Le Pouvoir judiciaire genevois : la justice à l'épreuve de la protection des données numériques

Crédit: Emeric Caron

Bruno Juillet : L'enjeu relatif à la protection des données et à la sécurité des informations du dossier numérisé a été identifié très tôt par la gouvernance du Pouvoir judiciaire genevois, qui l'a d'ailleurs intégré à son plan stratégique 2021-2025 pour "réussir la transition numérique de la justice".

Pour garantir l'atteinte de cet objectif, le programme de numérisation de la justice genevoise s'est organisé pour intégrer la protection des données et la sécurité de l'information dans toutes ses phases: l'analyse des besoins de protection fait partie intégrante de la phase d'étude de tous les sous-projets, de même que la formalisation, à chaque fois, d'un concept de sécurité de l'information comprenant une analyse détaillée des risques à prendre en compte dans les phases de conception. Le but de cette démarche systématique est de s'assurer que les risques auront été réduits, en fin de projet, à un niveau permettant qu'ils soient acceptés par la gouvernance de l'institution. Des experts en sécurité de l'information ont été recrutés pour soutenir cet effort dans le cadre du projet cantonal eDossier judiciaire.

En parallèle, un certain nombre de projets préparatoires considérés comme nécessaires en prévision de l'arrivée du dossier judiciaire électronique ont été intégrés en priorité dans le portefeuille des projets du Pouvoir judiciaire. Plusieurs concernent directement la sécurité de l'information, parmi lesquels :

• la révision des autorisations d'accès aux applications métier de gestion des procédures et des règles de gouvernance de ces accès
• le renforcement de la sécurité des solutions de télétravail qui seront utilisées pour le traitement du dossier électronique à distance
• ainsi que la revue des processus de destruction sécurisée des actifs électroniques, sur lesquels seront traités un volume important de données judiciaires.

Bruno Juillet : Le contrôle de l'accès aux pièces numériques du dossier est un des défis majeurs : l'accès à ces pièces ne sera plus sous le contrôle "physique" de la chambre ou du cabinet qui sont chargés du dossier; il s'agira de circonscrire l'accès aux seules personnes habilitées (selon le principe du moindre privilège), tout en tenant compte des contraintes des processus judiciaires qui exigent une grande souplesse dans l'organisation du travail au jour le jour. Dans tous les cas, la traçabilité de l'ensemble des accès devra également être garantie, pour permettre les contrôles a posteriori.

La disponibilité des documents numériques sur des périodes de temps qui se comptent au moins en dizaines d'années (et pour certains sans limite de temps) est également un défi technologique majeur, qui comprend notamment l'exhaustivité des documents conservés et l'intégrité de leur contenu.

Bruno Juillet : Le Pouvoir judiciaire a repris en 2014 la responsabilité, la gouvernance et le financement de son système d'information. Il dispose de sa propre direction des systèmes d'information, qui développe ou, en cas d'acquisition de solutions du marché, maintient les applications informatiques, en particulier, celles qui sont directement utiles à l'activité judiciaire.

En outre, il confie à l'office cantonal des systèmes d'information et du numérique (OCSIN), en sous-traitance, le soin de lui fournir les prestations de base chaque fois que la chose est possible (comme par exemple les serveurs, les réseaux, la téléphonie, les postes de travail et les suites bureautiques). Aux fins d'assurer une gestion optimale des deniers publics, une convention en fixe le cadre et précise notamment les exigences de sécurité du Pouvoir judiciaire, ainsi que les responsabilités de chaque institution.

L'OCSIN est notamment responsable de sécuriser les équipements informatiques qu'elle met à disposition, y compris la sûreté d'accès. Le Pouvoir judiciaire doit en revanche définir les règles, principes et responsabilités en matière de gestion des accès. Il est responsable de sensibiliser ses utilisatrices et utilisateurs afin de faire respecter les mesures de sécurité déployées et de maintenir la vigilance pour éviter le risque de compromission.

Le Pouvoir judiciaire genevois garde la responsabilité de la sécurité des données judiciaires et des autres données du système d'information lui appartenant. Il s'assure en outre que les risques induits par cette sous-traitance sont d'un niveau qu'il accepte, sur la base des vulnérabilités techniques résiduelles identifiées et partagées par l'OCSIN. Il dispose depuis plusieurs années de ses propres responsables de la sécurité du système d'information (RSSI).

Le Pouvoir judiciaire dispose également d'un responsable central à la transparence et à la protection des données, qui travaille en étroite collaboration avec les directions des autorités judiciaires, de manière à harmoniser les pratiques en matière d'accès aux documents et aux données.

Bruno Juillet : Le Pouvoir judiciaire dispose d'une politique de sécurité de l'information (PSI) qui lui est propre, ainsi qu'un ensemble de directives encadrant sa mise en œuvre. Il a en outre adopté son propre règlement sur l'accès aux documents et aux données personnelles (RADPJ – RS/GE E 2 05.52), qui encadre de manière contraignante le traitement des données judiciaires et l'accès aux documents. Ce règlement vient compléter le droit de procédure et le droit cantonal en matière de protection des données ou d'archivage. On peut notamment citer les règles spécifiques en matière de sous-traitance, qui prévoit que celles-ci soient réalisées en Suisse exclusivement.

De manière à garder un contrôle strict d'accès à ses données, la gouvernance de l'institution s'est déterminée en faveur d'un stockage unique et permanent des documents judiciaires dans les data centres de l'Etat de Genève. Leur partage sur la plateforme justitia.swiss devra être réalisé en permettant cette décentralisation du stockage.

Bruno Juillet : Un plan de sensibilisation des utilisatrices et utilisateurs est déployé depuis plusieurs années et piloté par le comité de direction du Pouvoir judiciaire. Il décline une stratégie de sensibilisation par cercles de public cible, selon le degré de proximité aux informations judiciaires. Il comprend notamment des séances de sensibilisation en présentiel, en particulier lors de l'accueil des collaboratrices et collaborateurs ou des magistrates et magistrats. Grâce à des communications ciblées, à différents exercices et à la mise en place d'un eLearning, l'ensemble des publics identifiés est sensibilisé à la sécurité de l'information et aux spécificités liées à l'environnement judiciaire. Une révision de ce plan est d'ailleurs spécialement prévue pour accompagner la transition numérique.

Bruno Juillet : La mise en œuvre de la plateforme justitia.swiss en pilote a été traitée comme un projet de mise à disposition d'une solution "sensible" impliquant une évaluation des besoins de protection, la formalisation d'un concept SIPD avec une analyse détaillée des risques tenant compte de l'exposition de données judiciaires.

Dans la mesure où cette solution s'appuie pour l'essentiel sur une plateforme commune, le concept genevois a été construit sur la base des analyses fournies par l'équipe de projet Justitia 4.0. Le concept de sécurité de la plateforme a ainsi été revu de manière approfondie, afin de nous assurer d'une compréhension commune des données à protéger, des menaces à prendre en compte, des risques à réduire et des risques à accepter.

Une réflexion complémentaire sur l'intégration sécurisée de la plateforme dans le SI du PJ a également été conduite. Ainsi, compte tenu des solutions du canton de Genève en matière d'identités électroniques et d'ici à la mise à disposition de l'identité fédérale, des travaux ont été réalisés pour permettre aux magistrates, magistrats, collaboratrice et collaborateurs du Pouvoir judiciaire, mais aussi aux administrées et administrés genevois déjà munis d'un compte électronique e-démarches, de s'authentifier à la plateforme d'identification.

Bruno Juillet : Confirmer la liste des risques de sécurité à considérer, ainsi que l'évaluation de la vraisemblance et de l'impact de chacun d'eux a été un travail important.

S'entendre sur le cercle minimum des mesures à déployer pour une ouverture du service a également été un travail significatif, notamment pour prendre en compte des enjeux du projet et ceux en lien avec de sécurité des données propres au Pouvoir judiciaire.

Préciser les responsabilités de traitement des risques résiduels, de la plateforme justitia.swiss et du Pouvoir judiciaire, a été également un travail non-négligeable, compte-tenu du cadre légal spécifique dans lequel s'inscrivent les pilotes, d'ici à l'entrée en vigueur de la LPCJ (que la loi vise justement à établir de manière explicite).

Bruno Juillet : Il s'agirait d'abord de bien connaitre le niveau de sécurité préexistant dans les systèmes cantonaux actuels et ses limites, qui pourraient s'avérer être des vulnérabilités lorsque la plateforme justitia.swiss y sera connectée (ex : données non intègres préexistantes, etc.). Il serait nécessaire de procéder de manière analogue lors de l'intégration d'autres composants supportant la transition numérique (ex : application du dossier judiciaire-ADJ).

En phase d'étude, la conduite d'une analyse de risques parait clé pour s'assurer de l'identification des sources de menaces et des scénarios de risques propres à ces intégrations cantonales, sur l'ensemble des actifs à protéger. La prise en compte des études et audits réalisés par Justitia 4.0 peut permettre de structurer la réflexion et de concentrer l'effort sur les spécificités cantonales.

Le traitement de ces risques supposera qu'une gouvernance soit en place pour confirmer les mesures de réduction, techniques et organisationnelles, à déployer afin de garantir que leur niveau de criticité résiduel soit acceptable pour l'autorité judiciaire. Parmi ces mesures, sont à envisager la sensibilisation des utilisateurs aux nouveaux risques induits par le traitement du dossier en électronique, et l'adaptation des processus de contrôles des autorisations et des accès.