-
Les assistant·e·s de service social et l’extrême droite
-
Atteintes aux droits des mineurs isolés en France : 27 associations saisissent le Conseil d’État !
-
Dématérialisation et pratiques abusives dans les CAF : lettre ouverte inter-associative à Gabriel Attal
-
Déclaration du Conseil d'administration du 20 décembre 2023
-
Hommage à Christine Garcette
Fin décembre 2015, l'ANAS a été alertée par des utilisateurs ayant découvert qu'il leur était possible d'accéder à l'ensemble des données saisies sur la plateforme depuis 2013, soit près de 37 000 dossiers. L'association a alors constaté qu'après une inscription sur le site avec n'importe quelle adresse mail – professionnelle ou non – et la saisie de l'adresse web d'un dossier, il était possible, en modifiant l'adresse consultée, d'accéder à chaque dossier ainsi qu'au formulaire d'édition des dossiers. Immédiatement, par un courrier du 24 décembre 2015, l'ANAS a alerté la direction du SIAO ainsi que la Commission Nationale Informatique et Libertés pour violation de l'article 34 de la Loi Informatique et Libertés [3] relatif à l'obligation de sécurité incombant au responsable du traitement. La CNIL a accusé réception du courrier et indiqué qu'elle transmettait à son service des plaintes.
Par un courrier en date du 04 janvier 2016, le directeur du SIAO a répondu à notre courrier en indiquant que la faille avait été sécurisée. Il ne répond par contre que partiellement à notre interrogation sur l'identité des personnes inscrites sur la plateforme en répondant que « rien ne prévoit dans la loi N°2014-366 du 24 mars 2014 [...] que les personnes qui portent la demande auprès du SIAO soient des salariés diplômés d'État ». Or, au vu de la faille de sécurité, la question que se pose l'ANAS n’est pas de savoir si les personnes sont titulaires d'un diplôme d’État mais plutôt le fait que toute personne puisse obtenir des identifiants et mots de passe sur cette plateforme. L'ANAS persiste donc à s'interroger sur les raisons pour lesquelles il est possible de pouvoir s'inscrire sur cette plateforme sans plus de vérification.
Le 9 janvier 2016, l'ANAS a pu constater qu'il n'était plus possible d'accéder aux données personnelles en saisissant arbitrairement les adresses web des dossiers. Après un délai raisonnable permettant au SIAO de réagir ainsi que de sécuriser son infrastructure contre l'utilisation éventuelle de cette faille par des pirates informatiques, elle souhaite rendre cette information publique.
Pour Anne-Brigitte COSSON, Présidente de l'ANAS : « Cette situation nous interroge sur les mesures de sécurité prévues dans les systèmes informatiques des services sociaux ainsi que sur les conséquences de telles failles de sécurité pour la vie privée des personnes accompagnées par ces services ». En effet, les dossiers contiennent de très nombreuses informations personnelles [4]. Or à ce jour, il semble impossible de dire durant combien de temps il a été possible d'accéder aux données de la sorte, ni si ces données ont pu être compromises.
De façon plus générale, au vu des baisses budgétaires dans le secteur social, l'ANAS s'inquiète sur les moyens qui sont et seront alloués à la sécurité des solutions informatiques de gestion des fichiers sociaux. Par ailleurs, le projet de « pack social », lancé par la CNIL en 2014 pour simplifier les demandes, risque de revoir la protection des données personnelles à la baisse. Les données saisies dans ces logiciels sont pourtant particulièrement sensibles, elles contiennent de nombreuses informations confidentielles sur la vie privée des personnes amenées à rencontrer les services sociaux. Or, les mesures de sécurité doivent pouvoir garantir aux personnes le plus haut niveau technique de protection possible ainsi que le minimum d'accès possible dans leur partage. Ainsi, dans le secteur de la santé et face au risque croissant d'attaques informatiques, la sécurité du système informatique fait dorénavant partie des éléments évalués dans le cadre de la certification des établissements.
L'ANAS rappelle à ses adhérents et à tous les travailleurs sociaux la nécessité de supprimer les fiches, fichiers, dossiers, informatique et papier dès que possible et dans des délais raisonnables. Elle recommande de chiffrer, c'est-à-dire de « crypter », l'ensemble des données relatives aux personnes, afin d'éviter qu'une faille informatique permette à n'importe qui d'y accéder.
Le Conseil d’Administration de l’ANAS
Le 17 mars 2016
Rappel : La CNIL recommande aux travailleurs sociaux l'échange d'informations par l'utilisation de méthodes de chiffrement. Cf. CNIL, Guide Sécurité des données personnelles, Fiches 14 et 17, CNIL, 2010 : https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf
Le 21 mars 2016, le SIAO 75 nous a fait parvenir un droit de réponse relatif à ce communiqué :
Communiqué de l’ANAS : Droit de réponse du SIAO 75
Dans un communiqué en date du 17 Mars 2016, suite à une défaillance détectée sur notre système d’information permettant à une intention malveillante de forcer son accès, l’ANAS souhaite soulever la question de la sécurité des systèmes informatiques de plus en plus incontournables pour les travailleurs sociaux.
Qu’il n’y ait aucun doute à ce sujet, il est clair pour nous que les systèmes d’information doivent présenter la plus haute garantie de sécurité, tant pour la protection des personnes que pour nous prémunir collectivement de l’élaboration possible d’un « fichier des pauvres » stigmatisant, alors même qu’il s’agit de personnes qui ont le plus besoin de notre solidarité. Telle est l’importance de l’enjeu qui pourrait mettre en péril notre pacte social, contraire à tous nos engagements de groupement associatif. Il faut donc remercier l’ANAS de son alerte et faire preuve de la plus grande vigilance, le pire pouvant être devant nous.
Concernant le second point évoqué, c’est-à-dire celui de la vérification de l’identité du demandeur, la question nous parait des plus complexes et mérite, si ce n’est un débat, une réflexion approfondie.
Il est important de rappeler qu’une demande ne vaut pas acceptation et qu’en l’espèce, le SIAO présente une double sécurité. En effet, le centre d’hébergement doit prendre attache avec le travailleur social, et la rencontre avec les personnes concernées dans le cadre des procédures d’admission reste le moment clé de l’entrée dans l’établissement ou le logement.
Dans le système d’information national SI-SIAO que nous allons utiliser dans les prochains mois, c’est un administrateur du réseau, fonctionnaire d’Etat, qui donne les habilitations aux services sociaux et à leurs personnels pour faire une demande d’aide sociale à l’hébergement ou une demande de logement accompagné via le SIAO.
Cette procédure est assurément plus simple, mais au moment où nous discutons des référents de parcours, les choix de la personne accompagnée peuvent s’en trouver restreints. Pour aller au bout de cette réflexion, il convient aussi de s’interroger sur un formatage particulier de l’engagement associatif qui doit être questionné par l’ensemble des acteurs sociaux au-delà de la légitimité des corps professionnels constitués.
Patrick ROUYER Directeur du SIAO 75
GCMS SIAO Insertion 75
42 rue des Jeuneurs
75002 Paris
Tel : 01 83 97 66 81