X. LES MODALITÉS DU VOTE

Le système proposé repose sur un vote fréquent : élections, révocations, référendums. Cette section décrit l’infrastructure technique qui rend tout cela possible, en garantissant à la fois l’anonymat, la sécurité et la praticité.

10.1 — La carte d’électeur anonyme

L’anonymat du vote est fondamental. Le système repose sur une architecture où trois éléments sont séparés et jamais reliés :

ÉlémentContenuDétenu par
Carte d’identitéNom, photo, biométrie A (empreintes)Citoyen + registre civil
Carte d’électeurNuméro aléatoire, biométrie B (iris), poids censitaire chiffréCitoyen uniquement
Registre électoralNuméros de carte → votes chiffrésAutorité électorale

Tableau 9.1 — Architecture de séparation identité/vote

Aucune base de données ne relie identité ↔ numéro de carte. L’anonymat est structurel, pas seulement juridique.

Séparation des données électorales Séparation des données électorales Figure 9.1 — Séparation des données électorales

Processus d’attribution :

  1. Le citoyen se présente en mairie avec sa carte d’identité
  2. Vérification : il n’a pas déjà reçu de carte (registre “a reçu une carte”, sans le numéro)
  3. L’agent ouvre un bac contenant minimum 100 cartes pré-générées (numéros aléatoires, non activées)
  4. Le citoyen en pioche une lui-même au hasard – l’agent ne touche jamais la carte, ne voit jamais le numéro
  5. Le citoyen passe dans un isoloir pour activer la carte, enregistrer sa biométrie B (iris), et recevoir le document papier (PIN, PUK, code de propriété)
  6. L’agent valide “carte remise” sans jamais savoir quel numéro

Mise à jour annuelle du poids censitaire :

  1. Le citoyen se rend dans un terminal sécurisé (mairie, isoloir dédié)
  2. Insertion carte d’identité → le terminal interroge l’administration fiscale → récupère le poids calculé
  3. Insertion carte d’électeur → le terminal inscrit le poids chiffré sur la carte
  4. Le terminal efface immédiatement le lien – pas de log, machine air-gapped (sans connexion réseau)

Biométries distinctes : Les empreintes (carte d’identité) et l’iris (carte d’électeur) sont des biométries différentes. Impossible de relier les deux cartes par la biométrie dans les bases de données.

Perte ou vol : Le citoyen se présente avec sa carte d’identité + code de propriété. L’ancien numéro est blacklisté. Nouvelle carte avec nouveau numéro aléatoire. Aucun lien identité ↔ numéro n’est jamais stocké.

10.2 — L’isoloir physique

Pour les votes à fort enjeu de coercition, le vote se fait dans un isoloir permanent en mairie, aux heures étendues (comme un photomaton). Le citoyen s’y rend seul, insère sa carte, entre son PIN, et utilise sa biométrie.

Vote dans l’isoloir :

  1. Authentification : carte d’identité (photo + biométrie A), puis carte d’électeur (biométrie B + PIN)
  2. Choix du vote (ou blanc/gris) + option “je veux pouvoir révoquer”
  3. Le vote chiffré + poids chiffré sont transmis au serveur avec le numéro de carte – aucune identité ne transite
  4. Le citoyen repart avec un code de vérification (prouve que son vote a été compté, pas pour qui)

Code open source : Le logiciel de l’isoloir est publié. Avant chaque élection, des machines tirées au sort sont auditées – comparaison de hash avec le code publié. Des citoyens avertis peuvent vérifier le checksum dans l’isoloir.

Ce déplacement physique a plusieurs vertus :

Le temps de réflexion : pas de révocation à chaud sous l’émotion d’une polémique. Le trajet est un sas de décompression.

La volonté réelle : si on se déplace, c’est qu’on y tient vraiment. C’est un filtre naturel contre la versatilité.

La protection contre la coercition : même si un conjoint abusif connaît les codes, il ne peut pas entrer dans l’isoloir à la place de sa victime (biométrie) et ne peut pas voir ce qu’elle y fait. On peut lui dire “c’est fait” et faire l’inverse. Il ne saura jamais.

10.3 — Les sécurités techniques de l’isoloir

L’isoloir est conçu pour garantir que le citoyen est seul et libre :

Détection de présence : si le système détecte deux personnes dans la cabine, ou si la porte reste ouverte, il refuse de fonctionner. Personne ne peut surveiller par-dessus l’épaule.

Détection d’appareils électroniques : si un téléphone, appareil photo, ou tout autre dispositif d’enregistrement est détecté, le système se bloque. On ne peut pas être forcé à filmer son vote pour prouver à quelqu’un ce qu’on a fait.

Ces protections techniques rendent la coercition pratiquement impossible. Même sous menace, on peut entrer dans l’isoloir et faire ce qu’on veut. Personne ne peut vérifier.

10.4 — Le vote en ligne

Le système proposé multiplie les occasions de vote : élections, révocations, référendums constitutionnels, référendums sur les traités, référendums sur les gros marchés publics… Si tout devait se faire en isoloir physique, les citoyens passeraient leur vie en mairie.

La solution : distinguer selon le risque de coercition.

Isoloir physique obligatoire :

  • Les élections (élire des personnes)
  • Les révocations (défaire des personnes)
  • Les référendums constitutionnels (enjeux fondamentaux)

Ces votes portent sur des personnes ou des enjeux existentiels. Le risque de coercition est maximal : un employeur peut vouloir savoir pour qui vous votez, un conjoint violent peut exiger une preuve. L’isoloir physique avec détection de présence et blocage des appareils électroniques reste indispensable.

Vote en ligne possible :

  • Les référendums sur les marchés publics
  • Les référendums ordinaires (lois, traités commerciaux, questions locales)

Ces votes portent sur des projets ou des textes. Le risque de coercition est plus faible : personne ne va menacer sa femme pour qu’elle vote pour tel fournisseur de tramway. Et même si quelqu’un tentait de contraindre, l’enjeu personnel est moindre – la victime peut céder sans trahir ses convictions profondes.

Les garanties du vote en ligne :

  • Authentification par carte d’électeur + PIN + code SMS ou application dédiée
  • Chiffrement de bout en bout – le serveur ne voit que le vote chiffré et le poids chiffré
  • Possibilité de “revoter” pendant la période de vote – seul le dernier vote compte. Cela permet à une personne sous contrainte de voter sous surveillance, puis de revoter seule plus tard
  • Code de vérification – le citoyen peut vérifier que son vote a été compté
  • Audit public du code source

Le droit de voter en isoloir reste ouvert. Même pour un référendum ordinaire, tout citoyen peut choisir de voter en isoloir physique plutôt qu’en ligne. C’est une option, pas une obligation.

Le volume devient gérable. Avec le vote en ligne pour les référendums ordinaires, le système peut fonctionner sans noyer les citoyens. Les déplacements physiques sont réservés aux enjeux où la protection maximale est nécessaire.

10.5 — Étude de cas : Le vote électronique estonien (i-Voting, 2005-présent)

L’Estonie est le seul pays au monde à avoir généralisé le vote en ligne pour les élections nationales [51][52]. Depuis 2005, tout citoyen peut voter depuis son ordinateur grâce à sa carte d’identité électronique. En 2023, 51% des votes aux élections législatives ont été exprimés en ligne [53].

Ce qui a fonctionné

Adoption massive progressive. De 2% des votes en 2005 à 51% en 2023. La confiance s’est construite élection après élection. Le système n’a pas été imposé brutalement — il a été adopté progressivement par les citoyens [51].

Infrastructure d’identité numérique solide. L’i-Voting repose sur l’ID-kaart (carte d’identité électronique) et le Mobile-ID. 98% des Estoniens ont une identité numérique. Le vote n’est qu’une application parmi d’autres (banque, impôts, santé) [52].

Possibilité de revoter. L’électeur peut modifier son vote autant de fois qu’il le souhaite pendant la période de vote anticipé. Seul le dernier vote compte. C’est une protection contre la coercition : on peut voter sous surveillance, puis revoter seul plus tard [51].

Vérification individuelle. Depuis 2013, chaque électeur peut vérifier via son smartphone que son vote a été correctement enregistré [53].

Coût marginal faible. Une fois l’infrastructure en place, le coût par vote est négligeable. Pas besoin d’isoloirs physiques supplémentaires, de personnel électoral, de dépouillement manuel.

Accessibilité. Les personnes à mobilité réduite, les expatriés, les citoyens en déplacement peuvent voter sans contrainte logistique.

Ce qui pose problème

Vulnérabilités identifiées. Des chercheurs ont démontré des failles potentielles : malware sur l’ordinateur de l’électeur, attaques sur les serveurs de collecte, manipulation possible côté serveur [52]. Aucune attaque réussie n’a été prouvée, mais le risque théorique existe.

Confiance invérifiable. Le citoyen ordinaire ne peut pas auditer le système. Il doit faire confiance aux experts et aux autorités. Le code est publié, mais peu de gens peuvent le vérifier réellement.

Concentration du risque. Une attaque réussie sur le système central pourrait affecter l’ensemble de l’élection, contrairement aux bureaux de vote physiques décentralisés.

Pas de reçu papier. Contrairement au vote physique, il n’y a pas de trace matérielle. Un recomptage indépendant est impossible.

Risque de coercition résiduel. Malgré le revote, un coerciteur sophistiqué pourrait surveiller jusqu’à la fin de la période de vote. Le risque est réduit, pas éliminé.

Ce qu’on garde du modèle estonien

  • La possibilité de revoter comme protection contre la coercition
  • La vérification individuelle que le vote a été enregistré
  • L’infrastructure d’identité numérique comme prérequis
  • L’adoption progressive qui construit la confiance
  • Le code source public pour l’auditabilité

Ce qu’on améliore

  • Distinction par risque de coercition : notre système réserve le vote en ligne aux référendums ordinaires. Les élections (personnes) et référendums constitutionnels restent en isoloir physique — l’Estonie permet le vote en ligne pour tout
  • Isoloir physique renforcé : détection de présence, blocage des appareils électroniques — protections que l’Estonie ne peut pas offrir pour le vote à domicile
  • Séparation identité/vote : notre système utilise deux cartes distinctes (identité et électeur) avec biométries différentes. L’Estonie utilise la même carte pour tout

Ce qu’on ne reprend pas

  • Le vote en ligne pour les élections de personnes : le risque de coercition est trop élevé
  • La confiance dans le vote à domicile : même avec le revote, l’isoloir physique reste supérieur pour les enjeux majeurs
  • L’absence de trace matérielle : notre système maintient des sauvegardes et des mécanismes d’audit