Dans un contexte de cyberattaques accrues, la Cour des comptes vaudoise a audité cette thématique durant près d'une année et demie selon deux axes: la protection, selon la loi vaudoise sur la protection des données (LPrD), et la sécurité, a expliqué à Keystone-ATS Valérie Schwaar, une des trois magistrates de la Cour. Mercredi, l'organe a présenté 20 recommandations au canton.
Cette législation date de 2008 et est actuellement en révision pour devenir encore plus contraignante. Elle vise à prévenir le traitement abusif des données relatives aux personnes et à protéger tant leur personnalité que leur sphère privée.
Onze entités passées au crible
L'enquête s'est focalisée sur l'Administration cantonale vaudoise (ACV). Elle a passé au crible onze entités, dont le Service du personnel (SPEV) et la Direction générale du numérique et des systèmes d'information (DGNSI).
L'application de la loi vaudoise sur la protection des données a aussi été examinée dans huit services ou offices traitant des données administratives, médicales ou encore ethniques.
L'audit ne s'est donc pas intéressé à la qualité et la sécurité du système informatique de l'ACV mais plutôt à l'encadrement de la gestion, l'accès, le stockage, l'identification et la destruction des données.
>> Lire aussi : Yverdon doit revoir sa vidéosurveillance urbaine à la suite d'un audit
Le canton peut "mieux faire"
Il révèle une mise en œuvre inégale des principes de la loi dans les entités-métiers. "Si l'Etat de Vaud est relativement à la pointe s'agissant de sécurité informatique, il peut en revanche clairement mieux faire pour la protection et la sécurité des données", insuffisantes en regard des exigences de la LPrD, résume Valérie Schwaar. Autre problème: un dispositif de contrôle lacunaire de la part de l'APDI, qui passe plus de temps à conseiller qu'à surveiller.
Nous avons été choqués de voir que certaines entités n'ont parfois aucune idée des données qu'elles ont collectées et qu'elles conservent toujours
Parmi d'autres lacunes, la Cour a notamment relevé des clauses contractuelles insuffisantes en cas de sous-traitance ou l'envoi par messagerie électronique de fichiers entiers contenant des données sensibles sans sécurisation adéquate.
"Nous avons été choqués de voir que certaines entités n'ont parfois aucune idée des données qu'elles ont collectées et qu'elles conservent toujours", déplore la magistrate.
"Problème de culture"
"C'est un problème de culture. Il y a une méconnaissance des règles sur la protection des données et des bonnes pratiques en matière de sécurité, et ce à tous les échelons hiérarchiques", souligne la magistrate. Le concept est même relativement abstrait dans le domaine de la formation, a constaté la Cour.
"Nous avons aussi observé une certaine résistance au changement, comme si les règles en la matière étaient une encouble au travail", dit Valérie Schwaar. "Il y a en outre encore cette confiance en l'informatique, censée elle faire le boulot" de protection et de sécurité, ajoute-t-elle.
ats/hkr