La protection des données personnelles des Français par les pouvoirs publics

2021-12-27 Off By dporgpd

Les administrations sont désormais une cible privilégiée des pirates informatiques, qui essayent de s’emparer des données des citoyens. Si plusieurs agences veillent au grain, des associations dénoncent le manque de « volonté politique » du gouvernement.

Vannes est attaquée début 2016. Quatre agents de cette muni­cipalité du Morbihan, ouvrant un courriel corrompu, laissent pénétrer un virus dans le système informatique de la ville. C’est la stupéfaction. « Qu’y a­t­il à voler dans une municipalité ? », s’interroge Anne Le Hénanff. « Nous n’avions pas conscience, poursuit la maire adjointe, de posséder un bien qui a une grande va­ leur : pas de l’argent, non, mais de la data, toutes ces données que l’on collecte auprès des habitants. »

La ville réalise que la numérisa­tion effrénée des démarches administratives n’est pas sans risque, et qu’elle s’accompagne d’une « responsabilité de protéger les données ». « La directrice de l’informatique m’a mise en garde, poursuit Mme Le Hénanff : “C’est la dernière chance. Si on ne fait rien, la prochaine fois, ils craqueront notre système de sécurité.» Vannes sonne le tocsin, et stoppe tout développement numérique pendant deux ans pour se mettre à niveau.

Récemment, dans la nuit du 5 au 6 décembre, une attaque au rançongiciel a frappé les serveurs du Syndicat intercom­munal d’informatique (SII) de Bobigny, dont dépendent plu­ sieurs municipalités et organis­mes publics de Seine­ Saint-De­nis. Pour obtenir un acte de nais­sance ou de décès, les habitants de Bobigny doivent désormais se rendre en personne à l’état civil et ne peuvent plus faire la démar­che en ligne, rapporte l’Agence France­Presse. Aucun retour à la normale n’est en vue pour le moment, le syndicat refusant évidemment de payer la rançon de 4 millions d’euros demandée par les pirates.

Les administrations ne cessent d’être ciblées par les cybercrimi­nels pour les informations per­sonnelles qu’elles possèdent. Fin octobre, ce sont les services de la mairie de Sainte­ Affrique (Avey­ron) qui ont été attaqués. A l’été 2020, les données de 1,4 million de personnes ayant effectué un test de dépistage du Covid­19 en Ile­ de­ France ont été dérobées à l’Assistance publique­ Hôpitaux de Paris. En juin 2021, Pôle emploi a porté plainte pour le vol massif de coordonnées de chômeurs. Se­lon les chiffres du dispositif gou­vernemental Cybermalveillance, 1 964 collectivités publiques ont été accompagnées pour ce pro­blème cette année, une augmen­tation de 127 % depuis 2018 (865).

La sécurité nationale en jeu

Les mêmes faits se répètent, semant le doute sur la manière dont la puissance publique protège les milliards de données, parfois hypersensibles, que les citoyens lui cèdent en toute confiance : numéro de sécurité conjoint, etc. Cette protection relève de l’Agence nationale de la sécurité des systèmes d’informa­tion (Anssi). Mais elle a refusé d’expliquer comment ce trésor est protégé. C’est pour­ tant bien « un enjeu majeur de confiance des Français dans les institutions publiques », reconnaît l’entourage de la ministre de la transformation et de la fonction publiques, Amélie de Montchalin.

Les risques sont grands, en ef­fet. Il suffit d’un numéro de sé­curité sociale pour usurper l’identité de quelqu’un. « On de­mande de plus en plus de do­cuments pour obtenir ne serait­ ce qu’une copie d’acte de naissance, déplore la sénatrice Les Républi­cains du Val­ de­ Marne Catherine Procaccia. Tout cela circule n’im­porte comment… J’ai été saisie par une personne qui en était à son 52 eme PV pour des infractions qu’elle n’avait pas commises. »

Mais les risques touchent égale­ment à la sécurité nationale. « De­main, il y aura davantage de tentatives de prise de contrôle de données, prévient Eric Bothorel, député La République en marche (LRM) des Côtes­ d’Armor. Prendre le contrôle des feux de signalisa­tion d’une ville pourrait bloquer les capacités de réaction face à une attaque. » Catherine Procaccia en est bien consciente, elle qui a, après les attentats de novem­bre 2015, fait « des réserves d’eau potable » dans sa cave de peur d’une cyberattaque sur l’eau courante. Et sa crainte n’était pas infondée : en février 2021, un hacker a pénétré le système infor­matique du réseau hydraulique d’une ville de Floride pour modi­fier la composition chimique de l’eau au point de la rendre mortelle. Un technicien a rapide­ment contré l’attaque.

Lorsque l’on demande à la sé­natrice si la puissance publique protège suffisamment les don­nées des Français, elle répond : « Pour l’instant, non. La protection est déficiente. » Elle souligne la si­tuation des petites communes, « parce que cela demande des moyens qu’elles n’ont pas ». Maire de La Jarne (Charente­Maritime), Vincent Coppolani reconnaît qu’il n’a « absolument pas les moyens d’avoir quelqu’un qui soit spécialisé en informatique ». Lui est pourtant sensibilisé, mais parmi ses homologues, « neuf sur dix ne sauraient pas comment réa­gir » à une attaque.

Le rôle primordial de la CNIL

Accompagner ces petites villes est « un vrai enjeu », reconnaît­on chez Mme de Montchalin. Quant aux hôpitaux, on y trouve « un niveau de maturité variable. Les plus petits sont pris dans des contraintes financières et de compétences », relève Bertrand Pailhès, directeur des technolo­gies et de l’innovation à la Com­mission nationale de l’informati­que et des libertés (CNIL), en citant les attaques récentes du CHU de Rouen, de l’hôpital de Dax (Landes) ou de celui de Châ­lon sur ­Saône (Saône­et­Loire).

L’arbre qui cache la forêt, plaide le député Bothorel. « Globale­ment, estime­ t’­il, l’Etat protège bien les données des Français. » Il propose, pour s’en convaincre, de rapporter « les attaques réus­sies à celles qui sont tentées».Ver­dict : « A l’épreuve des faits, on résiste. » Il existe, en France, un solide corps de règles qui a même « influencé la législation euro­péenne », reconnaît l’avocat Cons­tantin Pavléas, ajoutant que ce n’est le cas ni aux Etats ­Unis ni en Chine. A la CNIL, chargée de veiller au grain, Bertrand Pailhès confirme que « les autorités pren­nent les choses au sérieux. D’ailleurs, la création de l’Anssi, en 2009, le montre. Il n’y a pas beaucoup d’administrations qui sont passées de zéro à 600 agents en quelques années… »

Le gouvernement défend « une stratégie offensive qui consiste à se prémunir de tout type d’attaque contre nos données stockées dans un endroit que l’on connaît, assure l’entourage de Mme de Montcha­lin. Notre doctrine, adoptée en 2021, est la plus stricte d’Europe ». Dans le cadre du plan France Re­lance, l’Anssi a reçu 136 millions d’euros pour renforcer la cybersé­curité. La CNIL a obtenu vingt­ cinq postes, même si, avec 245 agents, elle est encore loin de ses homologues britannique ou allemande.

Or, son rôle est essentiel. Lutter contre les cybermalfaiteurs est une chose. S’assurer que la puis­sance publique utilise correcte­ment les données des Français en est une autre. La CNIL s’en charge, en s’assurant notamment du respect du Réglement général sur la protection des données (RGPD), adopté par l’Union européenne en 2016. «On fait de notre mieux avec les moyens que l’on a », confie Bertrand Pailhès. Il n’est pas rare que des administrations soient sanctionnées. Ce fut le cas, en 2021, du ministère de l’inté­rieur, notamment pour sa mau­vaise gestion du fichier automa­tisé des empreintes digitales, mais également de la RATP ou, en 2019, d’un rectorat qui avait fourni les coordonnées des bacheliers à une députée LRM souhaitant les féliciter.

« Le RGPD n’est pas appliqué, n’est pas respecté », objecte pour­tant Arthur Messaud. L’analyste juridique et politique à l’associa­tion La Quadrature du Net dé­nonce « une complicité entre les géants du numérique et l’Etat ». Le modèle économique des Google, Apple, Facebook, Amazon et Microsoft – les Gafam – repose, en effet, sur l’exploitation des données des utilisateurs. Or, dé­nonce l’association, celles­ ci sont mal protégées et la France manquerait de « volonté politique » pour inciter les autorités euro­péennes à sanctionner les Gafam.

Certains dénoncent la fascina­tion des décideurs publics, alimentée par le lobbying redou­ table des Gafam. Chez Mme de Montchalin, on proteste : « Consi­dérer que le gouvernement n’est pas assez ferme, ce n’est pas une chose que l’on peut dire, se récrie un conseiller. On ne se trompe pas de but, qui est de protéger les données, pas d’exclure des entre­prises d’un marché. »

Mais Arthur Messaud cite l’exemple de la Plate­forme des données de santé, appelée « Health Data Hub » par le gouvernement. Créée en 2019, elle faci­lite le partage des informations médicales des Français dans un but scientifique. Problème, s’in­quiète le militant, ces données ont été confiées à l’américain Mi­crosoft, « alors que l’on a des entre­prises en France qui peuvent pro­poser ça ». Et le gouvernement français s’est donc exposé « à la lé­ gislation extraterritoriale améri­caine », explique l’avocat Cons­tantin Pavléas. Les lois des Etats­ Unis, poursuit-­il, « permettent aux services d’enquête américains d’avoir un accès électronique à des données où qu’elles soient, dès lors qu’elles sont gérées par une entreprise américaine, y compris pour une filiale européenne. Donc, potentiellement, les autorités améri­caines pourraient avoir accès aux données de santé des Français ».

Le stockage reste problématique

Considérant, en octobre 2020, qu’il n’y a « pas d’illégalité grave et manifeste », le Conseil d’Etat a cependant reconnu que « le risque ne peut être totalement exclu ». Le juge administratif a donc de­mandé au gouvernement de trou­ver une solution permettant « d’éliminer tout risque ». Inter­rogé un représen­tant de Health Data Hub estime que « le risque théorique » évoqué par le Conseil d’Etat « d’un trans­fert des données vers les Etats­Unis ne semble pas justifié ». Il assure néanmoins que dès qu’« une offre », jouissant du label « cloud de confiance » créé depuis par le gouvernement, se présentera, les données y migreront. En novem­bre 2020, le ministre de la santé, Olivier Véran, avait promis « une solution souveraine dans les douze à dix­huit mois, au maxi­mum deux ans ».

Ce que montre la plate­forme, en tout cas, c’est que le stockage est un enjeu décisif pour la protection des données. Et, là en­ core, la situation n’est pas stabili­sée partout. C’est une difficulté pour les petites collectivités publiques qui manquent de moyens. « On n’a plus de serveurs à la mairie, explique Vincent Coppolani. On a passé toutes nos données en cloud. » Elles sont « en France, et c’est mieux protégé que ce que l’on peut faire en mairie ».

Quant à l’Etat, La Quadrature du Net lui reproche d’exercer « une surveillance excessive ». Il oblige en effet les fournisseurs de télé­phonie à conserver un an les données de géolocalisation des Français. En octobre 2020, la justice européenne a considéré que l’Etat français ne respectait pas la Charte des droits fonda­mentaux de l’Union. L’associa­ tion saisit le Conseil d’Etat, lequel, relevant l’état d’urgence sécuri­taire, ne condamne pas l’Etat. « C’est un échec total pour nous, notre plus grande défaite », recon­naît Arthur Messaud, en s’aga­çant : « L’Etat est en rébellion contre le droit européen en matière de protection de la popu­lation contre les abus des services de renseignement. »

Mais l’objectif assumé du Con­seil d’Etat est surtout de trouver un équilibre entre les contraintes de sécurité et la liberté des ci­toyens. Ainsi, les données de géo­localisation ne sont pas détenues par l’Etat, mais par les fournis­seurs. Par ailleurs, la procédure qui permet à un fonctionnaire d’y avoir accès a été très encadrée. « Il ne faut pas caricaturer, l’Etat n’or­ganise pas de flicage, dit­on au Conseil d’Etat. Le commissariat du coin ne peut pas s’amuser à aller dans ces bases comme ça. Les gar­de ­fous sont très importants. »