Carte Cybèle

• Posté le 5 août 2016.

Cybele, tu veux ou tu veux pas

Si tu veux pas, tant pis, j’en ferai pas une maladie

Le remplacement prochain de la carte CADO dans tous les services par le dispositif CYBELE, démontre encore une fois que notre administration ne se donne pas les moyens de protéger ses données par les services informatiques de la DGDDI.

Le consentement à la carte Cybèle doit être libre et éclairé.

En plein été et avec une précipitation très mal vécue par les douaniers, l’administration oblige des agents publics à signer un contrat de droit privé comme s’ils n’avaient aucun choix et sans aucune explication.

Sur la question de la carte Cybèle, la pression syndicale a permis d’obtenir des informations essentielles mais néanmoins techniques. Celles-ci nous ont permis de faire la lumière sur ce nouveau système de preuve informatique.

Que l’administration souhaite changer une carte CADO vieillissante pour une meilleure certification des données, soit ! Mais que par cette démarche de sous-traitance à une entreprise privée, elle contraint les agents à s’engager dans une relation contractuelle avec la société Certinomis, c’est inconcevable !!

Pourquoi la carte Cybèle devient un outil de travail du douanier ?

La norme RGS est une norme de sécurité dont le référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité...

Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l’autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable.

Les douaniers auraient ainsi un niveau « deux étoiles » et la « RGS ** » s’impose pour :
– la signature électronique des procès-verbaux
– ou pour accéder à des bases de données comme la base de données du SNDFR et la PNIJ (plateforme nationale des interceptions judiciaires). * Notons au passage que la Cour des comptes ne comprend pas le choix gouvernemental d’avoir fait héberger la plateforme non par l’État, mais par une société privée, en l’occurrence Thales.

Nous comprenons donc que l’accès à Aladin pourrait se faire sans carte Cybèle pour une grande partie des applications informatiques via Aladin.

Une nouvelle privatisation des moyens de sécurité des agents de l’État ?

Le choix est donc fait de la sous-traitance, par une filière de la Poste, la société Certinomis. C’était le cas déjà avec la société OBERTHUR qui avait emporté le marché à l’époque pour la diffusion de la carte CADO.

Cette société avait emporté le contrat des passeports biométriques au détriment de l’imprimerie nationale avec l’appui de certains parlementaires UMP. Complaisance ?

Pour la carte Cybèle, l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Informations de l’État) passe un marché avec une société privée LSTI qui attribue la qualification à une autre société privée, Certinomis…

A l’administration de s’engager pour les agents

L’article 1109 du code civil indique ainsi : Il n’y a point de consentement valable si le consentement n’a été donné que par erreur ou s’il a été extorqué par violence ou surpris par dol.

Force est de constater que sur ce sujet, la signature des CGU nous est plus ou moins extorquée… mais l’administration se garde bien de tout ordre nominatif...

Nous sommes pris entre le devoir d’obéissance du fonctionnaire et la non validité d’un contrat de droit privé s’il est extorqué, ce qui est le cas. En effet, nous ne pouvons en négocier les termes, ni faire valoir le sacro-saint principe de la libre concurrence.

Alors qu’a lieu actuellement une campagne de rappel à la déontologie dont l’un des préceptes est l’indépendance des fonctionnaires vis-à-vis des sociétés privées, il paraît hallucinant qu’une administration impose à ses agents une relation contractuelle dans le cadre du travail.

Les articles qui nous posent encore problème dans les nouvelles CGU, si on les rayait ?

A l’heure où le vol des données informatiques fait la une des médias, voir les données personnelles et administratives des agents des douanes tomber dans l’escarcelle d’une entreprise privée, est tout bonnement choquant sachant que ces sociétés informatiques font souvent commerce des données personnelles de leurs clients à d’autres sociétés privées.

Annoter ou rayer les mentions inutiles !

– Nous ne souhaitons pas que le mandataire (la DGDDI...) décide à la place des agents de divulguer des informations le concernant.

* 8 Politique de confidentialité

8.1 Les données à caractère personnel relatives au MANDATAIRE et au BENEFICIAIRE transmises et détenues par CERTINOMIS dans le cadre du CONTRAT sont conformes au droit positif en vigueur en matière de données à caractère personnel et ne peuvent être divulguées sans avoir obtenu le consentement préalable du MANDATAIRE ou du BENEFICIAIRE.

– Un point après « commerciaux » nous semble obligatoire… Les données personnelles ne doivent pas être utilisées.

8.3 Les données à caractère personnel des Mandataires et/ou des Bénéficiaires ne seront pas utilisées à des fins de prospection ou d’actes commerciaux au bénéfice du détenteur des données personnelles pour des produits ou services analogues offerts par CERTINOMIS.

– A la lecture de ce texte, nous serions responsables devant cette société privée ? Des responsabilités financières comme peuvent le faire d’autres CGU ?

3 Limite d’usage

Les bénéficiaires doivent respecter strictement les usages autorisés des bi-clés et des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée. L’usage autorisé de la bi-clé et du certificat associé sont par ailleurs indiqués dans le certificat lui-même, via les extensions concernant les usages des clés. L’utilisation de la clé privée du porteur et du certificat associé est strictement limitée au service défini par l’OID de sa politique.

Les utilisateurs de certificats doivent respecter strictement les usages autorisés
des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée.

• La note DG du 22 juillet 2016 nous précise « Il est utile de rappeler que l’agent engage sa responsabilité devant la seule administration ».

Pourquoi les CGU continuent donc de mentionner cette responsabilité de l’agent dans ce contrat de droit privé ?

• Selon la note DG, la responsabilité de l’agent serait engagée devant l’administration. La première question syndicale concerne évidemment la sanction disciplinaire. Quid d’une perte ou d’un vol ? Serait-elle la même que pour une commission d’emploi sous entendue par la phrase « Le soin apporté par l’agent à la carte Cybèle doit être le même que pour sa commission d’emploi » dans la note DG. La menace disciplinaire est à peine voilée et certains agents douaniers préfèrent déjà passer en discipline pour ne jamais avoir à être obligé de signer ce contrat de droit privé.

Le SNAD CGT invite donc les agents à refuser d’adhérer aux termes actuels du contrat en ne signant que le bon de livraison de la carte ou de renvoyer les CGU avec les mentions comme suit :

3 Limite d’usage

Les bénéficiaires doivent respecter strictement les usages autorisés des bi-clés et des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée. L’usage autorisé de la bi-clé et du certificat associé sont par ailleurs indiqués dans le certificat lui-même, via les extensions concernant les usages des clés. L’utilisation de la clé privée du porteur et du certificat associé est strictement limitée au service défini par l’OID de sa politique.

Les utilisateurs de certificats doivent respecter strictement les usages autorisés des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée.

* 8 Politique de confidentialité

8.1 Les données à caractère personnel relatives au MANDATAIRE et au BENEFICIAIRE transmises et détenues par Certinomis dans le cadre du contrat sont conformes au droit positif en vigueur en matière de données à caractère personnel et ne peuvent être divulguées sans avoir obtenu le consentement préalable du MANDATAIRE et ou du BENEFICIAIRE.

8.3 Les données à caractère personnel des Mandataires et/ou des Bénéficiaires ne seront pas utilisées à des fins de prospection ou d’actes commerciaux au bénéfice du détenteur des données personnelles pour des produits ou services analogues offerts par Certinomis.

Notre syndicat réaffirme que les données personnelles telles que reprises dans le CGU ne doivent pas sortir du cadre administratif et ne doivent pas non plus être mises à la disposition de la société Certinomis.

Nous exigeons que les conditions générales d’utilisation n’établissent aucun lien de subordination entre les agents et la société et que les responsabilités juridiques soient pleinement assumées par notre administration à titre général, et non par les agents à titre individuel.

---

Courrier du Syndicat National des Agents des Douanes CGT
à Madame la Directrice Générale des Douanes et Droits Indirects

Montreuil, le 25 juillet 2016

Objet : Modification des CGU-CYBELE

Nous avons bien pris connaissance de la note du 22 juillet 2016 relative aux modifications apportées aux conditions générales d’utilisation de la carte CYBELE.

Toutefois, ces modifications ne sont pas, à notre sens, totalement satisfaisantes et ne reflètent en rien les inquiétudes dont nous avons pu vous faire part à maintes reprises.

C’est pourquoi, et afin que la transition vers cette nouvelle carte sécurisée se passe le plus sereinement possible, nous vous demandons de revoir, une nouvelle fois, le contenu de ces CGU auprès de la Société CERTINOMIS.

A cette fin, nous vous demandons les modifications suivantes :

8,1 Les données à caractère personnel relatives au MANDATAIRE et au BENEFICIAIRE transmises et détenues par CERTINOMIS dans le cadre du CONTRAT sont conformes au droit positif en vigueur en matière de données à caractère personnel et ne peuvent être divulguées sans avoir obtenu le consentement préalable du MANDATAIRE ou du BENEFICIAIRE.

8.3 Les données à caractère personnel des Mandataires et/ou des Bénéficiaires ne seront pas utilisées à des fins de prospection ou d’actes commerciaux au bénéfice du détenteur des données personnelles pour des produits ou services analogues offerts par CERTINOMIS.

3 Limite d’usage
Les bénéficiaires doivent respecter strictement les usages autorisés des bi-clés et des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée. L’usage autorisé de la bi-clé et du certificat associé sont par ailleurs indiqués dans le certificat lui-même, via les extensions concernant les usages des clés. L’utilisation de la clé privée du porteur et du certificat associé est strictement limitée au service défini par l’OID de sa politique.
Les utilisateurs de certificats doivent respecter strictement les usages autorisés des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée.

Et puisque « le soin apporté à la carte Cybèle doit être équivalent à celui apporté à la commission d’emploi », nous profitons de ce courrier, pour solliciter un éclairage de votre part sur les sanctions applicables en cas de perte de cette carte.

Dans l’attente de vous lire,

Pour le SNAD CGT, le Bureau National