16/12/2025: Audit citoyen : de la théorie à la pratique

Rappel de l’audit citoyen avec DEPASS

PourEVA a déjà expliqué dans un autre article comment mettre sous le contrôle des électeurs le système de dépouillement assisté par ordinateur DEPASS utilisé par certaines communes wallonnes et flamandes qui votent « papier ».

Pour résumer, au lieu de compter 100% des bulletins en une fois avec les ordinateurs, on sépare en 10 paquets les bulletins de vote, et on compte chacun de ces paquets séparément avec les ordinateurs. Pour chaque paquet, l’ordinateur fournit un résultat partiel. Au minimum un de ces paquets doit être compté manuellement et le résultat comparé à celui obtenu avec les ordinateurs et le système DEPASS.



Un des points essentiels dans cette procédure est que l’ordinateur ignore quel paquet de bulletins sera vérifié. En effet, si un programme malicieux peut déterminer dans quel cas il est ou sera contrôlé, il pourrait se comporter de façon différente selon les cas. C’est exactement ce qui s’est passé avec le Diesel Gate.


Le vote électronique avec "preuve" papier ne prévoit-il pas un contrôle citoyen ?




On peut se dire qu’avec le vote électronique avec "preuve" papier, tel que pratiqué à Bruxelles, dans les cantons germanophones et dans un peu plus de la moitié des communes de Flandre, le citoyen participe au contrôle du système. En effet, la carte magnétique illisible a été remplacée par un ticket sur lequel est imprimé le vote de l’électeur, en clair et sous forme de code QR. Ce ticket, l’électeur est supposé le vérifier, en tout cas, la partie humainement lisible.



Le premier problème est que le vote qui sera comptabilisé n’est pas la partie lisible, mais le grand code QR, un code barre à deux dimensions, qui occupe le haut du ticket. On peut déjà s’étonner que le législateur donne plus d’importance, par la taille prévue de l’impression sur le ticket, à un code humainement illisible qu’à la partie lisible.


Pour contrer les critiques concernant ce code QR, le législateur prévoit dans chaque bureau de vote, une machine qui permet à l’électeur de relire le code QR de son ticket de vote et vérifier qu’à l’écran il obtient la même chose que sur la partie lisible du ticket. 

On comprendra que si le programme est capable de se tromper (ou être piraté) pour écrire un autre code QR que le vote de l’électeur imprimé en clair sur le ticket, le même programme peut se tromper (ou être piraté) pour faire croire à l’électeur par l’affichage à l’écran que tout est correct.



Ce qui est également important, c’est que l’urne électronique enregistre bien la volonté de l’électeur. Si le ticket est correct, qu’il contient "A", que le code QR contient "A" mais que l’urne électronique compte "B", la vérification du ticket par l’électeur n’aura servi à rien.



Donc en plus de l’exactitude du code QR du ticket, ce qui est fondamental c’est ce que l’urne électronique va enregistrer à la lecture de ce code QR.



Pour la Flandre et pour les cantons germanophone, les vérifications prévues dans la loi s’arrêtent au contrôle du ticket. Et sauf zèle du collège d’experts, ou recours fructueux car argumenté et fournissant des preuves formelles d’un problème, personne ne vérifiera la validité de l’urne électronique.


Le contrôle d’une urne en région Bruxelles-Capitale


Pour les élections communales uniquement, et en région de Bruxelles-Capitale, le législateur va plus loin et prévoit de recompter au minimum un bureau par commune.



Nous allons essayer d’expliquer pourquoi, tout comme la vérification du ticket par l’électeur, ce contrôle ne satisfait pas à nos critères de sécurité et de fiabilité.



La première remarque est qu’un seul bureau de vote par commune c’est peu. Pour une commune comme Bruxelles-Ville, c’est exactement 1 % des bureaux de vote... on est bien loin des 10 % que PourEVA cite habituellement comme une valeur suffisamment grande pour dissuader la fraude et détecter les erreurs, tout en étant tout de même dix fois moins lourd que le recomptage total.



PourEVA a déjà dénoncé le flou sur la nature de cette vérification qui selon nos critères ne peut être considéré comme un audit citoyen.



Nous ne connaîtrons la pratique des présidents de bureau principal que lorsque celle-ci aura pu être observée, car malheureusement ce ne sont pas les instructions aux présidents qui peuvent nous éclairer sur ce qu’ils vont faire et comment ils vont le faire.



Mais que vérifie réellement ce recomptage obligatoire unique à la Région bruxelloise lors des élections locales ?


Il s’agit de prendre le support informatique du résultat des élections pour un bureau et le comparer à un recomptage "manuel" pour ce qui concerne uniquement le chiffre électoral (numéro de liste et non les votes de préférence).



Pour effectuer cette vérification, il faut utiliser un programme qui va permettre de décoder et afficher les résultats d’un bureau unique, ceci afin de pouvoir comparer le résultat par la suite. En supposant que ce programme ne soit pas malicieux, ce que l’on vérifie est donc le comportement d’une urne de vote d’un bureau de vote par commune.



Mais le résultat officiel de l’élection pour une commune n’est pas calculé de cette façon. C’est le programme de totalisation qui est utilisé, et celui-ci ne donne pas le résultat de l’élection pour un bureau en particulier. Il donne le résultat pour l’ensemble des bureaux. Il peut donner un résultat partiel mais avec les recommandations suivantes : ne pas donner de résultat partiel pour moins de 10 bureaux de vote et ne pas donner de résultat partiel s’il reste moins de 10 bureaux de vote à totaliser.



Donc s’il y a un bug ou une fraude dans le programme de totalisation, la vérification mise en place est inefficace pour le détecter.



Il est donc essentiel de vérifier aussi que les votes du bureau qui a bénéficié du contrôle manuel soient bien repris dans le résultat total de l’élection de la commune.



Tout comme la vérification d’une grande quantité de tickets pris individuellement n’apporte aucune garantie quant aux résultats du bureau de vote, la vérification individuelle d’une grande quantité de bureaux de vote n’apporte aucune garantie quant au résultat de la commune ou du canton.



On peut noter que lorsque la délégation de PourEVA a été reçue en 2012 au cabinet du Ministre-Président de la Région bruxelloise, elle a fait remarquer que le test du nouveau système de vote électronique avec « preuve papier » organisé à Saint-Gilles et Woluwe-Saint-Pierre n’était en rien un test si on ne vérifiait pas le moindre bureau de vote par un recomptage manuel à partir de ces preuves papier, il nous a été répondu que ce n’était pas prévu.



Force est de constater que ces revendications de PourEVA ont été partiellement entendues mais seulement six ans plus tard pour les élections de 2018 après que l’investissement soit décidé et réalisé pour les 19 communes !


Les problèmes liés à la connaissance du résultat d’un bureau de vote


Toutes les législations belges en matière d’élection veillent à ce que l’on ne procède jamais au dépouillement d’un bureau de vote isolé. En vote papier, un bureau de dépouillement fait le dépouillement de minimum 3 bureaux de vote, ceci pour éviter que l’on sache de façon trop précise comment vote un quartier ou une zone géographique trop petite. Le vote électronique, même si il y a parfois des ratés, essaye également dans les règles de dépouillement partiel (c’est-à-dire fournir des résultats alors que tous les bureaux ne sont pas totalisés) ou de sous-totalisation d’éviter que les résultats d’un seul bureau soient connus, en particulier par les témoins de parti.



On le voit, cette façon de vérifier semble poser beaucoup de questions, alors qu’elle n’apporte pas beaucoup de solutions effectives et efficaces pour le contrôle du résultat de l’élection.


Les super-pouvoirs du collège d’experts


Ceci ne veut pas dire que le collège d’experts ne peut pas faire une vérification de la totalisation en collectant tous les supports mémoire. En fait, le collège d’experts a déjà par le passé collecté tous les supports mémoire, à l’époque des disquettes, aux fins de vérification des totalisations. Par le passé toujours, le collège a développé ses propres logiciels de décodage des résultats d’une seule disquette.



Ces vérifications d’une seule disquette et aussi de la totalisation ont été bien utiles, par exemple pour le bug de 2003 à Schaerbeek (« rayon cosmique »), pour essayer de déterminer l’ampleur du désastre avec le bug de mai 2014. Par contre, il n’a pas pu être pratiqué pour les problèmes de disquette à Anvers, car la collecte de tous les supports mémoire n’était pas prévue.



Mais autant cette vérification semble importante, elle n’est pas à proprement parler un audit citoyen, puisque réalisée par des membres du collège d’experts et non par de simples citoyens. Cette vérification est également assez dangereuse, car ce que l’on essaye d’éviter à tout prix, connaitre le résultat des votes pour un seul bureau de vote, est possible pour le collège d’experts.



Une difficulté supplémentaire apparaît avec le vote électronique avec preuve papier. Comme support mémoire, au lieu de disquettes qui elles peuvent être protégées en écriture contre toute modification, le nouveau système de vote électronique utilise des clefs USB qui n’ont pas cette protection et qui permettent donc l’écriture et la modification des données. On peut donc imaginer un logiciel de totalisation contenant une fraude qui prévoit de modifier les résultats sur le support mémoire (la clé USB) ceci afin que la fraude ne soit pas détectée par une vérification de la totalisation.

Quelques soient les super-pouvoirs du collège d’experts, c’est aux simples citoyens de déterminer quels seront leurs élus. Si un système de vote ne peut être vérifié que par des experts, alors celui-ci n’est pas acceptable par les citoyens, car la confiance du corps électoral ne peut être déléguée.


Comment l’audit citoyen pourrait être mis en place pour le vote électronique avec preuve papier


On le voit, le diable est dans les détails, et faire un audit indépendant des ordinateurs n’est pas facile si on ne fait pas attention à tous ces détails.



Toute faille dans la méthode pourrait être exploitée par celui qui veut influencer le résultat de l’élection. On supposera que cette personne est infiltrée et peut d’une façon ou d’une autre s’assurer que sa version du logiciel plutôt que la version officielle tourne dans un certain nombre d’ordinateurs.



Comme nous l’avons recommandé pour mettre DEPASS sous le contrôle des citoyens, il y a moyen de vérifier le vote électronique avec preuve papier, mais cela nécessite d’être attentif aux détails.



Le plus simple consiste à effectuer la même procédure de contrôle que pour DEPASS, c’est-à-dire demander à la machine des résultats partiels, par exemple tous les 10 % de votes. Le système ne connaît ni les bureaux de vote, ni les ordinateurs, ni les échantillons qui seront seront utilisés pour un audit, c’est-à-dire une comparaison des résultats partiels obtenus de manière automatisée à ceux obtenus par un comptage manuel des tickets.



Une fois le résultat final obtenu, les citoyens du bureaux de "dépouillement" choisissent au hasard quels lots de bureaux et de bulletins de vote (tickets) vont être vérifiés. Soit tous les bureaux avant le premier résultat partiel, soit tous les bureaux entre le dernier résultat partiel et le résultat final, soit n’importe quel ensemble de bureaux entre deux résultats partiels. Quel que soit le groupe de bureaux à vérifier, l’ordinateur ne sait pas ce qui est vérifié, et l’on connait exactement le résultat attendu en faisant la différence entre deux résultats partiels.



Il suffit de compter manuellement l’ensemble des bulletins de ces lots et de comparer le résultat obtenu au résultat attendu informatique. Ceux-ci doivent être identiques, autrement cela indiquerait une erreur ou une fraude.



Si la différence est confirmée pour l’ensemble du lot de bureaux de vote, cela indique un problème, et il s’avère alors indispensable de recompter l’ensemble des bureaux de façon manuelle.



S’il n’y a pas de différence constatée alors on peut raisonnablement penser que le système est fiable car en ayant dépouillé 10 % des bulletins de vote un bug ou une fraude aurait été détecté. Si un résultat surprenant devait apparaître on peut imaginer procéder à un comptage manuel de lots supplémentaires.



On peut noter qu’il est important que les personnes participant au dépouillement ne connaissent pas le résultat informatique. Il faut compter sans connaître le résultat attendu, et recompter deux fois jusqu’à obtenir le bon résultat, à deux reprises si nécessaire. Il ne faut surtout pas considérer qu’une différence est due à une erreur humaine et ne pas recompter sérieusement. Ce double comptage avec un même résultat indique qu’il n’y a pas d’erreur humaine dans le comptage et que le problème est au niveau informatique.



On peut aussi vouloir s’assurer que les résultats finals de tous les bureaux ne soient pas communiqués aux témoins, ni au ministère de l’intérieur avant que l’audit citoyen n’ait eu lieu. En effet, si des résultats sont communiqués, alors cela veut dire qu’on accepte un résultat n’ayant pas fait l’objet d’un audit. Les personnes chargées de faire cet audit citoyen peuvent le percevoir alors comme inutile. Or l’audit citoyen doit être une étape incontournable qui conditionne la délivrance des résultats. Pour autant, il ne peut y avoir aucune pression à fournir rapidement une confirmation des résultats. 



On le sait, le ministère de l’intérieur est prompt à publier des résultats, parfois avant que les témoins de parti n’en soient informés, avant que le PV soit signé électroniquement, ou avant d’avoir compris la nature d’un bug. En 2014, il fut plus important de fournir rapidement des résultats même douteux que les résultats réels de l’élection. Ceux-ci ne furent d’ailleurs connus que quelques semaines plus tard.


Le ministère de l’intérieur doit respecter les acteurs de l’élection, c’est-à-dire le pouvoir législatif qui est aux commandes et le corps électoral dans son entièreté, c’est-à-dire les citoyens électeurs. Ce qui, actuellement, ne semble pas être la priorité.


Conclusions


L’audit citoyen du résultat de l’élection est une étape incontournable pour obtenir la confiance des citoyens dans le résultat des élections et donc dans notre système de démocratie représentative.



Ce contrôle doit être efficace et effectif, c’est-à-dire ne pas être inutilement fastidieux, mais néanmoins capable de détecter les bugs informatiques et les fraudes. Par sa présence, l’audit citoyen dissuade les tentatives de fraude. Il y a en effet un risque que grâce à l’audit citoyen elles soient détectées.



L’audit citoyen ne peut pas être remplacé par un audit d’experts, une certification ou tout autre processus qui n’implique pas directement le citoyen lambda. L’élection est celle des citoyens et ce sont eux qu’il faut convaincre de l’honnêteté du résultat de l’élection.



Les contrôles tels que prévus pour les élections locales en région de Bruxelles-Capitale ont le mérite d’exister, mais parce qu’ils sont mal conçus, donnent une fausse impression de sécurité. Pour les électeurs avec le contrôle du ticket et pour les membres du bureau principal avec le dépouillement manuel d’un bureau de vote.


Ces contrôles semblent être prévus pour rassurer les citoyens et répondre aux critiques de PourEVA. Mais en fait ils sont mal conçus et ne répondent pas aux objectifs fixés, sans que personne ne s’en inquiète. Un audit citoyen bien conçu ne doit a priori faire confiance à aucun ordinateur ou programme informatique, dans ce cas il apporte une confiance effective dans le système de vote. Tel que conçu actuellement ce n’est qu’un leurre et est de ce fait même nuisible car il n’empêche pas les fraudeurs de trouver les failles et d’agir.