Article publié le 6 septembre 2022.
De graves défaillances de la protection des données des agents de la DR
Nous intervenons régulièrement sur la sécurité informatique à la direction régionale depuis maintenant deux ans.
Tout a débuté après le premier confinement en 2020 : des agents ont découvert sur le serveur partagé la présence d’un fichier nominatif avec les numéros de téléphone des agents, accessible à toutes et tous. Données confidentielles dont la direction avait pourtant annoncé un traitement confidentiel et une suppression dès qu’il n’y en aurait plus le besoin.
Le fichier a été supprimé dès que signalé.
Mais cet incident nous a amené à aller voir sur les serveurs partagés les données y figurant.
Nous avons découvert de nombreuses données personnelles, à l’été 2020, qui ont mis plusieurs semaines à être supprimées.
Nous avons maintenu dès le début ces revendications :
– La réalisation d’un audit sur les serveurs de la DR.
– La rédaction d’une note permettant une connaissance de tous les agents des règles de mise à disposition des fichiers contenant des données personnelles.
– L’octroi de moyens afin que la vérification des accréditations et des contenus des fichiers soit réellement faite régulièrement.Au vu de nos saisines répétées nous avons également déclaré la direction responsable des dysfonctionnements. Aucune consigne claire n’ayant été donnée, tant à la GIIR qu’aux agents, nous estimons en effet qu’aucun-e agent-e « lambda » ne doit être tenu-e pour responsable des fichiers non protégés.
Fin mai 2021 nous avons trouvé à nouveau des données personnelles de sauvegarde sous U.
Exaspérés par la reproduction ces manquements au RGPD (règlement général sur la protection des données), nous sommes allés examiner le serveur M d’archives. Ce sont l’entièreté des archives de méls (un .pst) de la gestion des agents qui étaient accessibles à toutes et tous, contenant des données personnelles : administratives, de santé…
Suite à nos demandes répétées, un audit avait finalement été réalisé au printemps 2021 par l’Unité « Innovation et stratégie du système d’information » de la DSI (Direction du système d’information). Le rapport de cet audit daté du 31 août 2021 a finalement conclu que la pratique de la DR concernant la gestion des droits était « conforme aux recommandations ». Il était mentionné notamment qu’une nouvelle organisation de gestion par groupe de sécurité devait permettre de mieux flécher les droits, y compris pour des fichiers anciens.
En gros : pas de manquement grave.
Les auditeurs ont détaillé leur expertise du serveur communément appelé « U », de partage des documents de travail au sein des services.
Mais le serveur « M » des archives, pourtant ouvert à tous vents (y compris aux agents des autres établissements), n’a pas été expertisé. Pas de commentaire.
Au printemps 2021 nous avons demandé à notre syndicat national de saisir le directeur général, avec une demande de réponse rapide. Sans aucune réponse de sa part, notre syndicat a déclaré un incident à la Cnil à l’été 2021.
C’est pourquoi, en mars 2022, une équipe de la Cnil est venue à la DR, sans toutefois plus de résultats immédiats (et sans retour de la direction sur ce sujet).
Pendant l’été, l’accès global au serveur M a été coupé ! Il était temps !
Mais nous ne savons pas vraiment ce qui a amené à cela...
Il faut maintenant que la direction prenne ce sujet au sérieux, mène les expertises nécessaires et réponde à nos revendications posées il y a deux ans.
Nous attendons ses explications aux agents, ainsi que des réponses à nos revendications : l’Insee doit être irréprochable concernant la sécurisation des données individuelles.