Administration vaudoiseLe Canton loin d’être exemplaire pour gérer les données personnelles
Un audit de la Cour des comptes relève le manque d’application de la Loi sur la protection des données (LPrD) dans l’administration.
- par
- Pauline Rumpf
Les attaques sont fréquentes, et si aucune fuite majeure n’a encore eu lieu, ce n’est pas grâce à une application correcte de la loi sur la protection des données personnelles.
Dans les services, comme la Direction générale de l’enseignement obligatoire (DGEO) ou le service des autos (SAN), les mesures de sécurisation «relèvent de l’exception». Certains sont plus avancés que d’autres, mais même eux agissent «de manière plutôt réactive et au coup par coup». Du côté des offices, qui gèrent moins de données, davantage de chemin a été fait mais un seul office applique des mesures réellement adéquates.
Pas mieux au Canton qu’à Rolle
Parmi les lacunes relevées, un registre des fichiers, obligatoire depuis 2008, n’a toujours pas été rempli par certaines entités. Aucune n’a de vision d’ensemble documentée de l’étendue des données qu’elles traitent et de leurs mesures de sécurité. Les données personnelles sont généralement stockées indéfiniment, critique également le rapport.
«C’est ce qui avait rendu si problématique la cyberattaque à Rolle, explique Valérie Schwaar, présidente de la Cour des comptes. La Commune n’avait aucune idée de quelles données avaient été volées, car elle n’avait pas fait d’inventaire, et de vieilles données étaient disponibles.»
Les relations avec des prestataires externes manquent également de contrôle concernant l’application de la loi; des adresses mail internes ont par exemple été massivement diffusées.
Beaucoup de zèle mais peu de connaissances
Alors que l’architecture de sécurité des données mise en place par la Direction générale du numérique (DGNSI) est globalement correcte, «les fonctionnaires sont autant de chevaux de Troie pour leur administration», regrette Valérie Schwaar, qui déplore un manque de connaissances et de personnes ressources dans les services et offices. Des tests de faux phishing n’ont pas eu des résultats très satisfaisants. Des lacunes légales existent également, notamment dans le traitement des données à des fins policières.
Un élément a permis d’éviter de trop gros problèmes, c’est le grand respect de la confidentialité incluse dans le cadre du secret de fonction, relève la Cour. Ce rempart est toutefois insuffisant face à des violations rares mais déjà constatées dans l’administration cantonale. Certaines sont malveillantes et pénales, comme lorsqu’un policier consultait le registre des interventions pour renseigner des proches, d’autres simplement liées à l’erreur humaine, comme l’envoi par le médecin cantonal d’un mail à 300 vaudois sans utiliser la fonction «copie cachée».