L’initiative vient des responsables de la plateforme Gov.mu. Ils ont, en effet, demandé à la Data Protection Commissionner Drudeisha Madhub d’émettre une directive à l’intention des webmasters chargés de mettre en ligne le contenu des quelques 300 sites hébergés sous le domaine gov.mu. Le Government Online Center devrait la recevoir d’ici la fin de la semaine.

Cette demande intervient après la plainte déposée au Data Protection Office par un ingénieur. Celui-ci a découvert que la Tourism Authority (TA) avait mis en ligne un document (voir photo) contenant le nom des 9445 personnes titulaires d’une skipper licence à juillet 2013. Ce type de liste est assez commun. C’est notamment le cas pour les architectes, les médecins ou d’autres professionnels. La TA a toutefois commis la bourde de mettre en ligne un fichier Excel contenant l’intégralité des informations sur les skippers et candidats à un permis… y compris leurs adresses, leurs numéros de téléphone fixe et mobiles ainsi que leurs numéros de carte d’identité nationale.

Saisi, le Data Protection Office (DPO) a ordonné à la TA de faire en sorte que les données privées des skippers ne soient plus disponibles. L’organisme public a toutefois préféré retirer le fichier Excel du site. En attendant de remettre en ligne une version expurgée des données sensibles.

La « bourde » de la TA a fait voir rouge aux administrateurs du domaine Gov.mu. Car si celui-ci apparaît comme un domaine monolithique aux utilisateurs, l’équipe qui en a la charge a en fait la responsabilité de faire fonctionner le portail du gouvernement 24/7 tout en prévenant les attaques de virus et de hackers contre le système. La mise en ligne du contenu des 300 sites du domaine Gov.mu est, elle, effectuée par des webmasters affectés aux ministères ou institutions publiques. Ce qui démultiplie le risque d’erreurs d’appréciation dans la mise en ligne de documents sensibles.

Avec la prochaine directive du DPO, chaque personne chargée de mettre en ligne du contenu saura précisément ce qui est admis ou non selon la Data Protection Act. Elle saura également à quelles sanctions elle s’expose si elle contrevient aux règles émises.

Drudeisha Madhub étant actuellement en déplacement, elle n’a pu confirmer quand la directive sera émise.