Sollicitée par des lanceurs d’alertes, la Cour des comptes a mené un audit pour apprécier dans quelle mesure la Ville de Genève a défini et mis en œuvre les mesures appropriées pour assurer la sécurité des données personnelles.
Selon un audit mené par la Cour des comptes la Ville de Genève n’agit pas suffisamment pour limiter les risques de perte ou fuite de données, en particulier du fait de leur stockage, transfert et traitement administratif, et ce même si à ce jour aucun cas significatif de violation de la sécurité des données n’a été relevé
« La Ville de Genève n’a pas de vision complète des risques auxquels les données personnelles sensibles sont exposées tout au long de leur cycle de vie. En particulier, les risques liés à l’utilisation de nouvelles technologies (cloud, intelligence artificielle), à la perte ou au transfert de données ne sont pas suffisamment identifiés et analysés. En conséquence, la Ville ne connaît pas l’ensemble des mesures de contrôle en place et ne peut pas s’assurer de leur caractère approprié » détaille ainsi la Cour dans un communiqué.
La Cour relève que certains usages méritent d’être mieux définis. Par exemple, rien n’interdit à un collaborateur de copier des données sensibles sur une clé USB non sécurisée ou sur un espace de stockage dans le cloud. Elle note également un manque de clarté sur les rôles et responsabilités en lien avec la sécurité des données au sein des services, ce qui induit un niveau de contrôle hétérogène d’un service à l’autre.
