« Discussion vote électronique » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
m (Relecture (correction de quelques coquilles))
(Correction de quelques typos)
 
(18 versions intermédiaires par 4 utilisateurs non affichées)
Ligne 46 : Ligne 46 :
  prix à payer pour cela ?</em> »
  prix à payer pour cela ?</em> »


==  Explications ayant menées au texte ==
==  Explications ayant mené au texte ==


=== a) Contrôle ou examen ? ===
=== a) Contrôle ou examen ? ===
Ligne 52 : Ligne 52 :


=== b) Pourquoi une telle méfiance ? ===
=== b) Pourquoi une telle méfiance ? ===
Une volonté d'un adhérent de contrôler l'élection ne doit pas être vue comme l'oeuvre d'un adhérent mal léché voulant agresser l'association. Il n'est pas bon signe que le « pouvoir » se méfie des « citoyens ». En France, n'importe quel citoyen peut dans une élection institutionnelle consulter la liste électorale, tenir le bureau de vote, assister au scrutin toute la journée, être scrutateur le soir, dépouiller, inscrire ses remarques sur le procès verbal, contester le vote devant la juridiction concernée (tribunal administratif, préfecture, conseil constitutionnel, etc. suivant les cas).
Une volonté d'un adhérent de contrôler l'élection ne doit pas être vue comme l'œuvre d'un adhérent mal léché voulant agresser l'association. Il n'est pas bon signe que le « pouvoir » se méfie des « citoyens ». En France, n'importe quel citoyen peut dans une élection institutionnelle consulter la liste électorale, tenir le bureau de vote, assister au scrutin toute la journée, être scrutateur le soir, dépouiller, inscrire ses remarques sur le procès verbal, contester le vote devant la juridiction concernée (tribunal administratif, préfecture, conseil constitutionnel, etc. suivant les cas).


=== c) Le secret du bulletin est il garanti avec le vote électronique ? ===
=== c) Le secret du bulletin est-il garanti avec le vote électronique ? ===
Le bulletin électronique n'est jamais secret pour les administrateurs système. Et justement de ce fait, il est possible de lever l'anonymat sur les votes lorsque c'est « nécessaire ».
Le bulletin électronique n'est jamais secret pour les administrateurs système. Et justement de ce fait, il est possible de lever l'anonymat sur les votes lorsque c'est « nécessaire ».


Ligne 65 : Ligne 65 :
Dans un scrutin à main levée, tout le monde sait qui a voté quoi. Donc il n'y a pas de secret à lever.
Dans un scrutin à main levée, tout le monde sait qui a voté quoi. Donc il n'y a pas de secret à lever.


Dans un scrutin papier, cela n'est pas utile. Tout électeur peut contrôler lui même le scrutin. Il peut toujours surveiller tous les bulletins de son bureau de vote, il peut les recompter. Parce qu'il peut vérifier que personne ne change, ajoute ou retire des bulletins, il peut avoir confiance dans le scrutin papier.
Par ailleurs, la levée du secret dans le cadre d'un scrutin papier est jugée démocratiquement mauvaise car elle laisse une porte inutilement ouverte aux pressions, aux ventes de bulletin avec vérification, etc.


Par ailleurs, la levée du secret dans le cadre d'un scrutin papier est jugé démocratiquement mauvais, car il laisse une porte inutilement ouverte aux pressions, aux ventes de bulletin avec vérification, etc.
Certain pensent aussi que cela n'est pas utile, tout électeur pouvant soit-disant contrôler lui même le scrutin : il peut toujours surveiller tous les bulletins de son bureau de vote, il peut les recompter. Il suffit de penser aux multiples cas de fraude électorale lors d'élections avec des bulletins papier pour comprendre qu'il s'agit là d'une vision enchantée des choses. Le scrutin papier n'offre pas de garantie absolue en terme de transparence. De manière générale la transparence est beaucoup moins liée à la matérialité du support du vote qu'au processus qui l'entoure.


=== f) Pourquoi parle-t-on de lever le secret sur le bulletin dans un scrutin électronique alors ? ===
=== f) Pourquoi parle-t-on de lever le secret sur le bulletin dans un scrutin électronique alors ? ===


Dans le cadre institutionnel, rien n'est prévu dans ce sens pour la simple raison que le vote électronique n'y est pas actuellement considéré comme ayant des défauts. Ainsi, une confiance quasi absolue est accordée aux ordinateurs de vote certifiés par l'autorité compétente. Aussi, la possibilité de recomptage a été supprimée en pratique. En revanche, l'April conteste cette perception.
Dans le cadre institutionnel, rien n'est prévu dans ce sens pour la simple raison que le vote électronique n'y est pas actuellement considéré comme ayant des défauts. Ainsi, une confiance quasi absolue est accordée aux ordinateurs de vote certifiés par l'autorité compétente. Aussi, la possibilité de recomptage a été supprimée en pratique. L'April s'oppose logiquement en conséquence à l'utilisation de scrutins électroniques dans ces conditions.


Dans un scrutin électronique, dématérialisé, si le « qui a voté quoi » n'est pas public, le scrutin est incontrôlable : quelqu'un peut changer, ajouter ou retirer des bulletins. Comment donner la confiance et le contrôle à chaque électeur ? La seule façon est de montrer qui a voté quoi, et donc de permettre à chacun de vérifier son vote et à tous de recompter. En levant l'anonymat, chacun peut vérifier et recompter. Et ce quelque soit son niveau d'instruction ou d'éducation par ailleurs.
Dans un scrutin électronique, dématérialisé, si le « qui a voté quoi » n'est pas public, le scrutin n'est pas totalement contrôlable : quelqu'un peut changer, ajouter ou retirer des bulletins (ce qui arrive aussi avec des scrutins papier). Comment donner la confiance et le contrôle à chaque électeur ? La seule façon d'arriver a une certitude est de montrer qui a voté quoi, et donc de permettre à chacun de vérifier son vote et à tous de recompter. En levant l'anonymat, chacun peut vérifier et recompter. Et ce quel que soit son niveau d'instruction ou d'éducation par ailleurs.


Ainsi, le but en soi n'est pas de savoir « qui a voté quoi » mais de contrôler le vote. Et pour cela, dans le cas électronique, il faut savoir « qui a voté quoi ».
Ainsi, le but en soi n'est pas de savoir « qui a voté quoi » mais de contrôler le vote. Et pour cela, il faut savoir « qui a voté quoi ».


=== g) Du coup c'est quoi le problème ? ===
=== g) Du coup c'est quoi le problème ? ===
Ligne 86 : Ligne 86 :
On voit rapidement qu'il y a souci, et qu'il faut proposer une solution en choisissant ce que l'on accepte de relâcher comme contrainte, entre bulletin secret, contrôle par les adhérents et vote électronique. Par ailleurs, nous pouvons faire les remarques suivantes :
On voit rapidement qu'il y a souci, et qu'il faut proposer une solution en choisissant ce que l'on accepte de relâcher comme contrainte, entre bulletin secret, contrôle par les adhérents et vote électronique. Par ailleurs, nous pouvons faire les remarques suivantes :
* Il n'est pas sûr du tout que l'on puisse abandonner facilement le vote électronique (coût, logistique, etc.).  
* Il n'est pas sûr du tout que l'on puisse abandonner facilement le vote électronique (coût, logistique, etc.).  
* Il faut différencier l'opacité du vote électronique avec des machines à voter et le vote en ligne à l'aide d'un logiciel libre et auditable.
* Il faut différencier le vote institutionnel et le vote pour une association.
* La solution de vote par correspondance, pose également plein de problèmes.
* La solution de vote par correspondance, pose également plein de problèmes.
* L'April n'est pas de taille à pouvoir organiser des scrutins papiers décentralisés sur tout le territoire.
* L'April n'est pas de taille à pouvoir organiser des scrutins papiers décentralisés sur tout le territoire.
Ligne 101 : Ligne 103 :
Le secret du bulletin de vote électronique ne peut être levé avant le vote le jour de l'assemblée générale, sinon les votants présents et représentés sont influencés (et/ou découragés de voter si le quorum est atteint ou que le résultat est sans appel).
Le secret du bulletin de vote électronique ne peut être levé avant le vote le jour de l'assemblée générale, sinon les votants présents et représentés sont influencés (et/ou découragés de voter si le quorum est atteint ou que le résultat est sans appel).


=== j) Et si les bulletins de vote électronique restaient secret jusqu'à ce que « une demande » soit formulée ? ===
=== j) Et si les bulletins de vote électronique restaient secrets jusqu'à ce que « une demande » soit formulée ? ===


D'abord il faut définir qui peut faire « une demande ».
D'abord il faut définir qui peut faire « une demande ».


On peut penser que pour éviter que sur la volonté d'un seul électeur, le scrutin devienne systématiquement publié, il faut conditionner la demande à XX ou YY% des adhérents à jour de cotisation, et/ou il faut prévoir d'autres conditions de justification.
On peut penser que pour éviter que sur la volonté d'un seul électeur, le scrutin soit systématiquement publié, il faut conditionner la satisfaction de la demande à la requête d'un certain pourcentage des adhérents à jour de cotisation et/ou il faut prévoir d'autres conditions de justification.


En fait il semble important de permettre à chacun de permettre le contrôle sans motivation. C'est donc un autre droit légitime qu'une telle pratique viendrait à affaiblir.
En fait il semble important de permettre à chacun le contrôle sans exiger de motivation. C'est donc un autre droit légitime qu'une telle pratique viendrait à affaiblir.


Par ailleurs définir le XX ou le YY est problématique : exiger de réunir XX ou YY% électeurs implique de prolonger le délai de contestation/contrôle. Et pourquoi les électeurs présents+représentés lors de l'AG ne pourraient pas à eux seuls lever le secret (alors qu'ils sont au final peu dans l'absolu et en pourcentage) ? Le gain du XX ou YY est faible par rapport aux problèmes qu'il va soulever.
Par ailleurs définir un pourcentage d'adhérents est problématique : exiger de réunir ce pourcentage des électeurs implique de prolonger le délai de contestation/contrôle. Et pourquoi les électeurs présents ou représentés lors de l'AG ne pourraient pas à eux seuls justifier la levée le secret (alors qu'ils sont au final peu dans l'absolu et en pourcentage) ? Le gain du pourcentage est faible par rapport aux problèmes qu'il va soulever.


Il n'est pas non plus possible d'exiger que la demande vienne uniquement d'un candidat. D'autant moins quand il n'y a qu'une seule liste de candidats et que c'est elle qui organise l'élection...
Il n'est pas non plus possible d'exiger que la demande vienne uniquement d'un candidat. D'autant moins quand il n'y a qu'une seule liste de candidats et que c'est elle qui organise l'élection...
Ligne 119 : Ligne 121 :
Ça ne serait que justice vu que les présents et représentés votent de façon publique (on peut ergoter sur une personne qui vote 2 POUR et 1 CONTRE parce qu'il a 2 procurations et dont alors on ne sait pas qui a voté quoi, ceci dit c'est marginal en pratique).
Ça ne serait que justice vu que les présents et représentés votent de façon publique (on peut ergoter sur une personne qui vote 2 POUR et 1 CONTRE parce qu'il a 2 procurations et dont alors on ne sait pas qui a voté quoi, ceci dit c'est marginal en pratique).


En contrepartie, cela empêche probablement ces personnes présentes ou représentées de voter à bulletins secrets, alors qu'il pourraient pourtant le faire de façon contrôlable.
En contrepartie, cela empêche probablement ces personnes présentes ou représentées de voter à bulletin secret, alors qu'elles pourraient pourtant le faire de façon contrôlable.


=== l) Alors toujours, des bulletins toujours publics ou rendus publics sur « demande » ? ===
=== l) Alors toujours, des bulletins toujours publics ou rendus publics sur « demande » ? ===


C'est tout autant acceptable comme solution a priori : il s'agit d'évaluer si souvent quelqu'un va demander à exercer son droit de contrôle. Dans l'idéal, ce serait mieux que soit toujours le cas en fait, ça montrerait que les électeurs pensent que le scrutin est important. Si on pense que ce n'est pas le cas souvent, ça apaise peut-être un peu l'association d'avoir des bulletins secrets, ou pas.
C'est tout autant acceptable comme solution à priori : il s'agit d'évaluer si souvent quelqu'un va demander à exercer son droit de contrôle. Dans l'idéal, ce serait mieux que soit toujours le cas en fait, ça montrerait que les électeurs pensent que le scrutin est important. Si on pense que ce n'est pas le cas souvent, ça apaise peut-être un peu l'association d'avoir des bulletins secrets, ou pas.


Dans tous les cas il faut préciser à chaque votant que son bulletin n'est pas secret dans l'absolu.
Dans tous les cas il faut préciser à chaque votant que son bulletin n'est pas secret dans l'absolu.
Ligne 135 : Ligne 137 :
Pour être démocratique, il faudrait effectivement demander leur avis aux gens.  D'où le choix d'une discussion initiée en assemblée générale du type « acceptez-vous que lors des prochains votes en assemblée générale normale ou extraordinaire, les bulletins de vote soient publiés ? », avec un choix expliqué entre :
Pour être démocratique, il faudrait effectivement demander leur avis aux gens.  D'où le choix d'une discussion initiée en assemblée générale du type « acceptez-vous que lors des prochains votes en assemblée générale normale ou extraordinaire, les bulletins de vote soient publiés ? », avec un choix expliqué entre :
* les bulletins de vote sont publiés, donc le vote est contrôlable, par contre le climat interne peut l'être nettement moins. L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques, jusqu'au prochain vote sur le sujet.
* les bulletins de vote sont publiés, donc le vote est contrôlable, par contre le climat interne peut l'être nettement moins. L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques, jusqu'au prochain vote sur le sujet.
* les bulletins de vote ne sont pas publiés, retour à la case départ, les votes ne sont pas contrôlables, il faut faire confiance au conseil d'administration.  L'AG souveraine choisit peu de contrôle et des opinions laissées personnelles, jusqu'au prochain vote sur le sujet.
* les bulletins de vote ne sont pas publiés, retour à la case départ, les votes ne sont pas totalement contrôlables, il faut faire confiance au conseil d'administration.  L'AG souveraine choisit peu de contrôle et des opinions laissées personnelles, jusqu'au prochain vote sur le sujet.


=== o) Et concernant la contestation donc ? ===
=== o) Et concernant la contestation donc ? ===


Si les bulletins sont publics, encadrer la contestation se limite à définir la période de temps durant laquelle elle est possible dans le cadre normal de l'association (par exemple une semaine). Ceci n'empêchant par ailleurs quelqu'un de saisir une entité externe type préfecture pendant bien plus longtemps...
Si les bulletins sont publics, encadrer la contestation se limite à définir la période de temps durant laquelle elle est possible dans le cadre normal de l'association (par exemple une semaine). Ceci n'empêchant par ailleurs pas quelqu'un de saisir une entité externe type préfecture pendant bien plus longtemps...


Si les bulletins sont secrets, il ne reste au conseil d'administration, aux permanents et aux administrateurs systèmes qu'à plaider la bonne foi, éventuellement montrer des logs de connexion sur le serveur (problème de données nominatives avec IP + heure et identifiant April) ou organiser un nouveau scrutin sans vote électronique. Une période de contestation d'une semaine ferait aussi l'affaire.
Si les bulletins sont secrets, il ne reste au conseil d'administration, aux permanents et aux administrateurs systèmes qu'à plaider la bonne foi, éventuellement montrer des logs de connexion sur le serveur (problème de données nominatives avec IP + heure et identifiant April) ou organiser un nouveau scrutin sans vote électronique. Une période de contestation d'une semaine ferait aussi l'affaire.
Ligne 149 : Ligne 151 :
=== p) « Solution » technique, round 1 ===
=== p) « Solution » technique, round 1 ===


Ne pourrait-on pas publier la liste des votes en associant à chacun non pas le nom du votant mais à un identifiant unique qui serait transmise par courriel à l'adhérent sans que l'association entre cet identifiant et l'adhérent ne soit enregistrée sur notre serveur ? Ce faisant, chaque adhérent - et seulement lui
Ne pourrait-on pas publier la liste des votes en associant à chacun non pas le nom du votant mais à un identifiant unique qui serait transmis par courriel à l'adhérent sans que l'association entre cet identifiant et l'adhérent ne soit enregistrée sur notre serveur ? Ce faisant, chaque adhérent - et seulement lui - serait en mesure de vérifier que son vote a bien été pris en compte sans altération ?
- serait en mesure de vérifier que son vote a bien été pris en compte sans altération ?


(Objection valable pour toute autre « solution » technique du genre.)
(Objection valable pour toute autre « solution » technique du genre.)
Ligne 172 : Ligne 173 :
#Gagnant par fraude : NON.
#Gagnant par fraude : NON.


On notera d'ailleurs que pour frauder ainsi il faut connaître qui a voté quoi, et justement le vote électronique le permet au fraudeur...
On notera d'ailleurs que pour frauder ainsi il faut connaître qui a voté quoi, mais le vote électronique le permet au fraudeur.
On notera surtout que l'utilisation d'un logiciel libre et donc auditable, dans le cadre d'un processus électoral structuré, permet de réduire quasiment à néant la possibilité de ce genre de fraude. Il est possible, en particulier dans le cadre d'une associaton au sein de laquelle les compétences informatiques abondent, de garantir que :
* Le code de l'application génère bien un identifiant anonyme unique.
* Le code utilisé lors du vote est bien le code audité.
* Le compilateur n'a pas été trafiqué.
La fraude évoquée est donc un cas d'école théorique intéressant, sa mise en oeuvre pratique dans le cas d'élection en ligne à l'April est d'une improbabilité extrêmement élevée.


Détection possible : que A, B et C discutent et apprennent qu'ils ont tous le même identifiant annoncé.
Détection possible : que A, B et C discutent et apprennent qu'ils ont tous le même identifiant annoncé.
Ligne 178 : Ligne 184 :
Or, rappelons le, l'April est présente sur tout le territoire français, ainsi que dans de nombreux pays étrangers.
Or, rappelons le, l'April est présente sur tout le territoire français, ainsi que dans de nombreux pays étrangers.


Ce type de solution n'amène donc finalement rien, sauf à avoir confiance dans l'organisateur au point de ne pas contrôler. Elle donne juste l'illusion que c'est mieux en ajoutant une couche technique de plus.
Ce type de solution n'amène donc pas une certitude absolue (aucun scrutin, quelque soit sa matérialité, n'offre de certitude absolue) mais il renforce considérablement la confiance que l'on peut accorder au scrutin, en particulier dans le cadre d'une élection aprilienne.


=== q) « Solution » technique, round 2 ===
=== q) « Solution » technique, round 2 ===
Ligne 187 : Ligne 193 :
* De plus, cela n'empêche pas de bourrer l'urne avec des votes fictifs XXX5, XXX6, etc. dans la limite de ce que permet la participation au scrutin.  
* De plus, cela n'empêche pas de bourrer l'urne avec des votes fictifs XXX5, XXX6, etc. dans la limite de ce que permet la participation au scrutin.  


Dans l'hypothèse où nous supposons que les courriels envoyés au votant et à la liste sont identiques (ce qui peut se faire par des méthodes cryptographiques), il faudrait alors en plus publier la liste des inscrits et leur statut de votant ou non pour que chacun vérifie si l'urne n'a pas été trop bourrée, en comptant sur le fait que chacun vérifiera son vote.
Dans l'hypothèse où nous supposons que les courriels envoyés au votant et à la liste sont identiques (ce qui peut se faire par des méthodes cryptographiques), il faudrait alors en plus publier la liste des inscrits et leur statut de votant ou non pour que chacun vérifie si l'urne n'a pas été bourrée, en comptant sur le fait que chacun vérifiera son vote.


Cependant, il est probable d'une part que les non-votants ne vont pas vérifier le scrutin. D'autre part, nous ne pouvons raisonnablement supposer qu'une méthode de vérification du scrutin basée sur l'hypothèse que 100% des votants comprennent la cryptographie et s'en servent pour vérifier leur vote soit recevable. En pratique, le niveau d'instruction et de participation requis pour rendre possible une telle vérification n'est pas acceptable.
Cependant, il est probable d'une part que les non-votants ne vont pas vérifier le scrutin. D'autre part, nous ne pouvons raisonnablement supposer qu'une méthode de vérification du scrutin basée sur l'hypothèse que 100% des votants comprennent la cryptographie et s'en servent pour vérifier leur vote soit recevable. En pratique, le niveau d'instruction et de participation requis pour rendre possible une telle vérification n'est pas acceptable.


Encore une fois, ce type de solution n'amène donc finalement rien, sauf à avoir confiance dans un système incontrôlable. Elle donne ainsi juste l'illusion que c'est mieux en ajoutant une couche technique de plus.
Ce type de solution n'amène donc pas de plus-value décisive par rapport à la solution technique 1.


== Discussion sur la liste des membres ==
== Discussions ==


Il en ressort 3 attitudes majeures :
Voir la [[Discuter:Discussion_vote_électronique|page idoine]].
* acceptation d'un vote public ;
* acceptation d'une confiance aveugle dans les organisateurs du scrutin (« tant que nous n'auront qu'une liste unique, le risque reste faible. ») ;
* recherche de solution technique pour protéger l'anonymat ; chaque fois réfutée sur la base des points p) et q) de l'argumentaire ou d'une variation.


Néanmoins, aucune tendance de fond ne semble se dégager. Le problème demeure ouvert.
== Liens ==


== Discussion lors de l'AG et restitution ==
* [http://www.april.org/le-vote-electronique-en-quoi-le-logiciel-libre-nest-pas-la-solution-conference-de-benoit-sibaud Le vote électronique. En quoi le logiciel libre n'est pas la solution ? Conférence de Benoît Sibaud]
 
Nous avons débattu de cette question dimanche dernier lors du week end
membres. Je n'ai pas pris de notes précises, mais je restitue les
points qui me sont restés à l'esprit ; n'hésitez pas à enrichir le
débat.
François
 
=== La question de la protection de l'anonymat ===
 
Il est clairement apparu au cours des débats que la possibilité de voter anonymement est importante. La grande majorité des présents se sont prononcés en faveur d'une protection de l'anonymat.
 
''Pourtant, en AG ne votons nous pas à main levée ?''
 
Certes, nous votons à main levée et étant donnés le temps imparti, il serait en pratique difficile de voter dans une urne.
 
Ceci étant, d'une part, le public qui se déplace en AG physique n'est pas le même que celui qui vote à distance. On peut supposer que ce dernier est en moyenne plus impliqué dans la vie de l'association et d'une façon assez favorable. Les abstentions ou votes contre sont en pratique assez rare dans l'assistance : les chiffres (que je n'ai pas sous la main) devraient assez bien le montrer. Aussi, et ceux que j'ai personnellement vécu étaient plutôt sur un ton de provocation amicale que de réelle contestation de fond.
 
D'autre part, l'AG n'est pas forcément le lieu le plus sympathique pour exprimer un mécontentement, et pourrait ne pas l'être ''du tout'' en cas de litige grave. Si nous voulons garantir que chacun puisse exprimer librement un mécontentement, il semble intéressant dans ce cas de permettre ''au moins un'' mode de scrutin qui garantisse l'anonymat. Cette modalité est actuellement offerte par le vote électronique, est n'est pas facile à remplacer par une autre (coût, logistique, etc.).
 
De surcroît, la question de la traçabilité dans le temps des scrutins se pose différemment dans le cas d'un vote à main levée et dans le cas d'un scrutin électronique. Même dans le cas d'éventuelles photos ou vidéos, l'exploitabilité des informations ne sera jamais parfaite, contrairement au cas du scrutin électronique. Le problème ne se pose pas dans les mêmes termes.
 
=== Nécessité de la simplicité opérationnelle. ===
 
Il est important que la procédure de vote soit suffisamment simple, de sorte qu'elle soit compréhensible par tous et qu'elle ne nécessite pas une main d'oeuvre démesurée. Actuellement la plateforme technique est gérée par 2-3 personnes, et quand nous observons notre difficulté à solliciter des contribution techniques dans d'autres domaines (site web, adminsys), nous imaginons bien que des systèmes de vote compliqués, avec une multiplication des rôles (assesseurs, vérificateurs, etc.) pourraient être mis à mal pour cause de manque de contributeurs ; en plus d'être invérifiable sans se faire des noeuds au cerveau.
 
=== Peut on trouver un équilibre entre anonymat et contrôle du scrutin en garantissant une sorte de vérifiabilité conditionnelle ? ===
 
Étant donné l'écrasante majorité de personnes présentes en faveur de l'anonymat, j'ai repensé pendant la discussion au point j) dans le courriel original (Et si les bulletins de vote électronique restaient secret jusqu'à ce que « une demande » soit formulée ?), et à comment pallier ses inconvénients. Personnellement je suis assez favorable depuis le début à ce genre de technique, même si ça soulève bien sûr des questions d'organisation.
 
Une proposition que je fais, à discuter bien sûr, pourrait être la suivante : créer un conseil de surveillance du scrutin. Le rôle de ce conseil serait de :
* Jouer le rôle d'assesseur sur la plateforme de vote pour observer qu'elle est correctement administrée. Cela ne protège pas d'une plateforme corrompue mais ça limite une partie des risques liés à l'administration.
* Recueillir les contestations et discuter/décider d'une éventuelle ouverture du scrutin le cas échéant.
 
Cela suppose que le système technique permette de lever l'anonymat, et alors il faut dans ce cas préciser à chaque votant que son bulletin n'est pas secret dans l'absolu. Il n'est d'ailleurs jamais secret pour les administrateurs avec ce type de solution.
 
La composition d'un tel conseil devrait être simple, en mélangeant des personnes très informées de la vie de l'association (même s'il y a un risque de conflit d'intérêt) avec des personnes plus distantes. Cela pourrait être par exemple la somme de :
* les anciens présidents de l'association ;
* le délégué général ;
* le président de la liste sortante ;
* autant de membres sélectionnés au hasard que nécessaire pour diluer l'influence des seules personnes parties prenantes au vote  et garantir de la rigueur dans l'examen des requêtes. Par exemple s'il y a 2 anciens présidents + 1 DG + 1 prez, on pourrait tirer au sort 4 ou 5 personnes.
 
Il me semble que ce type de solution :
* Apporte la notion d'assesseur qui, même si elle est limitée en matière de sécurité, est un plus par rapport à la situation actuelle.
* Protège par défaut l'anonymat des votants en ligne.
* Permet à quiconque de contester avec ou sans base argumentaire le déroulement du scrutin, sans nécessité de quorum.
* N'est pas très coûteux en matière d'organisation.
* Donne des garanties limitées mais sérieuses en la matière.
 
Questions/réponses que j'improvise (ou pas) à ce sujet.
 
==== Qui pourrait faire une demande ? ====
 
Tout adhérent en situation de voter peut saisir le conseil qui répondrait à la demande. La question et la réponse (argumentée) seraient liées au CR/PV d'assemblée.
 
==== Est-il besoin d'exiger la requête de XX% ou YY% pour éviter par exemple que sur la volonté d'un seul électeur, le scrutin devienne systématiquement publié ? ====
 
Non, la décision appartient au conseil seul, qui est censé la prendre de façon transparente.
 
==== Un groupe de personnes n'est jamais neutre, et vous ne garantissez pas ainsi la garantie d'un scrutin sincère !====
 
Certes, un groupe de personnes n'est jamais neutre. Mais la responsabilité du conseil ne serait pas de trancher l'élection. Ce serait seulement de décider d'ouvrir le scrutin pour permettre la vérifiabilité de l'élection. Si la procédure de décision est transparente et si les membres du conseil ne sont pas parties prenantes, nous pouvons supposer que dans une structure comme l'April il n'y ait pas un grand risque de masquage de l'information.

Dernière version du 1 février 2014 à 16:19


Important : ce texte est une proposition soumise à discussion et ne reflète pas actuellement une décision du conseil d'administration. Il découle de demandes d'adhérents lors des différentes assemblées générales et de discussions au sein du conseil d'administration.

Résumé[modifier]

L'April est aujourd'hui une association d'envergure transnationale. En effet, outre le fait que la totalité des 101 départements français (96 métropolitains et 5 en outre-mer) sont couverts par l'association, plus de 350 membres vivent en dehors de la France métropolitaine et d'outre-mer.

L'association a fait le choix, pour ses assemblées générales, d'une démocratie directe, avec un quorum requis élevé. Un tel choix porte les valeurs d'une volonté forte de participation des membres de l'association. L'expérience montre que nous avons eu raison, avec 44% de participation à l'assemblée générale de 2009 (pour un quorum de 30%).

Les possibilités pour la participation au vote sont les suivantes :

  • se déplacer sur place pour l'assemblée générale (AG) ;
  • par procuration ;
  • à distance par correspondance ou par Internet.

L'April n'a, jusqu'ici, pas retenu le vote par correspondance en raison de ses coûts financier et logistique, et par habitude des communications électroniques (IRC, courriel, web, etc.) utilisées quotidiennement dans le cadre de son fonctionnement. Sauf à remettre ce choix en question, le vote par Internet est devenu une nécessité en raison de la dispersion des membres sur la planète et de leur grand nombre, entraînant une impossibilité à les réunir largement. À titre d'exemple, les adhérents présents ou représentés ne représentaient que 3% des votants lors de l'AG 2009, contre 41% pour les votants par Internet.

Dans le scrutin actuel de l'April :

  • les adhérents votant par voie électronique peuvent s'exprimer avant l'AG, s'expriment à bulletin secret et peuvent commenter leur vote ;
  • les adhérents votant sur place peuvent s'exprimer uniquement pendant l'AG, s'expriment en général à bulletin ouvert et en pratique ne commentent pas leur vote ;
  • les adhérents donnant procuration s'en remettent à l'avance à la personne ayant procuration ;

Nous connaissons cependant la réalité des limites posées par le vote électronique. Offrir une telle technologie permettant un vote à la fois non traçable, et à la fois vérifiable par tous, est, à ce jour, un problème sans solution connue. C'est d'ailleurs pourquoi l'April est opposée au vote électronique dans le cadre des élections institutionnelles.

Cf http://www.april.org/position-sur-le-vote-electronique :

« L'association utilise le vote électronique pour ses élections internes :
le vote électronique est problématique lorsque l'anonymat doit être préservé
(si chaque électeur peut vérifier qui a voté quoi, chacun peut vérifier que 
son vote est bien pris en compte correctement et contrôler le déroulement de
l'élection) ; dans les cas où le vote à main levée est acceptable, le vote
électronique est possible (les administrateurs du système peuvent donc 
savoir ce que chacun a voté et les votants doivent donc avoir confiance en
eux). Par ailleurs les enjeux ne sont pas du tout comparables. »

Le conseil d'administration ou l'organisateur de l'élection contrôle la liste électorale et le scrutin électronique : des candidats sont administrateurs systèmes sur les serveurs utilisés pour l'élection et supervisent directement ou indirectement l'annonce du résultat de l'élection.

Dans un scrutin électronique, nous considérons en l'état que la seule façon de contrôler le scrutin est de rendre public les bulletins (voir explications plus bas).

La question qui doit se poser aux adhérents, en toute connaissance de cause, est de choisir entre contrôle de l'élection et anonymat des bulletins ; c'est-à-dire de choisir entre la proposition

« Est-ce que je souhaite que mon vote soit gardé secret, mais alors je fais
confiance au conseil d'administration sur la sincérité du scrutin et 
j'accepte de ne pas pouvoir contrôler le scrutin moi-même ? »

et la proposition

« Est-ce que j'accepte que mon vote soit rendu public, car je veux m'assurer
de la sincérité du scrutin et pouvoir le contrôler moi-même, et que c'est le
prix à payer pour cela ? »

Explications ayant mené au texte[modifier]

a) Contrôle ou examen ?[modifier]

Le choix du terme « contrôle » plutôt que vérification ou examen : il s'agit bien de contrôle, pas d'examen. Les citoyens (ici les adhérents à jour de cotisation) sont aussi les garants d'une élection et de la sincérité du scrutin.

b) Pourquoi une telle méfiance ?[modifier]

Une volonté d'un adhérent de contrôler l'élection ne doit pas être vue comme l'œuvre d'un adhérent mal léché voulant agresser l'association. Il n'est pas bon signe que le « pouvoir » se méfie des « citoyens ». En France, n'importe quel citoyen peut dans une élection institutionnelle consulter la liste électorale, tenir le bureau de vote, assister au scrutin toute la journée, être scrutateur le soir, dépouiller, inscrire ses remarques sur le procès verbal, contester le vote devant la juridiction concernée (tribunal administratif, préfecture, conseil constitutionnel, etc. suivant les cas).

c) Le secret du bulletin est-il garanti avec le vote électronique ?[modifier]

Le bulletin électronique n'est jamais secret pour les administrateurs système. Et justement de ce fait, il est possible de lever l'anonymat sur les votes lorsque c'est « nécessaire ».

d) Peut-on dissocier le scrutin en vote électronique de celui physique lors de l'assemblée générale ?[modifier]

Non le scrutin c'est l'électronique plus la présence physique lors de l'AG. Autrement cela signifierait qu'on commence à avoir des « électeurs de seconde zone ». De fait, 1 vote électronique équivaut 1 vote lors de l'AG, et frauder sur l'une ou l'autre est équivalent dans l'effet. Dit autrement, si je vote en électronique, je dois avoir confiance dans les bulletins lors de l'AG et leur comptage. Si je vote lors de l'AG, je dois avoir confiance dans les bulletins électroniques et leur comptage.

e) Pourquoi ne parle-t-on jamais de lever le secret sur le bulletin dans un scrutin papier ou à main levée ?[modifier]

Dans un scrutin à main levée, tout le monde sait qui a voté quoi. Donc il n'y a pas de secret à lever.

Par ailleurs, la levée du secret dans le cadre d'un scrutin papier est jugée démocratiquement mauvaise car elle laisse une porte inutilement ouverte aux pressions, aux ventes de bulletin avec vérification, etc.

Certain pensent aussi que cela n'est pas utile, tout électeur pouvant soit-disant contrôler lui même le scrutin : il peut toujours surveiller tous les bulletins de son bureau de vote, il peut les recompter. Il suffit de penser aux multiples cas de fraude électorale lors d'élections avec des bulletins papier pour comprendre qu'il s'agit là d'une vision enchantée des choses. Le scrutin papier n'offre pas de garantie absolue en terme de transparence. De manière générale la transparence est beaucoup moins liée à la matérialité du support du vote qu'au processus qui l'entoure.

f) Pourquoi parle-t-on de lever le secret sur le bulletin dans un scrutin électronique alors ?[modifier]

Dans le cadre institutionnel, rien n'est prévu dans ce sens pour la simple raison que le vote électronique n'y est pas actuellement considéré comme ayant des défauts. Ainsi, une confiance quasi absolue est accordée aux ordinateurs de vote certifiés par l'autorité compétente. Aussi, la possibilité de recomptage a été supprimée en pratique. L'April s'oppose logiquement en conséquence à l'utilisation de scrutins électroniques dans ces conditions.

Dans un scrutin électronique, dématérialisé, si le « qui a voté quoi » n'est pas public, le scrutin n'est pas totalement contrôlable : quelqu'un peut changer, ajouter ou retirer des bulletins (ce qui arrive aussi avec des scrutins papier). Comment donner la confiance et le contrôle à chaque électeur ? La seule façon d'arriver a une certitude est de montrer qui a voté quoi, et donc de permettre à chacun de vérifier son vote et à tous de recompter. En levant l'anonymat, chacun peut vérifier et recompter. Et ce quel que soit son niveau d'instruction ou d'éducation par ailleurs.

Ainsi, le but en soi n'est pas de savoir « qui a voté quoi » mais de contrôler le vote. Et pour cela, il faut savoir « qui a voté quoi ».

g) Du coup c'est quoi le problème ?[modifier]

L'April ne peut pas à la fois tenir les trois discours suivants :

  • pour être démocratique, il faut que les électeurs puissent contrôler l'élection ;
  • le vote électronique n'est pas contrôlable sauf si les votes sont publics ;
  • pour être démocratique, il faut que les électeurs puissent voter à bulletin secret.

On voit rapidement qu'il y a souci, et qu'il faut proposer une solution en choisissant ce que l'on accepte de relâcher comme contrainte, entre bulletin secret, contrôle par les adhérents et vote électronique. Par ailleurs, nous pouvons faire les remarques suivantes :

  • Il n'est pas sûr du tout que l'on puisse abandonner facilement le vote électronique (coût, logistique, etc.).
  • Il faut différencier l'opacité du vote électronique avec des machines à voter et le vote en ligne à l'aide d'un logiciel libre et auditable.
  • Il faut différencier le vote institutionnel et le vote pour une association.
  • La solution de vote par correspondance, pose également plein de problèmes.
  • L'April n'est pas de taille à pouvoir organiser des scrutins papiers décentralisés sur tout le territoire.

Il n'est cependant pas suffisant de dire « faites nous confiance, on est des gens sympas », parce que si un jour il y a un litige, il faudra trouver autre chose comme excuse.

h) Peut-on s'asseoir sur le problème ?[modifier]

Ça ne serait pas éthique.

Ça ne serait pas judicieux, il faudra savoir quoi répondre le jour où quelqu'un contestera une des élections de l'assemblée générale, et il faudra assumer ce qui aura été fait ou non pour gérer cette situation ce jour-là. Il est possible qu'en cas de litige (devant l'association ou bien par recours à une autorité extérieure type préfecture), il soit nécessaire de lever le secret du vote électronique pour montrer l'absence de fraude.

i) Quand le secret du bulletin pourrait il être levé ?[modifier]

Le secret du bulletin de vote électronique ne peut être levé avant le vote le jour de l'assemblée générale, sinon les votants présents et représentés sont influencés (et/ou découragés de voter si le quorum est atteint ou que le résultat est sans appel).

j) Et si les bulletins de vote électronique restaient secrets jusqu'à ce que « une demande » soit formulée ?[modifier]

D'abord il faut définir qui peut faire « une demande ».

On peut penser que pour éviter que sur la volonté d'un seul électeur, le scrutin soit systématiquement publié, il faut conditionner la satisfaction de la demande à la requête d'un certain pourcentage des adhérents à jour de cotisation et/ou il faut prévoir d'autres conditions de justification.

En fait il semble important de permettre à chacun le contrôle sans exiger de motivation. C'est donc un autre droit légitime qu'une telle pratique viendrait à affaiblir.

Par ailleurs définir un pourcentage d'adhérents est problématique : exiger de réunir ce pourcentage des électeurs implique de prolonger le délai de contestation/contrôle. Et pourquoi les électeurs présents ou représentés lors de l'AG ne pourraient pas à eux seuls justifier la levée le secret (alors qu'ils sont au final peu dans l'absolu et en pourcentage) ? Le gain du pourcentage est faible par rapport aux problèmes qu'il va soulever.

Il n'est pas non plus possible d'exiger que la demande vienne uniquement d'un candidat. D'autant moins quand il n'y a qu'une seule liste de candidats et que c'est elle qui organise l'élection...

Enfin il faut prévoir quand et pendant combien de temps « la demande » peut être faite.

k) À l'inverse, et si les bulletins de vote électronique ne restaient secrets que jusqu'à ce que le vote durant l'assemblée générale ait eu lieu ?[modifier]

Ça ne serait que justice vu que les présents et représentés votent de façon publique (on peut ergoter sur une personne qui vote 2 POUR et 1 CONTRE parce qu'il a 2 procurations et dont alors on ne sait pas qui a voté quoi, ceci dit c'est marginal en pratique).

En contrepartie, cela empêche probablement ces personnes présentes ou représentées de voter à bulletin secret, alors qu'elles pourraient pourtant le faire de façon contrôlable.

l) Alors toujours, des bulletins toujours publics ou rendus publics sur « demande » ?[modifier]

C'est tout autant acceptable comme solution à priori : il s'agit d'évaluer si souvent quelqu'un va demander à exercer son droit de contrôle. Dans l'idéal, ce serait mieux que soit toujours le cas en fait, ça montrerait que les électeurs pensent que le scrutin est important. Si on pense que ce n'est pas le cas souvent, ça apaise peut-être un peu l'association d'avoir des bulletins secrets, ou pas.

Dans tous les cas il faut préciser à chaque votant que son bulletin n'est pas secret dans l'absolu.

m) Quid de la mémoire du net ?[modifier]

Une fois rendu public, il va se poser la question de la conservation de ses données rendues disponibles à des centaines de geeks prêts à archiver, des clivages lorsque les votants pour ou contre telle liste, approbation ou quitus seront connus, etc.

n) Mais au fait, il ne faudrait pas demander leur avis aux concernés ?[modifier]

Pour être démocratique, il faudrait effectivement demander leur avis aux gens. D'où le choix d'une discussion initiée en assemblée générale du type « acceptez-vous que lors des prochains votes en assemblée générale normale ou extraordinaire, les bulletins de vote soient publiés ? », avec un choix expliqué entre :

  • les bulletins de vote sont publiés, donc le vote est contrôlable, par contre le climat interne peut l'être nettement moins. L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques, jusqu'au prochain vote sur le sujet.
  • les bulletins de vote ne sont pas publiés, retour à la case départ, les votes ne sont pas totalement contrôlables, il faut faire confiance au conseil d'administration. L'AG souveraine choisit peu de contrôle et des opinions laissées personnelles, jusqu'au prochain vote sur le sujet.

o) Et concernant la contestation donc ?[modifier]

Si les bulletins sont publics, encadrer la contestation se limite à définir la période de temps durant laquelle elle est possible dans le cadre normal de l'association (par exemple une semaine). Ceci n'empêchant par ailleurs pas quelqu'un de saisir une entité externe type préfecture pendant bien plus longtemps...

Si les bulletins sont secrets, il ne reste au conseil d'administration, aux permanents et aux administrateurs systèmes qu'à plaider la bonne foi, éventuellement montrer des logs de connexion sur le serveur (problème de données nominatives avec IP + heure et identifiant April) ou organiser un nouveau scrutin sans vote électronique. Une période de contestation d'une semaine ferait aussi l'affaire.

Dans tous les cas, il faudra modifier le règlement intérieur pour refléter le choix décidé.

On pourrait aussi interdire à un candidat de gérer le serveur externe de l'élection, interdire à un candidat d'interférer techniquement avec l'élection sur les serveurs April ; mais on ne pourra pas ni le contrôler, ni le garantir par quelqu'un d'autre.

p) « Solution » technique, round 1[modifier]

Ne pourrait-on pas publier la liste des votes en associant à chacun non pas le nom du votant mais à un identifiant unique qui serait transmis par courriel à l'adhérent sans que l'association entre cet identifiant et l'adhérent ne soit enregistrée sur notre serveur ? Ce faisant, chaque adhérent - et seulement lui - serait en mesure de vérifier que son vote a bien été pris en compte sans altération ?

(Objection valable pour toute autre « solution » technique du genre.)

Cela ne marche pas. Pour contrôler le scrutin, il est nécessaire

  1. de connaître la liste de tous les votants,
  2. qu'ils puissent vérifier leur vote,
  3. que je puisse vérifier le mien.

Par exemple, supposons que A, B et C aient voté OUI, et D a voté NON. Gagnant : OUI.

Nous présentons aux 4 la liste suivante :

  • XXX1 OUI
  • XXX2 NON
  • XXX3 NON
  • XXX4 NON
  1. Nous leur disons que A, B, C, D ont voté, donc 4 bulletins.
  2. Nous envoyons à A, B et C « leur » identifiant anonyme XXX1.
  3. Nous envoyons à D « son » identifiant anonyme XXX2.
  4. Nous bourrons le reste de l'urne comme nous souhaitons.
  5. Gagnant par fraude : NON.

On notera d'ailleurs que pour frauder ainsi il faut connaître qui a voté quoi, mais le vote électronique le permet au fraudeur. On notera surtout que l'utilisation d'un logiciel libre et donc auditable, dans le cadre d'un processus électoral structuré, permet de réduire quasiment à néant la possibilité de ce genre de fraude. Il est possible, en particulier dans le cadre d'une associaton au sein de laquelle les compétences informatiques abondent, de garantir que :

  • Le code de l'application génère bien un identifiant anonyme unique.
  • Le code utilisé lors du vote est bien le code audité.
  • Le compilateur n'a pas été trafiqué.

La fraude évoquée est donc un cas d'école théorique intéressant, sa mise en oeuvre pratique dans le cas d'élection en ligne à l'April est d'une improbabilité extrêmement élevée.

Détection possible : que A, B et C discutent et apprennent qu'ils ont tous le même identifiant annoncé.

Or, rappelons le, l'April est présente sur tout le territoire français, ainsi que dans de nombreux pays étrangers.

Ce type de solution n'amène donc pas une certitude absolue (aucun scrutin, quelque soit sa matérialité, n'offre de certitude absolue) mais il renforce considérablement la confiance que l'on peut accorder au scrutin, en particulier dans le cadre d'une élection aprilienne.

q) « Solution » technique, round 2[modifier]

Et si le couple identifiant/vote est en même temps transmis à une adresse témoin telle que elections@april.org, pour vérifier que deux votes n'ont jamais le même identifiant ?

  • Rien ne garantira que les courriels envoyés au votant et à la liste contiendront les mêmes identifiants.
  • De plus, cela n'empêche pas de bourrer l'urne avec des votes fictifs XXX5, XXX6, etc. dans la limite de ce que permet la participation au scrutin.

Dans l'hypothèse où nous supposons que les courriels envoyés au votant et à la liste sont identiques (ce qui peut se faire par des méthodes cryptographiques), il faudrait alors en plus publier la liste des inscrits et leur statut de votant ou non pour que chacun vérifie si l'urne n'a pas été bourrée, en comptant sur le fait que chacun vérifiera son vote.

Cependant, il est probable d'une part que les non-votants ne vont pas vérifier le scrutin. D'autre part, nous ne pouvons raisonnablement supposer qu'une méthode de vérification du scrutin basée sur l'hypothèse que 100% des votants comprennent la cryptographie et s'en servent pour vérifier leur vote soit recevable. En pratique, le niveau d'instruction et de participation requis pour rendre possible une telle vérification n'est pas acceptable.

Ce type de solution n'amène donc pas de plus-value décisive par rapport à la solution technique 1.

Discussions[modifier]

Voir la page idoine.

Liens[modifier]