Bei grossen Gesetzen wie OR und ZGB kann dies bis zu 30 Sekunden dauern

Ordonnance de la ChF
sur le vote électronique
(OVotE)

du 13 décembre 2013 (Etat le 1 juillet 2018)er

La Chancellerie fédérale suisse (ChF),

vu les art. 27c, al. 2, 27e, al. 1, 27f, al. 1, 27g, al. 2, 27i, al. 3, et 27l, al. 3, de l’ordonnance du 24 mai 1978 sur les droits politiques (ODP)1,

arrête:

1 RS 161.11

1

Art. 1 Objet et définitions  

1 La présente or­don­nance fixe les con­di­tions ré­gis­sant l’oc­troi de l’agré­ment pour le vote élec­tro­nique.

2 Les défin­i­tions ap­plic­ables sont celles qui fig­urent au ch. 1.3 de l’an­nexe.
Art. 2 Conditions générales régissant l’octroi de l’agrément pour chaque scrutin où l’on aura recours au vote électronique  

L’agré­ment est ac­cordé pour chaque scru­tin où l’on aura re­cours au vote élec­tro­nique si les con­di­tions suivantes sont re­m­plies:

a.
le sys­tème de vote élec­tro­nique (sys­tème) est con­çu et ex­ploité de telle sorte qu’il garantit la sûreté et la fiab­il­ité du vote (an­nexe, ch. 2 et 3);
b.
le sys­tème est fa­cile à util­iser pour les élec­teurs. Les be­soins par­ticuli­ers de tous les élec­teurs, si pos­sible, sont pris en compte;
c.
le sys­tème et les opéra­tions d’ex­ploit­a­tion sont décrits dans une doc­u­ment­a­tion de man­ière à ce qu’il soit pos­sible de com­pren­dre en dé­tail toutes les opéra­tions tech­niques et or­gan­isa­tion­nelles qui sont per­tin­entes du point de vue de la sé­cur­ité.
Art. 3 Appréciation des risques  

1 Le can­ton doit ef­fec­tuer une ap­pré­ci­ation des risques vis­ant à ét­ab­lir par écrit, de man­ière dé­taillée et com­préhens­ible, que tous les risques pour la sé­cur­ité se situ­ent à un niveau suf­f­is­am­ment bas. L’ap­pré­ci­ation doit être ef­fec­tuée en fonc­tion des ob­jec­tifs de sé­cur­ité suivants:

a.
garantir l’ex­actitude des ré­sultats;
b.
protéger le secret du vote et faire en sorte qu’il soit im­possible d’ét­ab­lir des ré­sultats partiels de man­ière an­ti­cipée;
c.
as­surer la dispon­ib­il­ité des fonc­tion­nal­ités;
d.
protéger les in­form­a­tions per­son­nelles con­cernant les élec­teurs;
e.
protéger contre les ma­nip­u­la­tions les in­form­a­tions des­tinées aux élec­teurs;
f.
faire en sorte qu’il soit im­possible d’ét­ab­lir des preuves re­l­at­ives au com­porte­ment de vote.

2 Chaque risque doit être iden­ti­fié et décrit claire­ment en fonc­tion des ob­jec­tifs de sé­cur­ité, des éven­tuelles don­nées liées à ces ob­jec­tifs, des men­aces, des vul­nér­abi­lités et de la doc­u­ment­a­tion re­l­at­ive au sys­tème et à son ex­ploit­a­tion. Sur cette base, le can­ton in­dique les rais­ons pour lesquelles il évalue les risques comme étant suf­f­is­am­ment faibles.

3 La ré­duc­tion des risques ne doit pas re­poser sur le fait que l’on garde secrètes des in­form­a­tions sur le sys­tème et son ex­ploit­a­tion qui sont per­tin­entes du point de vue de la sé­cur­ité.
Art. 4 Exigences à remplir pour que plus de 30 % de l’électorat cantonal puisse voter par voie électronique  

1 Pour qu’un sys­tème per­met­tant à plus de 30 % de l’élect­or­at can­ton­al de voter par voie élec­tro­nique soit agréé, les votants doivent avoir la pos­sib­il­ité de déter­miner si le suf­frage qu’ils ont exprimé a été ma­nip­ulé ou in­ter­cepté sur la plate-forme util­isateur ou pendant la trans­mis­sion (véri­fi­ab­il­ité in­di­vidu­elle; an­nexe, ch. 4.1 et 4.2).

2 Pour qu’il y ait véri­fic­a­tion in­di­vidu­elle, le votant doit re­ce­voir la preuve que la partie serveur du sys­tème a en­re­gis­tré le suf­frage tel que le votant l’a exprimé sur la plate-forme util­isateur, con­formé­ment à la procé­dure prévue par le sys­tème. La preuve doit at­test­er, pour chaque suf­frage partiel, que l’en­re­gis­trement a été ef­fec­tué cor­recte­ment.

3 Si les don­nées d’au­then­ti­fic­a­tion cli­ent sont en­voyées par voie élec­tro­nique, les élec­teurs qui n’ont pas voté par voie élec­tro­nique doivent pouvoir de­mander, après la fer­meture du canal per­met­tant de voter par voie élec­tro­nique, dur­ant les délais de re­cours légaux, la preuve que le sys­tème n’a en­re­gis­tré aucun suf­frage exprimé moy­en­nant l’util­isa­tion de leurs don­nées d’au­then­ti­fic­a­tion cli­ent.

4 Le ca­ra­ctère con­clu­ant d’une preuve ne doit pas dépen­dre de la fiab­il­ité de la plate-forme util­isateur ou du canal de trans­mis­sion.

5 Il peut se fonder sur les élé­ments suivants:

a.
la fiab­il­ité de la partie serveur du sys­tème;
b.
la fiab­il­ité des dis­pos­i­tifs tech­niques par­ticuli­ers des votants; ces dis­pos­i­tifs doivent ré­pon­dre à des ex­i­gences de sé­cur­ité par­ticulière­ment élevées;
c.
la con­fid­en­ti­al­ité des don­nées en­voyées sur sup­port papi­er; la con­fid­en­ti­al­ité de ces don­nées doit être garantie par des mesur­es par­ticulières en de­hors du cadre de l’in­fra­struc­ture.
Art. 5 Exigences à remplir pour que plus de 50 % de l’électorat cantonal puisse voter par voie électronique  

1 Pour qu’un sys­tème per­met­tant à plus de 50 % de l’élect­or­at can­ton­al de voter par voie élec­tro­nique soit agréé, les votants ou les véri­fic­ateurs doivent avoir la pos­si­bil­ité, dans le re­spect du secret du vote, d’iden­ti­fi­er toute ma­nip­u­la­tion abou­tis­sant à une falsi­fic­a­tion des ré­sultats (véri­fi­ab­il­ité com­plète; an­nexe, ch. 4.3 et 4.4).

2 Il y a véri­fi­ab­il­ité com­plète quand les ex­i­gences éten­dues ap­plic­ables à la véri­fia­bil­ité in­di­vidu­elle (al. 3) et les ex­i­gences ap­plic­ables à la véri­fi­ab­il­ité uni­verselle (al. 4 à 6) sont re­m­plies.

3 Pour qu’il y ait véri­fic­a­tion in­di­vidu­elle, les ex­i­gences suivantes doivent être re­m­plies en plus des ex­i­gences fixées à l’art. 4:

a.
la preuve doit en outre per­mettre aux votants de con­stater que les don­nées per­tin­entes pour la véri­fic­a­tion uni­verselle sont parv­en­ues dans la partie fiable du sys­tème (al. 6);
b.
après la fer­meture du canal per­met­tant de voter par voie élec­tro­nique, le votant doit pouvoir de­mander la preuve que la partie fiable du sys­tème n’a pas déjà en­re­gis­tré un suf­frage exprimé moy­en­nant l’util­isa­tion de ses don­nées d’au­then­ti­fic­a­tion cli­ent;
c.
le ca­ra­ctère con­clu­ant d’une preuve ne doit pas dépen­dre de la fiab­il­ité de l’en­semble de la partie serveur du sys­tème. Il peut toute­fois se fonder sur la fiab­il­ité de la partie fiable du sys­tème.

4 Pour qu’il y ait véri­fic­a­tion uni­verselle, les véri­fic­ateurs doivent re­ce­voir la preuve at­test­ant que les ré­sultats ont été ét­ab­lis cor­recte­ment. Ils doivent évalu­er cette preuve au cours d’un pro­ces­sus ob­serv­able. Pour ce faire, ils doivent util­iser des dis­pos­i­tifs tech­niques in­dépend­ants et sé­parés du reste du sys­tème. La preuve doit at­test­er que l’ét­ab­lisse­ment des ré­sultats a pris en compte:

a.
tous les suf­frages qui ont été exprimés con­formé­ment à la procé­dure prévue par le sys­tème et qui ont été en­re­gis­trés par la partie fiable du sys­tème;
b.
unique­ment les suf­frages qui ont été exprimés con­formé­ment à la procé­dure prévue par le sys­tème;
c.
tous les suf­frages partiels con­formé­ment à la preuve générée dans le cadre de la véri­fic­a­tion in­di­vidu­elle.

5 Le ca­ra­ctère con­clu­ant de la preuve ne peut dépen­dre que de la fiab­il­ité de la partie fiable du sys­tème et du dis­pos­i­tif tech­nique util­isé pour le con­trôle. Par ail­leurs, la garantie du secret du vote et le fait qu’il ne doit pas être pos­sible d’ét­ab­lir des ré­sultats partiels de man­ière an­ti­cipée au sein de l’in­fra­struc­ture ne peuvent dépen­dre que de la fiab­il­ité de la partie fiable du sys­tème.

6 La partie fiable du sys­tème com­prend soit un groupe soit quelques groupes de com­posants in­dépend­ants sé­cur­isés par des mesur­es par­ticulières (com­posants de con­trôle). L’util­isa­tion de ces com­posants doit per­mettre d’iden­ti­fi­er n’im­porte quel abus même si, dans chaque groupe, il n’y a qu’un com­posant de con­trôle qui fonc­tionne cor­recte­ment et qui, en par­ticuli­er, n’est pas ma­nip­ulé sans qu’on s’en aper­çoive. Pour que la fiab­il­ité de la partie fiable du sys­tème soit garantie, il faut que les com­posants de con­trôle diffèrent les uns des autres de par leur con­cep­tion, mais aus­si que leur ex­ploit­a­tion et leur sur­veil­lance soi­ent in­dépend­antes.
Art. 6 Mesures supplémentaires visant à réduire les risques  

Si les risques ne sont pas suf­f­is­am­ment faibles mal­gré les mesur­es prises, il con­vi­ent de pren­dre des mesur­es sup­plé­mentaires afin de ré­duire les risques. Cette règle s’ap­plique not­am­ment dans les cas où toutes les ex­i­gences fixées aux ch. 2 à 4 de l’an­nexe ont déjà été mises en œuvre.
Art. 7 Exigences applicables au contrôle  

1 Les can­tons veil­lent à ce que des ser­vices in­dépend­ants con­trôlent le re­spect des con­di­tions fixées. Le con­trôle a lieu not­am­ment si le sys­tème ou son ex­ploit­a­tion a subi une modi­fic­a­tion qui pour­rait re­mettre en ques­tion le re­spect des con­di­tions ay­ant abouti à l’oc­troi de l’agré­ment.

2 Dans les cas où il s’agit de per­mettre à plus de 30 % de l’élect­or­al can­ton­al de par­ti­ciper à un es­sai (art. 4 et 5), le sys­tème et son ex­ploit­a­tion doivent être sou­mis à un con­trôle par­ticulière­ment ap­pro­fondi sur la base des critères suivants:

a.
le pro­to­cole cryp­to­graph­ique (an­nexe, ch. 5.1);
b.
les fonc­tion­nal­ités (an­nexe, ch. 5.2);
c.
la sé­cur­ité de l’in­fra­struc­ture et de l’ex­ploit­a­tion (an­nexe, ch. 5.3);
d.
la pro­tec­tion contre les tent­at­ives d’in­tru­sion dans l’in­fra­struc­ture (an­nexe, ch. 5.5);
e.
les ex­i­gences ap­plic­ables aux im­primer­ies (an­nexe, ch. 5.6);
f.2
en cas d’util­isa­tion d’un sys­tème ay­ant les pro­priétés de la véri­fi­ab­il­ité com­plète définie à l’art. 5: les com­posants de con­trôle (an­nexe, ch. 5.4).

3 Dans les cas où il s’agit de per­mettre à 30 % au max­im­um de l’élect­or­at can­ton­al de par­ti­ciper à un es­sai et où le sys­tème a les pro­priétés de la véri­fi­ab­il­ité com­plète définie à l’art. 5, le sys­tème et son ex­ploit­a­tion doivent être sou­mis à un con­trôle par­ticulière­ment ap­pro­fondi sur la base des critères suivants:

a.
le pro­to­cole cryp­to­graph­ique (an­nexe, ch. 5.1);
b.
les fonc­tion­nal­ités (an­nexe, ch. 5.2); le con­trôle ne doit pas ob­lig­atoire­ment port­er sur les lo­gi­ciels de por­tails de cy­berad­min­is­tra­tion qui sont reliés à un sys­tème;
c.
la sé­cur­ité de l’in­fra­struc­ture et de l’ex­ploit­a­tion (an­nexe, ch. 5.3); à cet égard, le con­trôle peut port­er unique­ment sur l’in­fra­struc­ture qui en­re­gistre le suf­frage et qui ét­ablit à l’in­ten­tion du votant la preuve visée à l’art. 4, al. 2;
d.
la pro­tec­tion contre les tent­at­ives d’in­tru­sion dans l’in­fra­struc­ture (an­nexe, ch. 5.5);
e.
les com­posants de con­trôle (an­nexe, ch. 5.4).3

2 Nou­velle ten­eur selon le ch. I de l’O de la ChF du 30 mai 2018, en vi­gueur depuis le 1er juil. 2018 (RO 2018 2279).

3 In­troduit par le ch. I de l’O de la ChF du 30 mai 2018, en vi­gueur depuis le 1er juil. 2018 (RO 2018 2279).
Art. 7a Publication du code source 4  

1 Le code source du lo­gi­ciel du sys­tème doit être pub­lié.

2 La pub­lic­a­tion a lieu, quand le sys­tème a les pro­priétés de la véri­fi­ab­il­ité com­plète définie à l’art. 5 et:

a.
après le con­trôle visé à l’art. 7, al. 2, dans les cas où il s’agit de per­mettre à plus de 30 % de l’élect­or­at can­ton­al de par­ti­ciper à un es­sai;
b.
après le con­trôle visé à l’art. 7, al. 3, dans les cas où il s’agit de per­mettre à 30 % au max­im­um de l’élect­or­at can­ton­al de par­ti­ciper à un es­sai.

3 Ne doit pas ob­lig­atoire­ment être pub­lié le code source:

a.
de com­posants tiers tels que des sys­tèmes d’ex­ploit­a­tion, des bases de don­nées, des serveurs web et des serveurs d’ap­plic­a­tion, des sys­tèmes de ges­tion des droits, des pare-feu et des routeurs, pour autant que ces com­posants soi­ent util­isés à grande échelle et qu’ils soi­ent mis à jour en per­man­ence;
b.
de por­tails de cy­berad­min­is­tra­tion qui sont reliés à un sys­tème.

4 In­troduit par le ch. I de l’O de la ChF du 30 mai 2018, en vi­gueur depuis le 1er juil. 2018 (RO 2018 2279).
Art. 7b Modalités de la publication du code source 5  

1 Le code source doit être pré­paré et doc­u­menté con­formé­ment aux bonnes pratiques.

2 L’ac­cès au code source par In­ter­net doit être simple et gra­tu­it.

3 Une doc­u­ment­a­tion port­ant sur le sys­tème et son ex­ploit­a­tion doit in­diquer en quoi les différentes parties du code source sont per­tin­entes pour la sé­cur­ité du vote élec­tro­nique. Elle doit être pub­liée avec le code source.

4 Toute per­sonne a le droit non seule­ment d’ex­am­iner, de mod­i­fi­er, de com­piler et d’ex­écuter le code source à des fins idéales, mais aus­si de rédi­ger des études en la matière et de les pub­li­er. Le pro­priétaire du code source peut autor­iser l’util­isa­tion de ce derni­er à d’autres fins.

5 In­troduit par le ch. I de l’O de la ChF du 30 mai 2018, en vi­gueur depuis le 1er juil. 2018 (RO 2018 2279).
Art. 8 Pièces justificatives à l’appui des demandes  

1 Doivent être joints aux de­mandes présentées en vertu des art. 27c et 27e, al. 1, ODP:

a.
les pièces jus­ti­fic­at­ives ou les cer­ti­ficats at­test­ant que le sys­tème et son ex­ploit­a­tion ont été con­trôlés sur la base des ex­i­gences fixées et qu’ils re­m­p­lis­sent ef­ficace­ment toutes les ex­i­gences (an­nexe, ch. 6.1 à 6.3);
b.
les pièces jus­ti­fic­at­ives at­test­ant que l’ap­pré­ci­ation des risques a été menée av­ant un scru­tin; elles doivent in­diquer les rais­ons pour lesquelles les risques ont été évalués comme étant suf­f­is­am­ment faibles (an­nexe, ch. 6.4).

2 Il est pos­sible de faire valoir des pièces jus­ti­fic­at­ives que la Chan­celler­ie fédérale a déjà reçues et qui sont en­core val­ables.
Art. 9 Autres dispositions  

1 Les ex­i­gences tech­niques et ad­min­is­trat­ives dé­taillées qu’il faut re­m­p­lir pour ob­tenir l’agré­ment pour le vote élec­tro­nique fig­urent dans l’an­nexe.

2 D’ici au 30 juin 2015, un can­ton peut être dis­pensé, à titre ex­cep­tion­nel, de re­m­p­lir cer­taines ex­i­gences fig­ur­ant aux ch. 2 et 3 de l’an­nexe:

a.
s’il n’est pas prévu que plus de 30 % de l’élect­or­at can­ton­al puisse voter par voie élec­tro­nique;
b.
si les ex­i­gences qui ne dev­ront pas être re­m­plies sont in­diquées dans la de­mande; et
c.
si le can­ton décrit les mesur­es de re­m­place­ment qui seront prises et in­dique, à pro­pos de l’ap­pré­ci­ation des risques, les rais­ons pour lesquelles il évalue les risques comme étant suf­f­is­am­ment faibles.
Art. 10 Entrée en vigueur  

La présente or­don­nance entre en vi­gueur le 15 jan­vi­er 2014.

Annexe

(art. 9, al. 1)

Exigences techniques et administratives applicables au vote électronique 66

6 Le texte de l’annexe de la présente ordonnance n’est pas publié au RO (RO 2018 2279). Il peut être consulté gratuitement à l’adresse www.chf.admin.ch > Droits politiques > Vote électronique > Exigences du droit fédéral, ou obtenu gratuitement à la Chancellerie fédérale, Section des droits politiques, Palais fédéral Ouest, 3003 Berne.

Diese Seite ist durch reCAPTCHA geschützt und die Google Datenschutzrichtlinie und Nutzungsbedingungen gelten.

Feedback
Gesetzeskürzel Name
DE FR IT EN
DE FR IT EN
Laden