Utilisation à risque du numéro AVS
Dans plus de 14'000 banques de données étatiques, le numéro AVS (NAVS13) est aujourd'hui utilisé comme identifiant personnel supplémentaire. Une expertise de l'EPFZ montre que les risques qui y sont liés pour la protection et la sécurité des données des citoyens sont élevés.
S'appuyant sur l'expertise de l'EPF, les commissaires cantonaux à la protection des données demandent donc aux gouvernements cantonaux de renoncer à continuer d'utiliser le numéro AVS comme identificateur universel de personnes. PrivatimLa Conférence suisse des commissaires à la protection des données écrit qu'elle attire depuis longtemps l'attention sur le fait que l'utilisation à grande échelle du numéro AVS dans les banques de données de l'administration publique met en danger les droits fondamentaux des citoyennes et des citoyens. L'expertise que vient de présenter David Basin, professeur de sécurité de l'information à l'EPF de Zurich, met en évidence l'ampleur des risques et montre que ceux-ci ne feront qu'augmenter avec l'utilisation toujours plus large du numéro d'assurance sociale.
Mesures de sécurité insuffisantes pour les bases de données
Le prénom, le nom et la date de naissance suffisent à identifier clairement 99,98% de la population. Le fait que plus de 14 000 banques de données publiques utilisent actuellement le numéro AVS comme identifiant unique augmente la possibilité de relier les données personnelles entre elles et donc le risque d'une utilisation abusive. De plus, les mesures de sécurité de nombre de ces banques de données sont insuffisantes. Elles pourraient donc facilement être la cible d'attaques de pirates. Les données qui tomberaient alors entre de mauvaises mains pourraient sans autre être reliées à des informations sensibles supplémentaires sur les citoyens, souligne Privatim dans son communiqué de presse.
Le professeur Basin montre dans son analyse que l'introduction du numéro AVS comme identifiant unique de la personne, défendue dans le cadre d'initiatives de cyberadministration, est irresponsable du point de vue de la sécurité et de la protection des données personnelles.
Introduire des identificateurs de personnes sectoriels
Privatim s'est déjà prononcée à plusieurs reprises en faveur de l'utilisation d'identifiants personnels sectoriels à la place du numéro AVS, comme le prévoit la loi pour le dossier électronique du patient et le registre du commerce. L'expertise de l'EPF démontre que cela peut certes limiter les risques d'abus à un secteur, mais n'offre pas encore une sécurité suffisante. Privatim se rallie donc aux conclusions de Basin : A l'avenir, seuls des identificateurs de personnes sectoriels devraient être introduits, qui ne seraient pas directement liés à des données personnelles d'identification, mais qui ne permettraient une connexion que par le biais de processus spécialement sécurisés. Cette approche permettrait de réduire substantiellement à l'avenir les risques pour la sphère privée qui existent déjà avec l'utilisation croissante du numéro AVS.
Il appartient maintenant au Conseil fédéral de tirer les conséquences de cette analyse des risques au niveau fédéral, conclut Privatim.
L'expertise du Prof. David Basin, EPF Zurich, a été commandée par l'Office fédéral de la justice (OFJ) et le Préposé fédéral à la protection des données et à la transparence (PFPDT) et est disponible sur les sites Internet du BJ et du PFPDT peut être consulté.
