Logo Ordinateurs–de–Vote.org Citoyens et informaticiens
pour un vote vérifié par l'électeur

Accueil du site > Technologies > Le bulletin papier vérifié par l’électeur (VVPB/VVAT)

Le bulletin papier vérifié par l’électeur (VVPB/VVAT)

19 mai 2006

Avec les machines à voter entièrement électroniques, l’électeur n’a aucune certitude tangible de la prise en compte de son vote : la machine peut très bien afficher quelque chose et enregistrer autre chose. Le geste de déposer publiquement un bulletin dans une urne a été remplacé par la modification d’une mémoire informatique.


Dernières nouvelles ajoutées le 4 août 2007

Depuis la rédaction de cet article, en mai 2006, de nouvelles réflexions ont été émises invalidant le principe du bulletin papier vérifié par l’électeur.

Pour en savoir plus :
- Pas de démocratie sans confiance éclairée
- Vote électronique et preuve papier, 14 ème Colloque international “De l’insécurité numérique à la vulnérabilité de la société”, Paris, 14 et 15 Juin 2007.


Le dépouillement est devenu un calcul informatique. Les assesseurs/scrutateurs [1] ne peuvent garantir que la machine compte les votes exprimés par les électeurs, puisqu’ils ne peuvent surveiller les électrons d’une mémoire informatique comme ils le faisaient du contenu d’une urne : ils savaient que l’encre d’un bulletin en papier placé dans une urne verrouillée, était incapable de se modifier.

Ils ne savent rien du logiciel intégré à la machine, ni même si il est identique à celui testé (non exhaustivement) par les organismes de certification.

Plutôt que d’essayer de démontrer, sans garantie de succès [2], que les machines soient sûres, une solution serait de contrôler leur fonctionnement a posteriori. En quelque sorte, les juger à leurs résultats plutôt qu’à leurs intentions.

Cela se réalise ainsi : la machine à voter, une fois le vote composé, imprime un bulletin reprenant les choix effectués. Ce bulletin est montré à l’électeur, derrière une vitre. Il le compare avec l’écran, et le valide. Le bulletin tombe ensuite dans une sorte d’urne intégrée à la machine. Ou bien, l’électeur le recueille et le glisse lui-même dans une urne. En anglais, cela s’appelle “Voter Verified Paper Ballot” (VVPB), “Voter Verified Paper Audit Trail” (VVPAT), ou encore “Voter Verified Audit Trail” (VVAT) [3]. Ces acronymes sont suffisamment généraux pour englober l’usage de tabulatrices optiques, voire même le vote traditionnel.

Ce concept provient de la comptabilité : l’“audit trail” (pas de traduction en français).

L’électeur a donc vu une preuve matérielle du bon enregistrement de son vote. Il faut également garantir que tous les votes exprimés soient comptés. Cela se fait au moyen d’un dépouillement manuel des bulletins imprimés : en quelque sorte un recompte des voix, le premier compte étant informatique.

Les suffrages suivent ainsi deux circuits indépendants :
- enregistrement dans mémoire électronique et comptage informatique,
- bulletin papier et dépouillement manuel.

 Quand recompter ?

Les modalités légales de recompte doivent être soigneusement étudiées. Sans cela, ce dispositif n’est qu’un gadget destiné à (trompeusement) rassurer l’électeur. En cas de discordance avec le résultat de la machine, le dépouillement manuel doit primer. Plusieurs possibilités :
- ne recompter qu’en cas de scrutin serré. C’est le plus mauvais choix : il est justifié pour une élection “papier”, car augmente alors la probabilité que des erreurs humaines jouent sur l’issue du scrutin. Il est envisageable que quelques bulletins aient été mal dépouillés, mais des milliers, c’est hautement improbable. En revanche, un ordinateur n’obéit pas aux mêmes règles : un bug peut affecter une seule voix ou des milliers, indifféremment de sa probabilité d’apparition. Et bien sûr, une manipulation s’arrangerait pour ne jamais produire un résultat serré.
- recompter en cas de contestation (d’un candidat, d’un électeur ?) ou d’incident technique (qui va faire la différence avec une mauvaise compréhension du fonctionnement de la machine ?).
- comme une erreur ou une manipulation peut passer inaperçue dès qu’elle ne produit pas de résultat aberrant, on peut, à chaque élection, recompter une partie des bureaux de votes choisie aléatoirement. La difficulté est de correctement mettre en pratique ce “aléatoirement”. Et les bureaux de votes concernés ne doivent pas être prévenus à l’avance. Il ne faut pas non plus négliger comment cela est perçu par le citoyen. Non seulement le système doit être sûr, mais l’électeur doit en être convaincu. Ces recomptes aléatoires pourraient avoir un petit air de sondage.
- toujours recompter. En France, cela n’aurait rien d’insurmontable : nos élections sont simples à dépouiller, et la machine, en évitant les bulletins nuls, simplifierait encore un peu. Mais on pourrait alors se demander si on n’a pas transformé la (coûteuse) machine à voter en imprimante à bulletins. On y gagnerait toutefois la disparition des bulletins nuls [4], un meilleur secret du vote (mais le scrutin “papier” est lui-même améliorable [5]), ainsi que le vote sans assistance pour les non/malvoyants (mais a-t-on envisagé toutes les solutions sans électronique, ou des dispositifs informatiques spécifiques à ces personnes ?).
- toute modalité plus complexe, notamment soumise à une décision de justice, ou influencée par le coût financier du dépouillement, pose problème, comme on le voit aux USA [6] ou au Québec.

Plus généralement, il faut envisager ce dispositif comme un contrôle permanent, utilisé à toutes les élections, du bon fonctionnement des machines, et non pas comme une opération de communication essayant de prouver ponctuellement que le vote électronique est fiable. Il s’agit de contrôle par le citoyen.

 Objections souvent avancées

- les bulletins pourraient être la preuve à fournir à la personne qui aurait acheté votre vote. C’est une désinformation régulièrement pratiquée. Les bulletins doivent évidemment rester dans le bureau de vote pour servir à un éventuel recompte. L’identification du votant à partir du bulletin doit être impossible.
- le coût serait fortement augmenté. Il y a déjà une imprimante pour obtenir le résultat du vote, mais inadaptée à l’impression de bulletins : trop petits, ils seraient difficiles à compter. Il faut également un dispositif pour vérifier le bulletin : une sorte de hublot qui empêche de le toucher, faisant éventuellement loupe. Ainsi qu’une urne pour recueillir les bulletins. Le coût de fonctionnement augmente : papier et encre.
- le chargement en papier ou en encre, ainsi que d’éventuels incidents (bourrage de papier essentiellement) ralentiraient le vote. Guère plus que dans n’importe quel supermarché : il faut qu’une personne autorisée déverrouil le le capot de l’imprimante. Par conception, un seul chargement de papier et d’encre doit suffire à une journée de vote. Par contre, devoir vérifier le bulletin imprimé augmente le temps passé devant la machine : il faut éventuellement augmenter leur nombre.
- on pourrait connaître ce qu’ont voté les premiers ou derniers électeurs de la journée, voire tous, dans l’hypothèse de quelqu’un qui noterait l’ordre de passage des votants. On ne peut pas se contenter d’un rouleau de papier, il faut le découper. L’urne doit être brassée afin de faire disparaître tout empilement.
- peu de gens prendraient la peine de vérifier le bulletin imprimé. Qu’une fraction le fasse suffit statistiquement à détecter une fraude.
- comme le papier prime sur l’électronique, agir sur le contenu de l’urne modifierait le résultat de l’élection. C’est un problème déjà connu avec le vote traditionnel. Il faut un scellage de l’urne. A cela peut s’ajouter des sceaux numériques imprimés sur chaque bulletin, technique déjà utilisée sur les billets d’avion ou de concert. Il s’agit d’un nombre calculé à partir des informations imprimées sur le bulletin et d’un code connu uniquement des assesseurs/scrutateurs. Fabriquer un faux bulletin avec un sceau correct est impossible si on ne connait pas l’algorithme (la façon dont le nombre est calculé) ainsi que (surtout) le code. Le contrôle de ces sceaux doit non seulement tester l’authenticité des bulletins, mais aussi assurer qu’aucun n’a été subtilisé. Un nouveau type de fraude pourrait tirer parti de ces sceaux : le logiciel manipulé imprimerait des sceaux invalides sur les bulletins du candidat que le fraudeur veut écarter. Elle serait toutefois peu discrête.
- attention à ne pas confondre ces sceaux (souvent imprimés sous la forme d’un code-barre) avec des codes-barres qui seraient destinés à automatiser le recompte. Ces derniers ne sont pas acceptables, car un humain ne pouvant pas lire un code-barre, ce n’est pas ce qu’il a vérifié sur son bulletin.
- en cas de scrutins multiples, au moment de la vérification, l’électeur aurait du mal à se rappeler les choix qu’il a effectués. C’est pertinent surtout aux USA, où on peut avoir à effectuer 10 ou 20 choix.

 Des réticences inavouées...

- On peut voir un paradoxe à réintroduire le papier après l’avoir fait disparaître : mais nombre de machines informatiques, à commencer par les terminaux de cartes bancaires, impriment des tickets.
- Les informaticiens sont un peu en guerre avec le papier, à cause de cette vieille promesse, jamais vraiment tenue, que les ordinateurs le feraient disparaître.
- On a constaté en Belgique, lors de l’expérience de ticketing, que des électeurs impressionnés par la machine ne réalisaient s’être trompés qu’en regardant leur vote imprimé. Ce genre de comportement ne surprendrait pas si ces machines avaient été examinées de façon scientifique sous l’angle de l’interaction homme-machine : cela a été rarement fait [7].
- Contrôler les machines au moyen de ces bulletins imprimés implique qu’elle sont sujettes à erreur. Le contact quotidien avec divers systèmes informatiques devrait nous en avoir convaincu depuis longtemps : les machines à voter n’échappent pas par miracle aux difficultés de conception d’un logiciel robuste. Mais les administrations et les constructeurs ont basé leur communication sur l’infaillibilité de ces machines... Les déclarations de Nedap à ce sujet sont significatives.

 ...qui s’expliqueraient par ce scénario catastrophe ?

La mise en oeuvre demande de répondre à la question suivante : que faire en cas de discordance entre l’affichage à l’écran et l’impression ?

On annule votre vote, et on recommence ? Et si une discordance se produit à nouveau ? Certaines bugs se reproduisent indéfiniment, l’ordinateur est infatigable pour cela...

Que faire dans ce cas là ? Il faut alors annuler l’élection dans tout le pays, examiner le logiciel, le corriger et le replacer dans toutes les machines, puis convoquer à nouveau les électeurs.

Comment ça, les citoyens n’ont plus confiance ? Comment ça, il vaut mieux ne rien imprimer afin que personne ne s’aperçoive d’une erreur ? Comment ça, chaque fois que j’achète quelque chose par carte bancaire, on me donne un reçu, et là, on me refuse un malheureux ticket une fois par an ?

 ...ou bien par une stratégie à long terme ?

Ces réticences inavouées peuvent aussi s’expliquer ainsi : certains voient le vote électronique en bureau de vote comme une simple étape vers le vote par Internet généralisé (avec les machines à voter en réseau comme transition). Ce dernier ne permet pas l’impression d’un bulletin : celui-ci doit être physiquement vérifié par l’électeur, et stocké devant lui. Adopter le “bulletin papier vérifié par l’électeur” bloquerait toute évolution ultérieure vers le vote par internet qui apparaitrait fatalement invérifiable.

 En France : rien en vue

Aucune machine n’imprime actuellement de bulletin.
- les machines Indra peuvent imprimer de simples reçus destinés à l’électeur, qui ne mentionnent pas son vote. Cela est donc inadéquat.
- l’iVotronic, étant d’origine américaine, commence là-bas à imprimer une trace papier. Celle-ci est peu lisible et sous forme d’un rouleau de papier non découpé [8].
- Nedap, souhaitant attaquer le marché américain, travaille à une adaptation de ses machines dans ce sens.
- e-Poll, lors d’une de ses expérimentations, en Italie [9], a imprimé des tickets en double exemplaire. L’un était gardé par la machine, et l’autre donné à l’électeur. Ce ticket comportait un code supposé permettre à l’électeur de vérifier le bon enregistrement de son vote. Cela est totalement inadéquat (information à confirmer, rien n’étant publié sur e-Poll).

Lors d’une table ronde sur le vote électronique organisée par le Forum e-democratie 2005, Yannick Blanc, représentant le ministère de l’Intérieur, présentait la future loi sur le vote électronique, nécessaire pour utiliser des machines à voter en réseau, telles que e-Poll. Nous lui avons demandé si, suite à l’expérimentation italienne, le système utilisé en France imprimerait des bulletins. La réaction fût vive : « je rendrais ma chemise si cela se fait »...

 A l’étranger : des réalisations bâclées

- aux USA : plusieurs projets de loi au niveau fédéral. Commence à s’imposer au niveau des états[eng] : 26 d’entre eux ont incorporé ce principe à leur législation. Pour l’instant, les fabricants trainent les pieds pour modifier leurs machines, se contentant d’ajouter une imprimante sans réfléchir à l’ergonomie de l’électeur, ni à la facilité de recompte. Beaucoup de législations sur le recompte sont trop contraignantes.
- en Irlande : l’utilisation des machines Nedap a été suspendue à la suite d’une contestation initiée par l’association de citoyens Irish Citizens for Trustworthy Evoting[eng]. La principale demande de cette association est d’installer un dispositif d’impression de bulletin avant toute nouvelle utilisation. Le rapport de la commission indépendante (qui a déconseillé l’usage de ces machines pour un ensemble de raisons) rappelle, sans se prononcer, ce concept dans ses conclusions [10]. Plusieurs des universitaires mandatés par cette commission ont été bien plus affirmatifs, en pointant le manque d’un tel dispositif [11].
- en Belgique : une expérience en 2003, sous le nom de “ticketing” [12]. Le recompte manuel a parfois divergé, mais le résultat de la machine a malgré tout été utilisé (en contradiction avec les principes qui font primer le dépouillement manuel) au motif que « la conception et la forme des tickets n’ont pas permis d’effectuer le comptage manuel conformément aux prescriptions légales » [13]
- au Brésil : en 1999, une loi a été votée dans ce sens. Son application a ensuite été différée jusqu’en 2004, puis elle a été abrogée après seulement quelques expérimentations.
- au Venezuela : l’impression de bulletins semble généralisée, mais ils seraient rarement recomptés (informations à confirmer).

- Le Conseil de l’Europe le mentionne, mais sans préciser les modalités de recompte, dans son Code de bonne conduite en matière électorale (point 42).
- L’OSCE (Organisation pour la Sécurité et la Coopération en Europe) envoie des observateurs à des élections partout dans le monde. Dans son “Manuel d’observation des élections”, une page concerne le vote électronique : « Les mesures ci-dessous pourraient contribuer à renforcer sensiblement la confiance des électeurs dans ces nouvelles technologies de vote :
iii) Utilisation d’équipements produisant un enregistrement indélébile sur papier permettant un audit manuel ; il est également souhaitable que l’électeur puisse lui-même vérifier la trace papier générée par son vote » (page 44). Cette organisation ne se cantonne pas au Tiers-Monde : son rapport sur les présidentielles américaines de 2004 pointe, entre autres problèmes, l’absence de bulletin imprimé.

 Du côté des universitaires et des experts en sécurité

Quelques exemples parmi les nombreux avis favorables :
- Rebecca Mercuri a la première esquissé ce concept en 1992. Cela fait partie de ses recommandations[eng].
- David Dill, professeur d’informatique à l’université de Stanford a lancé l’appel “Resolution on Electronic Voting”, et a créé la Verified Voting Foundation et le site internet VerifiedVoting.org. La résolution est rédigée de façon à pouvoir s’adapter aux progrès scientifiques : le terme employé est “trace d’audit vérifiable par l’électeur”. L’explication qui s’ensuit précise qu’à l’heure actuelle, une seule technologie répond à cette définition : le bulletin papier, qu’il soit lu par une tabulatrice optique ou imprimé par une machine tout-électronique. Cet appel a été signé par David Jefferson, Douglas W. Jones, Rebecca Mercuri, Avi Rubin, Bruce Schneier, Barbara Simons, Dan Wallach... et 2000 autres “technologists”.
- l’Association for Computing Machinery (association d’informaticiens fondée en 1947, 80 000 membres) demande des machines à voter plus rigoureusement conçues et permettant à l’électeur de vérifier une trace physique telle que du papier. Ses membres ont été consultés sur cette position, et 95% des réponses y sont favorables.
- Bruce Schneier : par exemple dans une analyse des présidentielles américaines 2004[eng]

P.-S.

Une ancienne version de cet article était titrée “bulletin imprimé vérifié par l’électeur” : imprimé a été remplacé par papier pour mieux coller aux termes anglais et prendre en compte les tabulatrices optiques utilisées au Québec (dont l’appellation officielle est “urnes électroniques”).

Notes

[1] Assesseurs en France et en Belgique, scrutateurs au Québec.

[2] Où s’arrêter dans les investigations ? Par exemple, désosser les machines le matin de l’élection n’a rien d’une exigence invraisemblable.

[3] La définition de ces acronymes différe par des détails. D’autre part, certains font une nuance entre verifiable et verified (vérifié). L’usage impropre suivant est parfois fait : une partie des machines enregistrent sous forme électronique tous les bulletins (les autres ne mémorisent que des comptes de voix qu’elles augmentent à chaque nouveau vote). Ces enregistrements servent ensuite à calculer le résultat de l’élection. Il est parfois possible de les imprimer à la clôture du scrutin, mais ils ne prouvent rien, car il n’ont pas été vérifiés individuellement par le votant.

[4] Certains regrettent la disparition des bulletins nuls : ce terme comprend les erreurs de l’électeur aussi bien que sa volonté d’écrire quelque chose sur le bulletin. Ne pas confondre avec le bulletin blanc (que permet la machine à voter), qui est le choix de refuser tous les candidats proposés. Dans les élections “papier”, on vote blanc au moyen d’une enveloppe vide. Ni les bulletins nuls, ni les blancs ne sont pris en compte, par exemple quand il faut déterminer si la majorité absolue est atteinte.

[5] Le système français de bulletins multiples est archaïque. Nombre d’autres pays utilisent un bulletin unique reprenant tous les candidats, et où l’on noircit une case avec un stylo. En ne prenant pas tous les bulletins sur la table, on trahit le secret de son vote, et on peut même envoyer un “message” aux assesseurs (le président est généralement un élu, les assesseurs sont des militants politiques).

[6] L’impression d’un bulletin par les machines tout-électroniques (appelées DRE) est récente aux USA, mais la question du recompte se pose dans les mêmes termes pour les tabulatrices optiques (avec même une certaine acuité).

[7] Une étude de la machine à voter brésilienne par des scientifiques spécialistes de l’interaction homme-machine a montré qu’elle constituait une barrière à l’expression de leur vote pour une importante proportion de gens âgés, handicapés ou non familiers des ordinateurs (G.Michel-W.Cybis-M.Pimenta-J.M.Robert : “Electronic voting for all : the experience of the Brazilian computerized voting system”).

[8] Comme le rouleau de papier n’était pas découpé, un rapport commandé par l’état de Pennsylvanie a conseillé de désactiver l’impression des machines ES&S iVotronic et Diebold, au motif que cela enfreignait la loi protégeant le secret du vote. Retour à la case départ...

[9] à Ladispoli. La possibilité de recompte manuel mentionnée par l’article nécessite des éclaircissements.

[10] Commission on Electronic Voting : First Report - December 2004, Part 6 - Summary and Conclusion, page 77.

[11] Leurs rapports sont dans les annexes 2A..2M du rapport.

[12] Rapport 2003 du collège des experts désignés par les différents parlements.

[13] Rapport 2003 du collège des experts désignés par les différents parlements, tout à la fin : Complément au rapport [...] concernant l’expérience de « ticketing ».

©© ordinateurs-de-vote.org - dernière modification : vendredi 22 septembre 2017.

4 Messages de forum

Répondre à cet article


Suivre la vie du site Syndication/fil RSS 2.0 (explications) | Plan du site | Espace privé | SPIP