Le gouvernement a eu connaissance qu’au moins un individu, profitant d’une erreur humaine, a eu accès à la base de données des centres médico-sportifs. Il est dans les obligations du gouvernement, en application de l’article 23 (2) du Code d’instruction criminelle, de dénoncer au procureur tous les faits susceptibles de constituer un crime ou un délit. L’accès illégal à des données personnelles protégées par la loi ne constitue pas de peccadille.
Il appartient au seul parquet de décider de l’opportunité des poursuites, de faire rechercher s’il y a eu infraction pénale, ainsi que le ou les auteurs à la base de cette infraction. Comme l’enquête est actuellement en cours et qu’il n’y a pas encore eu de mise en accusation, les ministres rappellent dans ce contexte le principe de la présomption d’innocence du ou des auteurs éventuels.
Quant aux actions entreprises par le gouvernement en matière de protection des données nominatives au service en question, les agents utilisateurs de la base de données ont d’abord été obligés via note interne de changer leurs mots de passe. Comme le problème apparu était lié au départ à une erreur humaine, les ordres stricts de sécurité dans le traitement des données personnelles ont été rappelés à l’ensemble des utilisateurs en question. Le gouvernement souligne en outre que l’application concernée fonctionnera à partir de la fin du mois courant sous le système d’authentification forte LUXTRUST.
Dans ce contexte le gouvernement rappelle qu’il avait de manière proactive déjà mis en place en juillet 2011 un "Computer Emergency Response Team" (CERT) et une stratégie de cybersecurity qui vise à optimiser durablement la sécurité des infrastructures informatiques de l’État. Cette stratégie, présentée au public le 23 novembre 2011, est actuellement implémentée à tous les niveaux des services de l’État.
À cela il y a lieu de rajouter que le plan directeur de la mise en œuvre des technologies de l’information de l’État élaboré par le Centre des technologies de l’État (CTIE) pour la période 2010-2014 préconise une authentification forte pour l’accès aux bases de données.
Pour conclure il y a lieu de noter que lors de la séance du 16 mars 2012, le Conseil de gouvernement a entériné les recommandations du "Cyber Security Board" présidé par le ministre des Communications et des Médias et pris les décisions suivantes:
- de charger le Cyber Security Board d’élaborer une liste des banques de données gérées/exploitées par l’État, les ministères, les administrations et les établissements publics;
- de rendre obligatoire l’application d’un système d’authentification forte du type LUXTRUST, pour les banques de données, et plus particulièrement celles qui contiennent des données sensibles;
- de charger le Cyber Security Board de rédiger, dans le domaine de la protection des systèmes d’information, un code de conduite à l’attention des utilisateurs de systèmes informatiques;
- d’accélérer dans le domaine de la sécurité des banques de données la formation des agents de l’État (aussi bien de ceux qui entreront au service de l’État que des agents qui possèdent déjà ce statut) et de prévoir une formation pour tous les utilisateurs qui ont le droit d’accéder à des banques de données publiques, par le biais de modules de formation qui seront rendus obligatoires.