La Cour des comptes s'est saisie elle-même de ce sujet courant 2020, dans un contexte de développement du télétravail et de cyberattaques accrues. Elle a audité cette thématique durant près d'une année et demie selon deux axes: la protection, selon la loi vaudoise sur la protection des données (LPrD), et la sécurité, a expliqué à Keystone-ATS Valérie Schwaar, une des trois magistrates de la Cour.
Cette législation date de 2008 et est actuellement en révision pour devenir encore plus contraignante. Elle vise à prévenir le traitement abusif des données relatives aux personnes et à protéger tant leur personnalité que leur sphère privée.
L'enquête s'est focalisée sur l'Administration cantonale vaudoise (ACV). Elle a passé à la loupe les conditions cadres mises en place par les entités transversales que sont l'Autorité de protection des données et de droit à l'information (APDI), le Service du personnel (SPEV) et la Direction générale du numérique et des systèmes d'information (DGNSI).
L'application de la LPrD a aussi été examinée dans huit services ou offices (entités-métiers) traitant des données administratives, médicales, ethniques, en lien avec l'enseignement ou avec des mesures d'aide sociale. L'audit ne s'est donc pas intéressé à la qualité et la sécurité du système informatique de l'ACV mais plutôt à l'encadrement de la gestion, l'accès, le stockage, l'identification et la destruction des données.
Mise en oeuvre inégale
Il révèle une mise en œuvre inégale des principes de la loi dans les entités-métiers. «Si l'Etat de Vaud est relativement à la pointe s'agissant de sécurité informatique, il peut en revanche clairement mieux faire pour la protection et la sécurité des données», insuffisantes en regard des exigences de la LPrD, résume Valérie Schwaar. Autre problème: un dispositif de contrôle lacunaire de la part de l'APDI, qui passe plus de temps à conseiller qu'à surveiller.
Des manquements parfois importants ont été constatés, comme l'absence d'identification exhaustive des données personnelles traitées dans l'administration ou l'absence d'analyse complète en vertu de la LPrD et donc un retard en matière de réflexion et de stratégie sur ces questions de protection et de sécurité. «Nous avons par exemple été choqués de voir que certaines entités n'ont parfois aucune idée des données qu'elles ont collectées et qu'elles conservent toujours», déplore Valérie Schwaar.
Parmi d'autres lacunes, la Cour a notamment relevé des clauses contractuelles insuffisantes en cas de sous-traitance ou de délégation de tâches, une gestion insuffisante des accès aux applications ou l'envoi par messagerie électronique de fichiers entiers contenant des données sensibles sans sécurisation adéquate.
«C'est un problème de culture. Il y a une méconnaissance des règles sur la protection des données et des bonnes pratiques en matière de sécurité, et ce à tous les échelons hiérarchiques», souligne la magistrate. Le concept est même relativement abstrait dans le domaine de la formation, a constaté la Cour.
Résistance au changement
Un exemple: des tests de «hameçonnage» (phishing) réalisés par la DGNSI ont montré qu'une partie non négligeable du personnel de l'administration n'était pas au fait des bonnes pratiques. «Nous avons aussi observé une certaine résistance au changement, comme si les règles en la matière étaient une encouble au travail», dit Valérie Schwaar. «Il y a en outre encore cette confiance en l'informatique, censée elle faire le boulot» de protection et de sécurité, ajoute-t-elle.
La Cour relève toutefois que la confidentialité des données et leur sécurité sont globalement assurées grâce au secret de fonction et aux mesures de sécurité relatives à l'architecture informatique. «Ils agissent comme un couvercle de protection. Il n'y a donc pas le feu dans la maison», illustre Valérie Schwaar.
Sur la base de son audit, la Cour a émis 20 recommandations visant à ancrer une «véritable culture et politique de la protection des données» au sein de l'administration cantonale, dont trois au Conseil d'Etat même. Elles ont toutes été acceptées.
Au gouvernement, il est recommandé d'instituer la fonction de délégué en protection des données dans chaque entité administrative, de rendre obligatoire l'annonce de toute violation en matière de sécurité des données et d'adapter le cadre légal pour intégrer les impératifs de protection des données.
(ATS)