RGPD chez France Travail : les questions de fond

– les habilitations d’accès des conseillers à la base des demandeurs d’emploi trop larges ;

– le blocage d’un compte seulement après 50 tentatives infructueuses de connexion ;

– l’absence (au moment des faits, semble-t-il) de MFA, ce point ayant été corrigé depuis.

Vous pouvez penser que 5 millions d’euros, c’est beaucoup, mais il faut relativiser. France Travail, c’est environ 50 000 agents et un budget de fonctionnement de 5 milliards par an. Le montant maximal prévu par le RGPD est de 2 % du budget annuel de la structure, ce qui, dans le cas de France Travail, correspond à 100 millions d’euros. L’amende correspond donc à 0,1 % du budget, soit 20 fois moins que le montant maximal, donc, en gros, une petite tapounette sur les doigts. À titre de comparaison, c’est comme si, avec un salaire médian (environ 2 500 euros par mois), un citoyen se voyait infliger pour manquements graves à une loi quelconque une amende de… 30 euros.

Mais la vraie question de fond est : qu’une agence de l’État (la Cnil) colle une prune à une autre agence de l’État (France Travail) a-t-il du sens ? Et j’en rajoute une louche, histoire que tout le monde saisisse bien le côté légèrement ubuesque de la situation : si une agence de l’État colle une amende à une autre agence de l’État pour fuites de nos données (à nous, les citoyens-administrés) et qu’au final c’est nous (les citoyens-administrés-contribuables) qui réglons la note, ne nous trouvons-nous pas en Absurdie 2.0 ?

Certes, au final il est peu probable que le montant des cotisations correspondant au fonctionnement de France Travail augmente, mais en définitive c’est bien une partie du budget de l’organisme qui va devoir être consacré à payer une amende et non pas à assurer ses missions, ce qui, au bout du compte, revient à utiliser pour autre chose que sa finalité d’origine l’argent que l’État a pris dans nos poches.

Mais la première question qui se pose est : quelle est la root cause ? Pourquoi de tels manquements aux bonnes pratiques de base (et ma question est sans arrière-pensée, on a tous des cyber-cadavres dans nos cyber-placards) ? Manquements non identifiés en interne (j’en doute fort) ? Budgets non priorisés (plus probable) ? Ou alors injonction des pouvoirs publics de faire autre chose avec les sous (un grand classique) au détriment des alertes remontées par la chaîne hiérarchique ? L’État est un grand spécialiste du « je te donne des missions obligatoires, mais pas de thunes en exploitation/Opex pour les assumer ». Bref, en l’absence d’analyse de root cause (qui peut remonter assez loin), impossible pour l’instant d’avoir un avis pertinent.

La seconde question est : comment éviter ce genre de dysfonctionnements qui, dans le cas d’agences stockant, comme France Travail, les données de millions de citoyens, sont forcément graves ? Idem d’ailleurs pour tous les grands organismes tels la Cnam, la CPAM, les hôpitaux, les ministères, etc. La prune de 5 millions d’euros évoquée est plus symbolique et médiatique qu’autre chose, et je doute du reste que les patrons des autres organismes cités en deviennent insomniaques.

Je ne m’engagerai pas sur la question de la responsabilité civile ou pénale du dirigeant d’entreprise, car c’est un sujet juridiquement très complexe qui aurait des effets de bord importants (je laisse les juristes compléter) et constituerait de surcroît une terrible boîte de Pandore. Mais on a tout de même un souci : quand une entreprise privée subit la même mésaventure (amende), ce sont les propriétaires de la boutique qui règlent la note (les actionnaires) et, en général, il y a des têtes qui sautent à la fin : le mécanisme de rappel (le Act du PDCA) est donc autoporté et autocorrectif (ce point est absolument majeur). Mais quand c’est le public, nada : France Travail pourrait se prendre une amende de 5 millions d’euros tous les ans (hypothèse idiote bien entendu) sans faire ni chaud ni froid à qui que ce soit.

La même question se pose d’ailleurs pour pas mal de réglementations qui, à la longue, deviennent de plus en plus opposables avec amende à la clé : NIS 2 est un très bon exemple. Ce qui est étonnant par contre, c’est que certaines réglementations ne sont pas logées à la même enseigne : si France Travail avait vu ses comptes refusés par les CAC (ce qui, je précise, n’est pas le cas), nul doute que le Big Boss aurait eu des comptes à rendre à celui qui l’a nommé. Dit autrement, quand il s’agit de flux d’argent, les sanctions pleuvent beaucoup plus rapidement que lorsqu’il s’agit de manquements à des bonnes pratiques dans le domaine de la sécurité physique (le Louvre) ou logique (France Travail, dans l’exemple). On va donc gérer comment NIS 2, l’AI Act et tout ce qui suit ? Des tapounettes sur les doigts ?

On ne va pas couper à des certifications, avec visite de contrôle et tampon horodaté en bonne et due forme. C’est ce que l’on fait pour la sécurité incendie, pour la certification des comptes, pour la radioprotection, etc. Et c’est le seul mécanisme qui permet de repérer les grosses failles, et encore même pas toutes, des grands organismes qui justement ne disposent pas, du fait de leur nature et de leur statut, des mécanismes autocorrectifs susnommés. Il existe plusieurs modèles utilisables : équipe de conformité interne indépendante avec droit de lanceur d’alerte (valable pour les grosses structures de plus de 10 000 agents), organisme sectoriel et indépendant de contrôle (c’est le modèle des commissaires aux comptes, avec 500 agents la Cnil ne peut pas être partout), indicateurs annuels avec remplissage obligatoire et contrôle par une entité sectorielle (valable quand les structures à contrôler sont de plus petite taille), etc.

Ce qui est certain, c’est que l’amende de 5 millions d’euros, en l’état, ne règle absolument rien.