Or, la commission a constaté qu’un agent avait, sans autorisation, effectué
une requête visant à exploiter ces données particulières. Les agents de la
CNCTR ne bénéficiant pas de droits informatiques identiques à ceux de
l’exploitant en cause, il n’a pas été possible de déterminer si cette requête
avait été interrompue par le système informatique du service ou si, au
contraire, elle avait abouti et permis à l’agent d’accéder effectivement aux
données.
Ces irrégularités, pour partie déjà constatées en 2021, sont préoccupantes
et avaient déjà conduit le président de la CNCTR, au tout début de l’année
2022, à demander expressément au service concerné de venir s’en
expliquer dans les locaux de la commission.
L’état des lieux dressé par le service à cette occasion a permis de révéler
que les exploitants n’avaient pas directement accès au contenu des
autorisations, ni par conséquent, à leur éventuelles restrictions, mais
étaient simplement rendus destinataires d’un compte-rendu réalisé
manuellement par les équipes juridiques. Conscient que cette procédure
interne, instituée pour des motifs de sécurité et de cloisonnement internes,
était source d’erreurs, le service a décidé d’ouvrir progressivement
le référentiel des autorisations délivrées par la Première ministre à
l’ensemble des exploitants. Des développements informatiques destinés
à créer des droits d’accès informatiques différenciés devraient permettre
d’assurer le respect de la règle du besoin d’en connaître. Cette évolution
a été achevée au début du mois de septembre 2022.
En outre, le service a décidé de mettre immédiatement en place un contrôle
renforcé sur les autorisations assorties de restrictions, impliquant à la fois le
bureau juridique et le service de contrôle interne chargé de la conformité au
cadre légal. Il s’agit de s’assurer de la bonne compréhension du périmètre
exact de l’autorisation par les agents exploitants. Le contenu de la formation
au cadre légal dispensée aux agents a été adapté à ces préoccupations.
Par ailleurs, partageant le constat selon lequel les rappels effectués
auprès des agents n’étaient pas toujours suivis d’effet, le service a décidé
d’instituer une procédure de réponse graduée à ces manquements qui
peut notamment passer par l’obligation, pour l’agent concerné, d’une
formation complémentaire.