La Ville de Genève priée de mieux prévenir les fuites de données

(Keystone-ATS) La Cour des comptes demande notamment à la Ville de Genève «de réaliser une évaluation plus détaillée des risques liés à la sécurité et la manipulation des données personnelles», a annoncé mardi devant les médias la magistrate Sophie Forster Carbonnier. Et suite à cette clarification, d’établir une stratégie de contrôle globale.

Les données personnelles sensibles, telles que décrites par la loi sur l’information du public, l’accès aux documents et la protection des données (LIPAD), concernent notamment les opinions politiques, les croyances religieuses ou les données relatives à la santé. Selon la LIPAD, «des mesures organisationnelles et techniques appropriées» doivent les protéger, sans préciser comment. «C’est à la ville de décider quelles mesures prendre», a expliqué la magistrate.

Aucune violation significative

Il faudra par exemple que la ville se positionne sur les risques liés à l’utilisation de l’intelligence artificielle et le stockage de données sur le Cloud, a précisé Mme Forster Carbonnier. La cour a également demandé de désigner des personnes relais au sein des services, pour renforcer la sécurité des données personnelles. Ainsi que de compléter et actualiser les procédures et le dispositif de formation.

En revanche, la cour précise n’avoir constaté aucun cas significatif de violation de la sécurité des données. Lors de l’audit, elle a identifié des données transférées par clé USB ou Cloud par des administrateurs, pour qu’ils travaillent depuis la maison. Cela n’a pas été considéré comme une fuite, mais comme des risques que la ville doit prendre en compte et décider si elle les juge acceptables.

Les risques liés aux données personnelles concernent aussi des pertes accidentelles, des fuites liées à des prestataires externes ou à l’usage des ordinateurs par les collaborateurs. Les rôles et responsabilités ne sont également pas suffisamment définis au sein des services, estime la cour.

«Grande conscience professionnelle»

Cet audit a eu lieu suite à quatre alertes reçues dès novembre 2023. Elles dénonçaient «des accès trop étendus et inappropriés à des données personnelles de la Direction des systèmes d’information et de communication». La cour a répondu que la Ville de Genève «a pris des mesures jugées appropriées pour limiter les accès et assurer la traçabilité des actions réalisées.»

Les alertes dénonçaient aussi une faible traçabilité des consultations ou copies de données personnelles, ainsi que des directives peu claires et un manque de sensibilisation des collaborateurs. Lors de l’audit, la cour a examiné des données sur plusieurs mois.

La cour explique l’absence de fuite par «une grande conscience professionnelle des administrateurs». Le maire de la Ville de Genève Alphonso Gomez s’en félicite: «Ce n’est pas une surprise, les efforts de formation des collaborateurs portent leurs fruits.» La ville a accepté toutes les recommandations de la cour.

En plus des mesures prises après ces recommandations, le maire précise que la ville se prépare déjà à l’entrée en vigueur de la nouvelle LIPAD, adoptée en 2024. «Les données sont le défi de demain», a souligné la conseillère administrative Joëlle Bertossa, en charge du département de la culture et de la transition numérique, avant de rappeler leurs dimensions politique et stratégique fondamentales.