Sécurité des données personnelles : plus qu'un enjeu d'avenir, un impératif national

    Cloud Computing | Sécurité | Transformation Numérique | Cybersécurité | Données | Données personnelles - posté le 27-09-2019 par Mehdi BADAWI-EL-NAJJAR

    securite-cloud-600Les organisations et collectivités publiques ne pourront aborder efficacement les enjeux techniques, stratégiques et politiques associés à la donnée personnelle qu’après la mise en place d’une gouvernance adaptée. Dans ce contexte, la sécurité et le contrôle des données constituent un impératif primordial. 

    La numérisation progressive des services publics place les organisations concernées face à une problématique nouvelle : l’assimilation technique de volumes toujours plus importants de données, qui doivent être stockés et traités de façon à pouvoir donner naissance ultérieurement à des services utiles aux citoyens.

    Le potentiel de la donnée

    La dématérialisation des procédures de service public entraîne par exemple la création de jeux de données personnelles toujours plus importants. Leur valeur devient d’autant plus cruciale que les systèmes se font de plus en plus interconnectés, comme l’illustre bien le système d’identification France Connect qui donne accès à la fois aux impôts, à l’assurance maladie ou à la caisse de retraites.

    La donnée collectée par les services publics ne se limite pas à l’état civil, bien au contraire. Elle englobe progressivement tous les pans de l’activité administrative et territoriale et donne naissance à d’innombrables bases de données dont le contenu ne cesse de s’étoffer.

    L’avènement des objets connectés nourrit encore cette profusion d’informations. À l’échelle de la ville, on prépare désormais les grands travaux d’infrastructure en analysant des relevés statistiques liés aux flux de personnes, aux consommations d’énergie ou à l’activité économique sur une zone géographique précise.

    La gouvernance n’est pas une option

    La transformation numérique à l’œuvre dans le service public vise précisément à lui donner les moyens d’exploiter ces données de façon intelligente et sécurisée, qu’il s’agisse de simplifier des démarches administratives ou d’aider à la prise de décisions plus stratégiques.

    L’exercice suppose la mise en place d’une gouvernance adaptée : il faut définir les conditions dans lesquelles les informations vont pouvoir être consultées et utilisées. Comment encourager l’adoption d’un outil tel que le Dossier Médical Partagé s’il subsiste le moindre doute quant à la confidentialité des informations qu’il contient ? 

    Deux textes récents rappellent que la construction de cette gouvernance n’est pas une option. La loi pour une République numérique d’octobre 2016 fixe aux administrations des objectifs précis en termes de mise à disposition des données qu’elles détiennent. La raison ? Favoriser la réutilisation de ces données par d’autres acteurs, de façon à générer de la valeur, conformément au principe de l’open data.

    Entré en vigueur le 25 mai 2018 au niveau européen, le Règlement général sur la protection des données (RGPD) fixe quant à lui des règles très précises de collecte et de gestion des données personnelles. Il donne par ailleurs aux usagers le droit de demander la modification, la portabilité ou la suppression des informations qui les concernent. 

    Les deux textes servent des objectifs très différents mais ils se rejoignent sur la question de la responsabilité : c’est à l’administration qu’il revient de veiller à bonne utilisation des données publiques qu’elle collecte, et donc en premier lieu d’en assurer la sécurité

    Le Cloud à la convergence des enjeux

    La politique de transformation numérique fixée par l’État exige une réflexion transverse. Elle doit aboutir à la création d’un socle technique horizontal capable d’accueillir l’ensemble des briques nécessaires à l’intégration des données dans la gestion de l’action publique. Ces dernières n’ont pas vocation à fonctionner en silos : au contraire, l’objectif est de parvenir à ce que les données soient documentées et rendues interopérables de façon à pouvoir être exploitées demain par des services toujours plus nombreux.

    Dans ce contexte, le Cloud sera un atout majeur. Basé sur un modèle d’infrastructures externalisées et mutualisées, il offre à la fois la flexibilité et l’extensibilité nécessaire à la construction des plateformes dédiées à la donnée personnelle. Le Cloud permet d’organiser le stockage des données avant de les rendre accessibles de façon maîtrisée au travers d’interfaces de programmation. Il est en outre associé à des outils de supervision qui donnent une idée précise des données consommées par les différentes applications. Tout l’enjeu consiste à concilier les promesses du Cloud et les contraintes de sécurité liées à la réalisation de missions de service public.

    La garantie d’un Cloud souverain

    La promulgation du Cloud Act américain souligne l’importance de la nationalité du prestataire sélectionné. Ce texte de loi confère en effet à la justice le pouvoir d’ordonner l’accès à des données stockées par une société américaine même si ces dernières sont hébergées sur un autre continent. Le principe de précaution impose de privilégier un fournisseur de Cloud dont la structure et l’origine géographique ne présentent aucun risque d’ingérence de la part d’une quelconque entité étrangère, publique ou privée. C’est le principe de la souveraineté : un modèle de déploiement dans lequel l’hébergement et le traitement des données sont réalisés physiquement dans les limites du territoire national, par une entité de droit français et en application des lois françaises.

    Pour un Cloud adapté à des données personnelles, le fournisseur doit par ailleurs être en mesure de certifier la traçabilité des échanges, ainsi que la parfaite séparation des instances dédiées aux services publics du reste de ses ressources.

    Logo NetApp Maddyness blgo

     

    À propos de l'auteur : Mehdi BADAWI-EL-NAJJAR

    Commentaires