Discussion vote électronique
Important : ce texte est une proposition soumise à discussion et ne reflète pas actuellement une décision du conseil d'administration. Il découle de demandes d'adhérents lors des différentes assemblées générales et de discussions au sein du conseil d'administration.
Résumé
L'April est aujourd'hui une association d'envergure transnationale. En effet, outre le fait que la totalité des 101 départements français (96 métropolitains et 5 en outre-mer) sont couverts par l'association, plus de 350 membres vivent en dehors de la France métropolitaine et d'outre-mer.
L'association a fait le choix, pour ses assemblées générales, d'une démocratie directe, avec un quorum requis élevé. Un tel choix porte les valeurs d'une volonté forte de participation des membres de l'association. L'expérience montre que nous avons eu raison, avec 44% de participation à l'assemblée générale de 2009 (pour un quorum de 30%).
Les possibilités pour la participation au vote sont les suivantes :
- se déplacer sur place pour l'assemblée générale (AG) ;
- par procuration ;
- à distance par correspondance ou par Internet.
L'April n'a, jusqu'ici, pas retenu le vote par correspondance en raison de ses coûts financier et logistique, et par habitude des communications électroniques (IRC, courriel, web, etc.) utilisées quotidiennement dans le cadre de son fonctionnement. Sauf à remettre ce choix en question, le vote par Internet est devenu une nécessité en raison de la dispersion des membres sur la planète et de leur grand nombre, entraînant une impossibilité à les réunir largement. À titre d'exemple, les adhérents présents ou représentés ne représentaient que 3% des votants lors de l'AG 2009, contre 41% pour les votants par Internet.
Dans le scrutin actuel de l'April :
- les adhérents votant par voie électronique peuvent s'exprimer avant l'AG, s'expriment à bulletin secret et peuvent commenter leur vote ;
- les adhérents votant sur place peuvent s'exprimer uniquement pendant l'AG, s'expriment en général à bulletin ouvert et en pratique ne commentent pas leur vote ;
- les adhérents donnant procuration s'en remettent à l'avance à la personne ayant procuration ;
Nous connaissons cependant la réalité des limites posées par le vote électronique. Offrir une telle technologie permettant un vote à la fois non traçable, et à la fois vérifiable par tous, est, à ce jour, un problème sans solution connue. C'est d'ailleurs pourquoi l'April est opposée au vote électronique dans le cadre des élections institutionnelles.
Cf http://www.april.org/position-sur-le-vote-electronique :
« L'association utilise le vote électronique pour ses élections internes : le vote électronique est problématique lorsque l'anonymat doit être préservé (si chaque électeur peut vérifier qui a voté quoi, chacun peut vérifier que son vote est bien pris en compte correctement et contrôler le déroulement de l'élection) ; dans les cas où le vote à main levée est acceptable, le vote électronique est possible (les administrateurs du système peuvent donc savoir ce que chacun a voté et les votants doivent donc avoir confiance en eux). Par ailleurs les enjeux ne sont pas du tout comparables. »
Le conseil d'administration ou l'organisateur de l'élection contrôle la liste électorale et le scrutin électronique : des candidats sont administrateurs systèmes sur les serveurs utilisés pour l'élection et supervisent directement ou indirectement l'annonce du résultat de l'élection.
Dans un scrutin électronique, nous considérons en l'état que la seule façon de contrôler le scrutin est de rendre public les bulletins (voir explications plus bas).
La question qui doit se poser aux adhérents, en toute connaissance de cause, est de choisir entre contrôle de l'élection et anonymat des bulletins ; c'est-à-dire de choisir entre la proposition
« Est-ce que je souhaite que mon vote soit gardé secret, mais alors je fais confiance au conseil d'administration sur la sincérité du scrutin et j'accepte de ne pas pouvoir contrôler le scrutin moi-même ? »
et la proposition
« Est-ce que j'accepte que mon vote soit rendu public, car je veux m'assurer de la sincérité du scrutin et pouvoir le contrôler moi-même, et que c'est le prix à payer pour cela ? »
Explications ayant menées au texte
a) Contrôle ou examen ?
Le choix du terme « contrôle » plutôt que vérification ou examen : il s'agit bien de contrôle, pas d'examen. Les citoyens (ici les adhérents à jour de cotisation) sont aussi les garants d'une élection et de la sincérité du scrutin.
b) Pourquoi une telle méfiance ?
Une volonté d'un adhérent de contrôler l'élection ne doit pas être vue comme l'oeuvre d'un adhérent mal léché voulant agresser l'association. Il n'est pas bon signe que le « pouvoir » se méfie des « citoyens ». En France, n'importe quel citoyen peut dans une élection institutionnelle consulter la liste électorale, tenir le bureau de vote, assister au scrutin toute la journée, être scrutateur le soir, dépouiller, inscrire ses remarques sur le procès verbal, contester le vote devant la juridiction concernée (tribunal administratif, préfecture, conseil constitutionnel, etc. suivant les cas).
c) Le secret du bulletin est il garanti avec le vote électronique ?
Le bulletin électronique n'est jamais secret pour les administrateurs système. Et justement de ce fait, il est possible de lever l'anonymat sur les votes lorsque c'est « nécessaire ».
d) Peut-on dissocier le scrutin en vote électronique de celui physique lors de l'assemblée générale ?
Non le scrutin c'est l'électronique plus la présence physique lors de l'AG. Autrement cela signifierait qu'on commence à avoir des « électeurs de seconde zone ». De fait, 1 vote électronique équivaut 1 vote lors de l'AG, et frauder sur l'une ou l'autre est équivalent dans l'effet. Dit autrement, si je vote en électronique, je dois avoir confiance dans les bulletins lors de l'AG et leur comptage. Si je vote lors de l'AG, je dois avoir confiance dans les bulletins électroniques et leur comptage.
e) Pourquoi ne parle-t-on jamais de lever le secret sur le bulletin dans un scrutin papier ou à main levée ?
Dans un scrutin à main levée, tout le monde sait qui a voté quoi. Donc il n'y a pas de secret à lever.
Dans un scrutin papier, cela n'est pas utile. Tout électeur peut contrôler lui même le scrutin. Il peut toujours surveiller tous les bulletins de son bureau de vote, il peut les recompter. Parce qu'il peut vérifier que personne ne change, ajoute ou retire des bulletins, il peut avoir confiance dans le scrutin papier.
Par ailleurs, la levée du secret dans le cadre d'un scrutin papier est jugée démocratiquement mauvaise car elle laisse une porte inutilement ouverte aux pressions, aux ventes de bulletin avec vérification, etc.
f) Pourquoi parle-t-on de lever le secret sur le bulletin dans un scrutin électronique alors ?
Dans le cadre institutionnel, rien n'est prévu dans ce sens pour la simple raison que le vote électronique n'y est pas actuellement considéré comme ayant des défauts. Ainsi, une confiance quasi absolue est accordée aux ordinateurs de vote certifiés par l'autorité compétente. Aussi, la possibilité de recomptage a été supprimée en pratique. En revanche, l'April conteste cette perception.
Dans un scrutin électronique, dématérialisé, si le « qui a voté quoi » n'est pas public, le scrutin est incontrôlable : quelqu'un peut changer, ajouter ou retirer des bulletins. Comment donner la confiance et le contrôle à chaque électeur ? La seule façon est de montrer qui a voté quoi, et donc de permettre à chacun de vérifier son vote et à tous de recompter. En levant l'anonymat, chacun peut vérifier et recompter. Et ce quelque soit son niveau d'instruction ou d'éducation par ailleurs.
Ainsi, le but en soi n'est pas de savoir « qui a voté quoi » mais de contrôler le vote. Et pour cela, dans le cas électronique, il faut savoir « qui a voté quoi ».
g) Du coup c'est quoi le problème ?
L'April ne peut pas à la fois tenir les trois discours suivants :
- pour être démocratique, il faut que les électeurs puissent contrôler l'élection ;
- le vote électronique n'est pas contrôlable sauf si les votes sont publics ;
- pour être démocratique, il faut que les électeurs puissent voter à bulletin secret.
On voit rapidement qu'il y a souci, et qu'il faut proposer une solution en choisissant ce que l'on accepte de relâcher comme contrainte, entre bulletin secret, contrôle par les adhérents et vote électronique. Par ailleurs, nous pouvons faire les remarques suivantes :
- Il n'est pas sûr du tout que l'on puisse abandonner facilement le vote électronique (coût, logistique, etc.).
- La solution de vote par correspondance, pose également plein de problèmes.
- L'April n'est pas de taille à pouvoir organiser des scrutins papiers décentralisés sur tout le territoire.
Il n'est cependant pas suffisant de dire « faites nous confiance, on est des gens sympas », parce que si un jour il y a un litige, il faudra trouver autre chose comme excuse.
h) Peut-on s'asseoir sur le problème ?
Ça ne serait pas éthique.
Ça ne serait pas judicieux, il faudra savoir quoi répondre le jour où quelqu'un contestera une des élections de l'assemblée générale, et il faudra assumer ce qui aura été fait ou non pour gérer cette situation ce jour-là. Il est possible qu'en cas de litige (devant l'association ou bien par recours à une autorité extérieure type préfecture), il soit nécessaire de lever le secret du vote électronique pour montrer l'absence de fraude.
i) Quand le secret du bulletin pourrait il être levé ?
Le secret du bulletin de vote électronique ne peut être levé avant le vote le jour de l'assemblée générale, sinon les votants présents et représentés sont influencés (et/ou découragés de voter si le quorum est atteint ou que le résultat est sans appel).
j) Et si les bulletins de vote électronique restaient secret jusqu'à ce que « une demande » soit formulée ?
D'abord il faut définir qui peut faire « une demande ».
On peut penser que pour éviter que sur la volonté d'un seul électeur, le scrutin devienne systématiquement publié, il faut conditionner la demande à XX ou YY% des adhérents à jour de cotisation, et/ou il faut prévoir d'autres conditions de justification.
En fait il semble important de permettre à chacun de permettre le contrôle sans motivation. C'est donc un autre droit légitime qu'une telle pratique viendrait à affaiblir.
Par ailleurs définir le XX ou le YY est problématique : exiger de réunir XX ou YY% électeurs implique de prolonger le délai de contestation/contrôle. Et pourquoi les électeurs présents+représentés lors de l'AG ne pourraient pas à eux seuls lever le secret (alors qu'ils sont au final peu dans l'absolu et en pourcentage) ? Le gain du XX ou YY est faible par rapport aux problèmes qu'il va soulever.
Il n'est pas non plus possible d'exiger que la demande vienne uniquement d'un candidat. D'autant moins quand il n'y a qu'une seule liste de candidats et que c'est elle qui organise l'élection...
Enfin il faut prévoir quand et pendant combien de temps « la demande » peut être faite.
k) À l'inverse, et si les bulletins de vote électronique ne restaient secrets que jusqu'à ce que le vote durant l'assemblée générale ait eu lieu ?
Ça ne serait que justice vu que les présents et représentés votent de façon publique (on peut ergoter sur une personne qui vote 2 POUR et 1 CONTRE parce qu'il a 2 procurations et dont alors on ne sait pas qui a voté quoi, ceci dit c'est marginal en pratique).
En contrepartie, cela empêche probablement ces personnes présentes ou représentées de voter à bulletins secrets, alors qu'il pourraient pourtant le faire de façon contrôlable.
l) Alors toujours, des bulletins toujours publics ou rendus publics sur « demande » ?
C'est tout autant acceptable comme solution a priori : il s'agit d'évaluer si souvent quelqu'un va demander à exercer son droit de contrôle. Dans l'idéal, ce serait mieux que soit toujours le cas en fait, ça montrerait que les électeurs pensent que le scrutin est important. Si on pense que ce n'est pas le cas souvent, ça apaise peut-être un peu l'association d'avoir des bulletins secrets, ou pas.
Dans tous les cas il faut préciser à chaque votant que son bulletin n'est pas secret dans l'absolu.
m) Quid de la mémoire du net ?
Une fois rendu public, il va se poser la question de la conservation de ses données rendues disponibles à des centaines de geeks prêts à archiver, des clivages lorsque les votants pour ou contre telle liste, approbation ou quitus seront connus, etc.
n) Mais au fait, il ne faudrait pas demander leur avis aux concernés ?
Pour être démocratique, il faudrait effectivement demander leur avis aux gens. D'où le choix d'une discussion initiée en assemblée générale du type « acceptez-vous que lors des prochains votes en assemblée générale normale ou extraordinaire, les bulletins de vote soient publiés ? », avec un choix expliqué entre :
- les bulletins de vote sont publiés, donc le vote est contrôlable, par contre le climat interne peut l'être nettement moins. L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques, jusqu'au prochain vote sur le sujet.
- les bulletins de vote ne sont pas publiés, retour à la case départ, les votes ne sont pas contrôlables, il faut faire confiance au conseil d'administration. L'AG souveraine choisit peu de contrôle et des opinions laissées personnelles, jusqu'au prochain vote sur le sujet.
o) Et concernant la contestation donc ?
Si les bulletins sont publics, encadrer la contestation se limite à définir la période de temps durant laquelle elle est possible dans le cadre normal de l'association (par exemple une semaine). Ceci n'empêchant par ailleurs quelqu'un de saisir une entité externe type préfecture pendant bien plus longtemps...
Si les bulletins sont secrets, il ne reste au conseil d'administration, aux permanents et aux administrateurs systèmes qu'à plaider la bonne foi, éventuellement montrer des logs de connexion sur le serveur (problème de données nominatives avec IP + heure et identifiant April) ou organiser un nouveau scrutin sans vote électronique. Une période de contestation d'une semaine ferait aussi l'affaire.
Dans tous les cas, il faudra modifier le règlement intérieur pour refléter le choix décidé.
On pourrait aussi interdire à un candidat de gérer le serveur externe de l'élection, interdire à un candidat d'interférer techniquement avec l'élection sur les serveurs April ; mais on ne pourra pas ni le contrôler, ni le garantir par quelqu'un d'autre.
p) « Solution » technique, round 1
Ne pourrait-on pas publier la liste des votes en associant à chacun non pas le nom du votant mais à un identifiant unique qui serait transmise par courriel à l'adhérent sans que l'association entre cet identifiant et l'adhérent ne soit enregistrée sur notre serveur ? Ce faisant, chaque adhérent - et seulement lui - serait en mesure de vérifier que son vote a bien été pris en compte sans altération ?
(Objection valable pour toute autre « solution » technique du genre.)
Cela ne marche pas. Pour contrôler le scrutin, il est nécessaire
- de connaître la liste de tous les votants,
- qu'ils puissent vérifier leur vote,
- que je puisse vérifier le mien.
Par exemple, supposons que A, B et C aient voté OUI, et D a voté NON. Gagnant : OUI.
Nous présentons aux 4 la liste suivante :
- XXX1 OUI
- XXX2 NON
- XXX3 NON
- XXX4 NON
- Nous leur disons que A, B, C, D ont voté, donc 4 bulletins.
- Nous envoyons à A, B et C « leur » identifiant anonyme XXX1.
- Nous envoyons à D « son » identifiant anonyme XXX2.
- Nous bourrons le reste de l'urne comme nous souhaitons.
- Gagnant par fraude : NON.
On notera d'ailleurs que pour frauder ainsi il faut connaître qui a voté quoi, et justement le vote électronique le permet au fraudeur...
Détection possible : que A, B et C discutent et apprennent qu'ils ont tous le même identifiant annoncé.
Or, rappelons le, l'April est présente sur tout le territoire français, ainsi que dans de nombreux pays étrangers.
Ce type de solution n'amène donc finalement rien, sauf à avoir confiance dans l'organisateur au point de ne pas contrôler. Elle donne juste l'illusion que c'est mieux en ajoutant une couche technique de plus.
q) « Solution » technique, round 2
Et si le couple identifiant/vote est en même temps transmis à une adresse témoin telle que elections@april.org, pour vérifier que deux votes n'ont jamais le même identifiant ?
- Rien ne garantira que les courriels envoyés au votant et à la liste contiendront les mêmes identifiants.
- De plus, cela n'empêche pas de bourrer l'urne avec des votes fictifs XXX5, XXX6, etc. dans la limite de ce que permet la participation au scrutin.
Dans l'hypothèse où nous supposons que les courriels envoyés au votant et à la liste sont identiques (ce qui peut se faire par des méthodes cryptographiques), il faudrait alors en plus publier la liste des inscrits et leur statut de votant ou non pour que chacun vérifie si l'urne n'a pas été trop bourrée, en comptant sur le fait que chacun vérifiera son vote.
Cependant, il est probable d'une part que les non-votants ne vont pas vérifier le scrutin. D'autre part, nous ne pouvons raisonnablement supposer qu'une méthode de vérification du scrutin basée sur l'hypothèse que 100% des votants comprennent la cryptographie et s'en servent pour vérifier leur vote soit recevable. En pratique, le niveau d'instruction et de participation requis pour rendre possible une telle vérification n'est pas acceptable.
Encore une fois, ce type de solution n'amène donc finalement rien, sauf à avoir confiance dans un système incontrôlable. Elle donne ainsi juste l'illusion que c'est mieux en ajoutant une couche technique de plus.
Discussion sur la liste des membres
Il en ressort 3 attitudes majeures :
- acceptation d'un vote public ;
- acceptation d'une confiance aveugle dans les organisateurs du scrutin (« tant que nous n'auront qu'une liste unique, le risque reste faible. ») ;
- recherche de solution technique pour protéger l'anonymat ; chaque fois réfutée sur la base des points p) et q) de l'argumentaire ou d'une variation.
Néanmoins, aucune tendance de fond ne semble se dégager. Le problème demeure ouvert.
Discussion lors de l'AG et restitution
Nous avons débattu de cette question dimanche dernier lors du week end membres. Je n'ai pas pris de notes précises, mais je restitue les points qui me sont restés à l'esprit ; n'hésitez pas à enrichir le débat. François
La question de la protection de l'anonymat
Il est clairement apparu au cours des débats que la possibilité de voter anonymement est importante. La grande majorité des présents se sont prononcés en faveur d'une protection de l'anonymat.
Pourtant, en AG ne votons nous pas à main levée ?
Certes, nous votons à main levée et étant donnés le temps imparti, il serait en pratique difficile de voter dans une urne.
Ceci étant, d'une part, le public qui se déplace en AG physique n'est pas le même que celui qui vote à distance. On peut supposer que ce dernier est en moyenne plus impliqué dans la vie de l'association et d'une façon assez favorable. Les abstentions ou votes contre sont en pratique assez rare dans l'assistance : les chiffres (que je n'ai pas sous la main) devraient assez bien le montrer. Aussi, et ceux que j'ai personnellement vécu étaient plutôt sur un ton de provocation amicale que de réelle contestation de fond.
D'autre part, l'AG n'est pas forcément le lieu le plus sympathique pour exprimer un mécontentement, et pourrait ne pas l'être du tout en cas de litige grave. Si nous voulons garantir que chacun puisse exprimer librement un mécontentement, il semble intéressant dans ce cas de permettre au moins un mode de scrutin qui garantisse l'anonymat. Cette modalité est actuellement offerte par le vote électronique, est n'est pas facile à remplacer par une autre (coût, logistique, etc.).
De surcroît, la question de la traçabilité dans le temps des scrutins se pose différemment dans le cas d'un vote à main levée et dans le cas d'un scrutin électronique. Même dans le cas d'éventuelles photos ou vidéos, l'exploitabilité des informations ne sera jamais parfaite, contrairement au cas du scrutin électronique. Le problème ne se pose pas dans les mêmes termes.
Nécessité de la simplicité opérationnelle.
Il est important que la procédure de vote soit suffisamment simple, de sorte qu'elle soit compréhensible par tous et qu'elle ne nécessite pas une main d'oeuvre démesurée. Actuellement la plateforme technique est gérée par 2-3 personnes, et quand nous observons notre difficulté à solliciter des contribution techniques dans d'autres domaines (site web, adminsys), nous imaginons bien que des systèmes de vote compliqués, avec une multiplication des rôles (assesseurs, vérificateurs, etc.) pourraient être mis à mal pour cause de manque de contributeurs ; en plus d'être invérifiable sans se faire des noeuds au cerveau.
Peut on trouver un équilibre entre anonymat et contrôle du scrutin en garantissant une sorte de vérifiabilité conditionnelle ?
Étant donné l'écrasante majorité de personnes présentes en faveur de l'anonymat, j'ai repensé pendant la discussion au point j) dans le courriel original (Et si les bulletins de vote électronique restaient secret jusqu'à ce que « une demande » soit formulée ?), et à comment pallier ses inconvénients. Personnellement je suis assez favorable depuis le début à ce genre de technique, même si ça soulève bien sûr des questions d'organisation.
Une proposition que je fais, à discuter bien sûr, pourrait être la suivante : créer un conseil de surveillance du scrutin. Le rôle de ce conseil serait de :
- Jouer le rôle d'assesseur sur la plateforme de vote pour observer qu'elle est correctement administrée. Cela ne protège pas d'une plateforme corrompue mais ça limite une partie des risques liés à l'administration.
- Recueillir les contestations et discuter/décider d'une éventuelle ouverture du scrutin le cas échéant.
Cela suppose que le système technique permette de lever l'anonymat, et alors il faut dans ce cas préciser à chaque votant que son bulletin n'est pas secret dans l'absolu. Il n'est d'ailleurs jamais secret pour les administrateurs avec ce type de solution.
La composition d'un tel conseil devrait être simple, en mélangeant des personnes très informées de la vie de l'association (même s'il y a un risque de conflit d'intérêt) avec des personnes plus distantes. Cela pourrait être par exemple la somme de :
- les anciens présidents de l'association ;
- le délégué général ;
- le président de la liste sortante ;
- autant de membres sélectionnés au hasard que nécessaire pour diluer l'influence des seules personnes parties prenantes au vote et garantir de la rigueur dans l'examen des requêtes. Par exemple s'il y a 2 anciens présidents + 1 DG + 1 prez, on pourrait tirer au sort 4 ou 5 personnes.
Il me semble que ce type de solution :
- Apporte la notion d'assesseur qui, même si elle est limitée en matière de sécurité, est un plus par rapport à la situation actuelle.
- Protège par défaut l'anonymat des votants en ligne.
- Permet à quiconque de contester avec ou sans base argumentaire le déroulement du scrutin, sans nécessité de quorum.
- N'est pas très coûteux en matière d'organisation.
- Donne des garanties limitées mais sérieuses en la matière.
Questions/réponses que j'improvise (ou pas) à ce sujet.
Qui pourrait faire une demande ?
Tout adhérent en situation de voter peut saisir le conseil qui répondrait à la demande. La question et la réponse (argumentée) seraient liées au CR/PV d'assemblée.
Est-il besoin d'exiger la requête de XX% ou YY% pour éviter par exemple que sur la volonté d'un seul électeur, le scrutin devienne systématiquement publié ?
Non, la décision appartient au conseil seul, qui est censé la prendre de façon transparente.
Un groupe de personnes n'est jamais neutre, et vous ne garantissez pas ainsi la garantie d'un scrutin sincère !
Certes, un groupe de personnes n'est jamais neutre. Mais la responsabilité du conseil ne serait pas de trancher l'élection. Ce serait seulement de décider d'ouvrir le scrutin pour permettre la vérifiabilité de l'élection. Si la procédure de décision est transparente et si les membres du conseil ne sont pas parties prenantes, nous pouvons supposer que dans une structure comme l'April il n'y ait pas un grand risque de masquage de l'information.