L’Ile­ de­ France critiquée pour la gestion des données personnelles

2021-08-12 Off By dporgpd

La sécurité informatique de la région est insuffisante, selon un rapport de la chambre régionale des comptes

Le document est court mais  sévère. Dans un rapport de 25 pages mis en ligne mer­credi 28 juillet, la chambre régio­nale des comptes d’Ile­de­France met en lumière les failles de la ré­gion concernant la gestion des données personnelles et la sécu­rité informatique, et demande à sa présidente tout juste réélue, Valérie Pécresse, de se mettre au plus vite en conformité avec les règles en la matière.

Une pierre dans le jardin de l’an­cienne ministre sarkozyste, dé­sormais candidate à l’Elysée, qui souhaite développer l’utilisation de l’intelligence artificielle et de la reconnaissance faciale pour lutter contre la délinquance, mais peine à mettre à niveau la collecti­vité qu’elle dirige. « Si les systèmes d’information de la région Ile­ de­ France ont été en partie confortés depuis 2017, ils restent en deçà de la robustesse et de la sécurité né­cessaires à une collectivité qui a fait du numérique un axe central de son action, synthétisent les magistrats dans leur rapport. Il en est particulièrement ainsi en ce qui concerne la gestion des don­nées personnelles. »

La chambre régionale des comp­ tes s’était déjà penchée à plu­sieurs reprises sur les pratiques de la région dans le domaine in­formatique. « Un point de faiblesse historique de la collectivité régio­nale », souligne ­t­elle. En 2009, alors que le socialiste Jean­ Paul Huchon présidait l’Ile­ de­France, un précédent rapport s’était alarmé d’« une absence de straté­gie informatique». Quand Valérie Pécresse lui a succédé, en 2015, « le système d’information était in­ complet, peu intégré », « des outils étaient obsolètes, mal paramétrés, mal utilisés ». Depuis, des progrès sont intervenus, mais le dispositif ne paraît toujours pas à la hau­teur. Entre la volonté affichée de faire de la région parisienne « la première smart région d’Europe » grâce à la « transformation numé­rique du territoire » et la réalité, l’écart demeure trop important.

Le point le plus critique porte sur le traitement des données person­nelles. Depuis l’entrée en vigueur du nouveau règlement général sur la protection des données (RGPD), en mai 2018, les entrepri­ses comme les collectivités publi­ques doivent respecter une série d’obligations pour protéger la vie privée des personnes sur lesquel­ les elles disposent d’informations. Or la région, qui gère en particu­lier les lycées et les transports en commun, s’est souciée trop tard du sujet. Elle a mis en place un co­mité pour s’en occuper cinq mois seulement avant la date butoir.

Résultat : en 2020, quand les ma­ gistrats ont voulu faire le point, la région « n’était pas en mesure de garantir la protection des données personnelles qu’elle utilise », écri­vent­ ils. Elle ne connaissait même pas le nombre de fichiers en cause. Au fil des échanges, les fonctionnaires ont évoqué « 289 traitements » de données à caractère personnel figurant dans le registre devenu obligatoire, 356 traitements, puis 394.

« La région tient à préciser qu’elle connaît le nombre de ses traite­ments RGPD qui s’établit à 473 », af­firment à présent les services de Valérie Pécresse. Mais ces fichiers et la façon dont la région en fait usage sont­ ils conformes à la loi et aux règlements ? « Plus de deux ans après la date limite de mise en œuvre du RGPD », la région n’est toujours pas à même de garantir la conformité de ce qu’elle fait, « y compris pour les données les plus sensibles », constatent les magis­trats. Une situation à risque pour les habitants, mais aussi pour la région, qui « s’expose à des sanc­tions de la Commission nationale de l’informatique et des libertés ». La chambre régionale demande donc de « finaliser sans délai » cette mise en conformité. L’opéra­tion sera achevée « d’ici à la fin de l’année 2021 », a promis Valérie Pé­cresse dans sa réponse.

« Aucune attaque n’a abouti »

Autre grand sujet, la sécurité in­ formatique. Après avoir « souffert d’un manque d’intérêt de la part de la collectivité », le dossier « a été repris en main récemment », re­lève le rapport. La région a lancé fin 2020 un audit de sécurité sur l’ensemble de ses infrastructures informatiques et effectué des tests d’intrusion. Depuis 2017, le dispositif « permet une reprise d’activité en cas de perte d’une des deux salles informatiques ». Ces dernières années, des pirates ont d’ailleurs tenté de s’en prendre à ses systèmes d’information, mais « aucune des attaques n’a abouti », se réjouit David Bonneau, le direc­ teur général des services.

Globalement, « des points de fai­blesse majeurs restent à lever en matière de sécurité et d’infrastruc­tures », jugent toutefois les magis­trats, évoquant la cartographie des infrastructures, l’élaboration d’un plan de secours ou encore le déploiement total du Wi­Fi dans les lycées. «Nous avons eu du re­tard dans certains domaines, mais la crise du Covid­19 a montré notre efficacité, réplique ­t­on au siège de la région. Comme nous avions déjà largement recours au télétra­vail, le confinement n’a pas rompu la continuité du service public, et, malgré quelques bugs, les cours à distance ont été mis en place pour un nombre énorme de lycéens. »

CategoryActualité RGPD
Tagsdonnées gestion informatique RGPD sécurité