À propos des SPOF de l’E-gouvernement

Depuis une dizaine d’années, l’administration recourt de plus en plus à des bases de données comportant de nombreuses informations sur les citoyens. Cela fait gagner énormément de temps aux citoyens et aux entreprises. Mais dans le même temps, cela rend la quasi-totalité des processus administratifs à tous les niveaux de pouvoir dépendants de ces “sources authentiques”.

Depuis une dizaine d’années (et même 20 ans pour la sécurité sociale), l’administration recourt de plus en plus à des bases de données comportant de nombreuses informations sur les citoyens, le Registre National (RRN), la Banque Carrefour de la Sécurité sociale (BCSS) et la Banque Carrefour des Entreprises (BCE). Cela fait gagner énormément de temps aux citoyens et aux entreprises, parce qu’ils ne doivent pas compléter à chaque fois les mêmes données sur des formulaires. Mais dans le même temps, cela rend la quasi-totalité des processus administratifs à tous les niveaux de pouvoir dépendants de ces “sources authentiques”.

La plate-forme flamande Magda (pour Maximale Gegevensdeling tussen Administraties ou partage maximal des données entre administrations) a été mise en place pour répartir les données de ces banques de données vers les administrations flamandes et les communes. De cette manière, nous avons une idée assez précise de la disponibilité de ces sources. Et, trop souvent, nous devons informer tous nos clients que nous sommes incapables de transmettre des données pendant quelques heures parce que le Registre National ou la BCSS sont confrontés à une panne ou en raison d’une interruption planifiée de leurs services. Entre le 1er janvier et le 17 octobre 2013, nous avons ainsi déjà accumulé 1.712 interruptions, souvent de moins de 15 min, mais également 23 incidents de plus de 2 h (3 pannes ont même duré plus de 12 h). Sur l’ensemble de l’année 2012, ces interruptions de plus d’un quart d’heure ont représenté un total de plus de 606 h, soit 25 jours. Il s’agit donc de près de 7 % de cette année pendant lesquels aucune donnée du Registre National n’a pu être consultée via la BCSS. Cela a été dû en grande partie à l’indisponibilité du RRN. Difficile évidemment de transmettre des données qui ne rentrent pas.

Et là où, auparavant, ce genre d’indisponibilité de quelques heures ne constituait pas un problème insurmontable (dans la mesure où une administration était déjà numérisée), cela implique à présent que, pendant tout ce temps, aucune carte d’identité ne peut être retirée, il faut se reconnecter ultérieurement pour faire une demande de bourse d’étude et, singulièrement, il est impossible de faire une déclaration de vol ou d’accident auprès de la Police.

V-ICT-OR, l’organisation regroupant les responsables ICT dans les communes, se plaignait encore récemment que ces responsables ignorent souvent si des cartes d’identité peuvent être remises un jour précis. Au cours de ces derniers mois, ils ont reçu de très nombreuses plaintes en raison de défaillances du système Belpic, alors que les communes n’assument aucune responsabilité à ce niveau. Comme toujours, les personnes au guichet essuient les reproches suscités par les manquements du back-end.

Il est évident que l’Etat doit investir lourdement dans la qualité du contenu et la disponibilité 24/7 de ces sources authentiques et des services web via lesquels les administrations peuvent les consulter. En cette période, les TIC sont partout le domaine le plus facile pour réaliser des économies, mais il ne faut alors pas sous-estimer les risques ainsi encourus. Et les systèmes informatiques complexes présentent la particularité de ne pas toujours fonctionner correctement. Chacun aura déjà pu le constater avec son propre ordinateur portable, et récemment encore Facebook a été paralysé pendant quelques heures. Le risque peut toutefois être réduit considérablement en faisant en sorte que tous nos services publics fédéraux ne dépendent pas de quelques SPOF (single points of failure).

Le tout n’est guère simplifié par le fait que la Commission de la protection de la vie privée adopte souvent une position relativement restrictive par rapport à la mise en place d’une copie technique du Registre National. Le principe est le suivant: on peut obtenir des données seulement et exclusivement auprès de la source authentique proprement dite. Pourtant, il me semble parfaitement faisable de mettre en place une politique aussi forte pour la sécurité, l’intégrité des données et la protection contre des consultations non autorisées de ce genre de copie que pour l’accès direct à la source d’origine.

Une copie technique strictement réglementée de ce genre permettrait non seulement de réaliser avec plus d’efficacité certaines opérations (paramètres globaux, spéciaux), mais peut surtout gommer les SPOF dont souffre actuellement le système. En Flandre, nous avons bien une copie de la Banque-Carrefour des Entreprises. Comme nous avons cette copie, nous pouvons enrichir la BCE avec des données d’entreprises provenant notamment de la Banque Nationale, de l’ONSS et d’autres banques de données. Des données qui ne sont d’ailleurs pas toutes consultables via des sites web et intégrables avec d’autres données d’entreprises. Nous synchronisons chaque nuit la BCE fédérale avec la BCE flamande. Si cela ne fonctionne pas directement, il nous reste quelques heures pour tirer les choses au clair. Une copie doit absolument fournir les mêmes informations que l’original, mais la nécessité de le faire immédiatement ou chaque jour dépend évidemment du type de données. Et dans l’hypothèse où notre système serait indisponible pendant une période prolongée, chacun pourrait, le cas échéant, consulter encore de façon assez simple certaines données directement auprès de la BCE.

La concertation entre les différents intégrateurs de services en Belgique sera bientôt lancée sur le plan structurel, en exécution du nouvel accord de collaboration en matière d’e-gouvernement. Un débat sur la disponibilité 24/7 des sources authentiques à chaque niveau de pouvoir a certainement sa raison d’être.