Article publié le 7 juin 2021.

Baromètre SAR : non à l’orage de grêle - sur la sécurité des données des agents (S01E03)

Continuons sur ce sujet (voir les épisodes 1 et 2), pour argumenter sur la bêtise de vouloir nous faire faire noter le travail de nos collègues.

La direction l’enrobe dans un questionnaire permettant de faire remonter des souhaits d’amélioration : oui, nous sommes pour toutes les améliorations, et les corrections des dysfonctionnements !

Mais pour cela ne faudrait-il pas que la direction... soit réactive tout simplement ?

Prenons un exemple, le sujet des données personnelles des agents présentes sur les serveurs.

En mai 2020 des agents découvrent une liste de téléphones personnels en accès à tout un service : ce fichier est vite retiré mais du coup nous sommes allés voir sur le serveur et avons trouvé d’autres données personnelles qui n’avaient rien à faire là.

Nous avons dû batailler pendant 2 mois et en passer par un mél à l’UnISSI (qui traite de la sécurité informatique) de la DG, qui en a pris acte pour que les données soient retirées.

Depuis, nous demandons que la DG fasse un audit sur les serveurs, afin qu’une note préconisant l’utilisation sécurisée des serveurs cadre le tout (voir notre motion en CTSD en février 2021).

La dernière fois que nous avons relancé était lors du GT de CTSD de mai 2021 où la direction a botté en touche en disant ne pas avoir de nouvelles de la DG, et donc en s’exonérant de la rédaction de cette note.

Il y a une dizaine de jours, nous avons découvert de nouvelles données personnelles sur serveur, certaines issues de sauvegardes de postes.
Figuraient également en accès à toutes et tous les listes des agents ayant des accès aux boîtes fonctionnelles. Dont les boîtes syndicales, or ces données là sont confidentielles...

Notre syndicat national a sollicité la direction nationale de l’Insee en demandant une réponse que nous attendons encore. Les fichiers que nous avons nommément cités ont été retirés, mais :

• d’autres fichiers plus généralistes, que nous n’avons pas nommés, et qui ne devraient pas figurer sur serveur, y sont encore.
• nous demandions les résultats rapides (enfin…depuis un an que l’affaire est lancée ?) de l’audit et la note de gestion : toujours rien.

Sur la question de la sécurité des données individuelles, nous estimons qu’il est très grave que sur l’Insee ne soit pas exemplaire.
En effet, l’Insee doit être à la hauteur de la confiance des personnes et des entreprises sur la sécurisation des données qu’ils nous confient : la sécurité doit être assurée au minimum pour les données en interne !

Comment est-il possible que la direction de l’Insee, en une année fût-elle aussi perturbée que ce qu’elle a été, ne soit pas capable d’édicter des règles et des outils sécurisés pour le partage des documents ?
La direction de l’Insee doit prendre les questions de sécurité des données au sérieux !