06.056 Rapport sur les projets pilotes en matière de vote électronique du 31 mai 2006

Messieurs les Présidents, Mesdames et Messieurs, Nous vous présentons le rapport sur les projets pilotes en matière de vote électronique en vous proposant d'en prendre acte.

Nous vous prions d'agréer, Messieurs les Présidents, Mesdames et Messieurs, l'assurance de notre haute considération.

31 mai 2006

Au nom du Conseil fédéral suisse: Le président de la Confédération, Moritz Leuenberger La chancelière de la Confédération, Annemarie Huber-Hotz

2006-1451

5205

Condensé Contenu Le présent rapport dresse un bilan des projets pilotes menés avec les cantons de Genève, de Neuchâtel et de Zurich entre 2001 et 2005; il propose par ailleurs l'introduction du vote électronique par étapes, sans perdre de vue les risques inhérents à cette forme de vote.

Contexte Par le présent rapport, le Conseil fédéral met un terme aux analyses effectuées en réponse à diverses interventions parlementaires déposées en 1999 et en 2000, analyses qui ont porté sur les chances, les risques et la faisabilité du vote électronique en Suisse. Les vastes travaux qui ont consisté à évaluer les essais pilotes réalisés en 2004 et en 2005 dans les trois cantons susmentionnés serviront de base aux délibérations sur le vote électronique et à la prise des décisions sur la suite des travaux.

Qu'entend-on par vote électronique?

Dans le présent rapport, on entend par vote électronique la possibilité de voter par voie électronique (lors de votations populaires ou d'élections) et de signer, par voie électronique, des demandes de référendum, des initiatives populaires et des listes de candidats au Conseil national.

Chances et risques liés au vote électronique Le vote électronique permettra aux générations futures de participer au processus démocratique même si les conditions de vie changent, et donc de garantir la légitimité des décisions politiques par un large soutien populaire. Il permettra aussi de faciliter les opérations de vote compte tenu de la mobilité croissante des électeurs et de l'augmentation permanente du nombre de Suisses de l'étranger qui ont la qualité d'électeur. Il permettra également aux personnes handicapées (notamment de la vue) de voter sans devoir solliciter de l'aide, tout en garantissant le secret du vote. Il permettra enfin à la Suisse de vanter les mérites de la démocratie directe sur la scène internationale et de s'affirmer sur un marché d'avenir en offrant un service moderne supplémentaire.

Le vote électronique comporte cependant des risques. Il requiert la prise de mesures complexes sur les plans organisationnel, technique et juridique. Le fossé ­ que l'on appelle communément «fracture numérique» ­ qui sépare les personnes qui ont accès à Internet de celles qui n'y ont pas accès pourrait accentuer les inégalités en termes de participation à la vie politique. Les risques d'abus, de nature technique, nécessitent un contrôle et un développement permanents des mesures de sécurité.

Un abus ­ réel ou présumé ­ ou une panne technique serait une source d'inquiétude qui saperait la confiance du corps électoral dans la démocratie directe. Le vote par correspondance servira d'étalon lors de l'évaluation des risques inhérents au vote électronique.

5206

Utilité et coûts du vote électronique De l'avis du Conseil fédéral, l'utilité du vote électronique est manifeste. Ce type de vote va renforcer durablement les droits politiques du corps électoral. Il permettra en outre de créer les conditions nécessaires au maintien à long terme des institutions suisses qui reposent sur la démocratie directe, dans une société en cours de modernisation. Les possibilités de participer à la vie politique doivent pouvoir évoluer en fonction des mutations du mode de vie des citoyens. Il n'y a pas de raison de renoncer à poursuivre les essais pilotes concluants qui ont été réalisés jusque-là, ni de hâter leur extension. Le Conseil fédéral veut donner aux cantons la possibilité d'introduire le vote électronique par étapes.

L'introduction du vote électronique à l'échelle nationale et son exploitation pendant dix ans coûteraient, selon des estimations, 65,76 millions de francs si les cantons choisissaient un système unique, 92,16 millions de francs s'ils optaient pour six systèmes et jusqu'à 400 millions de francs si chacun d'entre eux mettait en place son propre système. Ces coûts ­ quels que soient les systèmes utilisés ­ sont à mettre en rapport avec les économies prévisibles de 27,86 millions de francs qui seraient réalisées en matière de vote par correspondance. Ainsi, les coûts nets de l'introduction du vote électronique à l'échelle nationale se monteraient au minimum à 37,90 millions de francs et au maximum à près de 400 millions de francs. La plus grande partie des coûts serait à la charge des cantons et des communes, la Confédération n'ayant plus que 350 000 francs environ à payer par an au titre de la coordination, en plus des frais initiaux.

Suite des travaux Le Conseil fédéral estime qu'il faudra créer au niveau fédéral les bases juridiques nécessaires pour pouvoir introduire le vote électronique dans les cantons de façon échelonnée et établir des procédures de contrôle dont la coordination incombera à la Confédération. La prévisibilité des risques occupera à cet égard une place prépondérante. Comme une grande partie des coûts inhérents à l'introduction du vote électronique devra être supportée par les cantons et les communes, il faudra les laisser choisir s'ils veulent introduire ce type de vote pour les votations cantonales et communales et, dans l'affirmative, selon quel calendrier et selon quelles modalités. Lors de l'octroi des autorisations portant sur la réalisation d'essais pilotes en matière de vote électronique dans le cadre de votations populaires fédérales, le Conseil fédéral veillera à ce que des essais simultanés ne mobilisent jamais plus de 10 % des électeurs au niveau fédéral au cours de la prochaine législature. Dans le cas des référendums obligatoires, où la majorité des cantons joue aussi un rôle déterminant, il veillera par ailleurs à ce que les essais ne mobilisent pas plus de 20 % des électeurs de chaque canton.

La collaboration novatrice et efficace des cantons pilotes (Genève, Neuchâtel et Zurich) entre eux et avec la Confédération a permis à trois systèmes de vote électronique de voir le jour, lesquels ont prouvé qu'ils étaient performants lors de divers essais pilotes réalisés aux niveaux fédéral, cantonal et communal. Ces systèmes sont désormais à la disposition de tous les autres cantons. C'est à eux qu'il incombera de déterminer quel est le système qui correspond le mieux à leurs besoins.

5207

Table des matières Condensé

5206

1 Contexte 1.1 Qu'est-ce que le vote électronique?

1.2 Mandat confié par le Parlement

5211 5211 5212

2 Conditions nécessaires à la réalisation d'essais pilotes 2.1 Bases légales nécessaires à la réalisation d'essais pilotes 2.2 Accords avec les cantons pilotes 2.3 Autorisation des essais pilotes par le Conseil fédéral 2.4 Harmonisation des registres des électeurs et identificateur de personne 2.5 Exigences en termes de protection des données

5213 5213 5214 5214 5215 5216

3 Critères d'évaluation 3.1 Utilité et conséquences pour la démocratie directe 3.2 Protection contre les risques et contre les abus 3.3 Aspects financiers et faisabilité politique

5217 5217 5218 5220

4 Essais pilotes réalisés en 2004 et en 2005 4.1 Le projet pilote du canton de Genève 4.1.1 Conditions générales 4.1.2 Bases légales cantonales et conditions à remplir 4.1.3 Solution retenue et mise en oeuvre 4.1.4 Essais pilotes et suivi du projet 4.1.4.1 Suivi du projet 4.2 Le projet pilote du canton de Neuchâtel 4.2.1 Conditions générales 4.2.2 Bases légales cantonales et conditions à remplir 4.2.3 Solution retenue et mise en oeuvre 4.2.3.1 Vote électronique intégré au GU 4.2.3.2 Nouvelle organisation des scrutins 4.2.3.3 Processus de vote électronique 4.2.4 Essais pilotes et suivi du projet 4.2.4.1 Essais pilotes et audits de sécurité 4.2.4.2 Suivi du projet 4.3 Le projet pilote du canton de Zurich 4.3.1 Conditions générales 4.3.2 Bases légales cantonales et conditions à remplir 4.3.3 Solution retenue et mise en oeuvre 4.3.3.1 Un scrutin incluant le vote électronique 4.3.4 Essais pilotes et suivi du projet 4.3.4.1 Suivi du projet 4.4 Projets d'autres Etats 4.4.1 Conseil de l'Europe et OSCE 4.5 Conclusion

5221 5221 5221 5221 5221 5224 5225 5226 5226 5226 5227 5227 5228 5229 5229 5229 5231 5232 5232 5232 5232 5234 5235 5237 5237 5239 5240

5208

5 Evaluation des essais pilotes 5.1 Utilité et conséquences pour la démocratie directe 5.1.1 Etude 2003 à 2004 sur la propension à recourir au vote électronique 5.1.2 Enquêtes effectuées dans le cadre des essais pilotes cantonaux réalisés lors de votations populaires fédérales 5.1.2.1 Canton de Genève 5.1.2.2 Canton de Neuchâtel 5.1.2.3 Canton de Zurich 5.1.2.4 Enquêtes effectuées par des tiers 5.1.3 Les facilités de vote vont-elles stimuler la participation électorale?

5.1.4 Conclusion 5.2 Risques et mesures de sécurité 5.2.1 L'architecture de sécurité des systèmes cantonaux 5.2.1.1 Registre virtuel des électeurs 5.2.1.2 Cartes de légitimation 5.2.1.3 Identification, autorisation et validation 5.2.1.4 Cryptage et décryptage des votes 5.2.1.5 Procédure de sauvegarde redondante 5.2.1.6 Contrôle de la qualité d'électeur dans le local de vote 5.2.1.7 Contrôles de plausibilité 5.2.1.8 Décryptage des votes 5.2.1.9 Procédure d'établissement des résultats 5.2.1.10 Protection des données 5.2.2 Evaluation de la mise en oeuvre par les cantons en fonction des risques 5.2.2.1 Identification et authentification de l'électeur 5.2.2.2 Authentification du serveur réservé au scrutin 5.2.2.3 Sécurité de la communication 5.2.2.4 Sécurité des appareils de saisie 5.2.2.5 Contrôle démocratique du processus de dépouillement 5.2.2.6 Traçabilité et preuve 5.2.3 Comparaison avec les risques inhérents au vote par correspondance 5.3 Aspects financiers et faisabilité 5.3.1 Coûts liés aux projets pilotes 5.3.2 Coûts liés à l'introduction du vote électronique 5.3.3 Potentiel d'économies 5.3.4 Deux variantes de collaboration entre les cantons 5.3.5 Harmonisation des registres des électeurs et identificateur de personne 5.4 Conclusions et suite des travaux 5.4.1 Réalisation par étapes 5.4.2 Nécessité d'adapter les bases légales 5.4.3 Mesures de suivi de nature sociétale 5.4.4 Organisation des travaux à venir

5241 5241 5242 5244 5244 5246 5247 5248 5248 5251 5251 5251 5252 5252 5253 5253 5253 5254 5254 5255 5255 5255 5256 5256 5256 5257 5257 5258 5259 5261 5266 5266 5269 5272 5274 5274 5275 5276 5277 5278 5279

5209

6 Considérations finales

5280

Glossaire de termes techniques

5283

Documentation complémentaire

5285

5210

Rapport 1

Contexte

Les technologies de l'information et de la communication ont connu une évolution fulgurante dans les années 90. La Suisse a donc cherché à s'en servir toujours plus dans la gestion administrative, dans la communication entre l'Etat et le citoyen ainsi que dans les procédures démocratiques de formation de l'opinion et de prise des décisions.

Face à cette évolution, la Chancellerie fédérale a, sur mandat du Conseil fédéral et du Parlement, effectué des essais pilotes en matière de vote électronique en collaboration avec les cantons de Genève, de Neuchâtel et de Zurich, mais aussi évalué la faisabilité de ce type de vote en Suisse.

1.1

Qu'est-ce que le vote électronique?

L'essor prodigieux des appareils de communication numériques ouvre de nouvelles perspectives en termes de communication et d'interactivité dans la sphère professionnelle comme dans la sphère privée. Qui plus est, les nouvelles technologies de l'information et de la communication envahissent la culture démocratique suisse.

Internet, en particulier, a déjà profondément modifié la politique au quotidien. De plus en plus d'informations politiques sont disponibles en ligne. Partis et politiciens s'affrontent sur la scène numérique. Internet est un outil de plus en plus prisé pour la formation de l'opinion politique. Dans ces conditions, comment l'Etat doit-il procéder pour garantir la participation politique de tous les citoyens à la démocratie numérique?

L'une des réponses possibles à cette question est la suivante: en donnant aux citoyens la possibilité de voter par voie électronique à l'extérieur des bureaux de vote dans le cas des votations et des élections politiques. Les premières formes de vote électronique sont connues: il s'agit des votes qui se déroulent dans les enceintes parlementaires à l'aide d'ordinateurs et de tableaux d'affichage, mais aussi des systèmes en vigueur dans divers pays, où les électeurs utilisent des appareils électroniques à écran tactile pour voter1. Une autre possibilité est offerte par le «kiosk voting», à savoir le vote, dans des locaux aménagés spécialement à cet effet appartenant aux pouvoirs publics, à l'aide d'ordinateurs dont la maintenance est assurée par ces derniers.

Le recours aux machines à voter et au «kiosk voting» n'entre toutefois pas en ligne de compte en Suisse étant donné qu'on peut y voter partout par correspondance. Ces deux possibilités n'ont dès lors pas fait l'objet d'une évaluation dans le cadre des projets pilotes.

1

Cf. ch. 4.4

5211

En Suisse, on entend plutôt par vote électronique le vote électronique à distance2, c'est-à-dire le vote par Internet, par SMS ou par d'autres vecteurs électroniques servant à la communication de données.

Enfin, le vote électronique comprend aussi la signature, par voie électronique, de demandes de référendum, d'initiatives populaires et de listes de candidats au Conseil national. Ces procédures n'ont toutefois pas encore été testées durant la phase pilote.

Selon les circonstances, il faut disposer d'une signature numérique reconnue par l'Etat pour pouvoir apposer une signature électronique, l'élément déterminant étant en l'occurrence l'identification nominale du signataire et non le secret du vote. Pour l'instant, la diffusion de telles signatures électroniques qualifiées n'est pas encore suffisante en Suisse3.

1.2

Mandat confié par le Parlement

Publiée le 18 février 1998, la Stratégie du Conseil fédéral pour une société de l'information en Suisse relève qu'il faut examiner dans quelle mesure il est possible d'utiliser les nouvelles technologies de l'information et de la communication pour «renforcer l'intégration de la population au processus démocratique de prise de décisions»4. Deux ans plus tard, le Parlement a demandé à ce propos la réalisation d'une étude de faisabilité et a chargé le Conseil fédéral de faire avancer les travaux visant à l'introduction du vote électronique en Suisse5.

En août 2000, le Conseil fédéral a chargé la Chancellerie fédérale d'examiner s'il était possible de mettre sur pied un système de vote électronique à distance basé sur un réseau (p. ex. Internet) et permettant de voter à partir de n'importe quel appareil.

Le 30 juin 2000, le groupe de travail «Avant-projet Vote électronique», composé de représentants de la Confédération et des cantons, a été créé sur décision de la Chancellerie fédérale.

Le groupe de travail a rassemblé des informations sur les projets comparables menés à l'étranger, examiné des variantes de nature technique destinées à garantir la sécurité, déterminé les risques et les chances potentiels liés au vote électronique, examiné la possibilité de créer un registre électoral virtuel et procédé à de premières estimations des coûts dans l'éventualité de l'introduction du vote électronique. Le Conseil fédéral a publié le 9 janvier 2002 son rapport consacré aux chances, aux risques et à la faisabilité de l'exercice des droits politiques par voie électronique (FF 2002 612), 2

3

4

5

Dans les pays germanophones, on appelle le vote électronique à distance «Distanz-E-Voting», et dans les pays anglophones, «remote e-voting» ou «remote voting by electronic means (RVEM)».

Depuis l'entrée en vigueur de la loi sur la signature électronique (SCSE, RS 943.03), le 1er janvier 2005, on dispose de la base légale nécessaire pour pouvoir effectuer des transactions contractuelles indépendantes des systèmes d'information. Swisscom Solutions, filiale de Swisscom, est la première entreprise en Suisse à avoir obtenu ­ en décembre 2005 ­ l'autorisation de proposer des signatures électroniques qualifiées.

Stratégie du Conseil fédéral pour une société de l'information en Suisse, du 18 février 1998, p. 4. En date du 18 janvier 2006, le Conseil fédéral a révisé sa stratégie tout en prenant connaissance du 7e rapport du GCSI. Il a relevé une fois de plus que les technologies de l'information et de la communication peuvent améliorer les possibilités de communication et de participation de tous (Cf. www.infosociety.ch).

À propos des différentes interventions, voir le rapport du 9 janvier 2002 sur le vote électronique. Chances, risques et faisabilité, FF 2002 612, en l'occurrence p. 616 s.

5212

rapport adressé au Parlement. Il y arrive à la conclusion qu'il faut mener des projets pilotes avec les cantons intéressés pour étudier à fond la question de la faisabilité du vote électronique.

Chargée de l'examen préalable, la Commission des institutions politiques du Conseil national a soutenu ce projet. Elle a toutefois déclaré que le passage au vote électronique devrait se faire par petites étapes pour que l'on puisse prendre en considération les spécificités du système politique suisse en termes de démocratie directe et de fédéralisme. Elle a aussi relevé que la confiance des votants dans la démocratie semi-directe ne devait pas être ébranlée. Enfin, elle a souligné qu'il fallait tenir compte des règles applicables au vote par correspondance pour ce qui est des risques liés au vote électronique. Le Conseil national et le Conseil des Etats ont pris acte du rapport respectivement le 19 mars et le 5 juin 20026.

2

Conditions nécessaires à la réalisation d'essais pilotes

Les conditions nécessaires à la réalisation d'essais pilotes en matière de vote électronique sont présentées ci-après.

2.1

Bases légales nécessaires à la réalisation d'essais pilotes

Le 21 juin 2002, le Parlement a créé les bases légales nécessaires à la réalisation d'essais pilotes officiels en matière de vote électronique en adoptant une révision partielle de la loi fédérale du 17 décembre 1976 sur les droits politiques (LDP, RS 161.1)7. Ces bases légales permettent au Conseil fédéral, en accord avec les cantons et les communes intéressés, d'autoriser l'expérimentation du vote électronique en la limitant à une partie du territoire, à certaines dates et à certains objets.

Dans ces cas, le contrôle de la qualité d'électeur, le secret du vote et le dépouillement de la totalité des suffrages doivent être garantis, sans parler du fait que tout risque d'abus doit être écarté. Le Parlement a par ailleurs exigé que l'expérimentation fasse l'objet d'un suivi scientifique, mais aussi d'un relevé en particulier quant au sexe, à l'âge et à la formation des électeurs concernés.

En application du nouvel art. 8a LDP, le Conseil fédéral a complété l'ordonnance du 24 mai 1978 sur les droits politiques (ODP, RS 161.11) en date du 20 septembre 2002. Cette ordonnance renferme désormais les conditions qui doivent être remplies pour que le Conseil fédéral puisse autoriser des essais pilotes en matière de vote électronique (art. 27a à 27q ODP, RO 2002 3200). Le Conseil fédéral a adressé une circulaire en la matière aux gouvernements cantonaux en date du 20 septembre 2002 (FF 2002 6141).

6 7

BO 2002 N 331 ss et 1139; BO 2002 É 333 ss et 553.

Art. 5, al. 3, 2e phrase, art. 8a, art. 12, al. 3, art. 38, al. 5, et art. 49, al. 3, LDP ainsi qu'art. 1, al. 1, 2e phrase, de la loi fédérale du 19 décembre 1975 sur les droits politiques des Suisses de l'étranger (LDPSE, RS 161.5). RO 2002 3193.

5213

2.2

Accords avec les cantons pilotes

Le Conseil fédéral a convenu avec les cantons de Genève, de Neuchâtel et de Zurich, dans une déclaration d'intention, de la réalisation de projets pilotes ayant pour but de préparer des essais officiels dans les trois cantons à l'occasion de votations populaires fédérales. Des accords entre la Chancellerie fédérale et les trois cantons pilotes en règlent les modalités. Ils contiennent notamment des dispositions sur le respect des règles de sécurité suivantes: ­

il doit être impossible de capter, de modifier ou de détourner les suffrages exprimés par voie électronique;

­

aucun tiers ne doit pouvoir prendre connaissance de la teneur des suffrages exprimés par voie électronique;

­

seules les personnes autorisées à voter doivent pouvoir voter;

­

toute personne autorisée à voter ne doit disposer que d'une seule voix.

Les accords prévoient expressément que les projets pilotes ne préjugent en rien d'une future solution fédérale. Les cantons pilotes ne peuvent pas se prévaloir du fait qu'un essai pilote a été autorisé pour invoquer le droit général d'introduire le vote électronique sur leur territoire. La Confédération participe à la couverture des surcoûts engendrés par les essais pilotes par rapport aux votations traditionnelles à raison de 80 % au maximum. Enfin, les accords prévoient aussi que les cantons pilotes doivent mettre gratuitement à la disposition de tous les cantons intéressés les résultats issus des projets pilotes.

2.3

Autorisation des essais pilotes par le Conseil fédéral

L'autorisation des essais pilotes dans le cadre de scrutins fédéraux incombe au Conseil fédéral (art. 27c, phrase introductive, ODP), lequel doit valider le résultat de la votation (art. 15, al. 1, LDP). Le Conseil fédéral peut autoriser des essais pilotes en les limitant à une partie du territoire, à certaines dates et à certains objets pour minimiser les risques. Il doit donc déterminer les communes dans lesquelles les résultats du vote électronique auront des effets juridiques liant les autorités (art. 27c, let. c, ODP) et pour quels scrutins le vote électronique est autorisé (art. 27c, let. a, ODP). En complétant l'ODP le 20 septembre 2002, le Conseil fédéral a subordonné l'autorisation d'un essai pilote à des conditions draconiennes, lesquelles doivent toutes être remplies, à moins que l'ordonnance n'en dispose autrement8.

8

Tout système de vote électronique doit être conforme aux connaissances techniques les plus récentes afin que tout risque soit écarté. Il doit en outre être vérifié régulièrement par un service externe indépendant. À ce propos, l'ODP dispose, à son art. 27l, intitulé «Etat de la technique», ce qui suit: Al. 1: «Avant toute votation ou élection, l'autorité compétente doit apprécier le matériel, les logiciels, utilisés par elle, l'organisation et le déroulement de la procédure en fonction de l'état actuel de la technique.» Al. 2: «Un service externe indépendant, reconnu par la Chancellerie fédérale, doit confirmer que toutes les mesures de sécurité requises ont été prises et que le système électronique mis en place pour le vote ou pour la votation fonctionne. Il doit en aller de même à chaque changement de système.»

5214

Les projets pilotes des cantons de Genève, de Neuchâtel et de Zurich ont été réalisés en étroite collaboration avec la Chancellerie fédérale. Celle-ci et les groupes de suivi des cantons pilotes étaient informés à tout moment de l'état de la technique et des adaptations prévues.

Tout recours au vote électronique à l'occasion d'un scrutin fédéral pendant la phase pilote nécessitait l'autorisation du Conseil fédéral. Les demandes d'autorisation devaient contenir notamment une documentation technique détaillée.

Avant d'être utilisés pour la première fois, les trois systèmes pilotes ont été contrôlés par des entreprises externes mandatées par la Chancellerie fédérale. Les contrôles ont porté sur la sécurité des systèmes et sur la sécurité contre les attaques dues à des hackers. Les contrôles de plausibilité (Cf. ch. 5.2.1.7) opérés le dimanche de la votation ont toujours été effectués en présence de représentants de la Chancellerie fédérale.

La documentation technique relative à un système de vote électronique ainsi que les avis concernant la sécurité constituent des documents cantonaux confidentiels qui sont joints à la demande que le canton présente au Conseil fédéral. Ces documents ne sont pas publics. Les cantons qui appliquent déjà le principe de la transparence peuvent subordonner la consultation de ces documents ou du code des programmes à des conditions ou carrément la refuser dans la mesure où ils renferment des informations de sécurité qui sont sensibles ou des secrets d'entreprise. Cette pratique a été confirmée par le Tribunal fédéral9.

2.4

Harmonisation des registres des électeurs et identificateur de personne

Le recours au vote électronique passe impérativement par l'harmonisation des registres des électeurs, dont la plupart sont tenus par les communes10. Au début des travaux pilotes, il n'y avait pas encore, au niveau fédéral, de dispositions légales relatives à l'identification des personnes dans ces registres, aux dénominations des champs, aux caractères et aux types d'écritures. Les cantons pilotes ont cependant pu s'appuyer sur des dispositions cantonales et sur une norme de l'association eCH11 pour concevoir leurs applications. Ils ont en outre toujours utilisé des identificateurs propres, cantonaux ou communaux, pour procéder à l'identification des personnes. Il n'a donc pas été possible de procéder à un échange supracantonal de données entre les registres des électeurs, faute d'avoir pu procéder à une identification numérique univoque.

Le canton de Genève disposait déjà, lors du lancement de son projet, d'un registre cantonal de personnes qui était uniformisé. Ce registre a permis de constituer un registre des électeurs le jour J. Le canton de Neuchâtel a pu achever avant le début du projet la fusion des registres tenus par les communes. Le canton de Zurich, enfin,

9 10 11

Arrêt du Tribunal fédéral 1P.29/2006 du 23 mars 2006 (non publié).

Pour en savoir plus sur les bases légales cantonales régissant la tenue des registres des électeurs, consulter la documentation complémentaire 3.

Norme eCH «0027: Meldeprozesse», en vigueur depuis le 29.10.2004; www.unisg.ch/org/idt/echweb.nsf/0/D38E4752D42D358AC1256F3C002F6B0A?OpenD ocument&lang=de.

5215

a dû tout d'abord développer un système donnant une vue d'ensemble des registres communaux.

Pour garantir le secret du vote, les trois cantons pilotes ont rendu anonymes toutes les données se rapportant à des personnes (nom, adresse, date de naissance, etc.)

après l'établissement des cartes de légitimation. Pour savoir si un électeur donné avait déjà fait usage de son droit de vote, il suffisait d'effectuer une vérification dans le registre des électeurs à l'aide du numéro de la carte de légitimation. Il était dès lors impossible de voter deux fois. Enfin, il était tout aussi impossible d'établir l'identité d'une personne avant, pendant et après les scrutins.

2.5

Exigences en termes de protection des données

Le préposé fédéral à la protection des données (PFPD) voit dans le vote électronique une application d'une très grande complexité. Il y voit aussi un conflit d'intérêts entre l'exigence de l'anonymat des votants ­ secret du vote oblige ­ et la nécessité de pouvoir retracer l'opération dans une certaine mesure. C'est dans son rapport d'activités 2002 qu'il a publié pour la première fois son évaluation critique du vote électronique. Il relève que des experts en informatique renommés mettent en doute la traçabilité des processus informatiques dans le domaine du vote électronique. Il souligne certes que des méthodes basées sur des signatures numériques invisibles permettent de surmonter dans une certaine mesure le conflit existant entre l'anonymat et la traçabilité, mais qu'elles ne permettent pas de résoudre le problème de la complexité dans son ensemble. Il relève enfin que c'est précisément sous cet angle qu'il faut examiner la faisabilité du projet avant que l'on puisse introduire le vote électronique12.

La loi fédérale du 19 juin 1992 sur la protection des données (LPD, RS 235.1) dispose, aux art. 1 et 2, qu'elle vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données effectué par des organes fédéraux ou par des personnes privées. Elle dispose par ailleurs, à l'art. 4, que la collecte de données personnelles doit se faire de manière licite et que leur traitement doit correspondre à un but inscrit dans une loi.

Ces dispositions s'appliquent aux données inscrites dans les registres des habitants des cantons et des communes, données qui sont indispensables à l'établissement des registres des électeurs. Mais elles s'appliquent aussi aux données nécessaires au contrôle de la qualité d'électeur lors du vote proprement dit. Dans le premier cas, les personnes chargées d'organiser un scrutin électronique peuvent tirer parti des nombreuses expériences faites en matière de vote traditionnel. Ce n'est que dans les cas où l'on constitue par exemple un registre cantonal des électeurs pour organiser un scrutin électronique qu'il faut réexaminer le traitement des données sous l'angle de la protection des données.

12

9e rapport d'activités du préposé fédéral à la protection des données (2001/2002), Berne 2002, p. 14 s., publié à l'adresse www.edsb.ch/f/doku/jahresberichte/tb9/index.htm.

5216

3

Critères d'évaluation

Le présent chapitre présente les critères qui ont servi à l'évaluation des projets pilotes. Le ch. 4 passera ensuite en revue les projets pilotes, puis le ch. 5 en donnera une évaluation sur la base des critères en question.

3.1

Utilité et conséquences pour la démocratie directe

L'utilité du vote électronique réside en général dans sa capacité de faciliter les opérations de vote. Dans une société où la mobilité gagne en importance, le vote électronique peut, au même titre que le vote par correspondance, faciliter grandement la participation des citoyens aux votations et aux élections. Cette forme moderne de vote pourrait séduire de nombreux électeurs ­ jeunes et moins jeunes ­ sensibles aux nouveautés offertes par la société de l'information. Elle permettrait aussi à de nombreux Suisses de l'étranger de ne plus pâtir de la lenteur de l'acheminement postal du matériel de vote. Elle permettrait enfin aux non-voyants et aux handicapés de la vue de participer pour la première fois à un scrutin sans devoir solliciter de l'aide, tout en garantissant le secret du vote13. Somme toute, le vote électronique pourrait contribuer à faire augmenter le taux de participation.

Le vote électronique présenterait, outre l'avantage général présenté ci-dessus, toute une série d'avantages particuliers. En admettant qu'il pousse soudainement certaines catégories de la population (les jeunes, les aînés, les hommes, les femmes, les personnes préférant l'acheminement du matériel de vote par courrier postal, les esprits conformistes, etc.) à participer aux votations et aux élections de manière supérieure à la moyenne, voire à y participer plus régulièrement, certains partis ou groupes d'intérêts pourraient en profiter plus que d'autres.

Mais, au fait, le vote électronique séduit-il les électeurs et répond-il à leurs besoins?

C'est là une question qui doit être abordée dans le cadre du suivi scientifique des essais pilotes.

C'est la raison pour laquelle les Chambres fédérales ont doté l'art. 8a LDP d'un al. 3, qui dispose que le sexe, l'âge et la formation des électeurs qui prennent part aux projets pilotes doivent faire l'objet d'un relevé.

La Chancellerie fédérale a dû fixer les conditions générales (coûts, objectifs) des enquêtes sur la typologie des personnes ayant pris part aux essais en matière de vote électronique. Elle a en outre dû veiller à ce que l'efficacité des essais pilotes (évolution de la participation électorale et impact sur les habitudes de vote) fasse l'objet d'une évaluation (art. 27o et 27p ODP).

13

C'est ce qui ressort d'une petite enquête de la fondation «Accès pour tous» réalisée en février 2002. Pour qu'il soit possible de voter, l'ordinateur doit toutefois être équipé d'un clavier braille et d'un système de synthèse vocale. Une personne handicapée de la vue pourrait aussi lire les codes imprimés sur la carte de légitimation grâce à un scanner.

5217

3.2

Protection contre les risques et contre les abus

Le vote électronique doit répondre aux exigences de sécurité les plus élevées. Les milieux scientifiques ont beaucoup travaillé sur l'analyse des risques inhérents à cette forme de vote. On distingue avant tout les risques de manipulation de nature technique et les risques généraux de nature technique: Un appareil utilisé pour voter pourrait être trafiqué de telle sorte que les choix opérés par les votants et que les informations qui permettent l'identification des personnes habilitées à voter soient stockés, voire lus14. Dans ce cas de figure, le risque est qualifié d'élevé, car l'appareil utilisé pour voter ne peut pas être contrôlé par les autorités électorales, étant entendu que les électeurs ne possèdent pas forcément les connaissances techniques suffisantes pour identifier des attaques ou des logiciels malveillants15. Un autre risque concerne la vulnérabilité au phénomène du Web spoofing. Les votants pourraient être acheminés sur des sites Internet falsifiés, y saisir leurs données d'accès et y voter. Les falsificateurs pourraient alors utiliser les informations ainsi récoltées pour accéder au serveur officiel pour y voter à la place des personnes autorisées à le faire, et donc influer sur l'issue du scrutin en fonction de leurs propres affinités politiques (attaque de l'homme du milieu)16. On pourrait aussi imaginer une attaque comparable consistant à parasiter ­ sans laisser de traces ­ les données échangées entre le serveur officiel et les électeurs, donc à influer sur les suffrages exprimés. Dans les réseaux d'entreprises, les administrateurs des systèmes pourraient tenter d'observer les opérations de vote des collaborateurs ou de les infléchir17. Enfin, on pourrait imaginer que quelqu'un utilise les données stockées dans la mémoire tampon d'un appareil de saisie pour connaître la manière dont une personne a voté18.

Une expertise consacrée au système américain de vote électronique, baptisé «SERVE», est même arrivée à la conclusion, en 2004, qu'Internet, de par sa configuration, ne se prête pas à une communication sûre et protégée19. Les intrusions, 14

15

16

17 18

19

FF 2002 637; Alvarez/Hall 2004, p. 83; Jefferson et al. 2004a, p. 62; Jefferson et al. 2004b, p. 12 ss; Mitchison 2003, p. 259; Oppliger 2002b, p. 12 et 18 s.; Oppliger 2002a, p. 185; Comité Sécurité (28.1.2002), p. 7 s.; Rubin 2002, p. 40 ss; Schryen 2004, p. 124 s. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Cf. Burmester/Magkos 2003, p. 67; Cranor 2003, p. 27; Independent Commission on Alternative Voting Methods (U.K.) 2002, p. 91 s.; Jefferson et al. 2004a, p. 62 s.; Jones 2003, p. 14; Comité Sécurité (28.1.2002), p. 8; Rubin 2002, p. 40. Pour en savoir plus sur le facteur humain dans le domaine de la sécurité numérique, cf. Schneier 2004, p. 249 ss.

Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Alvarez/Hall 2004, p. 84; Burmester/Magkos 2003, p. 67; Independent Commission on Alternative Voting Methods (U.K.) 2002, p. 92; Jefferson et al. 2004a, p. 63; Jefferson et al. 2004b, p. 16 ss; Mitchison 2003, p. 259; Oppliger 2002a, p. 185; Comité Sécurité (28.1.2002), p. 7 s.; Rubin 2002, p. 41 et 43 s.; Schryen 2004, p. 127. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Jefferson et al. 2004b, p. 13 s.; Oppliger 2002b, p. 12. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Cf. aussi Burmester/Magkos 2003, p. 73; Peralta 2003, p. 156 et 158. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Jefferson et al. 2004a, p. 60; Jefferson et al. 2004b, p. 21 et 32. Mais également Kley/Feller 2003, p. 98. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

5218

même dans des réseaux réputés très sûrs (notamment ceux des entreprises de haute technologie ou des gouvernements), prouvent que des as de l'informatique à l'esprit novateur trouvent toujours des solutions pour neutraliser les dispositifs de sécurité d'un système. Ce constat pourrait susciter l'intérêt de partis politiques, mais aussi de terroristes ou d'autres Etats20. Mais les «initiés», notamment les administrateurs des systèmes ou les employés des fabricants, figurent aussi au nombre des personnes potentiellement dangereuses, car ils peuvent être amenés à accéder illicitement à certaines données21, que ce soit parce qu'ils veulent servir leurs propres intérêts ou parce qu'ils y sont contraints22. Qui plus est, il n'est pas rare que des voix s'élèvent pour mettre en doute la vérifiabilité des opérations durant le vote électronique. Ce que l'on critique en l'occurrence, c'est le fait que le dépouillement et les éventuels recomptages ne sont compréhensibles que par des spécialistes, notamment par des informaticiens23. On relève par ailleurs que cet état de fait est susceptible de saper la confiance des électeurs24. Le Conseil fédéral a déjà effectué une présentation détaillée des risques et des dangers dans son rapport du 9 janvier 2002 sur le vote électronique25. Durant les débats parlementaires consacrés à ce rapport et à la base légale nécessaire pour réaliser des essais pilotes, certains députés ont aussi fait part de leurs objections en matière de sécurité, de prévention des abus et de maintien du secret du vote dans le domaine du vote électronique26.

À l'occasion d'une journée organisée en octobre 2002 par l'Association suisse pour le développement de l'informatique juridique, le vote électronique a essuyé une série de critiques, en particulier en ce qui concerne les craintes liées au secret de la transmission des suffrages exprimés par voie électronique27.

Si la Suisse se dote d'un système de vote électronique, celui-ci devra répondre aux exigences de sécurité les plus élevées. Il devra aussi pouvoir être utilisé par tous les électeurs potentiels sans qu'ils aient besoin de posséder des connaissances spécifiques. Il s'agira de concevoir un système présentant un niveau de sécurité très élevé, à un prix abordable et sans restreindre outre mesure la convivialité dudit système.

Dans le cadre
des essais pilotes, il a donc fallu non seulement comparer les risques potentiels inhérents au vote électronique et les mesures de sécurité à prendre pour les écarter avec les risques et les mesures correspondantes en matière de vote traditionnel, et plus particulièrement de vote par correspondance, mais aussi procéder à leur évaluation.

20 21

22 23

24 25 26 27

Jefferson et al. 2004b, p. 11; Pratchett et al. 2005, p. 171. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Cf. Mitchison 2003, p. 260 s.; Pratchett et al. 2005, p. 172; Rubin 2002, p. 42. Cf. aussi Schneier 2004, p. 44 s. et 259. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Comité Sécurité (28.01.2002), p. 9. Pour consulter les indications bibliographiques complètes, se reporter à la documentation complémentaire 1.

FF 2002 627; Flückiger 2003, p. 146 ss; Kley/Rütsche 2002, p. 271; Steinmann 2003, p. 500; Warynski 2003, p. 232. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

Kley/Feller 2003, p. 98 s.; Steinmann 2003, p. 500. Pour consulter l'intégralité des références bibliographiques, se reporter à la documentation complémentaire 1.

FF 2002 612, en l'occurrence 620 s.

BO 2002 N 333 Cf. Muralt Müller Hanna et Koller Thomas (Éd.), E-Voting, Journées d'informatique juridique 2002, Berne 2002.

5219

En résumé, on peut classer dans les catégories suivantes les risques de nature technique qu'il a fallu analyser dans le cadre des projets pilotes en matière de vote électronique: ­

identification et authentification de l'électeur;

­

authentification du serveur réservé au scrutin;

­

sécurité de la communication;

­

sécurité des appareils de saisie;

­

contrôle démocratique du processus de dépouillement;

­

traçabilité et preuve.

3.3

Aspects financiers et faisabilité politique

Dans son rapport du 9 janvier 2002 sur le vote électronique, le Conseil fédéral a estimé les coûts de l'introduction du vote électronique dans toute la Suisse et de son utilisation pendant dix ans à un montant oscillant entre 400 et 620 millions de francs28. À l'époque, il tablait sur une introduction à court terme.

Lors des débats parlementaires, des députés de différents bords ont dit haut et fort que la réalisation d'un projet aussi coûteux n'était pas raisonnable pour des raisons de rentabilité. La situation financière des administrations publiques en Suisse s'est gravement détériorée au cours des deux dernières décennies. Vu l'endettement très élevé des collectivités publiques, des députés ont souligné que des projets de cette envergure devaient faire l'objet d'un examen minutieux.

C'est dans ce contexte qu'il a fallu examiner l'estimation sommaire que le Conseil fédéral a publiée dans son rapport du 9 janvier 2002 sur le vote électronique. Il a ainsi fallu, lors de la réalisation des projets pilotes, recenser toutes les ressources humaines et matérielles utilisées pour mettre au point et exploiter les systèmes cantonaux et pour organiser les scrutins électroniques, mais aussi procéder à une évaluation dans la perspective de l'introduction du vote électronique dans toute la Suisse.

Il a aussi fallu déterminer, dans le cadre des essais pilotes, si les administrations des trois échelons étatiques sont en mesure de remplir les conditions nécessaires à la mise en oeuvre du vote électronique et s'il y a une réelle volonté politique de prendre des engagements ­ qui ne sont pas négligeables ­ et de se lancer dans les collaborations qui s'imposent.

28

FF 2002 654

5220

4

Essais pilotes réalisés en 2004 et en 2005

4.1

Le projet pilote du canton de Genève

4.1.1

Conditions générales

Dans une déclaration d'intention du 25 avril 2001, le Conseil fédéral s'est déclaré prêt à autoriser le gouvernement du canton de Genève, s'il en faisait la demande, à réaliser un essai pilote en matière de vote électronique à l'occasion d'une votation fédérale dès qu'il disposerait des moyens techniques lui permettant de respecter intégralement les principes applicables au vote qui figurent dans la Constitution et dans la législation29.

La mise en oeuvre du projet pilote genevois a été réglée dans l'accord du 25 avril 2001 passé entre la Chancellerie fédérale et le canton de Genève. L'objectif de ce projet pilote était de prouver qu'il était possible d'organiser un scrutin électronique en toute sécurité à l'occasion de votations fédérales en combinant un code d'accès et un mot de passe à usage unique et en prenant toute une série de mesures de nature technique et organisationnelle.

4.1.2

Bases légales cantonales et conditions à remplir

Au début de son projet pilote, le canton de Genève disposait déjà d'une base légale pour autoriser les essais pilotes en matière de vote électronique: cette base légale, qui existe depuis 1982, n'est autre que l'art. 188 de la loi cantonale sur l'exercice des droits politiques, qui autorise le Conseil d'Etat, sous certaines conditions, en matière cantonale ou communale, à procéder à des tests en vue d'adapter l'exercice des droits politiques aux possibilités offertes par la technique30. Le vote électronique fait partie de ces possibilités. Tout recours au vote électronique à titre expérimental doit être autorisé par le Conseil d'Etat31.

La législation genevoise permet aux citoyens du canton d'assister au dépouillement des bulletins dans les locaux de vote. Dans le cas du vote par correspondance, ce contrôle public a été délégué aux partis, qui choisissent dans leurs rangs les adhérents qui formeront une équipe de contrôleurs. Cette règle a été étendue aux essais pilotes en matière de vote électronique.

4.1.3

Solution retenue et mise en oeuvre

Le canton de Genève est propriétaire du système de vote électronique qu'il a mis au point. Le système a été développé, sur mandat de la Chancellerie d'Etat, par le service informatique cantonal, à savoir le Centre des technologies de l'information de l'Etat (CTI), en collaboration avec les entreprises privées Hewlett Packard Suisse (matériel et logiciel), Wisekey (technologie de cryptage) et blue-infinity (sécurité), toutes trois installées à Genève.

29 30 31

Cf. ch. 2.2 Art. 188 de la loi du 15 octobre 1982 sur l'exercice des droits politiques (LEDP), Recueil systématique genevois, A 5 05.

Cf. notamment www.geneve.ch/evoting/doc/ace_autorisation.pdf.

5221

Le mot-clé qui a présidé au développement de la solution genevoise de vote électronique est «simplicité». Pour que le vote électronique s'impose face au vote par correspondance, il doit, dans la mesure du possible, être aussi simple que lui. Le travail a dès lors consisté à transposer sur Internet le processus du vote par correspondance. De même, la carte de légitimation existante, renouvelée à chaque scrutin, n'a subi que peu de changements pour s'adapter au vote électronique.

Des trois cantons pilotes, Genève est le seul qui disposait d'un registre informatisé des électeurs lors du lancement du projet de vote électronique. Ce registre n'existe pas de manière permanente, mais est créé avant chaque scrutin par extraction du registre des habitants tenu par l'Office cantonal de la population, d'une part, et du registre des Suisses de l'étranger, tenu par le Service des votations et élections, d'autre part. À cet égard, la situation genevoise est plus semblable qu'il n'y paraît à celle de nombreux cantons suisses auxquels elle pourrait servir de base.

Le registre électoral qui est chargé dans les serveurs de vote est anonymisé. Les électeurs y sont enregistrés sous la forme d'un numéro personnel à seize chiffres, qui permet de coder leur année de naissance, leur sexe et la commune dans laquelle ils exercent leur droit de vote. Ce numéro personnel est reproduit sur la carte de légitimation, de même qu'un code secret à six chiffres (ce dernier caché sous un film à gratter) ainsi que l'empreinte du certificat digital lié au site de vote. Ce dernier permet à l'électeur de s'assurer qu'il est bien en contact avec le site officiel de vote.

Le vote par Internet se déroule en quatre étapes: 1.

Pour être admis sur le serveur de vote, l'électeur doit saisir les seize chiffres de son numéro personnel. La probabilité de tomber juste au hasard est de un sur cinq milliards. Passé ce barrage, une connexion est établie avec le serveur sécurisé, et un bulletin de vote électronique est envoyé au PC de l'électeur.

2.

L'électeur vote.

3.

Le système soumet à l'électeur une récapitulation de ses choix. L'électeur doit alors s'identifier en donnant sa date de naissance, sa municipalité d'origine (à choisir dans un menu déroulant riche de 50 noms) et le code secret figurant sur la carte de légitimation, sous un film à gratter. Ce code change à chaque scrutin.

4.

Le système confirme qu'il a enregistré le vote et donne la date et l'heure de l'enregistrement.

Du fait que le registre des électeurs est le même pour le vote par correspondance et le vote électronique, le fait de voter par Internet bloque la possibilité d'enregistrer un vote par correspondance pour la même personne. Comme il faut dévoiler le code secret pour valider le vote émis par Internet, il apparaît que voter en ligne laisse une «trace». Ainsi, l'électeur qui présenterait au local de vote une carte de légitimation dont le code secret serait dévoilé ne pourrait pas voter avant qu'une vérification soit effectuée pour s'assurer qu'il n'a pas déjà voté.

Avant l'ouverture du scrutin, l'urne électronique est verrouillée avec deux clefs digitales, dont le mot de passe est choisi par les contrôleurs. Un contrôle croisé des partis entre eux et des partis sur l'administration s'exerce à la fermeture et à l'ouverture de l'urne. Durant le scrutin, l'accès au lieu physique où se trouve l'urne électronique est strictement contrôlé.

5222

En outre, les contrôleurs émettent des suffrages dans une urne-test, dont le dépouillement doit donner le résultat attendu, tant en nombre de votes qu'en résultat. Il est ainsi possible de vérifier que l'application n'introduit pas de biais dans les résultats.

Le dépouillement des suffrages électroniques a lieu dans les locaux de la police cantonale, en présence des contrôleurs des partis politiques. Un ordinateur personnel est relié à l'urne électronique par un câble distinct. Seuls les contrôleurs peuvent alors procéder au décryptage des suffrages en saisissant deux mots de passe qu'ils ont eux-mêmes créés à l'ouverture de la procédure de vote. Après la fermeture de l'urne, les suffrages électroniques sont ajoutés aux suffrages exprimés par correspondance et aux suffrages déposés dans l'urne.

Le système et ses composants sont surveillés en permanence par un système spécifique afin qu'il soit possible de détecter toute anomalie de fonctionnement, tout processus incorrect ou toute attaque de hackers. Si une irrégularité se produit durant la procédure de vote, les responsables du système sont alertés automatiquement; ils appliquent alors un protocole prédéfini. Si un danger qui menace l'urne électronique ne peut pas être écarté, l'état-major de crise mis sur pied pour chaque scrutin peut même interrompre physiquement la liaison entre le système et Internet. Au terme de chaque votation, les droits de vote inscrits dans le registre des électeurs doivent correspondre au nombre de suffrages cryptés stockés dans l'urne électronique (tolérance zéro). Si ce n'est pas le cas, le fonctionnement du système doit être analysé pendant toute la durée de la votation au moyen des procédures correspondant aux protocoles applicables.

Les principales mesures de sécurité sont les suivantes: ­

Sur Internet, le bulletin de vote est crypté au cours d'une opération consistant à mélanger aléatoirement des caractères alphanumériques au contenu du bulletin. Quelqu'un qui se saisirait du bulletin (une occurrence très improbable) verrait seulement une série de caractères sans signification.

­

Le bulletin renvoyé à l'électeur, pour qu'il confirme son choix et s'identifie, est mélangé à une image qui le rend illisible aux hackers. Cette image, différente pour chaque électeur, lui permet de vérifier qu'il est connecté au site officiel de vote.

­

Le site de vote est certifié. Les électeurs peuvent voir les certificats d'authentification et ont ainsi une seconde façon de vérifier avec qui ils sont en contact.

­

L'identité des électeurs et les bulletins de vote sont gardés dans deux bases de données distinctes, sans lien entre elles.

­

Avant l'ouverture, le contenu de l'urne de vote électronique est mélangé par l'application d'un algorithme afin que l'ordre dans lequel les bulletins sortiront soit changé. Cette opération empêche de reconstituer le vote d'un électeur donné par comparaison de l'ordre d'arrivée d'un bulletin de vote avec l'ordre d'inscription d'un nom dans le fichier des électeurs ayant voté.

­

Tous les éléments du système ont été configurés de telle manière qu'ils ne répondent qu'aux sollicitations conformes au déroulement normal de la procédure de vote.

­

Le serveur n'est connecté au réseau que le jour de l'ouverture du scrutin; il est déconnecté à l'issue du scrutin.

5223

­

Tout l'équipement est dédoublé.

­

Toutes les données sont stockées à double.

­

Les serveurs sont dans un local protégé.

­

L'accès au serveur est réservé à un nombre très limité de personnes autorisées, après enquête.

­

Un opérateur ne peut pas accéder seul au serveur: il doit toujours être accompagné.

4.1.4

Essais pilotes et suivi du projet

L'administration genevoise a soumis son système à des tests internes à quatre reprises avant le printemps 2002. Elle a testé le respect de toutes les exigences de sécurité, la convivialité du système et les mesures de suivi de nature organisationnelle. Les résultats de ces tests internes ont permis d'apporter en permanence des améliorations au système, mais aussi de combler des lacunes dans le programme de décryptage.

Un test supplémentaire organisé en juin 2002 avec des élèves a permis d'apporter la preuve que le système genevois pouvait être connecté en toute sécurité au réseau Internet.

Après que le canton de Genève eut confié en 2001 à un organe de contrôle (Comité de sécurité) la tâche d'examiner les mesures de sécurité en vigueur, la Chancellerie fédérale a chargé l'entreprise zurichoise at Rete, en juin 2002, de tester la résistance du système face aux attaques et aux manipulations. Parallèlement, les employés cantonaux chargés de tâches importantes ont été interrogés sur leurs devoirs de surveillance. Le canton de Genève a quant à lui mandaté l'entreprise Hacknet pour procéder à des tests similaires. Quelques lacunes mineures ont été mises au jour, que le canton de Genève a pu combler avant la votation communale qui s'est déroulée à Anières en janvier 2003. Les conseillers externes ont qualifié le système de très sûr contre les attaques et les abus. Aucune des attaques simulées n'a été couronnée de succès, et aucun suffrage n'a pu être intercepté, détruit ou manipulé durant les examens auxquels le système a été soumis.

Avant de procéder au premier essai pilote à l'occasion d'une votation fédérale, le canton de Genève a testé son système dans le cadre de quatre scrutins communaux (tout d'abord à Anières, le 19 janvier 2003, qui compte 1162 électeurs, puis à Cologny, le 30 novembre 2003, qui compte 2521 électeurs, ensuite à Carouge, le 18 avril 2004, qui compte 9049 électeurs, et enfin à Meyrin, le 13 juin 2004, qui compte 9180 électeurs). Cette série d'essais pilotes, qui a connu un véritable succès, a été complétée par la suite par deux essais réalisés lors des votations fédérales du 26 septembre 2004 (20 000 électeurs) et du 28 novembre 2004 (40 000 électeurs), essais qui se sont déroulés sans accrocs et qui n'ont soulevé aucune contestation.

Jusqu'au dernier essai en date, soit lors de la votation populaire cantonale du 17 avril 2005, qui a eu lieu simultanément dans 14 communes du canton de Genève, le nombre d'électeurs pouvant participer aux essais n'a cessé d'être relevé, atteignant finalement 88 000 personnes. Alors que plus d'un tiers des suffrages avaient été exprimés par voie électronique lors des deux premiers essais, soit à Anières et à Cologny, le pourcentage de suffrages électroniques a oscillé, lors des essais suivants,

5224

entre 22 % et 25 % de la totalité des suffrages exprimés32. Une enquête en ligne a révélé qu'environ 90 % des électeurs qui avaient voté par voie électronique au cours de l'un des premiers essais étaient restés fidèles au vote électronique lors des essais pilotes suivants.

Les essais pilotes réalisés à Genève à l'occasion de votations fédérales ont été un succès, aucune panne n'étant à déplorer. Ils ont suscité l'intérêt des médias et des opinions publiques en Suisse et à l'étranger.

Le système genevois a été testé à huit reprises avec succès, sans connaître de pannes, dans le cadre de votations aux niveaux communal, cantonal et fédéral. L'essai pilote réalisé à Meyrin concernait une votation sur une initiative assortie d'un contre-projet et d'une question subsidiaire. Lors du premier essai dans le cadre d'une votation fédérale, à savoir le 26 septembre 2004, il était possible de voter simultanément aux trois niveaux. Le système genevois est aussi en mesure de résister à plusieurs scrutins concomitants, comme en témoignent le scrutin communal de Vandoeuvres et l'enquête pour le compte du Conseil de l'Europe qui se sont déroulés simultanément en octobre 2004. Dans le cadre de l'enquête effectuée sur mandat du Conseil de l'Europe, 16 000 suffrages ont été enregistrés en l'espace de 10 jours, ce qui correspond aux deux tiers du nombre de suffrages qui est escompté en cas d'utilisation du système de vote électronique sur l'ensemble du territoire du canton de Genève à l'occasion d'une votation populaire fédérale ou cantonale.

4.1.4.1

Suivi du projet

Un groupe de suivi, composé de représentants de la Confédération et des cantons intéressés et présidé par la Chancellerie fédérale, a évalué le projet pilote du canton de Genève dès le début. Il avait pour mandat d'examiner le respect des mesures techniques et organisationnelles par le canton de Genève. Certains de ses membres ont participé aux premiers essais pilotes dans les communes d'Anières, de Cologny, de Carouge et de Meyrin en qualité d'observateurs, en particulier lors du cryptage de l'urne électronique et lors du dépouillement des suffrages électroniques le dimanche de la votation.

La Société suisse des sciences administratives (SSSA) a décerné un prix au système genevois en octobre 2004, considéré comme un remarquable projet de modernisation33. Le système genevois a aussi été retenu deux fois par l'Union européenne comme finaliste des «eEurope Awards» et comme exemple de «Good Practice».

Le canton de Genève oeuvre actuellement au développement d'un nouveau système de cryptage de façon à pouvoir protéger encore mieux contre d'éventuelles attaques le transfert des suffrages électroniques entre l'appareil de saisie et l'urne électronique. Pour ce faire, il faut installer une application dans l'appareil de saisie, mais sans compromettre la convivialité du système. Cette mesure se justifie en raison de l'évolution des possibilités dans le secteur de la sécurité. Qui plus est, la capacité du système sera étendue afin que tous les électeurs du canton de Genève et tous les

32 33

La documentation complémentaire 4 contient un tableau synoptique de tous les essais pilotes.

Cf. communiqué de presse de la SSSA du 29.10.2004, www.sgvw.ch/schwerpunkt/archiv/f/dossier8_qualitaetswettbwerb.php.

5225

Suisses de l'étranger habilités à voter dans le canton puissent, dans un avenir proche, recourir au vote électronique.

4.2

Le projet pilote du canton de Neuchâtel

4.2.1

Conditions générales

La collaboration entre la Confédération et le canton de Neuchâtel dans le cadre du projet de vote électronique a été réglée dans la lettre d'intention signée par le Conseil fédéral et le Conseil d'Etat du canton de Neuchâtel le 25 avril 2001, et détaillée dans le contrat passé entre la Chancellerie fédérale et la Chancellerie d'Etat du canton de Neuchâtel le 18 juin 2001. Ce contrat réglemente notamment les buts du projet pilote neuchâtelois et la répartition des coûts entre la Confédération et le canton.

Le but du projet pilote mis en oeuvre dans le canton de Neuchâtel était de montrer qu'il est possible de réaliser un système de vote électronique basé sur une combinaison de sécurité à deux niveaux, semblable à de nombreux systèmes actuels de télébanking: au premier niveau, un accès contrôlé et permis par l'identification de l'utilisateur, un mot de passe confidentiel et une carte à numéros personnelle; au second niveau, un code confidentiel personnel. Concrètement, ces objectifs ont été réalisés par la conception d'un vote électronique inclus dans le cadre du Guichet unique (GU), un guichet virtuel sécurisé mis sur pied par le canton de Neuchâtel, et dont le vote électronique constitue l'une des prestations.

4.2.2

Bases légales cantonales et conditions à remplir

En octobre 2001, le Grand Conseil neuchâtelois a adopté un décret34 autorisant le Conseil d'Etat à introduire le vote électronique à titre expérimental et sous réserve de l'accord de la Confédération, à condition que la sécurité du vote et le respect du secret du vote soient garantis, et que les risques de fraudes et d'abus soient écartés (art. 4).

En septembre 2002, la révision35 de la loi cantonale sur les droits politiques a permis la mise en place de la nouvelle organisation des scrutins. Les principaux changements sont la constitution d'un fichier central des électeurs avant chaque scrutin (art. 6e), l'impression et la distribution du matériel de vote de manière centralisée (art. 6f et 9a) et la création d'une carte de légitimation unique par électeur et par scrutin intégrant les informations nécessaires au vote par correspondance et au vote électronique, et servant de légitimation pour le vote traditionnel (art. 9). Ce nouveau système permet notamment aux communes et au canton de gérer facilement un scrutin réalisé avec plusieurs modes de vote (à l'urne, par correspondance et par Internet), et de contrôler que les électeurs ne votent qu'une fois.

34

35

Décret sur l'introduction à titre expérimental des moyens électroniques facilitant l'exercice des droits politiques du 3 octobre 2001 (Recueil systématique de la législation neuchâteloise 141.03).

Loi du 4 septembre 2002 portant révision de la loi sur les droits politiques (Feuille officielle n° 68 du 13 septembre 2002, pages 990 à 992).

5226

En septembre 2004, le Grand Conseil neuchâtelois a adopté la loi sur le guichet sécurisé unique36, qui a pour but de fixer les conditions d'organisation, d'exploitation et d'utilisation du GU. Cette loi définit notamment les procédures par lesquelles sont délivrés les droits d'accès (art. 10, 18 et 19) ainsi que les différents aspects liés à la sécurité du GU (art. 13 à 17) et à la protection des données (art. 23 à 25). Cette loi concerne le vote électronique dans la mesure où celui-ci a été développé dans le cadre du GU.

4.2.3

Solution retenue et mise en oeuvre

4.2.3.1

Vote électronique intégré au GU

Dans le canton de Neuchâtel, le vote électronique s'inscrivait dès le début dans un projet plus large visant à l'élaboration d'un guichet virtuel sécurisé, offrant aux habitants du canton un choix de prestations diverses, parmi lesquelles le vote par Internet. C'est ainsi que le canton a mis sur pied, en partenariat avec les sociétés Computer Associates et Lanexpert, le GU, qui a pour but d'offrir un nouveau moyen de communication et de transaction entre toutes les collectivités publiques neuchâteloises et leurs usagers (électeurs, contribuables, propriétaires, etc.) et clients (entreprises et mandataires). Le GU permet, en toute sécurité et au moyen de prestations, d'échanger des données confidentielles entre partenaires du secteur public et du secteur privé.

Ouvert au public depuis le 5 mai 2005, le GU37 offre des prestations, notamment dans le domaine de la fiscalité (consultation des comptes courants d'impôt, des notifications de taxation, des échéances de paiements, des calculs des tranches d'impôt, etc.) et de la mobilité (recherche de détenteur de plaque). La prestation «vote électronique» a quant à elle été testée pour la première fois dans le cadre d'une votation officielle lors du scrutin fédéral du 25 septembre 2005. Cette solution de vote électronique a été élaborée en collaboration avec des partenaires privés, dont principalement Arcantel (pour l'application) et Scytl (pour le cryptage).

Pour pouvoir voter en ligne, les électeurs du canton de Neuchâtel doivent s'inscrire au GU en complétant un formulaire d'inscription et en légalisant leur signature auprès d'une autorité compétente (Chancellerie d'Etat, administrations communales, greffes du tribunal de district ou notaires habilités à cet effet). La Chancellerie d'Etat du canton de Neuchâtel contrôle ces données avant de paramétrer un compte pour l'utilisateur. Ce dernier reçoit ensuite, par courriers séparés, un code contrat et un mot de passe, puis sa carte à numéros. Après avoir modifié son mot de passe à la première connexion, l'utilisateur peut accéder aux différentes prestations du GU.

L'utilisateur aura également reçu tout le matériel et l'aide nécessaires à la mise à jour de son poste afin de le rendre compatible avec le GU.

S'il bénéficie de droits de vote dans le canton de Neuchâtel, l'utilisateur reçoit avant le scrutin la carte de légitimation lui permettant de voter au choix à l'urne, par correspondance ou par Internet. Cette carte comporte un code de validation et un code de confirmation confidentiels destinés spécifiquement au vote en ligne.

36 37

Loi du 28 septembre 2004 sur le guichet sécurisé unique (LGSU) (Feuille officielle n° 80 du 15 octobre 2004, pages 1205 à 1207).

Cf. www.guichetunique.ch

5227

Au moment de voter, l'utilisateur se connecte à son compte GU en s'identifiant, comme il doit le faire pour chaque prestation. Il accède ensuite au scrutin, en fonction de ses droits de vote (par exemple, une personne qui aurait un permis C ne pourrait qu'accéder aux scrutins cantonaux ou communaux), et peut ainsi exprimer son choix en cochant les cases sur les bulletins électroniques. Le système affiche ensuite un récapitulatif des réponses; si le votant est satisfait de son choix, il entre le code de validation figurant sur sa carte de légitimation. C'est seulement à ce moment-là que le vote est émis. Apparaissent alors le code de confirmation (qui figure aussi sur la carte de légitimation) ainsi qu'un code dénommé «accusé de réception».

Le code de confirmation permet de vérifier immédiatement, en le comparant avec le code inscrit sur la carte, que le vote a bien été reçu par le serveur du vote électronique neuchâtelois. L'accusé de réception montre pour sa part que le vote est bien parvenu dans l'urne. Une fois le scrutin clos et l'urne électronique dépouillée, le votant peut vérifier si son accusé de réception figure dans la liste publiée sur Internet; en retrouvant son accusé, il a la preuve que son vote a bien été pris en compte lors du dépouillement. Cet accusé n'est pas relié au vote lui-même mais au certificat électronique qui l'accompagne. Il n'est donc pas possible, sur la base de cet accusé, de savoir ce que le votant a choisi.

La sécurité et le respect du secret du vote sont garantis par le fait que le vote est crypté de bout en bout, dès le moment où il est émis sur le poste client et jusqu'à son enregistrement dans l'urne. Toute l'architecture physique du GU et du vote électronique est sauvegardée dans des locaux hautement sécurisés, dont l'accès n'est autorisé qu'aux personnes assermentées.

4.2.3.2

Nouvelle organisation des scrutins

Au niveau organisationnel, le système de vote électronique via le GU s'inscrit dans le cadre de la nouvelle organisation générale des scrutins, en vigueur depuis mai 2003. Avant chaque scrutin, tous les registres communaux sont extraits puis transférés dans l'infrastructure du GU. Sur la base de ces 62 fichiers communaux, un registre central des électeurs est constitué.

Ce registre central permet de garantir l'unicité du vote, car le premier enregistrement d'un vote bloque tous les autres modes de vote. Les cartes de légitimation sont en effet contrôlées grâce à un code-barres imprimé sur la carte. S'il apparaît que l'électeur a déjà voté par Internet, son vote par correspondance ou à l'urne est écarté; s'il a déjà voté par correspondance, il n'aura plus accès au scrutin électronique par le GU.

Une fois le registre central constitué, toutes les cartes de légitimation sont générées ainsi que le registre des électeurs disposant d'un accès au GU pour autoriser le vote électronique. C'est durant ce processus que sont générés également les codes de validation et de confirmation, imprimés sur les cartes de légitimation. Les cartes de légitimation sont ensuite transférées au centre d'impression cantonal pour y être imprimées. Pour des raisons de sécurité, le papier utilisé comporte un hologramme représentant l'écusson du canton de Neuchâtel.

5228

4.2.3.3

Processus de vote électronique

Le processus de vote électronique débute par le paramétrage de l'urne électronique, qui ne peut se faire qu'en présence de la commission électorale, constituée de cinq députés du Grand Conseil, du chancelier d'Etat et d'un juriste. Les membres de cette commission observent les différentes étapes de ce processus, dont la génération de la clé publique et de la clé privée. La clé publique sert au cryptage de tous les votes électroniques directement sur les postes client. La clé privée permet quant à elle le décryptage des votes après la clôture du scrutin. Lors du paramétrage de l'urne, elle est divisée et enregistrée sur des cartes à puce distribuées à un nombre prédéfini de membres de la commission électorale. Ceux-ci protègent l'accès à leur carte à puce en saisissant un mot de passe avant de déposer le tout dans des enveloppes scellées.

Afin de s'assurer que le système de vote fonctionne correctement et que le contenu de l'urne électronique ne sera pas manipulé, chaque membre de la commission électorale se connecte au GU, vote et imprime l'accusé de réception. Chaque vote est notifié et déposé dans une enveloppe scellée avec l'accusé de réception.

Les mots de passe, les cartes à puce contenant la clé privée pour le décryptage des votes, le poste de travail (portable) et les votes de la commission sont ensuite conservés dans des locaux sécurisés (Police cantonale et coffre-fort de la Chancellerie d'Etat).

Pour le dépouillement des votes électroniques le jour du scrutin, la commission électorale se réunit à nouveau en récupérant l'ensemble du matériel (poste de travail et enveloppes scellées) ramené par la Chancellerie d'Etat et par la Police cantonale.

Les membres de la commission électorale récupèrent leurs cartes à puce et saisissent leurs mots de passe afin de libérer la clé privée pour le décryptage des votes. Une fois décryptés, les votes et les accusés de réception sont extraits et brassés. Un programme permet de valider les votes et de les comptabiliser. Cette validation porte sur la structure des bulletins de vote et sur les droits de vote des électeurs, et permet d'écarter les votes erronés ou frauduleux.

Les membres de la commission électorale vérifient ensuite l'exactitude de leurs votes en comparant les résultats de l'urne et les bulletins déposés dans les enveloppes scellées. La Chancellerie d'Etat rédige un procès-verbal contenant une validation de toutes les étapes et de toutes les décisions, puis elle communique les résultats du vote électronique aux communes. Après le délai légal de recours, les informations sont encore conservées jusqu'au moment où le Conseil fédéral valide définitivement le résultat de la votation sur le plan suisse. A cette échéance, les bulletins de vote sont détruits, et les supports physiques de données sont effacés.

4.2.4

Essais pilotes et suivi du projet

4.2.4.1

Essais pilotes et audits de sécurité

Après deux ans de travaux de développement, le premier test de vote électronique a été lancé en janvier 2005, avec une population de 336 «cybervotants» issus de l'administration cantonale neuchâteloise, de la Chancellerie fédérale et du groupe de suivi. Ce premier test à petite échelle a permis de vérifier le bon fonctionnement du 5229

système et d'établir les points à améliorer au niveau de l'ergonomie et de la compatibilité avec les configurations informatiques courantes. Le test a donné de bons résultats, et les différentes suggestions d'amélioration provenant des testeurs ont été prises en compte.

Le deuxième essai de vote électronique s'est déroulé en février 2005 avec la même population-test pour vérifier le bon fonctionnement des différentes améliorations apportées au système. Ce test ayant été mené avec succès, le canton de Neuchâtel a mis sur pied en mars 2005 un troisième test grandeur nature, toujours avec une votation fictive, impliquant au moins 2600 «votants», désignés parmi les collaborateurs de l'administration fédérale, de l'administration cantonale et des administrations communales. Etant donné que le vote électronique neuchâtelois est relié au GU, il était impossible d'organiser un test avec une votation officielle communale.

Parmi les testeurs, un certain nombre avait la possibilité de voter par Internet et par correspondance afin de vérifier l'interopérabilité des différents canaux de vote simultanés. blue-infinity, société d'audit externe, a été co-mandatée par le canton de Neuchâtel et la Chancellerie fédérale pour examiner la sécurité du système de vote électronique, notamment pour tenter de l'attaquer durant la période entourant le test.

Pour ce troisième test, les séances d'ouverture et de fermeture de l'urne électronique étaient organisées comme pour une votation réelle, c'est-à-dire en présence de la commission électorale.

Au niveau de l'organisation et du déroulement du scrutin, ce troisième test s'est déroulé sans problèmes. Des comptes GU ont été créés pour les 2600 participants au test, et le matériel de vote (par Internet et par correspondance) et les divers documents explicatifs ont été distribués par courrier. 1463 personnes ont voté durant ce test, dont 1458 par Internet. Les votes envoyés à double ­ par Internet et par correspondance ­ ont été efficacement repérés et écartés par le système. Sur la base de 20 contrats GU fournis par le canton de Neuchâtel, la société d'audit a réussi à modifier le contenu de leurs votes avant le cryptage et avant l'envoi dans l'urne électronique. Par conséquent, le succès de ce test a été considéré comme partiellement atteint. En suivant les recommandations de la société d'audit à l'issue de ce test, le canton de Neuchâtel a entrepris les travaux nécessaires à la consolidation du système.

Suite à ces événements, le canton de Neuchâtel et la Chancellerie fédérale ont décidé qu'il fallait procéder à un quatrième test à petite échelle, en avril 2005, pour vérifier l'efficacité des mesures de consolidation. La même société d'audit a été mandatée pour vérifier l'efficacité des mesures de sécurité: elle devait tenter d'attaquer à nouveau le système. Ce test s'est déroulé sans problèmes, avec 420 votes émis, et les auditeurs ont pu constater que les lacunes du système avaient été comblées.

En parallèle, la sécurité du GU a été soumise à un audit durant les mois de décembre 2004 et janvier 2005 par la société PriceWaterhouse&Coopers, mandatée par le Département des finances du canton de Neuchâtel. Au cours de leurs analyses, les auditeurs ont pu détecter des failles de sécurité au niveau du processus d'authentification. Ces failles ont par la suite été efficacement réparées. Le canton de Neuchâtel a ainsi pu remettre à la Chancellerie fédérale, en mai 2005, un document officiel attestant que l'ensemble des problèmes de sécurité mis au jour par les audits du GU et du vote électronique étaient résolus.

5230

Convaincu que son système avait atteint le niveau de maturité et de sécurité suffisant pour être testé dans le cadre d'une votation officielle, le canton de Neuchâtel a soumis au Conseil fédéral, en avril 2005, sa demande pour un essai pilote de vote électronique dans le cadre du scrutin fédéral du 25 septembre 2005, en proposant de limiter la population-test aux 2000 premières personnes inscrites au GU au maximum. Le Conseil fédéral a donné son accord le 22 juin 2005, et ce sont finalement 1178 électeurs, soit 68 % de l'ensemble des votants ayant la possibilité de participer à ce scrutin, qui ont émis leur vote via leur compte auprès du GU. Ce premier test officiel s'est déroulé sans problèmes. Les résultats du questionnaire en ligne proposé aux cybervotants indiquent que le système de vote électronique neuchâtelois est apprécié de ses utilisateurs38.

En août 2005, le canton de Neuchâtel a soumis une demande pour un deuxième essai pilote lors du scrutin fédéral du 27 novembre 2005. À l'occasion de cette votation, ce sont 1345 électeurs sur les 2442 personnes ayant conclu un contrat au GU (55,08 %) qui ont émis leur vote via leur compte auprès du GU, soit 2,5 % de l'ensemble des votes exprimés dans le canton de Neuchâtel.

Entre temps, le canton de Neuchâtel a également organisé une élection complémentaire au Conseil des Etats. Le premier tour s'est déroulé le 30 octobre 2005 avec quatre candidats qui se présentaient pour repourvoir le siège laissé vacant suite au retrait de M. Jean Studer. Ce sont 1194 votes électroniques qui ont été déposés dans l'urne, ce qui représente une participation de 54 % des électeurs disposant d'un accès au GU39.

Tout au long de ces trois tests de vote électronique (votations et élections), aucun problème n'est venu perturber le déroulement des procédures de préparation et de dépouillement de l'urne électronique. Toutes les procédures ont été respectées selon leurs définitions et leurs planifications.

4.2.4.2

Suivi du projet

Tout comme les projets pilotes de Genève et de Zurich, le projet neuchâtelois est depuis le début accompagné par un groupe spécifique, coordonné par la Chancellerie fédérale, et composé de représentants de la Confédération et des cantons. Ce groupe de suivi a pour tâche d'évaluer le projet; il est présent sur place pour observer les étapes importantes de son évolution. Ses activités et ses observations ont été consignées dans des rapports réguliers mis à la disposition de la Chancellerie fédérale.

Durant l'année 2003, le groupe a suivi la réalisation de la nouvelle organisation des scrutins du canton de Neuchâtel en observant les processus-clés tels que la constitution du registre central des électeurs, la gestion des erreurs dans ce registre et le dépouillement de la votation du 18 mai 2003. Durant les années 2004 et 2005, le groupe a assisté aux différentes étapes de la mise en oeuvre du vote électronique neuchâtelois. Ses membres, qui avaient reçu les informations nécessaires pour évaluer le système de vote électronique, étaient présents aux séances d'ouverture et de fermeture de l'urne, ont participé aux tests et ont assisté aux séances de rapport d'audit de sécurité. Le groupe a estimé que la collaboration avec l'équipe du projet 38 39

Cf. ch. 5.1.2.2 La documentation complémentaire 4 contient un tableau synoptique de tous les essais pilotes.

5231

neuchâtelois s'est déroulée de manière efficace et transparente. Sur la base de ses observations, le groupe de suivi s'est prononcé favorablement quant aux demandes du canton de Neuchâtel pour ses premiers tests officiels de vote électronique lors des votations fédérales du 25 septembre et du 27 novembre 2005. Il était également présent en tant qu'observateur lors des différents processus de ces tests officiels; il a ainsi pu attester du bon déroulement des opérations.

4.3

Le projet pilote du canton de Zurich

4.3.1

Conditions générales

Le Conseil fédéral et le canton de Zurich ont signé les 7 et 17 décembre 2001 une déclaration d'intention sur les procédures de vote à l'aide de moyens techniques.

Cette déclaration d'intention est à l'origine de l'accord entre la Chancellerie fédérale et la Direction de la justice et de l'intérieur du canton de Zurich, conclu les 25 janvier et 1er février 2002. Cet accord définit notamment les objectifs suivants: ­

établir un registre cantonal des électeurs sur la base des données extraites des registres des habitants ou des registres des électeurs des 171 communes du canton de Zurich;

­

concevoir un système global de vote électronique;

­

créer un système complet de mandats permettant aux communes d'organiser des élections et des votations communales par voie électronique;

­

prévoir divers moyens de saisie pour l'exercice du droit de vote.

4.3.2

Bases légales cantonales et conditions à remplir

Le recours au vote électronique est réglé dans la loi cantonale du 1er septembre 2003 sur les droits politiques. Son art. 4, al. 2, dispose que les droits politiques peuvent être exercés par voie électronique si les conditions techniques et organisationnelles sont remplies. Il précise que la volonté des votants doit pouvoir être établie correctement et que le secret du vote doit être garanti.

La loi susmentionnée a été complétée par l'ordonnance du 27 octobre 2004 sur les droits politiques. Même si elle ne traite pas explicitement des élections et des votations par voie électronique, cette ordonnance relève à son art. 12 qu'elle peut faire l'objet de dérogations en ce qui concerne les essais de vote électronique, et que le Conseil d'Etat du canton de Zurich règle les modalités.

4.3.3

Solution retenue et mise en oeuvre

Le canton de Zurich dispose de registres des électeurs complètement décentralisés.

Chacune des 171 communes zurichoises est responsable de la tenue et de la mise à jour de ces registres.

C'est la raison pour laquelle le canton de Zurich a mis au point un système destiné à permettre aux communes de continuer à gérer leurs registres des électeurs de façon autonome.

5232

Le système zurichois a été mis au point pour les votations populaires simples, pour les initiatives assorties d'un contre-projet et d'une question subsidiaire, mais aussi pour les élections au système majoritaire ou proportionnel. Dans le cas des élections au système majoritaire, tant les élections avec annonce préalable des candidats que les élections sans annonce sont possibles; dans le cas de ces dernières, toutes les personnes qui ont le droit de vote passif sont éligibles et, suivant la base légale, même les personnes qui n'ont pas leur domicile politique dans le canton de Zurich.

Dans le canton de Zurich, la loi dispose que la fixation des heures d'ouverture des urnes relève de la compétence des communes. On a tenu compte de cette règle lors de la conception du système. Avant chaque scrutin, on peut fixer par commune l'heure de fermeture de l'urne électronique. L'urne se ferme automatiquement à ce moment-là.

Le cryptage des votes se fait par commune. Les personnes responsables de l'organisation des élections et des votations reçoivent par courrier les mots de passe nécessaires au décryptage des votes le dimanche du scrutin.

Plusieurs mécanismes de contrôle ont été conçus pour empêcher que quelqu'un puisse voter plusieurs fois. Ainsi, à partir de chaque endroit où se situe une urne, on peut soit accéder directement au module de contrôle du système par une procédure en ligne, soit effectuer le contrôle grâce à un lecteur de codes-barres. Mais on peut aussi effectuer le même contrôle en mode hors connexion. Si des bulletins de vote douteux sont découverts, ils sont transférés du local de vote au bureau électoral de la commune, où ils sont soumis à un contrôle en ligne. Qui plus est, il est aussi possible, en cas de besoin, d'utiliser les listes de contrôle imprimées pour effectuer le contrôle dans le local où se situe l'urne.

Le système zurichois est un système complètement intégré. Les résultats des travaux préparatoires, y compris les objets mis en votation ainsi que les arrondissements de vote et/ou les arrondissements électoraux, sont transférés avant le début du scrutin du système de vote WABSTI (Wahl- und Abstimmungssystem) dans le système de vote électronique. Après la fermeture des urnes physiques et de l'urne électronique, toutes les données du vote sont alors retransférées dans le système WABSTI, sur simple pression d'un bouton, et additionnées aux suffrages traditionnels, c'est-à-dire les suffrages glissés dans l'urne ou exprimés par correspondance. De cette manière, les données préalablement validées sont traitées en ligne, sans rupture de médias, par le biais d'une interface. Ce procédé contribue considérablement à rentabiliser la procédure de vote électronique. Les données se trouvant dans l'urne électronique, y compris les bulletins comprenant des panachages ou des cumuls, peuvent ainsi être ventilées automatiquement et correctement dans le système de base.

En plus du vote par Internet, le canton de Zurich a mis au point un module de vote par téléphone portable (SMS). Il offre aussi la possibilité de voter à l'aide des médias susmentionnés dans le cadre d'élections. Le module qui le permet a été testé avec succès à la fin 2004 à l'occasion de l'élection du conseil des étudiants de l'Université de Zurich. L'association SwissICT et le magazine InfoWeek ont décerné au système zurichois, en septembre 2005, le Swiss IT Award 2005 du meilleur logiciel de l'année40.

40

Cf. communiqué de presse du 15.09.2005 de la Direction de la justice et de l'intérieur du canton de Zurich.

5233

4.3.3.1

Un scrutin incluant le vote électronique

Les électeurs ont le choix de voter par voie électronique, par correspondance ou en se rendant aux urnes. Toutes les indications nécessaires figurent sur la carte de légitimation que les électeurs reçoivent par la poste avant chaque scrutin.

Le scrutin commence par l'exportation des registres des communes ­ qui sont décentralisés ­ dans le registre virtuel des électeurs. Dès que l'opération est terminée, les cartes de légitimation sont générées puis imprimées. Parallèlement, les codes d'accès individuels sont établis et imprimés sur les cartes de légitimation.

Après l'impression des cartes de légitimation, toutes les données relatives aux personnes sont effacées du registre virtuel des électeurs. À partir de ce moment, il n'est plus possible d'établir de lien avec une personne en particulier; le secret du vote est donc garanti à tout moment.

Le jour venu, l'urne électronique est ouverte. Pour s'assurer que le système fonctionne correctement, les représentants de la centrale de vote votent pour le compte d'une commune fictive, leurs votes étant consignés dans un procès-verbal. Ces votes sont vérifiés lors de l'établissement des résultats.

Les électeurs s'identifient dans le système de vote électronique au moyen du code d'accès imprimé sur la carte de légitimation. Ils peuvent ensuite voter sur les objets sur lesquels ils ont qualité pour s'exprimer (ainsi, les personnes qui ont transféré leur domicile dans une autre commune du canton peu avant une votation ne sont pas autorisées à voter dans leur nouvelle commune pendant un certain temps. Elles doivent toutefois pouvoir exercer leur droit de vote aux niveaux cantonal et fédéral).

Le vote par Internet se fait en cochant des champs. Une fois le processus de vote terminé, les votants voient s'afficher leur vote une nouvelle fois. Ils ont alors la possibilité de faire une dernière vérification avant de valider définitivement leur vote. Une fois validés, les votes sont transférés dans l'urne électronique, le processus étant irréversible.

Le canton de Zurich offre la possibilité de voter par Internet, mais aussi par le biais de la téléphonie mobile (SMS). Les électeurs disposent à cet égard des mêmes possibilités que par Internet. Pour pouvoir garantir le secret du vote même par SMS, on fait figurer sur la carte de légitimation de chaque électeur un tableau de codes qui lui est propre. Par SMS, la saisie des données du vote se fait sous forme précodée.

Ce ne sont pas les mots «oui», «non» ou «blanc» qui doivent être entrés dans l'appareil de saisie, mais des codes de quatre éléments. Pour s'identifier, l'utilisateur a besoin du numéro d'identification qui figure sur la carte de légitimation. Après un contrôle automatisé de la qualité d'électeur, les votes ainsi définis sont acheminés dans l'urne électronique par le biais de la passerelle (gateway) SMS.

Pour voter, l'électeur doit envoyer un message par SMS ­ voire plusieurs dans le cas d'une élection ­ au numéro 28000. Il doit ensuite saisir d'autres données ­ réclamées par le système ­ pour permettre l'authentification du vote, à savoir un code NIP intégré à la carte de légitimation, lequel est recouvert par un cachet de sécurité (Hydalam), mais aussi sa date de naissance. Si le votant a voté valablement, il reçoit une confirmation par SMS.

Par conséquent, dans les deux cas (Internet et SMS), les votes sont déjà cryptés lors de la saisie. Le décryptage ne se fait qu'après la fermeture de toutes les urnes (physiques et électronique) pour que le dépouillement puisse être effectué. Une fois que le décryptage est terminé, le résultat général est établi. Tout d'abord, les suffrages de 5234

la commune fictive qui ont été consignés dans le procès-verbal sont dépouillés et comparés avec le procès-verbal. Ce n'est que si le procès-verbal et le résultat du dépouillement concordent que l'on peut supposer que le système fonctionne correctement. Ensuite, les suffrages électroniques sont acheminés dans le système WABSTI et additionnés aux suffrages traditionnels, après quoi le résultat général est établi (résultat des suffrages électroniques et des suffrages traditionnels). Il va de soi que la centrale de vote ne comptabilise pas les suffrages-test de la commune fictive dans le résultat final.

4.3.4

Essais pilotes et suivi du projet

Le canton de Zurich a effectué quatre tests jusqu'à ce jour, dont le premier et le dernier n'ont pas porté sur des votations mais sur des élections au système proportionnel.

À l'occasion de l'élection du conseil des étudiants de l'Université de Zurich qui s'est déroulée en 2004, le canton de Zurich a pu tester pour la première fois un volet (module consacré aux élections au système proportionnel) de son système de vote électronique. Le test s'est bien déroulé. Seuls quelques problèmes techniques mineurs sont survenus lors du transfert des données dans le système WABSTI, l'interface n'étant pas encore disponible. Ces problèmes ont toutefois pu être surmontés par la saisie manuelle des suffrages qui se trouvaient dans l'urne électronique.

Au total, sur les 24 000 étudiants habilités à voter, 2188 ont pris part à l'élection. La participation a ainsi atteint 9,11 %, dépassant de près de 100 % celle d'élections précédentes, lors desquelles il n'était pas possible de voter par voie électronique.

1610 personnes (73,6 % des votants) ont utilisé Internet pour voter, 429 (19,6 %) ont opté pour le SMS et 149 (6,8 %) se sont déplacées aux urnes.

Des représentants de la Chancellerie fédérale et du groupe de suivi de Zurich ont pu assister à l'ouverture du scrutin et aux opérations de dépouillement des suffrages électroniques. Ils ont certifié au canton de Zurich que l'élection s'était déroulée sans problème.

Chargée de développer le système de vote électronique zurichois, l'entreprise générale Unisys a réalisé des tests internes à grande échelle au printemps 2005 à l'aide d'un robot de sa propre conception qui a émis des votes aléatoires sur la base d'un algorithme et qui les a consignés dans un procès-verbal.

Ces tests ont permis d'identifier quelques lacunes qui, d'après Unisys, n'auraient peut-être pas pu être découvertes si l'on avait saisi les votes manuellement.

L'entreprise générale a comblé les lacunes en question à l'issue de la phase de test.

L'audit du système et l'audit interne de sécurité ont été effectués par la société Swisscom solutions.

À la demande du groupe de suivi et après discussion avec le canton de Zurich, la Chancellerie fédérale a mandaté l'entreprise blue-infinity pour qu'elle procède à un audit de sécurité. Cette entreprise basée à Genève avait déjà effectué des audits similaires dans le cadre des projets pilotes des cantons de Genève et de Neuchâtel; elle disposait donc de l'expérience requise en la matière.

5235

L'audit s'est déroulé du 18 juillet au 7 août 2005. Il a mis en lumière les quelques insuffisances suivantes: ­

Les aides en ligne auxquelles les électeurs pouvaient faire appel se trouvaient sur un serveur insuffisamment protégé qui n'était pas intégré au système zurichois de vote électronique.

­

Le système servant à afficher les votes des électeurs sur les appareils de saisie n'était pas assez sûr.

­

Les mots de passe de huit caractères alphanumériques devraient être plus longs.

Le canton de Zurich et Unisys Schweiz AG ont corrigé les deux premières insuffisances dans la perspective des tests du 30 octobre 2005 (votation communale à Bülach) et du 27 novembre 2005 (votation fédérale et votation cantonale). La proposition portant sur l'adaptation des mots de passe ­ à savoir les faire passer de huit à seize caractères ­ n'a pour l'instant pas été retenue pour des raisons de convivialité.

Cette amélioration est toutefois envisagée à moyen terme.

Le premier test du module de vote a été effectué le 30 octobre 2005 dans la ville de Bülach. Les 9443 électeurs de la commune ont tous eu la possibilité de voter par voie électronique (Internet, téléphone portable).

La participation s'est montée à 41,49 %, dont 37,27 % par voie électronique.

1006 votes ont été exprimés par Internet, et 455 l'ont été par téléphone portable.

Le test a été supervisé par des membres du groupe de suivi de Zurich. Aucune irrégularité n'a été constatée.

Le système zurichois de vote électronique a été testé pour la première fois au plan fédéral le 27 novembre 2005. Les communes-test étaient les communes de Bertschikon, de Bülach et de Schlieren (16 726 électeurs). La participation dans ces trois communes a été de 37,72 % (6310 électeurs).

Sur ces 6310 électeurs, 1397 personnes (22,14 %) ont opté pour le vote électronique: 82,61 % d'entre elles (1154 personnes) ont voté par Internet et 17,39 % (243 personnes) par SMS.

À Bertschikon, petite commune campagnarde, 43 % des votants ont eu recours au vote électronique. 37,2 % (58 personnes) ont voté par SMS et 62,8 % (98 personnes) par Internet. L'essai pilote a été supervisé et suivi par des représentants de la Chancellerie fédérale41.

Par ailleurs, le système zurichois a aussi été utilisé en décembre 2005 pour l'élection du conseil des étudiants de l'Université de Zurich, après le test réalisé en 2004. Sur les 23 096 étudiants habilités à voter, 1767 ont participé à l'élection, ce qui correspond à un taux de participation de 7,7 %. 1582 personnes (88,5 %) ont voté par Internet et 205 (11,4 %) par SMS. Une seule personne a glissé son bulletin dans l'urne (0,1 %). Le dépouillement des bulletins de vote ­ dont plus de 80 % avaient été modifiés ­ et l'établissement des résultats ont pris 18 minutes en tout et pour tout.

41

La documentation complémentaire 4 contient un tableau synoptique de tous les essais pilotes.

5236

Enfin, les résultats des premières élections politiques selon le système proportionnel où il était possible de voter par voie électronique sont tombés au terme des travaux d'évaluation. Le 2 avril 2006, les électeurs de la commune de Bülach ont renouvelé leur législatif (élection selon le système proportionnel) et leur exécutif (élection selon le système majoritaire). 20,67 % des votants ont eu recours au vote électronique. Sur les 728 personnes qui ont voté par voie électronique, 28 (3,85 %) ont voté par SMS.

4.3.4.1

Suivi du projet

Conformément à son mandat, la Chancellerie fédérale a doté chacun des trois projets pilotes d'un groupe de suivi. Celui de Zurich avait notamment pour tâches de superviser l'organisation du projet (organisation de la mise sur pied et du déroulement, examen des rapports sur l'avancement du projet), la transmission des informations pertinentes relatives au projet zurichois au groupe de travail «Vote électronique» de la Chancellerie fédérale, l'évaluation des conceptions techniques, le suivi des audits du système, l'évaluation et la vérification du respect des directives sur la protection des données et la remise au Conseil fédéral de recommandations sur les demandes en rapport avec la réalisation d'essais en matière de vote électronique dans le cadre de votations fédérales.

4.4

Projets d'autres Etats42

Le vote électronique dans le local de vote est une forme de vote assez répandue dans les élections nationales en Belgique, aux Pays-Bas43, aux Etats-Unis, en Russie, en Azerbaïdjan, au Brésil, au Paraguay et en Inde. Cette forme de vote a aussi été utilisée, à titre ponctuel ou dans le cadre d'essais, en Allemagne, au Canada, au Portugal, au Danemark et en Australie. L'Irlande, le Portugal, la Finlande, le Kazakhstan, le Canada, le Mexique, la Corée, le Venezuela, le Pérou et la Colombie réfléchissent actuellement à l'introduction de machines à voter.

Le vote électronique par Internet fait l'objet de tests dans de nombreux Etats dans le cadre de projets pilotes régionaux. En outre, de nombreuses élections à caractère non politique se déroulent aujourd'hui par Internet à de nombreux endroits dans des institutions de droit public (p. ex. élections des conseils d'étudiants ou élections des conseils d'entreprise). À l'exception de l'Estonie, aucun Etat souverain n'a jusqu'à présent introduit définitivement le vote électronique par Internet pour les élections ou les votations (référendums) officielles.

Au cours de ces dernières années, des élections-test officielles se sont déroulées en Angleterre (élections régionales en 2002 et 2003), au Japon (à l'échelon communal depuis 2003), aux Pays-Bas (élection au Parlement européen en 2004 avec les Néer42

43

Cf. Ministère autrichien de l'intérieur, rapport du groupe de travail «E-Voting», partie internationale, Vienne, 20 octobre 2004 (www.wahlinfo-bmaa.at/up-media/1137_uagintbericht2010w.pdf). La documentation complémentaire 10 contient un tableau non exhaustif des essais pilotes réalisés à l'étranger en matière de vote électronique.

Depuis 1974. Lors des élections parlementaires de mai 2002, 95 % des communes ont eu recours à des machines à voter électroniques.

5237

landais de l'étranger), en Espagne (référendum local en 2004), en France (élection de l'Assemblée des Français de l'étranger en 2006) et au Canada (élections locales en Ontario en 2003).

Certains autres pays et régions ­ y compris l'Autriche44, la France45, l'Italie46, la Catalogne, l'Espagne47, l'Allemagne48 et le Portugal ­ ont réalisé des tests officieux dans le secteur public ou privé. La Slovénie, la Hongrie et la Bulgarie disposent d'ébauches de solutions sous la forme de projets de loi, qui n'ont cependant pas encore été adoptés par leurs parlements respectifs. La République tchèque et la Roumanie ont annoncé des tests. Le Canada dispose d'une disposition légale qui autorise la réalisation d'études et de tests. L'Autriche, la Suède, la Norvège, le Luxembourg et la Bulgarie ont institué des commissions politiques qui planchent sur le vote électronique.

Dans de nombreux pays, des initiatives consacrées à la cyberadministration ont suscité des réflexions et des activités en matière de vote électronique. La coordination supraétatique, à l'instar de celle qui s'opère dans le cadre du plan d'action eEurope de l'UE, qui concerne des études comparatives49 portant sur tous les pays membres, joue une rôle de plus en plus important en matière de cyberadministration et de vote électronique. Un autre domaine connexe au vote électronique est le développement d'une identité électronique. Là encore, il existe des conceptions multilatérales, à l'exemple de celles de l'UE50, que quelques Etats membres ont déjà mises en oeuvre dans leur législation51.

Par ailleurs, une série de publications scientifiques sont consacrées à divers aspects du vote électronique. Certaines ont eu un tel retentissement public ou politique qu'elles ont précipité le gel de certains projets de vote électronique (Etats-Unis, Irlande)52.

La Suisse s'est attelée à la tâche en adoptant un rythme prudent. La phase pilote qui vient de s'achever a permis de faire une évaluation approfondie des applications pilotes des cantons et de tenir compte en permanence des expériences faites à l'étranger.

44 45 46 47 48 49 50 51 52

Cf. www.e-voting.at Élection parlementaire en juin 2002 à Vandoeuvre-lès-Nancy et référendum par Internet à Issy-les-Moulineaux en novembre 2002.

La dernière fois lors des élections administratives du 17 novembre 2002 à Crémone.

La dernière fois parallèlement à l'élection parlementaire du 14 mars 2004 à Lugo (Mosteiro-Pol), à Zamora et à Toro (Zamora).

P. ex. www.i-vote.de et http://forschungsprojekt-wien.de Cf. http://europa.eu.int/information_society/eeurope.

Cf. Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, portant sur un cadre communautaire pour les signatures électroniques.

P. ex. en Autriche: Signaturgesetz, BGBl. I Nr. 190/1999 idgF (modifiée pour la dernière fois dans la BGBl. I Nr. 152/2001), ou Signaturverordnung, BGBl. II Nr. 30/2000.

Cf. Jefferson D., Rubin A.D., Simons B., Wagner D., A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE), 2004, www.servesecurityreport.org et McGaley M., Gibson J.P., Electronic Voting, A Safety Critical System, Department of Computer Science, National University of Ireland, Maynooth 2003, www.cs.may.ie/research/reports/2003/nuim-cs-tr-2003-02.pdf.

5238

4.4.1

Conseil de l'Europe et OSCE

Le Conseil de l'Europe a consacré de vastes travaux au vote électronique, différant en cela sensiblement d'autres organisations internationales. À l'initiative de quelques Etats membres, le Comité des Ministres a institué un groupe d'experts et adopté, le 30 septembre 2004, une recommandation sur les normes juridiques, opérationnelles et techniques relatives au vote électronique. La Suisse a pu apporter son expérience en matière de vote électronique lors de l'élaboration de ces normes. Se fondant sur diverses réglementations régissant les élections et les votations dans les Etats membres, la recommandation ne fait qu'établir des normes minimales. Elle souligne que le vote électronique doit respecter tous les principes applicables aux élections et aux référendums démocratiques et être aussi fiable et sûr que les élections et les référendums démocratiques qui n'impliquent pas le recours aux moyens électroniques. Elle attache en outre une importance particulière à un niveau de sécurité élevé du vote électronique, au fait que le vote électronique est une forme de vote supplémentaire et à la neutralité des outils technologiques (diversité des modes de suffrage)53. La Commission européenne pour la démocratie par le droit («Commission de Venise»), organe consultatif du Conseil de l'Europe, a, dans son «Code de bonne conduite en matière électorale», étudié le vote électronique à la lumière de la manière dont il préserve les droits démocratiques fondamentaux. Elle relève que le vote électronique ne doit être autorisé que s'il peut être organisé de façon sûre et fiable. Selon elle, la personne qui a voté doit en particulier pouvoir obtenir confirmation de son vote et le corriger, si le droit national l'exige, sans parler du fait que la transparence du système doit être garantie54.

En juillet 2004 et en avril 2005, l'Organisation pour la Sécurité et la Coopération en Europe (OSCE) a organisé à Vienne deux réunions complémentaires sur la tenue et l'observation d'élections. De nombreux Etats participants de l'OSCE aimeraient introduire le vote électronique sur leur territoire. L'OSCE estime qu'en tenant davantage compte de cette nouvelle évolution dans le cadre des obligations électorales et des missions d'observation électorale, on répondrait à un grand besoin. Par ailleurs, l'OSCE entend désormais recourir à des experts pour ses missions d'observation électorale afin qu'ils participent à l'évaluation de la mise en oeuvre des obligations existantes dans le domaine technique55. Elle a ainsi effectué des contrôles par échantillonnage à l'occasion des élections présidentielles américaines

53

54

55

Cf. Recommandation Rec (2004) 11 du Comité des Ministres aux États membres sur les normes juridiques, opérationnelles et techniques relatives au vote électronique, adoptée par le Comité des Ministres le 30 septembre 2004 lors de la 898e réunion des délégués des ministres.

Code de bonne conduite en matière électorale, adopté par la Commission européenne pour la démocratie par le droit, juillet/octobre 2002, ch. 3.2, par. IV, du code et ch. 3.2.2.3 du rapport explicatif y afférent; cf. avis n° 190/2002 du 9 octobre 2002 de la Commission de Venise, www.venice.coe.int/docs/2002/CDL-EL(2002)005-f.asp.

OSCE/ODIHR, Supplementary Human Dimension Meeting on Electoral Standards and Commitments, Vienne, 15 et 16 juillet 2004; Supplementary Human Dimension Meeting on Challenges of Election Technologies and Procedures, Vienne, 21 et 22 avril 2005 (Cf. www.osce.org/item/9742.html).

5239

en novembre 2004 pour déterminer si les machines à voter utilisées dans les bureaux de vote de nombreux Etats fédérés présentaient des défauts56.

4.5

Conclusion

Les cantons pilotes de Genève, Neuchâtel et Zurich avaient procédé à des tests à grande échelle, suivis par des organes externes, avant d'utiliser pour la première fois leur système de vote électronique. Il s'agissait en l'occurrence d'examiner, en collaboration avec les communes, le canton, la Confédération, le corps électoral et le grand public, les mesures destinées à assurer la sécurité technique et les mesures organisationnelles d'accompagnement.

Faisant suite à des tests circonscrits à des scrutins communaux ou cantonaux, les cinq essais, dont le premier a eu lieu à Anières (GE) le 19 janvier 2003, se sont déroulés jusqu'en 2005 dans les cantons précités, dans le cadre de votations populaires fédérales. Ils ont permis de tester avec succès les systèmes mis au point, qui n'ont connu aucune panne. Ils ont aussi permis d'effectuer, dans des conditions réelles, des études de faisabilité complémentaires axées sur la pratique.

Tableau 1 Essais pilotes réalisés à l'occasion de votations populaires fédérales Votation populaire fédérale du:

Recours au vote électronique dans le:

26 septembre 2004

canton de Genève: 22 137 électeurs communes d'Anières, de Carouge, de Cologny et de Meyrin canton de Genève: 41 431 électeurs communes d'Anières, de Carouge, de Cologny, de Collonge-Bellerive, de Meyrin, d'Onex, de Vandoeuvres et de Versoix canton de Neuchâtel 1732 électeurs qui ont utilisé le Guichet unique cantonal canton de Zurich: 16 726 électeurs communes de Bertschikon, de Bülach et de Schlieren canton de Neuchâtel 2469 électeurs qui ont utilisé le Guichet unique cantonal

28 novembre 2004

25 septembre 2005 27 novembre 2005

27 novembre 2005

56

Etendue de l'essai pilote:

Nombre de suffrages électroniques (pourcentage par rapport à tous les suffrages)

2723 (21,8 %) 3755 (22,4 %)

1178 (68,0 %) 1154 (y compris 243 par SMS) (22,1 %) 1345 (55,1 %)

Pour en savoir plus sur la mission d'observation des élections aux États-Unis en 2004, consulter le Final Report on the 2 November 2004 Elections in the United States of America, mars 2005 (www.osce.org/item/13658.html), et le Manuel d'observation des élections, cinquième édition, 2005, p. 49 (www.osce.org/publications/odihr/2005/04/14004_240_fr.pdf).

5240

En moyenne, plus de 22 % des personnes qui ont voté dans le cadre des essais pilotes ont opté pour le vote électronique. Dans le canton de Neuchâtel, la participation a été bien plus élevée (55 et 68 %) en raison de l'intérêt des utilisateurs du Guichet unique cantonal, lesquels constituent un cercle restreint.

Avec les essais pilotes officiels qui se sont déroulés sur son territoire, la Suisse a suscité un grand intérêt dans des enceintes internationales. Ainsi, le Conseil de l'Europe, se fondant sur l'ordonnance sur les droits politiques (ODP, en particulier ses art. 27a à 27q), a été la première organisation internationale à adopter, le 30 septembre 2004, une recommandation sur les principes fondamentaux régissant le recours au vote électronique57. Forte de ses expériences, la Suisse a par ailleurs pu alimenter les discussions menées dans le cadre de l'OSCE à propos des obligations complémentaires des Etats participants lors d'élections démocratiques58.

5

Evaluation des essais pilotes

Le présent chapitre présente une évaluation des projets pilotes à l'aide des critères décrits au ch. 3. Le ch. 5.4 décrit en particulier la manière dont le vote électronique pourrait être instauré en Suisse.

5.1

Utilité et conséquences pour la démocratie directe

La Suisse fait partie des pays les plus avancés pour ce qui est de l'accès à Internet.

Près de quatre millions de personnes, dont 43 % de femmes, disposent aujourd'hui d'un raccordement Internet à domicile; c'est ce qui ressort d'une enquête de la REMP qui a été réalisée entre avril et septembre 2004 auprès de 11 000 personnes domiciliées en Suisse59. 81,7 % de tous les internautes habitant en Suisse utilisent un système de messagerie électronique, 67 % utilisent des moteurs de recherche, 40 % déclarent lire régulièrement des «news» sur Internet, 18,7 % consultent des articles de journaux et de périodiques et 15 % recherchent des renseignements sur les horaires. Le shopping en ligne a moins la cote: seuls 4,3 % des internautes le pratiquent.

Les enchères en ligne séduisent déjà 4,7 % des cybernautes. Enfin, 12,3 % des internautes sont des adeptes du télébanking. Dans ces conditions, on conçoit aisément que la participation à la démocratie directe se fasse aussi par Internet.

Le vote électronique serait-il en mesure de faire augmenter la participation électorale? De l'avis du professeur zurichois Hanspeter Kriesi, qui enseigne les sciences politiques, le vote électronique permet de mobiliser ce segment de la population qui boude les urnes particulièrement souvent, à savoir les jeunes. Deux avis, qui ont servi de base à la rédaction du rapport du Conseil fédéral du 9 janvier 2002 sur le vote électronique (FF 2002 612, en l'occurrence: 621 s. et annexes), ont abouti à des résultats différents pour ce qui est de l'impact du vote électronique sur l'augmentation de la participation électorale. Le Centre genevois d'études et de documentation sur la démocratie directe (c2d) estime le potentiel d'augmentation à 9 % au 57 58 59

Recommandation Rec (2004) 11 du Comité des Ministres aux États membres sur les normes juridiques, opérationnelles et techniques relatives au vote électronique.

Cf. ch. 4.4.1 REMP Recherches et études des média publicitaires, Report REMP plus, avril 2005; www.wemf.ch/pdf/f/Report_Plus_1_05.pdf.

5241

maximum pour le canton de Genève. Le professeur Wolf Linder, de l'Université de Berne, a quant à lui calculé que l'augmentation de la participation à l'échelle nationale serait de 1,7 point au maximum.

Le vote électronique pourrait cependant avoir des effets indésirables. Certains experts estiment qu'il recèle le risque d'une désacralisation du vote. Pour Yannis Papadopoulos, professeur à l'Université de Lausanne, le vote électronique constitue une étape supplémentaire vers la privatisation des choix politiques. Selon lui, plus le vote se privatise, moins l'électeur tient compte de l'opinion des autres. Cette question n'a pas pu être examinée dans le cadre des essais pilotes, qui étaient limités à des zones géographiques et à des dates bien précises.

Sur le principe, néanmoins, la plupart des experts présents lors d'une journée scientifique organisée par l'Association suisse pour le développement de l'informatique juridique partageaient l'avis selon lequel le développement du vote électronique, même s'il est une source de risques pour le maintien de la démocratie directe en Suisse, est inéluctable. Le repli dans la sphère privée est un phénomène de société auquel on assiste à de nombreux endroits. Le vote par correspondance ou par voie électronique n'en est toutefois pas la cause, mais plutôt la conséquence60.

La Chancellerie fédérale a été chargée par le Parlement d'assurer le suivi scientifique des essais pilotes consacrés au vote électronique. Elle a dû recenser notamment l'âge, le sexe et la formation des personnes qui ont eu ou qui pourraient avoir recours au vote électronique, en vertu de l'art. 8a, al. 3, LDP.

5.1.1

Etude 2003 à 2004 sur la propension à recourir au vote électronique

Dans son étude du 18 janvier 2005 sur la propension à recourir au vote électronique61, réalisée à la demande de la Chancellerie fédérale, l'institut de recherche gfs.berne étudie de façon empirique la question de savoir si les électeurs suisses souhaitent (propension62) l'introduction du vote électronique.

60

61

62

Cf. Muralt Müller Hanna et Koller Thomas (Éd.), E-Voting, Journées d'informatique juridique 2002, Berne 2002. Pour le secret du vote en général et dans le domaine du vote électronique, cf. aussi Braun, thèse 2005.

Institut de recherche gfs.berne: «Das Potenzial der elektronischen Stimmabgabe», étude réalisée à la demande de la Chancellerie fédérale, Berne 2005, cf. documentation complémentaire 11a.

Les informations sur la propension à recourir au vote électronique se fondent sur un complément à quatre analyses VOX (analyses a posteriori de votations populaires fédérales) effectuées en 2003 et en 2004. En tout, 4018 Suisses et Suissesses ayant le droit de vote ont été interrogés.

Une propension traduit une disposition à agir ou une volonté d'agir. Suivant la forme qu'elle prend, elle exprime le simple fait que l'on puisse imaginer entreprendre une action, le souhait d'entreprendre une action ou l'intention concrète d'entreprendre cette action, mais elle ne constitue pas une action proprement dite. Une action réelle n'est entreprise que par une partie des personnes qui ont une propension à agir.

5242

Illustration 1 Propension des électeurs suisses à recourir au vote électronique Les personnes interrogées devaient dire s'il serait très probable, plutôt probable, plutôt improbable ou tout à fait improbable qu'elles votent par voie électronique si elles avaient la possibilité de le faire.

en % des électeurs

© gfs.berne, vote électronique, 2003/2004 (N=4018)

À l'heure actuelle, deux électeurs sur trois ont accès à Internet. Cette proportion est encore plus élevée chez les jeunes et chez les électeurs ayant un niveau de formation supérieur. L'enquête révèle que 54 % des personnes interrogées peuvent s'imaginer voter par Internet. La propension à recourir au vote électronique est donc présente chez plus de la moitié des électeurs en Suisse. Par contre, plus d'un tiers des électeurs ne se voient pas ou plutôt pas voter par voie électronique.

Interrogés sur leurs motivations, les utilisateurs potentiels parlent particulièrement souvent de la convivialité (ils affirment qu'il est plus confortable, plus aisé et plus simple de voter par voie électronique), alors que les personnes qui ne voteraient probablement pas par voie électronique invoquent particulièrement les craintes liées à la sécurité des données. La plupart des personnes interrogées pensent subjectivement que le vote par correspondance est plus sûr que le vote électronique.

Il n'est plus surprenant d'apprendre que le recours au vote électronique dépend largement du fait qu'une personne a ou non un accès quotidien à Internet et qu'elle utilise cet outil régulièrement dans le cadre de sa vie professionnelle ou privée.

La propension à recourir au vote électronique est influencée par les variables suivantes, qui sont des facteurs significatifs: activité lucrative, âge, niveau de formation, sexe, revenu et habitat. Cela témoigne du fait, selon l'institut gfs.berne, que le vote électronique est un outil très récent. Les nouveaux médias ont en général un impact tant sociologique que socio-économique. Le vote électronique s'adresse avant tout à une population urbaine d'hommes jeunes et aisés. Par ailleurs, la propension à recourir au vote électronique est aussi supérieure à 50 % chez les 40­65 ans et dans la classe moyenne. En Suisse romande, cette propension est, d'une manière générale, supérieure par rapport au reste de la Suisse.

5243

Il est à noter que le vote électronique exerce un attrait particulier sur les personnes qui ne participent que quelquefois ­ voire jamais ­ à des votations. Voilà un constat qui plaide pour le remplacement de formes de vote par le vote électronique et qui pourrait présager une augmentation de la participation électorale.

La propension à recourir au vote électronique varie enfin en fonction de l'engagement politique des électeurs. L'intérêt accru pour la chose politique et la participation accrue aux discussions politiques conditionnent une propension accrue à recourir au vote électronique. L'appartenance politique des électeurs n'a quant à elle qu'un impact mineur sur la propension à recourir au vote électronique. Les différences entre les sympathisants de tel ou tel parti politique se situent à l'intérieur de la marge d'erreur applicable à l'échantillon. On peut dire que le vote électronique n'a pas d'impact sur les rapports de force entre les formations politiques.

Selon l'institut gfs.berne, on ne peut pas exclure que le vote électronique aura une influence sur la mobilisation des électeurs. 30 % des personnes interrogées se voient recourir au vote électronique, alors que 24 % estiment qu'il est plutôt probable qu'elles y recourent. Il ne s'agit pas avant tout d'électeurs qui prennent part aux scrutins, mais d'électeurs qui décident au cas par cas s'ils vont participer ou non. Si le vote électronique est convivial, on peut s'attendre à une relative augmentation de la participation. Les facteurs qui influencent le plus la mobilisation ne sont pas directement liés aux possibilités qu'il y a de voter. On va dès lors assister avant tout au remplacement d'un type de vote ­ probablement le vote par correspondance ­ par le vote électronique. Une autre mobilisation à laquelle on pourrait assister concerne principalement les jeunes, qui sont d'ordinaire sensiblement sous-représentés et qui trouvent le vote électronique particulièrement attrayant. Un autre groupe susceptible de participer davantage aux scrutins si le vote électronique est instauré n'est autre que le groupe des Suisses de l'étranger63.

5.1.2

Enquêtes effectuées dans le cadre des essais pilotes cantonaux réalisés lors de votations populaires fédérales

5.1.2.1

Canton de Genève64

A l'occasion des scrutins de Carouge et Meyrin, au printemps 2004, d'une part, et du premier scrutin fédéral par Internet, en septembre 2004, d'autre part, le canton de Genève a mandaté le Centre d'étude et de documentation sur la démocratie directe de l'Université de Genève (c2d) pour tracer le profil et les motivations des utilisateurs du vote en ligne, ainsi que pour définir ce qui les distingue des autres électeurs.

Ces études ont mis deux choses essentielles en évidence:

63

64

Institut de recherche gfs.berne:Internationale SchweizerInnen, Schlussbericht zur 1. repräsentativen Online Befragung der stimmberechtigten AuslandschweizerInnen für ASO und swissinfo/SRI. Berne 2003, www.gfs.ch/auslandschweizer.html (en allemand uniquement).

Centre d'études et de documentation sur la démocratie directe de l'Université de Genève, Analyse du scrutin du 26 septembre 2004 dans quatre communes genevoises (Anières, Carouge, Cologny et Meyrin), juillet 2005, cf. documentation complémentaire 11b.

5244

Les déterminants du choix d'utiliser le vote en ligne plutôt que le vote par correspondance et le vote à l'urne ne sont ni l'âge, ni le revenu, ni le niveau de formation, ni le positionnement politique, mais des variables dites «informatiques», soit la confiance dans les communications sur Internet et les connaissances informatiques.

Cette dernière variable ne signifie pas qu'il faut être un as de l'ordinateur pour voter en ligne, mais simplement qu'il faut être en confiance face à son PC. Le niveau de connaissance ne résulte en effet pas d'une évaluation objective, mais d'une autoévaluation subjective des personnes interrogées. Les trois modes de scrutin, vote à l'urne, vote par correspondance et vote par Internet, sont neutres politiquement.

Autrement dit, il est impossible de deviner les choix politiques d'un électeur sur la base du mode d'expression qu'il choisit.

Sur la base de ces deux observations centrales, le recours au vote en ligne apparaît comme un choix personnel et comme l'indicateur d'un mode de vie dont les technologies de l'information seraient un pivot. Il n'est en rien un marqueur qui permettrait a priori de différencier les individus entre utilisateurs et non-utilisateurs sur la base de caractéristiques traduisant un «rang» social.

Ce constat remet en question certaines explications simples, pour ne pas dire simplistes, avancées dans la littérature spécialisée et la presse. Alors que nous savons par exemple que les femmes votent moins par Internet que les hommes et que les jeunes sont plus attirés par ce moyen de vote, cette étude montre que ces variables ne sont en réalité pas d'une grande aide pour expliquer le choix ou non du vote électronique.

Par ailleurs, les contrôles effectués par les autorités genevoises ont montré que la distribution des votes dans le temps n'est pas la même, selon qu'il s'agit de votes par correspondance ou de vote en ligne. Les votes par correspondance progressent de façon irrégulière au cours des quatre semaines que durent un scrutin: environ 40 % sont exprimés durant la troisième semaine précédant la clôture du scrutin, et environ 30 % durant la dernière semaine. Les votes électroniques, quant à eux, se concentrent à plus de 50 % sur la dernière semaine et même à près de 30 % sur les 36 dernières heures d'ouverture du scrutin.

Il faudrait
être en possession d'une série de résultats bien plus riche pour pouvoir procéder à une étude de l'impact du vote électronique sur la participation. On peut néanmoins remarquer deux tendances: ­

Internet «prend» des électeurs au vote par correspondance, mais pas aux locaux de vote, dont la fréquentation est restée dans la moyenne (5 %);

­

la tranche d'âge des 18­29 ans, qui représente 10 % de l'électorat, ne constitue que 7 à 8 % des votants effectifs sans le vote en ligne. Lorsque le vote par Internet est offert, le poids de cette classe d'âge dans le groupe des votants remonte à son poids démographique, soit 10 %.

Ainsi, la généralisation du vote électronique pourrait non seulement faire augmenter la participation électorale, mais aussi améliorer la représentativité des choix des électeurs par l'inclusion d'un plus grand nombre de jeunes électeurs dans le corps des votants.

Dans les huit scrutins pour lesquels Internet était offert dans le canton de Genève, soient 26 questions posées aux électeurs, les résultats du vote électronique se sont toujours inscrits du côté de la majorité finale.

5245

5.1.2.2

Canton de Neuchâtel

Le canton de Neuchâtel a, pour la première fois, organisé un scrutin électronique lors de la votation fédérale du 25 septembre 2005. Afin de mieux cerner les avis des électeurs, le canton de Neuchâtel a organisé une enquête65 de satisfaction pour toutes les personnes qui disposaient de la possibilité de voter par Internet. Toutes les personnes inscrites au Guichet unique ont reçu un courriel contenant les informations utiles pour participer à cette enquête qui s'est déroulée du 29 septembre au 21 octobre 2005. Il est à souligner le grand intérêt porté à ce projet puisque plus de 58 % des personnes ont pris le temps de répondre aux différentes questions.

Si l'Internet est souvent considéré comme un outil pour les jeunes, on constate que les «anciens» s'intéressent de plus en plus à ce nouveau moyen de communication.

Avec 16,5 % de plus de 60 ans et près de 27 % pour les 50 à 59 ans, cette tranche est très bien représentée parmi les utilisateurs du Guichet unique.

A la question concernant l'accès à Internet, on constate que deux tiers des utilisateurs disposent d'un accès à domicile et sur le lieu de travail, alors que le troisième tiers dispose d'un accès uniquement au domicile. Très peu d'utilisateurs n'ont un accès que depuis leur lieu de travail.

Les résultats sur l'utilisation d'Internet, les connaissances informatiques et la sécurité des appareils de saisie démontrent bien l'intérêt toujours plus marqué dans l'utilisation des nouvelles technologies de la communication.

On peut considérer les réponses sur les habitudes de vote comme sans surprise puisqu'il s'agit avant tout d'électeurs qui participent régulièrement aux différents scrutins en utilisant le vote par correspondance comme plus de 96 % des votants.

La raison pour laquelle certains utilisateurs n'ont pas pu utiliser le vote électronique est due principalement à des problèmes techniques de configuration du poste de travail. Les 6,9 % (5,8 % en raison d'un problème d'accès au Guichet unique et 1,1 % en raison d'un ordinateur en panne) ne correspondent pas au nombre de problèmes que connaissait le support technique du canton de Neuchâtel à ce moment-là.

Il s'agit, dans beaucoup de cas, d'utilisateurs qui n'ont jamais pris contact avec notre équipe de support. Il est donc indispensable de signaler à tous ceux qui rencontrent des problèmes qu'ils peuvent prendre contact par courriel avec le support technique du canton.

Les aspects de convivialité et de confiance par rapport au vote électronique ont atteint des résultats inespérés. Avec plus de 87 % de personnes satisfaites du point de vue de la convivialité et plus de 94 % au niveau de la confiance, on peut considérer que les premiers objectifs sont atteints. Certaines remarques et propositions devront être analysées pour des prochaines étapes. Il s'agit essentiellement d'éléments de confort comme la saisie du code de validation.

Contrairement aux avantages du vote électronique, qui se sont partagés sur plusieurs points, les inconvénients se sont essentiellement concentrés sur la question de la fracture numérique. Bien qu'il ne soit pas question de supprimer les deux autres modes de vote, on constate que cet élément reste la principale préoccupation malgré le fait que le nombre d'internautes ne cesse d'augmenter.

65

Canton de Neuchâtel, Enquête de satisfaction, scrutin du 25 septembre 2005, novembre 2005, cf. documentation complémentaire 11c.

5246

Le vote électronique est plébiscité par près de 99 % des utilisateurs, ce qui démontre de manière très claire la volonté d'un changement dans les processus de travail avec les administrations publiques.

Enfin, la dernière question, qui concernait l'augmentation de la participation aux scrutins, n'a pas dégagé une réelle tendance puisque, pour la plupart, il s'agit d'électeurs qui ont l'habitude de voter régulièrement.

5.1.2.3

Canton de Zurich

Une enquête téléphonique66 a été effectuée auprès de 600 électeurs des communes pilotes zurichoises de Bertschikon, de Bülach et de Schlieren à l'occasion de l'essai pilote réalisé dans le cadre de la votation populaire fédérale du 27 novembre 2005.

Les personnes des trois communes pilotes qui ont eu recours au vote électronique sont particulièrement nombreuses à être de sexe masculin et à se situer dans la tranche d'âge des jeunes adultes ou dans celle des adultes d'âge moyen. Elles sont aussi particulièrement nombreuses à exercer une activité lucrative et à avoir effectué un perfectionnement professionnel ou universitaire. Les votants que l'on pourrait qualifier de sélectifs sont plus ouverts au vote électronique que les personnes qui votent régulièrement. Les personnes interrogées qui disposent de revenus supérieurs, qui ont une grande confiance dans Internet et qui sont rompues aux nouvelles technologies de la communication ont opté particulièrement souvent pour le vote par voie électronique.

Il est difficile de dire si le vote électronique serait en mesure de faire augmenter la participation électorale dans le canton de Zurich vu que l'enquête était circonscrite aux communes pilotes. Tant les adeptes du vote dans les urnes que les adeptes du vote par correspondance se disent prêts à passer au vote électronique. La plupart des votants sont restés fidèles à la forme de vote qu'ils utilisent habituellement. On constate néanmoins qu'un nombre considérable de votants ­ tant parmi les adeptes du vote dans les urnes que parmi les adeptes du vote par correspondance ­ sont passés au vote électronique. 5 % des personnes qui ont eu recours au vote électronique ont déclaré qu'elles n'auraient pas voté si elles n'avaient pas eu cette possibilité.

Ces résultats pourraient laisser entendre que le vote électronique serait susceptible d'inciter des personnes, qui d'ordinaire ne votent pas, à voter, ou d'autres personnes, qui votent occasionnellement, à voter plus fréquemment.

Enfin, l'enquête a révélé que les personnes qui votent par voie électronique se distinguent des autres votants en fonction de l'objet soumis au vote. Le vote électronique ne va pas pour autant provoquer de bouleversements dans les forces politiques en présence. Toutes les enquêtes réalisées dans le cadre des projets pilotes arrivent à cette conclusion.

66

Centre d'études et de documentation sur la démocratie directe de l'Université de Genève, Umfrage bei Stimmberechtigten der Zürcher Gemeinden Bertschikon, Bülach und Schlieren anlässlich des Pilotversuchs zum Vote électronique vom 27. November 2005, Genève, Florence, mars 2006, cf. documentation complémentaire 11d.

5247

5.1.2.4

Enquêtes effectuées par des tiers

La Chancellerie fédérale et les cantons pilotes sont certes à l'origine des enquêtes réalisées dans le cadre des projets pilotes, mais des tiers ont aussi recueilli à plusieurs reprises l'avis des citoyens sur le vote électronique. Ainsi, le magazine Coopération a mandaté l'institut Link pour réaliser un sondage en octobre 2005 auprès de 681 personnes en Suisse romande et en Suisse alémanique: il en ressort que 57 % de Suisses sont favorables au vote par SMS. 25 % d'entre eux sont très favorables à l'utilisation de cette nouvelle possibilité, alors que les 32 % restants ne répugneraient pas à utiliser cette nouvelle forme de vote. À l'inverse, 23 % des sondés se montrent plutôt réticents et 17 % absolument opposés à cette idée. Enfin, 3 % n'avaient pas d'opinion67.

La haute école spécialisée bernoise a réalisé un troisième sondage sur la cyberadministration, dont les résultats ont été publiés en mars 2006. Il en ressort que 70 % des citoyens suisses auraient recours au vote électronique s'ils en avaient la possibilité.

Il en ressort également que cette forme de vote arrive en troisième position sur la liste des services que les citoyens voudraient que les pouvoirs publics leur proposent sur Internet, après la notification d'emménagement ou de déménagement en cas de changement de domicile ainsi qu'après la modification du permis de conduire et l'immatriculation ou la désimmatriculation de véhicules68.

5.1.3

Les facilités de vote vont-elles stimuler la participation électorale?

Pour répondre à cette question, on peut certes consulter les enquêtes sur la propension à recourir au vote électronique réalisées dans le cadre des projets pilotes cantonaux, mais on peut aussi examiner les expériences faites avec le vote par correspondance, auquel on peut recourir depuis un certain temps déjà.

Le vote par correspondance et le vote électronique ont ceci en commun qu'ils s'exercent à distance. Les électeurs ne sont pas obligés de se rendre dans un local de vote pour voter. Ils peuvent remplir leur bulletin de vote à la maison, par exemple à leur bureau ou même sur leur ordinateur, et l'envoyer par la poste ou par voie électronique. Les avantages de ces facilités de vote sont évidents: les électeurs peuvent voter quels que soient l'heure et le lieu.

Une comparaison de nature historique révèle que la Suisse a libéralisé le vote plus tôt et d'une façon plus étendue que les autres pays69. Cette libéralisation, dont la dernière en date a été l'introduction généralisée du vote par correspondance en 1994, a pris la forme de simplifications fondamentales. Ainsi, dans de nombreux cantons, il est possible de voter de façon anticipée, que ce soit personnellement ou par procuration.

67 68

69

Magazine Coopération n° 42, du 19 octobre 2005, p. 3.

Haute école spécialisée bernoise, 3e sondage e-Government, Avantages et tendances du point de vue des citoyennes et des citoyens, Berne, mars 2006, www.wirtschaft.bfh.ch/index.php?nav=375 (résumé en français).

Cf. Braun, thèse 2005, chiffres marginaux 176 ss, 189, 199 ss, 415 ss, 429 ss, 512 ss.

5248

De telles simplifications, notamment le vote à distance, répondent aux besoins des électeurs d'aujourd'hui, qui se caractérisent par leur mobilité. Comme on pouvait s'y attendre, le vote par correspondance connaît un grand succès auprès des électeurs en Suisse depuis son introduction généralisée en 199470.

La participation moyenne calculée sur dix ans est toujours restée supérieure à 50 % jusqu'à la fin de la Seconde Guerre mondiale. Dans les années 60 et jusqu'aux années 80, la participation est parfois passée sous la barre des 40 %. Entre 1995 et 2005, enfin, elle a de nouveau augmenté, se situant en moyenne à 44,5 %. Dans les cantons de Suisse occidentale, de Bâle-Ville et de Nidwald, cette augmentation coïncide avec la mise en place du vote par correspondance facilité71. À l'étranger, on a observé un recul constant de la participation durant la même période.

Illustration 2 Participation lors des votations populaires depuis 1900

La Chancellerie fédérale a effectué en 2005 deux enquêtes complémentaires72 auprès des cantons et des communes sur le vote par correspondance. Dans le cas de la première enquête, effectuée à l'occasion de la votation populaire fédérale du 5 juin 2005, les cantons-villes que sont Bâle-Ville et Genève, mais aussi les cantons de Lucerne, de Vaud, de Neuchâtel, d'Obwald et de Saint-Gall ont enregistré un pourcentage de votes par correspondance supérieur à 90 %. Dans deux cantons, par contre, le pourcentage a été considérablement inférieur à la moyenne: il a été de 17 % à Glaris et de 25 % à Schaffhouse. Dans le canton du Valais, si le taux de 5 % était encore anecdotique en 2004, il est passé à 67 % en 2005, depuis l'application sans restrictions du vote par correspondance73.

70 71 72 73

Art. 5, al. 3, LDP; cf. RO 1994 2414; FF 1993 III 405 Il est possible de consulter les résultats de toutes les votations populaires depuis 1848 à l'adresse suivante: www.bk.admin.ch/ch/f/pore/va/index.html.

Cf. documentation complémentaire 8.

Seul le canton du Tessin connaît encore le vote par correspondance sous conditions pour les élections et les votations aux niveaux cantonal et communal. Cf. art. 32 de la Legge del 7 ottobre 1998 sull'esercizio dei diritti politici.

5249

En accord avec la Conférence suisse des chanceliers d'Etat, la Chancellerie fédérale a effectué une enquête supplémentaire auprès de toutes les communes de Suisse, à l'occasion de la votation populaire fédérale du 27 novembre 2005, sur le pourcentage de suffrages exprimés par correspondance. Il en ressort que 81,5 % de tous les suffrages ont été exprimés par correspondance, le pourcentage étant supérieur à 90 % dans les cantons de Schwyz, d'Obwald, de Nidwald, de Zoug et de Saint-Gall, et même supérieur à 95 % dans les cantons de Lucerne, de Bâle-Ville, de Vaud, de Neuchâtel et de Genève. Dans huit cantons (GL, SH, AR, AI, TG, TI, VS et JU), le pourcentage de suffrages glissés dans les urnes était supérieur à 30 % de tous les suffrages exprimés. Les pourcentages de suffrages exprimés par correspondance qui étaient les plus bas ont été enregistrés dans les cantons de Glaris et de Schaffhouse74.

La plupart des suffrages exprimés par correspondance le sont dans les deux semaines qui précèdent le dimanche de la votation. À cet égard, les cantons de Neuchâtel et de Genève constituent des exceptions en ce sens que plus d'un tiers des suffrages qui y sont exprimés par correspondance le sont durant la troisième semaine qui précède la clôture du scrutin. Voilà pourquoi, dans ces deux cantons, les campagnes qui précèdent les votations devraient être coordonnées différemment que dans les autres régions de Suisse en termes de calendrier. Dans le canton de Genève, le nombre de suffrages exprimés par correspondance connaît encore une forte augmentation durant la semaine qui précède la clôture du scrutin. Les essais pilotes en matière de vote électronique qui ont été réalisés dans les cantons de Genève, de Neuchâtel et de Zurich ont montré que le nombre de suffrages exprimés par voie électronique a tendance à augmenter sans cesse entre la troisième et la dernière semaines précédant la clôture du scrutin. Qui plus est, nombreux sont les électeurs qui décident de voter par voie électronique dans les heures qui précèdent la clôture du scrutin. En dépit de cela, le vote électronique n'a guère d'effets nouveaux sur la gestion des campagnes par les partis et les associations75.

En 2002, le Conseil fédéral, contrairement à certains experts, a affiché son scepticisme face à l'éventualité d'une augmentation de la participation électorale sous l'effet du vote électronique76. Ce scepticisme doit rester de mise même après les projets pilotes qui ont été menés et le suivi scientifique dont ils ont fait l'objet. La propension à recourir au vote électronique, telle qu'elle ressort des enquêtes présentées au ch. 5.1 et qui dépasse toutes les attentes, mais aussi les signes d'une possible augmentation de la participation électorale dans les trois cantons pilotes devraient tout d'abord être confirmés par des essais qu'il faudrait mener à plusieurs reprises sur l'ensemble du territoire d'un canton.

74

75 76

Glaris et Appenzell Rhodes-Intérieures sont les seuls cantons suisses à disposer encore d'une Landsgemeinde, et Schaffhouse est le seul canton à connaître encore le vote obligatoire.

La documentation complémentaire 8, ch. 5 et 6, contient les résultats détaillés de l'enquête.

FF 2002 621 s.

5250

5.1.4

Conclusion

Il convient de relever que les résultats des enquêtes sociodémographiques présentées plus haut et que les enquêtes effectuées par des tiers se recoupent à bien des égards: ­

la majorité des électeurs suisses sont favorables au vote électronique;

­

environ un tiers des personnes interrogées se disent prêtes à recourir au vote électronique s'il était introduit;

­

dans chacun des sondages, un quart à un cinquième des personnes interrogées ne s'imaginent pas voter par voie électronique ou n'accepteraient pas l'introduction du vote électronique.

Par contre, même les résultats du suivi scientifique des nombreux projets pilotes ne permettent pas de dire si la généralisation du vote électronique ferait augmenter la participation électorale. La réponse à cette question dépend trop étroitement de la question de savoir quelle serait la propension de recourir au vote électronique chez les personnes qui ne participent qu'épisodiquement ­ voire jamais ­ à des votations populaires77.

La libéralisation du vote peut être vue comme un impératif dans une société moderne où la mobilité occupe une place prépondérante. La diversification des formes de vote se fera tôt ou tard sous la pression des nouveaux modes de vie. Elle est cependant susceptible d'accroître la fragilité des processus démocratiques de prise des décisions.

5.2

Risques et mesures de sécurité

5.2.1

L'architecture de sécurité des systèmes cantonaux78

Le vote électronique repose sur trois zones indissociables: l'environnement de l'utilisateur, le réseau administratif et la zone de haute sécurité.

Font partie de l'«environnement de l'utilisateur» les appareils que les électeurs utilisent pour voter par voie électronique, donc les ordinateurs personnels, les ordinateurs portables, les téléphones portables et les assistants personnels79. Tant des fournisseurs que des opérateurs de téléphonie mobile garantissent la sécurité des communications de ces appareils de saisie avec l'application permettant de voter.

Les appareils de saisie présentent des configurations très diverses (système d'exploitation, type de navigateur), qui se situent en dehors de la zone d'influence de l'application permettant de voter. La responsabilité de la sécurité de l'appareil de saisie relève dès lors exclusivement de l'utilisateur ou alors du responsable d'un système de gestion (antivirus, pare-feu, etc.).

77 78

79

Pour en savoir plus sur la possible augmentation de la participation électorale sous l'effet du vote électronique, voir le ch. 5.1.3.

La documentation complémentaire 6 contient une présentation détaillée des caractéristiques de sécurité mises en oeuvre dans les cantons pilotes, alors que la documentation complémentaire 5 contient une évaluation détaillée des mesures de sécurité cantonales.

Assistant personnel (angl. PDA pour Personal Digital Assistant): ordinateur de poche qui peut être utilisé comme carnet d'adresses et comme agenda, mais qui permet aussi d'accéder à Internet.

5251

La deuxième zone, à savoir le réseau administratif, se caractérise par ses accès restreints et par son cloisonnement par rapport à Internet. Les réseaux administratifs à accès restreint opèrent toutes les transactions du système de vote électronique avec les communes, par exemple l'échange des données avec les communes destiné à établir le registre informatisé des électeurs ou la transmission des résultats de la votation au service cantonal compétent.

Toutes les données ultrasensibles d'une application de vote sont hébergées dans ce que l'on appelle la «zone de haute sécurité». Il s'agit notamment de l'urne électronique et du registre informatisé des électeurs. La zone de haute sécurité est séparée du réseau administratif par un pare-feu et elle fait l'objet de restrictions d'accès draconiennes. Elle englobe notamment l'architecture du registre, l'attribution des clés d'identification et d'authentification, l'anonymisation des électeurs, la garde des suffrages se trouvant dans l'urne électronique, le contrôle du registre et l'établissement des résultats.

5.2.1.1

Registre virtuel des électeurs

La solution retenue par chacun des cantons pilotes prévoit l'établissement d'un registre virtuel des électeurs comme première étape du processus de vote électronique. Les trois systèmes se distinguent cependant par leurs caractéristiques. Alors que c'est le canton de Genève qui tient un registre centralisé des électeurs, ce sont les communes qui tiennent ces registres dans les cantons de Neuchâtel et de Zurich.

Dans les trois cantons, avant le début d'une votation ou d'une élection, on fixe un jour précis durant lequel les données figurant dans les registres des habitants sont transformées en un registre temporaire des électeurs qui doit être homogène, lequel est nécessaire à l'établissement des cartes de légitimation, à leur envoi aux électeurs et à la création des codes d'accès et d'authentification. Ensuite, on utilise les parties de ce registre pour générer le registre virtuel des électeurs, qui servira au contrôle de la qualité d'électeur pendant toute la durée du scrutin. Au cours de cette opération, les données sont rendues anonymes et ramenées aux contenus requis pour le contrôle d'accès afin qu'il soit impossible de remonter aux données initiales.

5.2.1.2

Cartes de légitimation

L'établissement des cartes de légitimation est délégué à des imprimeries qui doivent satisfaire à des exigences de sécurité élevées. Les cartes de légitimation contiennent notamment les données d'accès permettant de s'identifier sur le serveur réservé au scrutin. Dans les trois cantons, les codes d'accès sont imprimés sur la carte de légitimation.

Les électeurs ont en outre besoin d'un mot de passe pour l'opération d'authentification. En l'occurrence, les trois cantons ont opté pour des approches différentes: celui de Genève a choisi de dissimuler le mot de passe sous un film à gratter; celui de Zurich a opté pour un système similaire, à la différence près que le mot de passe est caché sous un champ Hydalam; celui de Neuchâtel, enfin, a décidé de ne donner la possibilité de voter par voie électronique qu'aux électeurs qui se sont inscrits au Guichet unique. Ces personnes reçoivent par courrier séparé le mot de passe leur permettant de se connecter au Guichet unique. Qui plus est, les électeurs neuchâte5252

lois reçoivent une carte à numéros qui est comparable aux listes de codes à biffer en usage dans le télébanking.

5.2.1.3

Identification, autorisation et validation

Les électeurs s'identifient sur le serveur réservé au scrutin au moyen du code d'accès et du mot de passe qui figurent sur leur carte de légitimation. Les cantons pilotes ont soumis à un examen approfondi d'autres systèmes d'identification, notamment la méthode «challenge/response» ou des cartes à puce avec signatures électroniques, mais ils les ont abandonnés surtout en raison de leur diffusion insuffisante et de leur manque de convivialité. Une fois qu'ils se sont identifiés avec succès, les électeurs sont autorisés à voter. Dès qu'ils ont indiqué leur choix, ils se voient demander de le valider. Cette opération s'effectue dans les trois cantons pilotes selon des procédures similaires: le canton de Genève exige la saisie de la date de naissance, de la municipalité d'origine et d'un code à six chiffres; le canton de Zurich requiert la saisie de la date de naissance et d'un code à huit caractères; le canton de Neuchâtel, enfin, exige que la validation du vote se fasse par la saisie d'un code à seize caractères. C'est seulement quand la validation a été opérée avec succès que les votes sont déposés dans l'urne électronique.

5.2.1.4

Cryptage et décryptage des votes

Dans les applications pilotes des trois cantons, on distingue deux phases de cryptage.

Un premier cryptage des votes ainsi que des données d'identification et d'authentification est opéré sur l'appareil de saisie de l'électeur. Il s'agit là d'un cryptage usuel à 128 bits (SSL), qui correspond aux normes de sécurité en vigueur dans le télébanking. Ainsi cryptés, les votes sont acheminés par Internet dans le système de vote électronique (réseau administratif) protégé par des pare-feu. Dans les cantons de Genève et de Zurich, les données entrantes subissent un contrôle de structure et d'intégrité avant d'être cryptées une seconde fois (au moins à 1024 bits) et acheminées dans la zone de haute sécurité, à savoir dans l'urne électronique. Ces données cryptées ne sont pas manipulées avant que le dépouillement ait lieu.

Dans le canton de Neuchâtel, les votes cryptés sont stockés directement dans l'urne, sans être décryptés puis recryptés. En plus du cryptage SSL, les données sont cryptées avant de transiter par le canal SSL. Le canton de Genève examine lui aussi la question d'un double cryptage. Toujours dans le canton de Neuchâtel, l'examen de la structure et de l'intégrité des votes n'est effectué que lors du dépouillement, contrairement à ce qui se fait dans les cantons de Genève et de Zurich.

5.2.1.5

Procédure de sauvegarde redondante

Toutes les données contenues dans l'urne électronique sont enregistrées simultanément sur des systèmes redondants, c'est-à-dire qu'elles sont enregistrées dans deux banques de données branchées en parallèle ainsi que sur deux systèmes de sauvegarde permanents.

5253

5.2.1.6

Contrôle de la qualité d'électeur dans le local de vote

Le danger existe que certains électeurs tentent de voter par voie électronique, mais aussi par correspondance ou en se déplaçant aux urnes. Cette éventualité est théoriquement possible étant donné que le matériel de vote sur papier n'est pas retiré à l'électeur s'il vote par voie électronique. La mise en oeuvre du vote électronique peut donc entrer en conflit avec la procédure préexistante dans le canton et/ou dans la commune concernés, notamment lors du contrôle de la qualité d'électeur, lors du vote par correspondance ou lors du vote dans le local destiné à cet effet.

Pour écarter ce danger, il faut contrôler, dans les locaux de vote et à l'arrivée des votes par correspondance, les cartes de légitimation qui laissent penser que l'électeur a déjà voté par voie électronique. Pour pouvoir effectuer ce contrôle, on munit les cartes de légitimation d'éléments de sécurité comme les films à gratter ou les champs Hydalam dont il a été question plus haut. Si une personne se présente dans le local de vote avec une carte de légitimation dont l'élément de sécurité n'est plus vierge, on contrôle dans le registre électronique des électeurs si la personne en question n'a pas déjà voté par voie électronique.

Suivant la solution retenue et l'organisation des locaux de vote, il est possible d'effectuer de telles opérations de contrôle en utilisant un ordinateur personnel ou un lecteur de codes-barres pour effectuer une interrogation en ligne, en utilisant le téléphone pour appeler la centrale de vote ou en consultant une liste établie à cet effet, sur laquelle figurent les cartes de légitimation dont les détenteurs n'ont pas encore voté.

La procédure de contrôle citée en dernier implique cependant que l'urne électronique soit fermée avant l'ouverture des urnes traditionnelles. C'est d'ailleurs ce que la Confédération a exigé des cantons concernés pour tous les essais pilotes réalisés dans le cadre de scrutins fédéraux.

5.2.1.7

Contrôles de plausibilité

Pour assurer la plausibilité des résultats des votations, les applications pilotes s'appuient sur deux méthodes. D'une part, on procède à une comparaison quantitative entre les codes de validation qui ont été consignés dans un procès-verbal et qui ont été déclarés comme permettant de voter valablement et la somme des suffrages déposés dans l'urne électronique. D'autre part, une commission électorale vote pour le compte d'une commune virtuelle avec des suffrages-test ayant fait l'objet d'un procès-verbal. Ces suffrages sont traités comme les autres suffrages, mais ils ne sont pas comptabilisés lors du dépouillement permettant d'établir le résultat final. Le résultat du vote de la commune virtuelle est finalement comparé avec le procèsverbal. Pour les deux contrôles de plausibilité, on applique la tolérance zéro. Si une erreur est constatée et si l'on ne parvient pas à identifier avec certitude l'origine de cette erreur et à apporter les corrections qui s'imposent, il y a lieu d'admettre que l'élection ou la votation a peut-être été perturbée par une erreur dans le système ou par une attaque. Les autorités compétentes du canton concerné et de la Confédération doivent alors déterminer si un résultat final doit malgré tout être constaté ou si le scrutin doit être répété partiellement ou complètement. Elles doivent aussi déterminer immédiatement l'impact de l'erreur sur les scrutins électroniques qui auraient eu lieu simultanément ou qui auront lieu ultérieurement.

5254

5.2.1.8

Décryptage des votes

Dans les cantons de Genève et de Neuchâtel, le décryptage des votes électroniques ne peut être opéré que sous la surveillance d'une commission électorale. Seuls les membres de cette commission peuvent déclencher le processus de décryptage, car eux seuls disposent des mots de passe et des clés nécessaires. Dans les cas d'urgence, qu'un cas de force majeure pourrait justifier, la procédure est la suivante: la commission électorale active les mots de passe et les glisse dans une enveloppe qu'elle cachette et qu'elle confie à un notaire jusqu'à l'ouverture de l'urne. Dans le canton de Zurich, par contre, chaque commune est autorisée à activer séparément le décryptage et le dépouillement des votes au moyen de la saisie du mot de passe et du numéro de la clé. Tant les mots de passe que les clés sont envoyés aux communes par courrier postal. Le canton dispose d'une clé générale pour parer aux cas d'urgence.

5.2.1.9

Procédure d'établissement des résultats

Le canton de Genève gère un service central qui est responsable des élections et des votations. C'est lui qui établit de façon centralisée les résultats des scrutins sur la base des dépouillements ­ opérés dans les communes ­ des suffrages exprimés par voie électronique, par correspondance et dans les urnes. Par contre, dans les cantons de Neuchâtel et de Zurich, ce sont les communes qui établissent les résultats et qui communiquent leurs résultats respectifs au service cantonal compétent.

5.2.1.10

Protection des données

Aucune donnée personnelle n'a été traitée au niveau fédéral dans le cadre des projets pilotes portant sur le vote électronique. La tenue des registres des électeurs et le contrôle de la qualité d'électeur ont été effectués exclusivement dans les cantons et dans les communes, de façon analogue aux procédures traditionnelles. Cela sera vraisemblablement aussi le cas si le vote électronique devait être généralisé. Les cantons pilotes ont associé leurs préposés cantonaux à la protection des données à la préparation et à la réalisation des essais pilotes en matière de vote électronique. Il s'est révélé judicieux de clarifier suffisamment tôt, tant juridiquement que politiquement, tous les aspects liés à la protection des données. Le préposé fédéral à la protection des données a critiqué le vote électronique dans ses rapports d'activités 2002 et 200380. Il a souligné que le secret du vote doit être garanti dans tous les cas.

Après l'examen des architectures de sécurité des systèmes pilotes cantonaux par les préposés à la protection des données des cantons pilotes, le préposé fédéral n'a plus formulé de critiques en rapport avec la mise en oeuvre du vote électronique.

80

Cf. 9e et 10e rapports d'activités du préposé fédéral à la protection des données, respectivement du 31 mars 2002, p. 14 s., et du 31 mars 2003, p. 20, www.edsb.ch/f/doku/jahresberichte/index.htm.

5255

5.2.2

Evaluation de la mise en oeuvre par les cantons en fonction des risques

Au ch. 3.2, les risques techniques inhérents au vote électronique ont été classés dans six catégories. Dans les chapitres suivants, la mise en oeuvre de cette forme de vote dans le cadre des projets pilotes cantonaux est présentée et évaluée en fonction d'une échelle des risques à trois niveaux (risques faibles, risques moyens et risques élevés).

5.2.2.1

Identification et authentification de l'électeur

L'autorité chargée d'organiser une votation est confrontée au problème suivant: comment identifier et authentifier les électeurs avant de les autoriser à voter? Pour y parvenir, elle peut recourir à plusieurs systèmes qui ont fait leurs preuves, notamment les numéros d'identification personnels et les mots de passe, les numéros de transaction, la méthode «challenge/response» ou les certificats numériques. Outre la sécurité, la convivialité joue un rôle important dans le choix d'un système, car il faut que les utilisateurs l'acceptent et s'en servent.

Durant la phase de conception, les cantons pilotes se sont concentrés sur l'utilisation de certificats numériques sous la forme de cartes à puce. Ces procédures ne sont malheureusement pas encore accessibles à tout un chacun en Suisse. Les cartes à puce munies de certificats numériques sont encore des produits de niche relativement chers qui sont utilisés uniquement dans des domaines ultrasensibles. C'est la raison pour laquelle les cantons pilotes ont opté pour des systèmes accessibles à tous, moins onéreux. Dans le canton de Genève, la carte de légitimation est munie d'un champ recouvert d'un film à gratter qui dissimule le code d'accès. Dans le canton de Neuchâtel, les personnes inscrites au Guichet unique reçoivent une carte à numéros dotée de codes de transaction. Pour chaque votation, les électeurs reçoivent en outre un mot de passe personnel par courrier postal séparé. Dans le canton de Zurich, le code d'accès est imprimé sur la carte de légitimation, mais il est caché sous un champ Hydalam. Les électeurs des trois cantons doivent par ailleurs fournir des informations personnelles supplémentaires (date de naissance, lieu d'origine) pour être autorisés à voter.

Les risques liés à l'identification et à l'authentification de l'électeur sont jugés faibles. Les solutions mises en oeuvre offrent un niveau de sécurité suffisant, qui pourra être encore relevé grâce aux systèmes conviviaux qui seront disponibles à l'avenir.

5.2.2.2

Authentification du serveur réservé au scrutin

L'électeur est confronté à la question de savoir comment être sûr qu'il vote sur le «bon» serveur (c'est-à-dire le serveur officiel). Car de faux serveurs pourraient être créés, le but étant de détourner les caractères d'identification des électeurs. Les informations ainsi récoltées pourraient alors être utilisées à des fins abusives. Cette technique est souvent appelée «phishing» (hameçonnage). Des exemples tirés du télébanking montrent malheureusement que nombre de citoyens, qui n'ont pas encore assez conscience de ce danger, renoncent à utiliser les moyens de vérification 5256

qui leur sont proposés. Il est à craindre que cela puisse aussi être le cas dans le cadre du vote électronique. C'est la raison pour laquelle ce domaine à risque est ultrasensible.

La plupart des solutions qui permettent de prévenir de tels risques visent à contrôler partiellement ou complètement les logiciels installés dans l'appareil de saisie. Une solution serait par exemple d'envoyer un CD-ROM contenant un système d'exploitation et une application pour le vote électronique. Les électeurs n'auraient ensuite plus qu'à lancer le CD-ROM dans l'appareil de saisie avant de voter. Les cantons pilotes ont toutefois décidé d'écarter ce système après l'avoir examiné en profondeur, car ils le jugent non convivial, sans parler du fait qu'il ne pourrait pas être installé tel quel sur tous les appareils disponibles sur le marché. Les trois cantons pilotes offrent malgré tout aux électeurs la possibilité de vérifier le certificat du serveur réservé au scrutin grâce à un numéro imprimé sur la carte de légitimation (empreinte digitale du certificat). Qui plus est, des codes ou des symboles transmis sous forme graphique sont utilisés durant la procédure de vote, que l'électeur peut comparer avec les codes ou les symboles figurant sur sa carte de légitimation.

Les risques liés à l'authentification du serveur réservé au scrutin sont jugés moyens, car les mesures de contrôle présentées ci-dessus doivent être prises par les électeurs eux-mêmes.

5.2.2.3

Sécurité de la communication

La communication entre le système informatique d'un électeur et le serveur réservé au scrutin doit être sécurisée par cryptage afin que la confidentialité et l'intégrité des données soient garanties. Pour ce faire, on dispose du protocole SSL (Secure Sockets Layer protocol) ou du protocole TLS (Transport Layer Security protocol).

L'utilisation d'un protocole de ce type, qui offre une totale transparence aux utilisateurs, est courante dans les opérations de télébanking. À ce jour, aucune faille ni aucun problème de sécurité majeurs n'ont été signalés à propos du protocole SSL ou TLS. Les trois cantons pilotes utilisent le protocole SSL pour la transmission des votes. Les risques d'attaques visant le canal de communication peuvent donc être jugés faibles.

5.2.2.4

Sécurité des appareils de saisie

La saisie du vote sur l'appareil prévu à cet effet, qui précède directement la transmission, est une opération à haut risque. À ce stade, des virus ou des chevaux de Troie pourraient tenter de manipuler les votes à l'insu des électeurs en substituant par exemple des votes «oui» à des votes «non». Dans ce cas de figure, les procédés cryptographiques ne sont d'aucun secours. Ce domaine doit dès lors lui aussi être qualifié d'ultrasensible.

Les virus et les chevaux de Troie sont des programmes autonomes pourvus d'une fonction cachée malfaisante. De tels programmes (par exemple camouflés en d'inoffensifs écrans de veille) peuvent souvent se loger subrepticement dans le système d'exploitation d'un ordinateur et s'y développer, mais aussi permettre à des tiers d'accéder à des données personnelles par une porte dérobée, détruire des données importantes ou identifier des mots de passe. Voilà pourquoi les virus et les 5257

chevaux de Troie constituent le danger numéro un pour le vote électronique. Les appareils dont se servent les utilisateurs finaux se trouvent hors de portée de la zone d'influence et de contrôle des autorités électorales, si bien que leur sécurité ne peut jamais être garantie à cent pour cent. Toujours est-il que les cantons pilotes ont intégré des éléments de sécurité dans la transmission des votes, lesquels concourent à prévenir les manipulations dues à des virus ou à des chevaux de Troie. Ainsi, quand un électeur a opéré son choix, il reçoit un message lui demandant d'effectuer un dernier contrôle avant de valider son vote. Cette opération ne se fait pas sous la forme d'un texte mais sous la forme de pictogrammes, que les virus et les chevaux de Troie n'ont guère de chance d'identifier et qui ne peuvent faire l'objet de manipulations que si des conditions extrêmement complexes sont réunies. Dans le canton de Genève, les pictogrammes («oui», «non», «blanc») sont en plus placés sur un code à quatre chiffres. Le canton de Zurich travaille quant à lui non pas à l'aide de codes mais de symboles (notamment des symboles représentant des animaux). Qui plus est, les éléments constitutifs du vote, transformés en éléments graphiques, bénéficient d'une protection supplémentaire contre les attaques en ce sens que des lignes ondulées s'affichent sur l'écran de confirmation. De cette manière, l'électeur peut vérifier si l'information émane du serveur réservé au scrutin ou si elle a pu être modifiée après avoir fait un détour (attaque de l'homme du milieu). Le serveur réservé au scrutin vérifie quant à lui, à l'aide d'une somme de contrôle (valeur de hachage), si le vote a été modifié sous quelque forme que ce soit au cours de la transmission. Si tel est le cas, le vote est interrompu du côté du serveur. La procédure de vote est alors reprise à partir du début. On peut dès lors tout au plus empêcher dans une large mesure la modification indésirable, opérée subrepticement, des éléments constitutifs du vote, mais jamais l'exclure complètement. Un risque moyen subsiste.

5.2.2.5

Contrôle démocratique du processus de dépouillement

Dans le cadre du vote traditionnel, le contrôle démocratique est opéré par les commissions électorales et par les scrutateurs issus des rangs des électeurs. Dans le cadre du vote électronique, ces acteurs doivent être remplacés de façon appropriée, durant la phase de vote, par des procédures faisant l'objet d'une surveillance. Les cantons pilotes de Genève et de Neuchâtel ont donc constitué à cette fin des commissions spéciales composées de représentants des partis politiques et/ou des groupes représentés au parlement cantonal. Ces commissions participent à l'ouverture de l'urne électronique et au dépouillement des suffrages électroniques. Dans le canton de Zurich, des commissions de ce type sont constituées dans chaque commune. Les clés électroniques qui servent à crypter et à décrypter tous les votes électroniques sont protégées par des mots de passe détenus par ces mêmes commissions. On empêche ainsi que des personnes non autorisées, notamment les membres des autorités électorales et même les administrateurs des systèmes (attaques internes) puissent accéder aux suffrages cryptés qui sont stockés dans l'urne. Les risques liés aux solutions mises en oeuvre dans les systèmes cantonaux peuvent être qualifiés de faibles.

5258

5.2.2.6

Traçabilité et preuve

Beaucoup de gens croient que les systèmes de sécurité que l'on connaît dans le télébanking sont aussi utilisés pour le vote électronique, ce qui est une source de problèmes. Un point essentiel différencie le télébanking du vote électronique: alors que les transactions et les personnes concernées doivent être consignées avec précision dans le cadre du télébanking en raison des révisions qui pourraient se révéler nécessaires, elles ne doivent absolument pas l'être dans le cadre du vote électronique (protection du secret du vote). Comme le vote électronique se caractérise par son absence de traçabilité et de preuve («audit trail»), certains experts tirent à boulets rouges sur cette forme de vote. Ils estiment que le vote électronique, contrairement au vote traditionnel dans les urnes ou au vote par correspondance, ne permet pas aux électeurs de vérifier si leur vote est bien parvenu sur le serveur réservé au scrutin et s'il a été comptabilisé dans le cadre du dépouillement. Ils relèvent par ailleurs que l'autorité électorale n'a aucun moyen d'identifier les actes fautifs et de les réprimer pénalement, contrairement à ce qui se passe dans les procédures traditionnelles. Le risque lié à l'absence d'«audit trail» doit être qualifié d'élevé. Le simple fait d'affirmer que des votes auraient fait l'objet de manipulations pourrait remettre en question le résultat du dépouillement des suffrages électroniques. En l'occurrence, il est aussi impératif de prévoir des mesures relevant de la communication, voire de les appliquer, pour minimiser les risques.

Certains experts ont proposé ce que l'on appelle le «vote par code» pour résoudre le problème de la traçabilité du vote de chaque électeur81: au lieu de voter par «oui», «non» ou «blanc», les électeurs tapent un code (par exemple «z3Gv» pour «oui») sur l'appareil de saisie. Le code correspondant à chaque vote possible leur est envoyé au préalable en même temps que la carte de légitimation. Le système de vote pourrait ensuite répondre de nouveau avec un code pour chaque vote «oui» enregistré, code que l'électeur pourrait vérifier avant la clôture du scrutin à l'aide de son tableau de codes. Cette procédure présente un grand avantage: les votes sont déjà codés individuellement au moment où ils sont saisis, et le serveur envoie une confirmation aussi sous forme codée. Quand il y a rupture des médias (carte de légitimation), ce serait là une précieuse sécurité supplémentaire. Les cantons pilotes ont examiné cette proposition de façon approfondie lors de la conception de leurs systèmes respectifs.

Ils ont néanmoins écarté cette variante pour le vote par Internet, jugeant qu'elle n'était pas conviviale. Ils l'ont en revanche jugée indispensable pour le vote par SMS, car le cryptage des votes ne peut pas se faire autrement pour cette forme de vote. La transmission des votes sous forme codée entre l'appareil de saisie et le serveur réservé au scrutin a été mise en oeuvre avec succès dans le cadre du système zurichois de vote par SMS.

Le problème lié à l'«audit trail» n'en est pas résolu pour autant. On ne sait toujours pas avec certitude si le vote a été modifié ou effacé par un virus ou par un cheval de Troie lors de son acheminement vers l'urne électronique. Aussi d'autres experts proposent-ils que chaque suffrage électronique soit en plus imprimé sur papier lors du vote («paper trail») afin qu'il soit possible d'effectuer des recomptages sur papier. Une imprimante prévue à cet effet pourrait être installée dans un coffre verrouillé qui serait placé dans les installations centrales, et être ainsi protégée 81

Cf. Oppliger 2002b, p. 24 s., pour consulter un avis représentant cette position. Pour consulter l'intégralité de la référence bibliographique, se reporter à la documentation complémentaire 1.

5259

contre les accès externes. Cette impression des suffrages électroniques sur support papier est aujourd'hui exigée par de nombreux Etats américains lors de la certification des machines à voter qui sont conçues pour être utilisées dans les locaux de vote. Même la Commission de Venise du Conseil de l'Europe estime que l'impression de chaque suffrage sur support papier est un complément judicieux au vote électronique (cf. ch. 4.4.1).

En cas de recomptage, les suffrages imprimés sur support papier serviraient de référence dans la comparaison avec le résultat du vote établi par voie électronique. Il faudrait toutefois que l'impression des suffrages sur support papier réponde aussi aux exigences de sécurité les plus élevées, car les ordinateurs pilotant les imprimantes et donnant les ordres d'impression pourraient être infectés par des virus ou des chevaux de Troie et ainsi donner lieu à des manipulations. Si le recomptage des suffrages exprimés par voie électronique et des suffrages imprimés sur support papier aboutissait à des résultats divergents, la question se poserait de savoir quel est le suffrage devant être considéré comme l'original. En toute bonne logique, un suffrage électronique ne devrait être pris en considération, lors d'un recomptage, que dans la forme où il est stocké électroniquement, à moins qu'il ait été perdu suite à la destruction complète de tous les systèmes redondants de sauvegarde électronique.

Cette situation pourrait se produire dans un cas de force majeure (catastrophe naturelle), même si elle est doit être qualifiée d'improbable.

La procédure du «paper trail» ne devrait en fin de compte jamais aboutir à la situation où les électeurs recevraient une quittance après avoir voté. Une telle quittance ne serait pas compatible avec l'art. 281 CP (corruption électorale), car elle pourrait servir à l'achat ou à la vente de suffrages. L'exigence d'un «paper trail» permettant de garantir une traçabilité individuelle se heurte ici au droit pénal82.

Même dans le cas du vote par correspondance et du vote traditionnel dans le local de vote, il n'est pas possible d'effectuer une vérification et une traçabilité individuelles.

Qui pourrait ­ ne serait-ce que par voie de recours ­ constater avec certitude si son vote a été, d'une part, réceptionné et, d'autre part, comptabilisé correctement ? Un bulletin de vote ou un bulletin électoral qui comporterait une indication quelle qu'elle soit, un nom ou un symbole, serait considéré comme étant marqué de signes et serait donc déclaré nul en vertu des art. 12, al. 1, let. d, 38, al. 1, let. d, ou 49, al. 1, let. d, LDP. Le présent rapport a déjà signalé que le vote électronique et le vote traditionnel sont équivalents en termes de risques et donc de sécurité et de traçabilité83.

La solution du problème passe impérativement par une procédure qui satisfasse à l'exigence d'une traçabilité individuelle par un contrôle démocratique de la procédure de vote (cf. ch. 5.2.2.5). Les cantons pilotes recourent à des commissions électorales composées de représentants des partis politiques, qui suivent le déroulement du scrutin électronique et qui génèrent et conservent les mots de passe nécessaires aux opérations de cryptage et de décryptage; mais ils recourent également à un moyen qui va tout à fait dans le sens d'une traçabilité des votes: la commission 82

83

L'art. 27h, al. 4, ODP exclut explicitement l'impression d'un suffrage exprimé («Le progiciel utilisé ne doit pas permettre que le suffrage transmis soit imprimé»). Le Conseil fédéral a la possibilité d'édicter par voie d'ordonnance des dispositions dérogatoires, notamment prescrire que les autorités électorales peuvent procéder à des impressions de ce type, par exemple lorsque les suffrages arrivent sur le serveur réservé au scrutin.

Cf. ch. 1.2

5260

constitue une commune fictive. Cette commune-test est traitée par le système comme une commune politique à part entière du canton. Les suffrages exprimés dans la commune-test subissent le même processus que tous les suffrages électroniques, c'est-à-dire le processus allant de la remise jusqu'au décryptage. La commission électorale vote durant la période réservée au scrutin en exprimant une série de suffrages, qui sont consignés dans un procès-verbal, mais qui ne seront pas comptabilisés dans le résultat final. À l'issue du décryptage et du dépouillement des votes le week-end du scrutin, le résultat de la commune-test est comparé avec le procèsverbal établi par la commission électorale. C'est ainsi que l'on peut constater si une erreur du système ou une manipulation a provoqué une quelconque modification des suffrages de la commune-test. Si tel n'est pas le cas, on peut en conclure qu'il y a une très grande probabilité que l'intégrité de tous les autres suffrages n'a été compromise en aucune façon.

Justifiés, les risques liés à l'absence de traçabilité et de preuve doivent être qualifiés d'élevés. Les cantons pilotes ont mis au point des solutions permettant une validation démocratique des résultats des votations et des élections, même si cette validation n'est pas individuelle (clés cryptographiques des commissions électorales, communes-test). Les risques ont ainsi pu être ramenés à un niveau acceptable. Les autorités responsables devraient toutefois agir avec la plus grande prudence si la rumeur venait à circuler que des suffrages ont fait l'objet de manipulations.

5.2.3

Comparaison avec les risques inhérents au vote par correspondance

On prend souvent le vote par correspondance comme élément de comparaison pour évaluer les risques inhérents au vote électronique. La littérature ne contient que des informations éparses sur les risques inhérents au vote par correspondance. Deux études succinctes abordent certains aspects de cette question84. Nicolas Von Arx arrive à la conclusion qu'on ne pourra jamais éviter tous les abus et toutes les irrégularités, mais que le vote par correspondance ne représente pas un danger exagérément grand85. L'étude de l'Université de Berne constate que la volonté des électeurs est souvent faussée dans le cadre familial lors du remplissage du bulletin de vote, précisant qu'il arrive en particulier que l'homme remplisse le bulletin de son épouse en même temps que le sien, alors que le cas inverse ne se produit jamais86. L'étude ne fournit aucun renseignement sur la fréquence des abus qui sont commis. Elle arrive cependant à la conclusion qu'il semble justifié de constater que l'abus et la fraude constituent des événements plutôt rares et isolés. Les chancelleries communales interrogées estiment que le danger représenté par les abus commis dans le cadre du vote par correspondance est bien plus faible qu'en cas de vote par procuration.

84

85 86

Moser Christian, Hardmeier Sibylle et Linder Wolf: Unregelmässigkeiten bei erleichterter Stimmabgabe. Avis rédigé par le centre de recherche sur la politique suisse de l'Université de Berne, à la demande de la Chancellerie d'État du canton de Thurgovie (Schriftenreihe der Staatskanzlei des Kantons Thurgau, Nr. 6), Thurgovie 1990, p. 12 ss; Von Arx Nicolas: Post-Demokratie, AJP, 1998, p. 933­950, p. 946 s. L'étude de l'Université de Berne (= Moser et al. 1990) a été réalisée à la suite d'une votation au résultat très serré ­ d'ailleurs contesté par la suite ­ sur la Constitution cantonale; cf. aussi ATF 114 Ia 42.

Von Arx 1998, p. 947 Moser et al. 1990, p. 29 s., 65 et 69 ss.

5261

Le Conseil fédéral a par ailleurs chargé la Chancellerie fédérale, en décembre 2004, d'identifier les risques liés au vote par correspondance et de les comparer aux résultats correspondants obtenus dans les projets pilotes en matière de vote électronique.

La Chancellerie fédérale a donc réalisé une enquête sur le vote par correspondance dans les cantons et, avec l'aide des Chancelleries d'Etat, dans des communes sélectionnées, dans le cadre de la votation populaire fédérale du 5 juin 2005. Elle a en outre réalisé une enquête complémentaire auprès de toutes les communes suisses, à la demande de la Conférence suisse des chanceliers d'Etat, à l'occasion de la votation populaire fédérale du 27 novembre 200587.

Opérée dans le cadre de l'enquête du 5 juin 2005, l'identification des risques liés au vote par correspondance comportait deux volets: d'une part il fallait établir quels étaient les irrégularités et les abus88, d'autre part il fallait déterminer quelle perception subjective les cantons et les communes avaient des risques.

Au cours des années 2003 et 2004, les communes interrogées ont enregistré en moyenne 1,46 réclamation pour 1000 électeurs. Durant la même période, les cantons ont enregistré moins de réclamations (0,47 pour 1000 électeurs). La plupart des réclamations ont porté sur la perte de cartes de légitimation et/ou de bulletins de vote. Au deuxième rang des réclamations les plus fréquentes, on trouve les réclamations à propos d'irrégularités dues à la méconnaissance de la procédure de la part des électeurs.

Bien moins fréquents ont été les infractions et les abus en rapport avec le vote par correspondance: seules 2 communes sur 60 (3,33 %) et 4 cantons sur 24 (16,66 %) ont fourni des informations de ce type.

Au total, on a enregistré 19 cas d'irrégularité et d'abus. Il s'agit en l'occurrence: ­

de 8 cas d'irrégularité résultant de la méconnaissance des procédures de la part des électeurs;

­

de 7 cas d'irrégularité résultant d'une erreur des autorités électorales, et

­

de 4 cas d'abus durant la procédure et de fraude intentionnelle.

Le tableau ci-dessous89 présente une synthèse des exigences et des mesures de mise en oeuvre afférentes au vote électronique qui sont le fruit de réflexions juridiques et sécuritaires; il présente également, à titre de comparaison, les exigences et les mesures afférentes au vote par correspondance.

87 88

89

Chancellerie fédérale, enquêtes 2005 auprès des cantons et des communes sur le vote par correspondance, Berne 2006 (cf. documentation complémentaire 8).

Par irrégularités, il faut entendre les événements qui se produisent fortuitement, à l'insu des électeurs ou des autorités électorales. Par abus, il faut entendre toutes les actions en rapport avec le vote par correspondance qu'une personne effectue intentionnellement dans le but de commettre une fraude.

Loin de prétendre à l'exhaustivité, le tableau se borne à présenter les systèmes testés jusqu'à ce jour dans le cadre des projets pilotes menés en Suisse.

5262

Les votants doivent apposer leur signature manuscrite sur la carte de légitimation.

Ils doivent aussi remplir à la main les bulletins de vote.

Les votes exprimés par correspondance sont acheminés par courrier postal ou alors apportés par les électeurs directement à l'administration communale ou glissés dans la boîte aux lettres de ladite administration.

La carte de légitimation est établie à un seul exemplaire au nom de la personne à laquelle elle est destinée. Dans le cas du vote par correspondance, l'original de la carte de légitimation doit être joint à l'envoi, ce qui empêche l'électeur de voter deux fois.

Les bulletins de vote remplis parviennent à l'administration communale dans une enveloppe distincte, qui est fermée. La carte de légitimation et le bulletin de vote doivent être glissés dans des urnes distinctes après la vérification de la crédibilité des signatures.

Identification univoque: La personne qui prend part à une votation ou à une élection doit être identifiée comme étant la personne qu'elle prétend être.

Authenticité du système de vote électronique: Les électeurs doivent avoir la garantie que leur vote sera déposé dans l'urne prévue à cet effet et qu'il sera pris en compte lors du dépouillement.

Vote unique: Le votant ne peut voter qu'une seule fois.

Maintien du secret du vote/ protection des données: La volonté des électeurs doit rester secrète, et les indications relevant de la protection des données ne doivent pas parvenir à des tiers.

5263

Analogie(s) avec le vote par correspondance

Exigences liées au vote électronique

Tableau 2

­ Sauvegarde séparée des données personnelles et des éléments constitutifs du vote sur différents systèmes ­ Mélange permanent de l'urne électronique par un «générateur de hasard». On évite ainsi, par exemple, que quelqu'un puisse établir l'identité d'une personne précise en fonction de l'ordre d'arrivée des votes

­ Dès qu'un vote (électronique ou par correspondance) a été enregistré, on inscrit immédiatement dans la banque de données contenant le registre des électeurs le fait que la personne considérée ne peut plus voter pour le scrutin en cours ­ Des caractères univoques sur l'enveloppe de vote (p. ex. intégrité du cachet placé sur le code d'accès secret) indiquent si un citoyen aurait déjà pu voter par voie électronique

­ Le certificat du serveur (SSL) peut être vérifié par les électeurs au moyen d'une empreinte digitale ­ L'authenticité du serveur peut être vérifiée au moyen d'un code-réponse et/ou de pictogrammes

­ Code d'accès individuel et secret ­ Indication de la date de naissance et/ou du lieu d'origine aux fins de validation ­ Il serait envisageable (ultérieurement) de recourir aux signatures électroniques ­ Par contre, il serait contestable de demander d'autres informations de sécurité, par exemple le numéro AVS (protection du secret du vote)

Mesures prises dans le cadre des projets pilotes

Vote électronique et vote par correspondance: comparaison entre les exigences et les mesures de mise en oeuvre

Le vote par correspondance jouit d'une grande confiance de la part de la population.

Le matériel de vote est volé dans la boîte ­ Protection multiple par des pare-feu aux lettres d'un électeur. Un abus systématique ­ Procédure de vote par code (SMS à Zurich, transmission du vote sur ne peut pas être exclu si beaucoup d'électeurs Internet en tant que code chiffré) ne votent pas et jettent l'enveloppe contenant ­ Utilisation de logiciels antivirus de la dernière génération le matériel de vote sans l'avoir ouverte.

Les enveloppes de vote pourraient être détruites ou se retrouver en mains illégitimes à la suite de leur prélèvement dans la boîte aux lettres de l'administration communale, ou à la suite du vol ou de la perte d'un sac postal.

Confiance: L'intégralité de la procédure doit être vérifiable et digne de confiance.

Défense contre les attaques externes: a) terminaux (ordinateurs privés, téléphones portables): interception et modification possibles des votes, p. ex. par des chevaux de Troie;

b) canal de communication («transport» du vote de l'utilisateur jusqu'au serveur): interception et modification possibles des votes (attaque de l'homme du milieu);

5264

Les suffrages sur support papier peuvent ­ Etablissement de procès-verbaux conventionnels et de procès-verbaux être recomptés à tout moment. Le recomptage électroniques qui sont signés par les autorités compétentes lors peut être fait par d'autres personnes.

du dépouillement des suffrages Le recomptage peut se faire en présence des ­ Création d'un support de données distinct (CD-ROM avec le contenu citoyens qui en font la demande (transparence).

de l'urne électronique et de tous les fichiers journaux) ­ La représentation des électeurs est assurée par les contrôleurs désignés par les partis politiques

Traçabilité et preuve: Les suffrages doivent pouvoir être recomptés en cas de résultat serré ou en cas de recours.

­ Le vote est crypté (SSL) ­ Les choix opérés par l'électeur sont transmis graphiquement et non pas sous la forme d'un texte ­ Durant la communication, l'intégrité de tous les groupes de données est contrôlée à l'aide de valeurs de hachage

­ Recours à des contrôleurs pour toutes les procédures sensibles ­ Vérification indépendante du code source, utilisation d'un logiciel libre ­ Divulgation des logiciels propriétaires

Des dangers analogues pèsent aussi sur ­ Exploitation de plusieurs serveurs redondants les bâtiments des administrations communales, ­ Hébergement des serveurs dans des bâtiments hautement sécurisés sur les boîtes aux lettres de ces administrations, (contrôles d'accès, protection contre les incendies, groupe électrogène sur les locaux de vote, sur les centres postaux de secours) et sur les itinéraires empruntés par les envois postaux. Dans le cas du vote électronique, des quantités de voix plus ou moins importantes peuvent aussi être touchées.

Mesures contre les risques de force majeure: Perturbation du scrutin par des intempéries, une panne de courant, un tremblement de terre, etc.

Mesures prises dans le cadre des projets pilotes

Analogie(s) avec le vote par correspondance

Exigences liées au vote électronique

Quelqu'un met le feu à la boîte aux lettres de l'administration communale, ou une panne affectant les services postaux rend difficile, voire empêche, l'acheminement des suffrages.

Le risque est mince, mais il augmente avec la centralisation croissante de la poste aux lettres.

c) plateforme (centre névralgique de tout système de vote électronique): p. ex. attaques par déni de service.

5265

Analogie(s) avec le vote par correspondance

Exigences liées au vote électronique

­ Exploitation de plusieurs serveurs redondants ­ Collaboration avec différents fournisseurs (lutte contre les hackers qui s'attaquent aux serveurs de noms de domaine)

Mesures prises dans le cadre des projets pilotes

5.3

Aspects financiers et faisabilité

5.3.1

Coûts liés aux projets pilotes

Dans les accords qu'elle a conclus avec les trois cantons pilotes que sont Genève, Neuchâtel et Zurich, la Confédération, représentée par la Chancellerie fédérale, s'est engagée à prendre à sa charge au maximum 80 % des coûts supplémentaires liés aux projets pilotes par rapport à un scrutin traditionnel.

La Confédération a notamment pris à sa charge les coûts liés à la conception de l'architecture de sécurité. Les cantons pilotes ont financé eux-mêmes le recours au personnel dont ils ont eu besoin dans le cadre des projets pilotes. La réalisation des premiers essais pilotes à l'occasion de votations populaires fédérales a permis à la Confédération et aux cantons pilotes de fournir les prestations contractuelles à la fin de l'année 2005.

Comme les conditions de mise en place d'un système de vote électronique différaient d'un canton pilote à l'autre, les solutions retenues se caractérisent par leurs spécificités. Ainsi, les cantons de Genève et de Neuchâtel ont pu s'appuyer sur des données inscrites dans des registres, pouvant pour la plupart faire l'objet d'une connexion, pour constituer un registre cantonal des électeurs en fonction de la votation ou de l'élection considérée, alors que le canton de Zurich a dû établir une telle connexion avant de développer son système. Dans le canton de Neuchâtel, le vote électronique est en outre intégré dans un portail administratif complet baptisé «Guichet unique», alors que les cantons de Genève et de Zurich disposent d'une plateforme dotée d'un accès direct.

Les projets pilotes présentent aussi des différences plus ou moins grandes en ce qui concerne le nombre de modules qu'il a fallu développer. Les cantons de Neuchâtel et de Genève ont mis au point des modules permettant de voter par Internet, alors que le canton de Zurich a aussi intégré le vote par SMS à son projet pilote, tout en créant des interfaces avec le système d'établissement des résultats qui existait déjà (système WABSTI90). En raison de l'hétérogénéité des conditions décrites ci-dessus, les trois projets pilotes diffèrent fortement en termes de coûts, ce qui limite fortement les comparaisons de nature financière.

90

WABSTI: système de vote des cantons de Thurgovie, de Saint-Gall, de Zurich, de Soleure et des Grisons.

5266

Illustration 3 Conception modulaire d'un système de vote électronique

Au terme de la phase de développement, la Chancellerie fédérale a procédé en 2005 à l'établissement des coûts totaux liés aux différents projets pilotes (y compris des frais de personnel non cofinancés par la Confédération). La documentation complémentaire 3 fournit une présentation des coûts pour chaque canton pilote. Le tableau ci-dessous établit un récapitulatif des coûts cofinancés par la Confédération:

5267

Tableau 3 Coûts cofinancés par la Confédération Canton

Genève

Coûts (en francs)

740 000 2 728 800 337 122

Neuchâtel

Zurich

Précisions

Coûts d'infrastructure Coûts de développement Expertises

1 498 500

Coûts des opérations

3 500 000

Développement du Guichet unique, y c. du module d'identification

2 300 000

Développement du système de vote électronique, à l'exception du module d'identification

2 652 015

Développement du système de vote électronique, sans les coûts d'établissement du projet

2 867 586

Coûts d'établissement du projet

Conformément à ses obligations contractuelles, la Chancellerie fédérale a versé à la fin de l'année 2005 une somme de 5,96 millions de francs à titre de participation aux coûts de développement et aux dépenses directement liées aux essais pilotes réalisés dans le cadre des projets pilotes cantonaux: canton de Genève: canton de Neuchâtel: canton de Zurich:

Fr. 1 410 000 Fr. 2 227 000 Fr. 2 323 000

Participation totale de la Chancellerie fédérale

Fr. 5 960 000

La Chancellerie fédérale n'a pas pu répondre à toutes les demandes de financement présentées par les cantons pilotes. Elle s'est néanmoins acquittée de toutes ses obligations contractuelles de nature financière. Le Contrôle fédéral des finances a confirmé en octobre 2005 la régularité du financement et de la gestion du projet91.

Si l'on additionne les frais de personnel et les frais liés aux groupes de travail ou de suivi engendrés pendant la phase pilote à la Chancellerie fédérale (1 135 400 francs), les versements effectués pour des projets (identificateur de personne, identité numérique) menés par des tiers (277 664 francs), les coûts engendrés avant les essais pilotes par les avis consacrés à la sécurité (153 005 francs) et les coûts des enquêtes réalisées dans le cadre du suivi scientifique (51 502 francs), la Confédération aura

91

Contrôle fédéral des finances, E-Government und NOVE-IT in der Bundeskanzlei, Berne, octobre 2005; www.efk.admin.ch/pdf/E-Government und NOVE-IT in der Bundeskanzlei.pdf (en allemand uniquement).

5268

versé entre 2001 et 2005 un total de 7 577 571 francs92 pour le projet de vote électronique.

5.3.2

Coûts liés à l'introduction du vote électronique

Dans son rapport du 9 janvier 2002 sur le vote électronique, le Conseil fédéral estimait que l'introduction du vote électronique dans toute la Suisse et son exploitation pendant dix ans coûteraient entre 400 et 620 millions de francs93. Maintenant que l'on a développé des systèmes de vote électronique dans les cantons de Genève, de Neuchâtel et de Zurich, il s'agit de présenter les coûts inhérents aux projets qui ont été enregistrés entre 2000 et 2005 et financés par la Confédération, mais aussi de comparer l'estimation effectuée en 2002 avec les données récoltées lors des expériences qui ont été réalisées.

Si un canton décide d'exploiter un système de vote électronique, il devra faire face à des frais d'investissement ou de mise en oeuvre relativement élevés durant la création du système ou durant la reprise d'un système, mais aussi à des coûts annuels récurrents dus à l'entretien et à la poursuite du développement du système (y compris à des frais d'amortissement).

92

93

Les montants annuels versés entre 2001 et 2005 sont les suivants: 2001: 938 742 francs; 2002: 1 103 371 francs; 2003: 1 042 773 francs; 2004: 4 146 695 francs; 2005: 345 990 francs.

FF 2002 654

5269

Tableau 4 Coûts totaux liés au développement d'un système complet de vote électronique, y compris coûts liés à une exploitation pendant dix ans94 Coûts de développement (uniques)

Fr.

5 763 115

  1. Frais d'investissement matériel, y compris réseau logiciels coûts de développement du système

Fr.

Fr.

Fr.

702 492 176 894 1 745 629

B. Coûts du projet Coûts d'établissement du projet Coûts des tests Coûts d'homologation du système

Fr.

Fr.

Fr.

2 867 586 253 714 16 800

Coûts récurrents (calculés sur dix ans) Licences pour les banques de données et pour les systèmes d'exploitation, amortissement du matériel et nouveaux investissements, hébergement, opérateurs SMS, administration, mises à jour des logiciels, assistance technique, mise à niveau des registres des électeurs, établissement de masques, administration des banques de données

Fr.

4 925 000

Coûts supplémentaires liés aux scrutins (calculés sur dix ans) Installation des appareils techniques dans les locaux de vote, surcoûts pour le papier et l'impression, frais de personnel pour le centre d'assistance (helpdesk), assistance technique, frais de personnel pour le contrôle

Fr.

4 672 000

Coûts totaux pour les dix premières années

Fr. 15 360 115

Les coûts liés au développement d'un système complet de vote électronique et à son exploitation pendant dix ans se monteraient ainsi à quelque 15,36 millions de francs.

Ils englobent aussi tous les frais en termes de personnel et de services qui ont été estimés pour la période d'exploitation. Le système est conçu pour au moins 800 000 électeurs.

Pour une durée d'exploitation de dix ans, un tel système engendrerait des frais annuels de 1 536 012 francs, ce qui correspond à un montant de 384 003 francs par scrutin (hypothèse: 4 scrutins par an). Plus il y aura d'électeurs qui pourront recourir au vote électronique, plus les frais d'investissement et de maintenance seront proportionnellement bas:

94

Les coûts liés à une introduction ont été calculés sur la base du projet zurichois, qui est représentatif de tous les projets pilotes (la documentation complémentaire 7 fournit tous les détails des coûts enregistrés par les cantons). Si l'on s'est borné à ne prendre en considération que le projet zurichois, c'est que ce système a été le plus complet et le plus cher des trois projets pilotes.

5270

Tableau 5 Exemple d'évolution des coûts en fonction du nombre d'électeurs Pour 50 000 électeurs

Fr. 7,68 par suffrage

Pour 100 000 électeurs

Fr. 3,84 par suffrage

Pour 250 000 électeurs

Fr. 1,54 par suffrage

Pour 500 000 électeurs

Fr. 0,77 par suffrage

Pour 800 000 électeurs

Fr. 0,48 par suffrage

Il convient toutefois de relever qu'aucun canton, mis à part celui de Zurich, ne saurait escompter des prix par suffrage aussi bas. Dans les cantons ayant un nombre d'électeurs moins élevé, le développement et l'exploitation d'un tel système ne correspondraient donc guère aux critères économiques.

Si les 26 cantons suisses développaient et exploitaient leur propre système de vote électronique sans utiliser le savoir-faire des cantons pilotes, les coûts totaux avoisineraient 400 millions de francs95. En revanche, s'ils exploitaient en commun un ou plusieurs systèmes, ils pourraient faire baisser les coûts massivement. Le système décrit ici est conçu pour au moins 800 000 électeurs. Enfin, si la Suisse exploitait un seul et unique système, les coûts de développement, uniques, ne seraient que de 5,76 millions de francs. Les coûts annuels récurrents engendrés par les amortissements, la maintenance et les nouveaux investissements seraient d'environ un million de francs pour 800 000 électeurs. Forte de ses 4,85 millions d'électeurs, la Suisse compte environ six fois plus d'électeurs que le chiffre utilisé ici. On peut en déduire que les frais minimaux liés à une introduction généralisée seraient de 65,76 millions de francs96. Par contre, si des groupes de 4 ou 5 cantons utilisaient en tout 6 systèmes de ce type indépendamment les uns des autres, les coûts grimperaient à 92,16 millions de francs. Ces calculs ne comprennent pas les frais de développement déjà payés par les cantons pilotes et la Confédération, sans quoi il faudrait prendre en compte les frais de mise en oeuvre dans une étendue similaire.

95

96

Si 26 systèmes autonomes étaient développés en Suisse à l'instar de celui du canton de Zurich, il faudrait compter, sur dix ans, avec des frais d'investissement et d'exploitation de plus de 399 millions de francs pour l'ensemble de la Suisse (26 × 15,36 millions de francs). En 2002 déjà, le Conseil fédéral a estimé que l'introduction du vote électronique sur l'ensemble du territoire suisse et son exploitation pendant dix ans coûteraient en gros entre 400 et 620 millions de francs (FF 2002 654).

Ce montant englobe les coûts de développement uniques de 5,76 millions de francs ainsi que les coûts annuels récurrents et les coûts annuels supplémentaires de un million de francs pour 800 000 électeurs (cf. tableau 4). Les coûts récurrents et les coûts supplémentaires ont été calculés pour l'ensemble des électeurs suisses (4,85 millions) et pour une période de dix ans.

5271

Les coûts totaux liés au vote par correspondance sont estimés pour la même période à quelque 252,61 millions de francs. C'est ce qui ressort d'une enquête de la Chancellerie fédérale auprès des cantons et des communes à l'occasion de la votation populaire fédérale du 5 juin 200597.

Ainsi, le vote électronique peut être mis en oeuvre à bien moindres frais que le vote par correspondance, mais seulement si plusieurs cantons exploitent un système de vote en commun et lui confient les procédures communes à toutes les variantes de vote (comme l'impression des cartes de légitimation, l'établissement du registre des électeurs et le contrôle de la qualité d'électeur).

5.3.3

Potentiel d'économies

Conçu comme complément au vote traditionnel, le vote électronique généralisé dans toute la Suisse permettrait de réaliser des économies supplémentaires. Il y a un gros potentiel d'économies dans les frais de personnel (diminution du volume de travail en matière de contrôle de la qualité d'électeur, mais aussi en matière de réception et de dépouillement des votes par correspondance), mais aussi dans les frais de port pour les enveloppes-réponses utilisées dans le vote par correspondance. Selon une enquête réalisée en juin 2005 par la Chancellerie fédérale auprès des cantons et des communes98, le remplacement partiel du vote par correspondance par le vote électronique pourrait générer des économies d'environ 1,61 franc par électeur.

97

98

Chancellerie fédérale, enquête 2005 auprès des cantons et des communes sur le vote électronique, Berne 2005 (cf. documentation complémentaire 8). Le coût moyen d'un suffrage exprimé par correspondance est de 3,65 francs. Ce coût comprend une part fixe de 1,45 franc en moyenne, qui correspond aux frais de port, et un part variable de 2,20 francs, qui correspond aux frais de dépouillement notamment. Les calculs se fondent sur l'hypothèse de quatre scrutins annuels. Calcul pour 4 860 166 électeurs (27.11.2005), une participation de 44,5 % (CH: 1996­2005) et un vote par correspondance correspondant à un pourcentage de 80 %.

Ibid.

5272

Tableau 6 Baisse escomptée des coûts en cas d'introduction du vote électronique en Suisse En centimes par suffrage exprimé par voie électronique et non pas par correspondance Centimes

Economies en frais matériels Port pour le renvoi du suffrage exprimé par correspondance (valeur moyenne suisse correspondant aux frais de port payés par les collectivités publiques)

40,0

Frais liés à la conservation des suffrages exprimés par correspondance (location des locaux, frais matériels)

11,9

Dépouillement des suffrages exprimés par correspondance (location des locaux, frais matériels, sans les frais de personnel)

10,1

Autres frais liés au vote par correspondance Total des économies en termes de frais matériels

8,1 70,1

Economies en frais de personnel Réception des suffrages, conservation et contrôle de la qualité d'électeur

24,8

Dépouillement des suffrages (manuel ou automatique)

49,1

Autres rubriques

17,3

Total des économies en termes de frais de personnel

91,2

Dans les cantons et les communes où les électeurs paient eux-mêmes les frais de port s'ils votent par correspondance, ces frais disparaîtront aussi en cas de recours au vote électronique.

Si, pour l'ensemble du corps électoral suisse, 8,9 %99 des suffrages étaient exprimés par voie électronique, on réaliserait des économies de 27,86 millions de francs sur dix ans.

Au total, les coûts liés à l'introduction du vote électronique dans toute la Suisse oscilleraient entre 37,90 et 64,30 millions de francs, à condition que les cantons collaborent étroitement entre eux100.

99

Hypothèse de travail: participation moyenne de 44,5 % (CH: 1996­2005), 80 % de suffrages exprimés à distance, dont 25 % le seraient probablement par voie électronique, et quatre scrutins par an.

100 Les chiffres résultent de la différence entre les coûts de développement et d'exploitation d'un seul et unique système pour tous les cantons, voire du développement de six systèmes correspondants (cf. ch. 5.3.2), et le potentiel d'économies constant pour les deux variantes (cf. ch. 5.3.3).

5273

5.3.4

Deux variantes de collaboration entre les cantons

D'un point de vue économique, l'exploitation de 26 systèmes différents en Suisse n'est pas défendable.

En revanche, il serait sensé d'opter pour une démarche commune: les solutions élaborées dans les cantons pilotes pourraient être exploitées par d'autres cantons à condition que la volonté politique nécessaire soit présente.

Deux variantes sont envisageables du point de vue tant politique qu'économique101: ­

d'une part un transfert de technologie d'un canton à l'autre. Dans les accords qu'ils ont conclus avec la Chancellerie fédérale, les cantons pilotes se sont engagés à transférer gratuitement les connaissances et les technologies en rapport avec toutes les composantes du système développées grâce au soutien financier de la Confédération;

­

d'autre part le raccordement des cantons à un système existant102.

Il convient toutefois de relever que la mise en place de systèmes communs de vote électronique pourrait remettre en question la diversité cantonale actuelle. Les cantons suisses ont en effet mis au point, au cours de ces dernières années, des procédures de vote par correspondance qui sont conviviales et qui répondent aux besoins des électeurs. Il faudrait renoncer en partie à cette diversité et à ces spécificités si la collaboration devait être renforcée dans le domaine du vote électronique. Aussi les cantons devraient-ils se demander quels sont les éléments de leur système cantonal de vote qu'ils veulent conserver à tout prix et avec quels cantons exploitant un autre système de vote une collaboration est envisageable. Compte tenu du caractère électronique des transmissions, la proximité géographique est en l'occurrence un critère de choix bien moins important que la comparabilité des systèmes en présence.

5.3.5

Harmonisation des registres des électeurs et identificateur de personne

Le succès de l'organisation de votations et d'élections électroniques en Suisse, l'harmonisation, au niveau cantonal, des registres des électeurs tenus par les communes et l'établissement d'un registre électronique des électeurs avant chaque scrutin ne passent pas obligatoirement par la création d'un identificateur de personne au niveau fédéral.

La création d'un identificateur uniforme, valable dans toute la Suisse, pour tous les registres de personnes pourrait toutefois faciliter l'introduction du vote électronique.

En particulier, la mise en place d'un système plus efficace servant à annoncer les changements de domicile d'un canton à l'autre permettrait à l'avenir d'éviter que les

101

L'idée consistant à ce que la Confédération exploite un système centralisé pour tous les cantons représenterait certes une autre possibilité sur le plan technique, mais elle ne serait guère réalisable dans notre système fédéraliste, raison pour laquelle elle n'a pas été développée dans le présent rapport.

102 La standardisation des interfaces importantes pour le vote électronique entre les registres des habitants et les registres des électeurs aux niveaux cantonal et communal, mais aussi de la transmission des données entre les modules de vote électronique, favoriserait encore davantage cette variante.

5274

deux cantons concernés envoient par erreur le matériel de vote à la même personne en raison de délais différents.

C'est la raison pour laquelle le Conseil fédéral a chargé le DFI, le 27 octobre 2004, d'élaborer les bases légales nécessaires à l'harmonisation des registres de personnes et à la création d'un identificateur uniforme de personne pour les registres de personnes.

Le 23 novembre 2005, le Conseil fédéral a approuvé le message concernant l'harmonisation de registres officiels de personnes (FF 2006 439), tout en proposant de remplacer les numéros AVS actuels par des numéros d'assurance sociale non parlants composés de 13 chiffres. Ces numéros auront plusieurs fonctions: ils serviront notamment d'identificateurs de personne dans tous les registres de la population. Par ailleurs, les registres des habitants devront désormais indiquer le droit de vote et l'éligibilité des personnes concernées, ce qui facilitera l'établissement des registres des électeurs. L'Office fédéral de la statistique a d'ailleurs déjà publié, en septembre 2005, un catalogue des caractères destiné à la tenue des registres cantonaux et communaux du contrôle des habitants103.

5.4

Conclusions et suite des travaux

Une enquête menée à l'échelle nationale a révélé que près de deux tiers des personnes interrogées connaissent le projet consacré au vote électronique. Plus de la moitié des personnes interrogées ont affirmé qu'elles utiliseraient le vote électronique si celui-ci était à leur disposition. Plus de 90 % des électeurs qui ont pris part aux essais pilotes et qui ont donc voté par voie électronique aimeraient continuer de voter de cette manière à l'avenir. Les enquêtes de suivi font apparaître que les électeurs parlent régulièrement de la convivialité du vote électronique et que la plupart d'entre eux sont sensibles à la sécurité de cette forme de vote.

Dans le cadre des projets pilotes en matière de vote électronique, de nombreuses mesures de sécurité ont été testées, lesquelles permettent de prévenir les risques liés à un abus systématique du vote électronique104. Comme c'est le cas pour le vote traditionnel, lorsqu'on glisse son bulletin dans l'urne ou qu'on vote par correspondance, on ne pourra jamais exclure complètement, dans le cas du vote électronique, le fait que des votes soient falsifiés, manipulés ou qu'ils ne puissent pas être exprimés, que ce soit par hasard ou de façon illicite, ou le fait que le vote de certaines personnes soit observé par des personnes qui n'en ont pas le droit. Dans tous les cas, cependant, il doit être possible d'exclure tout abus ou toute irrégularité systématiques.

Les mesures de sécurité qui ont été prises ont permis d'écarter les attaques qui ont été menées. Des experts externes ont certifié que les trois projets disposaient d'une très bonne architecture de sécurité. Ils ont affirmé que le niveau de sécurité des installations centrales (urne, serveur réservé aux scrutins, registre des électeurs) est 103

OFS, Harmonisation des registres officiels de personnes, Registres cantonaux et communaux du contrôle des habitants, Catalogue officiel des caractères, Neuchâtel 2005, www.bfs.admin.ch/bfs/portal/fr/index/infothek/erhebungen__quellen/ statistik_und_register/vz/publikationen.Document.65360.html.

104 La documentation complémentaire 6 contient un tableau synoptique des mesures de sécurité de nature technique mises en oeuvre dans le cadre des projets pilotes cantonaux.

5275

comparable à celui des installations complexes de télébanking des grandes banques suisses. En vertu du mandat confié par les Chambres fédérales, les mesures de sécurité devaient être telles que le vote électronique réponde à des exigences au moins aussi élevées que le vote par correspondance. Les exigences requises ont même été dépassées.

Les moyens financiers nécessaires à la réalisation des projets pilotes ont été fournis par la Chancellerie fédérale et par les cantons pilotes conformément aux règles régissant une gestion parcimonieuse des ressources. Les trois systèmes, qui n'ont cessé d'être développés, sont prêts pour une utilisation plus étendue. L'introduction du vote électronique à l'échelle nationale et son exploitation pendant dix ans coûteraient, selon des estimations, 65,76 millions de francs si les cantons choisissaient un système unique, 92,16 millions s'ils optaient pour six systèmes et jusqu'à 400 millions si chacun d'entre eux mettait en place son propre système. Ces coûts ­ quels que soient les systèmes utilisés ­ sont à mettre en rapport avec les économies prévisibles de 27,86 millions de francs qui seraient réalisées en matière de vote par correspondance. Ainsi, les coûts nets de l'introduction du vote électronique à l'échelle nationale se monteraient au minimum à 37,90 millions de francs et au maximum à près de 400 millions de francs. La plus grande partie des coûts serait à la charge des cantons et des communes. Qui plus est, il ne faut pas s'attendre à des conséquences significatives pour l'économie nationale. Depuis l'introduction du vote par correspondance, qui a provoqué un rallongement de la durée des votations et des élections, les partis, les associations et les groupes d'intérêts ont modifié radicalement la manière dont ils gèrent leurs campagnes. La durée pendant laquelle on pourra voter par voie électronique restera la même que dans le cas du vote par correspondance, ce qui ne provoquera pas d'effets nouveaux supplémentaires. C'est seulement dans le cas de la propagande politique que le vote électronique pourrait renforcer l'attrait d'Internet comme plateforme de campagne: les médias et les envois électroniques pourraient gagner en importance par rapport aux médias imprimés et aux envois par courrier postal. La même évolution est en cours en dehors du domaine des droits politiques.

Les projets pilotes ont montré que le vote électronique est réalisable en Suisse. Les cantons intéressés peuvent utiliser gratuitement la plupart des systèmes pilotes proprement dits, des éléments (modules) qui les constituent et des connaissances sur leur utilisation future qui ont été engrangées durant la phase pilote. Les cantons pilotes et d'autres cantons ont affiché un intérêt marqué pour l'extension progressive des projets pilotes à l'ensemble du territoire cantonal, voire aux élections. Pour cela, la Confédération devrait toutefois définir les grandes lignes stratégiques de la suite des travaux et adapter les bases juridiques concernées.

5.4.1

Réalisation par étapes

Il apparaît judicieux de continuer de nuancer la proposition que nous avions faite dans notre premier rapport sur le vote électronique, daté du 9 janvier 2002, à savoir de mettre en oeuvre le vote électronique par étapes105. La première étape, qui porte sur des essais contrôlés en matière de vote électronique, doit être élargie de telle sorte qu'il soit possible d'engranger d'autres expériences. Il s'agit en particulier de 105

FF 2002 642

5276

permettre aux trois cantons qui ont introduit le vote électronique et qui ont fait des investissements considérables de poursuivre leurs projets respectifs. Il s'agit aussi de permettre aux cantons intéressés de participer aux essais, mais sans que la Confédération participe au financement. Il convient de veiller tout particulièrement à ce qu'aucun fossé numérique ne se creuse entre les cantons urbains ou de plus ou moins grande taille, d'une part, et les cantons périphériques ou de plus ou moins petite taille, d'autre part. Comme des irrégularités, des rumeurs à prendre au sérieux sur de telles irrégularités et des abus commis à l'étranger, qui sont susceptibles d'ébranler la confiance des électeurs dans le vote électronique, pourraient compromettre la crédibilité des votations et des élections fédérales dans leur ensemble, le Conseil fédéral veillera, lors de l'octroi des autorisations portant sur la réalisation d'essais pilotes en matière de vote électronique, à ce qu'aucune votation populaire fédérale ne mobilise plus de 10 % des électeurs au niveau fédéral dans le cadre d'essais au cours de la prochaine législature. Dans le cas des référendums obligatoires, où la majorité des cantons joue aussi un rôle déterminant, il veillera par ailleurs à ce que les essais ne mobilisent pas plus de 20 % des électeurs de chaque canton.

Le vote électronique est un système complexe, impliquant de nombreux acteurs à de nombreux niveaux. La réalisation par étapes permettra d'engranger des expériences et de les mettre en oeuvre dans le cadre de la poursuite du développement du vote électronique. Ce dernier ne pourra être introduit que quand tous les acteurs ­ électeurs, politiciens et autorités ­ se seront familiarisés avec les nouvelles procédures et structures, les auront acceptées et auront confiance en elles. Il convient par ailleurs d'adopter une approche prudente afin de réduire au maximum les risques.

Le Conseil fédéral reste fidèle à sa conception initiale, à savoir la mise en oeuvre en quatre étapes106 (1. rendre possibles les votations électroniques; 2. rendre possibles les élections électroniques; 3. rendre possible la signature électronique d'initiatives populaires et de demandes de référendum; 4. rendre possible la signature électronique de listes de candidats pour l'élection du Conseil national).

5.4.2

Nécessité d'adapter les bases légales

Le vote électronique requiert une adaptation tant de la LDP que de l'ODP.

Il convient de modifier la législation en fonction de l'état actuel des travaux consacrés au vote électronique et d'y créer la possibilité d'étendre les essais pilotes de façon contrôlée. Il convient également de créer les bases légales pour une harmonisation des registres des électeurs afin que les Suisses de l'étranger puissent aussi voter par voie électronique.

­

106

Ajout d'un al. 1bis à l'art. 8a LDP: jusqu'ici, les cantons pilotes qui souhaitaient effectuer un essai pilote dans le cadre d'une votation populaire fédérale ont eu à chaque fois besoin de l'autorisation du Conseil fédéral. Désormais, le Conseil fédéral devrait pouvoir autoriser ceux d'entre eux qui effectuent des essais depuis un certain temps (on entend par là ceux qui ont au moins à leur actif cinq essais successifs et qui se sont déroulés sans panne, lors de votations fédérales) à les poursuivre pendant une période déterminée dans le cadre de votations populaires fédérales, en les limitant, Ibid., p. 642

5277

s'il le juge utile, à un endroit, à une date ou à un objet donnés. C'est lui qui fixera la longueur de la période et les conditions au cas par cas; il pourra aussi limiter ou exclure l'autorisation à tout moment. Cette sorte de «frein à main» est la copie d'un mécanisme qui a fait ses preuves à plusieurs reprises depuis le plébiscite du 23 juin 1974 sur le Jura jusqu'à la votation dans le district bernois de Laufon sur le rattachement de ce dernier au canton de Bâle-Campagne (RO 1974 887 et 2215, 1975 1295, 1978 580, 1983 750, 1989 1780 et 1994 2424 ch. II).

­

Abrogation de l'al. 3 de l'art. 8a LDP: le suivi scientifique ne sera plus nécessaire pendant la phase d'essais élargie. On peut donc le supprimer, aussi pour des raisons financières. S'il le juge nécessaire, le Conseil fédéral pourra toujours continuer à relever des données sur l'utilisation du vote électronique par les électeurs et à assurer le suivi scientifique de certains essais.

Il pourra alors invoquer la compétence de régler les détails et les modalités que lui donne l'art. 8a, al. 4, LDP. Autrement dit, le suivi scientifique du vote électronique ne disparaîtra pas avec l'abrogation de cet al. 3; il ne sera par contre plus obligatoire puisqu'il ne sera plus imposé par la loi. Le Conseil fédéral communiquera les résultats des essais élargis à l'Assemblée fédérale en temps opportun.

­

Ajout d'un art. 5b à la loi fédérale sur les droits politiques des Suisses de l'étranger (LDPSE, RS 161.5): les cantons dans lesquels les Suisses de l'étranger n'ont pas le droit de vote au niveau communal doivent déterminer si le registre électoral des Suisses de l'étranger doit être tenu de façon centralisée dans les locaux de l'administration cantonale ou dans ceux de l'administration communale du chef-lieu. Le registre électoral peut être tenu de façon décentralisée s'il est le même dans tout le canton et s'il est informatisé, ou alors si les données sont régulièrement transmises par voie électronique au registre électoral centralisé.

Ces modifications de la législation figurent dans le message du ... mai 2006 concernant la réforme des droits populaires107. Qui plus est, les connaissances engrangées dans le cadre des projets pilotes et de l'échange d'expériences au niveau international seront intégrées dans les ordonnances et communiquées à tous les cantons.

5.4.3

Mesures de suivi de nature sociétale

En cas d'introduction du vote électronique en Suisse, le risque existe, même s'il est minime, que les disparités en termes de participation aux votations et aux élections s'accentuent entre les sexes et entres les groupes d'âge.

107

Message du 31 mai 2006 concernant l'introduction de l'initiative populaire générale et d'autres modifications de la législation fédérale sur les droits politiques (FF 2006 5001).

La documentation complémentaire 2 présente l'état des bases légales cantonales relatives au vote électronique.

5278

Le vote électronique pourrait ainsi accentuer légèrement, dans le domaine politique, le fossé numérique108 présent dans de nombreux domaines de la vie quotidienne.

Pour pouvoir prévenir ce risque, il conviendra de prendre les deux mesures d'accompagnement suivantes, selon un rapport de la haute école spécialisée de Saint-Gall pour la technique, l'économie et le travail social (Fachhochschule für Technik, Wirtschaft und Soziale Arbeit)109: ­

assurer la convivialité: la conception et l'organisation du vote électronique se font en fonction des besoins des personnes qui disposent de connaissances informatiques limitées. Par conséquent, les structures de navigation doivent être claires, les canaux de navigation doivent être courts, la syntaxe doit être claire, et les caractères doivent être bien lisibles (taille et couleur). Ces mesures sont aussi nécessaires pour d'autres raisons: la loi fédérale du 13 décembre 2002 sur l'élimination des inégalités frappant les personnes handicapées (LHand, RS 151.3) prescrit à son art. 14, al. 2, que, dans la mesure où les autorités offrent leurs prestations sur Internet, l'accès à ces prestations ne doit pas être rendu difficile aux personnes handicapées de la vue. Les cantons devront mettre en oeuvre les dispositions de la LHand en cas d'introduction du vote électronique. La collaboration avec les organisations d'aide aux personnes handicapées pourra se révéler judicieuse à cet égard.

­

informer la population: si le vote électronique est introduit un jour, la Confédération, les cantons et les communes pourraient le rendre plus accessible aux futurs citoyens dans le cadre des cours d'instruction civique. Ils pourraient en outre organiser des séances d'information et des cours destinés aux personnes de tous les âges et des deux sexes pour contribuer à parer aux éventuels effets négatifs du vote électronique sur les surreprésentations ou sur les sous-représentations existantes en termes de participation politique.

5.4.4

Organisation des travaux à venir

Les systèmes de vote électronique utilisés avec succès jusqu'à présent doivent pouvoir continuer de l'être dans la législature à venir selon les conditions décrites aux ch. 5.4.1 et 5.4.2. Les cantons tiers intéressés doivent pouvoir s'associer à un projet pilote ou s'atteler au développement de leur propre système. La Chancellerie fédérale assurera le suivi des projets selon le modèle qui a fait ses preuves pendant la phase pilote. Cela veut dire que le Conseil fédéral devra maintenir non seulement les exigences auxquelles doivent répondre les systèmes de vote électronique ­ exigences qui figurent aux art. 27a ss ODP, mais aussi une structure chargée de vérifier le 108

Pour en savoir plus sur la problématique générale inhérente au fossé numérique, voir Office fédéral de la formation professionnelle et de la technologie, Le fossé numérique en Suisse, Rapport à l'intention du Conseil fédéral, Berne 2004, www.infosociety.ch/site/attachdb/show.asp?id_attach=944; ainsi que Vodoz Luc et al., Ordinateur et précarité au quotidien: les logiques d'intégration provisoire de la formation continue, Rapport final du projet «La fracture numérique: émergence, évolution, enjeux et perspectives», élaboré dans le cadre du Programme national de recherche «Intégration et exclusion» (PNR 51), Lausanne 2005, http://ceat.epfl.ch/docs/457.pdf.

109 Cf. Ingold S., E-Voting: Welche Massnahmen sollen getroffen werden, damit E-Voting auch für Frauen attraktiv ist? Rapport assorti de recommandations, rédigé à la demande du groupe de travail interdépartemental «Gender Mainstreaming», juillet 2005 (cf. documentation complémentaire 11e).

5279

respect de ces exigences. En cas d'échelonnement de l'introduction du vote électronique, une telle structure fédérale coûtera environ 350 000 francs par an. Ces coûts récurrents englobent les frais de personnel liés aux tâches de coordination et au suivi des projets cantonaux (deux postes de collaborateurs scientifiques), mais aussi des frais de matériel de quelque 100 000 francs liés aux contrôles externes de sécurité portant sur les systèmes proposés.

6

Considérations finales

Les projets pilotes avaient pour but d'étudier la faisabilité, les chances et les risques du vote électronique. Ils ont montré que le vote électronique est réalisable, mais aussi que les risques, qui changent en permanence, doivent être placés et gardés sous contrôle. Les connaissances et les méthodes des hackers évoluent. C'est pourquoi il est impossible de concevoir des mesures de sécurité une fois pour toutes. Il faut les adapter sans cesse en fonction des risques qui apparaissent.

Dans son rapport du 9 janvier 2002, le Conseil fédéral avait déjà proposé de mettre en oeuvre le vote électronique par étapes en raison de la complexité des problèmes qui se posent (FF 2002 642 ss, 656 et 660 s.). Il s'agit aujourd'hui d'affiner cette approche. II s'agit tout d'abord d'harmoniser au niveau cantonal les registres des électeurs en fonction des directives fédérales, puis de mettre en oeuvre le vote électronique pour les votations populaires. Il s'agira ensuite de mettre en oeuvre le vote électronique pour l'élection du Conseil national. Il s'agira enfin d'aborder la dernière étape, portant sur la procédure la plus complexe, à savoir faire en sorte que l'on puisse signer par voie électronique les initiatives populaires, les demandes de référendum et les listes de candidats.

L'objectif doit rester le suivant: permettre aux générations futures de participer aux décisions démocratiques même si les conditions de vie évoluent, c'est-à-dire maintenir cette possibilité de participation d'une manière qui corresponde aux futurs modes de vie. Il s'agit d'atteindre cet objectif sans compromettre le bon déroulement des scrutins fédéraux. Pour ce faire, il faut faire passer la sécurité avant la rapidité.

Il s'agit donc de subdiviser la première étape en séquences idoines. Mais il est aussi capital de structurer le projet en fonction de l'environnement fédéraliste et de la plus-value qui sera réalisée dans les différentes séquences.

Ce sont les Suisses de l'étranger qui tireront le plus grand bénéfice du vote électronique. Mais mettre en place une telle forme de vote pour cette catégorie d'électeurs signifie qu'il faudra harmoniser au niveau cantonal le registre spécifique qu'est le registre électoral des Suisses de l'étranger. C'est seulement de cette manière que l'on pourra engranger les connaissances hautement spécialisées et mettre en place l'infrastructure permettant d'atteindre la masse critique nécessaire pour pouvoir proposer le vote électronique aux Suisses de l'étranger à un prix acceptable. C'est la raison pour laquelle le Conseil fédéral propose, dans le message du 31 mai 2006, que les cantons qui n'accordent pas le droit de vote au niveau communal aux Suisses de l'étranger puissent déterminer si le registre électoral des Suisses de l'étranger sera tenu dans les locaux de l'administration cantonale ou dans ceux de l'administration communale du chef-lieu. Il sera plus facile de mettre en place les ressources et l'infrastructure nécessaires pour pouvoir fournir une offre de qualité à tous les électeurs suisses de l'étranger qui sont intéressés par le biais de 26 centres logisti5280

ques que par le biais de plus de 2800 communes, dont la plupart ont une population très faible. Par contre, une centralisation au niveau fédéral n'entraînerait que des pertes d'efficacité et des retards parce que la majorité des cantons est requise dans deux tiers des votations populaires (art. 142, al. 2 et 3, Cst.) et que, dans le cas de l'élection du Conseil national, l'existence des circonscriptions électorales (art. 149, al. 3, Cst.) fait que l'établissement des résultats des scrutins doit de toute façon se faire séparément, par canton.

Il n'y a pas lieu de renoncer à poursuivre sur la lancée des essais pilotes en matière électronique, qui sont un succès, ni de hâter l'extension de ces essais. Si elles restaient inutilisées, les technologies disponibles et les connaissances acquises deviendraient rapidement désuètes et inutiles en raison du développement fulgurant de la technique. Il serait irresponsable de dépenser les deniers publics pour développer des systèmes servant à évaluer la faisabilité du vote électronique, de laisser ces systèmes en friche une fois les essais réalisés avec succès et ensuite de développer ces systèmes une seconde fois ou d'en faire l'acquisition à l'étranger. Tant l'objectif à long terme qui consiste à vouloir faciliter le vote que les droits politiques qui viennent d'en bas dans la conception fédéraliste de l'Etat joueront aussi un rôle important dans le développement futur du vote électronique.

Les essais qui ont débuté avec succès doivent pouvoir se poursuivre après l'autorisation du Conseil fédéral. Désormais, le Conseil fédéral devrait pouvoir autoriser les cantons qui effectuent des essais depuis un certain temps (on entend par là ceux qui ont au moins à leur actif cinq essais successifs et qui se sont déroulés sans panne, lors de votations fédérales) à les poursuivre pendant une période déterminée dans le cadre de votations populaires fédérales. C'est lui qui fixera la longueur de la période et les conditions au cas par cas, tout en pouvant limiter le vote électronique, voire l'exclure, à tout moment. Le Conseil fédéral veillera, lors de l'octroi des autorisations portant sur la réalisation d'essais pilotes en matière de vote électronique, à ce qu'aucune votation populaire fédérale ne mobilise plus de 10 % des électeurs au niveau fédéral dans le cadre d'essais au cours de la prochaine législature. Dans le cas des référendums obligatoires, où la majorité des cantons joue aussi un rôle déterminant, il veillera par ailleurs à ce que les essais ne mobilisent pas plus de 20 % des électeurs de chaque canton. Il pourra à tout moment, suivant les circonstances, continuer de limiter le vote électronique à une partie du territoire, à certaines dates et à certains objets, de l'assortir de conditions ou de l'exclure purement et simplement.

Un tel scénario permet la poursuite d'un développement organique. Les cantons intéressés pourront s'associer à l'un des systèmes existants ou combiner les éléments de divers systèmes développés avec succès. Conformément aux accords conclus avec la Confédération, les cantons pilotes transmettront gratuitement à ces cantons intéressés les connaissances rassemblées grâce au soutien financier de la Confédération. Les cantons qui feront part de leur intérêt ne recevront plus aucune aide financière fédérale au titre du vote électronique. Ils réaliseront tout d'abord eux aussi des séries d'essais; pour les votations fédérales, ils auront besoin de l'autorisation du Conseil fédéral, qui la délivrera aux mêmes conditions que celles qui prévalaient pour les cantons pilotes110.

110

Cf. circulaire du Conseil fédéral du 20 septembre 2002 aux gouvernements cantonaux relative à la révision partielle de l'ordonnance sur les droits politiques (Conditions de l'octroi de l'autorisation de procéder à des essais pilotes sur le vote électronique), FF 2002 6141.

5281

Cette procédure se fonde sur de précédentes expériences en rapport avec le développement d'autres facilités de vote (vote anticipé, urne itinérante, vote par procuration et vote par correspondance), qui se sont aussi mises en place par étapes dans les cantons pour aboutir à ce qu'elles sont aujourd'hui. Elle a l'avantage de permettre à chaque canton de développer un système de vote électronique qui soit adapté à ses structures et à ses usages, mais qui réponde aussi aux besoins de sa population.

Comme l'ont montré les expériences faites avec les autres formes de vote facilité, les facilités de vote doivent se faire elles-mêmes une place sur le «marché», et ce dernier ne doit en aucune façon se mettre en place dans tous les cantons au même rythme et selon la même efficacité.

Cette façon de procéder, à la fois fédéraliste et réfléchie, promet par ailleurs d'être économe: l'expérience montre qu'il faut remplacer l'infrastructure informatique tous les quatre à six ans. L'introduction du vote électronique dans un canton ou dans certaines communes ne nécessite pas, si l'on adopte cette façon de procéder, le remplacement de l'infrastructure ­ sur l'ensemble du territoire concerné, de façon distincte ou en dehors des planifications qui ont été établies ­ avant que les installations existantes aient été amorties.

Dans le même ordre d'idées, il faut supprimer l'obligation d'assurer le suivi scientifique des essais pilotes en matière de vote électronique. Dans les cas où cela se révélera judicieux et où cela sera réalisable à des coûts raisonnables, le Conseil fédéral pourra toujours ordonner des relevés, mais il ne doit plus y être obligé quel qu'en soit le prix.

Enfin, si un canton souhaite recourir au vote électronique dans le cadre d'un scrutin fédéral sur une initiative populaire assortie d'un contre-projet ou dans le cas de l'élection du Conseil national, il devra tout d'abord procéder à des tests et obtenir l'autorisation du Conseil fédéral. Il sera soumis aux mêmes règles que celles qui étaient applicables aux premiers essais en matière de vote électronique dans le cadre de votations populaires fédérales.

5282

Glossaire de termes techniques Attaque de l'homme du milieu (angl. man-in-themiddle-attack)

Attaque par déni de service (angl. denial of service [DOS])

Authenticité

Cheval de Troie

Dans le système d'exploitation d'un ordinateur, il passe souvent inaperçu; il peut ouvrir l'accès à un serveur, détruire des données importantes ou lire des mots de passe.

Empreinte digitale

Fichier journal (angl. logfile)

Fournisseur (angl. provider)

Hacker

Logiciel libre

Méthode «challenge/ response»

5283

Pare-feu (angl. firewall)

Secure Sockets Layer (SSL)

Serveur de noms de domaine (angl. Domain Name Server [DNS])

Spoofing

Système redondant

L'existence d'un système redondant permet d'accroître considérablement la sécurité si un problème ou une panne survient dans le système principal.

Vote par code

Sources Grand dictionnaire terminologique de l'Office québécois de la langue française (www.olf.gouv.qc.ca/ressources/gdt_bdl2.html) «Le jargon français», dictionnaire d'informatique francophone (www.linux-france.org/prj/jargonf/) «CommentCaMarche.net», Encyclopédie informatique libre (www.commentcamarche.net/)

5284

Documentation complémentaire Des informations complémentaires sur les thèmes suivants figurent dans la documentation publiée sous forme électronique: 1. Bibliographie et publications connexes 2. Bases juridiques du vote électronique dans les cantons 3. Bases juridiques de la tenue des registres des électeurs dans les cantons 4. Tableau synoptique des essais pilotes réalisés entre 2003 et 2006 5. Evaluation des systèmes cantonaux en fonction des exigences minimales ­ fixées aux art. 27a à 27q ODP ­ applicables aux projets pilotes en matière de vote électronique 6. Tableau synoptique des mesures techniques de sécurité prises dans le cadre des projets pilotes cantonaux 7. Récapitulatif des coûts liés aux projets pilotes cantonaux 8. Enquête 2005 auprès des cantons et des communes sur le vote par correspondance, Berne 2005 9. Vote électronique et vote par correspondance. Problèmes de sécurité et mesures 10. Tableau synoptique d'essais pilotes en matière de vote électronique à l'étranger 11. Etudes externes (recherche sur le suivi) a. Institut de recherche gfs.berne, Das Potenzial der elektronischen Stimmabgabe, étude réalisée à la demande de la Chancellerie fédérale, Berne 2005 b. Centre d'études et de documentation sur la démocratie directe de l'Université de Genève, Analyse du scrutin du 26 septembre 2004 dans quatre communes genevoises (Anières, Carouge, Cologny et Meyrin), juillet 2005 c. Canton de Neuchâtel, Enquête de satisfaction, scrutin du 25 septembre 2005, novembre 2005 d. Centre d'études et de documentation sur la démocratie directe de l'Université de Genève, Umfrage bei Stimmberechtigten der Zürcher Gemeinden Bertschikon, Bülach und Schlieren anlässlich des Pilotversuchs zum Vote électronique vom 27. November 2005, Genève, Florence, mars 2006 e. Ingold S., E-Voting: Welche Massnahmen sollen getroffen werden, damit E-Voting auch für Frauen attraktiv ist? Rapport assorti de recommandations, rédigé à la demande du groupe de travail interdépartemental «Gender Mainstreaming», juillet 2005 Tout ou partie de cette documentation peut être demandée à la Section des droits politiques de la Chancellerie fédérale ou consultée et téléchargée à l'adresse suivante: www.admin.ch (rubrique «Chancellerie fédérale/Section des droits politiques/Vote électronique»).

5285

5286