L’utilisation d’un identifiant unique à travers toute l’administration (voire au-delà) a souvent été critiquée par le PFPDT, par exemple dans ses derniers rapports 2013/2014, 2014/2105, 2015/2016 et 2016/2017. Le Conseil fédéral souhaite néanmoins avoir une loi facilitant l’utilisation du numéro AVS par toutes les collectivités fédérales, cantonales et communales (dans et hors du domaine des assurances sociales).

Un mandat sur l’évaluation des risques de l’utilisation du numéro AVS a été confié au Prof. David Basin et les résultats viennent d’être publiés. On y apprend qu’en Suisse, des données personnelles, souvent sensibles, sont conservées dans plus de 14 000 registres. Ces différents registres sont gérés par des services administratifs ou des tiers. Point commun entre eux, les données sont toutes indexées au moyen d’un identifiant unique, le numéro AVS à 13 chiffres (NAVS13). Ce numéro (un pseudonyme) et les informations relatives à l’identité, telles que le nom, le prénom et la date de naissance, sont utilisés dans ces registres afin d’associer les individus à des données. En accédant à ces dernières, on peut donc savoir à quelles personnes elles se rapportent.

Un risque non négligeable
Les conclusions du mandat sont assez claires. Les données et les systèmes informatiques utilisés pour les conserver peuvent faire l’objet d’attaques tant internes qu’externes ayant pour conséquence que des personnes non autorisées accèdent aux registres concernés. Ce risque est qualifié de non négligeable, notamment parce que les standards de sécurité appliqués sont variables. Parmi les attaques potentielles, on peut penser par exemple à une cyber-attaque contre un hôpital ou la perte de données de n’importe quel système utilisant ce numéro. N’importe quelle personne ayant accès au numéro AVS pour une autre raison (parce qu’elle a accès à un autre système qui l’utilise également) pourra immédiatement identifier les personnes dont les données sont compromises.

L’utilisation d’un identifiant unique permet de relier facilement les données conservées dans différents registres et donne ainsi les moyens d’établir un profil détaillé des personnes concernées. Plus l’identifiant unique est utilisé, plus le risque est important.

Prof. Basin relève que les données des registres étant conservées avec les attributs relatifs à l’identité qui leur sont associés, le seul remplacement du NAVS13 par des identifiants sectoriels ou d’autres pseudonymes ne réduirait guère les risques pour la protection des données. Grâce à ces attributs, elles pourraient en effet toujours être rattachées de manière relativement précise aux personnes concernées.

Quelques pistes
Deux moyens permettent néanmoins de réduire considérablement ces risques. Premièrement, il faut  introduire des pseudonymes non signifiants (tels que le numéro de contribuable ou le numéro du dossier électronique du patient). On peut pour cela utiliser des identifiants sectoriels, mais il faut éviter de les conserver dans les registres avec d’autres attributs relatifs à l’identité.

Deuxièmement, il faut imposer des exigences en matière de sécurité qui soient plus élevées que celles qui ont été définies par le Département fédéral de l’intérieur pour tous les systèmes traitant des données indexées au moyen du numéro AVS ou d’identifiants sectoriels.