Une situation classique
La commune dans laquelle habite Armand a développé, sur son site web, un portail citoyen permettant aux usagers de réaliser leurs démarches en ligne : inscription aux activités scolaires ou périscolaires, demandes de subventions, accès à la piscine municipale, etc.
Ce samedi matin, Armand souhaite accéder à son espace. Il a l’habitude de l’utiliser pour réserver le centre de loisirs, pour remplir la fiche sanitaire de liaison de ses enfants scolarisés dans l’école de la ville et pour payer la restauration scolaire.
Mais aujourd’hui, le dossier d’une autre famille que la sienne apparaît sur son écran.
Il se déconnecte de son espace personnel puis s’y reconnecte et constate que le problème persiste. Par ailleurs, il s’aperçoit qu’il a accès aux coordonnées bancaires de cette autre famille, à sa composition, et à de nombreuses autres informations confidentielles.
Il rédige alors un message expliquant ce qu’il a fait ce qu’il s’est passé et l’adresse par le biais du formulaire de contact de la commune afin que cette dernière puisse corriger le problème et résoudre l’incident rencontré.
Constatant qu’il s’agit d’un problème avec la gestion des comptes, le service support de la ville transmet la réclamation à Clémence, la responsable du service informatique.
Comment la commune doit-elle réagir ?
Clémence arrive le lundi matin à son bureau et découvre qu’une action lui est attribuée dans l’outil interne de gestion des tickets : il semble y avoir un incident sur les téléservices de la commune.
Elle démarre immédiatement les investigations et elle comprend rapidement que l’incident provient d’une anomalie informatique. Elle entre alors en contact avec l’équipe en charge des développements.
Par ailleurs, Clémence s’est intéressée à la règlementation sur la protection des données car elle a suivi une formation sur ce sujet et qu’elle en discute souvent avec les responsables informatiques des communes avoisinantes car certains d’entre eux ont été confrontés récemment à des attaques avec rançongiciel. Elle sait qu’elle doit, au minimum, documenter cet incident comme une violation de données personnelles et consulte les conseils de la CNIL sur le sujet, en l’absence de délégué à la protection des données désigné par la commune.
L’anomalie semblant être un cas isolé, Clémence contacte Armand, pour le remercier d’avoir remonté l’information et pour le rassurer sur le fait que les équipes de la ville sont en train d’analyser la situation. Durant cet échange, Clémence s’assure auprès d’Armand qu’il n’a pas effectué et conservé des copies des données auxquelles il a eu accès et qui ne lui appartiennent pas. Elle lui indique que si cela avait été le cas il aurait été nécessaire qu’Armand supprime ces copies et lui envoie un document attestant que les données ont bien été détruites. Ce dernier précise qu’il n’a pas du tout effectué de copies, les données ne lui appartenant justement pas.
Pendant ce temps, l’équipe informatique investigue du côté des diverses évolutions applicatives qui ont été livrées en production, récemment. Il apparait que certaines fonctionnalités n’avaient pas refait l’objet de tests, faute de temps, pour respecter le planning demandé. Tous les usagers sont donc potentiellement concernés. En outre, un second cas similaire, concernant un autre utilisateur, parvient à Clémence.
Des mesures conservatoires sont alors prises pour arrêter l’anomalie, en coupant temporairement l’accès au portail pour permettre au service informatique de finaliser le diagnostic et d’effectuer les corrections.
S’ensuit l’analyse des traces applicatives : elles montrent qu’une trentaine de personnes se sont connectées et qu’elles ont vraisemblablement accédé aux données d’un tiers sans signaler de problème à la commune.
Compte tenu de la présence de données personnelles, notamment des données de mineurs, coordonnées complètes de la famille, données bancaires et données sensibles, et du risque élevé de cette violation de données, la commune commence à travailler sur une communication individuelle aux personnes concernées par ce problème.
Aidée du service communication, Clémence rédige un message d’information clair à destination des personnes concernées, en donnant les informations obligatoires : les circonstances de l’incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées.
Pour que l’information soit la plus claire possible, il est décidé de l’écrire sous la forme de réponses aux questions suivantes : « Que s’est-il passé ? » « Comment avons-nous réagi ? » « Quelles données sont concernées ?» « Quelles sont les conséquences possibles ? » « Quelles sont nos recommandations ? » et « Qui contacter si vous avez des questions ? ».
Enfin, la commune conserve toutes ces informations en interne et les transmet à la CNIL sous 72 h.
L’anomalie est finalement corrigée par le service informatique. Après avoir effectué des tests, puis livré les corrections, les services sont remis en ligne.
Cet incident est l’occasion pour l’équipe informatique d’organiser un retour d’expérience portant sur les différents processus, tant de développement, que de test ou encore de mise en production, afin de fournir un service sécurisé et de qualité pour les utilisateurs.
Par ailleurs, la commune comprend mieux quels sont les enjeux vis-à-vis des données personnelles ainsi que ses obligations. Pour respecter l’obligation du règlement général sur la protection des données (RGPD) et mieux gérer ce type d’incident, elle désigne un délégué à la protection des données auprès de la CNIL.