Risques intrinsèques à la délocalisation de la gestion de la paie

Question de Mme DUMAS Catherine (Paris - Les Républicains) publiée le 16/02/2023

Rappel de la question n°01313, publiée le 14/07/2022

Mme Catherine Dumas rappelle à M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique les termes de sa question n°01313 posée le 14/07/2022 sous le titre : " Risques intrinsèques à la délocalisation de la gestion de la paie ", qui n'a pas obtenu de réponse à ce jour.

Publiée dans le JO Sénat du 16/02/2023 - page 1092

Réponse du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique publiée le 27/07/2023

Il est utile de faire une distinction entre l'évolution du marché de l'externalisation de la gestion de paie, et l'évolution des outils logiciels de gestion de paie, qui suit, a l'instar d'une grande partie du marché logiciel, une logique d'externalisation de l'hébergement des données, à la faveur d'opérateurs d'informatique en nuage, ou « cloud ». Si ce fait de marché peut comporter certains risques en matière de protection des données du fait de l'externalisation de l'hébergement, la France a adopté une approche pionnière en Europe à cet égard. En effet, le Gouvernement a mis en place un label « cloud de confiance » incarné par la qualification SecNumCloud de l'autorité nationale en matière de sécurité et de défense des systèmes d'information (ANSSI), qui atteste d'un très haut niveau d'exigence en matière de sécurité numérique, tant du point de vue technique qu'opérationnel ou juridique. L'objectif de ce label est de permettre à tous, administrations comme entreprises, d'identifier des offres Cloud dites « de confiance ». Le Gouvernement a aussi défini un cadre de numérisation des administrations (Cloud au centre) exigeant et protecteur des données de nos citoyens qui impose le recours à des solutions certifiées « SecNumCloud » aux administrations dès lors que des données sensibles sont manipulées. Cette référence peut aussi permettre aux entreprises d'identifier des offres cloud « de confiance » et ainsi bénéficier de ce haut niveau de protection des données. Le référentiel « SecNumCloud » est d'ailleurs un schéma de référence dans l'élaboration du niveau de protection le plus haut du futur schéma de certification européen en matière de cybersécurité (EUCS). Par ailleurs, il convient de souligner l'action de conseil menée par la Commission nationale de l'informatique et des libertés (CNIL) auprès des autorités administratives, en amont du déploiement de services numériques dès lors qu'ils traitent des données personnelles. En cas de manquement ou de négligence en matière de cybersécurité portant atteinte à la protection des données personnelles, la CNIL dispose de pouvoirs étendus de mise en demeure et de sanctions pour remédier aux situations à risque. Le secteur de la santé constitue une priorité : la CNIL a ainsi été amenée à se prononcer sur le Health Data Hub et à rappeler à l'ordre un certain nombre d'acteurs, opérant dans le domaine de la santé, qui ne garantissaient pas suffisamment la protection des données personnelles. La CNIL veille également au respect des obligations du règlement général sur la protection des données personnelles qui impose, notamment, l'information des utilisateurs dont les données ont été « compromises », lorsque l'atteinte subie est jugée sérieuse. Dans d'autres secteurs particulièrement touchés par les problématiques de cybersécurité, l'Etat va plus loin : les acteurs de la santé sont des cibles privilégiées des cybercriminels : le cyber-rançonnage, la revente de données personnelles de santé, l'espionnage industriel et le vol des savoir-faire technologiques en matière médicale ou encore l'espionnage stratégique pour obtenir des données sur une grande partie de la population constituent les principales motivations des attaquants. Face à ces cyberattaques, le Gouvernement a engagé plusieurs actions. Ainsi, dès 2019, le ministère des solidarités et de la santé a mis en place un plan d'action pour renforcer la cybersécurité des établissements de santé. Il continue d'investir dans la sécurité des infrastructures numériques de santé, comme prévu dans les accords et le plan « Ségur de la santé ». L'ANSSI, via le volet cybersécurité du plan France Relance, contribue au financement de l'amélioration de la cybersécurité du secteur de la santé. Des parcours de cybersécurité ont été réalisés par plus d'une centaine d'établissements de santé et une équipe de réponse à cyber-incidents, le CERT-Santé, a été constituée au sein du ministère des solidarités et de la santé.

Publiée dans le JO Sénat du 27/07/2023 - page 4670