© BELGAIMAGE

L’Etat a-t-il livré des données sensibles à l’étranger ?

Pierre Havaux
Pierre Havaux Journaliste au Vif

Comment une copie de la banque de données de la DIV se retrouve en phase de test informatique au siège nantais d’une société privée. En délicatesse avec le respect de la vie privée et au mépris des impératifs légaux de sécurité ? La délocalisation des immatriculations des véhicules belges pose questions.

L’outsourcing est devenu hyper-tendance dans la sphère publique. Les ministères aiment ainsi confier leurs tâches informatiques aux mains expertes de boîtes privées plutôt qu’au savoir-faire de leurs fonctionnaires.

Cette vogue de l’externalisation a de quoi agacer les organisations de défense des intérêts des agents de l’Etat. La CGSP ne s’émeut plus seulement de cette dépendance du département fédéral de la Mobilité envers le privé, elle s’inquiète aussi de découvrir que le développement d’importantes applications informatiques y est délocalisé sous d’autres cieux : c’est en Espagne que l’on planche sur la gestion informatisée des permis de conduire (MERCURIUS) et des licences de transport (B-ERRU) belges, c’est en France que les systèmes de traçabilité des véhicules (MOBIVIS) ou de livraison des plaques personnalisées (PersoPlate) belges sont mis à l’épreuve.

Transferts de tâches inutilement coûteux, potentiellement vulnérables au vol ou à la fuite de données et donc menaçants pour le respect de la vie privée, dénonce le syndicat socialiste de la Fonction publique. Interpellée par ses soins, l’autorité du SPF Mobilité ne conteste pas qu’il y ait sous-traitance à l’étranger mais s’offusque de la suspicion qui l’entoure : ces flux de données sont encadrés, il est entendu que la puissance publique reste propriétaire de la « source ». Bref, tout est « under control ». Dont acte.

La DIV, banque de données sensibles

Sauf lorsque la « source » quitte le territoire national pour un « stage » à l’étranger. Lorsque l’authentique base de données de la DIV (Division pour l’Immatriculation des Véhicules) est livrée en copie, à titre de test, à un sous-traitant privé, hors des frontières belges. C’est en pays de Loire, au siège de production de Nantes de « OnePoint », créateur français de solutions de transformation numérique, qu’on s’attelle à rafraîchir le langage informatique de gestion des plaques d’immatriculation des Belges. Non pas en se faisant la main sur des données-bidon fournies pour simulation, mais sur les données réelles de la DIV.

Stupeur et embarras, paraît-il, lorsque les hautes sphères du SPF Mobilité ont été mises au parfum du pot aux roses par la CGSP, lors du comité supérieur de concertation du département, le 18 septembre dernier. C’est que la banque de données de la DIV est une mine de renseignements (âge, marque/type, mensurations et plaque du véhicule, données relatives au titulaire de l’immatriculation) qui ne sont pas forcément à mettre entre n’importe quelles mains. Raison pour laquelle son exploitation relève de la législation censée protéger la vie privée. Motif pour lequel son accès est soumis à conditions, à un parcours soigneusement balisé et à une autorisation préalable.

La DIV, est-il ainsi précisé sur le site du SPF Mobilité, conclut des conventions de communication de données techniques et personnelles avec toute une série d’organismes qui ont un accès conditionnel au répertoire-matricule des véhicules, dans le cadre de leurs missions : services de sûreté, de secours, de taxation ; gestionnaires de parkings et de stationnement ; services d’études et facilitateurs nommément répertoriés (GOCA, FEBIAC, Autosécurité, Assuralia, Federauto, etc.). Une ouverture à des sous-traitants n’est pas exclue par la loi sur la Banque-Carrefour des véhicules. Mais s’il y est question d’accès, il n’y est pas fait mention de détention ou de transfert. Et si un échange de données est permis avec des partenaires étrangers, c’est dans le cadre de la poursuite des infractions routières.

Ce luxe de précautions n’est pas superflu. Car sont aussi répertoriées au sein de la banque de la DIV les données portant sur des véhicules « à régime spécial » et leurs titulaires : diplomates, fonctionnaires internationaux (OTAN, SHAPE, Union européenne). L’outil est jugé suffisamment sensible pour que sa destruction soit même prévue en cas de guerre, histoire qu’il ne tombe pas entre des mains ennemies (article 29 de la Loi sur la Banque-carrefour des véhicules). François Bellot (MR), ministre de la Mobilité, vient tout juste de rappeler que « rendre les données relatives au parc de véhicules belges librement disponibles pour tout le monde n’est selon moi pas opportun ».

L’Etat a-t-il perdu la main sur une copie ?

Invitée par Le Vif/L’Express à s’expliquer sur cet insolite séjour en terre française d’une part précieuse du patrimoine informatique de l’Etat, le SPF Mobilité a mis une semaine à livrer par courriel son point de vue. En tous points rassurant. En substance : oui, des données de production ont été livrées à un fournisseur de services ICT externe à des fins de test, en vertu d’une coopération basée sur un contrat-cadre et soumise à des clauses de confidentialité. Oui, ce fournisseur a sous-traité certaines activités à « une entreprise belge qui a fait appel à des ressources de sa filiale à Nantes » mais à partir de janvier, « ces activités passeront entièrement au sous-traitant belge » (sic). Inutile de s’alarmer : la banque de données n’a été que partiellement exportée et la confidentialité, de rigueur pour les données à caractère sensible, est garantie. Bref, « aucune divulgation illicite ou abusive de données », donc aucune enquête interne initiée à propos d’une démarche délibérée de l’administration. Circulez, il n’y a donc rien à voir.

La version des faits n’éclaircit pas toutes les zones d’ombres autour des modalités précises de cette délocalisation. Elle résiste mal à un faisceau d’éléments qui heurteraient les prescrits en usage en matière de protection de la vie privée. Ainsi, fait-on remarquer de source interne à la Mobilité, « non seulement des personnes non autorisées ont accès à des données de la DIV mais de plus cet accès ne peut être tracé puisqu’il aura été fait via une copie. Le citoyen, qui a le droit d’obtenir la liste des personnes qui ont consulté ses données, sera donc dans l’impossibilité de découvrir ces consultations dans l’historique ».

Invitée à se pencher sur la délicate question d’un transfert de données à des sociétés externes, la Commission de la protection de la vie privée aurait d’ailleurs mis son veto à de telles opérations lorsqu’elles portent sur les données de production (les données réelles), celles que le SPF Mobilité admet avoir fourni dans le cas présent.

Bref, voilà une livraison « clé sur porte » qui aurait brûlé certains feux réglementaires. « Il y a de la part du pouvoir public une perte de contrôle tout à fait anormale et inadmissible sur une de ses banques de données et non des moindres », s’inquiète ce spécialiste en TIC. L’Etat aurait perdu temporairement la main sur une copie qui ne serait pas à l’abri d’une exploitation à des fins commerciales ou exposée à des intentions encore plus malveillantes. Au fait, en cas de guerre, à quoi bon s’assurer de la destruction de l’original d’une banque de données si une copie devait se balader dans la nature ?

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire