Les systèmes d'information et la sécurité des données
La sécurité des systèmes d'information et des données est une question importante, mais qu'on pourrait négliger en faveur des aspects plus visibles de la sécurité comme la prévention de la fraude et de l'intimidation des électeurs.
Les données sont au coeur des élections. À toutes les étapes du processus électoral, des données nombreuses et complexes doivent être traitées avec précision, manipulées et protégées contre la manipulation non autorisée. Entre autres, ces données servent à :
- dresser le registre des électeurs et produire les listes précises pour les bureaux de vote;
- documenter les nominations pour préparer les bulletins de vote;
- choisir et approvisionner les bureaux de vote;
- recruter, former et affecter le personnel;
- effectuer des réconciliations d'inventaires, compter les bulletins et déterminer les résultats;
- adjuger les griefs.
La perte ou la manipulation non autorisée de données électorales peuvent paralyser les opérations électorales, ce qui risque d'être très dispendieux et de créer une perception de manque d'intégrité et de légitimité du processus électoral ainsi que des résultats.
La planification de la sécurité doit prévoir la disponibilité, la précision, l'intégrité et, au besoin, la confidentialité des données. La complexité des mesures de sécurité devra être à la hauteur de celle du système utilisé.
Les systèmes d'information manuels
Pour les données dont le traitement n'est pas informatisé, la sécurité est basée sur les systèmes administratifs ordinaires comme :
- un registre des informations et documents reçus;
- la disposition logique et l'entreposage sécuritaire des documents;
- l'entreposage à distance de copies des documents importants;
- le contrôle de l'accès aux documents.
Les systèmes informatisés de traitement des données
Pour conserver des données électroniquement, les mesures de sécurité doivent être plus complexes, surtout si ces systèmes sont utilisés pour produire ou traiter le matériel du vote ou pour calculer le total des votes et les résultats de l'élection, et que les échéanciers sont serrés pour produire des résultats précis et intègres. Il faut procéder à une analyse des risques pour choisir la méthode la plus efficace pour protéger les données.
De façon générale, les mesures qu'il faudra soigneusement appliquer incluent :
- une sécurité adéquate des édifices qui contiennent les ordinateurs ou les systèmes de communication (par micro-ondes, fibres optiques ou câbles), sans oublier les possibilités d'interventions humaines et les catastrophes naturelles (inondation ou feu);
- des systèmes de rechange en cas de problèmes techniques, y compris des systèmes secondaires d'alimentation électrique, des liens de communications, de l'équipement et des logiciels; il faut également prévoir une méthode manuelle pour compléter le travail si les ordinateurs défaillent de même que la production quotidienne de copies des données qui seront conservées à distance;
- la vérification de tous les systèmes dans des conditions réalistes avant d'en initier l'utilisation officielle;
- le contrôle de l'accès aux logiciels et aux données pour empêcher un accès externe non autorisé ou les tentatives internes de manipulation des systèmes, des logiciels ou des données;
- la formation du personnel, concernant les systèmes et les logiciels qu'il utilisera, pour éviter que des données soient perdues ou que les systèmes soient endommagés accidentellement;
- la sensibilisation du personnel aux mesures de sécurité préventives qu'il faut prendre.
