Audition du conseil de l’IVD par la commission parlementaire des martyrs et des blessés de la révolution, le 19 mars 2018

Les travaux de l’Instance Vérité Dignité (IVD) tirent bientôt à leur fin. Mais les archives collectées défrayent déjà la chronique. La publication d’un appel d’offres en janvier 2018 « pour la fourniture ; l’installation et mise en service d’une plateforme de sauvegarde d’archivage et consultation des fichiers vidéos pour l’Instance Vérité et Dignité » a suscité les protestations de différentes associations ainsi que celles d’organismes publics. D’après la loi sur la justice transitionnelle, ce sont en effet les Archives Nationales qui doivent se voir confier la totalité des archives de l’IVD. A moins que ne soit décidée la création d’une institution de préservation de la mémoire nationale.

L’appel d’offres de la discorde

Emna Sayadi, de l’organisation Access Now souligne le danger pour la souveraineté numérique du pays que le choix d’une entreprise étrangère représente : « L’IVD a justifié la possibilité de recourir à des entreprises étrangères par le manque de capacités tunisiennes à stocker une telle quantité de données. Mais ces données sont beaucoup trop sensibles pour être stockées à l’étranger et nous avons les possibilités de stocker ces données en Tunisie. Quand bien même nous ne les aurions pas, nous pouvons investir pour les avoir ».

Ces données, qui représentent un volume de 80 000 gigabyte rassemblent la totalité des 49 072 auditions effectuées par l’instance depuis juin 2014. Ces auditions, lors desquelles les personnes écoutées racontent leurs parcours ainsi que les injustices subies sous les différents régimes, comportent certaines données sensibles, à la fois personnelles et liées à des affaires d’Etat. « Les personnes qui ont témoigné, ont fait confiance à l’IVD, on ne peut pas accepter que leurs données soient stockées à l’étranger », rappelle Sayadi. D’après l’article 50 de la loi organique 63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel, « Il est interdit dans tous les cas, de communiquer ou de transférer des données à caractère personnel vers un pays étranger lorsque ceci est susceptible de porter atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie ».

Mémoire nationale livrée à Microsoft ?

L’appel d’offres lancé par l’IVD ne précise pas si les entreprises étrangères sont exclues ou non de l’offre. Il énonce toutefois que « le soumissionnaire et l’équipe qu’il compte employer pour l’exécution des travaux doivent remplir les conditions prévues aux articles 21 et 22 de la loi organique n°2013-53 relative à la justice transitionnelle », ce qui veut dire entre autres que les membres de l’équipe doivent être de nationalité tunisienne. Par ailleurs, l’appel d’offres demande également à ce que les entreprises qui proposent leurs services fournissent leur numéro de CNSS, ce qui signifie qu’elles doivent être basées en Tunisie.

Toutefois, lorsque nous posons la question à Tarek Ladjimi, directeur du département de sécurité informatique à l’IVD, il admet que ces conditions permettent tout à fait à une entreprise étrangère, basée en Tunisie et employant des Tunisiens de répondre à l’appel d’offres. En outre, à aucun moment l’appel d’offres ne précise si les serveurs utilisés pour le stockage des données doivent ou non se situer en Tunisie et cite à cinq reprises l’obligation de passer par Microsoft Azure. Il s’agit du service cloud de Microsoft, dont les serveurs sont à l’étranger. Interpelé sur ce point par Nawaat, le directeur de la sécurité informatique à l’IVD assure qu’ « Azure n’est cité qu’à titre d’exemple ». Et d’ajouter : « nous allons vérifier la localisation des serveurs des entreprises qui répondront à l’appel et excluront celles dont les serveurs ne sont pas situés en Tunisie ».

Des données personnelles sensibles

A l’heure qu’il est, ces données, ainsi que tous les documents numérisés, sont stockés sur les serveurs de l’Instance. Pour Ladjimi, l’appel d’offres a été lancé par nécessité de se conformer « aux standards internationaux en matière de sécurité informatique », notamment du fait du caractère sensible des informations stockées. « L’IVD doit externaliser ses données sur un autre serveur, en assurant un lien sécurisé en cloud entre les deux. Et ce, afin de pallier aux menaces de pertes ou d’altération des données collectées et stockées sur nos serveurs, en cas d’incendie par exemple », explique le directeur de la sécurité informatique de l’IVD. Mais le cloud n’est pas la seule option envisagée, Tarek Ladjimi ayant déclaré :

Si les offres que nous recevrons s‘avèreraient trop couteuses ou inadaptées, nous envisagerons d’autres solutions, comme l’acquisition d’autres serveurs situés en Tunisie.

Ce n’est pas la première fois que l’IVD est épinglée pour son usage de serveurs étrangers. L’Instance Nationale de Protection des Données Personnelles (INPDP), qui doit donner son autorisation à tout transfert de données à l’étranger, a porté plainte contre la société OVH et son représentant légal en Tunisie pour transfert de données personnelles à l’étranger sans autorisation. Contacté par Nawaat, Chawki Gaddes, président de l’INPDP, précise que cette plainte est motivée, entre autres, par le site de l’IVD, qui est hébergé chez OVH, sur des serveurs français. Il a également ajouté que le dépôt d’une plainte contre l’IVD à ce sujet était envisagé, après que des citoyens se soient plaints à l’INPDP.