C. LE RÔLE DU CONSEIL CONSTITUTIONNEL EN MATIÈRE ÉLECTORALE AU CoeUR DES PRÉOCCUPATIONS EN MATIÈRE DE SÉCURITÉ INFORMATIQUE
Le juge constitutionnel constitue, en matière de sécurité informatique, davantage une cible pour des opérations de déstabilisation ou d'atteinte à l'image que pour d'éventuelles attaques visant au sabotage de l'institution à proprement parler. Certains esprits malveillants pourraient également être intéressés par les documents préparatoires confidentiels des délibérés du Conseil.
Concernant l'atteinte à l'image, la préservation de l'intégrité du site internet du Conseil constitutionnel constitue un enjeu central dans la mesure où y sont publiées les décisions prises par l'institution. Une substitution de contenu pourrait en ce sens avoir des conséquences dommageables pour lui. Pour cette raison, un travail de refonte du site a été effectué au cours des deux dernières années et a permis de mettre en place des mécanismes de contrôle visant à anticiper les risques liés à la diffusion de fausses pages internet.
Comme les autres pouvoirs publics, le Conseil est la cible de tentatives de hameçonnage par messagerie, dont le nombre varie en fonction de l'actualité des textes dont il a à connaître. À titre d'illustration, depuis le lancement de la procédure du référendum d'initiative partagée sur la privation d'ADP, une multiplication par 8 du nombre de ces tentatives a été observée. Néanmoins, les pare-feu en place sur le réseau permettent de filtrer ces attaques.
Le service informatique du Conseil constitutionnel est constitué de 8 agents, sur les 70 que l'administration compte au total. Cette équipe a été renforcée ces dernières années pour tenir compte du caractère prioritaire des questions liées en particulier à la sécurité informatique. Le secrétaire général du Conseil, Jean Maïa, a ainsi évoqué lors de l'entretien avec votre rapporteur spécial la « démarche quasi-paranoïaque » de l'institution à cet égard, liée à la culture du secret des délibérations, qui le conduit à privilégier la sécurité des dispositifs en place, y compris sur le confort des utilisateurs . Le montant des investissements informatiques à réaliser dans les deux années à venir est estimé par le secrétariat général du Conseil à 700 000 euros.
Parmi les différentes missions et activités du Conseil constitutionnel, votre rapporteur spécial a choisi de s'intéresser plus particulièrement à son rôle en matière électorale , qui, au vu des exemples étrangers notamment, pourrait être prioritairement la cible d'attaques informatiques visant en particulier à discréditer la remontée des résultats ou la collecte des parrainages de l'élection présidentielle.
Aux termes des articles 58 à 60 de la Constitution de 1958, le Conseil constitutionnel veille à la régularité de l'élection du Président de la République et des opérations de référendum, dont il proclame les résultats. Il contrôle également la régularité des résultats des élections des députés et des sénateurs, en cas de contestation.
C'est plus précisément le rôle central qu'il détient pour l'élection présidentielle qui pourrait faire du Conseil constitutionnel une cible stratégique et qui justifie, en ce sens, une attention renforcée à la sécurité informatique . En effet, pour cette élection, le Conseil intervient à deux titres : d'une part dans la collecte des parrainages et d'autre part pour le contrôle de la remontée des résultats et la proclamation du résultat du scrutin.
Le Conseil constitutionnel, à cet égard, ne prépare pas les conditions de sa sécurité informatique sans collaboration avec des intervenants extérieurs. Comme les autres pouvoirs publics, il bénéficie là encore d'une relation étroite de collaboration avec l'ANSSI. Par ailleurs, le ministère de l'intérieur, et plus particulièrement le Bureau des élections et études politiques au sein de la Direction générale de la modernisation et de l'administration territoriale (DMAT), est un collaborateur du Conseil constitutionnel puisqu'il élabore les systèmes d'information permettant la remontée des résultats. Le dispositif actuellement en place a été homologué par l'ANSSI.
En revanche, tant le Secrétaire général du Conseil constitutionnel que les représentants du ministère de l'intérieur rencontrés par votre rapporteur spécial ont souligné l'absence, à ce jour, de garanties concernant la mise en oeuvre de la dématérialisation de la collecte des parrainages pour l'élection présidentielle . La possibilité de collecter les parrainages des candidats à l'élection présidentielle par voie électronique a été introduite par l'article 2 de la loi organique n° 2016-506 du 25 avril 2016 de modernisation des règles applicables à l'élection présidentielle qui dispose que : « La transmission électronique prévue au quatrième alinéa du I de l'article 3 de la loi n° 62-1292 du 6 novembre 1962 relative à l'élection du Président de la République au suffrage universel, dans sa rédaction résultant du I du présent article, est applicable à compter d'une date fixée par décret et au plus tard le 1 er janvier 2020. » Il n'existe pourtant pas, à ce jour, de dispositif technique permettant d'apporter les conditions de sécurité et d'authentification similaires à la procédure de transmission par courrier, mise au point en lien avec l'Imprimerie nationale.
La dématérialisation de la collecte des parrainages impliquerait la mise en place d'une identité numérique de niveau élevé . Un tel dispositif, s'il était déployé auprès des maires, présenterait de nombreux avantages dans la gestion quotidienne des communes. Néanmoins, votre rapporteur spécial s'interroge sur la faisabilité d'une telle opération dans un délai inférieur à deux ans. En effet, les moyens à mobiliser pour mettre en place une solution fiable et présentant toutes les garanties de sécurité semblent importants au regard du gain attendu, compte tenu du caractère opérationnel du dispositif actuel. Il s'interroge donc sur la nécessité de reporter le délai organique pour ne pas, sur ce point, installer durablement une divergence entre les prescriptions du législateur organique et la pratique institutionnelle.
Recommandation n° 3 : reporter l'entrée en vigueur de la disposition organique permettant la transmission par voie électronique des parrainages pour l'élection présidentielle. |
S'agissant de la remontée des résultats des élections, ceux-ci sont d'abord centralisés dans des bureaux dits centralisateurs une fois les urnes dépouillées, avant d'être déposés sur une plateforme sous forme de fichier depuis 2019, saisis en ligne ou envoyés par messagerie à la préfecture. Les résultats sont par la suite agrégés au niveau national et rendus publics lorsqu'ils sont complets. L'application « Élections » qui permet cette remontée des résultats a été homologuée par l'ANSSI. Elle a fait l'objet de correctifs afin de renforcer sa sécurité. Des réseaux dédiés, consacrés uniquement aux procédures électorales, sont utilisés pour le fonctionnement de cette application.
Parallèlement, les procès-verbaux de l'ensemble des bureaux de vote sont acheminés à la préfecture et contrôlés un à un avec les résultats saisis dans l'application, avant le lendemain midi, sous le contrôle d'un magistrat. Après leur vérification, les procès-verbaux validés sont envoyés depuis les préfectures vers le Conseil constitutionnel.
Recommandation n° 4 : moderniser le système informatique robuste de remontée de résultats des élections dans les préfectures. |