Mazzone Lisa · Nationalrat · 2017-11-28
Mazzone Lisa · Nationalrat · Genf · Grüne Fraktion · 2017-11-28
Wortprotokoll
Pas plus tard que la semaine dernière s'est tenue la grande Journée du digital cherchant à placer la Suisse au coeur du tournant majeur qu'est le tournant numérique, comme un pays d'innovation toujours à la pointe. Le point d'achoppement qui demeure dans ce projet de modification du Code civil visant à créer un registre foncier informatisé solide pour l'ensemble de la Suisse touche directement à cette question de la digitalisation et de son évolution.
La nécessité d'un tel projet n'est absolument pas remise en question. En revanche, ce qui est remis en question ici par ma proposition de minorité, c'est l'utilisation du numéro AVS comme identifiant pour gérer le registre foncier, proposition qui se trouve actuellement dans le projet soutenu par la majorité de la commission.
Il faut rappeler un tout petit peu l'historique. A l'origine, c'est notre propre conseil qui a regardé d'un oeil suspect le numéro d'assuré AVS, souhaitant alors renvoyer le paquet au Conseil fédéral pour qu'il retire l'utilisation de ce numéro en raison des risques encourus pour les personnes, à savoir les risques en termes de protection des données. Le Conseil des Etats, après auditions, s'était rallié à notre vision - on devrait plutôt se réjouir de ce pas du Conseil des Etats dans notre sens - et a fait une proposition de mise en oeuvre d'un projet qui n'utiliserait pas le numéro AVS comme identifiant, en construisant une interface par le biais d'un identifiant sectoriel. Nous avons d'ailleurs récemment décidé de le faire dans d'autres domaines, s'agissant d'autres registres, notamment le registre du commerce ou le dossier électronique du patient. Nous avons donc gagné une manche dans ce dossier puisque le Conseil des Etats s'est rallié à notre décision et, pourtant, la majorité de la commission souhaite revenir en arrière et s'asseoir sur les doutes qu'elle-même et notre conseil en majorité avaient exprimés, des doutes légitimes quant à la protection des données en cas d'utilisation du numéro AVS.
Une des particularités de la digitalisation, c'est la vitesse effrénée à laquelle elle progresse. Pour l'instant, nous avons la chance de n'avoir pas connu de vols de données majeurs dans les différents registres. Toutefois, nous sommes loin d'être à l'abri. Et les développements qui avancent à toute allure ne font qu'accroître le risque. Cette décision de la majorité de la commission est d'autant moins compréhensible que tout dernièrement est sortie une étude réalisée par un professeur de l'Ecole polytechnique fédérale de Zurich qui renforce massivement les craintes vis-à-vis d'une utilisation généralisée du numéro AVS. Privatim, la Conférence des préposés suisses à la protection des données s'est déjà prononcée régulièrement contre le recours au numéro AVS dans les banques de données de l'administration publique, en tant qu'il constitue une menace pour les droits fondamentaux des citoyennes et des citoyens.
L'étude que j'ai mentionnée à l'instant précise l'étendue des risques et montre que ceux-ci augmentent si on étend l'utilisation du numéro de sécurité sociale. Elle montre tout d'abord qu'il existe des attaquants potentiels et identifiés de nos données, qu'ils soient internes ou externes. Il n'est pas nécessaire de rappeler qu'aujourd'hui, pour les données, on peut parler d'"or noir" parce que celles-ci valent énormément. Par ailleurs, la négligence des utilisateurs internes peut également aboutir à la création de failles utilisables par des attaquants externes.
Aujourd'hui, et je cite l'étude, "plus de 14 000 organismes sont autorisés à utiliser systématiquement le NAVS13 (numéro d'assuré AVS) dont beaucoup emploient des systèmes relativement peu sûrs ... L'intrusion dans un seul registre peut conduire à la fuite de données sensibles permettant une identification personnelle ... Par ailleurs, si plusieurs registres sont compromis, l'utilisation du NAVS13 permet de relier facilement les données contenues dans ces derniers."
C'est ainsi que cette expertise établit que plus le nombre d'organismes utilisant le numéro d'assuré AVS dans leur système informatique est grand, plus ces risques sont élevés, car cela augmente les probabilités que des systèmes soient compromis, de même que cela augmente aussi le nombre d'organismes extérieurs à l'administration fédérale qui sont autorisés à utiliser systématiquement le numéro AVS ainsi que le nombre de données qui peuvent être reliées les unes aux autres. Il est important de relever que les systèmes non fédéraux, donc qui n'appartiennent pas à l'administration fédérale, sont moins sûrs, et que c'est de cela qu'il s'agit ici. Nous n'avons que peu de prise pour influencer la gestion de ces systèmes et leur qualité, comme nous l'avons vu en commission. Concrètement, ce projet expose la population à des risques en matière de protection des données.
J'ajouterai qu'en la matière je ne prétends pas être une experte, mais que je prétends écouter les experts. Qu'il s'agisse de notre Préposé fédéral à la protection des données et à la transparence, qu'il s'agisse des préposés cantonaux, ils nous ont de la même manière mis en garde contre cette utilisation. Certes, l'identifiant sectoriel ne constitue pas en soi une solution, il doit être assorti de mesures supplémentaires de sécurisation, mais c'est aujourd'hui le moment d'envoyer un signal indiquant que nous sommes contre une utilisation systématique du numéro d'assuré AVS vu les risques que cette utilisation fait courir. Aussi devrions-nous aller dans le sens d'un identifiant sectoriel assorti de mesures de sécurisation supplémentaires.
Je vous remercie de suivre la minorité.