Australie |
|
| Estonie |
|
| Suisse |
|
| Norvège |
|
Le tableau 2 énumère quelques points des règlements créés par des organismes électoraux indépendants ou par des ministères chargés de conduire des élections. On souligne brièvement quelques caractéristiques du règlement municipal de Halifax.
| Pays | Éléments clés en matière de vote électronique contenus dans les règlements |
|---|---|
| Nouvelle-Galles du Sud, Australie |
|
| Estonie |
|
| Suisse |
|
| Norvège |
|
| Canada, Halifax (règlement municipal) |
|
Il est important de parvenir à un équilibre entre les dispositions législatives et les règlements créés dans le cadre d'une délégation de pouvoir. Plus les dispositions législatives en vigueur sont détaillées, plus la légitimité du cadre juridique sera probablement forte. En revanche, il importe également au plus haut point de préserver, chaque fois qu'un gouvernement tente d'élaborer des dispositions législatives relatives à la technologie, les principes de neutralité fonctionnelle, comme celui de la neutralité technologique. Il est tout aussi important que les dispositions législatives évitent de détailler excessivement certaines spécifications techniques, par exemple en prescrivant le matériel particulier ou le programme de chiffrement à utiliser. L'excès de détails [TRADUCTION] « peut freiner l'innovation ou créer des 'verrous technologiques' légaux » (Alvarez et Hall, 2008 : 184). Ce point peut être particulièrement pertinent dans des pays comme le Canada où l'approbation de modifications simples des lois électorales par les deux chambres du Parlement peut prendre plusieurs mois. Par conséquent, bien que le cadre juridique doive être très complet, il vaut mieux réserver un grand nombre des procédures techniques aux règlements.
Des dispositions législatives détaillées ne sont pas obligatoirement nécessaires pour mettre à l'essai un système de vote électronique dans une élection partielle ou dans un contexte tout aussi limité. En revanche, l'utilisation du vote électronique dans une élection générale, sans modifications à la Loi électorale du Canada, pourrait susciter les réserves du public, qui se demanderait si le débat démocratique et le soutien du système sont suffisants et si des mesures adéquates ont été mises en place pour réduire les risques, détecter les défaillances ou les altérations et prévoir des mesures correctives.
La Loi électorale du Canada ne définit pas clairement les questions telles que l'adaptation du système à la suite de la découverte de problèmes dans le vote électronique, ni les mesures correctives qui seraient prises. Par exemple, si on découvrait un problème grave dans le vote électronique pendant une élection, mettrait-on fin au scrutin? Dans quelles circonstances invaliderait-on les résultats de toute une circonscription pour recommencer son élection? À l'heure actuelle, le directeur général des élections a le pouvoir d'adapter la Loi aux circonstances, mais, idéalement, la Loi devrait être formulée de manière à fournir une orientation générale et devrait, si possible, définir quelques principes à appliquer pour résoudre les problèmes susceptibles de fausser les résultats d'une élection.
Un autre sujet de préoccupation est celui de certaines décisions relatives au vote électronique qui exigent d'établir un équilibre entre les valeurs inhérentes à l'article 3 de la Charte. Par conséquent, toute restriction apportée aux droits en matière de vote devrait être prescrite par la Loi.
On peut établir un parallèle avec la décision de 2009 du Tribunal constitutionnel fédéral allemand (BVerfG, 2 BvC 3/07) qui a interdit l'utilisation des machines à voter électroniques soit jusqu'à la mise en œuvre de meilleures mesures en matière de transparence, soit jusqu'à ce qu'une loi autorise expressément la réduction de la transparence en échange d'une meilleure accessibilité. Dans ce cas, on a conféré au ministère de l'Intérieur du gouvernement fédéral le pouvoir de créer des ordonnances pour approuver ces machines. Le Tribunal a estimé que, à cause de l'évolution technique constante (et souvent rapide), il vaut mieux laisser, en règle générale, la responsabilité des règlements détaillés à l'organisme électoral. En revanche :
[TRADUCTION]
À cause de leur caractère particulier, les règlements relatifs au déploiement des machines à voter relèvent d'une décision parlementaire dans la mesure où ils ont trait aux exigences importantes en matière de déploiement d'appareils de ce type. Les décisions relevant du Parlement sont notamment celles relatives à l'autorisation du déploiement des machines à voter et des conditions préalables fondamentales pour leur déploiement. (BVerfG, 2 BvC 3/07, paragraphe 136)
Bon nombre des problèmes qui surviennent à l'introduction des technologies de vote ne s'expliquent pas par des problèmes technologiques, mais plutôt par le manque de processus connexes prescrivant aux administrateurs électoraux comment mettre en œuvre les systèmes ou comment interagir avec la technologie (Alvarez et Hall, 2008). Que le matériel informatique, le logiciel ou l'interface entre la machine et l'utilisateur soit à l'origine du problème, la responsabilité de fournir des normes intelligibles, des exigences minimales et des orientations générales à des organismes tels qu'Élections Canada incombe au Parlement afin de les assister dans l'exercice de leur pouvoir discrétionnaire et dans la création de règlements ou de politiques. Cela permet de donner confiance au public en l'utilisation de la technologie et constitue un fondement stable pour évaluer les règlements et demander des comptes aux fonctionnaires.
Accès et admissibilité
La détermination des modalités et des dates du vote électronique est une étape importante, comme la décision relative à ceux qui peuvent accéder au système. Les législateurs devraient-ils traiter le vote électronique comme un système de vote particulier, visant uniquement à permettre à des groupes désavantagés, ayant peut-être de la difficulté à voter, d'exercer leur droit de vote? Ou le vote électronique devrait-il plutôt permettre de remplacer le vote en personne pour augmenter la participation électorale et améliorer la commodité pour tous?
À l'heure actuelle, la Loi électorale du Canada prévoit trois grandes modalités d'exercice du droit de vote : le vote le jour du scrutin, le vote par anticipation ou le vote au moyen de bulletins de vote spéciaux (article 127). Les bulletins de vote spéciaux peuvent soit être remplis en personne au bureau du directeur du scrutin, soit être obtenus en demandant l'envoi d'un bulletin de vote par la poste et en le renvoyant. Pour les électeurs ayant une déficience physique, il existe même une disposition en vertu de laquelle un fonctionnaire électoral désigné peut se rendre au domicile d'une personne et l'aider à marquer le bulletin de vote (paragraphe 243(1)).
Si les décideurs choisissent d'autoriser le vote électronique, il faudrait ajouter une disposition à la liste des occasions de voter de l'article 127 de la Loi électorale du Canada, ainsi que des dispositions connexes relatives au vote électronique.
Restriction de l'admissibilité des électeurs
En ce qui a trait au logiciel de vote électronique, on doit se demander si tous les électeurs ou seul un certain sous-groupe d'électeurs seront autorisés à l'utiliser. Le vote électronique est-il un outil qui sert exclusivement à adapter le scrutin aux électeurs susceptibles d'avoir de la difficulté à voter à un bureau de scrutin? Décidera-t-on de limiter ceux qui peuvent voter à distance afin de répondre aux sujets de préoccupation en matière d'authentification des électeurs et de prendre des mesures d'atténuation des abus? La Loi électorale du Canada contient des dispositions précises sur l'établissement des bureaux de scrutin militaires (partie II, section 2), ainsi que sur la prise de mesures d'adaptation spéciales pour les électeurs handicapés en envoyant des fonctionnaires électoraux à leur domicile pour faciliter leur vote (paragraphe 243(1)). La Loi différencie également les électeurs qui résident au Canada et qui votent par bulletin spécial (partie II, section 4) et ceux qui vivent à l'étranger (partie II, section 3). En revanche, elle ne prévoit aucune restriction applicable aux électeurs susceptibles de voter selon des modalités spéciales, à condition qu'ils respectent les exigences en matière de résidence et d'identification. Tout électeur admissible qui ne souhaite pas voter le jour du scrutin peut soit voter par anticipation au bureau du directeur du scrutin, soit demander l'envoi d'un bulletin de vote par la poste.
À l'échelle internationale, il existe différentes approches de l'admissibilité au vote électronique. En Estonie, chaque électeur qui le choisit peut voter en ligne. La mise en œuvre de ce processus fut facilitée par l'existence d'une infrastructure d'identification nationale déjà utilisée pour des services gouvernementaux, grâce à une carte d'identité sécuritaire, ce qui simplifiait la question de la gestion de l'identification et de l'authentification des électeurs. L'Ordonnance sur les droits politiques du Conseil fédéral suisse autorise le vote électronique, mais limite son utilisation à dix pour cent des électeurs au niveau fédéral pour toute élection. Cette restriction garantit dans la pratique qu'il est possible d'élire un gouvernement fédéral, même en cas de panne du vote électronique. La France a récemment autorisé seulement ses électeurs résidant à l'étranger à utiliser le vote électronique pour élire leurs députés au Parlement, ce qui a réduit la dépendance des électeurs à l'égard de la poste pour renvoyer leurs bulletins de vote; les électeurs résidant à l'intérieur des frontières ont été encore tenus d'utiliser les modes de scrutin traditionnels.
La Nouvelle-Galles du Sud vient d'autoriser des catégories particulières d'électeurs à voter par Internet. En vertu de l'article 120AB de la Parliamentary Electorates and Elections Act, les électeurs appartenant aux catégories suivantes sont autorisés à voter par Internet :
- les électeurs ayant une déficience visuelle;
- les électeurs ayant une déficience leur permettant difficilement de se rendre à un bureau de scrutin;
- les électeurs ruraux habitant à plus de 20 kilomètres d'un bureau de scrutin;
- les électeurs qui se trouveront en dehors de l'État le jour du scrutin.
De plus, cette loi permet à la Commission électorale de la Nouvelle-Galles du Sud de publier des règlements additionnels qui restreignent ou qui étendent les exigences en matière d'admissibilité. Afin d'être admissibles, les électeurs doivent s'inscrire à l'avance en présentant leur demande en ligne ou par téléphone. La Loi visait, à l'origine, à n'autoriser que les électeurs handicapés à utiliser ce nouveau système, afin de respecter les obligations internationales au sens de la Convention des Nations Unies relative aux droits des personnes handicapées (Allen Consulting Group, 2011). Les électeurs ruraux et les électeurs absents de l'État ont ensuite été autorisés par l'Assemblée législative à voter par Internet. Comme le vote est obligatoire en Australie, cette mesure veille à ce que la participation obligatoire au système électoral ne crée pas de contrainte excessive.
Au Canada, la Charte garantit à tous les Canadiens l'exercice efficace du droit de vote et, en raison d'une présomption générale d'égalité, il est probable que les tribunaux concluraient à une violation de la Constitution si l'on autorisait certains électeurs, et pas d'autres, à utiliser le vote électronique dans une élection. En règle générale, toute restriction d'un droit garanti par la Charte doit être définie par une loi ou par un règlement, en vertu de l'article 1, et non laissée au pouvoir discrétionnaire illimité des fonctionnairesNote 8. En revanche, si un programme ne vise qu'à améliorer l'exercice d'un droit par les personnes ayant une déficience, la Charte ne l'interdira pas.
Afin d'éviter de possibles contestations constitutionnelles, les législateurs devraient faire preuve de prudence en incluant dans la Loi électorale du Canada certaines dispositions, s'ils souhaitent limiter l'utilisation du vote électronique à certaines catégories d'électeurs dans une élection donnée.
Si le choix de limiter le déploiement du vote en ligne vise à limiter le risque de fraude, une meilleure solution pourrait consister à appliquer des exigences plus draconiennes en matière d'identification, par exemple en obligeant la majorité des électeurs à s'inscrire en personne. Cette mesure pourrait être moins pratique pour certains électeurs, mais la commodité (contrairement aux mesures d'adaptation pour les personnes ayant une déficience), n'est pas une exigence constitutionnelle (Henry c. Canada).
Rapport coût-efficacité
Le rapport coût-efficacité peut avoir du poids dans une évaluation judiciaire de l'exécution par le gouvernement du Canada de ses obligations constitutionnelles conditionnelles (p. ex. la facilitation du vote). Il peut également avoir du poids dans l'analyse des « limites raisonnables » visant à déterminer si les caractéristiques d'un système de vote électronique sont problématiques sur le plan constitutionnel – par exemple parce que ce processus exclut certains groupes d'électeurs ou parce qu'il ne comporte pas de mesures d'adaptation à certains groupes d'électeurs – ce qui se justifie néanmoins au titre d'une « limite raisonnable » d'un droit garanti par la Charte. Sans se préoccuper de la possibilité de contestations judiciaires, la prise en compte du rapport coût-efficacité peut prendre une importance décisive dans le soutien public d'un système de vote électronique. Par exemple, la décision prise en Australie, en 2004, d'introduire le vote par Internet pour les militaires en poste à l'étranger a coûté finalement environ 521 dollars australiens par électeur, comparativement à 10 dollars pour les modes de scrutin traditionnels (Commission électorale australienne, 2008). Un projet pilote d'utilisation d'appareils d'assistance au vote dans l'élection partielle fédérale de Winnipeg-Nord en 2010 a coûté près de 30 000 dollars par vote et ce matériel n'a été utilisé que par 5 électeurs (Élections Canada, 2011a).
Le tableau 3 offre une comparaison du coût de chaque vote en Nouvelle-Galles du Sud, fondée sur les coûts réels, ainsi que sur le coût projeté de chaque vote si on autorise à l'avenir chaque électeur à voter en ligne (Allen Consulting Group, 2011).
| Utilisation | Coût par vote (en dollars australiens) |
|---|---|
| 46 000 votes électroniques – élection générale de l'État en 2011 (électeurs handicapés, ruraux, absents) | 72 $ (réels) |
| 500 000 électeurs utilisant le vote électronique lors d'élections municipales | 10 $ (estimés) |
| 1 million d'électeurs utilisant le vote électronique lors d'élections municipales | 6 $ (estimés) |
| Élection ordinaire | 8 $ (réels) |
Bien que le coût par vote de l'exploitation d'un système en ligne semble élevé, on doit le situer dans son contexte. La Nouvelle-Galles du Sud a dépensé 3,4 millions de dollars australiens pour son système de vote électronique en 2011 (soit environ 3,6 millions de dollars canadiens). À titre de comparaison, le coût total de l'élection générale de 2011 au Canada a été de 279 millions de dollars (Élections Canada, 2011b). Plus les électeurs sont nombreux à pouvoir utiliser le vote électronique dans une élection, plus le système semblera rentable.
Méthodes d'identification
Les fraudes commises par des électeurs sont une source de préoccupation pour les législateurs au Canada et toute utilisation du vote électronique ou toute expansion d'un mode de scrutin non traditionnel soulèvera vraisemblablement cette question. Le Parlement a adopté des exigences plus rigoureuses en matière d'identification des électeurs en 2007, en réponse aux craintes relatives à l'usurpation de l'identité des électeurs dans les bureaux de scrutin. Les électeurs doivent maintenant apporter une pièce d'identité officielle ou demander à une autre personne de garantir personnellement leur identité.
Les personnes votant par la poste en utilisant un bulletin de vote spécial doivent prouver leur identité de manière satisfaisante, mais il existe très peu de moyens de prouver que la personne qui renvoie un bulletin de vote postal est bien la personne qui en a fait la demande. Il existe une solution de compromis pour le vote par bulletin spécial : les fonctionnaires électoraux ont le temps d'approuver chaque électeur qui en fait la demande, de vérifier les adresses et d'identifier les électeurs qui votent plusieurs fois, alors que les travailleurs électoraux sont tenus d'enregistrer un vote immédiatement le jour du scrutin. Si on applique seulement le critère de l'équivalence fonctionnelle avec le vote postal, une adresse et un autre renseignement permettant d'identifier l'électeur devraient suffire.
Il se peut que le vote par Internet soit plus sécuritaire que le vote postal à certains égards, puisque les renseignements personnels permettant d'identifier l'électeur ne sont pas seulement collectés quand il demande à voter par ce système, mais ce dernier pourrait requérir des renseignements additionnels avant que l'électeur puisse voter. Les décideurs pourraient néanmoins craindre également que l'introduction d'une nouvelle technologie suscite un examen plus approfondi des exigences en matière d'identification des électeurs utilisant des modes de scrutin particuliers, ce qui pourrait les conduire à adopter une attitude plus proactive.
L'Estonie applique peut-être la règle d'or en matière d'identification et d'authentification, grâce à sa carte d'identité nationale électronique. Ces cartes d'identité sont omniprésentes dans tout le pays et servent pour tout, tant pour le transport en commun que les services gouvernementaux. Les électeurs insèrent leur carte, qui contient un code qui chiffre leur identité de manière sécuritaire, dans un lecteur connecté à leur ordinateur, et saisissent leur code d'accès secret. Si un électeur perd sa carte, il peut aller à une succursale de banque ou à une borne gouvernementale pour obtenir une nouvelle carte et un nouveau code d'accès. Comme l'électeur doit prouver son identité en personne avant d'obtenir sa carte et son code d'accès, l'éventualité qu'un électeur non admissible puisse voter suscite très peu d'inquiétudes. Bien qu'un électeur admissible puisse fournir sa carte et son code d'accès à un tiers, ce système se prête très peu à une fraude à grande échelle.
Il existe diverses autres méthodes d'identification. En Norvège, le projet pilote s'est appuyé sur l'infrastructure des téléphones mobiles, ainsi que sur des cartes d'électeur secondaires. L'électeur recevait par la poste un nom d'utilisateur et un code d'accès et, en ouvrant une session, il recevait un message texte dans son téléphone, ce qui réduisait les risques liés au vol du courrier. La Suisse, en revanche, a expédié par la poste les cartes d'électeur avec les codes d'accès et s'est fiée aux renseignements personnels secondaires, tels que la date de naissance, pour réduire le risque de fraude systématique. En Inde, pour qu'un électeur puisse voter en ligne, un travailleur électoral doit se présenter au domicile de l'électeur pour recueillir des éléments biométriques sur sa personne, dont l'empreinte de son pouce, avant de lui délivrer une carte d'électeur et un NIP en ligne (Kapoor, 2011).
La Nouvelle-Galles du Sud, comme cela a été mentionné plus tôt, a imposé des restrictions sur les catégories d'électeurs autorisés à utiliser le vote électronique. Afin de limiter l'usurpation d'identité ou la fraude postale, l'électeur qui demandait à utiliser le vote électronique recevait par téléphone ou en ligne un code d'accès. Quiconque formulant une déclaration trompeuse dans une demande est passible de deux années d'emprisonnement ou d'une lourde amende. La Commission électorale est tenue de publier des règlements sur les méthodes d'authentification; les exigences pourraient changer ultérieurement.
Un grand nombre de ces méthodes permettent sans conteste d'offrir un niveau de protection contre le vote non autorisé ou le vol de courrier au moins égal à celui du vote postal, exposé au risque de vol du courrier. De plus, l'utilisation par l'Estonie d'une carte d'identité sécuritaire assure un niveau de sécurité similaire à celui du vote en personne, puisqu'une identification visuelle est requise en premier lieu pour obtenir le code d'accès. Cependant, toute discussion sur l'introduction d'une carte d'identité nationale au Canada dépasse la portée de la présente étude.
Bien qu'on devrait prendre des mesures adéquates pour s'assurer que ceux qui utilisent un système de vote en ligne sont bel et bien admissibles à voter, la Cour suprême du Canada a reconnu que des mesures exagérément onéreuses et que la perfection ne sont pas obligatoires.
Le système est conçu pour être accessible à tous les électeurs et comporte une mesure spéciale pour permettre aux personnes dépourvues de pièces d'identité de voter grâce à un répondant. Les fonctionnaires électoraux ne peuvent pas établir avec une exactitude absolue si une personne a le droit de voter. Les greffiers du scrutin ne prennent pas les empreintes digitales des électeurs pour établir leur identité. L'électeur peut établir sa citoyenneté canadienne de vive voix en prêtant serment. L'accessibilité n'est possible que si nous sommes prêts à accepter une certaine incertitude quant au droit de voter de toutes les personnes qui ont voté. (Opitz c. Wrzesnewskyj, paragraphe 45)
Comme la technologie de l'authentification en ligne s'améliore constamment, l'organisme électoral devrait être tenu de créer des règlements décrivant les procédures d'authentification et d'identification. Afin de s'assurer que des électeurs non admissibles ne peuvent pas voter, ces procédures devraient soit exiger que les électeurs s'identifient personnellement auprès d'un fonctionnaire autorisé avant de recevoir leurs renseignements d'ouverture de session, soit exiger une combinaison satisfaisante des renseignements personnels et du code d'accès des électeurs.
De plus, l'organisme électoral peut utiliser une signature électronique sécurisée dans le cadre du processus d'identification des électeurs ou pour valider les bulletins de vote électroniques. Un exemple de disposition législative de ce type se trouve dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que dans le Règlement sur les signatures électroniques sécurisées. Aux termes de la LPRPDE, le Conseil du Trésor doit être convaincu qu'une signature électronique est sécurisée et fiable, et respecte les conditions suivantes (paragraphe 48(2)) :
a) la signature électronique résultant de l'utilisation de la technologie ou du procédé est propre à l'utilisateur;
b) l'utilisation de la technologie ou du procédé pour l'incorporation, l'adjonction ou l'association de la signature électronique de l'utilisateur au document électronique se fait sous la seule responsabilité de ce dernier;
c) la technologie ou le procédé permet d'identifier l'utilisateur;
d) la signature électronique peut être liée au document électronique de façon à permettre de vérifier si le document a été modifié depuis que la signature électronique a été incorporée, jointe ou associée au document.
Le Parlement devrait octroyer à l'organisme électoral de la latitude pour choisir les méthodes d'authentification des électeurs, sous réserve qu'elles soient sécuritaires et fiables.
Questions soulevées par le vote à l'étranger
Lors de la dernière élection canadienne, plus de 17 000 électeurs admissibles résidant à l'étranger ont voté. Un des avantages du vote par Internet est qu'il est plus facile pour les électeurs à l'étranger de s'assurer que leur vote arrive à temps, d'autant plus que le courrier international peut être lent. Certaines raisons légitimes peuvent cependant conduire l'organisme électoral à limiter le vote en ligne à certains pays. Par exemple, il se peut que certains pays censurent ou surveillent les transmissions par Internet, d'autres pays peuvent poser des problèmes de sécurité et, en règle générale, il est difficile de punir ceux qui enfreignent les lois électorales à l'étrangerNote 9.
La majorité des Canadiens qui votent à l'étranger vivent dans des pays où le degré de liberté dans Internet est comparable à celui du Canada. Plus de 11 000 votes provenaient de pays classés par l'ONG Freedom House parmi ceux où le degré de liberté dans Internet est élevé, dont les États-Unis, le Royaume-Uni, l'Australie et l'Allemagne (Kelly et Cook, 2011). De plus, 3 000 votes provenaient de pays de l'Union européenne non classés, mais où l'accès à Internet est vraisemblablement similaire. Environ 650 votes sont également parvenus d'États où la liberté dans Internet n'est que partielle, dont le Mexique, l'Inde, la Corée, la Turquie et la Russie, et 1 200 votes sont parvenus de Singapour et de pays du golfe Persique non répertoriés dans la liste de Freedom House. La cote de certains pays a été médiocre pour la liberté dans Internet, puisqu'ils pratiquent la censure et bloquent souvent les connexions à Internet. Lors de la dernière élection fédérale, 660 électeurs ont voté par courrier dans des pays de ce type, dont la Chine, la Thaïlande, le Vietnam, l'Arabie saoudite, l'Iran, le Pakistan et le Nigeria. Le risque d'ingérence de l'État dans un système électoral dans ces pays peut être préoccupant, même si les votes postaux peuvent sans aucun doute l'être tout autant.
Une autre question qui se pose est celle des problèmes de sécurité liés à l'autorisation d'accès au système de vote par Internet à partir de pays associés à des cyberattaques à grande échelle. Par exemple, en 2007, une cyberattaque qu'on pense lancée de Russie a perturbé gravement les banques et les communications parlementaires pendant près de trois semaines en Estonie (Ruus, 2008)Note 10. Selon les experts en sécurité, les quatre principales sources d'attaques en ligne, pendant le premier trimestre de 2012, provenaient de Chine (30,6 pour cent), des États-Unis (19,2 pour cent), de Russie (13,4 pour cent) et d'Inde (9,5 pour cent) (Prolexic, 2012). Il se peut que les organismes électoraux soient contraints de bloquer certains accès internationaux, en cas de cyberattaque massive lancée depuis un pays étranger.
De plus, tous les pays n'autorisent pas l'envoi à l'étranger de signaux Internet encodés. La Suisse a axé son système de vote en ligne sur les électeurs résidant dans des pays signataires de l'Accord de Wassenaar, un traité ratifié par le Canada qui permet l'échange de données encodées entre les pays (CE, 2010).
Nous recommandons à l'organisme électoral de consulter d'autres ministères pour connaître les pays d'où les Canadiens peuvent voter librement, ainsi que les pays susceptibles d'être à l'origine de menaces éventuelles pour les systèmes de vote. Le cadre juridique devrait permettre à l'organisme électoral de déterminer dans quels pays il est possible d'offrir le vote en ligne, et lui conférer également le pouvoir de bloquer des votes émanant d'un pays donné afin d'empêcher des attaques. De plus, dans les pays où Internet n'est pas libre, la loi devrait autoriser les organismes électoraux à établir des machines à voter électroniques dans les consulats et dans les ambassades. On devrait cependant prendre des précautions additionnelles pour tout terminal de vote partagé, similaires à celles requises dans un système de vote en milieu contrôlé.
Période de scrutin
Le cadre juridique, soit directement dans des dispositions législatives, soit par le biais de règlements publiés, devrait définir clairement toutes les dates importantes d'une période de scrutin. Bien qu'il soit possible d'autoriser le vote par Internet jusqu'à la fermeture des bureaux de scrutin, le dernier jour du scrutin, cela ne semble pas être la norme dans les pays où l'on autorise le vote électronique. Le Conseil de l'Europe recommande seulement que le vote par Internet ne se poursuive pas au-delà de l'heure de clôture du scrutin traditionnel (CE, 2005). Cependant, un rapport norvégien recommande fermement d'interdire le vote électronique le jour de l'élection (ministère norvégien du Gouvernement local et du Développement régional, 2006).
Dans la majorité des cas, le vote par Internet débute environ au milieu d'une campagne et prend fin quatre à sept jours avant la clôture des bureaux de scrutin. Le vote électronique se déroule tôt afin de donner aux organismes électoraux le temps d'intervenir en cas de problèmes techniques, ainsi que de réviser les listes électorales, pour que, le jour de l'élection, les préposés au scrutin sachent qui a déjà voté. Le vote par Internet ne devrait cependant pas prendre fin trop tôt avant le jour de l'élection afin de ne pas priver injustement les électeurs de grands moments électoraux, comme les débats et les annonces de dernière minute.
À de nombreux égards, le vote électronique est similaire au vote par anticipation, qui a lieu le dixième, neuvième et septième jour d'une élection au Canada. La période du scrutin par Internet de l'Estonie prend fin en même temps que le scrutin par anticipation, soit quatre jours avant le jour de l'élection, principalement pour que les fonctionnaires électoraux puissent rapprocher les votes multiples, puisque les dispositions législatives permettent aux électeurs de corriger leur vote par Internet en votant une deuxième fois par Internet ou en votant en personne à un bureau de scrutin. La période de scrutin en ligne de l'Estonie débute dix jours avant le jour de l'élection et avant le vote par anticipation.
La Nouvelle-Galles du Sud autorise les électeurs à voter en ligne à partir du douzième jour avant une élection et jusqu'à la soirée précédant le jour de l'élection. Les électeurs qui demandent à voter en ligne ne peuvent pas voter dans les bureaux de scrutin. Ces dates sont publiées dans les règlements électoraux. Les organismes électoraux peuvent prolonger le vote électronique jusqu'à la fermeture des bureaux de scrutin le jour de l'élection, en cas de problèmes techniques graves survenus le dernier jour du vote électronique. En revanche, chaque prolongation de la période de scrutin retarderait vraisemblablement la fin du dépouillement du scrutin, puisque les procédures de l'État exigent l'impression de chaque vote électronique afin de les dépouiller en même temps que les bulletins de vote traditionnels.
La période de scrutin en ligne devrait s'étaler sur plusieurs jours pour optimiser son utilisation, ainsi que pour empêcher les perturbations de porter atteinte à la confiance des électeurs. La Norvège a autorisé le vote électronique pendant un mois, une mesure estimée efficace pour minimiser la perturbation risquant d'être créée par une attaque sous la forme d'un déni de service (OSCE, 2012b). Si le créneau pendant lequel ce mode de scrutin est autorisé est trop bref, la possibilité d'une attaque temporaire lancée sur un serveur pourrait décourager les électeurs et risquer de les empêcher de voter. C'est ce qui s'est produit au Canada, en 2012, pendant la course à la direction du NPD, quand les responsables ont dû prolonger les périodes de scrutin électronique, à la suite d'une attaque survenue sous la forme d'un déni de service (Scytl Canada, 2012).
Nous recommandons de conférer à l'organisme électoral le pouvoir de définir la période de scrutin dans des règlements. Cette période de scrutin devrait commencer bien avant le jour de l'élection, durer entre une semaine à dix jours et prendre fin quelques jours avant le jour de l'élection. Cela donnerait aux administrateurs du vote électronique le temps de réviser les listes électorales, ainsi que de réagir à d'éventuels problèmes du système de vote électronique.
Résumé des recommandations
On peut introduire le vote électronique dans le but de faciliter l'accessibilité au scrutin et de l'adapter raisonnablement pour les électeurs ayant de la difficulté à se rendre au scrutin traditionnel, ou on peut l'élargir pour autoriser tous les électeurs à utiliser ce système. Il se peut que ces décisions tiennent compte du rapport coût-efficacité des mesures d'adaptation, de l'efficience, de l'équité pour les électeurs et même de l'évaluation du risque. Comme nous l'avons analysé dans la section consacrée au contexte, le cadre juridique devrait traiter le scrutin électronique comme l'équivalent fonctionnel des bulletins de vote spéciaux utilisés dans le vote postal, et des méthodes de vote non électroniques devraient toujours être accessibles. Bien que les bulletins de vote électroniques soient peut-être analogues aux bulletins de vote de papier, le droit de vote garanti par la Constitution exige vraisemblablement qu'on offre aux électeurs qui ne font pas confiance à la technologie informatique ou qui ne sont pas à l'aise de l'utiliser suffisamment d'options et qu'ils soient convaincus que leur vote est sécurisé. Voici nos recommandations.
- On devrait traiter le vote électronique comme l'équivalent fonctionnel des bulletins spéciaux ou envoyés par la poste, et des modes de scrutin non électroniques devraient également être toujours accessibles.
- Si on souhaite limiter le vote électronique à un groupe particulier, la Loi électorale du Canada devrait clairement préciser les exigences en matière d'admissibilité. (Dans certains pays, on autorise seulement les électeurs absents de la circonscription, les électeurs ayant une déficience et ceux qui vivent à une certaine distance des bureaux de scrutin à voter par Internet.)
- L'accès au vote électronique devrait être suffisamment large pour s'assurer que les coûts de sa mise en œuvre ne sont pas exagérément disproportionnés par rapport à ceux du scrutin traditionnel.
- Le Parlement devrait laisser à l'organisme électoral le choix des méthodes d'authentification des électeurs, sous réserve qu'elles soient sécuritaires et fiables.
- Les fonctionnaires électoraux devraient consulter les diplomates pour déterminer dans quels pays il est sécuritaire d'autoriser le vote à distance.
- On devrait conduire le scrutin électronique pendant au moins une semaine et y mettre un terme au plus tôt le jour de la clôture du scrutin par anticipation, mais avant le jour de l'élection. Cette période de scrutin devrait être équitable pour les électeurs du vote électronique, mais devrait laisser à l'organisme électoral le temps d'intervenir en cas de problèmes techniques.
Transparence
La transparence du système technologique est l'un des principaux enjeux auquel il faut porter attention pour que le système électoral inspire confiance au public. La transparence est importante, à la fois pour assurer l'intégrité des mesures sous-jacentes et gagner la confiance de la population. Comme un rapport le fait remarquer, [TRADUCTION] « il n'importe pas seulement qu'un système soit fiable, il importe également que les gens croient que le système est fiable » (Pieters et Becker, 2005 : 3). Selon Pieters et Becker, la transparence est sans doute une valeur démocratique plus importante que le secret du vote, comme ils l'expliquent dans leur argumentation en vue de déterminer s'il est souhaitable que l'électeur reçoive la preuve de son choix. Dans le passage à un système de vote en ligne, la transparence est liée directement à la quantité de renseignements mis à la disposition du public, ainsi qu'à des intermédiaires tels que les candidats, les partis politiques, les médias et les observateurs électoraux. Comme un rapport récent sur la confiance envers le système l'affirme, [TRADUCTION] « plus on s'abstiendra de communiquer de l'information, moins le public appréciera la valeur ajoutée des mesures restantes ». (Volkamer et al., 2011 : 2)
Représentants des partis politiques et surveillance
La transparence électorale est assurée de plusieurs façons en vertu de la Loi électorale du Canada, qui stipule que la majorité des instructions, des correspondances et des décisions électorales sont des documents publics, consultables par quiconque pendant les heures de bureau (article 541). Les fonctionnaires électoraux sont tenus de rédiger un rapport s'ils pensent que des bulletins de vote ont disparu (article 314). Le directeur général des élections doit également produire un rapport officiel, dans les 90 jours suivant l'élection, sur les résultats de cette dernière et sur d'autres questions (article 534).
Les candidats des partis politiques ou leurs représentants jouent également un rôle important pour garantir la transparence. On leur permet l'accès aux bureaux de scrutin et ils peuvent assister au dépouillement du scrutin pendant lequel ils peuvent s'opposer à la prise en compte de bulletins de vote. Les règles électorales stipulent même qu'en cas d'absence de représentants des candidats pendant le dépouillement du scrutin, deux électeurs doivent observer ce dernier (paragraphe 283(1)).
Le système actuel garantit la transparence en combinant les représentants des candidats et les rapports au public. On peut obtenir vraisemblablement un niveau de transparence similaire pour le vote électronique en établissant des rapports détaillés et en autorisant les représentants des candidats à accéder aux composantes du système de vote électronique. Les droits des candidats, des partis, des groupes de citoyens et des médias à examiner attentivement l'exactitude et l'efficacité des processus techniques sont fondamentaux pour conduire d'authentiques élections (Young, 2009).
Autoriser des représentants nommés par les candidats à superviser le vote électronique a déjà gagné du terrain dans d'autres pays. Lors des élections parlementaires françaises de 2012, les candidats ont été autorisés à nommer un délégué pour surveiller le vote électronique, à condition de donner un préavis (Code électoral, article R176-3-2).
De plus, les systèmes employés dans les modes de scrutin à bulletins de vote de papier sont intrinsèquement moins compliqués et leur observation est plus simple, alors qu'une formation spécialisée pourra être nécessaire pour exercer la fonction de représentant d'un candidat pour le vote électronique. La Norvège possédait un processus très ouvert pour permettre cette observation, mais les partis ont manifesté peu d'intérêt pour poursuivre leur participation à ce processus (OSCE, 2012b).
Il importe de déterminer le niveau d'accès à accorder aux représentants des candidats (ou à d'autres observateurs, comme les universitaires et les observateurs internationaux) pour examiner ou surveiller les serveurs et le matériel sur lesquels un système de vote est installé pendant un cycle électoral. Selon certains observateurs, les observations programmées, contrairement aux contrôles par sondage de l'équipement, sont [TRADUCTION] « contraires à l'esprit et au but de l'observation fiable d'une élection » (Open Rights Group, 2007 : 13).
Contrairement au mode de scrutin traditionnel, il est inutile que les représentants des candidats supervisent le dépouillement de chaque vote électronique, mais ils doivent plutôt s'assurer du respect des processus électroniques. Le cadre juridique devrait contenir des règles formelles afin de s'assurer que les partis puissent nommer des représentants compétents en technologie pour observer le système de vote électronique.
Accès au code source et aux journaux
Un système de vote électronique doit impérativement comporter des dispositions assurant que chaque aspect du système retenu peut être examiné et surveillé en vue de détecter soit des erreurs, soit des manipulations. Pour l'élection d'un conseil scolaire ou un scrutin à faible risque, on pourrait simplement se fier au système d'un fournisseur ou aux relations d'autres collectivités avec un fournisseur. En revanche, il serait profondément déraisonnable de la part des fonctionnaires électoraux d'utiliser un système de vote électronique en milieu contrôlé pour une élection nationale, sans pouvoir le faire vérifier indépendamment pour s'assurer que chaque vote est compté et qu'une manipulation par un tiers est impossible. En Allemagne, c'est un manque d'accès transparent au code source des machines à voter électroniques qui a conduit son tribunal constitutionnel fédéral à les interdire (BVerfG, 2 BvC 3/07).
Dans un système de vote par Internet, la transparence publique est requise dans la sélection du matériel informatique et de la plateforme sur lesquels un système est installé, dans l'examen du code utilisé pour tout le logiciel de vote électronique et dans l'accès à tous les journaux ainsi qu'à tous les documents concernant les modifications du logiciel.
Le cadre juridique devrait préciser quelles sont les personnes ayant accès au code source et aux journaux, et décrire les conditions d'accès ainsi que les méthodes de signalement des erreurs. Pour optimiser l'accès au code source, il devrait être aussi ouvert et transparent que possible, tout en protégeant toute propriété exclusive ou toute propriété intellectuelle clé (Alvarez et Hall, 2008).
Bien que la Loi sur l'accès à l'information permette au public d'accéder aux documents gouvernementaux, un règlement mieux adapté au vote électronique est nécessaire, puisque la Loi autorise le gouvernement à refuser la communication de renseignements sur les systèmes automatisés et sur les méthodes employées pour leur protection, la communication des renseignements techniques ou la communication des secrets industriels de tiers (paragraphe 16(2), alinéa 18a) et paragraphe 20(1), respectivement).
Un des moyens d'accroître la transparence consiste à rendre public tout le code source. Les organismes électoraux afficheraient le code dans un site Web public en vue de son examen avant le début du scrutin. Voici les arguments en faveur de la pratique de rendre public le code source (Smith, 2006) :
- la visibilité du code source motive les développeurs à écrire un code propre;
- on peut bénéficier d'une analyse gratuite en permettant au monde entier de le lire;
- les ressources disponibles sont plus étendues et sont susceptibles de servir à un éventuel développement;
- l'ouverture du processus de dépouillement permet à chacun de l'inspecter.
La disponibilité publique du code est l'une des mesures employées en Norvège pour améliorer la transparence. Le code source de son système électoral a été affiché sur le site Web du gouvernement, malgré les protections du brevet et du droit d'auteur préservant les droits de propriété intellectuelle des développeurs du logiciel. Une autre mesure au chapitre de la transparence a été l'enregistrement vidéo en direct d'une cérémonie ouverte au public pendant laquelle les administrateurs électoraux ont fait la démonstration de diverses étapes de décodage et de comptage des résultats.
Bien que la publication du code source puisse sembler plus transparente, il se peut que les avantages de cette approche soient limités par rapport à la communication du code à des personnes sélectionnées en vue de procéder à son examen privé. Le citoyen moyen ne serait pas capable d'étudier correctement le code en détail et cette pratique ne garantit pas réellement que les personnes détectant des vulnérabilités passées inaperçues les signalent aux organismes électoraux au lieu de les exploiter.
En règle générale, le but poursuivi consiste à s'assurer que le vote électronique n'est pas excessivement moins transparent que le scrutin par bulletins de vote de papier, parce qu'en vertu du principe d'équivalence fonctionnelle, ses règles devraient être au moins aussi bonnes que celles en vigueur. En revanche, même pour un système de vote par bulletin de papier, le public se fie à des intermédiaires pour s'assurer que les résultats sont exacts, et l'accès au dépouillement est généralement limité aux travailleurs électoraux et aux représentants des candidats.
Bien que la Norvège ait autorisé la publication de son code source, la majorité des pays en restreignent l'accès. L'Estonie, par exemple, ne publie pas son code, mais le fait examiner par un universitaire avant de l'utiliser et nomme un vérificateur indépendant pour observer le respect des procédures prescrites par le personnel technique. Des tiers peuvent examiner le logiciel électoral après avoir signé une entente de confidentialité. S'ils constatent des problèmes, ces analystes doivent les signaler aux organismes électoraux avant d'être autorisés à exprimer leurs commentaires en public (Martens, 2012). Dans le même ordre d'idées, la loi suisse autorise les universitaires qui s'y intéressent à examiner le logiciel de vote électronique, tout en rendant obligatoire l'examen du code par un organisme de certification indépendant.
Bien que la majorité des pays comptent sur un accord de confidentialité pour protéger le code, l'État de Nouvelle-Galles du Sud a adopté une approche plus rigoureuse, en rendant la divulgation du code source passible d'une peine d'emprisonnement pouvant aller jusqu'à six mois.
On estime, de manière générale, que le libre accès de personnes qualifiées au code source permet de favoriser des améliorations techniques, tout en limitant certains des risques éventuels de la divulgation publique totale (Hall, 2006). Dans l'État australien de Victoria, la commission électorale qui travaille actuellement à la mise en œuvre du vote par Internet a recommandé à l'organe législatif de créer des rôles d'observateurs indépendants chargés d'examiner les systèmes de vote électronique (Buckland et Wen, 2012).
Comme le système électoral canadien offre déjà aux candidats ou aux représentants des partis un niveau élevé d'accès au dépouillement, il serait judicieux de créer un rôle similaire en chargeant des représentants des partis d'examiner le système de vote par Internet. Même si les organismes électoraux nomment un vérificateur indépendant pour examiner le code, ils renforceront la confiance en autorisant les entités politiques à désigner leur propre examinateur. On pourrait également autoriser les universitaires, les observateurs internationaux, les représentants d'ONG ou même des membres du grand public à accéder au code.
Le cadre juridique devrait conférer à l'organisme électoral le pouvoir de créer une série d'exigences formelles en matière d'accès au code et aux renseignements relatifs au système, ainsi que le pouvoir de définir des conditions pour en restreindre éventuellement l'accès. On pourrait exiger que les particuliers présentent une demande à l'avance afin de procéder à des vérifications des antécédents (p. ex. casier judiciaire) et on pourrait leur imposer de signer des ententes de confidentialité de portée limitée. De plus, comme cela est indiqué à la section 4.6.6 de la présente étude, on pourrait également envisager de créer une infraction électorale dans ce domaine afin d'empêcher l'accès non autorisé au code.
Communication au public et conformité
Qu'on publie le code source du vote électronique dans sa totalité ou non, on devrait tout faire pour communiquer le plus de renseignements possible. La disponibilité du code source n'améliore pas la compréhension, bien qu'elle puisse accroître la confiance du public à l'égard des systèmes (Hall, 2006). Les exigences précises dans ce domaine pourraient être stipulées dans des dispositions législatives ou on pourrait laisser aux organismes électoraux le soin de déterminer l'information adéquate à rendre publique.
En Suisse, le paragraphe 27d(3) de l'ordonnance fédérale sur les droits politiques stipule que les cantons doivent élaborer un plan d'information de l'électorat sur l'organisation, la technologie et les procédures de vote électronique avant de l'utiliser.
On devrait rendre publique une documentation approfondie, parce qu'autrement, le public risque de ne pas apprécier le système à sa juste valeur (Volkamer et al., 2011). En revanche, on devrait également publier une documentation simple, que le grand public comprend. Cette dernière devrait contenir les mesures techniques prises pour garantir le secret et l'intégrité du système. Cette double documentation permettrait à des experts techniques indépendants d'examiner le système et de confirmer au public que les documents simplifiés sont corrects. La perception de crédibilité est aussi importante pour le processus électoral que son intégrité réelle (Volkamer et al., 2011).
Il pourrait être utile que les gouvernements démontrent aussi la conformité du système ou, au moins, l'évaluent en fonction de méthodes internationales. Le Conseil de l'Europe, par exemple, dans ses recommandations, détaille des mesures techniques auxquelles la Norvège fait expressément référence dans ses règlements. On peut également opter pour l'obligation légale de conformité du système à un organisme reconnu en matière de sécurité ou d'intégrité des données. L'article 68 de la Loi concernant le cadre juridique des technologies de l'information du Québec est un exemple de disposition législative rendant obligatoire l'approbation par un organisme international, en citant la Commission électrotechnique internationale (CEI), l'Organisation internationale de normalisation (ISO) ou l'Union internationale des télécommunications (UIT) et le Conseil canadien des normes (ou un organisme accrédité par ce dernier) au titre d'organismes faisant autorité. Dans le même ordre d'idées, le Conseil de l'Europe, dans ses recommandations, cite l'European co-operation for Accreditation (EA), l'International Laboratory Accreditation Cooperation (ILAC) et l'International Accreditation Forum (IAF).
Le cadre juridique devrait accorder à l'organisme électoral une grande latitude pour élaborer un plan de communication à l'intention du public au sujet des mesures prises pour assurer l'intégrité du système, ainsi que des tiers ayant vérifié le logiciel. Il serait cependant utile qu'il reconnaisse officiellement l'importance de communications raisonnablement détaillées et rapides au public et d'exposer toute question (protection des systèmes contre les altérations, propriété intellectuelle des fournisseurs de technologie ou protection des renseignements personnels) susceptible d'imposer des contraintes de temps à ces communications et d'en limiter l'étendue.
Rapports et interventions en cas d'incident
Comme le vote électronique peut être vulnérable aux risques externes ainsi qu'aux problèmes techniques, il se peut qu'on découvre ces derniers à tout moment avant, pendant et après une élection. Le cadre juridique devrait définir la façon de rendre compte des problèmes et possiblement obliger les personnes qui examinent ou qui conçoivent le système à rapporter toute perturbation ou erreur aux intervenants dans les plus brefs délais.
Afin de favoriser la confiance du public, certains critiques du vote électronique affirment qu'on devrait obligatoirement signaler les défauts ou les erreurs dès qu'on en prend connaissance (Jones et Simons, 2012). En vertu de ce principe, on devrait instaurer pour les fonctionnaires électoraux, les représentants des candidats et les tiers l'obligation positive de divulguer les vulnérabilités qu'ils découvrent au stade de la mise à l'essai. Par exemple, en réponse à l'inquiétude suscitée par le manque de franchise éventuel des fabricants de machines à voter en matière d'erreurs de système, la Californie a adopté une loi prévoyant une amende de 1 000 dollars américains par jour pour tout fabricant découvrant une erreur, un défaut ou une anomalie dans son système et qui omet de le signaler dans les trente jours (California Elections Code, article 19214.5).
De plus, on devrait mettre en œuvre un processus formalisé afin que les rapports sur les incidents électoraux soient rapidement communiqués à tous les intervenants. Bien que le Plan de gestion des incidents de la technologie de l'information du gouvernement du Canada contienne quelques exigences en matière de rapport sur les incidents de sécurité des TI à l'Unité d'intervention en cas de cyberincidents, créée recemment par le gouvernement du Canada, il n'est pas obligatoire d'en faire rapport au public (Gouvernement du Canada, 2012).
Une fois les vulnérabilités signalées, un plan devrait être en place pour intervenir en cas de problèmes et les rectifier. Certains des incidents éventuels peuvent exiger des programmes de correction tardifs pour les systèmes, y compris après leur mise à l'essai indépendante et leur approbation. Ces mesures peuvent exiger des corrections rapides si ces problèmes deviennent évidents pendant le scrutin lui-même. En revanche, tout changement ou toute correction est susceptible de soulever des questions sur l'intégrité du système et sur le risque de manipulation du système électoral. Un processus clair devrait être en place pour gérer les modifications de logiciel. À tout le moins, tout changement devrait requérir la présence d'au moins deux personnes pour y procéder, devrait être consigné clairement dans le journal et communiqué aux représentants des candidats. Un rapport au public devrait lui être consacré après l'élection.
Le tableau 4 est la liste non exhaustive des problèmes signalés dans les publications spécialisées.
| Incident éventuel | Intervention requise |
|---|---|
| Problèmes du logiciel client installé dans les ordinateurs personnels | Nouvelle version mise à jour du logiciel. |
| Invasion d'un maliciel capable de modifier les votes | Nouvelle version mise à jour du logiciel de vote et alerte des électeurs afin qu'ils activent leur logiciel de protection contre les virus avant de voter. Autoriser éventuellement les électeurs à voter à nouveau pour apaiser les craintes. |
| Vulnérabilité du système ou risque d'intrusions | Une mise à jour du serveur central peut être nécessaire, ce qui est susceptible de mettre gravement en péril le processus électoral. L'évaluation de l'intégrité des votes existants devrait être requise. |
| Attaque sous la forme d'un déni de service (tentative de saturation du serveur par un trafic illégitime) | Une intervention risque d'être nécessaire au niveau du serveur. On devra peut-être prolonger la période de scrutin. Dans certains cas, on devra peut-être rediriger ou bloquer le trafic en provenance de l'étranger (électeurs internationaux). |
| Validation de bulletins de vote erronés | Il sera impératif de déterminer s'il s'agit d'une erreur du système ou d'une tentative d'annuler les votes. |
Nous reconnaissons que les fournisseurs ont souvent directement intérêt à ne pas signaler les problèmes de logiciel. Dans le cas des logiciels de vote, la conséquence de ce comportement pourrait être désastreuse. On devrait créer une disposition législative rendant obligatoire le signalement immédiat de toute erreur connue aux autorités compétentes. De plus, l'organisme électoral devrait créer des règlements et des politiques décrivant ses interventions en cas de problèmes, ainsi que des procédures décrivant clairement les modalités de mise à jour des logiciels.
Résumé des recommandations
Un système de vote électronique transparent et bien compris des électeurs inspirera confiance à ces derniers. Le cadre juridique devrait garantir l'accès du public aux renseignements sur l'intégrité et la sécurité du système et on devrait mettre en place des méthodes afin d'autoriser les intervenants clés à vérifier de manière indépendante la sécurité et l'intégrité du système.
Bien que la mise en œuvre du vote électronique dans certains pays ait requis la publication en ligne de tout le code source du vote électronique ou l'utilisation exclusive d'un code source ouvert, nous reconnaissons que des raisons valables puissent justifier d'autoriser les fournisseurs à protéger des secrets commerciaux et de laisser à l'organisme électoral la latitude de choisir la technologie la plus sécuritaire et la plus fiable. Les dispositions législatives en vigueur autorisent les représentants des candidats à surveiller toutes les étapes essentielles du scrutin. On devrait prendre des mesures similaires pour le vote électronique afin d'en assurer la transparence. Voici nos recommandations.
- Des représentants nommés par les partis ou par les candidats devraient pouvoir examiner tout le code source et inspecter la technologie physique.
- On devrait créer un processus formel pour accorder aux universitaires et aux observateurs internationaux un accès similaire afin d'assurer l'intégrité du système de vote électronique.
- Les décisions relatives à l'utilisation d'un code source rendu public ou d'une technologie de code source ouvert ne devraient pas être régies par la loi, mais devraient relever des fonctionnaires électoraux.
- Les fonctionnaires électoraux devraient être tenus de communiquer au public des rapports sur la sécurité et l'intégrité du système de vote électronique, ainsi que sur l'identité des examinateurs externes chargés d'approuver le système.
- Des dispositions législatives ou des règlements devraient exiger des observateurs ou des développeurs le signalement immédiat des erreurs aux organismes électoraux.
- Des procédures devraient être en place pour prescrire aux fonctionnaires électoraux d'informer les intervenants clés, dont les partis politiques, en cas d'incidents de sécurité.
Répartition des rôles et des responsabilités dans l'administration du vote électronique
On estime qu'un système de vote inspire confiance s'il attire les électeurs et les convainc de l'intégrité des résultats publiés et du caractère secret du scrutin (Volkamer et al., 2011). Dans le cadre d'une élection traditionnelle, les Canadiens sont habitués à l'organisme électoral indépendant qui l'administre, à un ensemble exhaustif de procédures électorales écrites, à la possibilité pour les partis de se faire représenter à des moments importants, tels que l'inscription des électeurs et le dépouillement, et aux circonstances imposant un dépouillement judiciaire. Les électeurs ne sont peut-être pas présents quand on compte leurs votes, mais leur confiance envers le système est fondée sur la participation de personnes auxquelles ils peuvent faire confiance et qui exercent leur activité localement.
Le vote par Internet, bien qu'il exerce une fonction comparable à celle du vote par bulletin spécial, exige une expertise plus spécialisée (en technologie de l'information) que les procédures traditionnelles (ministère du Gouvernement local et du Développement régional de la Norvège, 2006). Une répartition des rôles à plus grande échelle est également nécessaire, parce que ce système est beaucoup plus centralisé et que le risque de compromettre les résultats d'une élection ou les renseignements personnels des électeurs, si l'on ne suit pas les processus à la lettre, est plus élevé.
Certification et approbation
La question de la certification est beaucoup plus prédominante dans les cadres juridiques pour le vote électronique en milieu contrôlé qu'en milieu non contrôlé. Pour les machines à voter, on mandate souvent un organisme de certification pour mettre à l'essai le matériel et vérifier ses fonctions de sécurité, ce qui permet aux gouvernements locaux, comme ceux des États-Unis, de se fier à l'expertise d'organismes externes pour témoigner de la fiabilité de l'équipement. La certification est également utile quand l'administration électorale est décentralisée et qu'on peut adopter diverses solutions de vote électronique. En Angleterre, on a notamment recommandé, à l'issue des expériences de vote électronique réalisées lors d'une élection municipale, d'utiliser un organisme de certification centralisé qui pourrait mettre à l'essai et approuver les systèmes avant leur utilisation (Commission électorale, 2007a). Comme l'intérêt pour le vote par Internet est en hausse à l'échelle nationale, la création d'un organisme de certification spécialisé peut présenter de l'intérêt pour assister les ordres de gouvernement inférieurs et d'autres organisations dans la certification de leur technologie électorale.
La certification par des tiers peut servir de mesure de protection pour les autorités ne disposant pas des ressources ni de l'expertise nécessaires pour réaliser une vérification exhaustive ou l'examen interne d'un système de vote. Elle peut aussi permettre aux ordres de gouvernement supérieurs d'agir avec toute la diligence raisonnable s'ils souhaitent permettre à des entités telles que les administrations municipales d'utiliser ce système, tout en exigeant qu'elles choisissent le matériel d'un fournisseur approuvé. Le gouvernement fédéral des États-Unis compte beaucoup sur la certification et la lie à l'octroi de financement fédéral aux administrateurs électoraux locaux qui le sollicitent pour acheter du matériel électoral. La loi Help America Vote Act of 2002, au paragraphe 231(b), exige que le directeur du National Institute of Standards and Technology évalue des laboratoires indépendants non fédéraux et recommande leur accréditation par la US Election Assistance Commission (EAC) afin que ces laboratoires certifient les machines à voter. Le manuel produit par l'EAC décrit en détail les exigences procédurales à respecter pour que ces laboratoires soient accrédités. L'EAC peut approuver l'accréditation de tout laboratoire qui se conforme aux exigences pertinentes. Chaque État peut faire certifier ses machines à voter électroniques par les laboratoires accrédités par l'EAC.
Pour le Canada, l'exigence de la certification par un tiers pourrait rehausser la confiance envers l'état de préparation d'un système, mais on pourrait également y parvenir en faisant appel à des vérificateurs professionnels ou à un autre organisme spécialisé dans les examens indépendants. Par exemple, en Estonie, le Comité électoral national, qui est indépendant et qui se compose de deux juges, surveille les élections, un vérificateur (KPMG Baltic) supervise la conformité et on embauche un programmeur indépendant pour examiner le code source. En Nouvelle-Galles du Sud, la Commission électorale peut approuver un système de vote électronique si ce dernier respecte un ensemble de critères et le résultat de la vérification doit parvenir au commissaire électoral sept jours avant la tenue d'un scrutin (Parliamentary Electorates and Elections Act 1912, paragraphe 120AD(2)).
La certification finale par un tiers risque de ne pas être assez souple pour un système susceptible d'exiger rapidement des modifications mineures face aux pirates informatiques, mais le principe d'assujettir un système à une série d'essais prédéfinis et à une évaluation exhaustive avant chaque élection s'applique quand même. La création ou la nomination d'une entité indépendante pouvant procéder à des essais et anticiper les nouveaux risques est importante.
Nous recommandons de charger un organisme gouvernemental, un comité ou un organisme externe quelconque, sans relation avec le personnel de TI responsable de la conception du système, de certifier ou d'approuver les composantes clés du système avant son utilisation. La loi pourrait utiliser une formulation générale, par exemple en exigeant que l'organisme électoral nomme un examinateur indépendant et qualifié avant d'utiliser un système dans une élection générale.
Détention des clés cryptographiques
Une des méthodes les plus systématiques pour assurer le secret du vote consiste à utiliser la technologie cryptographique. Quand un électeur vote à domicile à l'aide de son ordinateur personnel, une formule mathématique complexe est utilisée pour chiffrer cette information afin de pouvoir la transférer en toute sécurité. Afin de lire ce vote, une personne doit posséder une clé cryptographique et des instructions lui permettant de désembrouiller cette information. Les votes sont également mis en mémoire sous cette forme dans le serveur centralisé afin que toute personne observant ce dernier soit dans l'impossibilité de décoder ce vote pour lui faire reprendre la forme précédant son chiffrement.
La majorité des systèmes emploient une technologie analogue à celle du scrutin postal, à savoir en chiffrant le vote, en liant ce vote chiffré à l'identité d'un électeur, puis en le chiffrant dans une « enveloppe scellée » extérieure afin d'assurer sa transmission sécuritaire et d'empêcher sa manipulation pendant sa transmission. Les renseignements personnels de l'électeur sont effacés avant d'utiliser les codes de déchiffrement qu'on appelle des « clés privées ».
Ce qui est préoccupant, c'est que quiconque détient la clé cryptographique est théoriquement en mesure de découvrir les choix électoraux d'un grand nombre d'électeurs, à condition de pouvoir accéder à la mémoire dans laquelle les votes sont stockés. On peut résoudre cette question en s'assurant que la clé privée est conservée dans un emplacement sécurisé et en exigeant l'autorisation de plus d'une personne pour y accéder.
En Estonie, chaque clé privée est mise en mémoire dans un module de sécurité matériel inviolable et protégée par un processus d'authentification multipartite. Pour accéder aux clés privées, le quorum du Comité électoral national est requis afin de pouvoir fournir un mot de passe (Heiberg et al., 2011).
En Norvège, les règlements exigent la détention des clés par des personnes n'ayant pas les mêmes intérêts. Pour se conformer à cette exigence, on met sur pied une commission électorale, composée de dix représentants de divers partis politiques, chacun d'eux recevant une portion de chaque clé (OSCE, 2012b).
La Suisse, en revanche, a produit une clé conservée par le service de police, mais qui exige deux mots de passe, conservés par un notaire et deux groupes de fonctionnaires électoraux, pour être déverrouillée. Les règlements de la Nouvelle-Galles du Sud autorisent le commissaire à nommer une commission de cinq personnes pour contrôler les clés et on doit utiliser trois clés pour ouvrir une urne (Brightwell, 2011).
Nous recommandons que le cadre juridique exige la division de toute clé cryptographique entre un nombre suffisant de personnes recommandées par différentes entités politiques et de prendre des mesures de sécurité adéquates.
Division des activités techniques
Tout comme pour la division des clés cryptographiques, il importe de prévoir suffisamment de freins et de contrepoids tout au long du système de vote électronique pour s'assurer que le pouvoir et la capacité d'effectuer des modifications sont répartis entre de nombreuses personnes. Comme le vote électronique est intrinsèquement centralisé, le cadre juridique devrait exiger la décentralisation des procédures et des mesures de protection pour empêcher tout abus.
De plus, le cadre juridique ne devrait pas permettre l'accès unilatéral à toute composante critique du système de vote électronique. Il devrait en outre stipuler que le système doit empêcher de savoir comment les électeurs ont voté et de produire un rapport partiel avant la clôture des bureaux de scrutin (Volkamer et al., 2011).
La division des activités techniques devrait être gérée en prenant des mesures techniques ainsi que des mesures physiques. Dans ses projets pilotes, la Norvège exploite son serveur de déchiffrement à un emplacement différent de ceux des serveurs qui enregistrent les votes sous la responsabilité de divers services gouvernementaux. L'Estonie exécute chaque processus sur un serveur différent et diverses personnes détiennent le pouvoir d'exécuter un processus, afin de séparer les tâches ainsi que les éléments fondamentaux (Volkamer et al., 2011).
Les dispositions législatives, les règlements ou les énoncés de politique du directeur général des élections devraient garantir le secret du vote en divisant les fonctions techniques, de façon à ce que nulle personne ne puisse accéder de manière unilatérale aux processus et aux données pour les manipuler.
Résumé des recommandations
Pour que la mise en œuvre du vote électronique réussisse, on doit définir avec précision les rôles et les responsabilités pour s'assurer que le système est sécuritaire et pour convaincre le public que toute négligence ou tout méfait commis au niveau de l'organisme électoral ne peut pas nuire à l'exactitude des votes ou à l'anonymat des électeurs. Le cadre juridique devrait empêcher la dépendance excessive du vote électronique à l'égard d'une seule personne ou d'un groupe de personnes entretenant des relations étroites. Voici nos recommandations.
- Un groupe indépendant, à l'expertise technique reconnue, interne à Élections Canada ou externe, devrait être chargé de certifier et d'approuver la sécurité et la fiabilité d'un système ainsi que son état de préparation au déploiement pour une élection générale.
- On devrait attribuer des rôles en vue de déterminer si la sécurité, l'intégrité ou le secret d'un système de vote électronique a été violé.
- On devrait diviser les clés cryptographiques entre un nombre suffisant de personnes, représentant idéalement différents partis politiques, pour protéger les renseignements personnels des électeurs et pour s'assurer que les votes ne sont pas déchiffrés prématurément.
- La division générale des rôles et des tâches techniques devrait être en place au sein de l'organisme électoral en réponse aux inquiétudes suscitées par le risque de centralisation et de collusion et pour s'assurer qu'au moins deux personnes sans relation entre elles approuvent tout changement.
Planification des mesures d'urgence pour les scénarios de la pire éventualité
Bien que tous les efforts raisonnables doivent être déployés pour concevoir des systèmes qui ne tomberont pas en panne, le cadre juridique doit tenir compte de la présence constante d'un élément de risque. Il pourrait s'agir d'une erreur de conception et d'exploitation; de sources de dérangement externes, telles que les pannes d'électricité qui affectent le matériel informatique; des catastrophes naturelles ou des tentatives de pirater les systèmes ou de perturber le scrutin.
Cela pourrait entacher gravement le fonctionnement de la démocratie canadienne, si des pannes ou des altérations empêchaient concrètement des citoyens de voter, ce qui pourrait modifier les résultats ou miner la confiance du public envers le processus.
Le cadre juridique devrait prévoir des procédures et des règlements applicables en cas de pannes du système afin de permettre au vote électronique de se dérouler de manière efficace, rapide et fiable. Le cadre devrait également être assez souple pour s'adapter aux futurs défis.
Dispositions législatives correctives pour les situations d'urgence
En vertu de la Loi électorale du Canada, le directeur général des élections détient un pouvoir discrétionnaire étendu afin d'assurer la conduite sans heurts des élections en cas d'imprévu. Le paragraphe 17(1) est particulièrement important, puisqu'il confère au directeur général des élections le pouvoir d'adapter toute disposition de la Loi en cas de « situation d'urgence, d'une circonstance exceptionnelle ou imprévue ou d'une erreur ». Si des problèmes surviennent pendant le scrutin, mais ne deviennent évidents qu'après sa clôture, l'article 524 autorise un tribunal à annuler une élection pour les motifs suivants : « irrégularité, fraude, manœuvre frauduleuse ou acte illégal ayant influé sur le résultat de l'élection ».
La confiance envers le cadre juridique sera renforcée si le débat démocratique peut valider les procédures choisies pour faire face à un risque et si les Canadiens peuvent connaître à l'avance les mesures qui seront prises pour assurer l'intégrité de l'élection. La loi devrait idéalement indiquer dans les grandes lignes comment l'organisme électoral devrait intervenir dans certaines situations, surtout si elles sont susceptibles de retarder ou même d'annuler le vote électronique.
Une question particulière, propre au vote électronique, est celle de l'éventualité d'attaques sous la forme de déni de service. Ces dernières sont, de manière générale, provoquées par la saturation délibérée d'un serveur Web en lui adressant un trop grand nombre de demandes simultanées, en utilisant souvent un virus informatique qui contrôle à distance des milliers d'ordinateurs et qui crée un volume de trafic élevé. Ce type d'attaque peut ralentir un site Web ou le rendre virtuellement inaccessible. C'est ce type d'attaque sous la forme d'un déni de service qui aurait produit des retards dans les votes pendant la course à la direction du NPD en 2012, une situation vraisemblablement aggravée par la brève durée de ce scrutin.
La tenue du scrutin en ligne longtemps avant le jour de l'élection est une méthode d'atténuation de ce risque. On peut la compléter en autorisant l'organisme électoral à prolonger temporairement la période de scrutin par Internet. Le paragraphe 17(3) de la Loi électorale du Canada stipule actuellement les conditions dans lesquelles il est possible de reporter la fermeture d'un bureau de scrutin; une disposition similaire devrait exister pour le vote électronique. Pour être efficace, tout prolongement du vote électronique à la suite d'une perturbation majeure devrait sans doute durer au moins un jour civil pour informer l'électorat et lui laisser amplement le temps de tenter à nouveau de voter.
En Estonie, un plan est en place pour repousser d'éventuelles attaques du système lancées par des entités étrangères, par exemple sous la forme d'un déni de service. Dans un cas de ce type, l'organisme électoral bloquerait l'accès au système pour toute personne se situant en dehors de l'Estonie, à l'exception des scrutins conduits dans les ambassades.
Il ne s'agit parfois pas seulement de menaces réelles, mais de menaces perçues ou éventuelles qui peuvent troubler les électeurs, comme la possibilité que leur vote n'ait pas été effectif ou compté. La Norvège comme l'Estonie autorisent l'électeur à voter électroniquement plusieurs fois, le dernier vote étant le seul à compter pour les résultats. Des dispositions autorisent également l'électeur à voter en utilisant un bulletin de vote de papier, ce qui annule tous les votes électroniques de cet électeur. Sans modification législative, il est permis de penser que les organismes électoraux canadiens seraient dans l'incapacité de mettre ce changement en œuvre, puisque l'article 7 de la Loi électorale du Canada empêche une personne de demander un deuxième bulletin de vote après avoir voté.
En cas d'intrusion dans le système, le Comité électoral national de l'Estonie a le pouvoir d'annuler le vote électronique et d'autoriser les électeurs à voter à nouveau le jour de l'élection (Dialogue transatlantique Canada-Europe, 2010). La définition de ce pouvoir de nature générale a été précisée par la Loi estonienne 186, qui confère expressément au Comité électoral le pouvoir de suspendre le vote électronique ou d'y mettre fin et d'annuler tous les votes ou certains votes. En cas d'annulation d'un scrutin électronique, la Loi exige que le Comité électoral informe immédiatement tous les électeurs ayant voté en ligne et prenne des dispositions pour leur permettre de voter encore une fois.
En Norvège, l'Inspection de la protection des données, un organisme d'État indépendant, met en œuvre la Loi sur les données personnelles et a le pouvoir de mettre fin à l'élection si les renseignements personnels ne sont pas gérés convenablement. Dans le même ordre d'idées, l'article R176-3-3 du Code électoral de la France autorise le bureau du vote électronique à mettre fin définitivement ou temporairement au vote électronique si son intégrité, son secret ou son accessibilité ne sont plus garantis.
Enfin, en cas de grave vulnérabilité, on devrait prendre la décision de mettre fin éventuellement au vote en ligne et de déterminer s'il est possible de conserver l'intégrité des suffrages déjà exprimés.
L'organisme électoral devrait créer des protocoles pour définir les cas dans lesquels mettre fin au vote électronique, les conditions dans lesquelles prolonger le scrutin et les plans en place pour assurer l'intégrité du scrutin en cas de panne. On devrait idéalement modifier la loi pour conférer expressément à l'organisme électoral le pouvoir d'annuler des votes ou de mettre fin au scrutin, ainsi que de pouvoir offrir aux électeurs ayant voté en ligne la possibilité réelle de voter en utilisant un bulletin de vote de papier, en cas de doute relatif au système de vote.
Statut juridique des votes invalides
Dans l'élection norvégienne de 2011, sept votes électroniques ont donné des résultats erronés pour des raisons inconnues. Il est parfois difficile de déterminer s'il s'agit d'une erreur de transmission ou de chiffrement ou si une personne experte en technologie a délibérément tenté de valider un vote électronique annulé. L'Organisation pour la sécurité et la coopération en Europe recommande, par conséquent, de définir un critère clair, dans le cadre électoral, pour déterminer le statut des votes altérés, et de mettre à jour des procédures pour les détecter dans les meilleurs délais (OSCE, 2012b). En Estonie, il y a eu un cas de vote invalide, mais les autorités estoniennes n'ont pas lancé une enquête exhaustive pour déterminer s'il s'agissait d'un acte accidentel ou intentionnel, de crainte de créer un précédent négatif en matière de violation du secret des votes (Heiberg et al., 2011). L'incertitude juridique concernant les votes altérés a cependant dicté des modifications législatives, puisque la nouvelle loi estonienne, la Loi 186, traite tous les votes irréguliers comme invalides.
Au Canada, la loi elle-même devra peut-être définir si des votes erronés de ce type doivent être présumés annulés ou irréguliers. Cette question n'est pas triviale, puisque, en vertu de l'article 524 de la Loi électorale du Canada, les irrégularités peuvent conduire à l'invalidation d'une élection, alors que les bulletins de vote annulés seraient normalement exclus du dépouillement final. Il incomberait aux personnes contestant les résultats d'une élection de démontrer l'existence d'une irrégularité, mais cela pourrait exiger le témoignage d'experts en technologie, ce qui est susceptible d'exacerber la contradiction qui existe déjà entre « la possibilité de contester une élection pour cause d'irrégularités [et] la nécessité d'obtenir rapidement des résultats définitifs » (Opitz c. Wrzesnewskyj, paragraphe 47).
En vertu de la Loi électorale du Canada en vigueur, un juge conduisant un dépouillement judiciaire doit rejeter les bulletins de vote portant des marques contrevenant à la Loi, mais il se peut que le statut juridique des votes transmis numériquement manque de clarté, puisque la Loi n'aborde pas les marques numériques. La Loi électorale du Canada devrait être modifiée pour indiquer plus clairement si un vote électronique irrégulier est invalide ou si on doit le considérer comme une irrégularité.
Dépouillements judiciaires
Le Conseil de l'Europe recommande de permettre les dépouillements judiciaires. À l'heure actuelle, l'article 300 de la Loi électorale du Canada rend un dépouillement judiciaire obligatoire pour les élections où la marge de victoire est inférieure à 0,1 pour cent des suffrages exprimés.
Au moins une collectivité canadienne a prévu des procédures de dépouillement judiciaire à la suite d'un vote électronique. Le règlement de Halifax prescrit que, pour justifier un dépouillement judiciaire, le fichier original contenant les votes encodés doit être vérifié par un expert indépendant, puis un juge doit les décoder et vérifier que les résultats concordent (Dialogue transatlantique Canada-Europe, 2010).
Lorsqu'on utilise le vote électronique, il semble généralement judicieux de prévoir la présence d'un expert indépendant chaque fois qu'on procède à un dépouillement judiciaire, pour qu'il puisse aider le juge dans la vérification des questions techniques, en plus, peut-être, des représentants des candidats qui pourraient également examiner les données. La Loi électorale du Canada autorise un juge à se faire assister par du personnel de soutien pour procéder à un dépouillement judiciaire. Un expert technique indépendant peut convaincre que le compte des votes est exact et que les données n'ont pas été manipulées.
Pour les machines à voter en milieu contrôlé, on recommande souvent d'imprimer les registres de vérification afin de s'assurer de pouvoir conduire un dépouillement judiciaire. Pour le vote en ligne, les accusés de réception sont moins pratiques, car les données devront être décodées avant de pouvoir imprimer les accusés de réception. En revanche, il se peut que des sauvegardes des données du scrutin sur un support inaltérable comme un dérouleur de bande suffisent. De plus, il sera peut-être possible de calculer et d'enregistrer des algorithmes cryptographiques accompagnés de données sur le vote qui peuvent servir à confirmer l'intégrité des résultats gardés en mémoire. Ces constructions mathématiques permettraient de déterminer avec certitude si des données électroniques ont été accidentellement ou délibérément modifiées.
D'un point de vue pratique, il se peut que le Parlement souhaite modifier la Loi électorale du Canada pour exclure les votes électroniques des dispositions relatives au déclenchement automatique d'un dépouillement judiciaire en cas de résultats serrés à une élection. Un dépouillement judiciaire automatique se justifie par la nécessité de s'assurer que les erreurs de dépouillement ou les urnes égarées ne se répercutent pas sur des résultats serrés. Ces préoccupations relatives aux erreurs de comptage ne s'appliquent pas au vote électronique. L'obligation de procéder systématiquement à un dépouillement judiciaire pour vérifier les votes électroniques, sans preuve formelle d'irrégularités ou de fraude, risque d'être inefficiente et inutile. La nécessité de vérifier indépendamment les résultats d'un vote électronique devrait idéalement relever du pouvoir discrétionnaire d'un juge. Dans le même ordre d'idées, quiconque doutant de la validité d'un vote électronique pourrait contester ses résultats, en vertu de l'article 524, en cas de soupçon de fraude ou d'irrégularités.
Le cadre juridique de la gestion des dépouillements judiciaires devrait combiner des modifications législatives et des règlements créés par l'organisme électoral. Les dispositions législatives devraient définir les conditions dans lesquelles on devrait procéder au dépouillement judiciaire des votes électroniques et prescrire à l'organisme électoral de créer des règlements détaillés, décrivant les modalités d'un dépouillement judiciaire. L'organisme électoral devra peut-être avoir une certaine latitude pour déterminer les procédures de dépouillement judiciaire, puisque leur forme définitive dépendra de la technologie du vote électronique.
Planification d'un haut niveau de disponibilité
Le cadre juridique devrait exiger que les organismes électoraux élaborent un plan exhaustif pour s'assurer qu'une infrastructure du vote électronique puisse résister à des catastrophes naturelles, ainsi qu'à des attaques. Les systèmes de vote électronique doivent être disponibles à tout moment pendant une élection et capables de résister aux attaques lancées contre le logiciel, ainsi qu'à celles lancées contre le matériel informatique. La sécurité d'un système de scrutin doit être évaluée en fonction de sa capacité d'isoler les pannes et d'y réagir (Alvarez et Hall, 2008).
Cette question n'est pas triviale. L'attaque terroriste commise par Breivik, en 2011, en Norvège, a partiellement détruit l'édifice hébergeant une partie du système de vote électronique de la Norvège. Le système devrait être conçu sans aucun risque de défaillance en un point unique : [TRADUCTION] « Si la défaillance d'une partie d'un système de gestion de l'information peut provoquer des pannes dans d'autres parties interconnectées du système, ce dernier est susceptible de provoquer des pannes en série » (Hole et Neglen, 2010 : 22).
Dans le système de vote par bulletin de papier du Canada, une défaillance à grande échelle est improbable, puisqu'on conserve et dépouille les bulletins de vote dans 308 circonscriptions, à divers bureaux de scrutin. Bien qu'il soit possible d'offrir le vote électronique dans chaque circonscription, l'expertise technique nécessaire pour surveiller le système pourrait rendre cette pratique impossible. Une certaine modularité serait possible, par exemple en divisant ou en dupliquant les serveurs dans diverses régions. La Norvège possède un système décentralisé dans lequel diverses composantes du système de vote sont stockées à divers emplacements physiques sous le contrôle de différents ministères. Le système de Genève copie les données du scrutin et sauvegarde cette information à divers emplacements. La décentralisation augmente le nombre de ressources requises pour administrer le système, mais rend moins efficaces les tentatives de perturbation ou de manipulation des systèmes électoraux.
Les fonctionnaires électoraux devraient être tenus de disposer de plans complets pour les scénarios de perturbation possibles. Le vérificateur de la Nouvelle-Galles du Sud mentionne ce point parmi les quelques défauts de la planification de l'État (PricewaterhouseCoopers, 2011). L'État australien de Victoria, qui travaille actuellement au déploiement du vote par Internet, a adapté un cadre de pratiques exemplaires qui comporte des évaluations des risques permanents et l'évaluation des risques qui évoluent. Le système doit être déployé en appliquant des pratiques d'ingénierie à l'épreuve des défaillances critiques, vérifiables et transparentes (Buckland et Wen, 2012).
À l'heure actuelle, la Direction du dirigeant principal de l'information du Secrétariat du Conseil du Trésor du Canada s'est dotée de plusieurs directives en matière de sécurité qui pourraient faciliter l'élaboration d'un plan de gestion du risque par les organismes électoraux. Un plan de ce type devrait être adapté aux caractéristiques propres au vote électronique, dont une très grande disponibilité, l'impossibilité totale de perdre ou de manipuler des données, et la nécessité de s'adapter aux risques constants et à d'autres sources de danger.
Les fonctionnaires électoraux devraient élaborer un plan de reprise des activités après sinistre; ce plan devrait être clair et mis à jour après chaque élection. Ils devraient s'assurer que le système est entièrement redondant et modulaire dans la mesure du possible. Les données importantes, comme les votes mis en mémoire, devraient obligatoirement être stockées en double. Tous les risques connus doivent être décrits.
Coopération technique
En plus d'un plan interne visant à maintenir l'excellente fiabilité d'un système de vote électronique, il importe que le cadre juridique fournisse à l'organisme électoral les outils requis pour collaborer avec d'autres ministères, ainsi qu'avec des tiers comme les fournisseurs de services Internet.
Un des facteurs clés de la réussite de l'Estonie est la très grande intégration de son processus électoral. L'accessibilité et l'authentification sont supérieures grâce à la carte d'identité nationale intégrée que les Estoniens utilisent pour des tâches courantes, notamment pour les services gouvernementaux et même pour les transports en commun (Martens, 2010). L'utilisation de la carte d'identité nationale familiarise les électeurs avec cette dernière et renforce leur confiance envers les mesures de sécurité quand ils l'utilisent pour voter.
Une deuxième cause de réussite en Estonie est le haut niveau de coopération dans la protection de l'infrastructure des télécommunications. À la suite d'une attaque subie par l'infrastructure gouvernementale, l'Estonie rassemble maintenant les entreprises de télécommunication, le personnel de TI et des spécialistes de tous les ministères pour intervenir face à toutes sortes de menaces. Le Comité électoral national, les bénévoles d'un organisme qui s'appelle l'Unité de cybersécurité de la Ligue de défense estonienne et d'autres surveillent activement le trafic Web pour détecter toute attaque ou tout maliciel éventuel (Heiberg et al., 2011). L'Estonie possède des plans pour interdire l'accès aux systèmes de vote à partir de l'étranger en cas d'attaque, en n'autorisant que le trafic provenant des ambassades et d'emplacements de confiance. Dans son rapport sur la Norvège, l'Organisation pour la sécurité et la coopération en Europe a recommandé aux autorités de collaborer avec les organismes pertinents pour surveiller et assurer la sécurité lors des futures élections (OSCE, 2012b).
La stratégie de cybersécurité du Canada semble reconnaître en théorie le besoin de rassembler les institutions gouvernementales et le secteur privé pour combattre les cybermenaces. Ce principe doit néanmoins être formalisé en vue des risques particuliers qui surgissent pendant une élection pour s'assurer de regrouper les ressources collectives et de les mettre en état d'alerte 24 heures sur 24 et 7 jours sur 7 pendant la période de scrutin en ligne.
Les organismes électoraux devraient travailler en étroite collaboration avec l'Équipe canadienne d'intervention d'urgence en informatique du gouvernement du Canada, avec les entreprises de sécurité informatique et avec les fournisseurs de services Internet afin d'offrir des mesures de contrôle des ordinateurs pour détecter les virus ou les maliciels éventuels, susceptibles de perturber le fonctionnement des ordinateurs utilisés pour le scrutin, d'être à l'affût des attaques systématiques et d'élaborer des plans pour combattre les menaces électorales possibles.
Résumé des recommandations
La Loi électorale du Canada mentionne quelques mesures correctives pour intervenir en cas de scénario de la pire éventualité, par exemple en autorisant le directeur général des élections à adapter les dispositions de la Loi en raison « d'une situation d'urgence, d'une circonstance exceptionnelle ou imprévue ou d'une erreur » (paragraphe 17(1)) et en permettant à un juge d'ordonner la tenue d'une nouvelle élection. La confiance envers le cadre électoral sera renforcée si des dispositions législatives contiennent des mesures correctives d'urgence pour les risques électroniques connus et si des plans de mesures d'urgence clairs sont mis en œuvre en cas de catastrophe pour détecter les problèmes et y réagir. Le cadre juridique devrait assurer la certitude législative et l'irrévocabilité des résultats. Voici nos recommandations.
- On devrait créer des procédures claires, de préférence dans la Loi électorale du Canada, pour annuler le vote électronique, en aviser les électeurs et les autoriser à voter à nouveau, si le secret, la sécurité ou l'intégrité ont été compromis de manière inacceptable.
- La Loi devrait énumérer les conditions dans lesquelles les fonctionnaires peuvent prolonger temporairement la période de scrutin en ligne, si une interruption du service dépasse une durée prédéterminée.
- Les exigences de la Loi et des règlements devraient être en place en matière de gestion des votes invalides et d'autres irrégularités.
- Les règlements devraient détailler la gestion des votes électroniques pendant un dépouillement judiciaire, bien que nous recommandions que la Loi confère aux juges un pouvoir discrétionnaire accru pour déterminer s'il est souhaitable de procéder à un dépouillement judiciaire des votes électroniques en cas de résultats électoraux serrés.
- Un plan clair de reprise après catastrophe s'appliquant à tous les risques connus de perturbation devrait être mis au point avant chaque élection.
- Le gouvernement devrait s'assurer qu'une équipe d'intervention technique, composée de fournisseurs de services Internet de premier plan, d'autres ministères et de fournisseurs de mesures de protection contre les virus et de mesures de sécurité, est mise sur pied afin de détecter et de faire face aux menaces éventuelles au cours d'une élection.
Infractions électorales
Le vote par Internet permet aux personnes qui souhaitent perturber une élection ou exercer une influence sur cette dernière d'employer pour cela de nouveaux moyens. Bien qu'un système devrait être intrinsèquement sécuritaire, des mesures de dissuasion, telles que des amendes ou des peines d'emprisonnement, peuvent décourager les fraudes et d'autres activités. Le cadre juridique devrait interdire les activités prévisibles. Seul le Parlement peut définir des infractions électorales, et des modifications législatives devront être apportées pour que les infractions électorales s'appliquent à Internet et aux risques électroniques.
Influence pendant le vote électronique
Le vote par Internet, tout comme le vote postal, est susceptible de se prêter à la coercition ou à l'achat de votes lorsque le scrutin se déroule en milieu non contrôlé. La loi électorale actuelle exige que quiconque aidant une autre personne à voter marque le bulletin de vote de l'électeur comme ce dernier en avait l'intention et s'abstienne de tenter de l'influencer dans le choix d'un candidat (Loi électorale du Canada, article 155). Ces dispositions sont suffisamment larges pour être applicables à ceux tentant d'influencer un électeur qui vote par Internet. Le Parlement pourra, par excès de prudence, décider d'ajouter à la Loi électorale du Canada une disposition particulière en vertu de laquelle l'influence exercée sur un électeur qui vote électroniquement constitue une infraction.
Il existe dans certains pays des dispositions pour s'assurer que la conception du logiciel de vote électronique n'influence pas les électeurs en favorisant un candidat par rapport à un autre. L'ordonnance fédérale de la Suisse sur les droits politiques interdit les messages trompeurs ou manipulateurs dans un site électoral (paragraphe 27e)). La Loi électorale du Canada contient actuellement des normes régissant la conception des bulletins de vote. Il est possible d'inclure la conception des bulletins de vote électronique dans le cadre juridique ou d'exiger qu'un logiciel de vote électronique énumère les noms dans un ordre aléatoire, bien qu'il vaudrait mieux en laisser le soin aux organismes électoraux qui prendront leur décision en fonction de la technologie électorale.
Aux termes de la Loi électorale du Canada, les électeurs qui montrent leur bulletin de vote pour prouver qu'ils ont voté commettent une infraction (alinéa 164(2)b)). Par souci de clarté, on pourrait modifier cet alinéa pour s'assurer qu'on commet également une infraction en montrant des reproductions (par exemple dans une vidéo) d'un électeur en train de voter. Les organismes électoraux pourront également souhaiter que le logiciel contienne des avertissements relatifs à ce type d'infractions pour les électeurs. En revanche, avec la montée des réseaux sociaux et des logiciels d'échange de photographies, il serait peut-être futile d'empêcher les électeurs d'indiquer pour quel candidat ils ont voté. Une meilleure solution consisterait peut-être à emboîter le pas à l'Estonie, qui autorise les électeurs à modifier leur vote en ligne ou en votant en personne, ce qui vide de toute signification les reproductions d'un vote, puisque ces dernières peuvent très bien ne pas correspondre au vote final.
Aux termes du paragraphe 2 de l'article 164 de la Loi électorale du Canada, ces infractions sont actuellement passibles d'une peine d'emprisonnement pouvant aller jusqu'à trois mois ou d'une amende d'au plus 1 000 dollars, ou les deux. Le règlement de Halifax est plus draconien, en rendant l'influence exercée sur un électeur pendant une élection municipale passible d'une amende de 10 000 dollars.
Nous recommandons que la Loi sanctionne plus sévèrement les tentatives d'influence sur une personne utilisant le vote électronique.
Secret des bulletins de vote électroniques
La loi actuelle exige que les fonctionnaires électoraux, les candidats et les représentants des candidats gardent le secret du vote (Loi électorale du Canada, article 164). De plus, il est interdit à quiconque aidant un électeur à voter de divulguer le vote de cette personne (article 155). En revanche, l'article 164 ne mentionne pas le personnel technique ou les fournisseurs qui sont susceptibles d'avoir accès aux données du scrutin.
La Nouvelle-Galles du Sud a introduit une disposition applicable au vote électronique qui interdit à toute personne apprenant le choix d'un électeur de le divulguer (Parliamentary Electorates and Elections Act 1912, paragraphe 120AG(1)). La loi exige que tout le personnel technique ou que toute personne travaillant pour le système signe un formulaire attestant qu'ils sont au courant de cette infraction.
Un autre sujet de préoccupation en matière de secret du vote est lié à certains milieux de travail et à certains ordinateurs dans lesquels il se peut qu'on installe un logiciel afin de permettre aux administrateurs de système d'observer l'activité informatique, y compris dans des buts légitimes, par exemple pour offrir un soutien technique. Des mesures raisonnables, comme des avertissements, devraient être prises pour protéger les renseignements personnels de l'électeur à cet égard.
Nous recommandons que le Parlement élargisse l'article 164 de la Loi électorale du Canada pour s'assurer que les personnes telles que les fournisseurs ou les employés d'entreprises contrôlant les ordinateurs dans les milieux de travail respectent le secret du vote et prennent des mesures raisonnables pour s'assurer de ne pas observer involontairement une personne en train de voter en utilisant un ordinateur contrôlé.
Piratage ou perturbation du système de vote électronique
Le vote électronique est plus vulnérable que le vote traditionnel à des attaques à grande échelle et systématiques. Les menaces les plus répandues sont celles d'intrusion dans le système, ainsi que celles qui prennent la forme de « déni de service » (déjà mentionnées), pour tenter de décourager les personnes de voter en saturant les serveurs de fausses demandes.
Les infractions traditionnelles aux termes de la Loi électorale du Canada sont notamment l'usage d'un faux bulletin de vote, le bourrage d'urne et la destruction des bulletins de vote (article 167). Une infraction à l'article 167 est passible, sur déclaration de culpabilité par mise en accusation, d'une amende de 5 000 dollars ou d'une peine d'emprisonnement de cinq ans, ou de ces deux peines.
Avant d'utiliser le vote par Internet, la Nouvelle-Galles du Sud a créé une infraction propre à ce mode de scrutin et passible d'une amende ou d'une peine d'emprisonnement pouvant aller jusqu'à trois ans, ou de ces deux peines :
[TRADUCTION]
Une personne ne doit pas, sans excuse raisonnable, détruire ou perturber tout programme informatique, fichier de données ou appareil électronique utilisé ou dont l'utilisation est prévue par le commissaire électoral pour la technologie d'assistance électorale ou en relation avec celle-ci. (Parliamentary Electorates and Elections Act 1912, article 120AI)
La perturbation ou la tentative de perturbation de tout logiciel ou de tout matériel utilisé pour le vote électronique devrait constituer une infraction passible de lourdes amendes et d'éventuelles peines d'emprisonnement. Les fonctionnaires électoraux devraient créer des règlements et des politiques pour faciliter la mise à l'essai légitime de la technologie électorale.
Mystification et fausse information
Un des sujets de préoccupation en matière de vote électronique est lié aux sites Web électoraux « mystificateurs » ou aux courriels provenant prétendument d'Élections Canada qui risquent d'être sources de confusion pour les électeurs et de les induire en erreur en leur faisant croire qu'ils ont déjà voté.
La loi électorale en vigueur au Canada interdit l'impression d'un bulletin de vote ou de ce qui est présenté comme un bulletin de vote dans l'intention de recevoir un vote qui ne devrait pas l'être ou d'empêcher de recevoir un vote qui devrait l'être. La fabrication d'urnes comportant des compartiments secrets est également interdite (Loi électorale du Canada, article 126).
La création d'un faux site électoral ne constitue pas une infraction à l'heure actuelle. Si des personnes pouvaient créer de faux sites électoraux ou diffuser sciemment des liens vers des sites de ce type dans l'intention de tromper les électeurs, la confiance envers le système électoral serait minée.
La création ou la diffusion délibérée de communications au public, notamment par l'entremise de sites Web susceptibles d'induire les électeurs en erreur, devrait constituer une infraction. Les fonctionnaires électoraux pourraient également mettre à l'étude une méthode confirmant aux électeurs que leur vote a été compté.
Validation de bulletins de vote annulés
Une personne souhaitant perturber une élection n'a pas besoin de modifier un vote; elle peut simplement donner l'impression qu'il existe un problème dans le système de vote. Par exemple, un des sujets de préoccupation est lié au risque d'altération délibérée d'un programme de vote par un électeur dans son ordinateur dans le but de valider un faux résultat électoral. Les personnes qui excellent en informatique peuvent, d'une façon similaire à l'annulation d'un bulletin de vote, altérer leur bulletin de vote afin de le rendre illisible par le logiciel de comptage des résultats. Il est à prévoir qu'un élément de logiciel pourrait être diffusé pendant une élection et risquerait de produire de nombreux bulletins de vote erronés. En vertu du paragraphe 167(2) de la Loi électorale du Canada, la détérioration, l'altération ou la destruction volontaire d'un bulletin de vote ou le dépôt d'un bulletin de vote dans une urne autrement qu'en conformité avec la Loi constitue une infraction.
Notre recherche ne nous a pas permis de découvrir à l'étranger une disposition législative en vertu de laquelle la soumission d'un vote altéré par Internet constitue une infraction. Un tribunal estonien a décidé qu'un électeur ayant volontairement altéré son bulletin de vote n'était pas en droit de contester les résultats de l'élection, mais que, en premier lieu, il n'existait aucune mesure de dissuasion pour l'empêcher de transmettre de faux bulletins de vote.
Que cette action doive constituer ou non une infraction est matière à débat. Certains peuvent soutenir que le droit d'annuler son bulletin de vote est une forme de liberté d'expression et que le droit à un bulletin de vote secret rend très difficile la tâche de prouver des infractions électorales sans violer le secret du vote. D'autres peuvent soutenir que tout acte destiné à miner la confiance des électeurs envers une élection constitue une limite raisonnable. Ce raisonnement pourrait s'appliquer à la diffusion d'un logiciel conçu pour permettre aux électeurs d'altérer leur vote.
Dans la mesure où la transmission d'un bulletin annulé demeure une infraction, on devrait adapter la Loi électorale du Canada pour appliquer cette interdiction à un vote électronique délibérément altéré même si elle est impossible à faire respecter.
Divulgation non autorisée du code source
Dans la section 0 de la présente étude, nous avons recommandé que les administrateurs électoraux mettent en œuvre un cadre donnant accès au code source du système de vote aux représentants des candidats, aux universitaires ou à d'autres observateurs. Si l'on décide de ne pas diffuser publiquement le code source, on pourra empêcher sa divulgation par des mesures soit contractuelles, soit légales. L'Estonie a recours à des ententes de non-divulgation afin de protéger son code source. En Nouvelle-Galles du Sud, en revanche, une disposition particulière interdit de rendre publics le code source ou les listes de logiciels, sauf dans le cadre d'une procédure autorisée. Cette dernière facilite la modification des conditions de divulgation ou la création de dispositions de politique publique régissant cette divulgation.
La diffusion publique du code source ou d'autres renseignements électoraux exclusifs en violation des procédures autorisées devrait constituer une infraction. Le directeur général des élections ou une entité autorisée devrait créer des règlements et des procédures d'application afin de régir l'accès et la divulgation.
Résumé des recommandations
La Loi électorale du Canada contient une liste d'infractions, définies en termes généraux, qui risquent de ne pas être suffisamment larges ou claires en matière de comportements liés plus particulièrement au vote électronique. Afin de garantir la certitude législative et de décourager les perturbations du système électoral, on devrait adopter des dispositions législatives en vue d'interdire les tentatives d'abuser du système de vote électronique. De plus, on devrait tenir compte du risque de fraude à grande échelle de la part des électeurs, dans de multiples circonscriptions, pour déterminer les condamnations ou les amendes adéquates. Voici nos recommandations.
- On devrait augmenter les amendes et les peines associées aux infractions électorales, dont l'influence du scrutin.
- Aux termes de la Loi électorale du Canada, la violation du secret du vote par le personnel de soutien technique, les fournisseurs et quiconque ayant accès au système devrait constituer une infraction.
- Les employeurs (et d'autres) qui utilisent une technologie de copie d'écran ou d'autres méthodes pour observer leurs ordinateurs devraient être tenus de prendre des mesures raisonnables pour assurer le secret du vote, notamment en avertissant les employés de cette pratique.
- On devrait créer de lourdes peines et des infractions particulières pour les tentatives de modification systématique des résultats du scrutin, notamment en perturbant les serveurs électoraux, en fabriquant des logiciels de modification des votes et en perturbant illégalement tout matériel de vote électronique.
- La Loi devrait interdire la création et la promotion délibérées de sites électoraux mystificateurs, ainsi que la création de liens vers ces derniers, susceptibles de faire croire, à tort, à une personne qu'elle a voté.
- En vertu de la Loi, l'annulation et la validation délibérées d'un vote électronique devraient constituer une infraction.
- Les dispositions législatives devraient empêcher la divulgation non autorisée du code source du vote électronique.
Normes technologiques et consultation
Un des défis présentés par la formulation d'un cadre juridique pour le vote électronique est la souplesse suffisante dont il doit faire preuve pour s'adapter aux améliorations technologiques, tout en respectant des normes minimales, telles que la garantie de l'intégrité du vote, la protection de l'anonymat des électeurs et l'intervention en cas de sinistre. Le cadre devrait exiger qu'une solution robuste sur le plan technologique soit en place avant l'utilisation d'un système de vote électronique dans une élection réelle.
Bien que les dispositions législatives électorales puissent fixer des normes minimales, il vaut mieux laisser les décisions technologiques concrètes à la discrétion de l'organisme électoral et il est préférable qu'elles soient contenues dans des règlements, des demandes de propositions, des plans techniques et d'autres documents administratifs. D'une manière générale, le cadre juridique devrait être technologiquement neutre afin de permettre de choisir la meilleure technologie disponible. Toutefois, pour certains choix technologiques, l'intégration d'un processus consultatif plus large dans le cadre pourra être nécessaire, ou le Parlement devra même effectuer certains choix législatifs particuliers.
Demandes de propositions et consultation
Bien que l'organisme électoral puisse déterminer de nombreuses normes technologiques, le cadre juridique devrait exiger une consultation technique de grande envergure avant le choix définitif de la solution de vote électronique. Cette consultation devrait permettre de créer des exigences contractuelles que le public pourra examiner de près avant la mise en œuvre du vote électronique. Une consultation technique peut se produire principalement de deux façons.
La consultation peut précéder la finalisation des spécifications techniques. L'Estonie, un des premiers pays à avoir emprunté la voie du vote électronique, a mené une série de consultations avant de développer le logiciel. Elle a commencé par mettre au point son système principalement à l'interne, avec l'assistance de développeurs de logiciels, mais en s'appuyant sur des rapports techniques détaillés, des évaluations des risques et des exigences élaborés en collaboration avec des universitaires, des experts et des partis politiques. Les documents techniques qui en ont été le fruit contenaient de nombreux éléments de conception précis, des exigences en matière de sécurité et des normes procédurales (Comité électoral national estonien, 2004). Le Comité électoral national se fonde sur eux pour vérifier le système afin de s'assurer de sa conformité.
Une deuxième méthode de consultation consiste à l'intégrer directement au processus de demande de propositions avant de choisir un développeur de logiciels pour créer le système de vote électronique. C'est le processus suivi par la Norvège. Avant d'émettre une demande de propositions officielle, l'organisme électoral de Norvège a lancé un processus de dialogue concurrentiel avec des entreprises et des consortiums pour améliorer les spécifications du projet avant de passer au stade des offres complètes (OSCE, 2012b). Les développeurs de logiciels et le public ont donc pu commenter des exigences techniques détaillées. Un document contenant les spécifications techniques peut être consulté par le public (ministère du Gouvernement local et du Développement régional de la Norvège, 2009).
Que le système de vote électronique soit mis au point à l'interne ou à la suite d'une demande de propositions lancée dans le cadre d'un processus concurrentiel, le cadre juridique devrait exiger qu'un processus de consultation transparent précède la finalisation des spécifications techniques.
Autorisation de voter plusieurs fois
Bien que de nombreuses mises en œuvre du vote électronique soient généralement très similaires, certains choix technologiques clés devraient faire l'objet d'un débat au Parlement avant d'être adoptés dans le cadre juridique. Un de ces choix est la décision de permettre ou non aux électeurs de modifier ou de mettre à jour leur vote après avoir voté en ligne.
En Estonie, les électeurs peuvent valider plusieurs votes électroniques, le système étant conçu de manière à ne compter que le vote final. Les votes précédents du même électeur sont éliminés avant de les décoder pour garantir le secret de chaque vote. Les électeurs soupçonnant qu'on a piraté leur ordinateur, de même que ceux se sentant soumis à des pressions en vue de voter d'une certaine façon, peuvent voter à nouveau. Les électeurs peuvent également annuler leur vote électronique en votant en personne par anticipation.
L'autorisation de la mise à jour du vote est une mesure estimée utile pour donner confiance en l'intégrité d'un résultat publié (Volkamer et al., 2011). Cette mesure exigerait vraisemblablement de modifier la Loi électorale du Canada. De plus, le logiciel doit être capable d'éliminer les votes redondants. Le nombre d'annulations d'un vote précédent pourrait être illimité, comme en Norvège et en Estonie, ou l'on pourrait l'assortir de conditions en vue de l'autoriser une seule fois dans un bureau électoral.
Bien que la mise à jour des votes soit un outil précieux permettant de répondre aux sujets de préoccupation en matière d'achat des votes ou de problèmes informatiques, ce serait un nouveau principe dans le cadre d'une élection canadienne. On pourrait donc se demander avec inquiétude si les électeurs qui votent en ligne sont avantagés par rapport aux électeurs qui utilisent des bulletins de papier.
Bien que la mise à jour des votes puisse soulever la question préoccupante de l'égalité de traitement des électeurs, un tribunal estonien a statué que la mise à jour des votes était une violation légitime du droit à l'égalité. Une contestation judiciaire a été portée devant la Cour suprême de l'Estonie au motif qu'un principe d'uniformité serait violé si les électeurs électroniques pouvaient voter plus d'une fois (Jugement constitutionnel 3-4-1-13-05). Le président a fait valoir que la constitution exige qu'on ne vote qu'une seule fois, que chaque électeur doit bénéficier des mêmes possibilités et que tous les électeurs n'ont donc pas eu la possibilité de modifier leur vote. Le tribunal a rejeté le principe d'égalité absolue, en concluant que la modernisation des processus électoraux était une violation légitime du droit à l'égalité et du principe d'égalité (paragraphe 26). Le tribunal a statué que la mise à jour des votes constituait un moyen de protection adéquat de la liberté des élections et du secret du vote contre les influences externes; cette protection était auparavant garantie par la confidentialité des bureaux de vote (paragraphe 32).
Selon nous, les électeurs canadiens auraient davantage confiance si le cadre juridique permettait aux électeurs qui votent en ligne de mettre à jour leur vote, soit en ligne, soit en personne dans un bureau de vote. C'est cependant une question qui devrait faire l'objet d'un débat au Parlement.
Accusés de réception et vérification par les électeurs
Un second choix technologique pour lequel le débat et la consultation devraient être plus approfondis est celui de permettre ou non aux électeurs de vérifier que leur vote a été compté. On ne permet pas dans tous les pays aux électeurs de procéder à cette opération et de nouvelles méthodes de vérification sont en train de voir le jour. Il se peut qu'on doive adapter le cadre juridique pour autoriser cette vérification. La principale méthode employée pour permettre aux électeurs de vérifier si leur vote a été compté est l'envoi d'un accusé de réception. Un accusé de réception est un code confirmant à l'électeur qu'on a compté son vote et qui, dans certains cas, démontre que le vote n'a pas été manipulé. L'accusé de réception adressé à l'électeur demeurerait confidentiel, sauf si ce dernier décidait de le montrer à des tiers. Dans certains cas, des preuves cryptographiques sont nécessaires pour relier l'accusé de réception à un vote.
Pour les électeurs canadiens, il n'existe actuellement aucun équivalent fonctionnel à un accusé de réception, puisqu'un système de vote par bulletin de papier ne permet pas de vérifier si un vote a été compté correctement ou s'il a été annulé, bien qu'il permette les dépouillements judiciaires. Cette question a été primordiale dans le référendum du Québec de 1995 quand on a découvert que, dans certaines circonscriptions non francophones, on avait rejeté plus de 50 pour cent des bulletins de vote (Shaffer, 2008).
Les accusés de réception sont une mesure destinée à convaincre les électeurs que le système a fonctionné, bien qu'on ne sache pas avec certitude quelle solution employer si un électeur prétend que le système a modifié son voteNote 11.
On peut se demander si un accusé de réception est utile ou nécessaire pour les électeurs. La conception de cet accusé de réception peut permettre aux électeurs de prouver comment ils ont voté, ce qui peut ouvrir la porte à l'achat des votes. Certains ont prétendu que l'impression de vérification donnée par les accusés de réception est trompeuse (Open Rights Group, 2007). D'autres assurent qu'il est nécessaire de créer une piste de vérification pouvant être contrôlée (Goldsmith, 2011). Certains systèmes permettent à l'électeur de confirmer son vote dans le pointage final, bien que cette disposition puisse servir aux électeurs qui vendent leur vote à prouver comment ils ont voté.
Lors d'une élection hollandaise, en 2006, on a fourni aux électeurs un code à saisir pour voter pour le candidat de leur choix et un code technique qu'ils recevaient plus tard. Grâce à ces deux renseignements, un électeur pouvait confirmer son vote. Les organismes électoraux ont [TRADUCTION] « effectivement renoncé à la protection de l'électeur contre la coercition au profit d'une plus grande transparence » (OSCE, 2006 : 15).
La Norvège, afin de rendre le scrutin vérifiable d'un bout à l'autre, a créé un système grâce auquel l'électeur recevait un code de retour secret par message texte, après avoir voté, pour vérifier que son vote avait été compté conformément à son intention, bien que cette information n'ait pas été fournie dans le décompte final (OSCE, 2012b). On a fait l'essai d'autres méthodes pour permettre aux électeurs de vérifier leur vote. Swindon, une des municipalités anglaises ayant fait l'expérience du vote électronique, a permis aux électeurs de saisir un mot secret, pouvant être relié de façon cryptographique à leur vote (Open Rights Group, 2007).
L'Estonie n'a pas autorisé les accusés de réception lors des élections précédentes, bien que le projet de loi 186 propose d'autoriser les électeurs à vérifier qu'ils ont effectivement voté lors des futures élections.
L'envoi d'un accusé de réception aux électeurs est un de ces domaines qui se prête à un conflit de valeurs, en étant susceptible d'opposer la conduite d'une élection transparente et vérifiable au secret absolu du vote. À ce stade préliminaire, c'est peut-être un domaine qui mérite une plus grande consultation du public. Nous recommandons que la Loi électorale du Canada permette, mais n'impose pas, aux organismes électoraux de publier des règlements décrivant en détail comment les électeurs peuvent vérifier qu'on a compté leur vote.
Vote blanc
Une des principales différences entre un vote par bulletin de papier et un vote électronique est la possibilité offerte à l'électeur, dans le premier cas, de rejeter ou d'annuler facilement son vote. La question de décider si le cadre juridique pour le vote électronique devrait permettre aux électeurs d'annuler leur vote exigera vraisemblablement un débat et une consultation plus approfondis.
Un des avantages du vote par Internet est l'élimination du rôle subjectif des directeurs du scrutin dans le rejet des bulletins de vote annulés pouvant avoir été marqués accidentellement ou intentionnellement d'une façon non conforme. Cela risque toutefois de ne pas satisfaire ceux qui rejettent ou annulent leur vote en guise de protestation.
Le Conseil de l'Europe recommande que [TRADUCTION] « le système de vote électronique fournisse à l'électeur le moyen de participer à une élection ou à un référendum sans exprimer de préférence pour aucune des options mises au vote, par exemple en votant blanc » (CE, 2005 : 10).
Toutes les mises en œuvre du vote électronique n'ont pas permis de voter blanc. Le logiciel électoral de l'Estonie n'offrait pas l'option de voter sans effectuer de choix, soit de voter blanc (Heiberg et al., 2011). En revanche, la Norvège offre l'option de voter blanc en bas du bulletin de vote (Barrat i Esteve et al., 2012c). Dans sa demande de propositions adressée aux fournisseurs éventuels en scrutin électronique, Halifax exigeait également que le processus offre l'option de voter blanc.
Il se peut qu'un tribunal canadien statue à l'avenir que le droit de vote garanti par la Constitution englobe le droit de voter blanc, mais la jurisprudence actuelle ne semble pas décisive. À tout le moins, l'absence de possibilité de voter blanc pourrait inciter certaines personnes à employer des moyens technologiques permettant de valider des votes annulés.
Bien que cette question puisse exiger plus de débats, nous recommanderions que le cadre juridique permette au système électronique d'enregistrer des bulletins de vote intentionnellement blancs ou annulés.
Résumé des recommandations
Le cadre juridique pour le vote électronique devrait laisser à l'organisme électoral une très grande latitude pour choisir la technologie la plus sécuritaire, mettre au point des solutions économiques et produire des résultats exacts. Les dispositions législatives devraient être permissives, en règle générale, en autorisant une nouvelle technologie, sous réserve qu'elle soit sécuritaire, exacte et qu'elle protège l'anonymat des électeurs. On pourrait mettre sur pied un processus consultatif pour s'assurer de choisir la meilleure technologie. En revanche, le choix d'une technologie peut également dépendre d'une certaine fonctionnalité et de certaines fonctions susceptibles d'exiger des compromis, par exemple entre la transparence et le secret absolu. Dans ces circonstances, des modifications législatives et des débats parlementaires seront peut-être nécessaires. Voici nos recommandations.
- Un processus de consultation transparent devrait être en place avant de formaliser les normes technologiques ou les demandes de propositions.
- Le Parlement devrait débattre de la question d'autoriser les électeurs à mettre à jour ou à recommencer leur vote électronique.
- On devrait permettre aux fonctionnaires d'introduire des technologies additionnelles, dont les accusés de réception pour les électeurs ou des méthodes d'authentification avancées, s'ils sont convaincus qu'elles amélioreront l'intégrité du vote, sans affecter exagérément l'anonymat de l'électeur.
- On devrait autoriser les électeurs à voter blanc.
Mise à l'essai et intégrité du vote
La confiance du public envers le vote électronique dépendra des mesures prises pour s'assurer que les votes sont enregistrés, transmis, reçus et comptés sans erreur. Bien qu'il existe une présomption de régularité dans les élections au Canada (Opitz c. Wrzesnewskyj), la nature moins transparente des élections conduites en utilisant des technologies de vote à distance empêchera vraisemblablement le public de se contenter d'une simple preuve par présomption, au lieu de la preuve irréfutable du fonctionnement satisfaisant du système. Le cadre juridique devrait exiger que des mesures crédibles et transparentes soient en place pour vérifier et documenter que le système de vote électronique fonctionne correctement.
Mise à l'essai préalable au déploiement et mise en œuvre
Une des critiques les plus vives à l'encontre des projets pilotes de l'Angleterre a porté sur la période de six mois seulement, laissée par les autorités locales entre la décision de réaliser un projet pilote et le jour du scrutin. Six mois étaient insuffisants pour planifier et mettre à l'essai la solution de vote électronique (Commission électorale, 2007a).
Il importe de ne conduire toute mise à l'essai, si elle est ouverte au public, qu'à partir du moment où les mesures de sécurité et la fonctionnalité sont totalement en place, pour éviter de créer de la confusion ou de donner l'impression que le système final comporte des défauts (Volkamer et al., 2011). Un exemple souvent cité par les opposants au vote par Internet est celui de la tentative de l'utiliser pour une élection à Washington D.C. Les organisateurs ont mis le public au défi de pirater le système, et une équipe de l'Université du Michigan y est parvenue. Cette équipe a réussi non seulement à modifier les votes, mais aussi à manipuler le système et même à accéder aux caméras vidéo connectées au même réseau informatique (Wolchuk et al., 2012). Le système n'était pas un système de vote par Internet typique où l'utilisateur ouvre une session dans un site Web pour voter, mais il était conçu de façon à ce que les électeurs puissent télécharger un bulletin de vote en format Adobe Acrobat vers le serveur, après l'avoir rempli. Les pirates ont découvert qu'en modifiant le nom du fichier, ils pouvaient exécuter des commandes du système et que les administrateurs n'avaient même pas changé les mots de passe par défaut du système. Bien qu'un examen indépendant de la sécurité ait pu détecter un grand nombre de ces problèmes, la publication de la mise à l'essai préalable à l'élection s'est avérée miner la confiance du public, et Washington D.C. n'a pas mis en œuvre le vote par Internet.
Dans les pays où des experts indépendants ont réalisé des mises à l'essai exhaustives avant les élections, elles se sont déroulées de façon beaucoup plus satisfaisante. En Nouvelle-Galles du Sud, un vérificateur indépendant a réalisé des essais de pénétration, des essais du code de programmation, des essais cryptographiques et des essais de la sécurité de l'infrastructure avant qu'on autorise la mise en service du système. Le vérificateur de la Nouvelle-Galles du Sud a cependant recommandé que les règlements prévoient des critères clairs pour les essais à réaliser avant d'utiliser un système dans une élection réelle (PricewaterhouseCoopers, 2011).
Afin de s'assurer qu'un système de vote électoral est sécuritaire, le cadre électoral devrait exiger que l'organisme électoral définisse un ensemble de procédures et d'essais à terminer avant qu'un système puisse être mis en service. Ces procédures devraient être mises à jour avant chaque élection pour s'assurer que le système est protégé contre de nouveaux risques et de nouvelles vulnérabilités.
Mise à l'essai de l'accessibilité et de la facilité d'emploi
L'utilisation du vote par Internet se justifie notamment par l'accessibilité. Le cadre juridique devrait exiger la réalisation d'essais d'accessibilité et de facilité d'utilisation avant chaque élection. Pour obtenir les meilleurs résultats possible, des utilisateurs, y compris ceux ayant une déficience, devraient participer à la fois à la conception et à la mise à l'essai du matériel (Goldsmith, 2011).
On recommande fréquemment, au chapitre de la facilité d'utilisation, que les électeurs puissent s'interrompre en cours de vote, avant de transmettre leur bulletin de vote, et reprendre cette opération ultérieurement. Un électeur devrait aussi savoir clairement si un vote a été réellement transmis par le système et reçu par les organismes électoraux, et le processus ne devrait comporter aucune étape ambiguë.
On n'insistera jamais trop sur l'importance de fournir de bonnes directives. Une élection pendant laquelle on avait autorisé le vote électronique en milieu contrôlé a été annulée en Finlande, parce que des instructions erronées qui n'indiquaient pas aux électeurs de laisser leur carte insérée dans le terminal jusqu'à ce qu'un écran de confirmation finale s'affiche ont fait en sorte que de nombreux votes électroniques n'ont jamais été transmis. Un tribunal administratif a statué que les instructions envoyées aux électeurs ne communiquaient pas clairement qu'il fallait cliquer sur un deuxième écran de confirmation et le tribunal a ordonné la tenue d'une nouvelle élection (KHO:2009:39).
Des essais de convivialité suffisante sont nécessaires pour s'assurer qu'on n'empêche pas accidentellement une personne de voter. L'accessibilité ne devrait pas être ajoutée après coup, puisqu'elle peut également être liée à des caractéristiques de sécurité. Moins un système est sécuritaire et contrôlé, plus il peut être accessible (Goodman et al., 2010).
Avant d'utiliser un processus de vote dans une élection générale, on devrait réaliser une mise à l'essai exhaustive, en demandant à des électeurs ayant une déficience, à des aînés et à des électeurs non compétents en technologie d'utiliser ce système pour en garantir la convivialité. L'organisme électoral devrait créer des procédures décrivant la mise en œuvre de ces essais.
Exigences en matière de sécurité physique
Le cadre juridique devrait comporter des dispositions régissant la sécurité physique. Elles pourraient notamment stipuler qui a accès au matériel de serveur et sous quelles conditions pendant les élections. Le principe général, dans ce domaine, devrait englober la règle des deux personnes, en vertu de laquelle deux personnes au moins doivent être présentes pour accéder à tout élément du matériel informatique ou à toute composante du système pendant une élection ou pour procéder à une modification du logiciel (Electronic Frontier Finland, 2009).
Les mesures et les règlements de sécurité varient. Dans l'État indien du Gujarat, les règlements exigent que la responsabilité du début et de la fin des scrutins incombe à trois personnes détenant chacune une carte à puce. Ils exigent également de débrancher physiquement d'Internet le centre des données avant de commencer à voter (Urban Development and Urban Housing Department Orders).
La Norvège améliore la sécurité physique en divisant les éléments essentiels entre divers ministères pour s'assurer de mettre les composantes du système à l'abri de toute manipulation. En Estonie, deux ministères supervisent la sécurité et un vérificateur est présent pendant l'élection pour observer la conformité (Electronic Frontier Finland, 2009). On enregistre également sur bande vidéo, en Estonie, toute l'activité du système, à titre de mesure de sécurité additionnelle, afin de détecter tout accès non autorisé au système.
Les règlements devraient décrire en détail les mesures permettant de s'assurer que le matériel est sécuritaire et que nulle personne ne peut modifier unilatéralement les serveurs ou le logiciel pendant une élection.
Exigences en matière de registres permanents et vérifiables
Un des principaux arguments pour l'utilisation exclusive de bulletins de vote de papier a trait à l'existence de registres physiques et à leur manipulation plus difficile. Le cadre juridique devrait exiger une fonctionnalité équivalente pour empêcher la manipulation des registres du vote électronique.
Le débat sur le vote électronique en milieu contrôlé conduit souvent à rendre obligatoire le dépouillement ultérieur de récépissés de papier. Aux États-Unis, les machines à voter doivent imprimer un récépissé en guise de registre de vérification, bien que cette pratique ne soit pas toujours fiable, puisque certaines machines impriment un récépissé, mais ne permettent pas aux électeurs de le vérifier (Jones et Simons, 2012).
Les sauvegardes sur papier ne sont pas courantes dans un système de vote par Internet puisqu'il est possible de modifier les votes avant de les imprimer. En Nouvelle-Galles du Sud, une copie papier est obligatoire pour chaque vote, quoiqu'on ne les imprime qu'à la clôture du vote en ligne.
Bien qu'un registre de papier demeure facilement vérifiable, la vérification cryptographique peut être utilisée par des tiers pour mettre au point des mécanismes de vérification au moins tout aussi efficaces sinon meilleurs (Alvarez et Hall, 2008). Les journaux cryptographiques empêchent presque la falsification des registres, puisqu'une formule mathématique permet de vérifier qu'aucune donnée n'a changé.
Divers pays emploient différentes méthodes de création de registre infalsifiable. L'Estonie sauvegarde les données de son scrutin sur des bandes non réinscriptibles, contrairement aux disques durs (Martens, 2012). Genève, en Suisse, utilise de multiples serveurs et de multiples mises en mémoire pour empêcher toute manipulation non autorisée, en mettant en mémoire chaque vote dans trois serveurs différents pour les protéger contre les risques de perte ou de manipulation éventuelle des données (Chevallier et al., 2006).
On devrait mettre des mesures techniques en place pour enregistrer toutes les activités liées au scrutin, dont les menaces, les perturbations, les pannes de système, les votes exprimés et les votes invalides. Il importe de traiter les registres comme un système essentiel et que, tout comme les votes, ils soient infalsifiables. On pourrait y parvenir en consignant les journaux directement sur des systèmes de bandes inaltérables ou en utilisant une technologie cryptographique pour chiffrer les fichiers des journaux.
Le cadre juridique devrait exiger la production d'un registre vérifiable et infalsifiable, mais son format ne devrait pas être prescrit de manière restrictive, de façon à autoriser des utilisations souples de la technologie pour assurer l'intégrité du scrutin.
Procédures de vérification des résultats et de vérification générale
La Loi électorale du Canada exige qu'on soumette des rapports au Parlement après les élections et qu'on procède à des dépouillements judiciaires en cas de résultats serrés, comme cela a été indiqué plus tôt. En revanche, comme le vote en ligne est relativement récent et que la confiance des électeurs envers ce dernier risque d'être fragile, des procédures de vérification supplémentaires pourraient être intégrées au cadre juridique pour renforcer la confiance des électeurs.
Dans de nombreux pays, on exige la publication d'une forme de vérification après une élection, en plus des mesures de sécurité préliminaires, bien que leur forme et leur nature particulières soient rarement formalisées. En Estonie, un vérificateur externe vérifie les procédés et les méthodes pour indiquer dans son rapport si le personnel de TI et autre ont suivi les procédures. La loi électorale de la Nouvelle-Galles du Sud (Parliamentary Electorates and Elections Act 1912, article 120AD) rend obligatoires la mise à l'essai et la vérification de votes d'essai. La Suisse exige également que son système soit vérifiable.
Les recommandations du Conseil de l'Europe portent notamment sur le maintien d'une source de temps exacte afin de pouvoir examiner ultérieurement les pistes de vérification et les données d'observation (CE, 2005, recommandation 84). Le Conseil recommande également de ne pas divulguer les données de vérification à des personnes non autorisées et que toutes les mesures prises pour procéder aux vérifications puissent préserver l'anonymat des électeurs (CE, 2005, recommandations 105 et 106). La justification de ces recommandations est la suivante : bien qu'on devrait rendre publics les dispositifs de sécurité primaires pour inspirer confiance à l'électorat, les procédures de vérification secondaires peuvent être plus discrètes pour ne pas aider un pirate éventuel à échapper à la détection. Il pourrait même être prudent de faire concevoir la technologie de vérification et d'enregistrement par une entité différente de celle mettant au point la technologie de vote.
Nous recommandons d'exiger la mise en œuvre de procédures de vérification suffisantes, indépendamment de la présence ou de l'absence d'une preuve de méfait. On pourra ne pas divulguer intégralement certains détails techniques de leur fonctionnement au grand public pour ne pas aider les pirates.
Destruction des données du scrutin
Les votes électroniques à base de technologie cryptographique sont extrêmement sécuritaires et on pourrait mettre des années à les percer, sans clés de décryptage. Cependant, ces données pourraient finir par être décryptées si l'on conservait les registres du scrutin. Le cadre juridique devrait exiger des procédures réglementaires exhaustives décrivant la méthode de destruction de ces données et précisant la durée de leur conservation. Lors d'une élection municipale en Angleterre, la conservation de ces données dans les serveurs des fournisseurs pendant près d'un an après l'élection a donné lieu à quelques critiques (Open Rights Group, 2007).
L'Estonie ne se contente pas de stipuler que ces données doivent être supprimées. Des procédures sont en place dans ce pays pour détruire physiquement tous les supports (tels que disques durs ou bandes) sur lesquels des données ont été mises en mémoire, à la fin de la période des appels électoraux (Martens, 2012). De plus, comme pour les autres procédures, un vérificateur est présent pour assurer la conformité (Heiberg et al., 2011). Un projet de loi estonien (projet de loi 86) propose de rendre obligatoire la destruction de toutes les données électorales un mois au plus tard après une élection, mais pas avant l'épuisement de tous les appels interjetés devant les tribunaux.
Le cadre juridique devrait exiger que l'organisme électoral détruise intégralement toutes les données électorales après une période déterminée, une fois terminé l'exercice de tous les droits en matière de dépouillement judiciaire ou d'appel des résultats électoraux. Les règlements devraient également exiger une surveillance adéquate pour assurer la conformité intégrale aux procédures de conservation et de destruction des données.
Résumé des recommandations
Pour assurer l'exactitude des votes et la sécurité du système de vote électronique, le cadre juridique devrait exiger une mise à l'essai exhaustive de toutes les étapes et de toutes les mesures de sécurité. Les exigences minimales devraient idéalement être définies dans la loi et l'organisme électoral serait chargé d'élaborer des règlements et des procédures détaillés. Voici nos recommandations.
- Des règlements devraient décrire clairement les essais à effectuer avant le déploiement du vote électronique.
- On devrait mettre à l'essai le logiciel pour s'assurer de son accessibilité et de sa facilité d'utilisation. Des électeurs ayant une déficience, des aînés et d'autres groupes devraient participer à cette mise à l'essai.
- Des règlements devraient exiger que des mesures de sécurité physique soient en place pour assurer l'intégrité de tout le matériel et empêcher l'accès non autorisé pendant une élection.
- Des dispositions législatives devraient rendre obligatoires des registres vérifiables et infalsifiables de l'activité électorale, des menaces, des perturbations et de l'activité du système. L'organisme électoral pourrait créer des procédures, dont la sauvegarde sur des bandes infalsifiables et le chiffrement cryptographique des journaux.
- Des procédures de vérification suffisantes devraient être obligatoires après une élection, même si certains détails des vérifications demeurent confidentiels.
- Des procédures et des échéanciers devraient être prescrits pour détruire toutes les données du scrutin une fois que les procédures d'appel sont épuisées.
Vote électronique en milieu contrôlé
De nombreux principes de la conception du cadre juridique requis pour mettre en œuvre le vote électronique en milieu non contrôlé s'appliquent également au vote électronique en milieu contrôlé. Dans un cas comme dans l'autre, des exigences élevées devraient viser la sécurité et l'intégrité du vote, et la Loi électorale du Canada devrait être modifiée pour y inclure des infractions telles que le piratage.
D'une manière générale, pour le scrutin en milieu contrôlé, c'est l'entreposage et la mise à l'essai de tout le matériel qui sont préoccupants, puisque chaque terminal pourrait être manipulé ou mal fonctionner, et qu'un seul terminal défectueux pourrait avoir une incidence, sans qu'on le sache, sur les résultats du vote de plusieurs électeurs. Au Canada, où un électeur ne doit marquer qu'un seul choix (au lieu de voter dans des courses liées à de nombreuses fonctions électives ou de classer les candidats dans un certain ordre), la supériorité de la valeur du vote électronique en milieu contrôlé par rapport à celle du vote par bulletin de papier dans un bureau officiel serait très limitée, tandis que le coût de cette mise en œuvre serait beaucoup plus élevé pour chaque bureau de scrutin. Les machines à voter électroniques peuvent être très chères et leur entreposage sécuritaire peut également être très onéreux. Par conséquent, nous ne pouvons pas recommander, de manière générale, d'utiliser le vote en milieu contrôlé à grande échelle, surtout si on y a recours pour remplacer le vote par bulletin de papier le jour du scrutin, comme c'est le cas dans certains États des États-Unis et dans des pays tels que le Brésil, l'Inde et le Venezuela.
Bien que nous ayons consacré la majeure partie du présent rapport au vote par Internet, nous pouvons envisager quelques utilisations limitées du vote électronique en milieu contrôlé.
Utilisations du vote électronique en milieu contrôlé
Sur le plan technique, tout ordinateur ou appareil fourni et entretenu par l'organisme électoral constituerait un milieu contrôlé pour procéder à un vote électronique. Il pourrait s'agir d'appareils d'assistance au vote, comme ceux dont on a fait l'expérience dans la récente élection partielle de Winnipeg-Nord, ainsi que de postes informatiques que l'organisme électoral pourrait installer pour permettre aux électeurs de voter par Internet.
Aux États-Unis, la loi Help America Vote Act of 2002 a imposé la présence d'au moins un appareil électronique à enregistrement direct à chaque bureau de scrutin. Cette disposition est censée aider les électeurs ayant une déficience à s'y retrouver en ce qui concerne les bulletins de vote américains complexes. Un appareil à enregistrement direct est principalement un appareil électronique autonome qui produit un récépissé documentant le vote de chaque électeur. Chaque État peut fixer ses propres exigences technologiques, bien qu'ils soient nombreux à suivre les Voluntary Voting System Guidelines (Lignes directrices d'application volontaire pour le mode de scrutin recommandées par la US Election Assistance Commission (US EAC, 2005)). Ces lignes directrices contiennent des normes très utiles pour assurer la sécurité des systèmes de vote en milieu contrôlé, ainsi que des normes minimales en matière d'accessibilité pour les électeurs ayant une déficience. Pour chaque organisme électoral planifiant la mise en œuvre du vote électronique lors d'une élection, le document intitulé Voluntary Voting System Guidelines devrait être un document de référence essentiel.
Bien qu'on puisse utiliser des bornes de vote spécialisées pour assister les électeurs ayant une déficience visuelle ou autre et qui souhaitent voter sans l'aide d'un tiers, le coût élevé des essais effectués à Winnipeg-Nord démontre que cette mesure d'adaptation aux déficiences n'est pas la plus efficiente. En revanche, un système de vote par Internet peut s'adapter à la majorité des électeurs ayant une déficience, sans les contraindre à se rendre à un bureau de scrutin.
Par contre, l'organisme électoral pourra souhaiter, dans certaines circonstances, conserver un ordinateur connecté à Internet pouvant également être classé dans la catégorie des machines à voter électroniques en milieu contrôlé. Quoique cet ordinateur puisse fonctionner de la même façon qu'un ordinateur personnel à domicile, le cadre juridique devrait tenir compte de l'utilisation du même système par de multiples électeurs, ce qui rendrait toute fraude ou manipulation susceptible de se répercuter sur de nombreux électeurs. La responsabilité d'assurer l'intégrité de ces ordinateurs incomberait à l'organisme électoral.
Il existe quelques exemples de combinaison du vote en milieu contrôlé et du vote par Internet. Par exemple, les militaires australiens ont utilisé le vote électronique pour une mise à l'essai limitée en 2007. Pour ce faire, ils ont eu recours à des terminaux de vote spéciaux pour les électeurs militaires, mais on a mis fin à ce système en raison de son coût élevé par rapport à son faible nombre d'utilisateurs potentiels (Australian Electoral Commission, 2008). L'État indien du Gujarat a également utilisé un nombre limité de bornes de vote électronique, parallèlement au vote à distance, mais cette expérience a donné lieu à très peu de publications universitaires.
Il se peut que l'organisme électoral du Canada souhaite conserver un nombre limité de bureaux de scrutin où mettre en œuvre le vote électronique, dans des contextes particuliers. Ces derniers pourraient remplacer le vote par bulletin spécial, pour les électeurs absents qui ont un accès limité au courrier ou pour les scrutins se déroulant à des emplacements sécuritaires et contrôlés. Les deux groupes d'utilisateurs de ce mode de scrutin qui viennent immédiatement à l'esprit seraient les électeurs militaires déployés à l'étranger, ainsi que les électeurs admissibles en milieu carcéral. Comme ces deux groupes ont sans doute un accès limité à leur propre ordinateur connecté à Internet, plusieurs électeurs devront probablement partager un terminal.
D'autres emplacements où il est possible de mettre en œuvre le vote électronique en milieu contrôlé sont les ambassades, les hauts-commissariats et les consulats canadiens à l'étranger. Cela pourrait être indispensable dans les pays où une ambassade est probablement le seul emplacement où des votes chiffrés pourraient franchir un pare-feu national.
À l'intérieur des frontières, l'organisme électoral pourra décider d'installer un terminal de vote électronique dans les régions et emplacements où la proportion d'électeurs se trouvant en dehors de leur circonscription ou d'électeurs absents est élevée, notamment les universités, où les étudiants résidant dans les campus ou à proximité sont probablement admissibles à voter dans leur circonscription de résidence. De plus, de nombreux électeurs absents de leur circonscription pourraient décider de voter à tout moment dans n'importe quel bureau d'un directeur du scrutin.
En ce qui a trait aux électeurs ayant une déficience ou ne pouvant pas quitter leur domicile et n'ayant pas accès à Internet, un fonctionnaire électoral peut apporter au domicile de ces derniers un téléphone cellulaire ou un ordinateur portable connecté à Internet par satellite pour leur permettre de voter. Cette pratique est déjà autorisée pour les bulletins de vote de papier en vertu du paragraphe 243(1) de la Loi électorale du Canada. Il serait possible d'envisager une modification permettant à un électeur de bénéficier d'une assistance similaire pour le vote électronique.
Afin d'optimiser l'utilisation du vote par Internet en milieu contrôlé, l'organisme électoral peut décider de permettre aux électeurs de s'inscrire au vote électronique dans un bureau de scrutin. Par exemple, un scrutateur ou un fonctionnaire autorisé pourrait vérifier l'identité des électeurs et autoriser un compte de vote électronique.
On devrait ajouter des dispositions à la Loi électorale du Canada afin de permettre des utilisations limitées du vote par Internet en milieu contrôlé.
Mise à l'essai des appareils de vote électronique en milieu contrôlé
Pour utiliser le vote par Internet en milieu contrôlé, le cadre juridique devrait comporter des exigences afin d'assurer la sécurité et l'intégrité des appareils qui serviront au vote. C'est particulièrement important parce que, contrairement au vote électronique au domicile des électeurs, dans un milieu contrôlé, les électeurs ne seront pas en mesure de vérifier l'intégrité de l'ordinateur qu'ils utilisent. Un appareil à l'intégrité compromise pourrait affecter un grand nombre de votes et chaque appareil ne serait pas soumis à une surveillance du même niveau que les serveurs centralisés sur lesquels est installé le principal logiciel de vote. En milieu contrôlé, il incombe aux fonctionnaires électoraux responsables d'un appareil de s'assurer que le logiciel qui y est installé n'a pas été modifié. Ce principe ne s'applique que si l'appareil utilisé pour voter se trouve dans un bureau de scrutin connecté à Internet ou dans une borne autonome.
Bien qu'il importe que des experts indépendants évaluent la sécurité du code, il est tout aussi important de s'assurer que les appareils servant au vote soient dotés du bon logiciel. Le cadre juridique devrait exiger l'application de procédures pour mettre à l'essai le matériel et pour s'assurer de sa validité, ce qui est primordial pour vérifier qu'on n'y a pas installé un maliciel.
En Californie, le secrétaire d'État détient un double du code source et a le droit d'exécuter des essais sur les systèmes de vote (Hall, 2006). Dans d'autres pays, on impose des essais aléatoires pour s'assurer que le matériel n'a pas été modifié. L'essai du matériel peut être fondé sur des échantillons aléatoires dans chaque circonscription, sur des modèles de vérification à pourcentage fixe, qui exigent le contrôle d'une partie des bureaux de scrutin, ou sur des modèles de vérification à pourcentage variable, qui imposent un plus grand nombre d'essais dans les circonscriptions où la marge de victoire est étroite (Hall, 2006). L'importance de la mise à l'essai du matériel est capitale, parce qu'une machine malveillante peut manipuler plusieurs votes. C'est également important parce que les risques qui pèsent sur les systèmes en milieu contrôlé peuvent également provenir de l'extérieur du logiciel de vote, par exemple d'autres parties du système (Smith, 2006).
Si le vote en milieu contrôlé repose sur Internet, on devrait prendre des mesures pour s'assurer que le logiciel installé est partout le même. On devrait mettre en œuvre des procédures et des essais du matériel informatique adéquats pour s'assurer qu'il est impossible de modifier le système et qu'aucune porte d'accès utilisateur accessible ne permet d'installer un maliciel. Il vaut mieux laisser à l'organisme électoral le soin de définir les mesures précises à prendre pour sécuriser le système.
Il se peut que des procédures différentes soient requises pour les bornes autonomes, puisque les résultats peuvent être mis en mémoire localement et que la même surveillance centrale n'est pas disponible. De nombreuses machines autonomes fonctionnent grâce à un code source exclusif. L'organisme électoral devrait pouvoir accéder à tout le logiciel et à tout le code et les faire vérifier indépendamment. Plusieurs municipalités québécoises ont également utilisé des bornes autonomes dans des élections locales entre 1995 et 2005. Elles ont été abandonnées quand le directeur général des élections a soulevé la question préoccupante de l'absence de mise à l'essai indépendante du logiciel ainsi que de dispositions adéquates dans le cadre juridique afin de régir la prestation de serment du personnel technique et la mise à l'essai du matériel de vote (Élections Québec, 2006).
Nous recommandons, avant toute utilisation d'un système de vote électronique en milieu contrôlé dans une élection, l'entrée en vigueur de règlements exigeant un programme d'essai complet et l'élaboration de procédures par l'organisme électoral en vue d'évaluer l'intégrité du système avant et après l'élection.
Résumé des recommandations
L'organisme électoral cherchera peut-être à déployer un système de vote électronique en milieu contrôlé pour favoriser l'accessibilité et adapter le scrutin à un plus grand nombre d'électeurs. On pourrait utiliser des appareils de vote électronique autonomes pour les électeurs ayant besoin d'assistance ou des systèmes sécuritaires connectés à Internet et exécutant le logiciel de vote électronique standard pour les électeurs éloignés, en milieu non contrôlé. Voici nos recommandations.
- La loi devrait permettre aux organismes électoraux d'organiser le vote électronique en milieu contrôlé pour les électeurs militaires; les électeurs incarcérés; les électeurs à l'étranger dans les ambassades, les hauts-commissariats et les consulats; les électeurs au Canada dans des emplacements tels que les bureaux des directeurs du scrutin; à domicile pour les électeurs ayant une déficience et dans les campus postsecondaires où le vote des absents est courant.
- Les règlements devraient imposer des essais des appareils de vote électronique avant et après les élections.
- L'organisme électoral devrait accéder à tout le logiciel et à tout le code installés dans les machines.
Autre principe : la surveillance spéciale du vote électronique
Selon nous, le système électoral actuel, régi par des dispositions précises de la Loi électorale du Canada et administré par un directeur général des élections indépendant, est généralement efficace. Élections Canada n'a pas ménagé sa peine pour protéger l'intégrité et l'équité du système, même en étant obligé de contester le parti au pouvoir.
L'administration du scrutin est en principe centralisée, mais le directeur général des élections jouit d'une grande marge de manœuvre aux termes de la Loi électorale du Canada afin qu'il puisse mettre en œuvre des règles adaptées à des circonstances imprévues. Ce pouvoir semble néanmoins être utilisé avec prudence. Cette grande latitude est relativement limitée par la décentralisation et la division du processus du scrutin ainsi que du dépouillement au Canada. La majorité des Canadiens votent dans leur circonscription et l'on compte directement les votes dans des milliers de bureaux de scrutin répartis sur tout le territoire. Si des problèmes au cours du processus ou des allégations de fraude surviennent, ils sont vraisemblablement confinés à une seule circonscription.
Le vote par Internet, en revanche, nécessite généralement un processus de dépouillement centralisé; par conséquent, la fraude, les perturbations et même un arrêt du système pourraient se répercuter sur certains électeurs ou sur tous les électeurs ayant l'intention de voter en ligne. Dans le cadre de l'organisation électorale actuelle, ce serait à la seule discrétion du directeur général des élections de déterminer comment faire face à des situations d'urgence et à des problèmes graves. Par comparaison, dans certains autres pays, on confie les grandes décisions électorales à des comités électoraux auxquels siègent des juges et des hauts fonctionnaires. Même au Canada, ce sont souvent des tribunaux et des comités décisionnels qui prennent les importantes décisions réglementaires et juridiques et non un seul administrateur. Par exemple, trois juges statuent souvent sur un appel au niveau provincial et jusqu'à neuf juges peuvent être saisis d'une ordonnance d'une grande importance à la Cour suprême du Canada. Si un très grave incident se produisait pendant le vote électronique, les Canadiens auraient-ils confiance en la décision d'un seul fonctionnaire?
Les premiers déploiements du vote par Internet dans d'autres pays ont principalement eu lieu en maintenant la même structure électorale que pour le scrutin par bulletin de papier, avec peu de changements institutionnels. Mais la tendance récente est maintenant à l'adoption d'une surveillance spécialisée.
En Estonie, les élections sont administrées par le Comité électoral national, composé de membres de la magistrature, ainsi que de directeurs de divers services ministériels occupant un rang élevé dans la fonction publique. Ce comité a le pouvoir d'autoriser le système de vote électronique et d'y mettre fin, ainsi que d'invalider une partie ou l'ensemble des résultats (Heiberg et al., 2011). L'utilisation de magistrats dans cet organe de surveillance augmente vraisemblablement la légitimité et le contrôle, surtout dans une démocratie qui en est à ses premières années d'existence. En revanche, aucun de ses membres n'était tenu de posséder une expertise technique particulière. L'administration et l'organisation concrètes des élections ont été principalement l'œuvre du service de TI. L'Organisation pour la sécurité et la coopération en Europe a déjà critiqué cette absence d'organisme distinct, chargé du vote par Internet. À la suite de cette critique, l'Estonie a modifié son code électoral pour créer un comité chargé du vote électronique qui relèverait du Comité électoral national.
La France a également adopté des dispositions particulières pour intégrer le vote par Internet à son élection parlementaire de 2012. Elle a mis sur pied un bureau du vote électronique de sept membres, tous directeurs de diverses commissions gouvernementales chargées de la gestion de l'information et de la sécurité, ainsi que de membres de l'Assemblée des Français de l'étranger. Ils ont le pouvoir d'invalider les résultats de l'élection et supervisent la sécurité (OSCE, 2012c). Tout comme son homologue estonien, ce bureau détient les clés cryptographiques.
La Norvège n'a pas mis sur pied une commission de surveillance strictement formalisée pour son projet pilote, bien que l'utilisation de divers ministères pour gérer la sécurité et surveiller diverses composantes du vote électronique ait requis une coopération intergouvernementale pour gérer l'élection.
Les critiques craignent que, si les personnes chargées de la surveillance électorale manquent de compétence technique, la dépendance d'un système de vote électronique à l'égard des programmeurs, des entrepreneurs externes ou du personnel technique chargé de sa mise en œuvre risque d'être excessive.
La création d'un comité ou d'une commission élargie pour contribuer à la surveillance des élections électroniques au Canada pourrait calmer les craintes pouvant naître de la nouveauté et de la complexité technologique de la conduite partielle d'une élection par Internet et de la concentration accrue des responsabilités qui l'accompagnera vraisemblablement.
Une commission ou un comité pourrait soit fonctionner sous la forme d'un service d'Élections Canada, conseillant en dernier ressort le directeur général des élections, soit sous la forme d'une entité intrinsèque, après la révision de la Loi électorale du Canada. Si c'est une commission consultative, son rôle se limitera probablement à la formulation de conseils. Si elle détenait son propre pouvoir intrinsèque, il serait possible de lui confier de nombreuses tâches, comme la garde des clés cryptographiques ou la clôture du scrutin.
La composition exacte de cette commission devra faire l'objet de discussions. Les candidats possibles à l'exercice de ces fonctions seraient des membres de la magistrature, les directeurs des organismes chargés de la sécurité nationale qui connaissent bien les risques techniques, ainsi que des universitaires et des membres du secteur privé. Les facteurs les plus importants seront la perception de l'indépendance de cette commission par le public et la confiance éventuelle des principaux intervenants, dont les partis politiques, à l'égard du processus de nomination.
Résumé des recommandations
La nature centralisée et technique du vote électronique rend obligatoire une surveillance efficace et indépendante. La confiance du public à l'égard du système sera plus grande si les personnes surveillant le vote électronique possèdent l'expertise technique, l'indépendance et la fiabilité requises, et si elles jouissent du soutien multipartite requis pour prendre des décisions difficiles en matière de vote électronique. La discussion doit se poursuivre pour déterminer si cette fonction serait exercée plus efficacement au sein de l'organisme électoral ou par un nouvel organisme doté de pouvoirs indépendants. Nous recommandons à l'organisme électoral et aux représentants de divers partis de collaborer à la mise sur pied d'une commission ou d'un comité chargé de formuler des recommandations à l'organisme électoral ou d'aboutir à certaines conclusions au sujet du vote électronique. Ses membres pourraient être les suivants :
- des magistrats des tribunaux fédéraux ou d'autres personnes à qui leur poste confère de l'indépendance;
- des universitaires permanents, spécialisés en ingénierie, en informatique ou en droit;
- des commissaires à la protection de la vie privée ou à l'information;
- d'autres personnes recommandées par divers partis politiques.
Retourner à la source de la Note 8 Voir, par exemple, Re Ontario Film and Video Appreciation Society, (1984) 45 O.R. (2d) 80, commenté dans Hogg, 2007 : 123.
Retourner à la source de la Note 9 Les traités d'extradition et les ententes internationales en matière de cybersécurité permettent d'appliquer la loi dans une certaine mesure.
Retourner à la source de la Note 10 Cette attaque s'est produite en dehors d'une période électorale et semble être l'œuvre de groupes privés, mécontents du déplacement d'un monument datant de l'ère soviétique.
Retourner à la source de la Note 11 Les tribunaux canadiens ont confirmé qu'il ne serait pas convenable de demander à l'électeur pour quel candidat il a voté, en vertu du principe du secret du vote (Wrzesnewskyj c. Procureur général (Canada) 2012 ONSC 2873, paragraphe 34 et Cusimano c. Toronto (Ville), 2011 ONSC 2527).