Qui a peur des indicateurs?

Par Michel Huissoud

21/04/2011

Les projets de numéros d’identification pour les personnes ne sont pas seulement essentiels au développement de la cyberadministration mais pourraient concerner l’ensemble de la société. Le succès dépend de ces projets dépend de facteurs différents.

Hans Müller de Bâle a gagné 300 000 francs à la loterie, Hans Müller d’Olten a des problèmes financiers, et le droit de pratique a été retiré au Dr Hans Müller de Lucerne. Il y a actuellement 2171 (!) Hans Müller en Suisse, qui ont tous un intérêt évident à ne pas être confondus entre eux. Une large utilisation du nouveau numéro AVS serait un gage de qualité pour les informations qui les concernent. Cet identificateur protègerait leurs données personnelles et finalement leur personnalité.

Une situation aberrante

La solution existe. Le nouveau numéro AVS serait capable de remplir ce rôle, si les entreprises avaient le droit de l’utiliser et si l’accès à la base de données UPI (Unique Personal Identifier Database) était ouvert. Mais tout a été mis en place pour empêcher une utilisation rationnelle et générale de cet outil, y compris l’article 87 de la Loi sur l’AVS qui prévoit que:

Celui qui aura utilisé systématiquement le numéro AVS sans y être autorisé, sera puni d’une peine pécuniaire de 180 joursamende au plus, à moins qu’il ne s’agisse d’un crime ou d’un délit frappé d’une peine plus lourde.

Le Canton de Berne a eu la présence d’esprit de créer une Loi sur les registres permettant à tous ses services d’utiliser le numéro AVS comme identificateur dans leurs registres. L’Administration bernoise peut ainsi utiliser ce numéro pour communiquer au sein du canton et accéder directement à la base UPI.

A l’exception de l’Administration cantonale bernoise, très peu de traces des autres administrations cantonales figurent dans les listes des utilisateurs systématiques de la base UPI tenues par la Centrale de compensation de Genève. Et bien sûr, pour répondre aux exigences de la protection des données, aucun accès n’est possible pour le public ou les entreprises en dehors du domaine des assurances sociales.

Le citoyen qui rêverait par exemple que son changement d’adresse soit automatiquement transmis au Service cantonal des automobiles, à son assurance-ménage, à sa banque, aux services industriels et au Département militaire cantonal devra donc encore attendre quelques dizaines d’années.

Qu’en est-il des entreprises?

S’agissant des besoins, il n’en va pas autrement pour les entreprises. Elles aussi ont un intérêt à ne pas être confondues. Lorsque la presse relate les ennuis financiers de CIS, s’agit-il du Centre d’imagerie de Sierre, de l’entreprise informatique CIS AG de Berne ou des consultants de CIS SA à Genève? Le besoin essentiel réside dans les échanges électroniques dont la fiabilité repose sur une identification sans équivoque de l’expéditeur et du destinataire de l’échange.

L’entrée en vigueur dès janvier 2011 de la législation sur le numéro d’identification des entreprises (IDE) permettra la mise en place progressive d’un système d’identification unique. A la différence du numéro AVS, il devrait pouvoir être utilisé de manière plus large. Les caractères-clés des entreprises – soit nom, raison de commerce, adresse, statuts au registre du commerce et au registre des assujettis TVA – seront disponibles sur internet, et les entreprises pourront utiliser ce numéro aussi bien pour leurs relations avec l’administration (business to government) que pour leurs échanges commerciaux (business to business).

Témoin de la peur de big brother, une absurdité subsiste: un indépendant considéré comme une entreprise, un avocat par exemple, pourrait être identifié de manière univoque si son nouveau numéro AVS était saisi dans la partie de la base de données non accessible au public. Cette solution a malheureusement été écartée. On l’identifiera donc «à l’ancienne» avec sa date de naissance. En espérant qu’il n’y a pas trop d’avocats nommés Hans Müller et nés le même jour!

Les recommandations du Contrôle fédéral des finances

Dans un rapport publié en 2005 (1), le CDF recommande l’introduction d’un numéro de fournisseur unique dans les systèmes SAP de l’Administration fédérale. Cette recommandation, relayée par les Commissions de gestion en 2006, permettrait de corriger plusieurs faiblesses constatées lors des audits, dans le secteur des achats de biens et de prestations. Lacune principale: l’administration ne connaît toujours pas ses fournisseurs et n’a aujourd’hui encore aucune vue d’ensemble sur son vo- lume d’affaires par entreprise. Les offices fédéraux saisissent des ordres de paiement, ceux-ci transitent tous par une interface de paiement unique, mais faute d’un numéro d’identification unique il n’est pas possible de consolider ces données. Cette opération permettrait d’identifier les principaux fournisseurs et d’analyser la dépendance de la Confédération à leur égard. Les services d’achat seraient en mesure de grouper leurs achats pour négocier des conditions plus favorables.

Cette information permettrait également d’identifier des situations que toute société privée considèrerait comme aberrantes voire inadmissibles, par exemple le paiement de subventions fédérales ou l’attribution d’un mandat à une société sans tenir compte du fait qu’elle fait par ailleurs l’objet de poursuite pour des taxes fédérales impayées.

Numéro TVA, numéro DUNS ou numéro IDE?

Pour répondre à ces recommandations, le Département fédéral des finances a intégré dans son «Projet de controlling stratégique des marchés publics» l’introduction d’un numéro unique de fournisseur pour toute l’Administration fédérale. La solution retenue correspond à celle initialement envisagée par armasuisse: le recours aux services d’une entreprise privée spécialisée. Il s’agit en l’occurrence de la société américaine Dun & Bratstreet qui a introduit en 1962 le système DUNS (Data Universal Numbering System) pour répertorier les entreprises dans le monde entier. Le CDF a exprimé des réserves quant à la pertinence et à la rentabilité de cette solution dans l’optique globale de la Confédération. Les besoins n’ont notamment pas été analysés de façon suffisamment approfondie. Invoquant que certains fournisseurs de la Confédération sont domiciliés à l’étranger, le recours aux solutions suisses a été écarté d’emblée sans même que le nombre de fournisseurs étrangers soit connu. Parle-ton de 100 fournisseurs ou de 1000? Combien de nouveaux fournisseurs par année? Combien d’entre eux sont-ils des fournisseurs réguliers? Quelle est la plusvalue attendue de l’attribution d’un numéro DUNS? Personne ne le sait, mais cet argument a suffi pour conclure un coûteux contrat d’abonnement qui lie l’Administration fédérale à cette société pour des années. Une interface permettant d’injecter ces données dans les systèmes SAP de l’administration a également dû être développée. Le seul argument de la protection de ces investissements va vraisemblablement militer pour le maintien de cette solution dans le futur.

Dans le même temps, la même Administration fédérale tient à jour un registre des assujettis TVA et lance le projet de Numéro d’identification des entreprises (IDE). Et pourtant, le CDF n’a trouvé aucune trace d’une analyse des synergies entre ces solutions dans le projet audité.

L’appariement (mise en relation) est une opération essentielle à tout traitement informatique

Une crainte est constante dans tout le débat sur les identificateurs, celle de l’appariement («Verknüpfung» en allemand). Il s’agit de la mise en relation de données provenant de sources différentes ou contenues dans des fichiers différents. Cette opération exige l’identification d’une relation entre les deux informations. Une chose doit être rappelée: un identificateur unique facilite cette opération et la rend sûre. L’absence d’identificateur n’empêche en revanche pas la mise en relation, mais la rend incertaine (quel Hans Müller a des problèmes financiers?), ce qui peut avoir des conséquences négatives pour les sujets concernés.

En soi, un appariement n’est pas un problème. Il implique que la personne qui le fait doit avoir accès aux deux sources de données. Cette mise en relation est une activité quotidienne pour de nombreuses administrations, en particulier dans le domaine de la surveillance. Les fameux abus de l’aide sociale sont exemplaires. L’opinion s’offusque à juste titre de ces cas de cumul injustifiés de prestations sociales. Ils pourraient être mieux combattus si tous les services sociaux avaient connaissance des prestations versées par les autres services. Transparence et mise en relation sont essentielles à l’efficacité de l’administration.

Cet identificateur IDE permettrait des projets beaucoup plus ambitieux, et c’est à juste titre qu’il a été identifié avec le nouveau numéro AVS comme un des préalables prioritaires (B1.04 et B1.05) de la stratégie E-Government Suisse. Les milieux économiques se plaignent de la lourdeur de l’administration dont le comportement est bien différent de celui qu’adopterait une société privée. Quelle entreprise privée se paierait le luxe de tenir à jour autant de registres différents avec autant de données redondantes? La collecte d’information et la mise à jour de ces registres mobilisent des ressources dans l’administration, mais aussi dans les entreprises. La mise en place d’un Customer Relationship Management, virtuel et commun à tous les offices fédéraux, serait aujourd’hui techniquement possible… il ne manque que la volonté politique de lancer un tel projet.

La protection des données ne se trompe-t-elle pas de cible?

On l’a vu, les obstacles mis à l’utilisation des numéros d’identificateurs au nom de la protection des données entraînent des coûts – notamment beaucoup d’énergie pour créer de nouvelles bases légales ou adapter les bases existantes – mais ils privent surtout l’administration et l’économie de gains d’efficacité considérables en ne permettant pas d’exploiter pleinement le potentiel de ces systèmes.

Au-delà de ces considérations économiques se pose la question du bien-fondé de ces obstacles sensés protéger les données personnelles. Toute cette énergie consacrée à freiner les projets innovateurs ne serait-elle pas mieux investie ailleurs? Quelques exemples. Qui surveille réellement les applications sensibles du secteur public? Qui vérifie que des pirates ne s’introduisent pas dans les bases de données de l’Administration fédérale des contributions ou de l’Office fédéral des assurances sociales? Qui inspecte ce que font les services de renseignement? Pourquoi les problèmes du système ISIS de ces services de renseignement ont-ils été mis à jour par les commissions de gestion des Chambres fédérales et non par les contrôles de l’Administration fédérale?

Le Contrôle fédéral des finances pratique ce métier, et ses collaborateurs vérifient en permanence l’activité de l’Administration fédérale sous l’angle de la surveillance financière. Ce travail d’auditeur ne s’arrête pas à quelques interviews ou à l’examen des concepts. Il s’agit également de vérifier que les contrôles sont efficaces et ont été mis en place correctement. Il ne suffit pas d’exiger une restriction des droits d’accès à une application de gestion des salaires et d’en prendre connaissance. Il faut aussi tester les systèmes, vérifier si les paramètres nécessaires ont été saisis correctement et, si ce n’est pas le cas, identifier les personnes qui s’y sont introduites sans droits et trouver la trace de ce qu’elles y ont fait.

Surveiller, c’est adopter une démarche d’auditeur. Dans le domaine de la protection des données, comme dans les autres secteurs, cette démarche exige des compétences techniques et une orientation sur les risques. Elle serait plus crédible qu’une kyrielle de bases légales et de directives dont personne ne vérifie l’application effective sur le terrain.

(1) http://www.efk.admin.ch/pdf/5243BE_QSP-DL-Vertr%E4ge-Gesamtbericht_VF-Internet.pdf

---

Sur l'auteur:
Michel Huissoud, Licencié en droit, Certified Information Systems Auditor, Certified Internal Auditor Vice-directeur du Contrôle fédéral des finances, Berne

---

Source:
«eGov Präsenz» 1/2011

---

Version originale:

(PDF 1.3 Mo)