« Pas d’appréciation à la va-vite ». C’est le mot d’ordre de Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), dans sa première interview accordée à Médias24 à la suite de la fuite de données de la CNSS. Il détaille la démarche que suivra l’institution pour faire la lumière sur cette affaire sensible. Les conclusions sur les responsabilités seront tirées après coup.
Médias24 : Comment la CNDP compte-t-elle réagir ?
Omar Seghrouchni : Comme toutes les affaires, la CNDP se comporte en institution de droit. Pas d’appréciation à la va- vite. Nous recueillerons les constats et rapports. Nous écouterons différents responsables. Puis, en commission, nous analyserons la situation pour prendre les décisions nécessaires.
– Comment les hackers ont-ils procédé ?
– À l’heure qu’il est, il est trop tôt pour que nous vous répondions en tant qu’institution. Nous attendons les différents rapports. La Commission CNDP se réunira et décidera quelle appréciation retenir et quelle suite donner.
– Quelles sont les failles exploitées ?
– Trop tôt pour en parler à notre niveau. Les pistes sont multiples.
– Les données fuitées sont extrêmement sensibles. Quel est le degré de responsabilité de la CNSS ?
– Quelle que soit la gravité des effets, il faut rationaliser les analyses. Nous devons répondre à une série de questions préalables avant de statuer sur les responsabilités et les niveaux de ces responsabilités.
En tout cas, je vous remercie de vous poser la bonne question. Vous savez, le digital est un monde d’échange sans frontières physiques. Pour encourager le digital, nous devons développer la confiance en ce digital et s’assurer de la continuité juridique de toute circulation des données à caractère personnel.
C’est un exercice qui est très difficile car les gens réagissent quand des incidents ou accidents se produisent, mais ne sont pas toujours enclins à respecter les choses et la loi quand ils oublient ces incidents ou accidents…
Au sujet de la question posée, il faut instruire et vérifier. Et pour cela, il faut faire interagir plusieurs institutions : en premier la CNSS, puis la DGSSI, la CNDP et toutes les institutions concernées. La CNDP est une institution de droit.
Il est normal que les citoyens s’inquiètent et attendent des réponses convaincantes, sérieuses et dénuées de tout populisme.
C’est pour cela que nous devons gérer les différentes dimensions temporelles. D’une part, la temporalité de l’urgence pour gérer l’incident, les fuites constatées, les conséquences sur les citoyens. Ensuite, la temporalité de la raison pour comprendre, définir les responsabilités et s’organiser pour l’avenir.
Quand vous avez un accident de voiture, il faut d’abord, et en urgence, gérer les victimes, ensuite faire les constats pour l’assurance ; après il faut libérer la voie et prendre le temps d’identifier les responsabilités.
– La loi astreint-elle cette institution à une obligation de sécuriser ces données ?
– Bien sûr. Il y a la sécurité juridique, la sécurité technique et la sécurité opérationnelle. Toutes les institutions potentiellement impliquées sont concernées.
– Assume-t-elle la responsabilité même en cas d’attaque cybernétique ?
– Bien sûr. Quand un fou tamponne votre voiture, si vous n’avez pas d’assurance, vous avez votre part de responsabilité. Donc, il faut vérifier que toutes les dispositions de protection étaient prises.
– Est-il légal de télécharger ou de garder les données fuitées ?
– Quand on vous donne de l’argent dit sale, est-il légal de l’utiliser ? La réponse est non. Les lois contre le blanchiment sont claires. Si le moyen d’obtention ou de collecte de la donnée à caractère personnel est illégal, son utilisation et sa diffusion sont illégales.