Intervention de Nicolas Revel

S'agissant de notre niveau d'ambition en matière de sécurisation, ainsi qu'Alain Issarni l'a indiqué, nous sommes en train d'élaborer un plan de sécurité adapté à la nouvelle phase. Nous l'avons transmis pour examen à la CNIL. Il prévoit une première série de mesures qui ont vocation à être mises en oeuvre au cours des deux prochaines années, ainsi qu'une évolution de l'algorithme au cours de la période de quatre ans sur laquelle portera la prochaine convention d'objectifs et de gestion (COG).

Nous avons tenu à souligner deux points à propos de l'algorithme. D'une part, celui que nous utilisons actuellement est certes ancien, mais il reste robuste, ainsi que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) l'a indiqué assez clairement dans une évaluation récente. D'autre part, ainsi que l'a expliqué Alain Issarni, une personne qui parviendrait à percer cet algorithme saurait comment anonymiser des données en clair, mais ne saurait pas comment remonter jusqu'aux données en clair à partir des données du SNIIRAM. Il faut donc bien mesurer les enjeux.

Reste que tout algorithme de pseudonymisation a vocation à évoluer. Nous allons réfléchir à cette question et nous y atteler. Nous avons déjà engagé un processus d'étude à cette fin. La difficulté sera effectivement de récupérer le stock de données et d'y appliquer rétroactivement le nouvel algorithme de pseudonymisation.