Tout sur la conformité

À retenir

• Un audit indépendant mené par Capgemini en avril 2026 a porté sur le code, les tests d’intrusion (pentest) et la conformité pour les systèmes de vote électroniques.
• Le rapport d’audit atteste de la conformité de la solution Élection-parents pour l’organisation des élections des représentants de parents d’élèves.
• Une attestation de conformité a été délivrée et peut être demandée à support@election-parents.fr.

Sommaire

• 1. Le cadre du service
• 2. Les textes et référentiels pris en compte
  • 2.1. Textes applicables au scrutin
  • 2.2. Références CNIL et ANSSI
  • 2.3. Vérifications propres à la solution
• 3. Les principes que la solution doit respecter
  • 3.1. Secret du scrutin
  • 3.2. Caractère personnel, libre et anonyme du vote
  • 3.3. Unicité du vote
  • 3.4. Sincérité et intégrité des opérations électorales
  • 3.5. Surveillance effective du scrutin
  • 3.6. Contrôle a posteriori
  • 3.7. Accessibilité
• 4. Niveau de risque et positionnement de la solution
• 5. Répartition des rôles et gouvernance du scrutin
  • 5.1. Organisation du scrutin
  • 5.2. Surveillance du scrutin
  • 5.3. Beneylu
• 6. Architecture générale de confiance
  • 6.1. Hébergement et mode d’exploitation
  • 6.2. Zone d’exécution et qualification SecNumCloud
  • 6.3. Principes de découpage applicatif
  • 6.4. Services externes et dépendances utiles au fonctionnement
• 7. Accès, authentification et habilitations
  • 7.1. Accès des électeurs : lien personnel et usage contrôlé
  • 7.2. Accès des gestionnaires du scrutin : compte, mot de passe et double authentification
  • 7.3. Habilitations et contrôle des actions
• 8. Comment la plateforme protège les opérations de vote
  • 8.1. Expression du suffrage et confidentialité du contenu
  • 8.2. Enregistrement du vote et de l’émargement dans une même opération
  • 8.3. Unicité du vote et prévention du double vote
  • 8.4. Séparation entre identité de l’électeur et bulletin enregistré
  • 8.5. États du scrutin, clôture et contrôle avant dépouillement
  • 8.6. Dépouillement et production des résultats
• 9. Données, cloisonnement et traçabilité
  • 9.1. Cloisonnement entre registres
  • 9.2. Données d’établissement, de scrutin et de listes
  • 9.3. Urne et contenu du suffrage
  • 9.4. Résultats et séparation fonctionnelle
  • 9.5. Traçabilité utile au contrôle et preuves techniques
  • 9.6. Limites volontaires de certaines traces
• 10. Journalisation, supervision et sécurité opérationnelle
  • 10.1. Journalisation structurée et stockage séparé
  • 10.2. Empreinte des enregistrements
  • 10.3. Masquage des données sensibles
  • 10.4. Supervision des erreurs
  • 10.5. Durcissement des réponses HTTP
• 11. Chiffrement et gestion des clés
  • 11.1. Protection du contenu du bulletin
  • 11.2. Suite cryptographique mise en œuvre
  • 11.3. Clé publique et vérification côté électeur
  • 11.4. Clé privée et fragmentation (schéma de Shamir)
  • 11.5. Limites du périmètre cryptographique
• 12. Accessibilité et continuité d’usage
  • 12.1. Accessibilité dans le cadre applicable
  • 12.2. Indices dans les interfaces
  • 12.3. Limites côté poste et environnement
  • 12.4. Continuité d’usage et disponibilité
• 13. Audit indépendant et vérifications réalisées
  • 13.1. Auditeur et nature de la mission
  • 13.2. Périmètre technique et de conformité
  • 13.3. Rapport d’avril 2026 et attestation de conformité
• 14. Renvois : périmètre de cette page

1. Le cadre du service

Élection-parents est une solution conçue pour le vote électronique des représentants des parents d’élèves dans les écoles, collèges et lycées, dans le cadre des textes applicables à ce scrutin.

Elle a pour objet de fournir un service technique permettant d’organiser le vote électronique, dans le respect des principes fondamentaux attendus pour ce type d’élection, notamment le secret du scrutin, le caractère personnel du vote, son anonymat, son unicité, la sincérité des opérations électorales et la possibilité d’un contrôle a posteriori.

La solution s’adresse aux établissements organisateurs ainsi qu’aux parties prenantes amenées à examiner ou à superviser le dispositif, notamment les directions d’établissement, les services académiques, les délégués à la protection des données, les responsables de la sécurité des systèmes d’information et, plus largement, les autorités ou intervenants compétents dans le cadre du scrutin.

Cette page n’a pas vocation à remplacer les textes applicables ou les autres pages d’information du site. Elle a pour objectif de présenter, de façon claire et vérifiable, les principes de conformité, de sécurité et de contrôle sur lesquels repose la solution.

À retenir

• Élection-parents : solution dédiée au vote électronique des représentants des parents d’élèves.
• Cadre réglementaire propre à ce scrutin.
• Cette page expose les principes de conformité de la solution, sans se substituer aux textes ni aux autres pages du site.

2. Les textes et référentiels pris en compte

La conception et l’exploitation de la solution Élection-parents reposent sur un ensemble de textes applicables au scrutin, complétés par des recommandations de référence en matière de sécurité et de protection des données.

Cette page vise surtout à expliquer comment ces textes structurent les principes de conformité de la solution et les vérifications réalisées, plutôt qu’à les reproduire mot pour mot.

2.1. Textes applicables au scrutin

La solution s’inscrit dans le cadre des textes applicables à l’élection des représentants des parents d’élèves. Parmi les références utiles pour le lecteur figurent par exemple les textes suivants.

• le code de l’éducation ;
• le décret n° 2023-805 du 21 août 2023 relatif au vote électronique pour l’élection des représentants des parents d’élèves au conseil d’administration des établissements publics locaux d’enseignement relevant du ministre chargé de l’éducation nationale ;
• l’arrêté du 2 juillet 2024 relatif aux conditions du vote par correspondance et par voie électronique pour l’élection des représentants des parents d’élèves au conseil d’administration des établissements publics du second degré relevant du ministre chargé de l’éducation nationale ;
• l’arrêté du 2 juillet 2024 modifiant l’arrêté du 13 mai 1985 relatif au conseil d’école ;
• l’annexe technique publiée par le ministère de l’Éducation nationale applicable au vote électronique, qui précise les exigences attendues du dispositif ;
• le guide d’organisation des élections des représentants des parents d’élèves publié par le ministère de l’Éducation nationale.

Ces textes définissent notamment le cadre d’organisation du scrutin, les principes fondamentaux applicables au vote électronique, les modalités de contrôle, ainsi que le rôle des différents acteurs.

2.2. Références CNIL et ANSSI

En complément des textes applicables, la solution a été conçue en tenant compte des recommandations de référence publiées par la CNIL et l’ANSSI en matière de sécurité des systèmes de vote électronique.

Ces références sont utilisées comme cadres d’analyse pour apprécier les exigences de sécurité, de séparation des traitements, de traçabilité, de contrôle et de gestion des risques applicables à ce type de scrutin.

Parmi elles se trouvent notamment les documents suivants.

• la recommandation et les publications de la CNIL relatives à la sécurité des systèmes de vote électronique ;
• le projet de recommandation CNIL 2025 sur la sécurité des systèmes de vote par correspondance électronique ;
• le projet de recommandation ANSSI 2025 relatif à la sécurité de ces dispositifs.

Lorsqu’elles sont mentionnées sur cette page, ces recommandations sont utilisées comme références de conformité et d’analyse, sans être confondues avec les textes réglementaires applicables au scrutin.

2.3. Vérifications propres à la solution

Outre les textes et les référentiels déjà évoqués, la solution fait l’objet de vérifications propres à son architecture, à son code et à son fonctionnement. Celles-ci incluent une mission d’audit indépendant (auditeur, périmètre, livrables, modalités de communication) présentée au chapitre 13.

À retenir

• La solution s’appuie d’abord sur les textes applicables au scrutin.
• Les recommandations de la CNIL et de l’ANSSI servent de références d’analyse et de sécurité.
• Des vérifications externes indépendantes complètent ces fondements (détail au chapitre 13).

3. Les principes que la solution doit respecter

Le vote électronique des représentants des parents d’élèves dépasse la logique d’un simple service numérique. Il doit respecter un ensemble de principes fondamentaux qui conditionnent à la fois la régularité du scrutin, la confiance des électeurs et la possibilité de contrôle par les acteurs compétents.

Ces principes structurent la conception, l’exploitation et la vérification de la solution Élection-parents.

3.1. Secret du scrutin

Le vote doit rester secret. La solution doit donc empêcher que le contenu du suffrage soit accessible à des personnes non habilitées ou qu’il puisse être consulté en dehors des opérations prévues par le cadre applicable.

3.2. Caractère personnel, libre et anonyme du vote

Le vote doit être exprimé personnellement par l’électeur, sans substitution, sans captation de ses moyens d’accès et sans pression sur son choix.

La solution doit également être conçue de manière à préserver l’anonymat du suffrage, en distinguant ce qui relève de l’identité de l’électeur, de l’émargement et du contenu du vote.

3.3. Unicité du vote

Chaque électeur ne doit pouvoir voter qu’une seule fois pour le scrutin auquel il est habilité à participer.

La solution doit permettre d’empêcher les votes multiples tout en conservant la capacité à vérifier, a posteriori, que les opérations se sont déroulées conformément aux règles applicables.

3.4. Sincérité et intégrité des opérations électorales

Le dispositif doit permettre que les suffrages exprimés soient pris en compte de manière fidèle et qu’aucune altération non autorisée ne compromette les opérations de vote, d’émargement, de clôture ou de dépouillement.

Cela implique en particulier des mécanismes permettant de sécuriser les opérations sensibles, d’en vérifier la cohérence et d’en conserver les éléments utiles au contrôle.

3.5. Surveillance effective du scrutin

Outre l’architecture technique, le vote électronique doit pouvoir être surveillé effectivement pendant toute la durée des opérations, dans les conditions prévues par les textes applicables.

Cette surveillance concerne notamment la préparation du scrutin, l’ouverture du vote, l’émargement, la clôture, le dépouillement et les vérifications d’intégrité.

3.6. Contrôle a posteriori

Le dispositif doit permettre un contrôle a posteriori du scrutin, notamment en cas de recours, de contestation ou de vérification.

La solution doit donc prévoir les mécanismes techniques et organisationnels nécessaires à la conservation, à la traçabilité et à l’exploitation des éléments utiles au contrôle des opérations électorales.

3.7. Accessibilité

Le vote électronique doit être accessible aux électeurs dans des conditions compatibles avec les exigences applicables à ce type de scrutin.

Cela implique de prendre en compte la lisibilité du service, l’accès effectif au vote, ainsi que les besoins des électeurs qui pourraient rencontrer des difficultés d’usage ou d’équipement.

À retenir

• Le vote électronique repose sur des principes fondamentaux qui dépassent la seule dimension technique.
• La solution doit protéger le secret du scrutin, l’unicité du vote et l’intégrité des opérations, ainsi que la possibilité de contrôle a posteriori.
• Ces principes servent de fil conducteur à l’ensemble des mécanismes présentés dans les chapitres suivants.

4. Niveau de risque et positionnement de la solution

Les élections des représentants des parents d’élèves figurent parmi les exemples de scrutins de niveau de risque 1 dans le projet de recommandation 2025 de la CNIL relatif à la sécurité des systèmes de vote par correspondance électronique.

Cette qualification permet de situer le niveau d’exigence attendu pour ce type de scrutin. Le vote électronique n’y est pas assimilé à un service courant et les exigences de sécurité n’y sont pas facultatives. Les mesures de sécurité, de contrôle et d’organisation doivent au contraire être adaptées à la nature du scrutin, à ses enjeux et aux risques identifiés.

Élection-parents est conçue pour respecter les exigences applicables à ce niveau de risque. Elle croise le cadre réglementaire propre à l’élection des représentants des parents d’élèves, les recommandations de référence de la CNIL et de l’ANSSI, et les vérifications réalisées sur la solution elle-même, dont les vérifications externes décrites au chapitre 13.

Le positionnement de la solution repose sur une approche proportionnée. Les mécanismes de sécurité, de séparation, de contrôle et de traçabilité sont calibrés sur la nature du scrutin, sans sous-estimer ses exigences ni les étendre artificiellement à d’autres catégories de vote électronique.

Pour ce type de scrutin, le niveau de risque retenu s’aligne sur les principes fondamentaux déjà posés au chapitre 3, dont il précise le sens opérationnel attendu sans les redévelopper ici.

Le niveau 1 n’indique pas un scrutin sans enjeux et n’autorise pas à alléger la sécurité sans raison sérieuse. Le respect des textes et une vérification indépendante de la solution restent requis. À lui seul, ce niveau ne permet pas de conclure à la conformité sans un examen de l’architecture, du code, des mécanismes de contrôle et des conditions d’exploitation.

À retenir

• La CNIL classe ces scrutins en niveau de risque 1 (vote par correspondance électronique).
• Ce niveau n’autorise pas des obligations allégées : les exigences demeurent au regard de la réalité du scrutin.
• La démarche combine cadre légal, référentiels officiels et vérifications externes (chapitre 13).

5. Répartition des rôles et gouvernance du scrutin

Indépendamment de l’architecture technique de la plateforme, la conformité d’un dispositif de vote électronique dépend de la bonne répartition des rôles entre l’autorité compétente pour l’organisation du scrutin, les instances chargées d’en assurer la surveillance effective et le prestataire fournissant la solution technique.

La plateforme Élection-parents fournit un service technique de vote électronique. Elle s’inscrit dans le cadre des opérations électorales organisées, selon le cas, par le directeur d’école ou par le chef d’établissement, conformément aux textes applicables.

5.1. Organisation du scrutin

Selon le niveau concerné, l’organisation du scrutin relève du directeur d’école ou du chef d’établissement.

Cela comprend notamment la préparation des opérations électorales, l’organisation du vote, l’information des électeurs et la proclamation des résultats, dans les conditions prévues par les textes applicables.

Le directeur d’école ou le chef d’établissement assure la conduite générale du scrutin dans le cadre de ses attributions.

Lorsque le vote électronique est mis en place, il veille à ce qu’il soit organisé et supervisé conformément aux textes applicables.

5.2. Surveillance du scrutin

Le scrutin est suivi par le bureau des élections, constitué selon les règles applicables.

Dans le cadre du vote électronique, ce bureau exerce sa mission de contrôle sur les différentes étapes du scrutin (préparation, ouverture du vote, déroulement des opérations, émargement, clôture et dépouillement).

La solution doit permettre l’exercice effectif de ce contrôle, notamment par des mécanismes de traçabilité, de vérification et de contrôle de l’intégrité des opérations.

5.3. Beneylu

Beneylu intervient comme éditeur de la solution Élection-parents et en assure la maintenance et l’exploitation technique.

Son rôle porte sur la conception de la plateforme, son fonctionnement, sa sécurité et les opérations techniques nécessaires au vote électronique. L’identification juridique de l’éditeur figure dans les mentions légales.

À retenir

• Le directeur d’école ou le chef d’établissement organise le scrutin.
• Le bureau des élections en surveille le déroulement.
• Beneylu fournit et opère la solution technique dans son périmètre.

---

6. Architecture générale de confiance

Ce chapitre complète la répartition des rôles en présentant les fondements techniques du service. Il précise les conditions d’hébergement et d’exécution, l’organisation des composants applicatifs et les services externes nécessaires au fonctionnement de la plateforme.

6.1. Hébergement et mode d’exploitation

La solution Élection-parents est exploitée sur Scalingo, une plateforme de type PaaS (plateforme en tant que service). L’application y est déployée et mise à jour dans un cadre managé. Scalingo prend en charge une partie de l’infrastructure et des opérations courantes, ce qui cadre la façon dont les correctifs et les évolutions sont appliqués.

6.2. Zone d’exécution et qualification SecNumCloud

L’environnement d’exécution de l’application (le runtime) est hébergé dans une zone qualifiée SecNumCloud, au sens des qualifications portées par l’hébergeur et de la documentation contractuelle associée.

Le moteur de l’application est ainsi situé dans un périmètre d’hébergement répondant à des exigences de sécurité reconnues pour les prestataires cloud en France. La messagerie, le stockage d’objets ou les outils de supervision peuvent en revanche relever d’autres services ou d’autres modalités, avec leurs propres paramètres. Les chapitres suivants précisent ce qui relève de la base de données, des échanges par courriel, du chiffrement ou de la journalisation.

6.3. Principes de découpage applicatif

Le cœur du service est une application web développée en PHP avec le framework Symfony. Elle concentre la logique métier du scrutin (préparation, vote, clôture, dépouillement, comptes d’administration) autour des règles codées dans l’application.

Les données sont stockées dans une base PostgreSQL. L’architecture vise à séparer l’identité et la gestion des électeurs, le contenu du suffrage, les résultats agrégés et les traces utiles au contrôle. Le détail de cette séparation et les preuves techniques associées sont exposés plus loin.

6.4. Services externes et dépendances utiles au fonctionnement

Le service s’appuie sur des composants tiers pour l’envoi des courriels (liens de vote, codes d’accès), le stockage de fichiers lorsque le scrutin en prévoit l’usage, et pour la supervision des erreurs via une intégration avec Sentry, afin de détecter et de traiter les incidents techniques. Ces briques complètent l’application sans se substituer aux règles de sécurité applicables au vote ni à la responsabilité de l’établissement dans l’organisation du scrutin. Le périmètre technique couvert par la mission d’audit indépendant est rappelé au chapitre 13.

À retenir

• Hébergement PaaS (Scalingo) et application métier Symfony avec base PostgreSQL.
• Le runtime est situé dans une zone SecNumCloud au sens de la qualification de l’hébergeur. D’autres services peuvent relever d’autres périmètres.
• L’architecture distingue les fonctions (électeurs, suffrage, résultats, traces).

7. Accès, authentification et habilitations

Comme pour les données et les traitements au chapitre précédent, la solution distingue côté accès le parcours de l’électeur et celui des personnes qui gèrent le scrutin dans l’interface d’administration. Les mécanismes (identifiants, garde-fous et second facteur) sont adaptés à chaque cas.

7.1. Accès des électeurs : lien personnel et usage contrôlé

L’électeur n’a pas de mot de passe permanent sur la plateforme. Il reçoit un lien personnel par courriel, établi selon les mécanismes de lien de connexion signé prévus dans l’application. Ce lien permet d’ouvrir l’espace de vote rattaché au scrutin concerné.

Le lien est conçu pour limiter le rejeu : son utilisation est bornée (usage unique pour la vérification côté serveur, validité limitée dans le temps). L’électeur doit ensuite franchir une authentification à deux facteurs fondée sur l’envoi d’un code par courriel à l’adresse associée à son inscription sur la liste électorale.

7.2. Accès des gestionnaires du scrutin : compte, mot de passe et double authentification

Les personnes habilitées à préparer le scrutin, gérer les listes ou conduire les opérations depuis le back-office disposent d’un compte utilisateur avec mot de passe. Une limitation du nombre de tentatives de connexion réduit le risque de succès des attaques par essais répétés.

La solution impose une authentification à deux facteurs pour ces accès. Elle peut s’appuyer sur une application d’authentification (code à durée limitée, TOTP), sur un code envoyé par courriel et sur des codes de secours. La double authentification est requise pour l’ensemble de ces connexions et n’est pas prévue comme option désactivable dans la configuration de la solution.

7.3. Habilitations et contrôle des actions

Les droits ne sont pas globaux. Ils sont rattachés à des périmètres (établissement, scrutin) et à des rôles métier définis dans l’application. Par exemple, la gestion administrative d’un établissement et la gestion opérationnelle d’un scrutin sont distinguées, en cohérence avec la répartition des responsabilités décrite au chapitre 5.

Les actions sensibles font l’objet d’un contrôle d’autorisation au moment où elles sont demandées : l’application vérifie si l’utilisateur connecté peut réellement réaliser l’opération envisagée, plutôt que de s’en remettre à une simple connexion réussie. Ce mécanisme repose sur les règles d’autorisation codées dans le service (y compris au travers des voters Symfony pour les décisions fines portant sur un scrutin, un site ou une ressource précise).

À retenir

• L’électeur accède par lien personnel à usage contrôlé, puis par double authentification fondée sur le courriel.
• Les gestionnaires du scrutin s’authentifient avec compte et mot de passe, sous limitation des tentatives, et passent par une double authentification (application, courriel ou codes de secours selon les cas).
• Les habilitations sont bornées au périmètre et au rôle, chaque action est autorisée ou refusée selon des règles d’autorisation explicites dans l’application.

8. Comment la plateforme protège les opérations de vote

Les principes énoncés au chapitre 3 (secret, unicité, intégrité, séparation identité et suffrage, contrôle du déroulé) se traduisent dans la solution par des mécanismes techniques et des règles métier codées. Ce chapitre décrit comment ces mécanismes s’appliquent au cycle utile : expression du suffrage, enregistrement, cohérence avec l’émargement, conduite du scrutin jusqu’au dépouillement. Le détail des algorithmes cryptographiques et de la gestion des clés est traité au chapitre 11.

8.1. Expression du suffrage et confidentialité du contenu

Le choix de l’électeur est préparé dans le navigateur à partir des éléments fournis pour le scrutin (dont la clé publique associée au vote). Le bulletin est transmis à la plateforme sous forme chiffrée, de sorte que le contenu du suffrage n’est pas traité en clair dans les échanges courants avec le serveur. La solution est conçue pour ne pas exposer le bulletin en clair côté client après le vote. Les choix cryptographiques et la gestion des clés sont détaillés au chapitre 11.

8.2. Enregistrement du vote et de l’émargement dans une même opération

Lorsque l’électeur valide son bulletin, l’application enregistre dans une même transaction le fait qu’il a voté (émargement), l’ajout du bulletin chiffré à l’urne numérique du scrutin et la génération d’une preuve technique associée au vote. Ce traitement groupé vise à éviter qu’une incohérence apparaisse entre la liste d'émargement et le contenu de l’urne.

8.3. Unicité du vote et prévention du double vote

Avant toute prise en compte, une série de contrôles applicatifs vérifie que l’électeur est encore autorisé à exprimer son suffrage dans l’état courant du scrutin. Des règles complémentaires en base de données empêchent qu’un même état d’émargement soit contourné par des soumissions concurrentes ou répétées. En cas de conflit, l’opération est rejetée et l’électeur est informé que son vote a déjà été enregistré.

8.4. Séparation entre identité de l’électeur et bulletin enregistré

Le bulletin déposé dans l’urne est stocké comme une donnée de scrutin sans lier la ligne de bulletin à l’identité de la personne dans la structure de cette donnée. L’émargement et la preuve technique de participation, eux, sont rattachés au dossier électeur dans le cadre prévu par la conception du service. Cette séparation structurelle est cohérente avec l’interdiction de conserver un lien direct identité–contenu du suffrage, au-delà des flux strictement nécessaires au fonctionnement du scrutin. Le cloisonnement des registres sous l’angle « données » est précisé au chapitre 9.

8.5. États du scrutin, clôture et contrôle avant dépouillement

Chaque scrutin suit un enchaînement d’états géré dans l’application (préparation, ouverture du vote, clôture, dépouillement). Le vote n’est possible que lorsque le scrutin est dans l’état ouvert et dans les bornes temporelles fixées. Le dépouillement n’est pas déclenché tant que la transition vers la clôture n’a pas été effectuée selon les règles prévues.

À la clôture, un contrôle de cohérence entre le nombre de bulletins enregistrés et le nombre d’électeurs ayant voté est exécuté. Des empreintes de scellement associées aux transitions critiques (préparation de l’ouverture, clôture) sont calculées et conservées pour permettre des vérifications ultérieures sur l’intégrité des données prises en compte à ces étapes.

8.6. Dépouillement et production des résultats

Le dépouillement consiste à déchiffrer les bulletins pour le scrutin concerné après clôture, lorsque l’application autorise la transition vers l’état dépouillé. Les bulletins qui ne peuvent pas être déchiffrés peuvent être isolés sans bloquer entièrement le traitement, afin de préserver la continuité de l’opération tout en permettant une analyse séparée. Les résultats sont ensuite calculés à partir des suffrages déchiffrés selon les règles du mode de scrutin paramétré.

À retenir

• Le bulletin est chiffré pour le transport et le stockage, avec une séparation entre identité électeur et contenu du bulletin dans le modèle de données.
• Le vote et l’émargement sont traités dans une même transaction, avec des garde-fous contre le double vote.
• Enchaînement d’états ; à la clôture, cohérence et empreintes de scellement avant dépouillement autorisé.

9. Données, cloisonnement et traçabilité

Ce chapitre précise comment les familles de données sont séparées dans la conception du service et quelles traces sont conservées pour permettre le contrôle du scrutin. Il ne remplace pas la page Protection des données personnelles du site, qui expose les traitements, les finalités, les durées et les droits des personnes. Pour ces sujets, la page dédiée fait foi.

9.1. Cloisonnement entre registres

La solution distingue plusieurs registres qui ne jouent pas le même rôle. Les données d’identification et de gestion des électeurs permettent de savoir qui est habilité à voter et si la personne a accompli les formalités du vote (émargement). Les bulletins sont enregistrés comme des données de scrutin rattachées au scrutin, sans rattachement à l’identité de l’électeur dans la structure du bulletin elle-même, comme indiqué au chapitre 8 (déroulé du vote). Les résultats sont des agrégats produits après dépouillement à partir des suffrages déchiffrés. Les traces d’activité et journaux applicatifs relèvent d’un autre ensemble, traité au chapitre 10. Le détail cryptographique des bulletins est approfondi au chapitre 11.

9.2. Données d’établissement, de scrutin et de listes

Les données de paramétrage (établissement, utilisateurs habilités dans le back-office, configuration d’un scrutin, listes électorales et listes candidates) servent à préparer et animer le scrutin dans le périmètre défini par l’organisateur. Elles sont bornées à l’établissement et au(x) scrutin(s) concernés par les habilitations décrites au chapitre 7.

9.3. Urne et contenu du suffrage

Le mécanisme d’expression et d’enregistrement du suffrage est décrit au chapitre 8. Les suffrages exprimés sont conservés sous forme chiffrée dans l’urne numérique du scrutin. Le format, les clés et la gouvernance associée sont détaillés au chapitre 11. Du point de vue du cloisonnement, l’essentiel est que le stockage du bulletin ne soit pas structuré pour relier directement une personne physique au bulletin.

9.4. Résultats et séparation fonctionnelle

Les résultats publiés sont issus du dépouillement et des règles de calcul applicables au scrutin. Les personnes qui organisent le scrutin disposent de fonctions de gestion et de conduite des opérations ; elles n’ont pas vocation, par la conception du service, à consulter le contenu individuel des suffrages au fil de l’eau dans l’interface d’administration. Cette séparation est cohérente avec les responsabilités institutionnelles et avec les mécanismes techniques de confidentialité.

9.5. Traçabilité utile au contrôle et preuves techniques

Plusieurs éléments concourent à une traçabilité orientée contrôle : états et transitions du scrutin, horodatages pertinents, empreintes de scellement aux étapes sensibles, preuve technique associée au vote pour l’électeur ayant voté, contrôles de cohérence entre urne et émargement. Ces éléments permettent d’appuyer la surveillance du scrutin et les vérifications a posteriori dans le cadre applicable, sans confondre preuve technique et régularité juridique du scrutin, qui relève de l’autorité organisatrice.

9.6. Limites volontaires de certaines traces

La conception du service interdit de journaliser le contenu des bulletins ou toute donnée permettant de relier de façon directe un votant au choix exprimé dans les journaux courants. Les courriels sensibles (codes d’accès, réinitialisations) font l’objet de précautions pour éviter qu’ils ne reparaissent en clair dans des traces techniques inadaptées. Le détail des journaux applicatifs, de leur structure et des outils de supervision, est exposé au chapitre 10.

À retenir

• Les données sont réparties en registres distincts couvrant l’identification des électeurs et l’organisation du scrutin, les bulletins chiffrés, les résultats agrégés et les traces d’activité.
• La traçabilité soutient le contrôle du scrutin à travers les états, les scellements, la cohérence et les preuves techniques.
• La journalisation et la supervision opérationnelle sont développées au chapitre 10. Le chiffrement et la gestion des clés le sont au chapitre 11.

10. Journalisation, supervision et sécurité opérationnelle

Après avoir situé les données métier et la traçabilité de contrôle du scrutin, ce chapitre décrit la journalisation applicative proprement dite, la supervision des incidents en exploitation et les mesures de durcissement portées par l’application. Ces éléments complètent l’hébergement et l’infrastructure (chapitre 6).

10.1. Journalisation structurée et stockage séparé

Les événements d’usage significatifs sont enregistrés sous une forme structurée (action sollicitée, méthode, contexte utile au diagnostic, code de réponse, informations sur le contexte de la requête lorsque c’est pertinent). La solution utilise une base de données dédiée aux journaux, distincte de celle qui porte les données métier du scrutin, reliée par une connexion d’exploitation séparée. Ce cloisonnement limite le risque de mélange entre l’activité de journalisation et les registres électoraux décrits au chapitre 9.

10.2. Empreinte des enregistrements

Chaque enregistrement de journal peut être associé à une empreinte cryptographique calculée à partir des éléments essentiels de la ligne (dont l’horodatage et le contenu retenu). Cette empreinte permet de vérifier l’intégrité du journal dans son usage prévu, par exemple pour constater qu’un enregistrement n’a pas été altéré après coup.

10.3. Masquage des données sensibles

Avant persistance, le contenu potentiellement sensible est filtré ou masqué (identifiants dans les chemins d’URL, champs de formulaire, pièces jointes traitées dans le flux de journalisation). Les charges utiles liées au vote font l’objet de précautions spécifiques afin qu’un bulletin ou une donnée équivalente ne soit pas conservée en clair dans ces journaux. Ce traitement est cohérent avec les interdictions rappelées au chapitre 9.

10.4. Supervision des erreurs

L’application s’interface avec un service de supervision des erreurs (Sentry), configuré par l’environnement d’exploitation. Il agrège les exceptions et incidents techniques, ce qui aide les équipes à diagnostiquer les dysfonctionnements et à suivre les corrections sans exposer dans cette page le paramétrage interne (échantillonnage, secrets d’accès).

10.5. Durcissement des réponses HTTP

Le service applique des en-têtes de sécurité sur les réponses HTTP (par exemple limitation du clickjacking, désactivation du sniffing de type MIME, politique de référent encadrée). La configuration prévoit aussi d’orienter le trafic vers HTTPS avec des paramètres de sécurisation des connexions adaptés au déploiement. Ces mesures s’ajoutent aux dispositifs de la plateforme d’hébergement et du réseau, qui restent nécessaires à la protection d’ensemble.

À retenir

• Les journaux applicatifs sont enregistrés sous forme structurée dans une base dédiée, distincte des données métier du scrutin.
• Chaque ligne peut porter une empreinte d’intégrité. Les données sensibles sont masquées avant enregistrement.
• Sentry agrège les incidents pour la supervision des erreurs. Des en-têtes de sécurité et le recours à HTTPS complètent le durcissement côté application.

11. Chiffrement et gestion des clés

Les chapitres 8 et 9 ont décrit le déroulé du vote et le cloisonnement des données sans entrer dans le détail des algorithmes. Ce chapitre précise comment le contenu du bulletin est protégé et comment les clés associées à un scrutin sont produites et réparties. Il complète le transport HTTPS (réseau et hébergement) par le chiffrement applicatif du suffrage.

11.1. Protection du contenu du bulletin

Comme au chapitre 8, le bulletin est construit dans le navigateur à partir de la clé publique du scrutin et transmis au serveur sous forme chiffrée. Les données stockées dans l’urne numérique restent inexploitables sans la clé privée de dépouillement. Le canal HTTP est par ailleurs protégé par TLS. L’ensemble protège le choix exprimé contre une interception passive du trafic ou une lecture directe du contenu en base dans des conditions normales d’exploitation. Le choix n’est pas conservé en clair côté serveur dans l’urne.

11.2. Suite cryptographique mise en œuvre

La solution met en œuvre une suite fondée sur la courbe P-256, un échange de type ECDH avec une clé publique éphémère côté bulletin, une dérivation de clé (HKDF-SHA256) et un chiffrement authentifié AES-256-GCM. Les paquets attendus portent une version et un identifiant d’algorithme contrôlés à la réception. Des données associées lient cryptographiquement le contexte au scrutin (identifiant de scrutin), afin de limiter le risque de rejeu ou de mélange entre scrutins.

11.3. Clé publique et vérification côté électeur

Lors de la préparation du scrutin, une paire de clés sur la courbe P-256 est générée pour le vote. La clé publique est associée au scrutin et sert aux électeurs à préparer leur bulletin. Un identifiant d’empreinte (fingerprint) dérivé de la clé publique permet de contrôler que les paramètres présentés au navigateur correspondent bien à la clé enregistrée pour ce scrutin.

11.4. Clé privée et fragmentation (schéma de Shamir)

La clé privée utilisée pour le dépouillement n’est pas conservée en un seul exemplaire exploitable dans l’application au moment du vote. Elle est découpée en trois parts au moyen d’un schéma de Shamir avec un seuil de deux parts pour reconstituer la clé et déchiffrer les bulletins. Cette répartition vise à éviter qu’une seule personne ou un seul support ne détienne à lui seul la capacité de dépouiller, et à imposer une concertation matérielle au moment du dépouillement, selon la manière dont les parts sont confiées dans la pratique.

11.5. Limites du périmètre cryptographique

Même avec ces mécanismes, le service ne neutralise pas à lui seul un poste de vote compromis (logiciel malveillant, observation de l’écran, coercition sur l’électeur). Ces situations relèvent d’autres mesures (sensibilisation, environnement matériel, cadre juridique). Le dépouillement peut en outre isoler les bulletins indéchiffrables sans bloquer l’ensemble du traitement, comme indiqué au chapitre 8.

À retenir

• Les bulletins sont protégés par une suite fondée sur P-256 et AES-256-GCM, en complément de TLS. Le contexte cryptographique est lié au scrutin (dérivation HKDF).
• Une clé publique sert à préparer le vote. La clé privée est fragmentée selon un schéma de Shamir avec un seuil de deux parts sur trois.
• La gouvernance des parts et des cérémonies de dépouillement incombe à l’organisateur du scrutin.

12. Accessibilité et continuité d’usage

Le principe d’accessibilité du vote électronique est rappelé au chapitre 3. Ce chapitre précise comment la solution traduit ce principe dans l’usage réel et comment la disponibilité du service est envisagée pendant les périodes de vote. Il ne remplace pas les textes applicables ni une potentielle évaluation de conformité (par exemple au référentiel général d’amélioration de l’accessibilité).

12.1. Accessibilité dans le cadre applicable

Les textes et l’annexe technique ministérielle fixent des exigences pour le vote électronique, y compris des conditions d’accès pour les électeurs. La solution Élection-parents est conçue pour permettre l’usage du service par des publics variés (familles, personnel d’établissement), avec des interfaces structurées pour le parcours votant et le back-office. L’objectif est de réduire les obstacles évidents à la compréhension et à l’action, dans une logique proportionnée au niveau de risque du scrutin et au contexte d’usage réel (poste personnel, navigateur courant, courriel pour les accès).

12.2. Indices dans les interfaces

Le développement intègre aux endroits importants des pratiques usuelles d’accessibilité numérique : attachement de textes d’aide aux champs de formulaire, usage d’attributs ARIA (codes de double authentification, boîtes de dialogue), textes de remplacement sur des images porteuses d’information.

12.3. Limites côté poste et environnement

L’accessibilité effective dépend aussi du matériel, du navigateur, du réglage d’affichage et du réseau de l’utilisateur. La solution ne peut pas à elle seule garantir une expérience satisfaisante si l’environnement est dégradé ou incompatible.

12.4. Continuité d’usage et disponibilité

La conception du produit fixe comme objectif que le service reste accessible pendant la période de vote ouverte pour un scrutin, dans les conditions prévues par l’organisation du calendrier électoral. L’hébergement sur une plateforme managée (chapitre 6) et la supervision des erreurs (chapitre 10) soutiennent la détection et le traitement des incidents techniques. Aucune garantie absolue de disponibilité ininterrompue n’est possible : interruptions, fenêtres de maintenance ou incidents externes peuvent survenir.

À retenir

• La solution vise des parcours utilisables et des pratiques d’accessibilité dans les interfaces, sans revendiquer une conformité formelle attestée par un rapport d’évaluation.
• L’expérience effective dépend aussi du poste, du navigateur et du réseau de l’utilisateur.
• La conception vise à ce que le service reste accessible pendant la période de vote ouverte pour le scrutin. L’hébergement sur plateforme managée et la supervision des erreurs soutiennent la détection et le traitement des incidents techniques.

13. Audit indépendant et vérifications réalisées

Complément au résumé figurant en tête de page, ce chapitre précise la nature de la mission, le périmètre technique et de conformité, les livrables et les limites de l’audit.

13.1. Auditeur et nature de la mission

Capgemini a réalisé un audit indépendant portant sur la solution Élection-parents. La mission s’inscrit dans une démarche de vérification externe, en prolongement des éléments déjà présentés en introduction.

13.2. Périmètre technique et de conformité

La mission a notamment couvert l’analyse du code de la solution, des tests d’intrusion (pentest) sur l’ensemble exposé et un audit de conformité au regard du cadre SVE applicable aux systèmes de vote électroniques pour ce type de scrutin. Les travaux permettent d’appuyer la démarche de conformité et de sécurité de la plateforme. Ils ne dispensent pas l’autorité organisatrice de sa responsabilité dans la conduite de chaque scrutin.

13.3. Rapport d’avril 2026 et attestation de conformité

Le rapport d’audit est daté d’avril 2026. À l’issue de la mission, une attestation de conformité a été délivrée. L’attestation de conformité est communicable aux parties légitimes sur simple demande à l’adresse support@election-parents.fr. Le rapport détaillé peut faire l’objet d’échanges distincts selon les règles de confidentialité attachées à la mission.

À retenir

• Capgemini a conduit l’audit du code, des tests d’intrusion (pentest) et de la conformité SVE pour les systèmes de vote électroniques concernés.
• Le rapport est daté d’avril 2026. Une attestation de conformité peut être demandée à support@election-parents.fr.
• L’audit porte sur la solution technique et ne supprime pas la responsabilité de l’autorité organisatrice.

14. Renvois : périmètre de cette page

Cette page décrit les principes, la sécurité, les mécanismes techniques et les vérifications (dont l’audit) de la solution Élection-parents. Elle ne remplace pas les textes réglementaires ni les autres pages du site. Pour chaque thème, la page dédiée fait foi lorsqu’elle existe.

Les sujets suivants sont traités ailleurs : l’éditeur, l’hébergement, les cookies et le cadre général du site figurent dans les mentions légales. Les conditions générales d’utilisation fixent les règles d’usage de la plateforme. Les données personnelles (finalités, bases légales, durées, droits) sont exposées dans la page Protection des données personnelles, déjà citée au chapitre 9.

Si une information contradictoire apparaissait entre cette page et une autre du site, la page spécialisée sur le sujet prévaut pour ce sujet — sauf erreur matérielle à corriger.

---

La date de dernière mise à jour est le 3 avril 2026.