La protection des données personnelles des Français par les pouvoirs publics
Les administrations sont désormais une cible privilégiée des pirates informatiques, qui essayent de s’emparer des données des citoyens. Si plusieurs agences veillent au grain, des associations dénoncent le manque de « volonté politique » du gouvernement.
Vannes est attaquée début 2016. Quatre agents de cette municipalité du Morbihan, ouvrant un courriel corrompu, laissent pénétrer un virus dans le système informatique de la ville. C’est la stupéfaction. « Qu’y atil à voler dans une municipalité ? », s’interroge Anne Le Hénanff. « Nous n’avions pas conscience, poursuit la maire adjointe, de posséder un bien qui a une grande va leur : pas de l’argent, non, mais de la data, toutes ces données que l’on collecte auprès des habitants. »
La ville réalise que la numérisation effrénée des démarches administratives n’est pas sans risque, et qu’elle s’accompagne d’une « responsabilité de protéger les données ». « La directrice de l’informatique m’a mise en garde, poursuit Mme Le Hénanff : “C’est la dernière chance. Si on ne fait rien, la prochaine fois, ils craqueront notre système de sécurité.” » Vannes sonne le tocsin, et stoppe tout développement numérique pendant deux ans pour se mettre à niveau.
Récemment, dans la nuit du 5 au 6 décembre, une attaque au rançongiciel a frappé les serveurs du Syndicat intercommunal d’informatique (SII) de Bobigny, dont dépendent plu sieurs municipalités et organismes publics de Seine Saint-Denis. Pour obtenir un acte de naissance ou de décès, les habitants de Bobigny doivent désormais se rendre en personne à l’état civil et ne peuvent plus faire la démarche en ligne, rapporte l’Agence FrancePresse. Aucun retour à la normale n’est en vue pour le moment, le syndicat refusant évidemment de payer la rançon de 4 millions d’euros demandée par les pirates.
Les administrations ne cessent d’être ciblées par les cybercriminels pour les informations personnelles qu’elles possèdent. Fin octobre, ce sont les services de la mairie de Sainte Affrique (Aveyron) qui ont été attaqués. A l’été 2020, les données de 1,4 million de personnes ayant effectué un test de dépistage du Covid19 en Ile de France ont été dérobées à l’Assistance publique Hôpitaux de Paris. En juin 2021, Pôle emploi a porté plainte pour le vol massif de coordonnées de chômeurs. Selon les chiffres du dispositif gouvernemental Cybermalveillance, 1 964 collectivités publiques ont été accompagnées pour ce problème cette année, une augmentation de 127 % depuis 2018 (865).
La sécurité nationale en jeu
Les mêmes faits se répètent, semant le doute sur la manière dont la puissance publique protège les milliards de données, parfois hypersensibles, que les citoyens lui cèdent en toute confiance : numéro de sécurité conjoint, etc. Cette protection relève de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Mais elle a refusé d’expliquer comment ce trésor est protégé. C’est pour tant bien « un enjeu majeur de confiance des Français dans les institutions publiques », reconnaît l’entourage de la ministre de la transformation et de la fonction publiques, Amélie de Montchalin.
Les risques sont grands, en effet. Il suffit d’un numéro de sécurité sociale pour usurper l’identité de quelqu’un. « On demande de plus en plus de documents pour obtenir ne serait ce qu’une copie d’acte de naissance, déplore la sénatrice Les Républicains du Val de Marne Catherine Procaccia. Tout cela circule n’importe comment… J’ai été saisie par une personne qui en était à son 52 eme PV pour des infractions qu’elle n’avait pas commises. »
Mais les risques touchent également à la sécurité nationale. « Demain, il y aura davantage de tentatives de prise de contrôle de données, prévient Eric Bothorel, député La République en marche (LRM) des Côtes d’Armor. Prendre le contrôle des feux de signalisation d’une ville pourrait bloquer les capacités de réaction face à une attaque. » Catherine Procaccia en est bien consciente, elle qui a, après les attentats de novembre 2015, fait « des réserves d’eau potable » dans sa cave de peur d’une cyberattaque sur l’eau courante. Et sa crainte n’était pas infondée : en février 2021, un hacker a pénétré le système informatique du réseau hydraulique d’une ville de Floride pour modifier la composition chimique de l’eau au point de la rendre mortelle. Un technicien a rapidement contré l’attaque.
Lorsque l’on demande à la sénatrice si la puissance publique protège suffisamment les données des Français, elle répond : « Pour l’instant, non. La protection est déficiente. » Elle souligne la situation des petites communes, « parce que cela demande des moyens qu’elles n’ont pas ». Maire de La Jarne (CharenteMaritime), Vincent Coppolani reconnaît qu’il n’a « absolument pas les moyens d’avoir quelqu’un qui soit spécialisé en informatique ». Lui est pourtant sensibilisé, mais parmi ses homologues, « neuf sur dix ne sauraient pas comment réagir » à une attaque.
Le rôle primordial de la CNIL
Accompagner ces petites villes est « un vrai enjeu », reconnaîton chez Mme de Montchalin. Quant aux hôpitaux, on y trouve « un niveau de maturité variable. Les plus petits sont pris dans des contraintes financières et de compétences », relève Bertrand Pailhès, directeur des technologies et de l’innovation à la Commission nationale de l’informatique et des libertés (CNIL), en citant les attaques récentes du CHU de Rouen, de l’hôpital de Dax (Landes) ou de celui de Châlon sur Saône (SaôneetLoire).
L’arbre qui cache la forêt, plaide le député Bothorel. « Globalement, estime t’il, l’Etat protège bien les données des Français. » Il propose, pour s’en convaincre, de rapporter « les attaques réussies à celles qui sont tentées».Verdict : « A l’épreuve des faits, on résiste. » Il existe, en France, un solide corps de règles qui a même « influencé la législation européenne », reconnaît l’avocat Constantin Pavléas, ajoutant que ce n’est le cas ni aux Etats Unis ni en Chine. A la CNIL, chargée de veiller au grain, Bertrand Pailhès confirme que « les autorités prennent les choses au sérieux. D’ailleurs, la création de l’Anssi, en 2009, le montre. Il n’y a pas beaucoup d’administrations qui sont passées de zéro à 600 agents en quelques années… »
Le gouvernement défend « une stratégie offensive qui consiste à se prémunir de tout type d’attaque contre nos données stockées dans un endroit que l’on connaît, assure l’entourage de Mme de Montchalin. Notre doctrine, adoptée en 2021, est la plus stricte d’Europe ». Dans le cadre du plan France Relance, l’Anssi a reçu 136 millions d’euros pour renforcer la cybersécurité. La CNIL a obtenu vingt cinq postes, même si, avec 245 agents, elle est encore loin de ses homologues britannique ou allemande.
Or, son rôle est essentiel. Lutter contre les cybermalfaiteurs est une chose. S’assurer que la puissance publique utilise correctement les données des Français en est une autre. La CNIL s’en charge, en s’assurant notamment du respect du Réglement général sur la protection des données (RGPD), adopté par l’Union européenne en 2016. «On fait de notre mieux avec les moyens que l’on a », confie Bertrand Pailhès. Il n’est pas rare que des administrations soient sanctionnées. Ce fut le cas, en 2021, du ministère de l’intérieur, notamment pour sa mauvaise gestion du fichier automatisé des empreintes digitales, mais également de la RATP ou, en 2019, d’un rectorat qui avait fourni les coordonnées des bacheliers à une députée LRM souhaitant les féliciter.
« Le RGPD n’est pas appliqué, n’est pas respecté », objecte pourtant Arthur Messaud. L’analyste juridique et politique à l’association La Quadrature du Net dénonce « une complicité entre les géants du numérique et l’Etat ». Le modèle économique des Google, Apple, Facebook, Amazon et Microsoft – les Gafam – repose, en effet, sur l’exploitation des données des utilisateurs. Or, dénonce l’association, celles ci sont mal protégées et la France manquerait de « volonté politique » pour inciter les autorités européennes à sanctionner les Gafam.
Certains dénoncent la fascination des décideurs publics, alimentée par le lobbying redou table des Gafam. Chez Mme de Montchalin, on proteste : « Considérer que le gouvernement n’est pas assez ferme, ce n’est pas une chose que l’on peut dire, se récrie un conseiller. On ne se trompe pas de but, qui est de protéger les données, pas d’exclure des entreprises d’un marché. »
Mais Arthur Messaud cite l’exemple de la Plateforme des données de santé, appelée « Health Data Hub » par le gouvernement. Créée en 2019, elle facilite le partage des informations médicales des Français dans un but scientifique. Problème, s’inquiète le militant, ces données ont été confiées à l’américain Microsoft, « alors que l’on a des entreprises en France qui peuvent proposer ça ». Et le gouvernement français s’est donc exposé « à la lé gislation extraterritoriale américaine », explique l’avocat Constantin Pavléas. Les lois des Etats Unis, poursuit-il, « permettent aux services d’enquête américains d’avoir un accès électronique à des données où qu’elles soient, dès lors qu’elles sont gérées par une entreprise américaine, y compris pour une filiale européenne. Donc, potentiellement, les autorités américaines pourraient avoir accès aux données de santé des Français ».
Le stockage reste problématique
Considérant, en octobre 2020, qu’il n’y a « pas d’illégalité grave et manifeste », le Conseil d’Etat a cependant reconnu que « le risque ne peut être totalement exclu ». Le juge administratif a donc demandé au gouvernement de trouver une solution permettant « d’éliminer tout risque ». Interrogé un représentant de Health Data Hub estime que « le risque théorique » évoqué par le Conseil d’Etat « d’un transfert des données vers les EtatsUnis ne semble pas justifié ». Il assure néanmoins que dès qu’« une offre », jouissant du label « cloud de confiance » créé depuis par le gouvernement, se présentera, les données y migreront. En novembre 2020, le ministre de la santé, Olivier Véran, avait promis « une solution souveraine dans les douze à dixhuit mois, au maximum deux ans ».
Ce que montre la plateforme, en tout cas, c’est que le stockage est un enjeu décisif pour la protection des données. Et, là en core, la situation n’est pas stabilisée partout. C’est une difficulté pour les petites collectivités publiques qui manquent de moyens. « On n’a plus de serveurs à la mairie, explique Vincent Coppolani. On a passé toutes nos données en cloud. » Elles sont « en France, et c’est mieux protégé que ce que l’on peut faire en mairie ».
Quant à l’Etat, La Quadrature du Net lui reproche d’exercer « une surveillance excessive ». Il oblige en effet les fournisseurs de téléphonie à conserver un an les données de géolocalisation des Français. En octobre 2020, la justice européenne a considéré que l’Etat français ne respectait pas la Charte des droits fondamentaux de l’Union. L’associa tion saisit le Conseil d’Etat, lequel, relevant l’état d’urgence sécuritaire, ne condamne pas l’Etat. « C’est un échec total pour nous, notre plus grande défaite », reconnaît Arthur Messaud, en s’agaçant : « L’Etat est en rébellion contre le droit européen en matière de protection de la population contre les abus des services de renseignement. »
Mais l’objectif assumé du Conseil d’Etat est surtout de trouver un équilibre entre les contraintes de sécurité et la liberté des citoyens. Ainsi, les données de géolocalisation ne sont pas détenues par l’Etat, mais par les fournisseurs. Par ailleurs, la procédure qui permet à un fonctionnaire d’y avoir accès a été très encadrée. « Il ne faut pas caricaturer, l’Etat n’organise pas de flicage, diton au Conseil d’Etat. Le commissariat du coin ne peut pas s’amuser à aller dans ces bases comme ça. Les garde fous sont très importants. »