La National Science Foundation (NSF), une des principales agences étasuniennes de financement de la recherche, vient de perdre l’intégralité de son conseil d’administration (CA).
« Au nom du président Donald J. Trump, je vous écris pour vous informer que votre mandat en tant que membre du Conseil national des sciences prend fin avec effet immédiat. Merci pour votre engagement », ont reçu par email ce vendredi 24 avril les 24 membres du CA, explique la revue Science.
Illustration : Flock
Tous sont des chercheurs ou ingénieurs venant du milieu universitaire ou de l’industrie nommés par le président. Mais ils sont normalement en place pour six ans avec une rotation assurée par le renouvellement de huit membres tous les deux ans.
Le directeur de la National Science Foundation et 25e membre du CA, Sethuraman Panchanathan, pourtant nommé par Donald Trump à la fin de son premier mandat, avait démissionné en avril 2025 en affirmant : « j’ai fait tout ce que j’ai pu ». Depuis, la NSF, comme les autres fonds de financements américains de la recherche, s’est vue imposer l’idéologie de Donald Trump à la place du peer-review pour décider des financements des projets de recherche.
« Peut-être qu’une façon de le dire du point de vue de l’administration, c’est que ce groupe de personnes nommées par le président conseillait au Congrès de ne pas se plier aux souhaits du président », explique à Science l’astrophysicien Keivan Stassun de l’université Vanderbilt (Nashville) qui en faisait partie.
Selon le Washington Post, ce même vendredi, l’administration Trump a présenté un projet de budget partiel pour l’exercice 2026 qui réduirait le budget de la NSF de plus de 50 %, le faisant passer de 8,8 milliards de dollars à 3,9 milliards de dollars, en affirmant que la NSF « a financé des recherches dont l’intérêt public est discutable, telles que les impacts hypothétiques de scénarios climatiques extrêmes et des études sociales de niche ».
La National Science Foundation (NSF), une des principales agences étasuniennes de financement de la recherche, vient de perdre l’intégralité de son conseil d’administration (CA).
« Au nom du président Donald J. Trump, je vous écris pour vous informer que votre mandat en tant que membre du Conseil national des sciences prend fin avec effet immédiat. Merci pour votre engagement », ont reçu par email ce vendredi 24 avril les 24 membres du CA, explique la revue Science.
Illustration : Flock
Tous sont des chercheurs ou ingénieurs venant du milieu universitaire ou de l’industrie nommés par le président. Mais ils sont normalement en place pour six ans avec une rotation assurée par le renouvellement de huit membres tous les deux ans.
Le directeur de la National Science Foundation et 25e membre du CA, Sethuraman Panchanathan, pourtant nommé par Donald Trump à la fin de son premier mandat, avait démissionné en avril 2025 en affirmant : « j’ai fait tout ce que j’ai pu ». Depuis, la NSF, comme les autres fonds de financements américains de la recherche, s’est vue imposer l’idéologie de Donald Trump à la place du peer-review pour décider des financements des projets de recherche.
« Peut-être qu’une façon de le dire du point de vue de l’administration, c’est que ce groupe de personnes nommées par le président conseillait au Congrès de ne pas se plier aux souhaits du président », explique à Science l’astrophysicien Keivan Stassun de l’université Vanderbilt (Nashville) qui en faisait partie.
Selon le Washington Post, ce même vendredi, l’administration Trump a présenté un projet de budget partiel pour l’exercice 2026 qui réduirait le budget de la NSF de plus de 50 %, le faisant passer de 8,8 milliards de dollars à 3,9 milliards de dollars, en affirmant que la NSF « a financé des recherches dont l’intérêt public est discutable, telles que les impacts hypothétiques de scénarios climatiques extrêmes et des études sociales de niche ».
Alors que le cofondateur et actuel CEO de Palantir, Alex Karp, a réaffirmé sa volonté de mettre son entreprise au service d’une vision fascisante du pouvoir, certains employés, passés ou présents, commencent tout juste à se poser des questions. Pendant ce temps-là, l’entreprise a déployé un lobbying important dans les sphères du pouvoir d’autres pays que les États-Unis.
Il y a une dizaine de jours, Palantir reprenait officiellement en 22 points la vision politique de son CEO, Alex Karp, assumant vouloir faire du numérique un instrument de puissance coercitive pour l’Amérique et plus largement pour l’Occident.
Comme nous le rappelions, Alex Karp et son acolyte Peter Thiel, cofondateur de l’entreprise, n’avaient pas caché leur intention, dès la création de Palantir, de mettre l’analyse de données au service de la surveillance de masse et de projets militaires dans le contexte de l’après 11 septembre 2001. Alors que Peter Thiel évoquait l’année dernière l’Antéchrist pour parler de ceux qui veulent réguler la tech, sans faire de liste exhaustive, Alex Karp n’était pas en reste : il qualifiait en 2024 les progressistes d’adeptes d’« une religion païenne superficielle », ajoutait la même année que « les militants pour la paix sont des militants pour la guerre », avant de déclarer, en mars 2025, qu’il adorait « l’idée de [se] procurer un drone et de faire asperger d’urine légèrement mélangée à du fentanyl les analystes qui ont essayé de nous rouler ». Un an plus tard, en mars dernier, Alex Karp lâchait sa vision sur la façon dont les États-Unis devaient mener leur guerre en Iran, en ne laissant surtout pas les femmes démocrates enrayer la course à l’IA.
Des anciens et actuels salariés s’inquiètent d’une dérive
Mais la reprise des 22 points par le compte X de l’entreprise elle-même semble avoir réveillé les doutes chez certains employés et plusieurs de leurs anciens collègues.
« Le discours général de Palantir, tel qu’il se le racontait à lui-même et à ses employés, était qu’au lendemain du 11 septembre, nous savions qu’il y aurait une forte pression en faveur de la sécurité, et nous craignions que cette sécurité ne porte atteinte aux libertés civiles. Aujourd’hui, la menace vient de l’intérieur. Je pense qu’il y a une sorte de crise d’identité et un véritable défi à relever », explique à Wired un ancien employé de Palantir anonyme. « Nous étions censés être ceux qui empêchaient bon nombre de ces abus. Aujourd’hui, nous ne les empêchons pas. Il semble que nous les facilitons ».
Le média tech américain raconte aussi les conversations d’anciens salariés autour des missions assurées par l’entreprise pour assurer la politique de Donald Trump notamment sur l’immigration, en lui proposant son outil d’assistance à l’expulsion Immigration OS. « Est-ce que tu suis la dérive de Palantir vers le fascisme ? » est devenu la façon de se dire bonjour au téléphone entre anciens salariés, raconte l’un d’entre eux. Et, selon lui, « ça n’exprime pas un sentiment du genre “Oh, c’est impopulaire et difficile”, mais plutôt “y a un problème” ».
Dans le Slack interne, des employés de l’entreprise ont posé des questions après la mort de l’infirmier en réanimation Alex Pretti, abattu par un agent de la Border Patrol. Ils ont même obtenu des sessions de « ask me anything » (AMA) organisés par la direction pour répondre à leurs questions sur le sujet de la collaboration avec l’ICE. Pendant l’une d’elles, un responsable a franchement expliqué : « Karp tient vraiment à ce projet et ne cesse de le réaffirmer […]. Notre rôle consiste principalement à lui faire des suggestions et à essayer de le réorienter, mais cela s’est avéré largement infructueux et il semble que nous soyons engagés sur une voie très claire qui consiste à continuer à développer ce workflow ».
Et, selon Wired, des salariés ont posé des questions sur l’implication de Palantir dans la guerre en Iran dans le channel Slack « actualités » de l’entreprise, se voyant parfois critiqués par d’autres pour avoir discuté d’informations classifiées sur ce canal ouvert à tous les salariés.
Officiellement, tout va toujours bien en interne : « Nous recrutons les meilleurs talents pour contribuer à la défense des États-Unis et de leurs alliés, ainsi que pour développer et déployer nos logiciels afin d’aider les gouvernements et les entreprises du monde entier. Palantir n’est pas un bloc monolithique de convictions, et nous ne devons pas l’être », affirme à Wired un porte-parole officiel. « Nous sommes tous fiers de notre culture caractérisée par un dialogue interne animé, voire par des désaccords, sur les domaines complexes dans lesquels nous travaillons. Cela a été le cas depuis notre création et cela reste vrai aujourd’hui. ». Et l’entreprise est « fière » de soutenir l’armée américaine « sous les administrations démocrates comme républicaines ».
Des lobbyistes à la pelle en dehors des frontières US
Si ça tangue un peu en interne, l’entreprise semble avoir de bons moyens de lobbying pour rester influente à l’étranger et remporter des contrats en dehors des frontières américaines. Ainsi, au Royaume-Uni où l’implication de Palantir dans le système de santé de la NHS et celui de la défense est pointée du doigt, le média The Nerve vient de recenser 30 hauts responsables britanniques recrutés par l’entreprise pour son lobbying, dont Tom Watson, ancien vice-président du Parti travailliste, et John Woodcock, ancien conseiller spécial de Gordon Brown.
Rappelons qu’en France, la DGSI a renouvelé en fin d’année dernière son contrat avec Palantir et que l’ancienne porte-parole du PS, Julie Martinez, était déléguée mondiale à la protection des données de l’entreprise jusqu’à récemment. Ayant quitté ces deux postes pour préparer l’élection à la mairie de Clichy, elle a échoué au second tour face à Rémi Muzeau (LR).
Réagissant aux 22 points de Palantir, l’ancienne ministre et actuelle ambassadrice pour le numérique et l’IA pour le gouvernement, Clara Chappaz ne semble pas inquiète de l’influence politique de Palantir et de son CEO sur les contrats français et européens. « Oui, certains patrons américains ne cachent plus qu’ils ont un certain nombre d’idées, qu’ils essayent d’influencer, qu’ils les montrent au grand jour, parce qu’il y a des enjeux commerciaux. Ces idées les aident d’un point de vue purement business à vendre plus, à être plus décomplexés dans la façon dont on va utiliser les solutions, parce qu’il y a des enjeux idéologiques certainement pour certains », affirmait-elle à C ce soir, le 23 avril dernier. « Mais, attention, ce n’est pas parce qu’on utilise ces solutions que c’est le far west. En Europe, y a l’état de droit, y a des règles et toutes les entreprises, quelles qu’elles soient, respectent ces règles. Et si le dirigeant de Palantir a des idées politiques, qu’il se présente aux élections, parce que c’est comme ça qu’on peut influencer les règles, le cadre. Ce n’est pas simplement en faisant des tweets ».
Alors que le cofondateur et actuel CEO de Palantir, Alex Karp, a réaffirmé sa volonté de mettre son entreprise au service d’une vision fascisante du pouvoir, certains employés, passés ou présents, commencent tout juste à se poser des questions. Pendant ce temps-là, l’entreprise a déployé un lobbying important dans les sphères du pouvoir d’autres pays que les États-Unis.
Il y a une dizaine de jours, Palantir reprenait officiellement en 22 points la vision politique de son CEO, Alex Karp, assumant vouloir faire du numérique un instrument de puissance coercitive pour l’Amérique et plus largement pour l’Occident.
Comme nous le rappelions, Alex Karp et son acolyte Peter Thiel, cofondateur de l’entreprise, n’avaient pas caché leur intention, dès la création de Palantir, de mettre l’analyse de données au service de la surveillance de masse et de projets militaires dans le contexte de l’après 11 septembre 2001. Alors que Peter Thiel évoquait l’année dernière l’Antéchrist pour parler de ceux qui veulent réguler la tech, sans faire de liste exhaustive, Alex Karp n’était pas en reste : il qualifiait en 2024 les progressistes d’adeptes d’« une religion païenne superficielle », ajoutait la même année que « les militants pour la paix sont des militants pour la guerre », avant de déclarer, en mars 2025, qu’il adorait « l’idée de [se] procurer un drone et de faire asperger d’urine légèrement mélangée à du fentanyl les analystes qui ont essayé de nous rouler ». Un an plus tard, en mars dernier, Alex Karp lâchait sa vision sur la façon dont les États-Unis devaient mener leur guerre en Iran, en ne laissant surtout pas les femmes démocrates enrayer la course à l’IA.
Des anciens et actuels salariés s’inquiètent d’une dérive
Mais la reprise des 22 points par le compte X de l’entreprise elle-même semble avoir réveillé les doutes chez certains employés et plusieurs de leurs anciens collègues.
« Le discours général de Palantir, tel qu’il se le racontait à lui-même et à ses employés, était qu’au lendemain du 11 septembre, nous savions qu’il y aurait une forte pression en faveur de la sécurité, et nous craignions que cette sécurité ne porte atteinte aux libertés civiles. Aujourd’hui, la menace vient de l’intérieur. Je pense qu’il y a une sorte de crise d’identité et un véritable défi à relever », explique à Wired un ancien employé de Palantir anonyme. « Nous étions censés être ceux qui empêchaient bon nombre de ces abus. Aujourd’hui, nous ne les empêchons pas. Il semble que nous les facilitons ».
Le média tech américain raconte aussi les conversations d’anciens salariés autour des missions assurées par l’entreprise pour assurer la politique de Donald Trump notamment sur l’immigration, en lui proposant son outil d’assistance à l’expulsion Immigration OS. « Est-ce que tu suis la dérive de Palantir vers le fascisme ? » est devenu la façon de se dire bonjour au téléphone entre anciens salariés, raconte l’un d’entre eux. Et, selon lui, « ça n’exprime pas un sentiment du genre “Oh, c’est impopulaire et difficile”, mais plutôt “y a un problème” ».
Dans le Slack interne, des employés de l’entreprise ont posé des questions après la mort de l’infirmier en réanimation Alex Pretti, abattu par un agent de la Border Patrol. Ils ont même obtenu des sessions de « ask me anything » (AMA) organisés par la direction pour répondre à leurs questions sur le sujet de la collaboration avec l’ICE. Pendant l’une d’elles, un responsable a franchement expliqué : « Karp tient vraiment à ce projet et ne cesse de le réaffirmer […]. Notre rôle consiste principalement à lui faire des suggestions et à essayer de le réorienter, mais cela s’est avéré largement infructueux et il semble que nous soyons engagés sur une voie très claire qui consiste à continuer à développer ce workflow ».
Et, selon Wired, des salariés ont posé des questions sur l’implication de Palantir dans la guerre en Iran dans le channel Slack « actualités » de l’entreprise, se voyant parfois critiqués par d’autres pour avoir discuté d’informations classifiées sur ce canal ouvert à tous les salariés.
Officiellement, tout va toujours bien en interne : « Nous recrutons les meilleurs talents pour contribuer à la défense des États-Unis et de leurs alliés, ainsi que pour développer et déployer nos logiciels afin d’aider les gouvernements et les entreprises du monde entier. Palantir n’est pas un bloc monolithique de convictions, et nous ne devons pas l’être », affirme à Wired un porte-parole officiel. « Nous sommes tous fiers de notre culture caractérisée par un dialogue interne animé, voire par des désaccords, sur les domaines complexes dans lesquels nous travaillons. Cela a été le cas depuis notre création et cela reste vrai aujourd’hui. ». Et l’entreprise est « fière » de soutenir l’armée américaine « sous les administrations démocrates comme républicaines ».
Des lobbyistes à la pelle en dehors des frontières US
Si ça tangue un peu en interne, l’entreprise semble avoir de bons moyens de lobbying pour rester influente à l’étranger et remporter des contrats en dehors des frontières américaines. Ainsi, au Royaume-Uni où l’implication de Palantir dans le système de santé de la NHS et celui de la défense est pointée du doigt, le média The Nerve vient de recenser 30 hauts responsables britanniques recrutés par l’entreprise pour son lobbying, dont Tom Watson, ancien vice-président du Parti travailliste, et John Woodcock, ancien conseiller spécial de Gordon Brown.
Rappelons qu’en France, la DGSI a renouvelé en fin d’année dernière son contrat avec Palantir et que l’ancienne porte-parole du PS, Julie Martinez, était déléguée mondiale à la protection des données de l’entreprise jusqu’à récemment. Ayant quitté ces deux postes pour préparer l’élection à la mairie de Clichy, elle a échoué au second tour face à Rémi Muzeau (LR).
Réagissant aux 22 points de Palantir, l’ancienne ministre et actuelle ambassadrice pour le numérique et l’IA pour le gouvernement, Clara Chappaz ne semble pas inquiète de l’influence politique de Palantir et de son CEO sur les contrats français et européens. « Oui, certains patrons américains ne cachent plus qu’ils ont un certain nombre d’idées, qu’ils essayent d’influencer, qu’ils les montrent au grand jour, parce qu’il y a des enjeux commerciaux. Ces idées les aident d’un point de vue purement business à vendre plus, à être plus décomplexés dans la façon dont on va utiliser les solutions, parce qu’il y a des enjeux idéologiques certainement pour certains », affirmait-elle à C ce soir, le 23 avril dernier. « Mais, attention, ce n’est pas parce qu’on utilise ces solutions que c’est le far west. En Europe, y a l’état de droit, y a des règles et toutes les entreprises, quelles qu’elles soient, respectent ces règles. Et si le dirigeant de Palantir a des idées politiques, qu’il se présente aux élections, parce que c’est comme ça qu’on peut influencer les règles, le cadre. Ce n’est pas simplement en faisant des tweets ».
La pratique du vote par correspondance électronique se développe de plus en plus. Ce constat posé, la CNIL a émis une nouvelle recommandation pour proposer un cadre plus clair sur les objectifs de sécurité. Celle-ci est applicable pour tout nouveau scrutin dont la préparation n’a pas déjà commencé. Elle s’accompagne d’un guide plus technique de l’ANSSI pour atteindre ces objectifs.
La CNIL vient d’actualiser sa recommandation sur la sécurité des systèmes de vote par correspondance électronique qui datait de 2019. Celle-ci s’accompagne d’un guide de l’ANSSI pour aider à entrer un peu plus dans le technique si on veut mettre en place un tel système.
En France, le vote par correspondance électronique n’est utilisé pour des élections politiques que pour celui des Français résidant à l’étranger à l’occasion des élections législatives et de celles des conseillers et délégués des Français de l’étranger.
Celles-ci sont particulières et « nécessitent des mesures de sécurité complémentaires » que la CNIL et l’ANSSI n’abordent pas dans leurs recommandations. Mais on ne vote pas que lors des scrutins politiques nationaux.
Tous les Français qui sont engagés dans des organisations doivent parfois se plier à cette formalité. Assemblées générales d’associations, d’actionnaires ou de copropriétaires, élections organisées par des ordres professionnels, fédérations sportives ou universités, il y a de multiples occasions de voter.
Rappelons qu’avant les élections officielles pour la présidentielle de 2027, certains veulent aussi organiser des primaires. La CNIL et l’ANSSI rangent ces scrutins dans le même sac que les élections « non politiques ». De plus en plus, les organisations pensent pouvoir s’appuyer sur le vote par correspondance électronique, qui a le mérite de toucher plus de monde que celles et ceux qui viennent aux réunions.
Pour tous ces scrutins « non politiques », ces deux organismes ont décidé de mettre à jour leurs recommandations. Du côté de la CNIL, l’autorité fixe dans sa recommandation [PDF] les objectifs de sécurité minimaux « en fonction des risques que présentent l’organisation et le déroulement du vote ». Alors que l’ANSSI, elle, propose un guide pour mettre en place techniquement le système afin de répondre à ces objectifs.
Comme elle l’avait indiqué en fin d’année dernière, la CNIL confirme dans son nouveau communiqué que les scrutins déjà en préparation et prévus en 2026, comme ceux des élections des représentants du personnel de la fonction publique, « pourront continuer à appliquer la version de 2019 de la recommandation ». Elle ajoute cependant qu’« en revanche, la nouvelle recommandation s’applique à tout nouveau scrutin ».
Des « principes fondamentaux » à respecter
Dans sa recommandation, la CNIL rappelle « des principes fondamentaux qui commandent les opérations électorales concernées ». En 2019, son texte listait « le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ».
La nouvelle recommandation ajoute « l’intégrité des suffrages exprimés » et « l’accès au vote pour tous les électeurs ». Elle donne aussi des définitions à ces principes, ce qui permet d’éclaircir son point de vue quant à leur mise en place réelle.
Des objectifs à atteindre en fonction de trois niveaux de risques
Comme en 2019, l’autorité s’appuie sur un système en trois niveaux de risque du scrutin pour évaluer quels sont les objectifs de sécurité qui doivent être atteints. Mais elle les a remaniés pour « mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propre ».
Ainsi le niveau 1 (risques faibles) concerne des élections où les sources de menaces ont « peu de ressources et peu de motivations », et où « l’administrateur (ou les administrateurs) du système d’information n’est ni votant, ni candidat ». La CNIL cite en exemple des « élections de représentants de parents d’élèves dans les établissements scolaires ou de scrutins organisés au sein d’associations locales ».
Le niveau 2 concerne des élections pour lesquelles les sources de menaces « peuvent disposer de ressources moyennes et de motivations moyennes ». Elle considère que « des élections de représentants du personnel au sein d’organismes de petite taille ou de taille moyenne » sont un bon exemple de ce genre de cas.
Enfin, le niveau 3 concerne des votes plus importants où les personnes risquant d’attaquer peuvent « disposer de ressources importantes ou de fortes motivations », comme dans le cadre « d’élections organisées au sein d’ordres professionnels réglementés, des primaires de partis politiques, ou d’élections de représentants du personnel au sein d’organisations importantes ».
Si ces niveaux semblent assez vagues, la CNIL propose dans sa recommandation un questionnaire qui permet de s’autoévaluer avec un système de points (niveau 1 : entre 0 et 4, niveau 2 : entre 5 et 8 points et niveau 3 : plus de 8 points) :
La proposition de la CNIL de grille d’évaluation des risques en matière de vote électronique
En fonction de ce niveau, la CNIL donne une liste d’objectifs de sécurité à atteindre allant du minimum consistant à « mettre en œuvre une solution technique et organisationnelle ne présentant pas de faille majeure » à, par exemple pour le niveau 3, « renforcer le caractère secret du scrutin en ne manipulant jamais le secret permettant leur dépouillement sur un serveur qui serait en capacité de rapprocher l’identité des électeurs de leur bulletin ».
L’ANSSI vous guide
Dans son document, l’autorité explique qu’ « il revient au responsable de traitement ou à son prestataire de déterminer les moyens permettant d’atteindre les objectifs de sécurité énoncés, ces choix devant être documentés ».
Mais comme on vous l’a dit plus tôt, l’ANSSI vous a concocté un guide. Celui-ci [PDF] fait 150 pages et détaille, par objectif fixé par la CNIL, ce qu’il faut faire. Il rajoute même quelques recommandations complémentaires « limitant les impacts de situations où le serveur de vote pourrait permettre le bourrage d’urne, la conservation illégitime ou la fuite de la clé privée de l’élection et la génération d’une clé privée de l’élection favorisant un des attributaires ».
En plus de ces objectifs de sécurité à atteindre, la CNIL ajoute à sa recommandation des indications sur les informations à fournir aux électeurs, sur l’accessibilité du vote, la mise en place d’une expertise indépendante pour la mise en place de la solution, le déroulé du vote en lui-même ainsi que sur la garantie d’un contrôle a posteriori et la conservation des données.
La pratique du vote par correspondance électronique se développe de plus en plus. Ce constat posé, la CNIL a émis une nouvelle recommandation pour proposer un cadre plus clair sur les objectifs de sécurité. Celle-ci est applicable pour tout nouveau scrutin dont la préparation n’a pas déjà commencé. Elle s’accompagne d’un guide plus technique de l’ANSSI pour atteindre ces objectifs.
La CNIL vient d’actualiser sa recommandation sur la sécurité des systèmes de vote par correspondance électronique qui datait de 2019. Celle-ci s’accompagne d’un guide de l’ANSSI pour aider à entrer un peu plus dans le technique si on veut mettre en place un tel système.
En France, le vote par correspondance électronique n’est utilisé pour des élections politiques que pour celui des Français résidant à l’étranger à l’occasion des élections législatives et de celles des conseillers et délégués des Français de l’étranger.
Celles-ci sont particulières et « nécessitent des mesures de sécurité complémentaires » que la CNIL et l’ANSSI n’abordent pas dans leurs recommandations. Mais on ne vote pas que lors des scrutins politiques nationaux.
Tous les Français qui sont engagés dans des organisations doivent parfois se plier à cette formalité. Assemblées générales d’associations, d’actionnaires ou de copropriétaires, élections organisées par des ordres professionnels, fédérations sportives ou universités, il y a de multiples occasions de voter.
Rappelons qu’avant les élections officielles pour la présidentielle de 2027, certains veulent aussi organiser des primaires. La CNIL et l’ANSSI rangent ces scrutins dans le même sac que les élections « non politiques ». De plus en plus, les organisations pensent pouvoir s’appuyer sur le vote par correspondance électronique, qui a le mérite de toucher plus de monde que celles et ceux qui viennent aux réunions.
Pour tous ces scrutins « non politiques », ces deux organismes ont décidé de mettre à jour leurs recommandations. Du côté de la CNIL, l’autorité fixe dans sa recommandation [PDF] les objectifs de sécurité minimaux « en fonction des risques que présentent l’organisation et le déroulement du vote ». Alors que l’ANSSI, elle, propose un guide pour mettre en place techniquement le système afin de répondre à ces objectifs.
Comme elle l’avait indiqué en fin d’année dernière, la CNIL confirme dans son nouveau communiqué que les scrutins déjà en préparation et prévus en 2026, comme ceux des élections des représentants du personnel de la fonction publique, « pourront continuer à appliquer la version de 2019 de la recommandation ». Elle ajoute cependant qu’« en revanche, la nouvelle recommandation s’applique à tout nouveau scrutin ».
Des « principes fondamentaux » à respecter
Dans sa recommandation, la CNIL rappelle « des principes fondamentaux qui commandent les opérations électorales concernées ». En 2019, son texte listait « le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ».
La nouvelle recommandation ajoute « l’intégrité des suffrages exprimés » et « l’accès au vote pour tous les électeurs ». Elle donne aussi des définitions à ces principes, ce qui permet d’éclaircir son point de vue quant à leur mise en place réelle.
Des objectifs à atteindre en fonction de trois niveaux de risques
Comme en 2019, l’autorité s’appuie sur un système en trois niveaux de risque du scrutin pour évaluer quels sont les objectifs de sécurité qui doivent être atteints. Mais elle les a remaniés pour « mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propre ».
Ainsi le niveau 1 (risques faibles) concerne des élections où les sources de menaces ont « peu de ressources et peu de motivations », et où « l’administrateur (ou les administrateurs) du système d’information n’est ni votant, ni candidat ». La CNIL cite en exemple des « élections de représentants de parents d’élèves dans les établissements scolaires ou de scrutins organisés au sein d’associations locales ».
Le niveau 2 concerne des élections pour lesquelles les sources de menaces « peuvent disposer de ressources moyennes et de motivations moyennes ». Elle considère que « des élections de représentants du personnel au sein d’organismes de petite taille ou de taille moyenne » sont un bon exemple de ce genre de cas.
Enfin, le niveau 3 concerne des votes plus importants où les personnes risquant d’attaquer peuvent « disposer de ressources importantes ou de fortes motivations », comme dans le cadre « d’élections organisées au sein d’ordres professionnels réglementés, des primaires de partis politiques, ou d’élections de représentants du personnel au sein d’organisations importantes ».
Si ces niveaux semblent assez vagues, la CNIL propose dans sa recommandation un questionnaire qui permet de s’autoévaluer avec un système de points (niveau 1 : entre 0 et 4, niveau 2 : entre 5 et 8 points et niveau 3 : plus de 8 points) :
La proposition de la CNIL de grille d’évaluation des risques en matière de vote électronique
En fonction de ce niveau, la CNIL donne une liste d’objectifs de sécurité à atteindre allant du minimum consistant à « mettre en œuvre une solution technique et organisationnelle ne présentant pas de faille majeure » à, par exemple pour le niveau 3, « renforcer le caractère secret du scrutin en ne manipulant jamais le secret permettant leur dépouillement sur un serveur qui serait en capacité de rapprocher l’identité des électeurs de leur bulletin ».
L’ANSSI vous guide
Dans son document, l’autorité explique qu’ « il revient au responsable de traitement ou à son prestataire de déterminer les moyens permettant d’atteindre les objectifs de sécurité énoncés, ces choix devant être documentés ».
Mais comme on vous l’a dit plus tôt, l’ANSSI vous a concocté un guide. Celui-ci [PDF] fait 150 pages et détaille, par objectif fixé par la CNIL, ce qu’il faut faire. Il rajoute même quelques recommandations complémentaires « limitant les impacts de situations où le serveur de vote pourrait permettre le bourrage d’urne, la conservation illégitime ou la fuite de la clé privée de l’élection et la génération d’une clé privée de l’élection favorisant un des attributaires ».
En plus de ces objectifs de sécurité à atteindre, la CNIL ajoute à sa recommandation des indications sur les informations à fournir aux électeurs, sur l’accessibilité du vote, la mise en place d’une expertise indépendante pour la mise en place de la solution, le déroulé du vote en lui-même ainsi que sur la garantie d’un contrôle a posteriori et la conservation des données.
Connexion
