Medicoleak – La protection des données doit être améliorée

Publié

MedicoleakLa protection des données doit être améliorée

LUXEMBOURG - Alors que l’affaire du «Medicoleak» secoue le Grand-Duché, la question de la protection des données sensibles dans le pays se pose. Quelle responsabilité pour les organismes de l'État?

Un fossé sépare la théorie et la réalité de la gestion des données au Grand-Duché.

Un fossé sépare la théorie et la réalité de la gestion des données au Grand-Duché.

dr

Sur le papier, la loi luxembourgeoise, sous sa forme actuelle, modifiée en 2011, est l’une des plus complètes et des plus strictes en Europe. Mais l’enquête en cours sur la divulgation d’une faille permettant la consultation de 49 000 dossiers de patients, il y a cinq mois, a soulevé de nouvelles questions. À l'origine du débat, l’accès à des données sensibles par un «leaker» après avoir vu un post-it contenant un nom d’utilisateur et un mot de passe. Même sans «vol» caractérisé, il est visé par le Code d’instruction criminelle pour vol de données. Mais la loi sur les données personnelles précise également que le responsable doit tout mettre en œuvre pour assurer la protection des données.

La base de données du Service médicosportif, accessible par le «leaker», contient des informations relatives aux sportifs mais également à leurs familles, comme les maladies chroniques, leur consommation de drogue ou même leurs origines ethniques. Des données éminemment sensibles, accessibles par un simple mot de passe depuis l'inscription de cette base dans les services de la Commission de la protection des données, en 2005. Déjà à l’époque, ce système de protection était considéré obsolète. Une réalité qui tranche avec les propos du ministre de la Communication et de la Justice, François Biltgen. Devant la Chambre des députés, le 17 février, il avait précisé que la fuite «n’était pas due à un défaut du système mais à une négligence humaine».

«C'est dommage»

La question se pose alors de la compétence de la CNPD en matière de protection de données «sensibles». La base de données piratée a été inscrite en 2005 à la CNPD mais n’a pas été rapportée de nouveau depuis, explique Pierre Weimerskirch, de la commission, à L’essentiel Online. «La base n’était pas encore en service à l’époque. La structure a été modifiée plus tard, sans qu’on n’eut été notifié». Après le «leak», la commission a constaté que «le système de sécurité n’était pas suffisant. Nous avons insisté pour limiter l’accès avec des cartes Luxtrust, même si certains estimaient cette mesure de précaution de démesurée». La procédure de changement s'est faite entre-temps. «Maintenant, on peut dire que c’était dommage que ça se soit passé de cette manière».

La Commission ne sait pas combien de bases de données contenant des données sensibles sont actuellement disponibles à la vue des pirates, au Luxembourg. La loi de la protection des données a été modifiée en 2007 de telle sorte que les organismes n’ont pas d'obligation à s’inscrire auprès de la CNPD. Un bond en arrière, justifié par un contexte de réforme administrative. Selon Pierre Weimerskirch, le nombre de demandes a chuté de «80 à 90%» depuis la modification de cette loi.

Amélioration en vue

Le «Cyber Security Board», lancé en juillet dernier a adressé des recommandations le 16 mars au gouvernement. L’organisme est désormais chargé d’élaborer une liste de banques de données gérées ou exploitées par les pouvoirs publics et de rendre obligatoire un système «d’authentification forte du type Luxtrust», en particulier lorsque cela concerne les données sensibles. Une recommandation qui doit également permettre la formation rapide de tous les fonctionnaires chargés de manipuler ces données.

La protection des données pourrait-elle se muer au Grand-Duché? Si la loi s'approche plus de répression que du contrôle, aujourd'hui, c'est en raison de la pénurie du personnel. La commission des données n’a que très peu d’occasion d’intervenir. «Il y a aujourd’hui au Luxembourg plus de 50 000 applications avec accès à une base de données. Nous avons eu pendant 10 ans à effectuer notre mission mais nous n’avons eu un informaticien dédié à la protection des données seulement cette année», conclut Pierre Weimerskirch.

(Michel Thiel/L'essentiel Online/JV)

Mercredi, Romain Schneider et François Biltgen ont indiqué qu'en «application de l’article 23 (2) du Code d’instruction criminelle», le gouvernement doit «dénoncer au procureur tous les faits susceptibles de constituer un crime ou un délit. L’accès illégal à des données personnelles protégées par la loi ne constitue pas de peccadille». Le Parquet a ainsi toute latitude pour faire enquête et prendre les mesures qui s'imposent. «Les ministres rappellent dans ce contexte le principe de la présomption d’innocence du ou des auteurs éventuels».

Ton opinion