Une faille repérée dans le système informatique du SIAO (service intégré d’accueil et d’orientation) Insertion de Paris, dont ce dernier s’est rapidement saisi, a relancé le débat sur la sécurisation des données personnelles dans le secteur social et médico-social. Dans un communiqué diffusé le 17 mars, l’Association nationale des assistants de service social (ANAS) révèle avoir constaté des dysfonctionnements signalés par des utilisateurs du SIAO : « Après une inscription sur le site avec n’importe quelle adresse mail – professionnelle ou non – et saisie de l’adresse Web d’un dossier, il était possible, en modifiant l’adresse consultée, d’accéder à chaque dossier ainsi qu’au formulaire d’édition des dossiers. » Une situation qui « interroge sur les mesures de sécurité prévues dans les systèmes informatiques des services sociaux ainsi que sur les conséquences de telles failles de sécurité pour la vie privée des personnes accompagnées par ces services », a réagi Brigitte Cosson, présidente de l’ANAS.
L’association a, dans des courriers adressés le 24 décembre, alerté à la fois la direction du groupement de coopération sociale et médico-sociale SIAO Insertion 75 et la Commission nationale de l’informatique et des libertés (CNIL) sur la possibilité « d’accéder de façon non légitime à des informations confidentielles couvertes par le secret professionnel ». Elle s’est en premier lieu étonnée qu’« il ne soit pas demandé de vérification quant à la qualité de travailleur social (copie d’un titre, vérifications auprès de l’institution employeur) et qu’il soit ainsi possible pour tout internaute qui le souhaite de s’inscrire ». Elle a par ailleurs relevé qu’une manipulation consistant à modifier l’adresse de l’identifiant d’une fiche pouvait permettre d’accéder à l’ensemble des données saisies sur la plate-forme depuis sa création, « soit près de 37 000 dossiers ».
Au début du mois de janvier, l’ANAS a pu observer « qu’il n’était plus possible d’accéder aux données personnelles en saisissant arbitrairement les adresses Web des dossiers ». De fait, « nous avons immédiatement fait cesser cette possibilité, répond Patrick Rouyer, directeur du SIAO Insertion 75. Elle nécessitait une intention malveillante de détourner le système, mais cette faille technique existait, ce qui était absolument inacceptable. Il faut être extrêmement vigilant et on ne l’est jamais assez. Ce qui nous est arrivé peut arriver à d’autres. » Dans un communiqué diffusé le 22 mars, le directeur du SIAO Insertion 75 rejoint l’ANAS sur le fond : « Qu’il n’y ait aucun doute à ce sujet, il est clair pour nous que les systèmes d’information doivent présenter la plus haute garantie de sécurité, tant pour la protection des personnes que pour nous prémunir collectivement de l’élaboration possible d’un “fichier des pauvres” stigmatisant, alors même qu’il s’agit de personnes qui ont le plus besoin de notre solidarité. »
Le second sujet soulevé par l’ANAS – l’identification des personnes ayant accès au système – suscite davantage de débat. Le directeur du SIAO Insertion 75 précise que, avant toute admission, l’établissement vers lequel est orientée la personne doit contacter l’auteur de l’évaluation sociale et que la rencontre avec les personnes concernées reste « le moment clé de l’entrée dans l’établissement ou le logement ». Et de souligner que le SIAO, qui recourt actuellement à un logiciel « maison », s’apprête à utiliser, dans les prochains mois, le système d’information national SI-SIAO conçu par la direction générale de la cohésion sociale (DGCS). Dans ce cas, « c’est un administrateur du réseau, fonctionnaire d’Etat, qui donne les habilitations aux services sociaux et à leurs personnels pour faire une demande d’aide sociale à l’hébergement ou une demande de logement accompagné via le SIAO », explique Patrick Rouyer. « Cette procédure est assurément plus simple, mais au moment où nous discutons des référents de parcours, les choix de la personne accompagnée peuvent s’en trouver restreints. » Selon lui, cette question pose celle du contrôle par l’Etat des services habilités et de l’accès à la demande d’aide, « qui doit être la plus large possible », au-delà « de la légitimité des corps professionnels constitués ». Un sujet complexe, l’évaluation sociale requise relevant en théorie d’un acte professionnel, même si, souligne-t-il, rien dans la loi ALUR du 24 mars 2014 ne prévoit que « les personnes qui portent la demande auprès du SIAO soient des salariés diplômés d’Etat ».
L’outil national SI-SIAO, déjà utilisé dans une quarantaine de départements au début de décembre dernier et destiné à devenir le système unique, à des fins de mise en réseau et d’observation sociale, a fait l’objet d’une autorisation de la CNIL en juillet 2011. « A la suite des observations de la CNIL, la DGCS, par courrier du 28 janvier 2011, attestait des mesures correctives mises en place concernant la confidentialité des données », expliquent les services de la commission. Du côté de la protection des données, pas trop d’inquiétudes a priori, donc, même si, aux yeux de François Roche, ancien coordonnateur de la commission « éthique et déontologie » du Conseil supérieur du travail social, dont le mandat a expiré et en voie de recomposition, « le système n’est pas achevé » au vu des informations présentées au CSTS à la fin de l’année dernière. Par ailleurs, « la CNIL ne travaille pas sur les usages politiques des outils de l’action sociale », tempère-t-il, appelant à la vigilance sur la nature et la quantité des données personnelles recueillies.
Plus globalement, l’ANAS s’inquiète des « moyens qui sont et seront alloués à la sécurité des solutions informatiques de gestion des fichiers sociaux » dans le contexte budgétaire actuel. Autre sujet de préoccupation : le projet de « pack social » lancé par la CNIL en 2014 et dont l’adoption est prévue pour 2016. Interrogée sur ce sujet par les ASH, la commission précise que, ayant constaté « une méconnaissance des principes de la protection des données personnelles ainsi que des difficultés dans l’application de notre loi par les acteurs intervenant dans le domaine social et médico-social », il lui est « apparu essentiel de mener une action de sensibilisation » auprès des principaux acteurs du secteur « afin qu’ils s’engagent pleinement dans une démarche de mise en conformité ». Le « pack social » doit être « composé d’outils juridiques de simplification ou d’allégement des formalités (normes simplifiées, autorisations uniques, dispenses…) et de bonnes pratiques spécialement adaptées au secteur social et médico-social ».
Le 3 octobre 2014, « les représentants des travailleurs sociaux et des organismes qui œuvrent dans le champ de l’action sociale se sont réunis pour une journée d’échanges à la CNIL » sur ce chantier, fait savoir la commission. Dans la perspective de finaliser des projets d’autorisation unique de traitement des données à caractère personnel (les responsables de traitement auraient à fournir une déclaration d’engagement de conformité aux conditions fixées par l’autorisation unique), la CNIL a, en octobre dernier, sollicité l’avis de l’ANAS, qui lui a fait part de ses réserves. En simplifiant les demandes, ce projet « risque de revoir la protection des données personnelles à la baisse », craint l’association.