CYBERSÉCURITÉ - Urnes numériques : la démocratie française en danger

Alors que le ministre Jean-Noël Barrot a déclaré vouloir étendre le vote par internet « à tous les scrutins », un décret publié discrètement le 15 avril 2026 dématérialise déjà l’information électorale des expatriés. Les experts en cybersécurité, eux, sonnent l’alarme depuis des années. Personne, semble-t-il, ne les entend.

Un gel qui vacille

Depuis 2008, la France observe un moratoire de facto sur les machines à voter. Le gouvernement de l’époque avait pris acte des incidents relevés lors de la présidentielle de 2007 : quatre communes (Ifs, le Perreux-sur-Marne, Noisy-le-Sec et Saint-Malo) avaient dû y renoncer en plein second tour. Aucune nouvelle autorisation n’a depuis été accordée, le ministère de l’Intérieur reconnaissant lui-même qu’« un scrutin avec une forte participation comme la présidentielle n’est pas forcément le meilleur moment ».
Ce fragile équilibre est aujourd’hui menacé. En janvier 2025, lors de la 30e conférence des ambassadrices et ambassadeurs, le ministre Jean-Noël Barrot a déclaré sans ambages que le « vote par internet sera étendu à tous les scrutins ». Une formule que la Direction des Français à l’étranger (DFAE) s’est ensuite empressée de nuancer : à ce jour, précise-t-elle, le Code électoral ne le prévoit pas pour la présidentielle. La nuance n’efface pas la déclaration.
« Les systèmes de vote électroniques sont, dans l’état des connaissances actuelles, incapables d’apporter la garantie constitutionnelle requise. » (Contribution d’Hervé Suaudeau au Sénat, janvier 2018).

La boîte noire constitutionnelle

L’article 3 de la Constitution est sans équivoque : le suffrage doit être « universel, égal et secret ». Des chercheurs soumis à la mission sénatoriale ont établi qu’un vote dématérialisé vérifiable perd intrinsèquement son anonymat. La question n’est pas technique. Elle est constitutionnelle.
Concrètement : chaque geste de l’électeur face à un système numérique fait l’objet de conversions successives (impulsion électrique, bits, enregistrement chiffré). À aucun stade, l’œil citoyen ne peut vérifier l’intégrité de la chaîne. Le bulletin papier glissé dans l’urne est un acte public et vérifiable. Le clic ne l’est pas.

L’opacité est structurelle.

Les industriels, dont l’importateur France-élections de la marque Nedap, justifient la confidentialité de leurs logiciels par des raisons de propriété intellectuelle. En France, seul le Bureau Veritas est mandaté pour la certification. Les experts indépendants, lorsqu’ils demandent l’accès au code source, se heurtent à un refus poli, mais ferme. Et lorsqu’un accès partiel leur est accordé, les vulnérabilités ne sont parfois découvertes qu’après le scrutin.

Signal d’alerte ignoré.

La solution de vote électronique utilisée lors des primaires présidentielles françaises employait plusieurs méthodes d’obfuscation du code afin d’empêcher toute rétro-ingénierie, une pratique officiellement découragée depuis des décennies. Les failles, pourtant nombreuses, ont permis selon les chercheurs du CNRS de modifier arbitrairement le résultat du scrutin et de désanonymiser potentiellement l’ensemble de l’électorat.

2022 : répétition générale ou avertissement ?

L’année 2022 fut présentée comme une victoire pour le vote électronique français. Avec les législatives des Français de l’étranger, organisées via la plateforme Voxaly-Docaposte, la France aurait organisé, selon l’INRIA, « la plus grosse élection par voie électronique jamais organisée à l’échelle mondiale ». L’ANSSI avait donné son feu vert après audit.
Mais le tableau est moins glorieux qu’il n’y paraît. La chercheuse Enka Blanchard, du CNRS, a publié ses travaux sur les failles des primaires présidentielles de 2022 : des vulnérabilités permettant de modifier arbitrairement les résultats et de désanonymiser l’électorat. Des résultats préoccupants, publiés dans des revues académiques, qui n’ont suscité aucune réponse publique des autorités électorales.
Par ailleurs, le taux de participation ne plaide pas pour le dispositif. Lors des législatives 2022 avec vote par internet : 22,51 % de participation au premier tour. Lors de la présidentielle de la même année, sans vote électronique pour le même public : 35,12 %. Le numérique n’a pas démontré d’effet mobilisateur. Il a, en revanche, concentré les risques.
2007 Incidents lors de la présidentielle. Quatre communes abandonnent les machines à voter en plein second tour.
2008 Le gouvernement gèle le périmètre des communes utilisatrices. Moratoire de facto toujours en vigueur.
6 mars 2017 L’ANSSI recommande la suspension du vote électronique aux législatives en raison d’un « niveau de menace extrêmement élevé ». Le gouvernement suit.
2022 Plus grande élection électronique mondiale pour les législatives des Français de l’étranger. Failles révélées par le CNRS après le scrutin.
Janv. 2025 Le ministre Barrot annonce l’extension du vote par internet « à tous les scrutins ». La DFAE nuance ensuite la portée de cette déclaration.
16 avril 2026 Décret publié au Journal officiel modifiant les modalités d’information électorale des Français de l’étranger pour 2027. Sans débat parlementaire.

Le décret du 15 avril : modernisation ou recul ?

Il n’a « guère fait de bruit ». Publié au Journal officiel le 16 avril 2026, le décret du 15 avril relatif à l’élection du président de la République modifie en profondeur les modalités d’information des quelque trois millions de Français inscrits sur les listes électorales consulaires. Les professions de foi des candidats ne leur seront désormais plus envoyées par voie postale : elles seront mises en ligne sur un site désigné par le ministère des Affaires étrangères.
La justification officielle convoque deux arguments : économies budgétaires et sécurité des expatriés dans des pays où révéler sa nationalité française pourrait les exposer. Des arguments recevables, à condition de s’assurer que l’alternative numérique atteint effectivement tous les électeurs visés. Or, selon une analyse du juriste Gilles Roux publiée le 23 avril 2026, « l’électeur doit désormais faire lui-même la démarche d’aller chercher l’information », inversant ainsi la logique démocratique : auparavant, l’information venait à l’électeur ; désormais, c’est à lui d’aller la consulter.

Le problème est structurel.

L’inscription au registre consulaire n’est pas obligatoire. L’inscription sur la liste électorale consulaire ne l’est pas davantage. Et les adresses électroniques enregistrées sont souvent obsolètes, emails professionnels, adresses temporaires, données non actualisées lors de mobilités entre pays. Dans certaines élections consulaires, le taux d’abstention dépasse déjà les 70 à 75 %. Ce décret, entré en vigueur le 17 avril 2026, ajoute une barrière supplémentaire.

Point de droit : Ce que dit (et ne dit pas) le Code électoral

L’article R. 176-3-5 prévoit un bureau du vote électronique présidé par un membre du Conseil d’état. Le Code électoral n’autorise le vote par internet que pour deux types d’élections : les législatives et les élections consulaires. La présidentielle n’y figure pas. Toute extension requiert une modification législative. Une déclaration ministérielle n’y suffit pas. L’Assemblée nationale a par ailleurs répondu à une question écrite (n° 1416) que « pour des scrutins à vaste circonscription, le risque de contagion serait accru : les failles potentielles seraient multipliées à raison du nombre d’électeurs supplémentaires concernés, et un problème local pourrait entraîner une annulation de toute l’élection ».

L’écosystème : intérêts privés, certification opaque

Derrière le vote électronique, un marché. La société Voxaly-Docaposte, filiale d’un groupe postal public, fournit la solution de vote en ligne pour les élections françaises à l’étranger. Son contrat est reconduit de scrutin en scrutin sans appel d’offres véritablement ouvert à la concurrence internationale. Son code source n’est pas accessible aux chercheurs indépendants.
L’argument de l’industriel est circulaire : l’opacité est nécessaire pour ne pas être copié. La sécurité par l’obscurité est pourtant, depuis des décennies, considérée comme une non-méthode par la communauté de la cryptographie. Les régimes les plus robustes, comme le système estonien, longtemps cité en modèle, reposent au contraire sur la publication intégrale du code source.
En France, la CNIL a publié en janvier 2025 un projet de recommandation enjoignant les fournisseurs à rendre publics le protocole de vote et les garanties de sécurité, et à se soumettre à des audits en conditions opérationnelles. Des recommandations. Pas des obligations.

Ce que les institutions ne disent pas

Ni le ministère de l’Intérieur, ni la DFAE, ni le prestataire Voxaly-Docaposte n’ont répondu aux questions précises posées sur le calendrier d’une éventuelle extension du vote électronique à la présidentielle de 2027. L’absence de réponse est, en soi, un fait éditorial.
Ce silence contraste avec l’urgence signalée par les experts. En 2017, l’ANSSI avait évoqué un « niveau de menace extrêmement élevé de cyberattaques » pour justifier la suspension du vote électronique aux législatives. Le contexte géopolitique de 2026 (conflits actifs en Europe, intensification des opérations d’influence étrangère documentées par l’ANSSI et le SGDSN) ne plaide pas pour un relâchement de la vigilance. Il plaide exactement pour l’inverse.
La question qui se pose n’est pas de savoir si le vote électronique est techniquement possible. Il l’est, sous certaines conditions, pour des scrutins d’ampleur limitée. La question est de savoir si la France est prête à confier son suffrage universel direct, le plus important de sa vie démocratique, à un système que ses propres experts jugent, dans l’état actuel, incapable de satisfaire aux exigences constitutionnelles.
Reste une inconnue de taille. L’extension du vote en ligne à la présidentielle de 2027 nécessite une modification du Code électoral, donc un vote du Parlement. Si une telle réforme était engagée sans audit public préalable, sans publication du code source de la solution retenue et sans débat contradictoire associant les experts académiques indépendants, elle exposerait l’État à un contentieux constitutionnel d’ampleur inédite. Le Conseil constitutionnel, juge de l’élection présidentielle, en serait l’arbitre. Une perspective qui, paradoxalement, constitue peut-être la dernière garantie du système.

Marcel Gay