Discussion vote électronique

De April MediaWiki
Aller à la navigationAller à la recherche


Important : ce texte est une proposition soumise à discussion et ne reflète pas actuellement une décision du conseil d'administration. Il découle de demandes d'adhérents lors des différentes assemblées générales et de discussions au sein du conseil d'administration.

Résumé

L'April est aujourd'hui une association d'envergure transnationale. En effet, outre le fait que la totalité des 101 départements français (96 métropolitains et 5 en outre-mer) sont couverts par l'association, plus de 350 membres vivent en dehors de la France métropolitaine et d'outre-mer.

L'association a fait le choix, pour ses assemblées générales, d'une démocratie directe, avec un quorum requis élevé. Un tel choix porte les valeurs d'une volonté forte de participation des membres de l'association. L'expérience montre que nous avons eu raison, avec 44% de participation à l'assemblée générale de 2009 (pour un quorum de 30%).

Les possibilités pour la participation au vote sont les suivantes :

  • se déplacer sur place pour l'assemblée générale (AG) ;
  • par procuration ;
  • à distance par correspondance ou par Internet.

L'April n'a, jusqu'ici, pas retenu le vote par correspondance en raison de ses coûts financier et logistique, et par habitude des communications électroniques (IRC, courriel, web, etc.) utilisées quotidiennement dans le cadre de son fonctionnement. Sauf à remettre ce choix en question, le vote par Internet est devenu une nécessité en raison de la dispersion des membres sur la planète et de leur grand nombre, entraînant une impossibilité à les réunir largement. À titre d'exemple, les adhérents présents ou représentés ne représentaient que 3% des votants lors de l'AG 2009, contre 41% pour les votants par Internet.

Dans le scrutin actuel de l'April :

  • les adhérents votant par voie électronique peuvent s'exprimer avant l'AG, s'expriment à bulletin secret et peuvent commenter leur vote ;
  • les adhérents votant sur place peuvent s'exprimer uniquement pendant l'AG, s'expriment en général à bulletin ouvert et en pratique ne commentent pas leur vote ;
  • les adhérents donnant procuration s'en remettent à l'avance à la personne ayant procuration ;

Nous connaissons cependant la réalité des limites posées par le vote électronique. Offrir une telle technologie permettant un vote à la fois non traçable, et à la fois vérifiable par tous, est, à ce jour, un problème sans solution connue. C'est d'ailleurs pourquoi l'April est opposée au vote électronique dans le cadre des élections institutionnelles.

Cf http://www.april.org/position-sur-le-vote-electronique :

« L'association utilise le vote électronique pour ses élections internes :
le vote électronique est problématique lorsque l'anonymat doit être préservé
(si chaque électeur peut vérifier qui a voté quoi, chacun peut vérifier que 
son vote est bien pris en compte correctement et contrôler le déroulement de
l'élection) ; dans les cas où le vote à main levée est acceptable, le vote
électronique est possible (les administrateurs du système peuvent donc 
savoir ce que chacun a voté et les votants doivent donc avoir confiance en
eux). Par ailleurs les enjeux ne sont pas du tout comparables. »

Le conseil d'administration ou l'organisateur de l'élection contrôle la liste électorale et le scrutin électronique : des candidats sont administrateurs systèmes sur les serveurs utilisés pour l'élection et supervisent directement ou indirectement l'annonce du résultat de l'élection.

Dans un scrutin électronique, nous considérons en l'état que la seule façon de contrôler le scrutin est de rendre public les bulletins (voir explications plus bas).

La question qui doit se poser aux adhérents, en toute connaissance de cause, est de choisir entre contrôle de l'élection et anonymat des bulletins ; c'est-à-dire de choisir entre la proposition

« Est-ce que je souhaite que mon vote soit gardé secret, mais alors je fais
confiance au conseil d'administration sur la sincérité du scrutin et 
j'accepte de ne pas pouvoir contrôler le scrutin moi-même ? »

et la proposition

« Est-ce que j'accepte que mon vote soit rendu public, car je veux m'assurer
de la sincérité du scrutin et pouvoir le contrôler moi-même, et que c'est le
prix à payer pour cela ? »

Explications ayant menées au texte

a) Contrôle ou examen ?

Le choix du terme « contrôle » plutôt que vérification ou examen : il s'agit bien de contrôle, pas d'examen. Les citoyens (ici les adhérents à jour de cotisation) sont aussi les garants d'une élection et de la sincérité du scrutin.

b) Pourquoi une telle méfiance ?

Une volonté d'un adhérent de contrôler l'élection ne doit pas être vue comme l'oeuvre d'un adhérent mal léché voulant agresser l'association. Il n'est pas bon signe que le « pouvoir » se méfie des « citoyens ». En France, n'importe quel citoyen peut dans une élection institutionnelle consulter la liste électorale, tenir le bureau de vote, assister au scrutin toute la journée, être scrutateur le soir, dépouiller, inscrire ses remarques sur le procès verbal, contester le vote devant la juridiction concernée (tribunal administratif, préfecture, conseil constitutionnel, etc. suivant les cas).

c) Le secret du bulletin est il garanti avec le vote électronique ?

Le bulletin électronique n'est jamais secret pour les administrateurs système. Et justement de ce fait, il est possible de lever l'anonymat sur les votes lorsque c'est « nécessaire ».

d) Peut-on dissocier le scrutin en vote électronique de celui physique lors de l'assemblée générale ?

Non le scrutin c'est l'électronique plus la présence physique lors de l'AG. Autrement cela signifierait qu'on commence à avoir des « électeurs de seconde zone ». De fait, 1 vote électronique équivaut 1 vote lors de l'AG, et frauder sur l'une ou l'autre est équivalent dans l'effet. Dit autrement, si je vote en électronique, je dois avoir confiance dans les bulletins lors de l'AG et leur comptage. Si je vote lors de l'AG, je dois avoir confiance dans les bulletins électroniques et leur comptage.

e) Pourquoi ne parle-t-on jamais de lever le secret sur le bulletin dans un scrutin papier ou à main levée ?

Dans un scrutin à main levée, tout le monde sait qui a voté quoi. Donc il n'y a pas de secret à lever.

Par ailleurs, la levée du secret dans le cadre d'un scrutin papier est jugée démocratiquement mauvaise car elle laisse une porte inutilement ouverte aux pressions, aux ventes de bulletin avec vérification, etc.

Certain pensent aussi que cela n'est pas utile, tout électeur pouvant soit-disant contrôler lui même le scrutin : il peut toujours surveiller tous les bulletins de son bureau de vote, il peut les recompter. Il suffit de penser aux multiples cas de fraude électorale lors d'élections avec des bulletins papier pour comprendre qu'il s'agit là d'une vision enchantée des choses. Le scrutin papier n'offre pas de garantie absolue en terme de transparence. De manière générale la transparence est beaucoup moins liée à la matérialité du support du vote qu'au processus qui l'entoure.

f) Pourquoi parle-t-on de lever le secret sur le bulletin dans un scrutin électronique alors ?

Dans le cadre institutionnel, rien n'est prévu dans ce sens pour la simple raison que le vote électronique n'y est pas actuellement considéré comme ayant des défauts. Ainsi, une confiance quasi absolue est accordée aux ordinateurs de vote certifiés par l'autorité compétente. Aussi, la possibilité de recomptage a été supprimée en pratique. L'April s'oppose logiquement en conséquence à l'utilisation de scrutins électroniques dans ces conditions.

Dans un scrutin électronique, dématérialisé, si le « qui a voté quoi » n'est pas public, le scrutin n'est pas totalement contrôlable : quelqu'un peut changer, ajouter ou retirer des bulletins (ce qui arrive aussi avec des scrutins papier). Comment donner la confiance et le contrôle à chaque électeur ? La seule façon d'arriver a une certitude est de montrer qui a voté quoi, et donc de permettre à chacun de vérifier son vote et à tous de recompter. En levant l'anonymat, chacun peut vérifier et recompter. Et ce quelque soit son niveau d'instruction ou d'éducation par ailleurs.

Ainsi, le but en soi n'est pas de savoir « qui a voté quoi » mais de contrôler le vote. Et pour cela, il faut savoir « qui a voté quoi ».

g) Du coup c'est quoi le problème ?

L'April ne peut pas à la fois tenir les trois discours suivants :

  • pour être démocratique, il faut que les électeurs puissent contrôler l'élection ;
  • le vote électronique n'est pas contrôlable sauf si les votes sont publics ;
  • pour être démocratique, il faut que les électeurs puissent voter à bulletin secret.

On voit rapidement qu'il y a souci, et qu'il faut proposer une solution en choisissant ce que l'on accepte de relâcher comme contrainte, entre bulletin secret, contrôle par les adhérents et vote électronique. Par ailleurs, nous pouvons faire les remarques suivantes :

  • Il n'est pas sûr du tout que l'on puisse abandonner facilement le vote électronique (coût, logistique, etc.).
  • Il faut différencier l'opacité du vote électronique avec des machines à voter et le vote en ligne à l'aide d'un logiciel libre et auditable.
  • Il faut différencier le vote institutionnel et le vote pour une association.
  • La solution de vote par correspondance, pose également plein de problèmes.
  • L'April n'est pas de taille à pouvoir organiser des scrutins papiers décentralisés sur tout le territoire.

Il n'est cependant pas suffisant de dire « faites nous confiance, on est des gens sympas », parce que si un jour il y a un litige, il faudra trouver autre chose comme excuse.

h) Peut-on s'asseoir sur le problème ?

Ça ne serait pas éthique.

Ça ne serait pas judicieux, il faudra savoir quoi répondre le jour où quelqu'un contestera une des élections de l'assemblée générale, et il faudra assumer ce qui aura été fait ou non pour gérer cette situation ce jour-là. Il est possible qu'en cas de litige (devant l'association ou bien par recours à une autorité extérieure type préfecture), il soit nécessaire de lever le secret du vote électronique pour montrer l'absence de fraude.

i) Quand le secret du bulletin pourrait il être levé ?

Le secret du bulletin de vote électronique ne peut être levé avant le vote le jour de l'assemblée générale, sinon les votants présents et représentés sont influencés (et/ou découragés de voter si le quorum est atteint ou que le résultat est sans appel).

j) Et si les bulletins de vote électronique restaient secrets jusqu'à ce que « une demande » soit formulée ?

D'abord il faut définir qui peut faire « une demande ».

On peut penser que pour éviter que sur la volonté d'un seul électeur, le scrutin soit systématiquement publié, il faut conditionner la satisfaction de la demande à la requête d'un certain pourcentage des adhérents à jour de cotisation et/ou il faut prévoir d'autres conditions de justification.

En fait il semble important de permettre à chacun le contrôle sans exiger de motivation. C'est donc un autre droit légitime qu'une telle pratique viendrait à affaiblir.

Par ailleurs définir un pourcentage d'adhérents est problématique : exiger de réunir ce pourcentage des électeurs implique de prolonger le délai de contestation/contrôle. Et pourquoi les électeurs présents ou représentés lors de l'AG ne pourraient pas à eux seuls justifier la levée le secret (alors qu'ils sont au final peu dans l'absolu et en pourcentage) ? Le gain du pourcentage est faible par rapport aux problèmes qu'il va soulever.

Il n'est pas non plus possible d'exiger que la demande vienne uniquement d'un candidat. D'autant moins quand il n'y a qu'une seule liste de candidats et que c'est elle qui organise l'élection...

Enfin il faut prévoir quand et pendant combien de temps « la demande » peut être faite.

k) À l'inverse, et si les bulletins de vote électronique ne restaient secrets que jusqu'à ce que le vote durant l'assemblée générale ait eu lieu ?

Ça ne serait que justice vu que les présents et représentés votent de façon publique (on peut ergoter sur une personne qui vote 2 POUR et 1 CONTRE parce qu'il a 2 procurations et dont alors on ne sait pas qui a voté quoi, ceci dit c'est marginal en pratique).

En contrepartie, cela empêche probablement ces personnes présentes ou représentées de voter à bulletin secret, alors qu'elles pourraient pourtant le faire de façon contrôlable.

l) Alors toujours, des bulletins toujours publics ou rendus publics sur « demande » ?

C'est tout autant acceptable comme solution a priori : il s'agit d'évaluer si souvent quelqu'un va demander à exercer son droit de contrôle. Dans l'idéal, ce serait mieux que soit toujours le cas en fait, ça montrerait que les électeurs pensent que le scrutin est important. Si on pense que ce n'est pas le cas souvent, ça apaise peut-être un peu l'association d'avoir des bulletins secrets, ou pas.

Dans tous les cas il faut préciser à chaque votant que son bulletin n'est pas secret dans l'absolu.

m) Quid de la mémoire du net ?

Une fois rendu public, il va se poser la question de la conservation de ses données rendues disponibles à des centaines de geeks prêts à archiver, des clivages lorsque les votants pour ou contre telle liste, approbation ou quitus seront connus, etc.

n) Mais au fait, il ne faudrait pas demander leur avis aux concernés ?

Pour être démocratique, il faudrait effectivement demander leur avis aux gens. D'où le choix d'une discussion initiée en assemblée générale du type « acceptez-vous que lors des prochains votes en assemblée générale normale ou extraordinaire, les bulletins de vote soient publiés ? », avec un choix expliqué entre :

  • les bulletins de vote sont publiés, donc le vote est contrôlable, par contre le climat interne peut l'être nettement moins. L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques, jusqu'au prochain vote sur le sujet.
  • les bulletins de vote ne sont pas publiés, retour à la case départ, les votes ne sont pas totalement contrôlables, il faut faire confiance au conseil d'administration. L'AG souveraine choisit peu de contrôle et des opinions laissées personnelles, jusqu'au prochain vote sur le sujet.

o) Et concernant la contestation donc ?

Si les bulletins sont publics, encadrer la contestation se limite à définir la période de temps durant laquelle elle est possible dans le cadre normal de l'association (par exemple une semaine). Ceci n'empêchant par ailleurs quelqu'un de saisir une entité externe type préfecture pendant bien plus longtemps...

Si les bulletins sont secrets, il ne reste au conseil d'administration, aux permanents et aux administrateurs systèmes qu'à plaider la bonne foi, éventuellement montrer des logs de connexion sur le serveur (problème de données nominatives avec IP + heure et identifiant April) ou organiser un nouveau scrutin sans vote électronique. Une période de contestation d'une semaine ferait aussi l'affaire.

Dans tous les cas, il faudra modifier le règlement intérieur pour refléter le choix décidé.

On pourrait aussi interdire à un candidat de gérer le serveur externe de l'élection, interdire à un candidat d'interférer techniquement avec l'élection sur les serveurs April ; mais on ne pourra pas ni le contrôler, ni le garantir par quelqu'un d'autre.

p) « Solution » technique, round 1

Ne pourrait-on pas publier la liste des votes en associant à chacun non pas le nom du votant mais à un identifiant unique qui serait transmis par courriel à l'adhérent sans que l'association entre cet identifiant et l'adhérent ne soit enregistrée sur notre serveur ? Ce faisant, chaque adhérent - et seulement lui - serait en mesure de vérifier que son vote a bien été pris en compte sans altération ?

(Objection valable pour toute autre « solution » technique du genre.)

Cela ne marche pas. Pour contrôler le scrutin, il est nécessaire

  1. de connaître la liste de tous les votants,
  2. qu'ils puissent vérifier leur vote,
  3. que je puisse vérifier le mien.

Par exemple, supposons que A, B et C aient voté OUI, et D a voté NON. Gagnant : OUI.

Nous présentons aux 4 la liste suivante :

  • XXX1 OUI
  • XXX2 NON
  • XXX3 NON
  • XXX4 NON
  1. Nous leur disons que A, B, C, D ont voté, donc 4 bulletins.
  2. Nous envoyons à A, B et C « leur » identifiant anonyme XXX1.
  3. Nous envoyons à D « son » identifiant anonyme XXX2.
  4. Nous bourrons le reste de l'urne comme nous souhaitons.
  5. Gagnant par fraude : NON.

On notera d'ailleurs que pour frauder ainsi il faut connaître qui a voté quoi, mais le vote électronique le permet au fraudeur. On notera surtout que l'utilisation d'un logiciel libre et donc auditable, dans le cadre d'un processus électoral structuré, permet de réduire quasiment à néant la possibilité de ce genre de fraude. Il est possible, en particulier dans le cadre d'une associaton au sein de laquelle les compétences informatiques abondent, de garantir que :

  • Le code de l'application génère bien un identifiant anonyme unique.
  • Le code utilisé lors du vote est bien le code audité.
  • Le compilateur n'a pas été trafiqué.

La fraude évoquée est donc un cas d'école théorique intéressant, sa mise en oeuvre pratique dans le cas d'élection en ligne à l'April est d'une improbabilité extrêmement élevée.

Détection possible : que A, B et C discutent et apprennent qu'ils ont tous le même identifiant annoncé.

Or, rappelons le, l'April est présente sur tout le territoire français, ainsi que dans de nombreux pays étrangers.

Ce type de solution n'amène donc pas une certitude absolue (aucun scrutin, quelque soit sa matérialité, n'offre de certitude absolue) mais il renforce considérablement la confiance que l'on peut accorder au scrutin, en particulier dans le cadre d'une élection aprilienne.

q) « Solution » technique, round 2

Et si le couple identifiant/vote est en même temps transmis à une adresse témoin telle que elections@april.org, pour vérifier que deux votes n'ont jamais le même identifiant ?

  • Rien ne garantira que les courriels envoyés au votant et à la liste contiendront les mêmes identifiants.
  • De plus, cela n'empêche pas de bourrer l'urne avec des votes fictifs XXX5, XXX6, etc. dans la limite de ce que permet la participation au scrutin.

Dans l'hypothèse où nous supposons que les courriels envoyés au votant et à la liste sont identiques (ce qui peut se faire par des méthodes cryptographiques), il faudrait alors en plus publier la liste des inscrits et leur statut de votant ou non pour que chacun vérifie si l'urne n'a pas été bourrée, en comptant sur le fait que chacun vérifiera son vote.

Cependant, il est probable d'une part que les non-votants ne vont pas vérifier le scrutin. D'autre part, nous ne pouvons raisonnablement supposer qu'une méthode de vérification du scrutin basée sur l'hypothèse que 100% des votants comprennent la cryptographie et s'en servent pour vérifier leur vote soit recevable. En pratique, le niveau d'instruction et de participation requis pour rendre possible une telle vérification n'est pas acceptable.

Encore une fois, ce type de solution n'amène donc finalement rien, sauf à avoir confiance dans un système incontrôlable. Elle donne ainsi juste l'illusion que c'est mieux en ajoutant une couche technique de plus.

Discussions

Voir la page idoine.