fichiers
Question de :
M. Lionel Tardy
Haute-Savoie (2e circonscription) - Les Républicains
M. Lionel Tardy interroge Mme la garde des sceaux, ministre de la justice, sur le décret n° 2014-558 du 30 mai 2014 portant création d'un traitement de données à caractère personnel relatif à la gestion nationale des personnes détenues en établissement pénitentiaire dénommé Genesis. Dans son avis du 19 décembre 2013, la CNIL souligne la nécessité d'encadrer strictement les prestataires en charge de la maintenance et de l'exploitation et précise qu'une réévaluation des risques suite au passage sur le réseau interministériel de l'État (RIE) serait à envisager. Il souhaite connaître les suites qu'elle compte donner à cette double recommandation.
Réponse publiée le 10 mars 2015
Concernant l'encadrement des prestataires en charge de la maintenance et de l'exploitation : L'accès à la plateforme d'accès administrateur (seul point d'entrée pour effectuer l'administration des plateformes informatiques des centres de production) se fait à l'aide de comptes nominatifs et personnels. Le nom des comptes administrateurs contient, en plus du nom de la personne, son domaine de compétence (système, base de données, ...) et sa qualité d'interne ou d'externe à l'administration. Il est précisé que l'ensemble des traces des accès techniques par cette plateforme est conservé. Par ailleurs, la tierce maintenance applicative n'est pas effectuée à distance. Concernant la réévaluation des risques suite au passage sur le réseau interministériel de l'Etat (RIE) : Le RIE constitue un réseau de transport unifié et résilient qui va remplacer progressivement l'ensemble de réseaux ministériels existants, raccordant près de 17 000 sites entre 2013 et 2017. Le RIE, en tant que réseau de transport interministériel, participe à l'amélioration des systèmes d'informations de l'Etat avec deux objectifs majeurs : - l'optimisation et la mutualisation des systèmes d'information (SI) notamment dans le cadre de la réorganisation des SI territoriaux ; - l'amélioration de la sécurité et de la protection des systèmes d'information et des données de l'État. Par ailleurs, le passage au RIE consiste uniquement en un changement de prestataire pour assurer le service du réseau privé virtuel justice Intranet et Internet (RPVJ) vers un réseau inter-Etat. S'il existe un risque temporaire du service, lié à la bascule du RPVJ, assuré aujourd'hui par SFR vers l'opérateur du RIE, ce risque est inhérent à toute migration liée à un changement d'opérateur. La maitrise d'ouvrage du RIE a été confiée à la direction interministérielle des systèmes d'information et de communication (DISIC). Un service à compétence nationale (SCN) rattaché au DISIC, le SCN RIE, a été créé afin d'assurer la conception, l'exploitation et l'évolution du réseau et des services associés. Ce réseau sera contrôlé et sécurisé par l'agence nationale de la sécurité des systèmes d'information (ANSSI). Le directeur interministériel des systèmes d'information et de communication du secrétariat général pour la modernisation de l'action publique a prononcé, le 4 décembre 2013, pour une durée d'un an, l'homologation de sécurité et du périmètre du RIE, après analyse du dossier présenté en vue de son homologation selon les principes du référentiel général de sécurité et après avoir constaté le niveau de sécurité atteint.
Auteur : M. Lionel Tardy
Type de question : Question écrite
Rubrique : Informatique
Ministère interrogé : Justice
Ministère répondant : Justice
Dates :
Question publiée le 10 juin 2014
Réponse publiée le 10 mars 2015