Posted by Destruction systématique des données en fin de mission et audit de sécurité des Systèmes d’information
Rapport de la commission d’enquête sur l’influence des cabinets de conseil privés sur les politiques publiques Commission d’enquête du Sénat
Focus sur les Propositions pour mieux protéger les données de l’Etat (18-19) :
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
La mission d’enquête sur l’influence des cabinets de conseil privés sur les politiques publiques, a présenté ses conclusions de son rapport. Le Sénat a enquêté pendant 4 mois, en organisant 40 auditions, et en recueillant plus de 7 000 documents confidentiels. L’objectif de cette investigation est d’ « en finir avec l’opacité ». La Commission a formulé 19 propositions pour en finir avec l’opacité des prestations de conseil, propositions : 1 et 2), Mieux encadrer le recours aux consultants (propositions 4 à 8), renforcer les règles déontologiques des cabinets de conseil (propositions 9 à 17), Mieux protéger les données de l’Etat (propositions 18 et 19). Les travaux de la Commission d’enquête parlementaire devraient être repris dans un projet de loi.
Encadrement de la réutilisation des données de l’Etat transmises aux cabinets de conseil : destruction systématique des données en fin de mandat
Dans le cadre de ses travaux, la Commission d’enquête a examiné les conditions de mise à disposition par l’administration d’informations aux cabinets de conseil dans le cadre de leurs missions, et notamment les garanties de confidentialité apportées, la réutilisation éventuelles de ces données dans d’autres contextes. Comme le souligne le rapport, ces cabinets ne sont pas autorisés à utiliser les données recueillis dans le cadre de leurs prestations de services avec l’Etat ou d’autres acteurs publics mais proposent des benchmarks « clés en main », réalisés en un temps record. Lors de son audition, le président-directeur général de l’UGAP, n’a pas exclu que « les cabinets de conseil « capitalisent » sur les données acquises d’une prestation à l’autre : « les cabinets ont une capacité inégale à s’enrichir des travaux issus de leurs missions, ce qui augmente leur performance sur les missions suivantes. ». Les pratiques de réutilisation de données varient en fonction des cabinets. Chacun adopte ses règles en matière de recyclage des données pour générer des nouvelles données. Certaines données peuvent être protégées par le RGPD, d’autres informations sensibles peuvent être transmises dans le cadre d’accords confidentiels. La commission d’enquête relève que « les garanties en matière de protection et de confidentialité peuvent apparaître insuffisamment contrôlées ». Les administrations doivent respecter le principe de minimisation (art 5.du RGPD) pour la communication des données à caractère personnel aux sociétés de conseil, destinataires de ces données. Mais les prestataires sont également soumis aux exigences du RGPD et donc au principe de minimisation des données. Si ces prestataires sont considérés comme des sous-traitants au sens du RGPD, la relation contractuelle doit inclure une clause sur la protection des données reprenant les exigences de l’article 28 du RGPD, et notamment le sort des données après la mission (durée de conservation, et archivage définitif soit suppression des données ou anonymisation). En outre, les données en base active au cours du traitement devraient être hébergées sur des serveurs basés en France ou dans l’Union Européenne. Le transfert de ces données vers les Etats-Unis nécessite l’adoption des clauses contractuelles de transfert. La circulaire du Premier ministre du 19 janvier 2022 précise que les cahiers des charges des prestations de conseil « devront imposer, qu’à l’issue de chaque mission, l’intégralité des données du bénéficiaire transmises au prestataire [soit] retournée au donneur d’ordre administratif et ensuite supprimée sans délai et définitivement par le prestataire ». Si elle va dans le bon sens, cette préconisation ne donne aucun moyen à l’administration pour vérifier que ses données ont bel et bien été détruites par les cabinets de conseil à l’issue de leur mission.
Proposition n°18 de la Commission d’enquête
À l’issue de la mission, prévoir la destruction systématique des données confiées aux cabinets de conseil. En cas de doute, permettre à l’administration de saisir la Commission nationale de l’informatique et des libertés (CNIL) pour qu’elle puisse diligenter des contrôles
Prévenir les risques de Cyberattaques par un audit de sécurité des SI
La commission d’enquête observe que la manipulation par les cabinets de conseil de données potentiellement sensibles reste une source de vulnérabilité pour l’État. À cet égard, M. Guillaume Poupard, directeur de l’Anssi, a noté lors de son audition que « les cabinets de conseil peuvent eux-mêmes être des cibles de cyberattaques ». Les prestataires et leurs hébergeurs de données américains sont soumis aux dispositions du Clarifying Lawful Overseas Use of Data Act (« Cloud Act »), adopté par le Congrès le 23 mars 2018. Le Cloud Act permet aux autorités américaines de demander de manière simplifiée la communication de données hébergées sur le territoire américain comme à l’étranger par des fournisseurs de services de communication. Il existe un risque de communication des données transmises par les administrations française à l’administration américaine, si les conditions du Cloud Act sont satisfaites. La commission d’enquête souhaite que « l’Anssi puisse réaliser un référentiel d’audit de la sécurité des systèmes d’information attendue des prestataires réalisant une mission de conseil pour l’État et ses opérateurs ». Cette démarche permettra de garantir la robustesse des systèmes d’information des cabinets d’un point de vue technique mais aussi juridique, par rapport au « Cloud Act ».
Proposition n°19 de la Commission d’enquête
Ces mesures sont particulièrement intéressantes pour la protection des données communiquées par l’administration française aux prestataires dans le cadre de leur mission. Il conviendra d’examiner leur traduction dans le projet de loi annoncé par la Commission d’enquête parlementaire.
Référence :
Rapport fait au nom de la Commission d’enquête sur l’influence croissante des cabinets de conseil privés sur les politiques publiques sur « Un phénomène tentaculaire : l’influence croissante des cabinets de conseil sur les politiques publiques ». Président : M Arnaud BAZIN, Raporteure Mme Eliane ASSASSI. Sénat 16 mars 2022
Commissions d’enquête du Sénat : http://www.senat.fr/commission/enquete/index.html