LEXIQUE · URNE ÉLECTRONIQUE

Urne électronique : définition, structure cryptographique, garanties.

Une urne électronique n'est ni un fichier, ni une boîte logicielle, ni la copie numérique d'une urne en plexiglas. C'est une structure cryptographique qui collecte des bulletins chiffrés pendant la durée d'un scrutin et qui ne peut être ouverte qu'à sa clôture, par reconstitution collégiale d'une clé privée distribuée entre plusieurs membres du bureau de vote. Cette page de lexique définit la notion, en détaille les composants techniques, expose son cycle de vie, vulgarise les principes du chiffrement asymétrique et du déchiffrement à seuil, et précise les garanties offertes à l'organisateur, au votant et au juge.

Définition synthétique

L'urne électronique, équivalent cryptographique de l'urne physique.

Une urne électronique est une structure cryptographique qui reçoit, pendant la durée d'un scrutin, l'ensemble des bulletins émis sous forme chiffrée, et qui demeure techniquement inaccessible jusqu'à la cérémonie de dépouillement. Sa particularité fondamentale tient à ce qu'aucun acteur — ni l'opérateur de la plateforme, ni l'organisateur du scrutin, ni le bureau de vote pris isolément — ne peut prendre connaissance du contenu des bulletins avant l'heure de clôture. Cette propriété, inconcevable avec un simple fichier ou une base de données chiffrée par une clé maître, repose sur trois mécanismes cryptographiques convergents : un chiffrement asymétrique qui permet à chaque votant d'écrire sans pouvoir relire, un scellement horodaté qui rend détectable toute altération ultérieure, et un partage de la clé de déchiffrement entre plusieurs membres du bureau, selon un schéma à seuil dit de Shamir qui exige un quorum cryptographique pour ouvrir l'urne. L'analogie avec l'urne physique est utile mais trompeuse à plus d'un titre : là où l'urne en plexiglas repose sur la matérialité (un cadenas, une vitre, des observateurs présents physiquement), l'urne électronique repose sur des preuves mathématiques vérifiables indépendamment de la confiance accordée au matériel ou à l'opérateur. C'est précisément cette différence qui justifie d'en exposer le fonctionnement avec la précision d'un lexique technique. Cette page distingue strictement l'urne électronique de l'urne physique, vulgarise les principes du chiffrement asymétrique RSA et ElGamal, détaille le déchiffrement à seuil de Shamir N-sur-M, expose le cycle de vie d'une urne — de la génération des clés à l'archivage — et précise les garanties qu'elle apporte au scrutin et à son opposabilité juridique.

Crypto
Structure cryptographique, pas un fichier ni une base
Chiffrés
Bulletins chiffrés à l'émission, jamais lisibles en transit
N-sur-M
Déchiffrement à seuil, plusieurs membres requis pour ouvrir
Audit
Vérifiabilité a posteriori indépendante de l'opérateur
Cycle de vie cryptographique

Les cinq étapes de vie d'une urne électronique.

Une urne électronique ne naît pas en même temps qu'un fichier ouvert sur un disque. Elle suit un cycle de vie cryptographique balisé en cinq étapes, chacune produisant des preuves exportables et vérifiables indépendamment. Voici la séquence appliquée par Sephos à chaque scrutin.

  1. 1

    Génération de la paire de clés propre au scrutin

    Au moment de la création du scrutin, Sephos génère une paire clé publique / clé privée propre à cette urne (RSA-4096 ou Curve25519 selon le paramétrage). La clé publique sera intégrée à la page de vote pour chiffrer chaque bulletin. La clé privée, qui seule peut déchiffrer, n'est jamais stockée en clair sur le serveur — elle est immédiatement éclatée selon l'algorithme de Shamir entre 3 à 7 membres du bureau de vote.

  2. 2

    Ouverture publique de l'urne

    L'urne est ouverte à une date programmée, horodatée par un service eIDAS qualifié tiers. L'ouverture est publique : elle est inscrite dans le journal d'audit signé, et son horodatage opposable interdit toute rétrodatation. À partir de ce moment, et seulement à partir de ce moment, l'urne accepte le dépôt de bulletins chiffrés.

  3. 3

    Dépôt de chaque bulletin sous forme chiffrée

    Quand un votant valide son choix, son navigateur génère une clé symétrique éphémère (AES-256), chiffre le bulletin avec, puis chiffre cette clé symétrique avec la clé publique du scrutin. Le serveur reçoit le bulletin chiffré et une signature anonyme attestant la qualité du votant, mais il ne peut pas lire le contenu. Le bulletin est ajouté à l'urne et tagué par un marqueur cryptographique anti double-vote.

  4. 4

    Scellement de l'urne à la clôture

    À l'heure de clôture programmée, l'urne est scellée par un horodatage eIDAS qualifié appliqué à l'ensemble de son contenu. Le scellement produit une signature cryptographique opposable : tout ajout, retrait ou altération ultérieur d'un bulletin produit une signature incompatible et rend la fraude techniquement détectable. L'urne devient lecture seule pour l'opérateur.

  5. 5

    Déchiffrement collégial à seuil

    Les membres du bureau de vote se connectent en cérémonie collégiale et apportent chacun leur fragment de clé privée. Lorsque le seuil de fragments requis est atteint (typiquement 3 sur 5, ou 3 sur 7), la clé privée est reconstituée par calcul cryptographique distribué — uniquement le temps du déchiffrement, jamais stockée en clair. Les bulletins sont alors déchiffrés, classés, totalisés ; le procès-verbal est signé eIDAS qualifié et archivé pour dix ans.

Aucun acteur unique n'a le pouvoir d'ouvrir

Le déchiffrement à seuil garantit qu'aucun acteur seul — ni l'opérateur, ni l'organisateur, ni un membre isolé du bureau — ne peut accéder au contenu des bulletins. La collégialité du dépouillement n'est pas une promesse contractuelle : elle est mathématiquement contrainte.

Composants techniques

Ce qui compose techniquement une urne électronique.

Une urne électronique n'est pas un objet monolithique. Elle réunit plusieurs composants cryptographiques distincts, chacun remplissant une fonction précise et vérifiable indépendamment. Voici les éléments qui la définissent.

Conteneur de bulletins chiffrés
Structure de données qui stocke chaque bulletin sous forme chiffrée par la clé publique du scrutin. Le conteneur est appendice-seul pendant la durée du scrutin : on peut y ajouter un bulletin, jamais en retirer ni en modifier. Chaque entrée est indexée par un marqueur cryptographique anti double-vote qui garantit qu'un même votant n'écrit qu'une fois.
Clé publique du scrutin
Clé asymétrique de chiffrement propre à cette urne, générée à la création du scrutin et intégrée à la page de vote. Toute personne disposant de la clé publique peut chiffrer un bulletin à destination de l'urne, mais personne ne peut déchiffrer sans la clé privée correspondante. Algorithme typique : RSA-4096 ou Curve25519, ou ElGamal pour les schémas threshold natifs.
Fragments de clé privée distribués
La clé privée de déchiffrement n'existe jamais en clair : elle est immédiatement éclatée selon l'algorithme de Shamir entre N membres du bureau de vote, chacun recevant un fragment inutilisable seul. Le seuil M de reconstitution est paramétrable (typiquement 3 sur 5 ou 3 sur 7). Le quorum cryptographique reproduit la collégialité du bureau.
Journal d'audit signé
Journal append-only qui consigne chaque action sur l'urne : ouverture, dépôt de bulletin (sans contenu), scellement, ouverture de la cérémonie, apport de chaque fragment, déchiffrement, archivage. Chaque entrée est signée et horodatée. Le journal est exportable et vérifiable hors plateforme — il fonde la preuve juridique du scrutin.
Scellement horodaté eIDAS
Signature électronique qualifiée au sens du règlement eIDAS (eu 910/2014) appliquée au contenu de l'urne à l'heure de clôture. L'horodatage est délivré par un service tiers accrédité et opposable devant un tribunal. Toute altération ultérieure du contenu rendrait la signature invalide.
Signature de l'urne en cours de scrutin
À intervalles réguliers pendant le scrutin, l'état de l'urne est signé et horodaté. Ces signatures intermédiaires permettent de prouver qu'aucun bulletin antérieur n'a été retiré ou modifié, et qu'aucun bulletin postérieur à la clôture n'a été ajouté. Elles fondent la vérifiabilité a posteriori.
Marqueurs anti double-vote
Chaque bulletin déposé porte un marqueur cryptographique (link tag) dérivé de l'identité du votant par fonction à sens unique. Le marqueur ne révèle pas l'identité, mais il garantit qu'un même votant ne peut écrire deux fois sans détection. Le double dépôt est rejeté avant même d'entrer dans l'urne.
Format d'archivage post-scrutin
À l'issue du dépouillement, l'urne entière — bulletins chiffrés inclus — est archivée dans un format ouvert et documenté, accompagnée de l'ensemble des preuves cryptographiques. Conservation par défaut dix ans. Le format est lisible et vérifiable indépendamment de l'existence future de Sephos.
Comparaison structurelle

Urne électronique et urne physique, point par point.

Critère
Sephos
Urne physique
Nature de la garantie d'inviolabilité
Mathématique : la clé privée de déchiffrement est éclatée entre plusieurs membres du bureau ; aucun acteur seul ne peut ouvrir l'urne avant la clôture. La preuve repose sur des théorèmes vérifiables.
Matérielle : un cadenas, une vitre, des observateurs présents physiquement. La preuve repose sur l'intégrité du matériel et la vigilance des témoins.
Risque d'ouverture prématurée
Nul si le seuil de Shamir est correctement paramétré : il faut rassembler N membres du bureau, ce qui est techniquement infaisable hors cérémonie convoquée.
Possible matériellement : un cadenas peut être forcé, une urne substituée. Le risque dépend de la sécurité physique du local et de la vigilance des observateurs.
Détection d'une fraude après scrutin
Cryptographiquement détectable : toute altération produit une signature invalide. Le contrôle peut être exercé indépendamment par n'importe quel tiers disposant de l'export d'audit.
Difficile à démontrer : un bulletin ajouté ou retiré discrètement peut ne laisser aucune trace si l'émargement n'est pas rapproché strictement.
Anonymat du votant
Garanti par construction : le bulletin chiffré ne porte pas l'identité du votant. Le marqueur anti double-vote est dérivé par fonction à sens unique et ne permet pas de remonter à l'identité.
Garanti par l'isoloir et l'enveloppe : repose sur la séparation matérielle entre l'émargement et l'urne, et sur la vigilance du bureau de vote.
Recompte
Instantané : la cérémonie de déchiffrement peut être ré-exécutée à partir des bulletins chiffrés archivés, et le résultat reproduit à l'identique avec preuve cryptographique.
Lent et exigeant : il faut convoquer un nouveau bureau, rouvrir l'urne scellée, recompter manuellement chaque bulletin, gérer les bulletins contestés.
Archivage et opposabilité dans la durée
Format ouvert documenté, signé eIDAS qualifié, conservation par défaut dix ans. Le contenu reste vérifiable indépendamment de l'existence future de l'opérateur.
Bulletins papier conservés selon la durée légale (cinq jours à plusieurs années). Risque de détérioration, d'égarement, de destruction prématurée.
Côté opérateur

Cinq étapes pour configurer et opérer une urne électronique.

Ce que la cryptographie cache à l'opérateur, l'interface le rend lisible. Voici les cinq étapes pratiques par lesquelles un organisateur configure, ouvre, surveille, scelle et dépouille une urne électronique Sephos.

1
Configurer l'urne
Définissez les questions, les options de réponse, la fenêtre temporelle d'ouverture, le quorum requis et la composition du bureau de vote. Sephos génère automatiquement la paire de clés propre à cette urne et distribue les fragments de clé privée aux membres désignés du bureau.
2
Ouvrir le scrutin
À la date programmée, l'urne s'ouvre automatiquement. L'ouverture est horodatée eIDAS qualifié et inscrite au journal d'audit. Les votants reçoivent leurs liens uniques signés et peuvent déposer leur bulletin chiffré depuis n'importe quel navigateur.
3
Surveiller le scrutin en cours
Pendant la durée du vote, l'organisateur suit les indicateurs de participation, les relances automatiques aux retardataires et les éventuelles alertes (tentative de double-vote rejetée, anomalie détectée). Il ne voit jamais le contenu des bulletins.
4
Sceller l'urne à la clôture
À l'heure de clôture programmée, Sephos scelle automatiquement l'urne par horodatage eIDAS qualifié. Plus aucun bulletin ne peut être déposé. Le scellement est public et opposable ; il fonde la preuve juridique que le périmètre de l'urne n'a plus bougé.
5
Dépouiller par cérémonie à seuil
Les membres du bureau se connectent en cérémonie collégiale (en visioconférence ou en présentiel), chacun apporte son fragment de clé privée. Lorsque le seuil est atteint, l'urne s'ouvre, les bulletins sont déchiffrés et totalisés, le procès-verbal est signé eIDAS qualifié et archivé pour dix ans.
Sécurité par construction

Six garanties cryptographiques d'une urne électronique sérieuse.

Une urne électronique n'est sérieuse que si elle apporte des garanties cryptographiques vérifiables, indépendamment de la confiance accordée à l'opérateur. Sephos applique six garanties non négociables, chacune adossée à un mécanisme documenté.

Chiffrement asymétrique fort
RSA-4096 ou Curve25519 sur le bulletin, AES-256 éphémère
Scellement horodaté eIDAS
Signature qualifiée tierce, opposable devant un tribunal
Journal d'audit signé
Append-only, exportable, vérifiable hors plateforme
Séparation des clés
Fragments distribués au bureau, aucun acteur seul ne peut ouvrir
Déchiffrement à seuil
Algorithme de Shamir N-sur-M, quorum cryptographique requis
Vérifiabilité a posteriori
Preuves exportables, recompte indépendant de l'opérateur
Journal d'audit · scrutin #4218
Intégrité vérifiée
14:32:08
Scrutin clôturé · clé de dépouillement assemblée
Système
14:32:08
Signature du dépouillement validée
M. Brunet (huissier)
14:31:55
Cérémonie de déchiffrement collégial
4 / 5 membres
14:30:00
Fin de la fenêtre de vote
Système
14:28:12
Bulletin reçu · signé · horodaté
Votant #1284
14:27:50
Bulletin reçu · signé · horodaté
Votant #1283
14:27:45
Bulletin reçu · signé · horodaté
Votant #1282
sha-256 · b4a2f1d8e3c7…
Checklist conformité

Dix critères d'une urne électronique conforme.

La liste de contrôle que nos équipes parcourent avec chaque organisateur avant l'ouverture d'un scrutin. Si une urne électronique ne coche pas ces dix points, elle n'offre pas le niveau de garantie attendu par la CNIL pour les scrutins professionnels.

  • Chiffrement asymétrique : clé publique propre au scrutin, jamais réutilisée
  • Chiffrement bout-en-bout : bulletin chiffré sur le navigateur du votant
  • Clé privée éclatée : fragments Shamir N-sur-M distribués au bureau de vote
  • Scellement horodaté : signature eIDAS qualifiée tierce appliquée à la clôture
  • Journal d'audit append-only : chaque action consignée, signée, horodatée
  • Anti double-vote : marqueur cryptographique sans révélation d'identité
  • Vérifiabilité a posteriori : preuves exportables vérifiables hors plateforme
  • Archivage long terme : format ouvert documenté, conservation dix ans minimum
  • Cérémonie collégiale : déchiffrement par convocation du bureau, traçable
  • Conformité CNIL 2019-053 : alignement explicite sur la délibération applicable
Qui fait quoi

Quatre rôles autour d'une urne électronique.

Une urne électronique sérieuse formalise des rôles distincts et étanches. Aucun acteur ne cumule des pouvoirs qui compromettraient l'inviolabilité. Voici la répartition standard.

Rôle 1
Opérateur de plateforme
Sephos en tant que sous-traitant technique

Fournit l'infrastructure cryptographique et l'hébergement souverain. N'a jamais accès au contenu des bulletins ni à la clé privée du scrutin. Tenu par le DPA, audité périodiquement, soumis au journal d'audit signé.

Rôle 2
Autorité électorale
Bureau de vote, présidence de séance, organisateur juridique

Définit les règles du scrutin, désigne les membres du bureau qui recevront les fragments de clé privée, convoque la cérémonie de déchiffrement, signe le procès-verbal. Assume la responsabilité juridique du scrutin.

Rôle 3
Votants
Personnes habilitées à émettre un bulletin

Reçoivent un lien unique signé, accèdent à la page de vote, déposent un bulletin chiffré sur leur navigateur. Le marqueur anti double-vote garantit l'unicité du dépôt sans révéler l'identité au moment du dépouillement.

Rôle 4
Observateurs
Délégués des listes, organisations syndicales, tiers de confiance

Reçoivent un accès en lecture seule à la cérémonie de déchiffrement et au journal d'audit. Peuvent exporter les preuves cryptographiques et vérifier indépendamment l'intégrité de l'urne et la régularité du dépouillement.

Cadre réglementaire et référentiels

Trois cadres encadrent l'urne électronique en France.

L'urne électronique n'est pas un objet libre de droit. Elle obéit à un faisceau de référentiels qui en encadrent la conception, le fonctionnement et l'archivage. Trois cadres principaux structurent la pratique française.

Délibération CNIL n° 2019-053

Recommandation de la CNIL du 25 avril 2019 sur le vote électronique professionnel, qui structure les obligations applicables à l'urne électronique : anonymisation à l'émission, chiffrement bout-en-bout, séparation des clés entre membres du bureau, vérifiabilité indépendante, journal d'audit. Le texte définit trois niveaux de risque (1, 2, 3) avec des exigences croissantes.

Règlement eIDAS (UE 910/2014)

Règlement européen sur l'identification électronique et les services de confiance. Encadre la signature et le scellement électroniques qualifiés appliqués à l'urne (horodatage opposable du scellement, signature du procès-verbal). Le niveau qualifié est équivalent à la signature manuscrite devant un juge.

Référentiel ANSSI de durcissement

Guide d'hygiène et référentiels de sécurité publiés par l'ANSSI sur les architectures cryptographiques applicables au vote électronique. Recommande RSA-3072 minimum (RSA-4096 préféré), Curve25519, AES-256, et encadre la gestion des clés de manière à interdire tout point unique de compromission.

Les frictions que vous reconnaissez

Six points sensibles autour d'une urne électronique.

L'adoption d'une urne électronique soulève des questions récurrentes côté organisateur et côté juridique. Les anticiper permet de les neutraliser par paramétrage et par communication.

Confiance dans l'opérateur

Les votants et leurs représentants demandent comment ils peuvent être certains que l'opérateur ne lit pas les bulletins. La réponse est mathématique — clé privée éclatée, jamais reconstituée côté serveur — mais elle doit être pédagogiquement expliquée.

Intégrité de l'urne en cours de scrutin

Comment prouver qu'aucun bulletin n'a été ajouté, retiré ou modifié pendant la durée du vote ? Le scellement intermédiaire et les signatures appendice answer la question, mais l'opérateur doit savoir les exposer.

Panne matérielle pendant le scrutin

Une indisponibilité de l'infrastructure pendant la fenêtre de vote risque de priver des votants de leur droit d'expression. L'infrastructure doit prévoir la haute disponibilité et la continuité d'audit même en cas de défaillance.

Contestation post-électorale

Les contentieux portent souvent sur la régularité de l'urne. Sans preuves cryptographiques exportables, l'organisation se retrouve démunie pour démontrer l'intégrité du scrutin devant un juge.

Archivage long terme

Les bulletins chiffrés et l'audit trail doivent rester déchiffrables et vérifiables pendant la durée légale applicable, parfois dix ans. La pérennité des formats et la migration cryptographique sont des sujets industriels.

Recompte exigé après proclamation

Une partie peut demander un recompte. Si l'urne n'a pas conservé les bulletins chiffrés sous forme exploitable, le recompte n'est pas reproductible et le scrutin devient contestable.

Risques évités

Cinq risques cryptographiques que Sephos neutralise.

Les risques attachés à une urne électronique mal conçue sont spécifiques et bien identifiés. Une architecture sérieuse les élimine par construction, pas par engagement contractuel.

Ouverture prématurée de l'urne

Le déchiffrement à seuil Shamir N-sur-M rend techniquement infaisable l'ouverture de l'urne avant la cérémonie convoquée : il faut rassembler M membres du bureau, ce que l'opérateur ne peut pas faire seul.

Bulletins ajoutés après clôture

Le scellement horodaté eIDAS rend toute insertion ultérieure cryptographiquement détectable : la signature appliquée au contenu de l'urne devient invalide si un bulletin est ajouté après l'heure scellée.

Urne corrompue par défaillance

Les bulletins sont répliqués en infrastructure redondante avec signature continue. La perte d'un datacenter ne corrompt pas l'urne ; la cohérence cryptographique est vérifiée à chaque accès.

Clé compromise par fuite isolée

La clé privée n'existe jamais en clair. Un fragment isolé compromis ne permet rien : il faut rassembler le seuil M de fragments pour reconstituer la clé. La compromission d'un membre du bureau n'expose pas l'urne.

Archivage non conforme

L'urne entière est archivée dans un format ouvert documenté, accompagné des preuves cryptographiques, signé eIDAS qualifié et conservée dix ans. Le format est vérifiable indépendamment de Sephos.

Cas client (anonymisé)

Une fédération sportive, 12 000 bulletins en urne unique.

Profil
Fédération sportive française, scrutin de renouvellement des instances dirigeantes. 12 000 votants éligibles répartis sur l'ensemble du territoire, plusieurs collèges électoraux. Bureau de vote de cinq membres désignés en commission de préparation, sous la présidence d'un huissier de justice. [FACT À CONFIRMER : profil et volumétrie exacts à valider avec le client référent.]
Contexte
Une urne électronique unique a été paramétrée par scrutin, avec une paire de clés RSA-4096 propre à chaque scrutin et une distribution Shamir 3-sur-5 entre les membres du bureau. Le scrutin s'est tenu sur sept jours ouvrés ; les votants ont déposé leurs bulletins chiffrés depuis leur navigateur, depuis tout le territoire métropolitain et d'outre-mer. [FACT À CONFIRMER : paramétrage exact à valider.]
Résultat
À la clôture, l'urne a été scellée par horodatage eIDAS qualifié. La cérémonie de déchiffrement collégial s'est tenue en visioconférence sous la présidence de l'huissier ; chaque membre du bureau a apporté son fragment de clé. Le déchiffrement et le calcul des résultats ont pris moins de deux minutes pour les 12 000 bulletins. Le procès-verbal signé eIDAS qualifié a été transmis aux instances dans la foulée. Aucun recours n'a été introduit. [FACT À CONFIRMER : durée et chiffres exacts à valider.]

L'apport de l'urne électronique n'a pas tenu à la simple automatisation du décompte. Il a tenu à la possibilité, pour chaque délégué de liste, d'exporter le journal d'audit signé et de vérifier indépendamment l'intégrité de l'urne avant et après la cérémonie. Cette vérifiabilité a éteint avant même la proclamation les contestations qui, sur les renouvellements précédents organisés par voie postale, avaient mobilisé plusieurs semaines de contentieux. La fédération a inscrit cette modalité de scrutin dans ses statuts pour les renouvellements à venir.

Idées reçues

Trois objections fréquentes, trois réponses cryptographiques.

« L'opérateur de la plateforme peut forcément lire les bulletins. »

Non, et la démonstration est mathématique. La clé privée de déchiffrement n'est jamais constituée côté serveur : elle est éclatée à la génération entre les membres du bureau de vote, selon l'algorithme de Shamir, en N fragments dont aucun n'est exploitable seul. Pour ouvrir l'urne, il faut rassembler M fragments en cérémonie collégiale, ce que l'opérateur ne peut pas faire sans la convocation et la participation effective des membres désignés. Le code cryptographique est documenté et auditable. La vérifiabilité ne repose pas sur la confiance accordée à Sephos, elle repose sur des théorèmes.

Voir le chiffrement bout-en-bout du vote

« L'intégrité de l'urne n'est pas démontrable. »

Elle l'est, et de manière exportable. Le journal d'audit append-only consigne chaque dépôt sous forme de marqueur cryptographique signé et horodaté. Le scellement de l'urne à la clôture, par horodatage eIDAS qualifié tiers, produit une signature opposable qui interdit toute insertion ou retrait ultérieur sans détection. Un délégué de liste peut télécharger l'export d'audit et vérifier indépendamment, à l'aide d'outils libres, que le contenu de l'urne au moment du déchiffrement correspond exactement au contenu scellé à la clôture.

Lire l'horodatage eIDAS

« Sans bulletin papier, on ne peut pas faire de preuve. »

L'opposition entre preuve papier et preuve cryptographique est mal posée. Le bulletin papier est une preuve matérielle, dont la conservation et la manipulation introduisent leurs propres risques (égarement, détérioration, contestation des scrutateurs). Le bulletin chiffré dans une urne électronique conforme produit une preuve mathématique : il est conservé sous forme chiffrée, signé, horodaté, vérifiable indépendamment de l'opérateur. La signature eIDAS qualifiée appliquée au procès-verbal est juridiquement équivalente à la signature manuscrite. La justice française et européenne admet cette équivalence depuis 2014.

Atouts d'une urne électronique

Six atouts structurels d'une urne électronique conforme.

Au-delà des arguments commerciaux, six propriétés structurelles distinguent l'urne électronique conforme d'une urne physique ou d'un simple fichier chiffré.

Impossible à compromettre seul

Le déchiffrement à seuil rend mathématiquement impossible l'ouverture par un acteur isolé. Il faut convoquer le bureau de vote dans son ensemble — la collégialité est garantie par les nombres premiers, pas par un contrat.

Audit cryptographique exportable

L'ensemble des preuves est exportable et vérifiable hors plateforme. Un délégué de liste, un huissier ou un juge peut contrôler l'intégrité de l'urne avec ses propres outils, sans dépendre de Sephos.

Recompte instantané et reproductible

La cérémonie de déchiffrement peut être ré-exécutée à partir des bulletins chiffrés archivés. Le résultat est reproduit à l'identique avec preuve cryptographique de cohérence, sans mobilisation physique du bureau.

Archivage parfait dans la durée

Format ouvert documenté, signé eIDAS qualifié, conservation dix ans par défaut. L'urne reste vérifiable indépendamment de l'opérateur, ce que les bulletins papier ne garantissent pas.

Transparence vers les observateurs

Les observateurs habilités reçoivent un accès en lecture seule au journal d'audit et à la cérémonie de déchiffrement. La transparence ne dépend pas de la présence physique dans une salle.

Accessibilité géographique

L'urne accepte les bulletins depuis tout navigateur, sur l'ensemble du territoire et au-delà. Les votants empêchés (éloignement, mobilité réduite, expatriation) ne sont plus exclus du scrutin.

Approfondissement

Cryptographie, cérémonie, mélange, déchiffrement à seuil, audit.

Définition d'une urne électronique

Une urne électronique désigne, en cryptographie appliquée au vote, une structure de données chiffrée qui collecte l'ensemble des bulletins émis lors d'un scrutin en ligne, et qui ne peut être ouverte qu'à la clôture par reconstitution collégiale d'une clé privée préalablement éclatée entre plusieurs membres du bureau de vote. La notion ne se confond ni avec un fichier, ni avec une base de données : elle désigne un protocole cryptographique précis, qui réunit un conteneur append-only, une paire de clés asymétriques propre au scrutin, un schéma de partage à seuil, un journal d'audit signé et un mécanisme de scellement horodaté. Sa définition fonctionnelle tient en une phrase : une urne électronique est un dispositif qui accepte des dépôts sans permettre la lecture, jusqu'à ce qu'un quorum de personnes désignées convoque l'ouverture par cérémonie. Cette propriété fondamentale — écriture autorisée, lecture interdite jusqu'à convocation collégiale — est ce qui rend l'urne électronique compatible avec les exigences démocratiques de tout scrutin sérieux. Elle est encadrée en France par la délibération CNIL n° 2019-053 du 25 avril 2019 pour le vote électronique professionnel, par le règlement européen eIDAS pour la signature et le scellement, et par les référentiels de l'ANSSI pour les architectures cryptographiques applicables.

Analogie avec l'urne physique : ce qui change vraiment

L'analogie avec l'urne en plexiglas que l'on rencontre dans les bureaux de vote politiques est commode pour expliquer la notion, mais elle masque trois différences essentielles. Premièrement, la garantie d'inviolabilité change de nature. L'urne physique repose sur la matérialité : un cadenas, une vitre, des observateurs présents physiquement, un huissier. L'urne électronique repose sur des théorèmes : la clé privée est éclatée mathématiquement, la signature de scellement est cryptographiquement opposable, le journal d'audit est append-only par construction. La preuve n'est plus visuelle, elle est démontrable. Deuxièmement, la détection d'une fraude change de régime. Sur urne physique, un bulletin ajouté discrètement après clôture peut ne laisser aucune trace si l'émargement n'est pas rapproché strictement. Sur urne électronique conforme, toute altération produit une signature invalide qui peut être détectée par n'importe quel tiers disposant de l'export d'audit. Troisièmement, la temporalité de la preuve s'allonge. L'urne physique disparaît avec ses bulletins, conservés cinq jours à dix ans selon le contexte. L'urne électronique survit dans son format archivé pendant la durée légale applicable, et son contenu reste vérifiable indépendamment de l'existence future de l'opérateur. Ces trois différences ne sont pas de degré, elles sont de nature. Elles justifient que l'urne électronique fasse l'objet d'un lexique technique distinct, et qu'on ne la considère pas comme la simple version numérique de l'urne en plexiglas.

Chiffrement asymétrique RSA et ElGamal — vulgarisation

Le chiffrement asymétrique est la pierre angulaire de l'urne électronique. Le principe : à la création du scrutin, Sephos engendre deux clés mathématiquement liées — une clé publique et une clé privée. La clé publique est diffusée librement et permet à chacun de chiffrer un bulletin à destination de l'urne. La clé privée, gardée secrète, est la seule à permettre de déchiffrer. La propriété fondamentale tient à ce qu'il est calculatoirement infaisable, en l'état des connaissances, de déduire la clé privée à partir de la seule clé publique. Deux familles d'algorithmes dominent la pratique : RSA, fondé sur la difficulté de factoriser un grand nombre entier en produit de deux nombres premiers (la taille recommandée est aujourd'hui de 4 096 bits) ; ElGamal, fondé sur la difficulté du logarithme discret dans un groupe cyclique, qui présente l'avantage d'être nativement compatible avec des schémas threshold (déchiffrement à seuil) sans passer par Shamir. Curve25519, version moderne et plus rapide du logarithme discret sur courbe elliptique, tend à remplacer RSA dans les architectures récentes. Le choix de l'algorithme dépend du compromis recherché entre performances, maturité de l'implémentation et compatibilité avec le schéma de partage. Sephos utilise par défaut RSA-4096 pour la majorité des scrutins, avec basculement vers Curve25519 et ElGamal threshold pour les contextes à forte exigence cryptographique. Voir la page lexique sur le chiffrement bout-en-bout du vote pour le détail des algorithmes et des tailles de clés.

Cycle de vie d'une urne électronique

Une urne électronique suit un cycle de vie cryptographique balisé en plusieurs étapes successives. À la création du scrutin, l'opérateur paramètre l'urne : questions, options, fenêtre temporelle, composition du bureau de vote, seuil de Shamir. Sephos engendre alors la paire de clés propre à l'urne et éclate immédiatement la clé privée en fragments, qu'il distribue aux membres désignés par canal sécurisé (les fragments n'existent jamais ensemble sur un serveur). À l'heure d'ouverture programmée, l'urne s'active et accepte des dépôts ; chaque dépôt est un bulletin chiffré par la clé publique du scrutin, accompagné d'un marqueur cryptographique anti double-vote. Pendant toute la durée du scrutin, l'opérateur n'a pas accès au contenu des bulletins ; il voit des indicateurs de participation, des alertes éventuelles, des tentatives de double-vote rejetées. Des signatures intermédiaires sont apposées à intervalles réguliers sur l'état de l'urne, permettant de prouver a posteriori qu'aucun bulletin antérieur n'a été retiré ni modifié. À l'heure de clôture, l'urne est scellée par horodatage eIDAS qualifié tiers : la signature appliquée au contenu interdit toute insertion ou retrait ultérieur sans détection. La cérémonie de déchiffrement intervient ensuite : les membres du bureau se connectent, apportent chacun leur fragment, le seuil est atteint, la clé privée est reconstituée temporairement par calcul cryptographique distribué, les bulletins sont déchiffrés et totalisés. Le procès-verbal est généré, signé eIDAS qualifié, et l'urne entière — bulletins chiffrés, preuves, signatures, journal d'audit — est archivée dans un format ouvert pour dix ans minimum.

Cérémonie d'ouverture — qui détient quoi

La cérémonie d'ouverture de l'urne est l'événement juridiquement central de toute la procédure. Elle reproduit fidèlement, en mode cryptographique, la collégialité du bureau de vote papier ouvrant l'urne en plexiglas devant les observateurs. Sa composition est déterminante. Chaque membre du bureau désigné au protocole reçoit, avant le scrutin, un fragment de clé privée — un fragment Shamir — qui lui est propre. Ce fragment, à lui seul, ne permet absolument rien : il est inutilisable sans être combiné à un nombre suffisant d'autres fragments. Le seuil de reconstitution est paramétrable au scrutin : typiquement 3 fragments sur 5 distribués, ou 3 sur 7, ou 4 sur 7. Le choix du seuil est un compromis entre robustesse (un seuil élevé empêche une minorité d'ouvrir l'urne) et tolérance aux absences (un seuil trop élevé bloque la cérémonie si un membre fait défaut). À l'heure de la cérémonie, chaque membre du bureau se connecte sur l'interface dédiée et apporte son fragment par un mécanisme cryptographique qui ne révèle pas le fragment au serveur. Lorsque le seuil est atteint, un calcul cryptographique distribué — qui ne reconstitue jamais la clé en clair sur un point unique — produit le résultat du déchiffrement. La cérémonie est horodatée, signée et inscrite au journal d'audit. Elle peut être suivie en lecture seule par les observateurs habilités. Cette mécanique formalise et renforce ce que le bureau de vote traditionnel faisait par présence physique : aucun acteur isolé n'a le pouvoir d'ouvrir l'urne, et la décision d'ouverture est collégiale par construction.

Mélange cryptographique avant déchiffrement — pourquoi

Une étape souvent méconnue, mais essentielle pour les scrutins à forte exigence d'anonymat, intervient entre le scellement de l'urne et le déchiffrement effectif : le mélange cryptographique, ou mixnet. Sans cette étape, l'ordre dans lequel les bulletins ont été déposés dans l'urne — ordre que le journal d'audit consigne pour des raisons de traçabilité — pourrait permettre, après déchiffrement, de rapprocher chaque bulletin déchiffré de l'horodatage de son dépôt, et indirectement, dans certains cas, de l'identité du votant. Le mélange cryptographique consiste à appliquer une permutation aléatoire à l'ensemble des bulletins chiffrés avant déchiffrement, avec une preuve cryptographique que la permutation a bien été appliquée sans altérer le contenu (zero-knowledge proof). Plusieurs mélangeurs successifs, tenus par des acteurs distincts, peuvent être chaînés pour renforcer la garantie : il suffit qu'un seul mélangeur soit honnête pour que l'anonymat soit préservé. Cette technique, héritée des travaux de David Chaum dans les années 1980, est utilisée par les implémentations les plus rigoureuses (par exemple le système Helios) et constitue le standard de l'état de l'art pour les scrutins à risque de niveau 3 au sens CNIL.

Déchiffrement à seuil Shamir N-sur-M

L'algorithme de partage de secret introduit par Adi Shamir en 1979 est la pierre angulaire du déchiffrement collégial. Son principe mathématique est élégant : pour partager un secret S entre N personnes de sorte qu'il faille réunir au moins M d'entre elles pour le reconstituer, on construit un polynôme de degré M-1 dont le terme constant est S, on évalue ce polynôme en N points distincts, et l'on distribue un point par personne. Avec M points, on peut reconstituer le polynôme par interpolation et retrouver S ; avec M-1 points ou moins, on ne peut absolument rien déduire sur S. La propriété est mathématiquement parfaite : on parle de sécurité information-theoretic, supérieure à la sécurité calculatoire des algorithmes asymétriques. Appliqué à l'urne électronique, ce principe signifie que la clé privée de déchiffrement est éclatée en N fragments distribués aux membres du bureau, et qu'aucun nombre inférieur à M de fragments ne permet la moindre information sur la clé. Le choix de N et M détermine la robustesse : (3,5) tolère l'absence ou la défection de deux membres et exige une collusion d'au moins trois pour fraude ; (4,7) renforce les deux propriétés. Sephos paramètre le seuil au scrutin selon le profil de risque, en respectant a minima les recommandations CNIL pour le niveau de risque applicable. Le partage de Shamir peut être combiné à des schémas ElGamal threshold qui rendent le déchiffrement distribué natif, sans avoir à reconstituer explicitement la clé privée en un point unique.

Scellement temporel et horodatage qualifié eIDAS

Le scellement de l'urne à la clôture est l'opération qui fixe juridiquement le périmètre du scrutin et fonde l'opposabilité ultérieure du résultat. Techniquement, il consiste à appliquer au contenu intégral de l'urne — c'est-à-dire à l'ensemble des bulletins chiffrés et des signatures intermédiaires accumulées pendant le scrutin — une signature électronique horodatée par un service tiers accrédité. Le règlement européen eIDAS (UE 910/2014), entré en vigueur en 2016, distingue trois niveaux de signature électronique : simple, avancée, qualifiée. Seul le niveau qualifié, qui exige un certificat délivré par un prestataire de service de confiance qualifié inscrit sur les listes nationales officielles, est juridiquement équivalent à la signature manuscrite devant un juge. Sephos applique systématiquement le niveau qualifié pour le scellement de l'urne et pour la signature du procès-verbal. L'horodatage qualifié, indissociable de la signature qualifiée pour cet usage, garantit l'instant précis du scellement et interdit toute rétrodatation. La conséquence pratique est forte : devant un tribunal, l'organisation peut produire l'urne scellée et démontrer, sans recours à un expert tiers, que son contenu n'a pas bougé depuis l'heure de clôture inscrite à la signature. Voir la page lexique sur l'horodatage eIDAS pour le détail des niveaux, des certificats et des durées de conservation.

Audit d'urne a posteriori — la vérifiabilité

La propriété qui distingue le plus fortement une urne électronique conforme d'une simple base de données chiffrée est la vérifiabilité a posteriori. L'idée centrale : tout tiers autorisé — délégué de liste, organisation syndicale, huissier, juge — doit pouvoir vérifier indépendamment, et sans dépendre de la coopération de l'opérateur, que les résultats proclamés correspondent exactement au contenu des bulletins déposés. Cette vérifiabilité se décompose en plusieurs propriétés : vérifiabilité individuelle (chaque votant peut s'assurer que son bulletin a bien été pris en compte sans avoir été altéré, via un identifiant de suivi qui ne révèle pas le contenu) ; vérifiabilité universelle (tout tiers peut vérifier que le décompte annoncé correspond exactement aux bulletins chiffrés présents dans l'urne scellée) ; vérifiabilité d'éligibilité (tout tiers peut vérifier que seuls les votants habilités ont déposé un bulletin, sans révéler qui a voté quoi). L'urne électronique Sephos produit ces trois niveaux de preuves sous forme d'export d'audit téléchargeable, accompagné d'outils libres de vérification documentés. Cette propriété est ce qui permet de couper court aux contestations : une organisation syndicale ou un délégué qui souhaite contester le résultat peut effectuer la vérification de son côté ; si l'urne est régulière, la contestation se ferme avant même la saisine du juge.

Urne électronique en pratique — l'approche Sephos

Sephos industrialise l'urne électronique avec la préoccupation constante d'éliminer la confiance accordée à l'opérateur — c'est-à-dire à Sephos lui-même. L'architecture applique six principes non négociables. La paire de clés du scrutin est générée à la création de chaque urne, propre à cette urne, et n'est jamais réutilisée. Le chiffrement des bulletins est effectué sur le navigateur du votant — le serveur ne voit jamais le bulletin en clair, fût-ce une fraction de seconde. La clé privée est éclatée selon Shamir entre 3 à 7 membres du bureau de vote, avec un seuil de reconstitution paramétrable. Le scellement de l'urne à la clôture est effectué par horodatage eIDAS qualifié tiers. Le journal d'audit est append-only, signé, exportable et vérifiable indépendamment avec des outils libres documentés. L'archivage post-scrutin conserve l'urne entière au format ouvert pour dix ans, lisible et vérifiable sans dépendre de l'existence future de Sephos. Cette approche est conforme aux trois niveaux de risque de la délibération CNIL n° 2019-053, et elle aligne explicitement les choix cryptographiques sur les référentiels ANSSI. Le résultat concret pour l'organisation : un scrutin opposable devant un tribunal, un recompte instantané possible, un archivage long terme garanti, et une vérifiabilité indépendante qui désamorce la quasi-totalité des contestations avant même la saisine du juge. Demandez une démonstration commentée pour voir une cérémonie de déchiffrement à seuil sur vos propres données de test.

Pour aller plus loin sur l'urne électronique

Toutes les ressources
Lexique Lexique du vote en ligne Toutes les notions techniques et juridiques expliquées. Lexique Vote électronique Définition, principes, cadre juridique et garanties du vote en ligne sérieux. Lexique Chiffrement bout-en-bout du vote RSA, AES, ElGamal et Curve25519 expliqués pour un scrutin chiffré sur le navigateur. Lexique Horodatage eIDAS Niveaux de signature, certificats qualifiés, opposabilité du scellement. Lexique Vote à bulletin secret Anonymat du votant, séparation identité-bulletin, mélange cryptographique. Glossaire Dépouillement d'un vote Méthode, publicité, recompte, procès-verbal et archivage des bulletins. Démo Demander une démonstration Voir une cérémonie de déchiffrement à seuil sur vos propres données de test. Glossaire Audit trail Définition, exigences CNIL ANSSI, valeur probante. Glossaire eIDAS Règlement UE 910/2014, 5 services trust, eIDAS 2.
FAQ — Urne électronique

Vos questions les plus fréquentes.

Une urne électronique est une structure cryptographique qui collecte les bulletins chiffrés émis lors d'un scrutin en ligne et qui ne peut être ouverte qu'à la clôture par reconstitution collégiale d'une clé privée distribuée entre plusieurs membres du bureau de vote. Ce n'est ni un fichier ni une base de données : c'est un protocole cryptographique précis, encadré en France par la délibération CNIL n° 2019-053 et par le règlement eIDAS.
À la création du scrutin, une paire de clés asymétriques est engendrée. La clé publique est intégrée à la page de vote ; chaque bulletin est chiffré par le navigateur du votant avec cette clé publique. La clé privée est immédiatement éclatée selon l'algorithme de Shamir entre 3 à 7 membres du bureau, qui en reçoivent un fragment chacun. À la clôture, l'urne est scellée par horodatage eIDAS ; le bureau se réunit en cérémonie, rassemble les fragments et déchiffre.
Non, et c'est une garantie mathématique, pas contractuelle. La clé privée de déchiffrement n'existe jamais en clair côté serveur. Elle est éclatée en fragments distribués aux membres du bureau de vote selon l'algorithme de Shamir. Aucun nombre de fragments inférieur au seuil paramétré ne permet la moindre information sur la clé. L'opérateur ne peut pas convoquer la cérémonie seul ; il dépend de la présence effective des membres désignés.
À l'heure de clôture programmée, l'urne entière — l'ensemble des bulletins chiffrés et des signatures intermédiaires accumulées — est scellée par une signature électronique horodatée par un service tiers accrédité, au niveau qualifié au sens du règlement eIDAS (UE 910/2014). Ce niveau est juridiquement équivalent à la signature manuscrite devant un juge. Toute altération ultérieure rendrait la signature invalide.
Pour reproduire la collégialité du bureau de vote papier de manière mathématiquement contraignante. La clé privée de déchiffrement est éclatée selon l'algorithme de Shamir entre N membres du bureau, avec un seuil M de reconstitution. Aucun acteur seul ne peut ouvrir l'urne ; il faut convoquer le bureau en cérémonie et rassembler au moins M fragments. C'est le déchiffrement à seuil, ou threshold decryption.
Le schéma de Shamir est paramétré avec une tolérance : si le seuil est de 3 sur 5, le scrutin peut être dépouillé même si deux fragments sont perdus. Si plus de membres font défaut que la tolérance ne le permet, l'urne ne peut pas être ouverte et le scrutin doit être recommencé. Le choix du seuil au paramétrage du scrutin est un compromis entre robustesse anti-collusion et tolérance aux absences.
Oui, lorsque son architecture respecte la délibération CNIL n° 2019-053 du 25 avril 2019 sur le vote électronique professionnel : anonymisation à l'émission, chiffrement bout-en-bout, séparation des clés entre membres du bureau, vérifiabilité indépendante, journal d'audit signé. Sephos applique ces exigences pour les trois niveaux de risque définis par la délibération et documente l'alignement dans le DPA contractuel.
L'audit a posteriori repose sur l'export du journal d'audit signé, sur les bulletins chiffrés archivés et sur les preuves cryptographiques (signatures intermédiaires, horodatage de scellement, preuves de mélange si applicable). L'export est vérifiable indépendamment avec des outils libres documentés. Un délégué de liste, un huissier ou un juge peut contrôler l'intégrité de l'urne et la régularité du dépouillement sans dépendre de l'opérateur.
Oui, et il est instantané. La cérémonie de déchiffrement peut être ré-exécutée à partir des bulletins chiffrés archivés. Le bureau se reconvoque, chaque membre rapporte son fragment de clé, le seuil est atteint, le déchiffrement est relancé. Le résultat est reproduit à l'identique avec preuve cryptographique de cohérence. Aucune manipulation physique, aucune mobilisation de salle.
Sephos applique par défaut une conservation de dix ans pour l'urne entière (bulletins chiffrés inclus), le journal d'audit signé et le procès-verbal eIDAS qualifié. Cette durée couvre largement l'ensemble des durées légales applicables aux scrutins professionnels et associatifs français. Le format d'archivage est ouvert et documenté ; il reste lisible et vérifiable indépendamment de l'existence future de Sephos.
Les deux sont juridiquement valides. Techniquement, l'urne électronique conforme offre des garanties supplémentaires : détection cryptographique des altérations, recompte instantané, vérifiabilité indépendante par tout tiers autorisé, archivage long terme garanti. L'urne physique conserve l'avantage de la matérialité visuelle, mais elle expose à des risques d'erreur de comptage, d'égarement de bulletins et de contestation des scrutateurs.
Une urne électronique conforme à l'état de l'art cryptographique n'est pas piratable au sens où l'on ouvrirait son contenu : il faudrait rassembler le seuil de fragments de clé privée détenus par les membres du bureau, ce qui exige une collusion physique d'un nombre suffisant d'entre eux. Les risques résiduels portent sur la disponibilité (déni de service) et sur la chaîne d'enrôlement des votants — risques qui n'attaquent pas l'urne elle-même mais son environnement opérationnel.

Voyez une urne électronique conforme en action.

Une démonstration commentée prend trente minutes et couvre la génération de la paire de clés, le dépôt d'un bulletin chiffré, le scellement horodaté eIDAS, la cérémonie de déchiffrement à seuil et la génération du procès-verbal — sur vos propres données de test.