2 - 7/1 (Sénat)
- 1/2 - 1999 ) (Chambre)

Conformément à l'article 5bis de la loi du 11 avril 1994 organisant le vote automatisé, inséré par l'article 8 de la loi du 18 décembre 1998 organisant le dépouillement des votes automatisés au moyen d'un système de lecture optique et modifiant la loi du 11 avril 1994 organisant le vote automatisé, les experts suivants sont chargés du contrôle de l'utilisation et du bon fonctionnement de l'ensemble des systèmes de vote et de dépouillement automatisé :

Pour la Chambre des représentants en séance plénière du 25 février 1999 :

· M. Stephanus De Samblanckx, directeur d'administration du service informatique et bureautique;

· M. Freddy Tomicki, informaticien-conseiller auprès du même service.

Pour le Sénat, en séance plénière du 11 mars 1999 :

· M. Emmanuel Willems, ingénieur-système, conseiller-adjoint au service informatique;

· M. Philippe Van Damme, ingénieur-informaticien, conseiller-adjoint auprès du même service.

Pour le Conseil de la Région de Bruxelles-Capitale, en séance plénière du 7 mai 1999 :

· Mme Geneviève Cerexhe, directeur d'administration des services législatifs;

· M. Geert Royberghs, chef de projet au Centre d'informatique pour la Région bruxelloise.

Pour le Conseil flamand, en séance plénière du 31 mars 1999 :

· M. Robby Deboelpaep, chef de division du service informatique.

Pour le Conseil régional wallon, en séance plénière du 31 mars 1999 :

· M. Jean-Pierre Gilson, responsable informatique.

Pour le Conseil de la Communauté germanophone, en séance plénière du 29 mars 1999 :

· M. Bruno Hick, responsable du service informatique auprès du ministère de la Communauté germanophone.

Les contraintes de temps, d'espace et de moyens ont conduit à opter pour une analyse et un rapport communs, afin d'accumuler une expertise maximale, de permettre un examen critique des observations et de répartir les tâches. Par conséquent, on a choisi la formule d'un collège d'experts. La constitution d'un collège a été discutée pour la première fois lors d'une réunion du groupe de travail des services informatiques des assemblées parlementaires de Belgique le 19 mars 1999, à laquelle assistaient 5 des experts désignés ou à désigner. Dès la désignation de tous les experts, ceux-ci ont décidé de former un collège et ont entamé leur mission de contrôle.

2. LA MISSION

2.1. Genèse du contrôle du vote automatisé

Le vote automatisé fut expérimenté pour la première fois dans deux cantons électoraux à l'occasion des élections législatives et provinciales du 24 novembre 1991. L'expérience ayant été concluante, la loi du 11 avril 1994 a organisé le système de vote automatisé, rendant ainsi possible son extension sur tout le territoire et pour toutes les élections. En 1995, 20 % de l'électorat participa aux élections automatisées. Aux élections du 13 juin 1999, environ 3 200 000 électeurs, soit 43 % de l'électorat, ont voté électroniquement.

Étant donné qu'un certain nombre de critiques sont formulées à l'encontre du vote automatisé, le gouvernement fédéral a décidé de tester, lors des élections qui se tiendront entre le 1^er janvier 1999 et le 31 décembre 2000, des procédés de dépouillement automatisé des votes au moyen d'un système de lecture optique dans les cantons électoraux de Zonnebeke et de Chimay. Il a déposé à cet effet un projet de loi à la Chambre des représentants le 8 septembre 1998 (1).

Lors de la discussion de ce projet de loi, un amendement fut introduit tendant à insérer dans la loi du 11 avril 1994 organisant le vote automatisé un article relatif à la désignation par les assemblées législatives d'experts chargés de contrôler l'utilisation et le bon fonctionnement de l'ensemble des systèmes de vote et de dépouillement automatisé. Cet amendement fut justifié par « la nécessité de prévoir, dans un État démocratique, un contrôle du mode d'élection ». Les partis démocratiques doivent pouvoir s'assurer de la fiabilité des appareils, des logiciels et autres supports informatiques qui permettent l'automatisation du vote (2). Il s'agit d'une première expérience de contrôle qui devra être évaluée par les assemblées.

Cet amendement, sous-amendé, fut adopté par les deux chambres fédérales et est devenu l'article 8 de la loi du 18 décembre 1998 organisant le dépouillement des votes automatisés au moyen d'un système de lecture optique et modifiant la loi du 11 avril 1994 organisant le vote automatisé.

La modification de la loi du 11 avril 1994 consiste en l'insertion d'un article 5bis (cf. 2.2 La loi).

2.2. La loi

Cette mission est donc réglée par l'article 8 de la loi du 18 décembre 1998 organisant le dépouillement des votes automatisés au moyen d'un système de lecture optique et modifiant la loi du 11 avril 1994 organisant le vote automatisé, publiée au Moniteur belge du 31 décembre 1998. Il est libellé comme suit :

Art. 8. Dans la loi du 11 avril 1994 organisant le vote automatisé modifiée par la loi du 5 avril 1995, il est inséré sous le chapitre I^er un article 5bis rédigé comme suit :

« Art. 5bis . § 1^er . Lors de l'élection des membres de la Chambre des représentants et du Sénat ainsi que des conseils de région et de communauté :

1º la Chambre des représentants et le Sénat ainsi que le Conseil de la Région de Bruxelles-Capitale peuvent désigner chacun deux experts;

2º le Conseil régional wallon, le Conseil flamand et le Conseil de la Communauté germanophone peuvent désigner chacun un expert.

Seuls peuvent prendre part au vote pour la désignation de ces experts, les membres de ces assemblées élus sur les listes d'un parti politique tel que défini à l'article 1^er , 1º, de la loi du 4 juillet 1989 relative à la limitation et au contrôle des dépenses électorales engagées pour les élections des Chambres fédérales, ainsi qu'au financement et à la comptabilité ouverte des partis politiques.

§ 2. Ces experts sont désignés à la majorité des deux tiers dans chaque assemblée, au plus tard 30 jours avant l'élection des membres de la Chambre des représentants, du Sénat et des Conseils de région et de communauté.

§ 3. Ces experts contrôlent lors des élections l'utilisation et le bon fonctionnement de l'ensemble des systèmes de vote et de dépouillement automatisé.

Lors des élections du Parlement européen ainsi que des conseils provinciaux, communaux et de l'aide sociale, les experts désignés en dernier lieu conformément au § 1^er , alinéa 1^er , 1º, par la Chambre des représentants et le Sénat sont chargés du contrôle visé à l'alinéa 1^er du présent paragraphe.

Les experts visés aux alinéas 1^er et 2 reçoivent du ministère de l'Intérieur le matériel ainsi que l'ensemble des données, renseignements et informations utiles pour exercer un contrôle sur les systèmes de vote et de dépouillement automatisé.

Ils peuvent notamment, grâce aux logiciels de contrôle mis à leur disposition par le ministère de l'Intérieur, vérifier la fiabilité des logiciels des machines à voter, la transcription exacte du vote émis sur la carte magnétique, la transcription exacte par l'urne électronique des suffrages exprimés ainsi que leur totalisation et la lecture optique des votes exprimés.

Ils effectuent ce contrôle la veille de l'élection ainsi que le jour même de l'élection avant l'ouverture des bureaux de vote et avant le début des opérations de dépouillement.

§ 4. Au plus tard 15 jours après la clôture des scrutins, les experts remettent un rapport au ministre de l'Intérieur ainsi qu'aux assemblées législatives fédérales, régionales et communautaires ainsi qu'aux conseils provinciaux, communaux et de l'aide sociale concernés par leurs constatations. Leur rapport peut comprendre des recommandations relatives au matériel et aux logiciels utilisés.

§ 5. Les experts sont tenus au secret. Toute violation de ce secret sera sanctionnée conformément à l'article 458 du Code pénal. »

2.3. Difficultés d'application de la loi

L'article 5bis de la loi du 11 avril 1994 suscite des difficultés d'application tant en ce qui concerne le rôle des experts qu'en ce qui concerne le moment où ils exercent leur mission.

2.3.1. Rôle des experts

Selon l'article 5bis, § 3, alinéa 4, les experts peuvent notamment vérifier :

· la fiabilité des machines à voter;

· la transcription exacte par l'urne électronique des suffrages exprimés;

· leur totalisation;

· la lecture optique des votes exprimés.

Ce contrôle s'exerce grâce aux logiciels de contrôle mis à leur disposition par le ministère de l'Intérieur. En réponse à une question orale posée à la Chambre, le secrétaire d'État à la Sécurité, à l'Intégration sociale et à l'Environnement a précisé quels équipements devaient être fournis aux experts par le ministère de l'Intérieur. Il a ajouté que le Gouvernement avait l'intention « de soumettre à la signature des experts un protocole avec le ministère de l'Intérieur sur l'utilisation du matériel et des logiciels mis à leur disposition pour leur mission de contrôle » (3).

Aucun protocole n'a été soumis à la signature des experts. Est-il en outre logique de prévoir que ce contrôle s'exerce grâce aux logiciels de contrôle fournis par le ministère de l'Intérieur ?

Les dispositions de la loi et ses travaux préparatoires ne laissent aucun doute du caractère technique de la mission. En particulier, celle-ci se limite à contrôler l'utilisation et le bon fonctionnement des appareils utilisés pour le vote électronique et pour le dépouillement automatisé. Le collège ne se prononcera donc pas sur le contrôle du déroulement juridique des opérations électorales, sur l'opportunité du choix en faveur du vote automatisé ou sur tout autre aspect relevant soit du domaine juridique, soit du domaine politique ou éthique.

Néanmoins, le collège considère que fait partie de sa mission l'analyse et le contrôle des procédures concernant la confection, la distribution et l'utilisation des appareils, des logiciels et des supports d'information électroniques.

La brièveté des délais a empêché le collège de procéder à une vérification complète des logiciels. L'avis du collège ne constitue donc pas une certification ou une décharge absolue garantissant l'absence complète d'erreurs dans les logiciels. Néanmoins, les experts ont vérifié que la confection a eu lieu selon les règles de l'art, par sondage (par le biais de votes de référence dans certains bureaux de vote), que les entrées/sorties se limitent au vote émis, que le secret du vote peut être préservé et que la totalisation des votes se déroule correctement. Il a également été vérifié par sondage que les programmes ne contiennent pas d'éléments cachés et que les mesures nécessaires ont été prises pour repousser des attaques externes (virus, en particulier du type « cheval de Troie »).

Par contre le collège regrette que par manque de temps et de dossiers de programmation convenables, la logique complète des logiciels n'ait pu être vérifiée en détail. Le contrôle de l'exécution des programmes repose donc principalement sur le contrôle des entrées/sorties.

2.3.2. Moment du contrôle

L'alinéa 5 du § 3 de l'article 5bis prévoit que ce contrôle est effectué la veille de l'élection ainsi que le jour même de l'élection, avant l'ouverture des bureaux de vote et avant le début des opérations de dépouillement. En commission de l'Intérieur de la Chambre, le secrétaire d'État a rappelé que « l'appareillage électoral fait l'objet de contrôles pendant la semaine qui précède les élections et que les experts ne peuvent entamer leur mission qu'à l'issue des contrôles effectués par le département ».

Les experts se trouvent cependant dans l'impossibilité d'exercer un contrôle la veille des élections étant donné qu'à ce moment, les disquettes de votes se trouvent dans une enveloppe scellée pour être remises aux présidents des bureaux de vote. Il en est de même des éléments de sécurité nécessaires à l'utilisation des disquettes qui sont dans une deuxième enveloppe scellée. Le jour même de l'élection, le contrôle est relativement limité puisqu'il doit s'exercer avant l'ouverture des bureaux de vote et avant le début des opérations de dépouillement. Concrètement, le contrôle ne peut s'exercer dans les bureaux de vote qu'entre 7 h 30 et 8 heures puisque le scrutin est déclaré ouvert à 8 heures et que les présidents doivent être présents dans les bureaux de vote à 7 h 30. Il avait initialement été prévu que le contrôle pouvait également s'exercer pendant les votes (4) mais cette disposition n'a finalement pas été retenue afin de ne pas ralentir les opérations électorales. Par conséquent, seuls quelques bureaux de vote peuvent être contrôlés par les experts.

3. MÉTHODES DE CONTRÔLE

La mission des experts, telle qu'elle a été décrite dans la loi, consiste à contrôler l'utilisation et le bon fonctionnement de l'ensemble des systèmes de vote et de dépouillement automatisé. Ils doivent, plus particulièrement, vérifier la fiabilité des logiciels des machines à voter, la transmission exacte du vote émis sur la carte magnétique, la transcription exacte par l'urne électronique des suffrages exprimés ainsi que leur totalisation et l'adéquation de la lecture optique des votes exprimés.

Il appartient dès lors au collège de vérifier si le jour des élections, tous les systèmes automatisés se comportent conformément à ce qui est prévu. Plusieurs méthodes d'analyse peuvent être utilisées à cet effet.

Le collège pourrait d'abord tester intensivement les machines après qu'elles aient été installées dans les bureaux de vote et de dépouillement. Cela signifie que dans un grand nombre de bureaux de vote sélectionnés de façon aléatoire, de nombreux votes-tests diversifiés (listes choisies, combinaisons de votes en tête de liste et votes pour effectifs et suppléants et étalés dans le temps) sont effectués. Cependant, cette méthode soulève différents problèmes. En premier lieu, elle pourrait perturber les opérations électorales. De plus, le collège ne peut insérer ces votes-tests, à des moments arbitraires et étalés dans le temps dans les urnes réellement utilisées. Si tel était le cas, ces votes seraient enregistrés avec les autres, inclus dans la totalisation et fausseraient dès lors l'élection, à moins de soustraire manuellement du résultat obtenu au niveau du canton, les votes-tests qui ont été émis. Cela pourrait, de nouveau, perturber les opérations de dépouillement. D'ailleurs, cette procédure ne garantit pas au collège que le vote émis a été correctement enregistré, puisque le vote individuel n'est pas visualisé. Il est donc nécessaire d'emporter les cartes magnétiques avec les votes-tests pour les relire ultérieurement avec un programme spécial et comparer le vote qui a été enregistré avec celui qui a été émis.

Par conséquent, les sondages qui seront effectués le jour des élections seront limités. C'est ce qu'impose également la loi, étant donné que le contrôle doit être effectué avant l'ouverture des bureaux. Ce contrôle ne peut pas davantage être effectué la veille des élections, puisqu'à ce moment le logiciel à utiliser n'est pas encore disponible (cf. 2.3.2. Moment du contrôle).

Afin d'avoir une idée de l'environnement qui fonctionnera le jour des élections, le collège a fait exécuter des démonstrations par le ministère de l'Intérieur. Le fonctionnement des systèmes a été présenté à l'aide d'un logiciel de démonstration sur des appareils semblables à ceux qui seront installés dans les bureaux de vote et de dépouillement. Le logiciel est toutefois alimenté par des listes et des noms fictifs, et par un nombre limité de bureaux de vote par canton fictif. Pendant cette démonstration, le fonctionnement du matériel et du logiciel a été examiné de manière critique. Les différents aspects des systèmes ont été discutés de manière approfondie avec les informaticiens présents.

Puisque le logiciel final ne peut être intensivement testé et que le collège souhaite comprendre son fonctionnement, il en a analysé l'origine. En effet, le logiciel qui est utilisé sur les machines dénommé aussi code exécutable ou exécutable ne peut être interprété par l'homme. Il faut retourner au code source, tel qu'il a été écrit par ceux qui l'ont développé, pour savoir ce que fait un programme.

Aussi le collège a-t-il demandé les codes source de référence qui ont servi de base pour la création des codes exécutables qui ont été utilisés le 13 juin. L'analyse de ces codes doit permettre de comprendre le fonctionnement des programmes.

Reste à savoir par rapport à quoi le contenu de ces programmes doit être contrôlé. En d'autres termes : quelle était la mission confiée aux concepteurs ? Pour mieux cerner ce point, le collège a examiné les cahiers spéciaux des charges établis pour l'appel d'offres général relatif au développement de ces systèmes. En examinant également les offres retenues, le collège a eu une meilleure vue sur les solutions implémentées, tant en ce qui concerne le matériel que le logiciel. Une copie du dossier de programmation complète la documentation utile pour l'analyse du code source.

Cependant, cette méthode ne garantit pas pour autant que le code exécutable effectivement utilisé corresponde précisément au code source analysé. La seule manière de s'en assurer est d'exécuter soi-même cette conversion, opération que l'on nomme « compiler et lier », dans un environnement entièrement contrôlé par le collège. Ensuite, les exécutables ainsi obtenus peuvent être comparés binairement avec les exécutables mis en dépôt dans un coffre. Ce sont ces programmes exécutables qui sont utilisés par le ministère pour générer les disquettes qui seront utilisées le jour des élections.

Entre la génération des disquettes et leur utilisation effective dans les bureaux de vote et de dépouillement s'opère leur distribution aux présidents des différents bureaux. Ici aussi, un contrôle doit s'exercer. C'est pourquoi, pendant les sondages que le collège fera le jour des élections, il ne se contentera pas d'effectuer une série de votes-tests; les experts prendront également une copie du logiciel effectivement utilisé le jour des élections. Ultérieurement, le collège pourra le comparer avec le code exécutable de référence.

Il résulte clairement de ce qui précède que le contrôle sur la fiabilité des opérations électorales automatisées ne se limite pas à un contrôle superficiel du matériel et du logiciel le jour des opérations électorales. Le collège a dès lors tenté de procéder à une analyse approfondie et critique de toute la procédure préalable aux élections, tant sur le plan technique que d'un point de vue organisationnel.

Ceci a requis de nombreuses discussions tant avec les informaticiens du ministère de l'Intérieur, que ceux des fournisseurs, qu'entre les membres du collège (voir Annexe 1 : Liste des réunions du collège) ainsi que l'analyse d'une documentation volumineuse (voir Annexe 2 : Liste de la documentation demandée, reçue et analysée).

4. APERÇU DES DIFFÉRENTS SYSTÈMES

Le 13 juin 1999, plus de trois millions d'électeurs de 202 communes et de 63 cantons électoraux ont exprimé leur vote sur ordinateur. Environ 43 % du nombre total d'électeurs ont donc voté électroniquement. Dans deux cantons en outre, Chimay et Zonnebeke, on a expérimenté le dépouillement automatisé du vote par lecture optique. Si le ministère de l'Intérieur a ainsi procédé à une informatisation à grande échelle des élections, ce n'est pas pour limiter les dépenses électorales mais pour moderniser et simplifier les opérations. La constatation qu'il devient toujours plus difficile de trouver un nombre suffisant d'électeurs pour composer les bureaux de dépouillement a surtout été une motivation importante (5).

Pour le vote automatisé, deux systèmes sont utilisés : Digivote de la société Bull et Jites de Philips-Stesud. Les deux systèmes ont été homologués par le ministère de l'Intérieur suite à une procédure de sélection qui s'est déroulée en 1992 (6). Toutefois, ce n'est pas le ministère de l'Intérieur qui opte en dernière instance pour un des deux systèmes mentionnés mais les communes qui ont choisi le vote automatisé. L'incompatibilité entre les deux systèmes exige, cela étant, une concertation entre les communes d'un même canton qui sont tenues d'opter pour le même système. Les communes sont aussi propriétaires du matériel qui peut en principe être utilisé en dehors de la période électorale pour des applications communales et de bureautique. Avec Digivote, Bull détient 85 % du marché, Philips-Stesud (système Jites) détenant le reste.

En ce qui concerne l'expérience de dépouillement automatisé du vote par lecture optique à Chimay et à Zonnebeke, seul un système de la firme Fabricom est utilisé.

4.1. Le vote automatisé

Un système de vote automatisé se compose de différents éléments dont la machine à voter dans l'isoloir, qui est la partie la plus visible pour l'électeur, ne constitue qu'un élément. En effet, il y a plusieurs phases dans le processus électoral et à chaque phase correspond un sous-système bien déterminé du système de vote automatisé. Il y a d'abord la préparation pendant les semaines qui précèdent les élections, au cours de laquelle le constructeur du système de vote automatisé et le ministère de l'Intérieur jouent un rôle. Le jour des élections, il y a la procédure dans les bureaux de vote. Le soir des élections enfin, on assiste à une troisième phase du vote automatisé dans les bureaux principaux de cantons où les votes sont totalisés. Il n'y a plus de bureaux de dépouillement.

La procédure dans le bureau de vote et la partie du système qui correspond à cette procédure déterminent dans une large mesure le déroulement de la première et de la troisième phases (c'est-à-dire la préparation et la totalisation). Nous commençons dès lors cet aperçu dans le bureau de vote même. Nous aborderons ensuite la totalisation au niveau du canton, et enfin la préparation des élections au ministère de l'Intérieur.

4.1.1. Le système Digivote de Bull

4.1.1.1. Le bureau de vote

4.1.1.1.1. La procédure

Lors d'un vote automatisé, la procédure dans le bureau de vote est fort semblable à celle du vote traditionnel. Mais dans les bureaux de vote automatisé, il n'y a plus de bulletins de vote. Les bulletins de vote sont remplacés par des cartes magnétiques. Chaque isoloir d'un bureau de vote est pourvu d'une machine à voter. Chaque machine à voter est équipée d'un écran de visualisation, d'un lecteur-enregistreur de cartes magnétiques et d'un crayon optique. L'urne traditionnelle est aussi remplacée par une urne électronique. Par comparaison avec le vote sur papier, l'urne-PC délivre électroniquement les bulletins de vote et les stocke.

Ouverture du bureau de vote

Le président du bureau de vote reçoit la veille des élections une enveloppe scellée avec des disquettes (une disquette maîtresse et une de sauvegarde qui reprend la tâche de la première en cas de défectuosité) qui servent à activer les machines de vote et l'urne, et une enveloppe scellée distincte contenant le mot de passe pour utiliser ces disquettes. Le mot de passe diffère pour chaque bureau de vote. Les enveloppes scellées ne peuvent être ouvertes que le jour des élections en présence des membres du bureau. Les machines à voter mêmes et l'urne électronique sont installées par la commune la semaine qui précède les élections. Mais sans les disquettes mentionnées (qui contiennent le logiciel du système de vote), il est impossible d'activer ces machines.

Lors de l'ouverture du bureau de vote, le président contrôle que le bac de l'urne est vide, après quoi l'urne est fermée et scellée. Ensuite, il active l'urne électronique et les machines à voter à l'aide de la disquette maîtresse et du mot de passe fournis. La disquette maîtresse reste dans l'urne pour le déroulement ultérieur du vote et servira à l'enregistrement des votes.

Le déroulement du vote

Un électeur se présente et remet sa convocation et sa carte d'identité au président. Le président prend une nouvelle carte magnétique, l'initialise et la remet à l'électeur. Chaque carte magnétique ne peut être utilisée qu'une seule fois pour l'opération de vote. Avant le vote, chaque carte magnétique doit en effet être initialisée (rendue opérationnelle) afin de ne pouvoir être utilisée que pour le vote dans le bureau. L'initialisation se fait dans l'urne-PC au moyen d'un lecteur de carte magnétique.

L'électeur emporte la carte magnétique initialisée dans l'isoloir et l'introduit dans la fente de la machine à voter. Toute carte mal initialisée ou non initialisée est refusée.

L'écran affiche des indications pendant toute l'opération de vote. Il est d'abord demandé à l'électeur de sélectionner la liste de son choix (7), ensuite d'exprimer son vote (vote en tête de liste, un ou plusieurs candidats effectifs et/ou suppléants de la même liste). Lorsque l'électeur a exprimé son vote avec le crayon optique, il doit le confirmer. À partir de ce moment, le vote est définitif. Tant qu'il n'est pas confirmé, l'électeur peut annuler son vote et recommencer. L'électeur peut émettre un vote blanc. S'il remet sa carte sans avoir voté, sa voix est considérée comme un vote blanc (abstention). Le système ne permet pas de voter nul en « panachant ». Lorsque plusieurs élections se déroulent simultanément, l'opération décrite plus haut se répète pour chaque élection et la carte magnétique enregistrera l'ensemble des votes.

Après que l'électeur a voté, il remet sa carte magnétique au président qui vérifie que la carte ne comporte aucune marque visible. La carte est introduite dans la fente de l'urne électronique (qui comporte également un lecteur de cartes magnétiques) et le vote est enregistré sur disquette.

Fermeture du bureau de vote

À la fin du vote, le président clôt les opérations de vote. À partir de cet instant, l'urne électronique ne peut plus enregistrer aucun vote. Toutes les machines sont éteintes. La disquette avec les résultats (et une copie de sauvegarde) sont mises dans une enveloppe scellée et sont amenées par le président au bureau principal de canton pour totalisation. Les cartes magnétiques restent dans l'urne électronique scellée jusqu'à la validation des élections, à moins d'une demande de recomptage du bureau.

4.1.1.1.2. La machine de vote Digivote et l'urne : matériel

La machine à voter

La machine à voter est l'appareil installé dans l'isoloir. Le matériel d'une machine à voter Digivote est constitué d'un PC standard avec :

une carte mère x86 avec 1 MB de mémoire vive

2 ports sériels

1 port parallèle

1 lecteur de disquettes 3.5 '' 1.44 MB

1 boîtier de type mini-tour

En outre, la machine à voter comprend :

une carte de contrôle pour le crayon optique

un crayon optique

un lecteur-enregistreur de cartes magnétiques (selon les normes ISO 7810 et 7811-2)

Une boîte d'alarme (que le président peut voir) est fixée à l'arrière du PC avec un voyant rouge et un voyant vert ainsi qu'un bouton de remise à zéro.

L'écran est un écran 14'' utilisé en mode monochrome, mais le fonctionnement du système de vote est indépendant du type d'écran. Les boutons de réglage de l'écran sont cachés par une plaque fixée avec des vis.

L'électeur a uniquement accès au lecteur de cartes magnétiques, au crayon optique et à l'écran. Le lecteur de disquette, le commutateur de l'alimentation électrique et le bouton de remise à zéro se trouvent derrière une petite porte fermée. Le boîtier d'alarme se trouve hors de l'isoloir.

Une machine à voter n'a ni clavier ni, normalement, de disque dur. Les administrations communales, qui sont propriétaires du système, peuvent néanmoins décider d'utiliser, entre les élections, les machines à voter comme PC de bureautique. Il faut alors modifier la configuration du matériel standard, à savoir en ajoutant un disque dur. Lorsque l'appareil est utilisé comme machine à voter, il faut toutefois désactiver le disque dur. Il existe à cet effet une disquette de test qui vérifie la veille des élections, après l'installation du système, que la machine a été configurée correctement. Dans des configurations de bureautique, le disque dur se trouve alors désactivé au niveau BIOS.

L'urne

L'urne-PC est l'appareil réservé au président du bureau de vote. C'est la seule machine, dans le bureau de vote, qui dispose d'un clavier. C'est également à cette machine qu'est reliée l'urne électronique. Il n'y a qu'une seule urne-PC par bureau de vote.

Il s'agit aussi d'un PC standard équipé d'un lecteur-enregistreur de cartes magnétiques, sans crayon optique mais avec clavier. Le PC est relié par un câble série à un bac à cartes magnétiques (l'urne). Le bac à cartes magnétiques se compose comme suit :

un bac en métal

un couvercle avec un lecteur de cartes magnétiques

une alimentation électrique

Comme le matériel d'une machine à voter ressemble à celui de l'urne-PC, il est possible, en cas de panne de l'urne-PC, de transformer une machine à voter en urne-PC en enlevant le crayon optique de la machine à voter et en y fixant un bac à cartes magnétiques et un clavier.

En cas de problèmes techniques, le président peut toujours faire appel à l'assistance technique organisée par le fournisseur de l'appareil. À cet effet, Bull a eu recours à la sous-traitance de la firme Banksys pour pouvoir faire face aux affluences éventuelles.

4.1.1.1.3. La machine à voter et l'urne Digivote : fonctionnement

La machine à voter

Une machine à voter offre les fonctions de base suivantes :

elle lit la carte magnétique de l'électeur

elle guide l'électeur par des messages affichés à l'écran

elle affiche les différents bulletins de vote électroniques

elle accepte et valide le ou les votes émis par l'électeur

elle transcrit le ou les votes sur la carte magnétique

La disquette maîtresse contenue dans l'enveloppe scellée que le président peut ouvrir le jour des élections est une disquette d'initialisation (DOS amorçable) utilisée pour faire démarrer les machines à voter. C'est la même disquette qui a été utilisée au préalable pour activer l'urne-PC (voir plus loin). En effet, le logiciel détecte automatiquement s'il s'agit d'une machine à voter ou d'une urne-PC. Comme les machines à voter n'ont pas de clavier, le président doit introduire son mot de passe dans l'urne-PC pour pouvoir le transférer ensuite sur carte magnétique dans la machine à voter. Ce mot de passe forme, conjointement avec un code figurant sur la disquette, la clef de chiffrement des opérations qui suivent. Pour connaître la clef de chiffrement, il faut donc être en possession de la disquette et du mot de passe qui sont conservés tous deux dans des enveloppes scellées distinctes jusqu'au jour des élections. La clef de chiffrement sert notamment au calcul d'un nombre de contrôle. Ce nombre de contrôle garantit l'intégrité du logiciel et des données. On peut ainsi détecter des modifications au programme ou aux listes, par un virus par exemple, qui seraient intervenues après la fabrication de la disquette au ministère de l'Intérieur. Le système se bloque s'il détecte une modification ou une détérioration de la disquette.

Pour une machine à voter, un vote débute par l'insertion d'une carte magnétique validée. Le programme de vote contrôle si :

la carte a été insérée correctement dans le lecteur, faute de quoi cette erreur est signalée à l'utilisateur

le contenu de la carte est lisible, sans quoi il est demandé à l'électeur d'informer le président

la carte a été validée pour ce bureau de vote et si elle n'a pas encore été utilisée, sans quoi il est aussi demandé à l'électeur d'informer le président.

Après trois essais infructueux, le président est alerté par le boîtier d'alarme du système de vote.

Lorsque la carte a été insérée correctement, l'électeur peut émettre son vote au moyen d'un crayon optique. Pour sélectionner un élément, il y a lieu de poser le crayon optique perpendiculairement à l'écran sur la zone choisie et d'appuyer sur l'écran. En dehors de ces zones actives, le système ne tient pas compte des pressions sur le crayon. Le crayon optique ne fonctionne correctement que sur des écrans suffisamment lumineux, ce qui explique l'utilisation de lettres noires sur fond blanc. Le boîtier d'alarme émet un signal si l'électeur essaye de saboter la machine à voter en emportant le crayon optique.

Après le vote, la machine à voter enregistre sur la carte magnétique les données suivantes pour chaque élection pour laquelle l'électeur a émis un vote :

le numéro du collège électoral

le numéro de la liste (0 pour un vote blanc);

le type de vote (vote en case de tête ou vote pour un ou plusieurs candidats titulaires et/ou suppléants);

le numéro de chaque candidat pour lequel l'électeur a voté.

En outre, elle transcrit un bit de test qui indique que cette carte a effectivement servi à émettre un vote et un nombre de contrôle qui doit garantir l'intégrité du vote. Ce nombre de contrôle permettra à l'urne électronique de vérifier que le vote enregistré sur la carte magnétique est effectivement un vote correct émis avec une machine à voter du bureau de vote le jour des élections. En effet, la clef qui a généré le nombre de contrôle se base sur le mot de passe du président et sur un code figurant sur la disquette, lesquels ont été conservés, dans des enveloppes scellées jusqu'au jour des élections.

L'urne-PC

Avec l'urne-PC Digivote, le président est chargé :

d'ouvrir et de fermer le bureau de vote;

d'initialiser la carte magnétique avec mot de passe pour faire démarrer les machines à voter;

d'initialiser les cartes magnétiques vierges pour les électeurs;

d'accepter la carte magnétique avec le ou les votes émis par l'électeur;

d'enregistrer le ou les votes émis sur disquette;

de suivre le déroulement du vote.

La disquette maîtresse contenue dans l'enveloppe scellée sert à faire démarrer l'urne-PC. Pendant la phase de démarrage, le bon fonctionnement du système est contrôlé. Après la phase de démarrage, il faut introduire le mot de passe pour lancer le logiciel Digivote et pour initialiser une carte magnétique. Le système inscrit le mot de passe sur cette carte ce qui permet, comme dit plus haut, de faire démarrer les machines à voter. À cet effet, la disquette maîtresse est retirée de l'urne-PC et est utilisée comme disquette d'amorçage pour les machines à voter. Lorsque toutes les machines à voter ont démarré, la disquette maîtresse est remise dans le lecteur de disquettes de l'urne. Cette disquette restera dans l'urne pendant toutes les opérations de vote et servira à enregistrer les votes contenus sur les cartes magnétiques déposées dans l'urne-PC.

L'initialisation des cartes magnétiques pour les électeurs au moyen de l'urne-PC constitue un élément important dans la sécurité du vote électronique. Lorsqu'un électeur se présente, le président prend une carte magnétique et l'introduit dans le lecteur de cartes magnétiques de l'urne-PC (à ne pas confondre avec le lecteur de cartes magnétiques du couvercle de l'urne fixé à l'urne-PC). Lors de cette opération s'inscrivent, sur la carte magnétique de l'électeur, un vote blanc ainsi que le nombre de contrôle. L'inscription du vote blanc pendant l'initialisation est nécessaire parce que l'électeur n'est pas tenu d'insérer sa carte magnétique dans la machine à voter. En effet, il peut déposer immédiatement sa carte magnétique dans l'urne. Une carte non initialisée sera refusée, tant par la machine à voter que par l'urne.

Bien entendu, la fonction principale de l'urne-PC est d'accepter les cartes magnétiques contenant les votes émis. L'électeur insère sa carte, après un contrôle visuel du président, dans le lecteur de cartes magnétiques du couvercle de l'urne-PC. L'urne lit la carte magnétique et vérifie si celle-ci est valable, sans quoi elle l'expulse. Cette vérification repose sur le nombre de contrôle qui est à chaque fois transcrit, tant lors de l'initialisation que lors du vote même. Le nombre de contrôle est calculé sur la base du contenu du vote de l'électeur et sur la base de la clef de chiffrement mentionnée plus haut. Lors de la lecture de la carte magnétique, l'urne recalcule ce nombre de contrôle. Si ce nombre de contrôle recalculé diffère du nombre de contrôle sur la carte magnétique, cela indique soit que le vote a été modifié après l'enregistrement du vote par une machine à voter, soit que le nombre de contrôle a été calculé avec une autre clef de chiffrement que celle du bureau de vote. Dans la pratique, cette dernière hypothèse indique la plupart du temps que la carte magnétique n'a pas été validée ou qu'elle vient d'un autre bureau.

Une carte magnétique valable, c'est-à-dire une carte où les deux nombres de contrôle correspondent, est détectée comme telle. Après enregistrement du vote, elle tombe dans le bac de réception. Un mécanisme de transaction assure qu'en cas d'interruption de courant par exemple, aucune carte magnétique ne peut tomber dans l'urne sans que le vote n'ait été transcrit.

Chaque vote est enregistré dans un fichier sur la disquette contenue dans l'urne-PC. L'endroit où aboutit le vote dans ce fichier est arbitraire. Dès lors, il ne dépend pas de l'ordre dans lequel les électeurs votent. On peut ainsi garantir le secret du vote. En outre, chaque voix dans ce fichier est encodée et protégée par un nombre de contrôle.

Si la disquette est endommagée pendant les opérations de vote, l'urne peut encore travailler en mode dit « dégradé ». Il reste alors possible de continuer à initialiser des cartes et à les déposer dans l'urne. Toutefois, il n'y a plus d'enregistrement. Dans ce cas, on est obligé, après la fermeture du bureau de vote, de recompter les cartes magnétiques dans le bureau principal de canton en faisant relire une à une, par un lecteur de cartes magnétiques, toutes les cartes qui se trouvent dans l'urne électronique.

Pendant les élections, l'urne-PC affiche un compteur à l'écran avec le nombre de cartes initialisées et le nombre de cartes déposées dans l'urne électronique. On peut ainsi contrôler continuellement le nombre de cartes magnétiques en circulation.

Lors de la fermeture du bureau de vote, l'urne-PC totalise déjà les votes pour chaque liste et pour chaque candidat. Ces informations ne sont cependant pas visibles; elles sont disponibles sous une forme codée sur la disquette maîtresse et sur la disquette de sauvegarde. En effet, ces informations sont utilisées lors de la phase suivante au bureau principal de canton où intervient la totalisation des différents bureaux de vote.

4.1.1.2. Le bureau principal de canton

4.1.1.2.1. La procédure

Immédiatement après la réception des disquettes du bureau de vote, le président du bureau principal de canton enregistre la disquette maîtresse sur une machine de totalisation. Le président du bureau de vote reçoit un accusé de réception pour ses disquettes. S'il s'avère impossible de lire la disquette maîtresse, le président du bureau principal recommence l'opération d'enregistrement avec la disquette de sauvegarde du même bureau de vote. Si l'opération s'avère aussi impossible, le président du bureau principal requiert l'urne électronique correspondante puis procède au recomptage des cartes magnétiques contenues dans l'urne. Ce recomptage est effectué sur un système semblable à une urne électronique. Les votes recomptés sont aussi enregistrés sur disquette. Après le recomptage, l'urne est rescellée et envoyée à la commune. Ensuite, le président enregistre la disquette nouvellement fabriquée sur la machine de totalisation.

Un canton dispose d'une machine de totalisation « intermédiaire » par série de 30 bureaux de vote. Le résultat de chaque bureau est enregistré sur une machine de totalisation intermédiaire déterminée, jamais sur plusieurs simultanément afin d'éviter les doubles comptages. Une fois que tous les bureaux de vote auront été enregistrés, la machine de totalisation « faîtière » du canton totalisera tous les résultats intermédiaires (par série de 30 bureaux de vote) afin d'obtenir le résultat global du canton. S'il y a moins de 30 bureaux de vote dans un canton, il n'y a alors qu'une seule machine de totalisation et la distinction entre niveau de totalisation intermédiaire et faîtier disparaît.

Le président du bureau principal de canton peut proclamer des résultats électoraux partiels après enregistrement d'au moins 10 bureaux et par la suite par série de 10 bureaux de vote supplémentaires, ceci pour garantir le secret du vote. Après enregistrement de tous les bureaux de vote, le système imprime le procès-verbal et les tableaux de recensement des votes. La liste avec les voix de préférence des candidats est aussi imprimée. Ce procès-verbal en quatre exemplaires et les différents tableaux de recensement des votes, signés par le président du bureau principal de canton, les membres du bureau et les témoins, sont mis dans des enveloppes scellées. Une copie du procès-verbal est également transmise au ministère de l'Intérieur.

Le président du bureau principal de canton envoie les enveloppes scellées avec le procès-verbal aux présidents du bureau principal de la circonscription électorale pour la Chambre et le Conseil régional et au président du bureau principal de la province pour le Parlement européen et le Sénat.

Les enveloppes avec les cartes magnétiques annulées et inutilisées sont envoyées au ministère de l'Intérieur dès que les élections ont été validées définitivement ou invalidées. Les disquettes des bureaux de vote et celles qui ont été utilisées par le bureau principal pour le comptage des votes sont aussi envoyées, dans une enveloppe scellée, au ministère de l'Intérieur après que les élections ont été validées.

Jusqu'à la validation des élections, les enveloppes contenant les cartes magnétiques et les disquettes restent sous la surveillance du président du bureau principal de canton. Les urnes contenant les cartes magnétiques restent aussi scellées jusqu'à la validation des élections. Le ministère de l'Intérieur efface les supports de mémoire et les cartes magnétiques utilisés après que les élections ont été validées définitivement ou invalidées.

4.1.1.2.2. Le système de totalisation Digivote : matériel

Le matériel d'une machine de totalisation se compose d'un PC standard avec disque dur amovible (Syquest ou disque Zip). Le démarrage doit se faire à partir d'une disquette. Le logiciel et les données de totalisation se trouvent sur le disque dur amovible.

4.1.1.2.3. Le système de totalisation Digivote : fonctionnement

Par essence, le système de totalisation ne fait rien d'autre qu'enregistrer une à une les disquettes des bureaux de vote intermédiaires et compter les voix pour chaque liste et pour chaque candidat. Un système de totalisation se compose d'un support d'information magnétique sur lequel figurent les programmes et les données nécessaires pour pouvoir effectuer aux différents niveaux les fonctions de totalisation pour les élections. Les données figurent sur le système sous la forme d'une base de données. Les informations contenues dans cette base de données comprennent :

les listes électorales pour les différentes élections; ces listes sont nécessaires pour savoir quelles données doivent être totalisées et pour l'impression des tableaux de recensement des votes;

la liste des bureaux de vote qui doivent être totalisés par ce système de totalisation; le système doit en effet pouvoir contrôler si aucun bureau de vote n'a été oublié ou compté deux fois;

les clefs de chiffrement des disquettes des bureaux de vote à enregistrer; en effet, les informations sur les disquettes maîtresses et de sauvegarde sont codées. Pour pouvoir lire ces informations, le système de totalisation doit disposer des clefs de chiffrement des bureaux de vote intermédiaires. La base de données avec les clefs de chiffrement est codée à son tour avec le mot de passe du système de totalisation.

Toutes les données, y compris les totaux calculés, sont protégées par des nombres de contrôle.

4.1.1.3. La préparation au ministère de l'Intérieur

4.1.1.3.1. La procédure

Deux à trois mois avant les élections, la société Bull fournit un disque « MAMA » au ministère de l'Intérieur (format Zip). Ce disque contient toutes les données et programmes nécessaires à la réalisation d'une journée d'élection dans la zone concernée, à savoir :

les programmes pour :

· générer les disquettes pour les bureaux de vote;

· la totalisation;

· l'encodage des listes;

· l'urne;

· la machine à voter;

une base de données, remplie par Bull, avec :

· le nom du disque « MAMA »;

· la date des élections;

· la ou les langues à utiliser;

· le type des élections;

· une description de l'organisation;

· le nombre de disquettes pour chaque bureau de vote;

· le mot de passe.

Ensuite commence un processus relativement compliqué de production des disquettes destinées aux bureaux de vote et aux bureaux principaux de canton. Ce processus débute par la fabrication de copies du disque « MAMA » pour obtenir les disques d'entrée de données. Ensuite, on peut introduire les différentes listes et plus particulièrement :

les différentes listes qui participent aux élections;

les candidats-titulaires de toutes les listes;

les suppléants de toutes les listes.

Les listes, telles qu'elles apparaîtront à l'écran, sont soumises pour approbation aux présidents des bureaux principaux de circonscription électorale et aux présidents des bureaux principaux de collège. Chaque président valide les documents après avoir apporté éventuellement les corrections nécessaires, à la suite de quoi les listes électorales sont bloquées dans le système afin qu'on ne puisse plus les modifier.

On procède alors à la fabrication des disques de totalisation faîtière à partir des disques d'entrée de données bloqués. Chaque disque de totalisation faîtière contient la liste des disques de totalisation intermédiaire dont il fera la totalisation.

On fabrique également les disques de génération à partir des disques d'entrée de données bloqués. Sur chaque disque de génération figurent les bureaux de vote pour lesquels ce disque générera les disquettes. Ensuite, les disques de génération sont utilisés pour fabriquer les disques de totalisation intermédiaire permettant la totalisation pour les bureaux de vote introduits. Ensuite, deux disquettes sont fabriquées par bureau de vote à partir des disques de génération, une maîtresse et une de sauvegarde, et un mot de passe est généré pour chaque bureau de vote ainsi qu'un document reprenant les noms des disquettes et le mot de passe.

Le ministère de l'Intérieur remet, huit jours au moins avant l'élection, les disquettes qui se trouvent sous enveloppe scellée par bureau principal et par bureau de vote aux présidents des bureaux principaux de canton contre accusé de réception. L'identification du bureau correspondant figure sur chaque enveloppe. Une enveloppe scellée distincte par bureau de vote doit également être remise, contre accusé de réception, aux présidents des bureaux principaux du canton. Elle contient les mots de passe nécessaires à l'utilisation des disquettes.

La veille de l'élection, le président du bureau principal de canton remet à chaque président de bureau de vote de son ressort les enveloppes qui le concernent, contre accusé de réception.

4.1.1.3.2. La préparation avec Digivote : matériel

Le matériel d'une machine de préparation se compose, tout comme une machine de totalisation, d'un PC standard avec un disque dur amovible (Syquest ou disque Zip).

4.1.2. Le système Jites de Philips-Stesud

Le système Jites ressemble comme un frère jumeau au système Digivote de Bull. Les différences se situent essentiellement au niveau du matériel utilisé et aux interfaces présentées aux utilisateurs (l'électeur ou le président du bureau de vote ou de totalisation). Il convient de souligner que les 2 systèmes ne sont pas compatibles.

4.1.2.1. Le bureau de vote

4.1.2.1.1. La procédure

Comme pour le système Digivote, la procédure de vote avec le système Jites est très semblable à la procédure de vote traditionnel. Le bulletin de vote est remplacé par une carte magnétique, le crayon rouge, par une machine à voter et l'urne, par une urne électronique.

Ouverture du bureau de vote

Le président du bureau de vote reçoit la veille des élections une enveloppe scellée contentant des disquettes qui serviront à démarrer les machines à voter et l'urne de son bureau :

une disquette rouge : destinée au démarrage de l'urne;

une disquette blanche : copie de la disquette rouge;

deux disquettes vertes : destinées au démarrage des machines à voter.

Il reçoit également dans une enveloppe séparée, le mot de passe propre à son bureau de vote.

L'urne est démarrée au moyen de la disquette rouge; le président introduit une carte magnétique qui sera ensuite nécessaire au démarrage des machines à voter; il introduit son mot de passe et un code de référence est transféré sur la carte magnétique (ce code sera écrit sur toutes les cartes magnétiques utilisées au cours de l'élection dans ce bureau); il récupère alors la carte magnétique, appelée carte master et procède au démarrage des machines à voter. Le président doit prendre soin de vérifier que l'urne est effectivement vide avant de la sceller et doit également vérifier que les compteurs de l'urne (nombre de cartes validées par type d'élection, nombre des cartes dans l'urne) sont bien à zéro.

Les machines à voter sont démarrées au moyen d'une disquette verte; le système demande au président d'introduire la carte magnétique master; le système enregistre le mot de passe de la carte magnétique; la machine à voter est alors prête.

Déroulement du vote

Le déroulement du vote se passe d'une manière identique à celle avec le système Digivote.

Clôture du bureau de vote

La procédure est similaire à celle du système Digivote.

4.1.2.1.2. La machine à voter et l'urne Jites : matériel

La machine à voter

La machine à voter Jites est un PC standard (quant à ses composants) avec un boîtier particulier : tous les périphériques et prises sont situés sur la face arrière (prise pour le raccordement au réseau électrique, prise pour le clavier, prise pour le crayon optique, un port parallèle, deux ports sériels, prise pour écran, lecteur de disquette, lumières d'alarme, bouton d'éjection de la carte magnétique). Seul le lecteur de carte magnétique est disponible sur la face avant et est donc le seul composant du PC auquel l'électeur a accès.

La machine de vote est dotée d'une architecture de type PC, c'est-à-dire qu'elle est dotée d'une carte-mère équipée d'un processeur de type x 86 (compatible Intel) et d'un 1 MB de mémoire vive (RAM). Le seul périphérique de stockage est le lecteur de disquette : il n'y a ni disque dur, ni lecteur de CD.

L'écran est un écran 14'' utilisé en mode monochrome.

L'urne

L'urne est un appareil tout à fait différent de celle du système Digivote. Il s'agit d'une grande boîte métallique qui est scellée lors des élections et dont le couvercle renferme un PC qui sert à la gestion de l'urne. Cette boîte métallique est dotée d'un lecteur intégré de cartes magnétiques qui sera utilisé pour le dépôt des cartes dans l'urne et d'un lecteur externe qui sera utilisé pour l'initialisation des cartes magnétiques.

Le PC comprend une carte-mère dotée d'un processeur de type x86 compatible Intel, d'un lecteur de disquettes, d'1 MB RAM de mémoire vive, d'un clavier sous la forme d'un pavé numérique (style clavier Bancontact), d'un écran à cristaux liquides de 2 lignes de 20 caractères, de lampes de contrôle, d'un compartiment pour batteries, d'un graveur d'eeprom (c.-à-d. mémoire permanente), d'une prise pour l'alimentation électrique, d'une prise pour le raccordement d'un écran externe et d'une prise pour le raccordement du lecteur de cartes magnétique externe.

4.1.2.1.3. La machine à voter et l'urne Jites : fonctionnement

Le fonctionnement de la machine à voter Jites est semblable à celui de la machine à voter Digivote. Le fonctionnement de l'urne Jites est comparable à celui de l'urne Digivote sauf en ce qui concerne la récupération d'informations après une panne pendant la journée de l'élection. L'urne Jites est en effet dotée de 3 mécanismes d'enregistrement des votes lorsque la carte magnétique de l'électeur est déposée dans l'urne : la mémoire vive, la disquette et l'eeprom. En cas de panne de courant par exemple, les batteries de l'urne garantissent que la carte magnétique en cours de lecture est lue complètement et que les votes qui s'y trouvent sont enregistrés dans l'eeprom et sur la disquette. De même en cas de problèmes avec la disquette principale de l'urne, la disquette de back-up peut être utilisée et les données de l'eeprom peuvent y être transférées, ce qui évite un recomptage (= repasser toutes les cartes magnétiques dans l'urne après la clôture du bureau). Cette redondance permet des redémarrages après panne sans perte d'information.

4.1.2.2. Le bureau principal de canton

4.1.2.2.1. La procédure

La procédure est identique à celle du système Digivote.

4.1.2.2.2. La machine de totalisation Jites : matériel

La machine de totalisation est un PC standard doté d'un disque dur (pour le stockage des résultats) et d'une imprimante pour l'impression du PV. Le démarrage se fait à partir d'une disquette d'amorçage de type MS-DOS.

4.1.2.2.3. La machine de totalisation Jites : fonctionnement

Le fonctionnement est identique à celui de la machine de totalisation du système Digivote. À noter qu'en cas de problème de lecture des deux disquettes d'un bureau de vote, les cartes magnétiques ne doivent pas nécessairement être recomptées : au moyen d'un programme spécial, il est possible de récupérer le contenu de l'eeprom de l'urne et ainsi de regénerer une disquette qui peut être lue par le système de totalisation. Le gain de temps est donc appréciable.

4.1.2.3. La préparation au ministère de l'Intérieur

4.1.2.3.1. La procédure

Des logiciels particuliers tournant sur des PC standards équipés de 4 lecteurs de disquettes servent à la réalisation des disquettes pour les bureaux de vote et de totalisation.

Les informations propres à la structure des arrondissements électoraux (collège électoral, circonscription électorale, nombre de candidats effectifs et suppléants, cantons de l'arrondissement) sont fournies sur disquettes par Philips-Stesud. Ces informations peuvent être modifiées par le personnel du ministère de l'Intérieur au besoin.

Les listes et les noms des candidats effectifs et suppléants sont introduits pour chaque canton sur un des PC du ministère. À la fin de l'introduction des données, des copies écrans sont imprimées et envoyées aux présidents des arrondissements électoraux afin qu'il les valide. Une fois les listes validées, elles ne peuvent plus être modifiées. Les listes seront alors transférées sur disquette et recopiées sur chaque PC du ministère qui sert à la production des disquettes.

En parallèle, d'autres PC servent à l'introduction des listes de bureaux de vote de chaque canton. Lorsque l'ensemble de ces données aura été introduit, le PC équipé de 4 lecteurs de disquettes pourra générer les disquettes pour les bureaux de vote et les PC de totalisation correspondants. Des étiquettes à placer sur ces disquettes seront imprimées au départ de chaque PC sur l'imprimante laser.

4.1.2.3.2. La préparation Jites : matériel

Les PC de préparation sont des PC standards mais équipés de 4 lecteurs de disquettes, et raccordés à une imprimante laser.

4.1.2.3.3. La préparation Jites : fonctionnement

Les différentes fonctionnalités disponibles sur les PC de réalisation de l'élection sont :

initialisation du PC;

modification du nombre de candidats effectifs et suppléants pour les différents scrutins;

impression de la structure générale de la circonscription choisie;

création d'une élection;

encodage des listes électorales;

récupération des listes encodées sur un autre PC;

transfert de listes créées sur le PC vers un autre PC;

validation des listes électorales;

transfert des listes électorales vers une disquette;

récupération des listes électorales à partir d'une disquette;

encodage des bureaux de vote d'un canton;

validation des bureaux de votes;

impression d'étiquettes;

création des disquettes;

formatage des disquettes.

4.2. Le dépouillement automatisé des votes par lecture optique : le système Favor de Fabricom

4.2.1. Le bureau principal de canton

4.2.1.1. La procédure

Dans les bureaux de vote, les votes se déroulent de manière traditionnelle; deux différences doivent cependant être mises en évidence concernant les bulletins de vote :

Les deux coins supérieurs sont coupés d'une façon symétrique.

En bas du bulletin de vote se trouvent des traits de référence verticaux en dessous des cases de vote.

Après la clôture du bureau de vote, les urnes sont transportées au chef-lieu du canton où les bulletins de vote sont dépouillés.

D'abord, le nombre de bulletins de vote par urne est compté.

Ensuite, les membres du bureau déplient les bulletins avec les votes émis vers l'extérieur. En même temps il est vérifié que les formes et dimensions des bulletins n'ont pas été altérées, qu'ils ne contiennent pas à l'intérieur un papier ou un objet quelconque, ou encore que l'auteur ne l'a pas rendu reconnaissable par un signe, une rature ou une marque non autorisés par la loi. Les bulletins altérés sont déclarés nuls et mis à part. Le total des votes nuls est encodé manuellement dans le système.

Les bulletins restants sont mis en plusieurs tas selon la capacité de la machine pour être dépouillés.

Tous les bulletins dépouillés correctement arrivent dans le premier bac de sortie. Les autres bulletins sont déviés dans le second bac de sortie. Ces derniers ne sont pas dépouillés. Après contrôle, certains sont réintroduits correctement et dépouillés.

Si un électeur vote en même temps en tête de liste et pour un ou plusieurs candidats titulaires et/ou suppléants de la même liste, il n'est pas tenu compte du vote en tête de liste. Cette exception est autorisée par la loi.

4.2.1.2. Le système de totalisation de Favor : matériel

Pour chaque type d'élection, un système automatisé de dépouillement des votes par lecture optique est installé par canton.

Chaque système de dépouillement est composé :

d'un PC tournant sous Windows 95, muni d'un écran 15'', d'un clavier et d'une souris;

d'un logiciel de dépouillement;

d'une imprimante;

d'un lecteur optique OMR (Optical Mark Reader);

d'une alimentation de secours (UPS).

Chaque PC est identifié d'une façon unique et toutes les disquettes générées par un PC sont identifiées de la même façon; le logiciel de dépouillement est protégé par un mot de passe.

Le lecteur optique

La technique utilisée par le lecteur optique n'est pas celle de la reconnaissance des caractères mais celle de marques. En outre, des traits de référence verticaux situés en dessous des cases de vote sur les bulletins indiquent les endroits où le lecteur optique doit lire.

La lecture optique se fait recto-verso, les bulletins de vote étant pliés en deux afin que les votes exprimés soient visibles.

Le traitement des bulletins se fait à une cadence de 90 bulletins par minute. Sans trop de perte de temps, on peut dépouiller 5 000 bulletins par heure.

Si l'électeur émet un vote valable, le lecteur le considère comme tel car les marques sont faites dans les cases prévues. Si l'électeur écrit un commentaire sur son bulletin de vote, celui-ci sera considéré comme nul. Si le commentaire est écrit dans les zones verticales entre les traits de référence où il n'y a pas de détection, la machine considère le vote comme valable. Étant donné que les membres du bureau de dépouillement trient les bulletins au préalable, les bulletins non-valides doivent être découverts au préalable.

Si un bulletin mal plié est introduit, le PC le signale de manière audible et demande de le réintroduire correctement.

Lors d'un incident (lors de la lecture optique ou lors de l'écriture) comme une panne de courant, toute l'urne sera recomptée.

4.2.1.3. Le système de totalisation Favor : fonctionnement

Le système crée un tableau comportant les suffrages exprimés par liste pour chaque titulaire et pour chaque suppléant. Ce tableau est inaccessible pendant la durée de l'enregistrement. Le tableau avec les suffrages exprimés doit pouvoir contenir l'expression du vote d'au moins 800 électeurs. Il permet d'enregistrer le choix jusqu'à 20 listes et 35 candidats titulaires et suppléants par liste.

Pendant le traitement d'une urne, les données sont conservées dans la mémoire vive. Lorsque tous les paquets de l'urne sont traités, le système demande une confirmation pour enregistrer toutes les données sur le disque dur et sur la disquette de secours. À ce moment, il faut également mentionner combien de bulletins n'ont pas été comptés par la machine mais ont été considérés préalablement comme nuls par les membres du bureau (bulletins déchirés ou décrits comme illégaux).

Ce n'est que lorsque tous les bureaux sont totalisés que le traitement peut être clos. Plusieurs procès-verbaux sont imprimés et des disquettes sont créées.

4.2.2. Préparation avec Favor

Lors de l'initialisation, les données suivantes sont introduites :

la date de l'élection;

le type d'élection (Europe, Sénat, Chambre et Conseils);

le nombre d'urnes à traiter ainsi que les numéros des bureaux de vote correspondants;

le nombre de listes électorales ainsi que, par liste électorale, le sigle, le numéro de la liste, le nombre de candidats effectifs et le nombre de suppléants et les coordonnées de la case de tête;

liste électorale et par candidat effectif ou suppléant, le nom, le numéro d'ordre sur la liste et les coordonnées de la case de vote sur le bulletin.

Pour valider les données d'initialisation, un ou plusieurs bulletins de vote de test sont introduits. Ces bulletins de test contiennent des votes de références pour contrôler le bon fonctionnement du matériel. Un rapport complet et détaillé par bulletin de vote test est imprimé.

Lors de l'installation il faut également calibrer la sensibilité du lecteur optique. Ces données sont inscrites sur une disquette et sont chargées avant le traitement. En outre le PC chargera ces paramètres dans le lecteur après chaque opération de lecture. Pendant tout le traitement c'est le PC qui gère le lecteur en non l'inverse.

5. CONSTATATIONS

5.1. Le vote automatisé

5.1.1. Digivote

5.1.1.1. Démonstration et test de la machine à voter et de l'urne le 17 mai

Configuration de démonstration et de test :

· 1 urne-PC Digivote avec une urne;

· 1 machine à voter Digivote paramétrée au moyen de listes électorales fictives.

Une simulation de la procédure de vote telle que décrite au point 4.1.1.1.1. a été effectuée. Aucune anomalie ni problème n'ont été détectés. Notons que cette simulation n'avait qu'un caractère informatif et ne visait qu'à une familiarisation avec le système de vote Digivote. Cette simulation ne permet, en aucune manière, de se prononcer sur le fonctionnement du système de vote le 13 juin puisque la simulation concernait des listes fictives et que le logiciel Digivote a encore subi des modifications dans les semaines précédant le 13 juin.

Ensuite, les experts ont procédé à la vérification expérimentale de la résistance du système de vote face aux situations ou manipulations anormales suivantes :

· Interruptions de courant

Après une interruption de courant, il est possible de faire redémarrer une machine à voter avec la disquette de sauvegarde sans devoir interrompre le fonctionnement du bureau de vote. On peut aussi utiliser la disquette maîtresse, mais il faut alors fermer temporairement le bureau de vote puisqu'il faut retirer la disquette maîtresse de l'urne-PC et qu'entre-temps plus aucun vote ne peut être enregistré.

En cas d'interruption de courant de l'urne-PC, il est possible de faire redémarrer l'urne-PC en utilisant la disquette maîtresse. On a pu constater que le système rétablit automatiquement complètement la situation d'avant l'interruption de courant, pour autant que la disquette maîtresse n'ait pas été endommagée.

· Détérioration de la disquette maîtresse

On peut relancer l'urne-PC au moyen de la disquette de sauvegarde, elle travaillera alors en mode « dégradé » (voir 4.1.1.1.3. La machine à voter et l'urne Digivote : fonctionnement). Il faudra alors recompter les cartes magnétiques dans le bureau principal de canton, l'urne n'enregistrant plus les votes.

· Panne

On peut reconfigurer assez facilement une machine à voter en urne-PC en cas de défectuosité de celle-ci. Par contre en cas de panne de l'urne électronique, il faut une intervention technique avant que les opérations normales puissent reprendre dans le bureau de vote. En cas de panne d'une machine à voter, on continue à travailler avec les autres machines à voter. La machine à voter défectueuse est débranchée en attendant une intervention technique. Les parties les plus fragiles de la machine à voter sont le crayon optique et le lecteur de cartes magnétiques.

· Tentative de fraude ou erreurs

* insérer une mauvaise carte magnétique ou une carte magnétique non initialisée dans la machine à voter ou dans l'urne;

* voter deux fois avec la même carte magnétique

Dans les deux cas, la carte magnétique est refusée. La machine à voter émet un signal auditif et le voyant du boîtier d'alarme s'allume après trois tentatives erronées.

· Sabotage

L'électeur n'a accès qu'au lecteur de cartes magnétiques, au crayon optique et à l'écran. Le lecteur de disquette, le commutateur de l'alimentation électrique et le bouton de remise à zéro se trouvent derrière une petite porte fermée. Or, la serrure de cette petite porte peut facilement être ouverte au moyen d'une clef à « verrou de sécurité » d'une configuration PC standard. Dans la configuration de test, les boutons de réglage de l'écran étaient facilement accessibles de sorte que l'on pouvait facilement dérégler l'écran. Mais le 13 juin sur les nouvelles machines, ces boutons seront protégés par une petite plaque. Si on enlève le crayon optique, on provoque une alarme auditive et le voyant du boîtier d'alarme s'allume. Le lecteur de cartes magnétiques de la machine à voter peut facilement être mis hors service en introduisant un objet étranger (par ex. un chewing gum).

5.1.1.2. La rencontre avec des représentants de la firme Bull et le ministère de l'Intérieur le 27 mai

L'objectif de cette rencontre était de mettre au point une manière d'établir, avant les élections, la correspondance entre code source et codes exécutables par une compilation dans un environnement de développement indépendant afin de pouvoir disposer de codes exécutables de référence le 13 juin (voir 3. Méthodes de contrôle).

Il fut constaté que :

le ministère de l'Intérieur ne dispose pas d'un environnement de développement lui permettant de transformer le code source du système de vote en code exécutable;

la firme Bull fournit, au ministère de l'Intérieur, le code source et les codes exécutables. Le ministère ne contrôle pas le code source ni la correspondance entre le code source et les codes exécutables fournis;

le code source et les codes exécutables sont enfermés dans un coffre de banque qui ne peut être ouvert qu'en présence d'un représentant de la société Bull et du ministère de l'Intérieur;

la société Bull admet que les informations techniques fournies au ministère de l'Intérieur (lesquelles sont également en possession du collège d'experts) ne suffisent pas à créer un environnement de développement de manière autonome et à réaliser sur la base du code source, tel qu'il se trouve dans le coffre, un code exécutable. En outre, le code source qui se trouve dans le coffre n'est pas utilisable directement dans l'environnement de développement propre à la société Bull, parce que le format de ce code est une exportation de l'environnement de développement sans maintien de la structure des répertoires.

Le collège d'experts conclut que dans ces circonstances, l'utilité du coffre de banque est marginale et que le ministère de l'Intérieur ne détient que peu d'informations. Or selon le contrat, le ministère de l'Intérieur est propriétaire tant des codes sources que des codes exécutables du système de vote.

Le collège constate également que dans ces circonstances, il est impossible d'effectuer un contrôle indépendant; il demande à la société Bull et le ministère de l'Intérieur de rectifier la situation au plus tard pour le 3 juin.

5.1.1.3. La démonstration du logiciel de totalisation et de préparation le 27 mai

Configuration de démonstration : 1 PC Digivote de totalisation et de préparation paramétré au moyen de listes fictives.

Une simulation de la totalisation dans le bureau principal de canton telle que décrite au point 4.1.1.2.1 a été effectuée en ce compris la génération du PV avec les résultats du canton. Aucune anomalie ni problème n'ont été détectés. Notons que cette simulation n'avait qu'un caractère informatif et ne visait qu'à une familiarisation avec le système de totalisation Digivote. Cette simulation ne permet, en aucune manière, de se prononcer sur le fonctionnement du système de totalisation le 13 juin puisque la simulation concernait des listes fictives et que le logiciel Digivote a encore subi des modifications dans les semaines précédant le 13 juin.

On a aussi procédé à la démonstration de la procédure de fabrication des disquettes dans la phase préparatoire des élections.

5.1.1.4. Échec de la compilation de référence du 3 juin

Objectif

· Mettre sur pied un environnement de développement indépendant à partir d'outils de développement standard sur un PC autonome « vide » (8) sous la supervision du collège d'experts;

· Compiler le code source du système de vote dans cet environnement en vue d'obtenir des codes exécutables binaires de référence qui doivent être identiques à ceux qui seront utilisés le 13 juin;

· Emporter ce code source pour analyse plus approfondie.

Configuration

La société Bull propose la configuration et la méthode suivantes :

· 1 PC vide;

· 1 serveur sous Windows NT avec environnement de développement préinstallé;

· les deux machines sont reliées via un réseau;

· l'environnement de développement est copié du serveur, via le réseau, sur le PC vide.

Constatations

Le collège d'experts fait observer que la méthode proposée manque totalement de transparence et qu'elle n'est pas en accord avec les objectifs. Premièrement, une configuration de réseau n'est par nature pas transparente. En outre, un environnement de développement installé de cette manière ne serait pas indépendant, mais simplement une copie de l'environnement Bull. Dès lors, la configuration et la méthode proposées par Bull sont refusées.

Les représentants de Bull indiquent qu'ils peuvent difficilement accéder à la demande du collège d'experts de créer un environnement de développement indépendant avec des outils de développement standard parce que leurs disquettes d'installation et/ou les disques CD-ROM des compilateurs nécessaires ont été égarés et ne sont plus couramment en vente sur le marché. La seule chose dont Bull prétend encore disposer est un environnement de développement préinstallé tel que celui qui se trouve sur le serveur. Le ministère de l'Intérieur ne dispose pas non plus des outils de développement nécessaires. Le collège d'experts donne à la société Bull et au ministère de l'Intérieur jusqu'au 9 juin pour trouver une solution, faute de quoi il faudra constater qu'il est impossible de contrôler le système Digivote. Le collège déplore, lors de cette réunion, le manque criant de responsabilité et de souci de qualité des représentants de la société Bull.

Le ministère de l'Intérieur indique que, dans la semaine du 25 mai, diverses modifications (« correctifs ») ont encore été apportées au système de vote Digivote. Le code source résultant de ces modifications n'a pas encore été fourni au ministère de l'Intérieur. Or, les nouveaux codes exécutables lui ont déjà été remis et les disquettes destinées aux bureaux de vote sur la base de ces nouveaux codes exécutables sont déjà en cours de fabrication.

Le collège conclut que, indépendamment des difficultés rencontrées avec l'environnement de développement, une compilation de référence n'aurait pas eu beaucoup de sens ce jour-là, étant donné que le code source du système qui fonctionnera effectivement le 13 juin dans les bureaux de vote (y compris donc les modifications récentes) n'a pas encore été remis au ministère de l'Intérieur. Le coffre de banque ne renferme qu'une version précédente. Le collège constate que les procédures pour la livraison et l'acceptation des nouvelles versions du code source et des codes exécutables n'ont pas été respectées.

À la question de savoir quelles sont exactement les modifications qui ont été apportées, le ministère de l'Intérieur répond qu'à sa demande :

· une erreur linguistique a été corrigée dans la version en allemand du logiciel de vote;

· le contrôle sur les exigences auxquelles doit satisfaire l'appareil, effectué pendant la phase de démarrage a été supprimé.

Pour justifier cette dernière modification, le ministère de l'Intérieur déclare qu'il ne souhaite pas courir le risque que certains systèmes de vote pourvus d'un matériel légèrement différent (par ex. avec un disque dur) refusent de démarrer le jour des élections. Le collège d'experts constate que cette modification dépasse la simple correction d'une erreur et déplore que, si peu de temps avant les élections, on procède encore dans l'urgence à d'importantes modifications fonctionnelles, susceptibles d'ailleurs d'avoir des répercussions sur la sécurité du système, sous le vocable de « correctifs ».

5.1.1.5. La compilation de référence du 9 juin

Configuration

1 PC vide autonome

Constatations

· Bull remet un CD-ROM avec le code source du logiciel de vote. Celui-ci ne se trouvait pas dans le coffre.

· L'environnement de développement est installé à partir des disquettes d'installation des outils de développement respectifs (Borland C++ 3.1, Microsoft C 6.0, Progress 4GL).

· Le collège compile le code source qu'il a reçu.

· Les codes exécutables qui en résultent sont comparés avec un échantillon tiré des disquettes fabriquées au ministère de l'Intérieur et destinées aux bureaux de vote le 13 juin. Les disquettes comportent des codes exécutables binaires identiques aux codes exécutables de référence qui viennent d'être fabriqués.

· Le code exécutable de référence du logiciel de totalisation diffère d'un octet du logiciel de totalisation sur les supports magnétiques destinés au 13 juin. Cette différence est due à un horodatage du compilateur. Des codes exécutables réalisés sur la base d'un code source identique mais compilés à différents moments ont un « horodatage » différent.

5.1.1.6. L'analyse du code source

Le code source n'a pu être contrôlé que superficiellement. Le collège d'experts n'a pas eu suffisamment de temps pour une analyse approfondie puisque il a seulement reçu le code quatre jours avant les élections.

Néanmoins, il a pu constater que :

la machine à voter Digivote transcrit les informations suivantes sur la carte magnétique :

· une partie de la clef de chiffrement;

· un code binaire qui indique si la carte a déjà été utilisée ou non;

· par élection :

- le numéro du collège électoral;

- le numéro de la liste (0 pour un vote blanc);

- le type de vote (vote en tête de liste ou vote pour un et/ou plusieurs candidats-titulaires et/ou suppléants);

- les numéros des candidats pour lesquels un vote a été émis;

- un nombre de contrôle.

· lorsque l'électeur émet un vote en tête de liste et un vote pour un ou plusieurs candidats effectifs et/ou suppléants sur la même liste, le vote de tête de liste n'est pas enregistré sur la carte magnétique;

les votes sont enregistrés dans un ordre arbitraire sur la disquette dans l'urne Digivote. Une analyse a posteriori de la disquette d'un bureau de vote peut fournir des informations sur le comportement de vote global dans un bureau de vote.

5.1.1.7. Contrôles l'avant-veille des élections

Canton de Nevele

Le samedi 12 juin aux alentours de 14 heures, le tour a débuté dans les communes de Hansbeke (bureaux 4 et 5), Nevele (bureaux 1, 2 et 3) et Vosselaere (bureau 10). L'expert n'y a constaté aucune activité. Renseignements pris auprès du bourgmestre de Nevele, l'expert a appris que tous les travaux, y compris le contrôle des machines étaient déjà terminés depuis vendredi.

Canton de Zomergem

Vers 16 heures les bureaux 4 à 9 de la Dreef 47 à Zomergem ont été contrôlés. Il y avait un garde dans le hall du bâtiment. Après légitimation et sous escorte, l'expert a pu accéder aux locaux de vote. Ici aussi, tout avait déjà été préparé avant samedi. Tout est installé correctement. Les isoloirs sont adaptés au vote électronique et leur entrée est orientée vers le président. Le boîtier d'alarme est clairement visible par celui-ci.

Canton d'Uccle

Le samedi 12 juin, les machines des bureaux 41 à 46 de la rue Jean Benaets 74 à 1180 Uccle ont été contrôlées. A 20 heures, les bâtiments étaient fermés mais gardés par un veilleur de nuit.

Tous les PCs et les urnes étaient installés correctement, en veillant à ce que :

Tous les isoloirs soient orientés vers le président de sorte que celui-ci ne puisse pas voir le dos de l'électeur;

Tous les câbles électriques des PCs soient branchés à l'extérieur des isoloirs, afin d'être tous visibles pour le président et les assesseurs;

Tous les isoloirs soient aménagés de sorte que les crayons optiques ne puissent pas tomber par terre. Si, malgré tout, un crayon optique tombait de la tablette ou si un utilisateur le faisait tomber, délibérément ou non, le fil de raccordement du crayon optique était si court que la pointe de lecture ne pouvait pas toucher le sol.

Commune de Berchem Ste Agathe

Le vendredi, l'expert se rend aux bureaux de votes installés à l'académie de musique. Il rencontre le responsable de la commune pour les installations.

Ce dernier fait visiter tous les bureaux à l'expert, et explique les choix en ce qui concerne la disposition des bureaux de votes; toutes les machines sont déjà installées, raccordées au niveau électrique à des systèmes de protection contre les surtensions; quelques PCs ne sont pas branchés car en panne; les techniciens doivent venir samedi.

Un bureau compte 6 isoloirs. Chaque isoloir est muni d'un rideau; le petit boîtier d'alarme est visible par le président et ses assesseurs. Les PCs et écrans sont installés à 1m40 du sol sauf dans un isoloir où le PC est nettement plus bas et où il y a une chaise (donc pour les moins valides; à Etterbeek par contre, les personnes moins valides sont dirigées vers un bureau à part. Il semble donc que les communes sont libres de faire ce qu'elles veulent).

Le responsable explique qu'il effectuera les tests hardware le samedi. Le samedi, l'expert assiste aux tests et prend une copie du contenu de la disquette de tests.

Pour effectuer le test, le responsable doit introduire une disquette d'amorçage de type MS-DOS et démarrer l'ordinateur. Le programme de tests demande d'abord de déconnecter le crayon optique et de connecter un clavier. Tout les différents composants de l'ordinateur sont testés :

· le clavier;

· le crayon optique;

· le lecteur de carte magnétique.

5.1.1.8. Contrôles le jour du scrutin

5.1.1.8.1. Bureaux de vote

Bureau de vote d'Anvers nº 66

Sur place à 7 h 15 en même temps que le président du bureau de vote. Le président attend jusqu'à 7 h 35 l'arrivée du premier assesseur pour ouvrir les enveloppes scellées et démarrer le système. Il s'agit d'un système Digivote de la précédente génération. Deux petits problèmes techniques se posent qui sont cependant rapidement résolus : au premier essai, l'urne ne démarre pas correctement parce que l'urne électronique est encore éteinte, et l'écran d'une des machines de vote reste noir parce qu'on a mal réglé les contrastes. De plus, l'urne ferme difficilement étant donné qu'un sac de jute est accroché au bac pour recevoir les cartes magnétiques. L'urne est uniquement fermée, et non scellée. Après la fermeture du bureau de vote, l'urne sera rouverte, le sac de jute retiré de l'urne et scellé (cette manière de fonctionner semble être générale à Anvers et spécifique pour Anvers). Les autres assesseurs arrivent aux environs de 7 h 45. Le président demande à chacun d'eux d'émettre un vote de référence. Cinq votes de référence supplémentaires sont émis au nom du Collège des experts. Les cartes magnétiques sont emportées ainsi qu'une copie de la disquette de sauvegarde avec le logiciel Digivote. Le bureau de vote est ouvert aux environs de 8 h 05 et le contrôle est achevé.

Bureau de vote de Zomergem nº 5

Le bureau complet était présent dès 7 h 25. Le président, le secrétaire et un assesseur avaient, au préalable, bien étudié l'ensemble de la procédure, de sorte que le démarrage de l'urne et des machines de vote n'a soulevé aucun problème. Petite erreur du président : il n'a pas noté les trois premiers votes de référence qu'il a émis. Il a annulé les cartes magnétiques correspondantes et recommencé ces votes de référence. Les votes de référence ont été émis en présence des assesseurs, qui ne paraissaient pas être au courant du fonctionnement des systèmes. Le président a donné des instructions claires aux assesseurs et il a pu ouvrir son bureau à 8 h 10.

Cinq votes de références visant à vérifier leur inscription correcte sur la carte magnétique ont été émis sans problème. Simultanément, nous avons pris une copie de la disquette de sauvegarde du système Digivote.

Bureau de vote Asse nº 30

Sur place à 7 h 25. Deux assesseurs et un responsable communal étaient déjà présents. Le président du bureau s'est présenté aux environs de 7 h 35 et le secrétaire du bureau aux environs de 7 h 45-7 h 50. Le retard dans le démarrage est dû à la composition tardive du bureau (voir secrétaire). Excellente assistance du responsable communal. Bon contact avec le président. Les systèmes ont été mis en route sans problème. Des personnes attendent déjà depuis 7 h 35. La file est due à la composition tardive du bureau et à une grande affluence matinale. À partir de 8 h 15, système opérationnel, peu d'instructions sont données aux assesseurs par le président. Il y a peu d'ordre à l'accueil. Quelques problèmes (alarme) s'expliquent comme suit : simultanéité trop rapide de la validation et de l'insertion dans l'urne. Selon le responsable communal, les systèmes ont été récemment acquis et sont uniquement destinés aux élections. La commune semble très bien organisée (plusieurs responsables). Cinq votes de références ont été émis en présence d'un témoin. Copie prise de la disquette de sauvegarde du système Digivote.

Bureaux de vote d'Uccle, nº^s 47 et 49

Le dimanche 13 juin, le local de vote situé à la Place Saint-Job, 118 à Uccle où se situaient les bureaux nº^s 47, 48, 49 a été contrôlé. À 7 heures, plusieurs présidents et assesseurs étaient déjà présents ainsi que des membres du personnel communal. Dans le bureau nº 49, il y avait deux témoins qui surveillaient attentivement les opérations des experts.

Les experts ont pu, grâce à la collaboration obligeante des présidents des bureaux nº^s 47 et 49, prendre une copie de la disquette maîtresse et de sauvegarde du bureau nº 47 et de la disquette de sauvegarde du bureau nº 49, ainsi qu'une copie de disquette de diagnostic V3-2B du bureau nº 47.

Lors d'un vote de référence, l'« incident » suivant s'est produit. En émettant un vote-test sur une liste du Conseil de la Région de Bruxelles-Capitale, l'intention était d'effectuer 74 votes nominatifs parmi les 75 candidats effectifs et 11 votes nominatifs parmi les 12 suppléants. Lors du pointage du numéro 66, la confirmation du vote a été activée par erreur en raison de la parallaxe. Les noms des 75 candidats effectifs et des 12 suppléants sont répartis comme suit sur l'écran : trois colonnes de 22, et une quatrième colonne contenant 9 effectifs et 12 suppléants. Au bas de l'écran, il y a deux options, soit annuler le vote, soit le confirmer. En raison du nombre de candidats, ces deux options se situent à proximité immédiate des candidats 22, 44 et 66. Cette élection étant la quatrième et la dernière, le vote a été clos après cette dernière confirmation et la carte a été libérée. Retourner en arrière pour corriger est impossible. Il convient à ce propos d'observer que l'écran est un écran 14 pouces et que le vote-test a été émis dans l'isoloir obligatoire pour les moins-valides, lequel dispose d'une tablette plus basse que celle des autres isoloirs.

Bureau de vote d'Eupen nº 11

Suite aux instructions du président du bureau principal du canton d'Eupen, les présidents et les assistants du bureau de vote se sont retrouvés vers 7 h 15 dans le local (très petit). Le président du bureau a expliqué clairement les procédures et la manière de voter, il a distribué les différents rôles. Après le démarrage du bureau de vote, les votes de référence ont été effectués par le président et par l'expert. Seul incident de parcours, un crayon optique refusait de fonctionner. Malheureusement le personnel de la commune n'était pas sur les lieux.

Remarques concernant les incidents qui ont perturbé la journée :

Aussi bien dans les bureaux de vote d'Eupen, que dans la majeure partie des bureaux de vote du canton de St. Vith des problèmes d'électricité ont fortement perturbé le bon déroulement des élections. Ainsi une coupure de courant d'une durée exceptionnelle d'une heure trois quart a bloqué une grande partie des bureaux d'Eupen. Dans la commune de Burg-Reuland les élections n'ont pas pu commencer avant 9 heures, retard du à une panne de courant. Durant l'après-midi, un orage a obligé un redémarrage des bureaux dans la majorité des cas. Dans un bureau, les perturbations ont causé la détérioration de la disquette de l'urne.

L'expert a constaté le vieillissement du matériel. Durant une période fort longue de quatre ans le matériel a été stocké dans les meilleures conditions possibles, mais il n'a pas servi. Il n'existe quasiment pas de bureau dans lequel on n'a pas enregistré un cas de défaillance du matériel informatique, très souvent le crayon optique. Comparé aux élections précédentes, la situation s'est aggravée et le nombre d'incidents techniques se sont multipliés. On doit se poser des questions quant à la durée de vie du matériel.

Bureau de vote d'Ixelles nº 13

Arrivée à 7 heures. Quelques minutes plus tard arrive un président d'un bureau de vote avec son secrétaire.

Il marque son accord pour les différentes opérations que l'expert demande de pouvoir effectuer, mais après constitution de son bureau. Une fois le bureau constitué, l'urne et les machines à voter sont démarrées conformément aux procédures prévues. Aucun problème ne se manifeste. Le président effectue ses votes de référence en présence des assesseurs. L'expert émet ses 5 votes de référence et prend congé à 8 h 30, au moment où le bureau est ouvert. Le retard est à imputer à l'arrivée tardive des assesseurs.

5.1.1.8.2. Bureaux de totalisation

Le bureau principal de canton d'Anvers

C'est ici qu'a lieu la totalisation des 370 bureaux de vote d'Anvers sur une dizaine de PCs de totalisation. Les appareils ont déjà été utilisés lors des élections précédentes (génération avec Syquest à la place des disques Zip). Aux environs de 17 heures, les disques de totalisation et les listes de mots de passe sont retirés du coffre. Toutes les machines de totalisation démarrent sans problème.

Avant le début de la totalisation, il est signalé que plusieurs présidents ont déposé dans l'urne des cartes magnétiques munies de votes de référence sans les avoir numérotées. Le président de canton décide de déduire ces votes de référence a posteriori sur la base des procès-verbaux de ces bureaux. L'urne fonctionne en mode dégradé dans au moins deux bureaux et il sera procédé au recomptage sur un système séparé.

Les présidents des bureaux de vote apportent immédiatement les sacs scellés avec leurs cartes magnétiques au bureau de totalisation. Ils sont entreposés dans l'espace de chargement utile de deux camions à l'entrée du bureau principal de canton.

La totalisation commence à 17 h 30 et le contrôle s'achève.

Bureau de canton de Furnes

Arrivée aux environs de 19 heures. Comptage par le biais de trois systèmes à globaliser ensuite à l'aide d'une disquette de transfert. Le comptage était achevé à l'exception d'un bureau de vote porté « disparu ». Après réception du dernier bureau de vote, la totalisation était close en un quart d'heure. Aucun problème n'a été mentionné en rapport avec les bureaux de vote et de totalisation. Organisation parfaite. Une copie du disque « MAMA » Flandre a été prise sur un disque Zip.

Bureau principal de canton de Bruxelles

Ce bureau de totalisation principal a déjà, depuis plusieurs années, une expérience de la totalisation électronique et y était, cette fois aussi sérieusement préparé.

Quatre batteries de PC attendaient les disquettes de totalisation du canton pour le Parlement bruxellois, le Sénat, la Chambre des représentants et le Parlement européen. En outre, les disquettes de tous les autres cantons de la Région de Bruxelles-Capitale étaient totalisées sur place.

L'expert a pu prendre une copie de Zip TK00 Bruxelles, de la disquette de démarrage des PC de totalisation ainsi que de Zip TK02 Bruxelles.

Bureau de totalisation du canton de Saint-Vith

Avant l'ouverture du bureau, une copie de la disquette de totalisation du canton a été faite. Les premiers présidents de bureau se sont présentés vers 17 h 30 et la totalisation s'est déroulée normalement. En raison des problèmes crées par les orages, il a été nécessaire de procéder à un recomptage d'une urne. Vu l'utilisation dans le bureau de totalisation de matériel « vétuste » (principalement l'imprimante) et le nombre élevé d'élections (5 pour le canton de Saint-Vith) la procédure de totalisation s'est terminée fort tard. Rien que l'impression des procès-verbaux sur l'imprimante matricielle a duré plus d'une heure et demie.

5.1.1.9. Les contrôles après le jour du scrutin

Chaque expert a comparé le code d'exécutable copié au jour des élections avec le code d'exécution de référence obtenu au cours de la compilation de référence du 9 juin (voir 5.1.1.5. La compilation de référence du 9 juin). La concordance est totale.

Le 17 juin ont été visualisés, au ministère de l'Intérieur, les votes de référence pris le jour des élections. Tous ces votes correspondent aux notes prises par les experts, à l'exception des votes où se combinent un vote en tête de liste et un ou plusieurs votes nominatifs. Dans un tel cas, seuls le ou les votes nominatifs ont été enregistrés, et donc pas le vote en tête de liste. Ils ont donc été enregistrés sur les cartes magnétiques conformément aux procédures de dépouillement prévues par la législation électorale.

Le ministère de l'Intérieur prépare un relevé et une analyse du nombre et du type de pannes (dont le nombre est particulièrement important à Anvers). Au jour du dépôt du rapport, les experts n'ont pas encore reçu d'informations complémentaires à ce sujet.

5.1.2. Jites

5.1.2.1. Démonstration d'une machine de vote, d'une urne et du logiciel de totalisation le 25 mai

Étaient installés : une machine de vote, une urne et un PC de fabrication des disquettes (4 lecteurs de disquettes) qui allait servir de machine de totalisation, raccordé à une imprimante laser.

L'urne et la machine de vote sont démarrées conformément aux procédures que devront exécuter les présidents de bureaux. Un certain nombre de votes sont émis (élections, listes et candidats factices). La machine de vote est ensuite redémarrée avec un logiciel particulier qui permet de visualiser les votes contenus sur une carte magnétique. Ce contrôle permet effectivement de vérifier que les contenus des cartes magnétiques correspondent bien aux votes qui ont été exprimés lors de la démonstration.

La machine de totalisation est démarrée conformément aux procédures que devront exécuter les présidents de bureaux. L'urne est clôturée (c'est-à-dire écriture des votes sur la disquette de transfert) et la disquette de transfert est lue par le logiciel de totalisation. Le PV est imprimé et son contrôle permet aux experts de constater que son contenu reflète bien les votes exprimés.

La disquette avec des résultats intermédiaires de la totalisation (données de test) a été visualisée en format ASCII et hexadécimal. Le contenu est chiffré et le déchiffrement est impossible par des moyens simples.

5.1.2.2. La compilation de référence du 3 juin

Conformément avec ce qui avait été demandé, un PC standard amené par Philips-Stesud a été utilisé pour la compilation de référence. Le disque dur a été contrôlé et était bien vide Les logiciels MS-DOS, Clipper et C ont alors été installés. Le contenu des disquettes extraites du coffre (code source) a été copié sur le disque dur du PC. Le code source a été recompilé sans problème. Une copie intégrale du disque dur a alors été prise. Après la compilation, il a été signalé qu'une modification au code source du logiciel de totalisation avait été apportée à la dernière minute. Cela concerne une erreur dans ce logiciel pour les listes dont le numéro est supérieur à 50. Les experts ont procédé eux-mêmes à une recompilation du module de totalisation sur la base du code source modifié. Le résultat correspond au code exécutable utilisé dans certains bureaux de totalisation le 13 juin (voir 5.1.2.5. Les contrôles après le jour de l'élection).

Le collège constate également ici que les codes source et exécutables du coffre ne correspondent pas à la version définitive et que, peu avant les élections, des modifications sont encore apportées.

5.1.2.3. L'analyse du code source

Le code Jites est peu clair et mal structuré, ce qui dans le court laps de temps dont dispose le collège, complique une analyse approfondie. De plus, il semble que pour un code exécutable au moins, le code source et/ou une indication de l'origine fasse défaut.

Il a pu néanmoins être constaté que le vote de l'électeur est correctement transféré sur la carte magnétique. À l'exception d'un code binaire test qui indique si la carte magnétique a déjà été utilisée et du nombre de contrôle, aucune autre information n'est enregistrée. Il faut remarquer qu'ici aussi, seul le vote nominatif est transféré lorsqu'un électeur émet à la fois un vote de liste et un vote nominatif sur une liste.

L'ordre dans lequel les votes sont transférés dans l'urne n'est pas arbitraire mais est basé sur un algorithme simple.

La protection des données se limite chez Jites à un calcul du nombre de contrôle sur la base d'un algorithme d'encryptage propriétaire rudimentaire. La sécurité de ce système de vote électronique repose donc plus sur la qualité des procédures pour l'organisation des élections et sur le secret du code source que sur la qualité interne des algorithmes utilisés. En tout cas, ici aussi une analyse a posteriori de la disquette peut fournir des informations sur le comportement global de vote dans un bureau de vote déterminé.

5.1.2.4. Les contrôles le jour de l'élection

5.1.2.4.1. Bureaux de vote

Bureau de vote Grâce-Hollogne nº 5

Arrivée aux environs de 7 heures. Le premier président qui arrive est celui du bureau nº 5. Il est déjà, à ce moment, 7 h 40. Le bureau se compose petit à petit. Aux environs de 8 heures, le président commence à initialiser l'urne et les machines de vote. Pas de problèmes. Le président émet ses votes de référence en présence des témoins. Les cinq votes de référence sont émis par l'expert sans problème, ainsi que la prise d'une copie des disquettes.

Dans ce bureau, la mise en place et l'organisation des systèmes électroniques se sont déroulés parfaitement. Dans le bureau voisin, le président fait appel au service technique parce que son urne ne fonctionne pas. Le problème résultait toutefois du fait que le président avait omis d'insérer sa disquette avant de démarrer la machine.

Bureau de vote nº 1 de Lens

Arrivée à 7 h 15. Un informaticien du ministère est présent. L'expert constate qu'aucune machine n'est encore reliée au réseau électrique. Les petites boîtes de contrôle sont bien visibles pour le président.

Le président arrive à 7 h 30 et ensuite, petit à petit, les assesseurs. L'urne est vérifiée et scellée. Les enveloppes scellées sont ouvertes à 7 h 45 et une copie de la disquette de sauvegarde a pu être prise immédiatement. L'initialisation se déroule lentement mais sans problème. Le rythme s'accélère lors de la distribution des cartes pour les votes de référence. Le président demande aux assesseurs d'émettre un vote blanc. L'expert émet ses 5 votes de références et quitte le bureau vers 8 h 10.

5.1.2.4.2. Bureaux de totalisation

Le bureau principal du canton de Lens

Arrivée à 17 h 30 en raison des difficultés à Chimay. Le système est déjà démarré. La disquette a été copiée.

Le responsable était occupé à résoudre les problèmes résultant d'une urne qui n'était pas clôturée.

Un président d'un bureau demandait encore des explications sur la manière de mentionner les cartes défectueuses.

Pour ne pas perturber les opérations, l'expert a rapidement quitté le local.

Bureau principal de canton de Saint-Josse

Arrivée à 16 heures. La présidente du bureau de totalisation arrive à 17 heures et à 17 h 30 le bureau est constitué; un témoin de parti est présent. Les enveloppes des PC de totalisation sont ouvertes; l'expert prend une copie de chacune des disquettes de sauvegarde des 4 PC de totalisation. Le démarrage des PC ne pose pas de problème. Des techniciens de Philips-Stesud sont sur place ainsi qu'un informaticien du ministère de l'Intérieur.

Le début de la totalisation commence à 17 h 45.

Les présidents de bureau se rendent d'abord à un bureau où des employés de la commune font une première vérification des documents et enveloppes scellées et récupèrent les cartes magnétiques non utilisées, annulées et représentant des votes nuls. Les présidents de bureau passent ensuite à un des 4 PC de totalisation (le nº du PC leur est communiqué à leur arrivée car les bureaux ont été répartis a priori entre les 4 PC de totalisation). L'utilisateur du PC ouvre l'enveloppe contenant les disquettes et encode à partir du PV du bureau de vote, le nombre de cartes utilisées pour le vote, le nombre de votes nuls (cartes volontairement abîmées par l'électeur) et le nombre de cartes annulées (défectueuses). Plusieurs présidents de bureaux de votes ont confondu cartes annulées et votes nuls au niveau du PV. Quelques erreurs sont signalées : carte de votes de référence ou carte magnétique « master » qui n'a pas été mise dans l'enveloppe scellée, ratures dans le PV, etc.

Deux « incidents » en présence de l'expert :

un président de vote signale (par téléphone) qu'il a clôturé deux fois l'urne sur la même disquette; par mesure de précaution, les techniciens demandent de faire venir l'urne (au cas où il faudrait récupérer le contenu de l'eeprom);

des disquettes de totalisation d'un bureau de vote étaient illisibles (apparemment chaque disquette a été retirée de l'urne avant que la procédure de clôture ne soit terminée).

Conséquences :

contact est pris pour faire venir l'urne afin de récupérer les votes à partir de l'eeprom (le président du bureau marque son accord pour cette procédure plutôt que de faire repasser les cartes magnétiques une à une dans l'urne). L'expert a pris une copie du logiciel utilisé pour récupérer le contenu de l'eeprom de l'urne;

le logiciel de totalisation doit être réinitialisé et il faut recommencer la totalisation des disquettes déjà totalisées (c'est-à-dire retrouver la copie du PV, et repasser les disquettes une à une), ce que les techniciens de Philips-Stesud ont fait. Ceci n'a pris qu'un quart d'heure, car il n'y avait pas beaucoup de bureaux de votes totalisés sur ce PC à ce moment. Si le problème s'était produit plus tard dans la soirée, retotaliser un plus grand nombre de disquettes aurait demandé nettement plus de temps. Dès lors, afin d'éviter que ne se reproduise ce problème, en accord avec la présidente du bureau de totalisation, les techniciens de Philips-Stesud ont installé un portable où les disquettes des présidents de bureaux de votes ont été contrôlées avant d'être transmises aux PC de totalisation. Ce contrôle consistait uniquement à vérifier le contenu de la disquette (noms de fichiers, taille, date et heure) au moyen de la commande « DIR ». Les disquettes étaient verrouillées en écriture par mesure de sécurité. D'après l'informaticien du ministère de l'Intérieur, rencontré le 17 juin, cette procédure a permis de détecter 6 cas qui auraient été sources de problèmes.

Constatation :

La procédure de lecture de la disquette du bureau de vote est rapide. La lenteur de l'ensemble du processus est à imputer aux contrôles « administratifs » des documents des présidents de bureaux de vote, aux confusions entre « votes nuls » et cartes annulées (car ces nombres doivent être encodés au niveau du logiciel de totalisation).

5.1.2.5. Les contrôles après le jour de l'élection

Le 17 juin, les votes de référence émis le jour de l'élection ont été visualisés. Tous ces votes correspondent aux notes prises par les experts à l'exception des votes où un vote de liste a été combiné avec un ou plusieurs votes nominatifs. Dans ce cas, seul le vote nominatif est enregistré et donc pas le vote de liste. Les votes ont donc été enregistrés sur les cartes magnétiques conformément aux procédures prévues par la législation électorale.

Le collège a procédé au contrôle de la conformité entre le code exécutable de référence (résultat de la compilation de référence du 3 juin) et les copies prises le 13 juin.

Le collège constate qu'à Bruxelles la version qui correspond au code source modifié le 3 juin a été utilisée tandis qu'à Lens, une version antérieure a été employée. Cela n'a pas d'influence sur les opérations électorales à Lens. Le collège regrette cependant le fait que le 13 juin la dernière version n'a pas été utilisée partout.

5.1.3. Organisation et procédures au ministère de l'Intérieur

5.1.3.1. Constatations générales

Le système de vote et de dépouillement électronique mis en place par le ministère de l'Intérieur est organisé sur la base :

de matériel,

de logiciels,

d'un ensemble de procédures manuelles de confection de centaines de disquettes et de mots de passe, de leur acheminement vers les endroits d'utilisation et de leur installation.

Ce système étant le fondement de notre système démocratique, il est impératif qu'il soit

parfaitement sécurisé (fraude impossible, secret du vote garanti tant au niveau individuel que sur le plan d'entité géographique,...)

parfaitement fonctionnel (aucune erreur ne peut remettre en cause l'élection. Cela signifie que, soit les erreurs sont impossibles, soit leur détection et correction peuvent se faire selon des procédures qui ne sont pas des failles dans la sécurité ou la source possible de nouvelles erreurs.).

Le collège a reçu du ministère et des fournisseurs un certain nombre de manuels et de notes de service. Ces textes sont des manuels d'utilisation, des listes de tâches et recommandations mais ne constituent pas une description précise des procédures à suivre en vue de garantir les objectifs précités.

La sécurité et le parfait fonctionnement du système n'est garanti que par la qualité et la compétence de tous les opérateurs humains. La moindre erreur, la moindre volonté de fraude à quelqu'endroit pourrait avoir des conséquences désastreuses.

5.1.3.2. Le contrôle lors de la création des disquettes pour les bureaux de vote et de totalisation le 3 juin.

Il apparaît que la création des disquettes et des mots de passe se déroule d'une façon décentralisée sous le contrôle de responsables provinciaux. Pour un certain nombre de provinces, la création se réalise au service central à Bruxelles. Les informations fournies par le responsable provincial démontrent qu'il est bien préparé et qu'il dispose des mesures de contrôle nécessaires pour la création des disquettes et des mots de passe. Toutefois, il a été constaté qu'il n'existait pas de procédure complète pour tous les responsables provinciaux et qu'ils se basent surtout sur un échange oral d'expérience. Les directives de sécurité fournies a posteriori pour l'environnement de production pendant et après la création sont trop sommaires. L'aménagement des lieux et les mesures de contrôle sont susceptibles d'améliorations. Les disquettes sont spécialement créées pour les élections; cependant, il n'y a pas de registre d'entrées et de sorties. Plusieurs membres du collège ont constaté qu'en dehors des heures de bureaux (par exemple pendant le temps de midi), aucune mesure particulière de protection n'est prévue et que le contrôle sur les supports de données ou les sources pour la création des supports de données est insuffisant, voire inexistant.

5.2. L'expérience du dépouillement automatisé au moyen d'un système de lecture optique : Favor

5.2.1. La démonstration du dépouillement automatisé du 21 mai

Description du matériel :

Un PC avec Windows 95 et les logiciels nécessaires

Une imprimante

Un lecteur optique

Le PC et le lecteur optique sont branchés sur une batterie de secours (UPS)

Les tests

La démonstration consistait à compter quelques votes de test et à totaliser les résultats.

Le PC et le lecteur sont démarrés et le logiciel Favor est lancé. D'abord il faut introduire les données concernant le bureau de vote; deux bureaux sont créés afin de pouvoir totaliser.

Lors du comptage les limites du lecteur sont testées, notamment les opérations suivantes :

Entrer de façon erronée un bulletin de vote dans le lecteur,

Ajouter un ou plusieurs traits de référence sur le bulletin de vote avant le traitement,

Plusieurs façons de noircir les cases sont expérimentées (entre autre avec un bic bleu, une case est remplie aux trois quarts, une autre à moitié),

certains bulletins sont déchirés.

Les résultats des tests

Le bulletin, entré de façon erronée, est éjecté dans le magasin de rejet et doit être réintroduit.

Certaines marques non autorisées par la loi ne sont pas détectées par la machine. C'est pourquoi, un contrôle visuel préalable est imposé. Dans le logiciel une tolérance d'un trait de référence supplémentaire est programmé. C'est seulement à partir de deux traits de référence supplémentaires qu'un bulletin sera considéré comme introduit erronément.

Les expériences diverses avec les coloris sont toutes interprétées correctement par la machine.

Les bulletins déchirés sont acceptés par la machine et les votes exprimés sont considérés valables. Il est à noter que la procédure électorale prévoit que les membres du bureau principal du canton déplie au préalable tous les bulletins et constatent normalement si ceux-ci sont altérés dans leurs formes ou dimensions.

5.2.2. La compilation de référence du 3 juin

Le 3 juin, la firme Fabricom livre un nouveau PC avec un processeur Pentium II et un disque dur de 10 GB dans l'emballage original. Le système d'exploitation Windows95 s'installe automatiquement lors de la première utilisation.

La firme Fabricom a apporté l'installation CD sur laquelle figure l'environnement de développement Microsoft C++5.0 Professional edition, y compris le Developer Studio.

Exécution de la compilation de référence :

Lors du démarrage de la machine, on active automatiquement l'assistant d'installation de Windows 95.

Après l'installation de Windows 95, on installe C++5.0 et le Developer Studio dans le répertoire C :\Program Files.

On crée manuellement un répertoire D :\Applications

La totalité du contenu (64 MB en tout) du CD-ROM incluant le code-source, gardé dans un coffre au ministère de l'Intérieur, est copié dans ce répertoire.

Tous les attributs de lecture seule sont adaptés manuellement. Cette opération est nécessaire, parce que les fichiers en provenance du CD-ROM portent tous l'attribut de lecture seule et que le système d'exploitation refusera les opérations d'écriture vers ces fichiers.

Pour éviter des conflits avec la base de données de registre, on fait redémarrer le PC.

Les sous-répertoires adaptés font, chacun, l'objet d'une regénération.

Ensuite, le collège d'experts exécute a fait une copie de tout l'environnement de développement.

5.2.3. L'analyse du code source

Le code source n'a pu être soumis qu'à un contrôle superficiel. Il n'y a pas eu suffisamment de temps pour procéder à une analyse approfondie, d'autant que le collège n'a reçu le code que le 3 juin. Il n'y a pas d'observations particulières à formuler.

Pour le système Favor, il s'agit d'une expérience réalisée dans deux cantons. La nature de l'application rend possible, de manière très simple, un contrôle a posteriori des résultats de la totalisation. Il suffit en effet d'effectuer un comptage manuel classique avec les bulletins de vote originaux. Il a donc été facile de tester le logiciel. Simultanément, les experts ont effectué des tests lors de la démonstration du 21 mai.

5.2.4. Le contrôle le jour de l'élection.

Bureau principal de canton de Zonnebeke

Présence à partir de 14 h 30. Sont déjà présents : les représentants du ministère de l'Intérieur et le concepteur du système Favor. Rassemblement et composition assez chaotiques des bureaux, dus partiellement à un manque de bonne organisation spatiale pour les comptages. En effet, les quatre bureaux de totalisation, au total 56 personnes, sont rassemblés dans un grand hall de sport. Les bureaux, à l'exception du bureau européen, devaient se réunir à 16 h 00. Il faut attendre jusqu'à 16 h 15 avant qu'ils soient composés. Excellente assistance du responsable communal. De plus, il y a une très bonne entente entre les experts et les présidents.

Le bureau de totalisation de la Chambre démarre sans problème. Le bureau de totalisation du Sénat connaît un problème lors de l'introduction du mot de passe (différence entre L et 1). Le bureau du Vlaamse Raad connaît également un problème lors de l'introduction du mot de passe. Ici, la solution se fait attendre plus longtemps. D'abord, on découvre que le clavier est défini en Windows 95 comme belge-néerlandais, et dans les autres systèmes comme français-belge. L'adaptation est réalisée par le fournisseur. Le mot de passe restait erroné. Suite à un contact avec le ministère, le mot de passe qui se trouvait dans l'enveloppe scellée a été confirmé. En définitive, il s'est avéré qu'en frappant trop fort les touches, l'opérateur a provoqué l'introduction de caractères supplémentaires (voir aussi l'installation Windows 95 « délai de répétition »). On peut se demander si, lors de l'introduction du mot de passe, il est utile de ne pas le rendre lisible à l'écran. Le bureau de totalisation du Parlement européen démarre sans problème aux environs de 17 h 00. Il n'y a pas de votes de référence dans ce bureau principal de canton.

La lecture optique n'a pas posé de problème visible. La vitesse de traitement est bonne. Cependant, beaucoup de temps est perdu en raison de la procédure manuelle préalable de comptage (y compris le comptage fautif) et le tri des bulletins de vote avant la lecture optique.

Une copie des disquettes des bureaux de totalisation Vlaamse Raad et Chambre des Représentants a été prise. Après les premières totalisations du Conseil flamand et de la Chambre, les experts ont quitté le local aux environs de 17 h 30. Aucune difficulté particulière n'a été communiquée le jour même. D'après les renseignements fournis par le responsable communal, il fallait antérieurement quelques 90 personnes pour une totalisation de 4 élections alors qu'actuellement, les comptages sont réalisés avec 56 personnes. En outre, ce responsable signale que certains électeurs se demandaient s'ils devaient noircir le rond à gauche ou à droite du nom du candidat.

Bureau principal du canton de Chimay

Après avoir passé un barrage d'agriculteurs, les experts sont arrivés sur place entre 14 h 30 et 15 h 00. Le personnel de Fabricom et une présidente étaient déjà présents. Les quatre bureaux sont composés très lentement. Les enveloppes sont encore scellées. Rien n'est manifestement organisé. Les experts doivent insister avec le secrétaire du bureau principal pour que l'on commence l'initialisation des quatre machines de totalisation. Cette initialisation ne pose aucun problème. Cette initialisation et le comptage des votes de référence ne se réalisent pas toujours en présence du président (il y avait néanmoins chaque fois des assesseurs présents). Il a même été demandé aux experts de procéder aux installations, ce qu'ils ont refusé en renvoyant aux représentants du ministère. Il est 16h30 lorsque les experts peuvent finalement prendre une copie des disquettes.

5.2.5. Les contrôles après le jour des élections

La comparaison entre le code exécutable de référence et la copie prise le 13 juin par les experts, a montré qu'il y a correspondance pour les fichiers « exe ». Des divergences apparaissent sur deux fichiers DLL (msvcrt.dll et mfc42.dll) Ceci est probablement dû à une différence dans la version des systèmes d'exploitation Windows 95. Une explication a été demandée au ministère.

Le 17 juin le ministère de l'Intérieur a signalé que dans le cadre de l'expérience Favor réalisée dans le canton de Zonnebeke, une augmentation significative des bulletins blancs a été constatée pour l'élection de la Chambre (21,2 % de votes blancs par rapport à 9 % en 1995 et par rapport aux autres assemblées). Pour les autres assemblées, aucune différence significative n'a été constatée ni entre elles ni par rapport à 1995 (environ 12 % de blancs). Jusqu'au dépôt du rapport, aucune information complémentaire n'a été fournie aux experts par le ministère.

6. RECOMMANDATIONS

6.1. Les systèmes

6.1.1. Le vote électronique

6.1.1.1. Convivialité des systèmes

La convivialité des systèmes de vote électronique peut être améliorée. Quelques exemples :

Une double confirmation élimine le problème de la confirmation accidentelle du vote;

La possibilité de recommencer toute la procédure de vote sans devoir demander une nouvelle carte au président contribue à une plus grande convivialité;

De plus grands écrans garantissent une meilleure lisibilité;

L'utilisation de couleurs comme pour le vote traditionnel permettrait à l'électeur une meilleure distinction (par exemple : remplir les cases en rouge plutôt qu'en noir, différentes couleurs pour les différentes assemblées).

6.1.1.2. Améliorations techniques

L'appareil pour l'initialisation des cartes magnétiques et l'urne proprement dite doivent être des systèmes distincts. MS-DOS est un environnement mono-tâche. Essayer de remplir simultanément deux fonctions sur un tel système d'exploitation engendre inévitablement des difficultés (5.2.4. Le contrôle le jour de l'élection.). Cette séparation s'impose également pour des raisons de transparence et de possibilité de contrôle. Le programme qui contrôle l'urne (et donc lit les votes) ne devrait pas contenir de code permettant l'écriture sur carte magnétique. C'est actuellement le cas étant donné que l'initialisation se fait par l'écriture d'un vote blanc.

Pour éviter les problèmes en cas de coupure de courant, dans tous les systèmes de votes automatisés, le PC de l'urne et l'urne doivent être pourvus d'un UPS (Uninterruptible Power Supply).

6.1.1.3. Accroissement de la transparence pour l'électeur

La critique fondamentale que l'on peut formuler à l'égard du vote électronique est l'absence de transparence pour l'électeur. Son vote est digitalisé et converti dans des champs magnétiques invisibles sur des disquettes et des cartes magnétiques. Pour ces motifs, des mesures visant à favoriser la confiance de l'électeur doivent être prises afin d'accroître la transparence des opérations. Il ne faut pas pour autant renoncer aux systèmes de vote électronique existants.

 Possibilité de contrôle pour l'électeur

Chaque bureau de vote pourrait être équipé d'un appareil de lecture indépendant. L'électeur aurait alors la possibilité, après avoir exprimé son vote, de vérifier sur un appareil séparé si ce qui est enregistré sur la carte correspond effectivement à son vote. À noter que dans ce cas, le problème de l'enregistrement partiel d'un vote combinant « tête de liste » et un vote pour des candidats, doit de nouveau être étudié (voir 5.1.1.9. Les contrôles après le jour du scrutin et 5.1.2.5. Les contrôles après le jour de l'élection). Le seul fait de prévoir une possibilité de contrôle stimulerait fortement la confiance de l'électeur. L'invisibilité du vote dans les systèmes de vote électronique n'est par ailleurs pas un but en soi mais une conséquence de l'implémentation technique choisie.

 Systèmes alternatifs

Si l'on souhaite voir plus loin que les systèmes existants, il convient alors d'étudier d'autres possibilités. Les avantages des systèmes existants peuvent être par exemple combinés :

· En comparaison avec le vote traditionnel, surtout dans les cantons avec un grand nombre de listes, voter avec un ordinateur de vote simplifie les opérations aussi bien dans les bureaux de vote que dans les bureaux de dépouillement. Cette méthode a cependant l'inconvénient de ne pas être transparente pour l'électeur, car il ne peut pas vérifier sur la carte magnétique, le vote qu'il a exprimé.

· Voter sur des bulletins de vote qui sont totalisés au moyen d'une lecture optique y remédie et permet un comptage manuel en cas de panne ou d'incertitude quant au bon fonctionnement du matériel technique. Les dimensions de ces bulletins de vote sont cependant soumises à des contraintes d'aspects technico-économiques. Par conséquent, cette méthode n'est pas adaptée aux cantons où il y a un grand nombre de listes et/ou de candidats.

· Une combinaison des techniques du vote électronique et de la lecture optique peut être envisagée. Lors du vote électronique, un imprimé est généré, est déposé dans une urne classique et est lu de manière optique et compté.

À la lumière des évolutions technologiques et en tenant compte de l'expérience des systèmes actuels, d'autres pistes de réflexion et alternatives sont également envisageables.

 Divulgation du code source

Une autre mesure pour accroître la transparence est la divulgation du code source des systèmes de vote électronique. Il est tout à fait possible de construire un système sûr et fiable faisant usage de code source public. De plus, la sécurité des systèmes de vote électronique ne provient pas uniquement des systèmes eux-mêmes mais principalement des procédures attenantes. Le collège souligne cependant que dans le cas de la divulgation, les algorithmes de sécurité (encryption, codes numériques de contrôle,...) des systèmes de vote actuels doivent être adaptés. À cet effet, le ministère de l'Intérieur pourrait se faire assister par des spécialistes académiques du domaine.

6.1.2. Le dépouillement électronique via lecture optique

Le collège propose que le système de dépouillement éjecte les bulletins blancs et non valables dans un bac à part, de façon à ce que, par la suite, un contrôle visuel soit encore possible.

Beaucoup de temps serait épargné si le comptage du nombre de bulletins était effectué par la machine plutôt que manuellement.

La qualité des bulletins de vote vierges revêt une grande importance. Le collège recommande donc également d'y accorder une attention particulière.

L'étalonnage de l'appareil de lecture est fait par un technicien lors de l'installation quelques jours avant les élections. Il n'existe aucune norme objective légale imposée pour l'étalonnage. Le collège insiste pour que cette norme soit imposée par arrêté ministériel. Par ailleurs, l'étalonnage doit être transparent et vérifiable par les membres du bureau de totalisation. Cela veut dire qu'ils doivent pouvoir s'assurer, avant la totalisation, du bon fonctionnement du matériel en effectuant par exemple une totalisation de référence.

Le dépouillement électronique via lecture optique étant encore dans une phase expérimentale et appliqué uniquement dans deux petits cantons, il est souhaitable de procéder encore à une totalisation manuelle de contrôle et de comparer les résultats de celle-ci avec ceux de la machine.

6.2. Organisation et procédure

6.2.1. Mise au point d'un cadre procéduriel de qualité pour la préparation des élections

· La confection, les mises à jour, les manuels et la livraison des systèmes (matériels et logiciels) par des constructeurs externes doivent être formalisés au moyen d'un certificat ISO900x. À cette fin, les dossiers d'analyse et de programmation (structures logiques) doivent faire l'objet d'une attention particulière.

· La procédure pour la confection des disquettes est complexe. Elle doit être simplifiée. De plus il convient d'étudier la possibilité de créer de manière sécurisée (encryption) un CD-ROM (ou tout autre support équivalent) pour l'ensemble du scrutin. La réplication d'un tel CD-ROM est une procédure extrêmement simple. Dans cette hypothèse, il faut découpler sur des supports indépendants, d'une part les programmes et les données figées telles que les listes et les candidats (qui doivent uniquement être lus), et d'autre part, les résultats de vote (qui doivent être écrits).

· Un environnement unique, sécurisé en permanence et contrôlé pour la production de supports d'information, doit être mis en place, selon des normes préétablies, au sein du ministère de l'Intérieur ou auprès d'un tiers. L'actuelle confection décentralisée rend la procédure compliquée et le contrôle, difficile.

· Tous les manuels et directives (y compris ceux pour le grand public) doivent être standardisés et émaner du ministère de l'Intérieur. De plus, ils doivent être évalués selon des normes de qualité et des standards. Idéalement, un certificat ISO900x pour l'ensemble du système de vote automatisé et de totalisation devrait être obtenu.

· La mise en place de standards et de procédures pour les tests, la protection des appareils après l'installation dans les communes et avant l'ouverture des bureaux, la check-list pour le président, etc. font également partie de cette procédure ISO.

· Toute modification au logiciel et au matériel doit être suspendue au-delà d'une certaine période précédant les élections, à l'exception des modifications indispensables (bugs) qui ne peuvent avoir lieu que selon une procédure définie au préalable et transparente pour les organes de contrôle.

6.2.2. Mesures visant à permettre un meilleur déroulement des élections mêmes

Plusieurs problèmes le jour des élections sont la conséquence de mauvaises manipulations par le président et/ou des assesseurs. Des instructions pour le président sont effectivement disponibles mais celles-ci ne sont pas toujours claires pour le novice en informatique. Les formations organisées la semaine précédant les élections sont sans aucun doute une initiative précieuse mais n'atteignent pas l'ensemble du groupe cible étant donné leur caractère facultatif. C'est pourquoi le collège des experts demande :

que les systèmes de vote électronique existants soient rendus plus conviviaux et insensibles aux erreurs de manipulation, par exemple en permettant simultanément l'initialisation et le dépôt dans l'urne des cartes magnétiques (au moyen des systèmes distincts) ou en rendant le logiciel de totalisation résistant aux disquettes de transfert (disquettes des urnes) mal clôturées;

que des instructions plus claires soient transmises aux présidents et assesseurs;

Il est évident qu'un service de support rapidement accessible et une assistance technique restent toujours nécessaires ainsi que la conservation dans un local (dans la commune) d'un petit stock d'écrans, de crayons optiques et de machines à voter.

Dans la pratique, il est apparu qu'il était impossible de démarrer la plupart des bureaux dans la demi-heure prévue. Une durée plus réaliste de soixante minutes pour le démarrage des bureaux de vote devrait être prévue.

6.2.3. Le rôle des constructeurs externes vis-à-vis du ministère de l'Intérieur

Le collège des experts a pu constater que, bien que le ministère soit formellement propriétaire des systèmes de vote électronique, il est entièrement dépendant des firmes qui ont livré ces systèmes. La connaissance des systèmes critiques ne peut certainement pas passer au secteur privé, ce qui mettrait l'autorité publique hors d'état d'exercer un contrôle adéquat sur des systèmes dont elle est propriétaire et dont la démocratie est tributaire.

Le collège d'experts insiste sur les points suivants :

que le ministère de l'Intérieur dispose, pour chaque système de vote électronique d'au moins un environnement de développement où le code source peut être transformé en code exécutable et testé;

que les informaticiens du ministère de l'Intérieur reçoivent les connaissances nécessaires de la structure interne des systèmes de vote électronique afin de pouvoir garantir leur opérationnalité et de pouvoir exercer un contrôle effectif sur les fournisseurs externes;

qu'un système d'homologation pour le matériel des systèmes de vote électronique soit mis en place afin d'ouvrir le marché;

que, pour les modules logiciels critiques des systèmes de votes automatisés, en particulier les logiciels de contrôle, des logiciels alternatifs soient développés par un tiers indépendant. Il apparaît aberrant au collège d'experts que les constructeurs contrôlés fournissent également les moyens de contrôle;

que sur la base de structures de données standardisées et définies par le ministère de l'Intérieur, d'autres logiciels pour le vote, pour l'urne et pour la totalisation soient développés. Étant donné qu'à l'heure actuelle, une seule version du logiciel de totalisation et de contrôle existe, le pouvoir législatif perd de facto une part de son pouvoir de contrôle dans le cas où un recomptage des voix pendant la validation des élections s'avérerait nécessaire. La probabilité est grande que lors d'un recomptage par le même logiciel, le même résultat soit obtenu, même si celui-ci est erroné. Le collège souhaite cependant insister sur le fait qu'il n'a, à l'heure actuelle, aucune raison de croire que le logiciel a pu fournir des résultats incorrects. Il s'agit ici avant tout d'une question de principe qui doit permettre d'accroître la confiance dans le vote électronique.

6.2.4. Le caractère évolutif de l'informatique

Le collège d'experts demande que le ministère de l'Intérieur prête une attention particulière à l'impact des évolutions rapides en informatique sur la durée de vie des systèmes de vote électronique. L'élaboration d'un plan (analyse de risque incluse) visant à garantir la durée de vie estimée à 10 ans et qui doit être actualisé annuellement, semble un strict minimum. Trois éléments doivent certainement entrer en ligne de compte :

un plan d'évolution pour le matériel;

un plan d'évolution pour les outils logiciels utilisés;

la gestion de la connaissance technique des différents systèmes.

6.3. Les moyens de contrôles du collège des experts

Actuellement, la compétence de contrôle du collège d'experts est, à strictement parler, limitée au jour précédant les élections et le jour des élections, avant l'ouverture des bureaux de vote et de totalisation.

Cependant, la nature particulière et la complexité des systèmes de vote électronique requièrent en premier lieu, une analyse approfondie et un contrôle de toute la phase de préparation pendant les semaines qui précèdent les élections, aussi bien chez les constructeurs qu'au ministère de l'Intérieur. Le contrôle le jour précédant les élections n'a d'ailleurs pas beaucoup de sens, comme indiqué par ailleurs. Grâce à la collaboration spontanée du ministère de l'Intérieur, le collège a, à cet égard, interprété de façon large sa mission de contrôle « le jour avant les élections » comme étant « les semaines avant les élections ». La loi devrait être mise en conformité avec cette pratique.

De plus, il semble indiqué d'étendre les possibilités de contrôle, durant les opérations de vote et de totalisation. Le contrôle actuel limité (avant l'ouverture des bureaux de vote) ne peut, d'ailleurs, être considéré comme significatif d'un point de vue statistique.

Une extension des possibilités de contrôle aurait un effet positif sur la confiance du citoyen dans le vote automatisé. Dans le cas d'une telle extension de la mission, il faudra nécessairement faire preuve de prudence afin de perturber le moins possible le déroulement des élections. Le collège considère que ceci ne peut entraîner des difficultés insurmontables quant à son organisation. Le contrôle a posteriori des votes de référence exprimés par les présidents des bureaux de vote et l'étalement dans le temps de ces votes de référence peuvent être par exemple envisagés.

7. CONCLUSIONS

Dans les limites de la mission, des moyens et du temps disponibles, le collège conclut ce qui suit.

Le collège n'a pas constaté d'erreurs ou de tentatives de fraude susceptibles d'entraver l'utilisation et le bon fonctionnement des systèmes de votes et de dépouillement automatisé lors des élections le 13 juin. L'objectif visé, à savoir émettre les votes, les enregistrer et les compter selon les dispositions légales, a été atteint.

Le collège souligne que la procédure suivie pour l'organisation des opérations de vote automatisé s'inspire fortement de celles utilisées pour le vote traditionnel. La fonction de contrôle des présidents, assesseurs et témoins demeure, dans cette nouvelle procédure, une garantie indispensable du déroulement correct des élections. Il devient beaucoup plus difficile de commettre, dans les bureaux de vote ou de dépouillement, des fraudes ou des erreurs susceptibles d'avoir un impact important sur le résultat. Afin d'éviter, dans la préparation des élections, des fraudes et erreurs susceptibles d'avoir un impact potentiellement important sur le résultat, il est indispensable d'appliquer avec rigueur des procédures cohérentes et d'assurer un contrôle indépendant.

Les recommandations du collège visent à inciter le ministère de l'Intérieur à continuer d'affiner et de compléter les moyens informatiques engagés, mais surtout à concevoir un cadre de procédures garantissant une qualité optimale.

Le collège d'experts exprime le souhait que le législateur examine l'extension des possibilités de contrôle ratione temporis et ratione loci.

Le collège d'experts souhaite enfin remercier les collaborateurs du ministère de l'Intérieur pour la bonne atmosphère dans laquelle la collaboration s'est déroulée.

Les experts

Pour la Chambre des représentants

E. De Samblanckx

F. Tomicki

Pour le Sénat

E. Willems

P. Van Damme

Pour le Conseil de la Région de Bruxelles-Capitale

G. Cerexhe

G. Royberghs

Pour le Conseil flamand

R. Deboelpaep

Pour le Conseil régional wallon

J.P. Gilson

Pour le Conseil de la Communauté germanophone

B. Hick

25 juin 1999

ANNEXE 1

LISTE DES RÉUNIONS DU COLLÈGE

Lundi 17 mai à 14 heures dans les locaux du Registre national avec M. L. Vanneste, directeur général, et les informaticiens concernés par le développement des applications. La discussion générale fut suivie d'une discussion et d'une démonstration du système Digivote, démonstration effectuée par M. J. Dehertogh, directeur-informaticien.

Mardi 18 mai à 14 heures au Sénat, discussion entre les membres du collège sur la manière d'interpréter et de mettre en oeuvre leur mission.

Vendredi 21 mai à 13 heures dans les locaux du Registre national avec M. J. Dehertogh, directeur-informaticien, discussion et démonstration du système de dépouillement des votes automatisés au moyen du système de lecture optique Favor.

Mardi 25 mai à 9 heures dans les locaux du Registre national avec M. A. Sibille, directeur-informaticien, discussion et démonstration du système automatisé de vote et du système électronique de totalisation Jites.

Jeudi 27 mai à 13 heures, dans les locaux du Registre national, avec le directeur général M. L. Vanneste et des représentants de la firme Bull, discussion de la proposition de la firme Bull, tendant à mettre au point une procédure accélérée de comparaison entre le logiciel-type et le logiciel utilisé pour le système Digivote.

Jeudi 27 mai, dans les locaux du Registre national (après la réunion concernant le point précédant) démonstration et discussion du système de totalisation de Digivote avec M. Dehertogh, directeur-informaticien.

Lundi 31 mai à 10 heures au Sénat, discussion interne des démonstrations et de la documentation analysée.

Jeudi 3 juin à partir de 8 h 30, dans les locaux du Registre national avec M. Vanneste, directeur général, M. J. Dehertogh, directeur-informaticien et M. Sibille, informaticien. Prise d'une copie du code source déposé, configuration d'un PC vierge, compilation du code et comparaison de l'exécutable ainsi obtenu avec le code source déposé. Philips-Stesud (Jites) et Fabricom (Favor) ont réussi ce test. Bull (Digivote) n'a pu mettre à disposition l'environnement demandé (cf. 5.1.1.4. Échec de la compilation de référence du 3 juin).

Jeudi 3 juin à 10, 12 et 15 h 30, dans les locaux du Registre national, avec M. Dehertogh, directeur-informaticien, et M. Sneyers, responsable provincial pour le Brabant flamand, contrôle de la fabrication des disquettes destinées aux bureaux de vote et aux bureaux de totalisation.

Vendredi 4 juin à 9 heures au Sénat, discussion des résultats du 3 juin et organisation des tâches de contrôle des 12 et 13 juin.

Mercredi 9 juin à 9 heures, dans les locaux du Registre national, avec M. L. Vanneste, Directeur général, et M. J. Dehertogh, directeur-informaticien, deuxième essai pour la firme Bull (Digivote) de compilation demandée.

Mercredi 9 juin à 13 h 45 dans les locaux du ministère de l'Intérieur, rue Royale 66, fabrication d'un badge de légitimation.

Mercredi 9 juin à 14 h 15 au Sénat, discussion des connaissances acquises et de l'expérience.

Jeudi 17 juin à 14 heures dans les locaux du Registre national avec M. L. Vanneste, Directeur général, et M. J. Dehertogh, directeur-informaticien, et M. A. Sibille, informaticien, pour le contrôle des votes de références.

Mardi 22 juin à 9 h 30 au Sénat pour la poursuite de la discussion du rapport.

Vendredi 25 juin à 9 h 30 au Sénat pour la seconde lecture et l'approbation du rapport.

ANNEXE 2

LISTE DE LA DOCUMENTATION DEMANDÉE,
REÇUE ET ANALYSÉE

1. Reçu le 17 mai 1999

Analyse générale du système Digivote 1995.

Manuel d'utilisation du système Digivote du 3 mai 1999.

Manuel d'instruction pour les présidents du bureau de vote Digivote.

Manuel pour l'installation technique Digivote 2.

Schéma d'organisation pour les élections du 13 juin 1999 pour Digivote.

Analyse technique Jites 1998.

Manuel d'utilisation Jites.

Dossier de programmation Jites.

Procédure de vote et fonctionnement d'un bureau de vote de Jites.

2. Demandé le 19 mai 1999

Démonstration du système de lecture optique Favor (21/5/99 à 13 h.)

Démonstration du système de vote et de totalisation Jites (25/5/99 à 9 h.)

Démonstration du système de totalisation Digivote (27/5/99 à 13 h.)

Document de légitimation pour le contrôle les 12 et 13 juin.

Un avis aux présidents des bureaux de vote et de dépouillement mentionnant qu'ils doivent autoriser le contrôle des systèmes et tout mettre en place afin que les travaux des experts se déroulent dans les meilleures conditions.

La possibilité de contrôler au jour des élections, dans les bureaux de vote choisis par le collège, le transfert exact de votes-tests sur la carte magnétique ainsi que la conformité du logiciel de la disquette du président avec le logiciel de référence du ministère. Un portable équipé d'un périphérique adéquat et du logiciel paraît être, à cet effet, l'instrument indiqué.

Une liste de tous les bureaux de vote et de dépouillement (incluant leur localisation) où ont lieu les élections automatisées, avec mention du système utilisé : Digivote ou Jites.

L'analyse fonctionnelle établie par le ministère (ou par une entreprise externe) qui sert de base à cette automatisation.

Le cahier des charges spécial de l'appel d'offres général pour le développement des systèmes de vote et de dépouillement automatisés, ainsi que les offres de Bull et de Philips sur la base desquelles le marché leur a été confié et dans lesquelles toutes les mentions de prix ont été rendues illisibles.

Le code source de tous les programmes sur un support magnétique.

La description de tous les fichiers sur support magnétique.

Les renseignements sur le ou les compilateurs(s) utilisé(s) pour pouvoir les identifier de manière claire (langue, marque, version, plate-forme,...) ainsi que les paramètres utilisés.

Quels droits de propriété et/ou de licence grèvent-ils ces logiciels, tant au niveau du code source que de l'exécutable ?

Une analyse approfondie (qui, quoi, où, quand, pourquoi) de la procédure complète de reproduction, paramétrisation et distribution des disquettes et des mots de passe pour les bureaux de vote et les bureaux de dépouillement.

Les procédures à utiliser dans les bureaux de dépouillement.

Les lieux et les dates où les formations seront données aux présidents des bureaux de vote et des bureaux de dépouillement.

3. Reçu le 21 mai 1999

À l'occasion de la démonstration du système Favor, un exemple généré du procès-verbal des opérations de dépouillement et des annexes.

4. Reçu le 25 mai 1999

À l'occasion de la démonstration du système Jites

Un exemple généré du procès-verbal des opérations de dépouillement et des annexes;

Un exemple d'une disquette de transfert des résultats entre machines de totalisation.

5. Reçu le 27 mai 1999

Le cahier spécial des charges de l'appel d'offres général pour le développement de systèmes automatisés de vote et de dépouillement en néerlandais et en français.

La soumission de la firme Bull.

La soumission de la firme Philips-Stesud.

Le manuel concernant la procédure de reproduction, de paramétrisation et de distribution des disquettes et des mots de passe pour les bureaux de vote et de dépouillement Digivote pour les cantons bruxellois, de Halle-Vilvorde, de Wallonie et les cantons des communes germanophones.

Procédures à utiliser dans les bureaux de dépouillement Digivote.

Lieu et date où les formations sont données (liste incomplète).

Liste avec localisation des bureaux de vote et de dépouillement (cette liste est incomplète et ne donne aucune indication quant au système utilisé).

Lecture optique : cahier spécial des charges et offres (le cahier spécial des charges joint ne concernait pas la lecture optique).

À l'occasion de la démonstration du système de totalisation Digivote, un exemple généré du procès-verbal des opérations de dépouillement et les annexes, un récépissé remis au président du bureau de vote, état provisoire des enregistrements, les résultats intermédiaires partiels, un récépissé de la disquette de transfert, le total général des votes valables.

6. Demandé le 31 mai 1999

Le collège prend acte de la confirmation que les travaux prévus conjointement avec Bull le jeudi 3 juin pourront se dérouler au ministère, et qu'il a également été demandé à Philips-Stesud et à Fabricom qu'ils accordent le même jour des facilités similaires à celles demandées à Bull, ce qui n'a pas été refusé.

Comme cela a été communiqué par téléphone, le collège a, en sa réunion du 31 mai, formulé différentes observations en ce qui concerne les renseignements, les documents et les moyens indispensables pour remplir sa mission.

En ce qui concerne le document de légitimation pour les contrôles des 12 et 13 juin, un document tel qu'il a été axé précédemment doit être remis :

Le document serait du format carte d'identité :

Recto : Nom de l'assemblée + Nom de la personne + titre + photo

Verso :

Le ministre de l'Intérieur invite toute personne (tout corps constitué) sollicitée par le porteur de la présente de lui fournir toute l'aide dont elle a besoin dans l'exercice de sa fonction. + signature du DG au nom du ministre.

Une copie de l'avis transmis aux présidents des bureaux de vote et de dépouillement mentionnant qu'ils doivent permettre le contrôle des systèmes et qu'ils doivent tout faire pour que les experts puissent remplir leur mission dans les meilleures conditions possibles en précisant expressément :

· que les experts sont autorisés à faire initialiser les cartes magnétiques à émettre un vote-test et à emporter ces cartes;

· que les experts peuvent prendre une copie des disquettes de logiciel.

La mention du système utilisé : Digivote ou Jites manque dans la liste de localisation des bureaux de vote et de dépouillement où ont lieu les votes électroniques. Il a été convenu que le ministère indique, par canton, le système utilisé.

Le ministère peut-il confirmer que le choix entre Digivote ou Jites a été déterminé comme suit :

« Lors de l'attribution des premiers marchés, le ministère de l'Intérieur a décidé quel système était utilisé dans quelles communes. Lors des extensions suivantes, une concertation a eu lieu entre les communes au niveau d'un même canton pour choisir le système à implémenter. Si les communes ne sont pas parvenues à un accord, l'automatisation n'a pas été introduite. »

Au cahier spécial des charges n'a pas été inséré, dans la farde nº 8 « Lecture optique : cahier spécial des charges et offres », le cahier spécial exact des charges concernant l'appel d'offres général.

État de la question concernant « quels droits de propriété et/ou de licence grèvent-ils ces logiciels, tant au niveau des codes-source que de l'exécutable ? ».

La procédure complète de reproduction, paramétrisation et distribution des disquettes et des mots de passe des bureaux de vote et des bureaux de dépouillement pour le système Jites. Les experts souhaitent recevoir également la version actualisée pour Digivote.

Le ministère peut-il confirmer que :

« Le ministère de l'Intérieur fournit, contre récépissé, au président du bureau principal du canton toutes les enveloppes scellées avec les disquettes et les mots de passe pour la totalisation et pour les bureaux de vote des cantons. C'est le président du bureau principal du canton qui est responsable de la distribution des enveloppes scellées comprenant les disquettes et les mots de passe aux bureaux de vote. Le ministère ne donne à ce sujet aucune directive à ces présidents. »

Si des directives existent néanmoins, les experts souhaitent en recevoir une copie.

Le ministère exerce-t-il un contrôle sur cette distribution ?

7. Demandé le 3 juin 1999

En examinant les listes des adresses des bureaux de vote et de totalisation, il a été constaté que cette liste ne comprend pas la Flandre orientale. Le ministère peut-il la transmettre au collège ?

8. Reçu le 3 juin 1999

Première version de la lettre du ministre de l'Intérieur aux présidents des bureaux principaux de cantons.

Liste des cantons avec mention du système utilisé : Digivote ou Jites.

Explication relative à l'attribution des marchés concernant les systèmes de vote automatisé en 1992 et 1998.

Cahier des charges du système de dépouillement automatique au moyen d'un système de lecture optique.

Explication concernant les droits de propriété relatifs au logiciel des systèmes de vote automatisés.

Procédure de duplication, paramétrisation, distribution des supports de données et des mots de passe pour le système Jites.

10 CD-ROMs « Élection pour demain » concernant la législation électorale.

Procès-verbal de la réunion du 27 mai rédigé par le ministère de l'Intérieur.

Manuel d'utilisation de Jites en français et en néerlandais.

Jites « arbre d'erreurs ».

Procédure de recompilation pour Jites.

Jites : dossier de programmation incluant l'historique et les modifications, liste des bogues et des corrections conformément à ce qui est déposé dans un coffre.

Copie complète du logiciel de Philips-Stesud, Jites.

Copie complète du logiciel de Fabricom : Favor.

9. Reçu le 4 juin 1999

Adresses des bureaux de vote et de totalisation de la Flandre orientale.

10. Demandé le 4 juin 1999

Une copie de la lettre de M. L. Vanneste aux firmes Bull, Philips-Stesud et Fabricom suite à l'entretien du 27 mai concernant l'organisation du test de recompilation du 3 juin.

Étant donné que la recompilation du système Digivote prévue le 3 juin n'a pu avoir lieu par le fait de Bull, nous serons présents le 9 juin à 9 heures dans les bureaux du Registre national pour effectuer à nouveau ce test. Un report ultérieur de celui-ci de la part de Bull nous paraît inacceptable.

Le collège a reçu la procédure technique de reproduction, paramétrisation et distribution des disquettes et mots de passe des bureaux de vote et des bureaux de dépouillement. Il souhaitait également recevoir du ministère de l'Intérieur la description de la procédure organisationnelle à respecter dans ce cadre.

Une description des mesures de sécurité qui sont prises dans les différents centres de production pendant la reproduction des disquettes.

Il convient de mentionner également dans la lettre adressée par le ministre de l'Intérieur aux présidents des bureaux principaux qu'ils sont autorisés à prendre une copie au moyen d'un portable de la disquette de sauvegarde des logiciels du bureau de vote et du bureau de totalisation.

Le collège souhaiterait connaître l'orthographe exacte du nom et la fonction du responsable provincial du Brabant flamand qu'il a rencontré en vos bureaux le 3 juin.

Quelle est la procédure à suivre si une ou plusieurs assemblées souhaitent procéder au recomptage d'un canton ?

Que se passe-t-il avec le contenu des urnes et les disquettes distribuées après validation du résultat des élections par les assemblées ? Y a-t-il à ce sujet des directives écrites ?

L'article 5bis de la loi du 11 avril 1994 stipule en son § 3 que :

« Ils peuvent notamment, grâce au logiciel de contrôle mis à leur disposition par le ministère de l'Intérieur, vérifier la fiabilité des logiciels des machines à voter, la transcription exacte des votes émis sur la carte magnétique, la transcription exacte par l'urne électronique des suffrages exprimés, ainsi que leur totalisation et la lecture optique des votes exprimés. »

Quel logiciel est à cet effet à la disposition du collège ?

À l'exception de la province de Flandre orientale, il manque les adresses de tous les bureaux de totalisation des cantons. Le ministère peut-il les transmettre ce mercredi ?

11. Reçu le 9 juin 1999

Le procès-verbal de la réunion du 3 juin 1999 établi par le ministère.

Réponses aux questions posées le 4 juin 1999.

Copie des lettres de M. Vanneste aux firmes Bull, Philips-Stesud et Fabricom concernant l'exécution du test de recompilation du 3 juin 1999.

Des notes relatives aux procédures organisationnelles établies par le ministère de l'Intérieur le 28 juin 1998, le 21 octobre 1998 et le 29 janvier 1999.

Procédure de visualisation des votes par Digivote.

Rapport d'évaluation du 13 décembre 1996 concernant le vote automatisé en 1994 et en 1995.

Copie de la note au Conseil des Ministres en juin 1997.

Adresses des bureaux de totalisation.

Procédure de recompilation par Digivote.

Copie complète du logiciel de Bull Digivote et du logiciel utilisé pour la recompilation de celui-ci.

12. Reçu 17 juin 1999

Le rapport de la réunion du 9 juin 1999 rédigé par le ministère.

Un extrait du Moniteur belge du 13 mai 1999 concernant les instructions aux présidents des bureaux de vote utilisant le vote traditionnel et des bureaux principaux de cantons équipés d'un système de dépouillement automatisé au moyen d'un système de lecture optique dans les cantons de Zonnebeke et de Chimay.

Un exemplaire de tous les documents reçus énumérés ci-dessus pourra être consulté par les assemblées parlementaires au greffe de la Chambre des représentants. Les membres du collège déclarent que toutes les copies qu'ils ont effectuées pendant leurs travaux ont été détruites et qu'ils ne sont plus en possession d'aucun document fourni par le ministère de l'Intérieur et par les firmes concernées sous quelque forme que ce soit.

(1) Document de la Chambre, session 1997-1998, nº 1728-1.

(2) Document de la Chambre, session 1997-1998, nº 1420-1, p. 5.

(3) Annales parl., Chambre des représentants, commission de l'Intérieur, session ordinaire 1998-1999, réunion du 31 mars 1999.

(4) Amendement nº 1, Document de la Chambre, session ordinaire 1997-1998, nº 1728-3.

(5) Voir aussi la brochure d'information du ministère de l'Intérieur « Le vote automatisé en Belgique les élections du 13 juin », http ://mibz.fgov.be/pd/pdc/frdc01.htm

(6) Voir le cahier spécial des charges nº RRN1/1992 du ministère de l'Intérieur et l'arrêté ministériel d'agréation du 5 mai 1999, Moniteur belge du 12 mai 1999.

(7) Dans les communes de l'arrondissement de Bruxelles-Capitale et de la circonscription électorale germanophone ainsi que dans certaines communes à statut spécial, l'électeur doit encore sélectionner auparavant la langue dans laquelle il dialoguera avec le système et le collège électoral. Tant que l'électeur n'a pas confirmé son vote, il peut modifier le choix du collège électoral. Le choix du collège électoral peut donc varier par élection.

(8) Par « vide », on entend qu'aucun logiciel n'a encore été préinstallé sur la marchine. En d'autres termes, le disque dur est d'abord reformaté.

2 - 7/1 (Sénat)- 1/2 - 1999 ) (Chambre)

2 - 7/1 (Sénat)- 1/2 - 1999 ) (Chambre)

Sénat et Chambre des Représentants de Belgique

SESSION EXTRAORDINAIRE DE 1999

Collège d'experts chargés du contrôle des systèmes de vote et de dépouillement automatisés

RAPPORT

CONCERNANT LES ÉLECTIONS DU 13 JUIN 1999

SOMMAIRE

1. COMPOSITION DU COLLÈGE

2. LA MISSION

2.1. Genèse du contrôle du vote automatisé

2.2. La loi

2.3. Difficultés d'application de la loi

3. MÉTHODES DE CONTRÔLE

4. APERÇU DES DIFFÉRENTS SYSTÈMES

4.1. Le vote automatisé

5. CONSTATATIONS

5.1. Le vote automatisé

5.2. L'expérience du dépouillement automatisé au moyen d'un système de lecture optique : Favor

6. RECOMMANDATIONS

6.1. Les systèmes

6.2. Organisation et procédure

6.3. Les moyens de contrôles du collège des experts

7. CONCLUSIONS

Les experts

ANNEXE 1

ANNEXE 2

2 - 7/1 (Sénat)
- 1/2 - 1999 ) (Chambre)

2 - 7/1 (Sénat)
- 1/2 - 1999 ) (Chambre)