Protocole de vote

Version 1.0 — mai 2026

Avant-propos

Ce document décrit le protocole de vote mis en œuvre par les solutions de vote par correspondance électronique éditées par e-votez. Il est publié en application des recommandations de la Commission nationale de l'informatique et des libertés (CNIL) du 19 mars 2026 relatives à la sécurité des systèmes de vote par correspondance électronique, et plus particulièrement de leur objectif de sécurité n° 2-09, ainsi que de la recommandation R61 du guide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) sur la sécurité du vote par correspondance électronique.

Conformément à ces référentiels, ce protocole décrit la modélisation des opérations réalisées par un électeur, le client de vote et le serveur de vote, depuis l'authentification de l'électeur jusqu'au dépouillement et à la conservation des données. Il précise les acteurs intervenant dans le scrutin, les messages échangés entre eux, les mécanismes cryptographiques mis en œuvre, les propriétés de sécurité visées, le modèle de confiance associé, ainsi que les cérémonies impliquant le bureau électoral.

Ce document a vocation à être lu en complément du rapport d'expertise indépendante établi par l'expert agréé près la Cour d'appel de Paris mandaté par e-votez, ainsi que des conditions générales et de la documentation utilisateur publiées sur www.e-votez.fr.

Point de contact pour la divulgation responsable

Conformément à la recommandation R61 du guide ANSSI, e-votez identifie un point de contact dédié à la divulgation responsable de toute faiblesse de sécurité qui serait identifiée par un tiers à partir des spécifications publiées dans ce document : security@e-votez.com. Toute analyse de sécurité réalisée par un tiers sur la base de ce document est autorisée.

1. Portée du document

Ce protocole s'applique à l'ensemble des opérations de vote par correspondance électronique organisées au moyen des solutions logicielles éditées par e-votez, quel que soit le type de scrutin concerné : approbation de résolutions d'assemblée générale, élections de représentants du personnel (CSE, CAP, CCP, CSA), élections au sein d'organismes professionnels, élections d'administrateurs salariés, désignations de membres de commissions, consultations par référendum, élections au sein de FCP ou FCPE, etc.

Il décrit le fonctionnement nominal du système de vote, indépendamment des paramétrages spécifiques retenus pour un scrutin donné (modalités d'authentification, durée d'ouverture, listes de candidats, règles de dépouillement, etc.) qui sont fixés par le protocole d'accord préélectoral ou tout autre document en faisant fonction.

2. Acteurs et composants du système

Le système de vote e-votez fait intervenir les acteurs et composants suivants :

2.1. Acteurs humains

• L'organisateur du scrutin (responsable de traitement au sens du RGPD) : entité qui organise l'élection et porte la responsabilité juridique du traitement des données personnelles. Il choisit la solution de vote, valide les listes électorales et les listes de candidats, fixe les modalités du scrutin, désigne les membres du bureau électoral et reçoit les résultats.
• Les électeurs : personnes inscrites sur la liste électorale et autorisées à voter. Chaque électeur dispose d'un ou plusieurs secrets d'authentification permettant d'accéder au système de vote.
• Les candidats, lorsque le scrutin en comporte : personnes ou listes soumises au vote des électeurs.
• Le bureau électoral (lorsqu'il existe) : instance de contrôle indépendante chargée de superviser le bon déroulement du scrutin. Ses membres détiennent une partie des clés cryptographiques nécessaires au dépouillement, contrôlent l'intégrité du système avant l'ouverture du scrutin, surveillent son déroulement et président aux opérations de dépouillement.
• L'expert indépendant : informaticien spécialisé en sécurité, agréé près la Cour d'appel de Paris, mandaté pour expertiser le système de vote conformément aux recommandations CNIL et au guide ANSSI. Il ne présente aucun conflit d'intérêts avec e-votez ni avec l'organisateur du scrutin.
• Le prestataire — e-votez : éditeur et exploitant des solutions de vote. Il met à disposition la plateforme, gère les opérations techniques de mise en œuvre du scrutin, mais n'a pas accès aux clés détenues par le bureau électoral et ne peut donc pas, à lui seul, déclencher le dépouillement.

2.2. Composants techniques

• Le client de vote : interface web exécutée dans le navigateur de l'électeur (HTML / JavaScript). Il présente à l'électeur les choix qui lui sont proposés, recueille son suffrage, l'authentifie auprès du serveur et lui restitue la confirmation de vote.
• Le serveur de vote : serveur dédié hébergé en France par OVH, dans deux centres de données indépendants (Roubaix et Strasbourg) configurés en redondance. Il porte le logiciel de vote, héberge l'urne électronique chiffrée, la liste d'émargement chiffrée et la base des secrets d'authentification chiffrés.
• Le logiciel de dépouillement : composant logiciel distinct du logiciel de vote, qui ne peut être activé qu'après la clôture du scrutin et le déverrouillage du système au moyen des clés détenues par le bureau électoral.
• L'interface de supervision du bureau électoral : interface dédiée et authentifiée permettant aux membres du bureau électoral de contrôler à tout moment l'intégrité du système et la cohérence entre l'urne et la liste d'émargement.

3. Modèle de confiance

Le modèle de confiance précise les hypothèses qui sous-tendent les propriétés de sécurité du protocole, c'est-à-dire ce qui est supposé honnête ou non compromis pour que ces propriétés soient garanties.

3.1. Hypothèses de confiance

• Le bureau électoral est supposé honnête. Au moins deux de ses membres conservent secrètement et indépendamment les clés cryptographiques qu'ils ont eux-mêmes générées.
• L'expert indépendant est supposé honnête et compétent. Il vérifie que le code source effectivement déployé correspond au code expertisé, et que les mécanismes cryptographiques sont conformes à l'état de l'art.
• L'infrastructure d'hébergement (OVH) est supposée fournir les garanties physiques et logiques recommandées par l'ANSSI (alimentation, réseau, stockage redondants, isolation des serveurs dédiés).
• Les canaux de transport (TLS) sont supposés assurer la confidentialité et l'intégrité des échanges réseau entre le client de vote et le serveur de vote.
• L'équipement de l'électeur (terminal et navigateur) est supposé non compromis. Conformément à la Section 3.2.2 du guide ANSSI, le risque de compromission de l'équipement de l'électeur fait partie des risques non couverts par le système de vote.

3.2. Modèle d'attaquant

Le système décrit dans ce protocole est conçu pour résister aux attaquants des niveaux 1 et 2 définis par la CNIL : votants, organisateurs, personnes extérieures, personnel du prestataire ou de l'organisateur disposant de ressources et de motivations faibles à modérées. Pour les scrutins de niveau 3 (risques significatifs), des mesures complémentaires spécifiques et adaptées aux enjeux peuvent être mises en œuvre, au cas par cas, et l'expertise indépendante est renouvelée à chaque scrutin.

4. Description du protocole

Le protocole se déroule en quatre phases : préparation du scrutin, ouverture et déroulement du scrutin, clôture et dépouillement, conservation et archivage. Chaque phase est décrite ci-dessous en termes d'acteurs impliqués, de messages échangés et de traitements réalisés.

4.1. Phase 1 — Préparation du scrutin

4.1.1. Constitution de la liste électorale

L'organisateur du scrutin transmet à e-votez la liste électorale et la liste des candidats, selon des modalités sécurisées définies contractuellement. Ces listes sont importées dans une instance dédiée de la solution de vote, indépendante de toute autre instance en cours.

4.1.2. Génération et distribution des moyens d'authentification

Chaque électeur dispose d'identifiants uniques lui permettant de se connecter au site de vote, conformément aux modalités retenues dans le protocole d'accord préélectoral.

Pour les scrutins de niveau 2 et au-delà, e-votez préconise la présence d'un complément d'authentification (par exemple, vérification d'un matricule paye ou des derniers caractères d'un IBAN), conformément à l'objectif 2-08 de la CNIL et à la recommandation R60 du guide ANSSI.

4.1.3. Cérémonie d'ouverture et génération des clés

Préalablement à l'ouverture du scrutin, le bureau électoral est convoqué pour une cérémonie au cours de laquelle :

• Le système de vote est testé en conditions réelles ;
• Plusieurs membres du bureau électoral génèrent chacun une clé de dépouillement personnelle ;
• Le système de vote est scellé : son code exécutable est figé et toute modification ultérieure nécessiterait un nouveau scellement ;
• La vacuité de l'urne et de la liste d'émargement est vérifiée.

4.2. Phase 2 — Déroulement du scrutin

4.2.1. Authentification de l'électeur

L'électeur se connecte au site de vote depuis son terminal personnel via une connexion HTTPS établie au moyen d'un certificat à validation étendue. Le client de vote est téléchargé depuis le serveur de vote sous forme de page HTML et de scripts JavaScript intégrés.

L'électeur saisit son identifiant et son code d'accès, ainsi que, le cas échéant, son complément d'authentification. Le serveur de vote vérifie la validité du moyen d'authentification, l'appartenance de l'électeur à la liste électorale et les éventuels émargements déjà réalisés par l'électeur.

4.2.2. Présentation des choix et expression du suffrage

Une fois l'électeur authentifié, le client de vote présente, pour chaque scrutin, les listes ou candidats ou questions soumis au vote, dans l'ordre fixé par le protocole d'accord préélectoral. Le vote blanc et, le cas échéant, le vote nul sont proposés. L'électeur peut sélectionner, modifier puis valider son choix avant de l'envoyer.

4.2.3. Codification du suffrage et construction du bulletin

Lors de la validation par l'électeur, l'opération de vote est traitée comme une opération atomique au sens de l'objectif 1-02 de la CNIL : l'enregistrement du bulletin dans l'urne, l'enregistrement horodaté de l'émargement et la délivrance d'un récépissé de vote sont indissociables — ces trois traitements sont finalisés ensemble ou aucun ne l'est.

Le client de vote procède à une codification du choix de l'électeur. Le suffrage est transmis au serveur de vote au sein d'un échange protégé en confidentialité et en intégrité par TLS (certificat à validation étendue). Le chiffrement cryptographique du bulletin est ensuite réalisé par le serveur de vote avant enregistrement dans l'urne électronique.

Cette architecture permet de maintenir l'ensemble des opérations sensibles dans un périmètre maîtrisé, audité et scellé, et d'écarter deux familles de risques liés à l'exécution de code cryptographique dans un environnement non maîtrisé : d'une part, les risques tenant à l'environnement d'exécution lui-même (vulnérabilités du moteur JavaScript, extensions de navigateur hostiles, qualité variable de l'aléa disponible côté client) ; d'autre part, le risque de compromission ou de substitution des éléments cryptographiques avant leur utilisation par le client. La confidentialité du suffrage est ainsi assurée par TLS pendant le transport, puis par le chiffrement immédiat du bulletin à réception, dans un périmètre dont les éléments cryptographiques sont répartis entre les membres du bureau électoral.

Aucun échange entre le client de vote et le serveur ne contient simultanément l'identité de l'électeur et son suffrage codifié : le suffrage transite séparément de l'authentification. La confirmation retournée à l'électeur est par ailleurs invariante quel que soit le choix exprimé, de sorte qu'une éventuelle observation passive des échanges chiffrés ne permettrait pas d'en inférer le contenu.

Le suffrage chiffré est enregistré dans l'urne électronique, en rendant impossible tout rapprochement entre l'ordre des bulletins dans l'urne et l'ordre horodaté des émargements.

4.2.4. Récépissé de vote

À l'issue de l'opération de vote, l'électeur reçoit un récépissé attestant de sa participation au scrutin. Ce récépissé peut être conservé par l'électeur et lui permet de vérifier la présence et l'intégrité de son bulletin dans l'urne. Il ne contient aucune information permettant à un tiers d'établir un lien entre l'électeur et son suffrage.

Conformément à l'objectif de sécurité n° 2-07 des recommandations CNIL, le site de vote demeure accessible jusqu'à l'expiration des délais de recours, afin de permettre à chaque électeur de vérifier que son bulletin est bien présent dans l'urne utilisée pour le dépouillement.

4.2.5. Surveillance pendant le scrutin

Pendant toute la durée du scrutin :

• Le bureau électoral dispose d'un accès permanent à une interface dédiée lui permettant de vérifier que le système est toujours scellé par les clés qu'il a lui-même générées, de constater le nombre d'émargements et de déclencher manuellement des contrôles d'intégrité ;
• Tout incident de sécurité ou intervention de gestion ou de maintenance fait l'objet d'une alerte immédiate au bureau électoral et est consigné dans un journal accessible à ce dernier ;
• Un contrôle automatique de la cohérence entre le contenu de l'urne et le nombre d'émargements est exécuté en continu ;
• Aucun dépouillement, même partiel, ne peut être effectué : la conception du système interdit techniquement tout accès aux suffrages tant que les clés du bureau électoral n'ont pas été utilisées après la clôture.

4.3. Phase 3 — Clôture et dépouillement

4.3.1. Clôture du scrutin

La clôture du scrutin est déclenchée automatiquement à l'heure fixée par le protocole d'accord préélectoral. Une sauvegarde intégrale de l'environnement de vote (logiciels, urnes chiffrées, listes d'émargement chiffrées, journaux) est réalisée immédiatement, avant toute opération de dépouillement. Cette sauvegarde est conservée à des fins de contrôle a posteriori.

4.3.2. Cérémonie de dépouillement

Le bureau électoral est convoqué pour la cérémonie de dépouillement. Au cours de celle-ci :

• Les membres du bureau électoral présentent leur clé. La conception du système exige le seuil minimal pour autoriser le déchiffrement ;
• Le système vérifie l'intégrité du logiciel de vote (qui doit être strictement identique à celui scellé à l'ouverture) et l'intégrité de l'urne ;
• Le déchiffrement et le décompte sont exécutés par le logiciel de dépouillement, distinct du logiciel de vote ;
• Les résultats sont présentés au bureau électoral, qui les certifie ;
• Un procès-verbal de dépouillement est établi et signé par les membres du bureau électoral.

4.3.3. Vérifiabilité a posteriori

Les bulletins sont enregistrés individuellement dans l'urne (et non sous forme de compteurs incrémentaux). Cette caractéristique permet, en cas de contestation, de procéder à un nouveau décompte indépendant à partir de la sauvegarde réalisée à la clôture, sans avoir à utiliser le logiciel de dépouillement original. L'expert indépendant peut ainsi vérifier que les résultats proclamés correspondent strictement au contenu de l'urne au moment de la clôture.

4.4. Phase 4 — Conservation et archivage

Conformément aux articles 54 à 56 des recommandations CNIL, l'ensemble des fichiers nécessaires à un contrôle a posteriori — copies des codes sources et des exécutables, sauvegarde de l'urne chiffrée, listes d'émargement, journaux, résultats — est conservé sous scellés jusqu'à l'épuisement des voies et délais de recours contentieux.

À l'épuisement des délais de recours et en l'absence de contentieux, l'ensemble de ces éléments est détruit sous le contrôle de l'organisateur du scrutin.

5. Mécanismes cryptographiques

5.1. Confidentialité des données stockées

Les bases de données du serveur de vote (urne, liste d'émargement, base des secrets d'authentification) sont chiffrées à l'aide de l'algorithme AES-256, avec des clés propres à chaque scrutin et incluant l'identification du serveur et de l'instance de logiciel utilisés. Les fichiers générés au cours du scrutin (exports PDF, exports XLS, sauvegardes documentaires) sont chiffrés au moyen d'un algorithme de chiffrement symétrique avec clé de 128 bits. Les algorithmes et tailles de clés retenus sont conformes au Référentiel général de sécurité (RGS) et au Guide de sélection d'algorithmes cryptographiques de l'ANSSI.

5.2. Confidentialité des échanges

Les échanges entre le client de vote et le serveur de vote sont protégés par TLS, dans une version conforme aux recommandations en vigueur de l'ANSSI. Le serveur de vote présente un certificat SSL à validation étendue (EV) délivré par l'autorité de certification Sectigo, avec un chiffrement 256 bits. Les connexions s'effectuent en HTTPS sur le port 443.

5.3. Chiffrement du bulletin

Le client de vote réalise une codification du suffrage de l'électeur.

À réception du bulletin, le serveur de vote chiffre le suffrage codifié avant enregistrement dans l'urne électronique. Les éléments cryptographiques nécessaires au dépouillement sont répartis entre les membres du bureau électoral selon des modalités fixées lors de la cérémonie d'ouverture du scrutin, de sorte que le déchiffrement de l'urne requiert leur intervention conjointe. Les paramètres techniques retenus sont conformes au Référentiel général de sécurité et au Guide de sélection d'algorithmes cryptographiques de l'ANSSI.

5.4. Scellement et intégrité

Le scellement du système de vote repose sur le calcul d'empreintes cryptographiques (fonction de hachage SHA-256 ou supérieur) sur les composants logiciels déployés. Ces empreintes sont consignées par l'expert indépendant et publiées dans son rapport. À chaque exécution, le système contrôle automatiquement la cohérence entre les empreintes calculées et les empreintes scellées.

5.5. Étanchéité entre identité et suffrage

L'étanchéité entre l'identité de l'électeur et l'expression de son vote est assurée par plusieurs mécanismes combinés : enregistrement de l'émargement et du bulletin dans des bases distinctes, chiffrées par des clés différentes ; prévention du rapprochement avec l'horodatage des émargements ; absence, dans tout échange entre le client et le serveur, de message contenant simultanément l'identité de l'électeur et son suffrage.

6. Propriétés de sécurité visées

Le protocole décrit dans ce document vise à atteindre les propriétés de sécurité suivantes, dans le modèle de confiance défini en section 3 :

7. Références

• CNIL, Recommandation relative à la sécurité des systèmes de vote par correspondance électronique, adoptée le 19 mars 2026.
• ANSSI, Recommandations pour la mise en œuvre du vote par Internet pour les élections non politiques, édition 2026.
• ANSSI, Guide de sélection d'algorithmes cryptographiques.
• Conseil d'État, décision n° 437993 du 26 janvier 2021 (8^ème – 3^ème chambres réunies).
• Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et loi n° 78-17 du 6 janvier 1978 modifiée.

8. Historique des versions