Sur la personnalisation de l'information :
La commission constate que l'usager pourra, après avoir créé un compte sur le portail internet « monservicepublic », définir, en fonction de ses centres d'intérêts, les domaines dans lesquels il souhaite recevoir une information des sites des administrations. Cette fonctionnalité ne concerne, en l'état du projet, que les informations disponibles sur le site « servicepublic.fr ». Elle estime que cette fonctionnalité ne soulève pas de difficulté au regard des règles de protection des données à caractère personnel, dès l'instant où l'usager est libre de paramétrer les informations qu'il reçoit et de modifier ou de supprimer à tout moment son compte personnel.
Toutefois, afin de garantir l'anonymat de cette fonction, la commission demande que les dispositions de l'article 2 du projet d'arrêté créant le portail « monservicepublic » relatives à l'énumération de la finalité relative à « la personnalisation des contenus » soient complétées des termes suivants : « cette finalité est accessible par la saisie d'un identifiant et d'un mot de passe librement choisis ».
Sur l'accès, à partir d'une authentification unique, aux téléservices des partenaires du portail « monservicepublic » :
Le portail « monservicepublic » permettra à un usager, à partir d'un point d'entrée unique et d'une seule authentification, d'accéder à ses comptes personnels dans différentes administrations. L'usager qui s'authentifiera, par un identifiant sectoriel, sur un des sites partenaires du portail pourra demander à bénéficier d'une authentification unique pour accéder à d'autres téléprocédures. A cette fin, il devra créer un compte sur le portail « monservicepublic » avec un identifiant et un mot de passe (ce dernier a une taille minimale de huit caractères avec au moins une lettre ou un chiffre), puis indiquer les sites pour lesquels il souhaite bénéficier de l'authentification unique. Une fois l'identifiant sectoriel indiqué sur chaque site partenaire, il décidera de les relier entre eux par le biais du compte « monservicepublic » qui permettra, ultérieurement, d'accéder à l'ensemble des téléservices ainsi fédérés au seul moyen de l'identifiant et du mot de passe du portail « monservicepublic ».
La commission prend acte que le numéro permettant de relier, à partir du portail « monservicepublic », les sites partenaires choisis par l'usager sera une chaîne alphanumérique (chiffres et lettres) aléatoire, non signifiante, permettant seulement de faire le lien entre les téléservices, sans que le système technique du portail « monservicepublic » ne puisse avoir accès ou connaître les identifiants sectoriels de l'usager. Elle constate que ce numéro n'aboutira donc pas à un regroupement d'identifiants sectoriels autour d'un identifiant commun.
La commission recommande que l'usager du portail internet soit informé de l'existence de ce numéro permettant de relier le site « monservicepublic » aux téléservices des administrations partenaires en évitant de saisir les identifiants sectoriels.
La commission relève qu'en l'état du projet il n'y a pas de volonté de faire du portail « monservicepublic » un dispositif obligatoire pour les usagers, ni de créer un identifiant administratif national.
La commission souligne qu'elle restera vigilante sur les développements futurs du projet et demande que l'ADAE apporte toutes les garanties sur ce point.
Sur l'espace de données :
L'espace de données aura pour fonctions à la fois de permettre de stocker des données à caractère personnel qui serviront à compléter de façon automatique des formulaires en ligne et aussi de comporter une partie contenant des pièces justificatives pouvant être envoyées par l'usager lorsque cela est nécessaire.
La commission attire l'attention de l'ADAE sur la nécessité de s'assurer de la proportionnalité des informations enregistrées dans l'espace personnel au regard des finalités offertes tant par celui-ci que par le portail « monservicepublic ».
La commission constate que l'accès à l'espace de données prévoit la saisie facultative de plusieurs informations, dont la profession, la nationalité et les date et lieu de naissance.
La commission considère que la nécessité de collecter ces informations, en particulier celles relatives à la naissance, la profession ou la nationalité, devra être appréciée, dans la version définitive du projet, au regard des téléservices partenaires effectivement accessibles.
La commission prend acte que le projet d'arrêté ministériel créant le traitement rappelle que l'espace de données ne pourra être utilisé par les administrations pour échanger entre elles des documents qu'avec le consentement de l'usager.
La commission estime que le projet d'arrêté ministériel créant le traitement devra prévoir que les partenaires ne peuvent se voir communiquer par le biais de l'espace de données que les informations et documents dont ils ont à connaître dans le cas où ils y sont habilités par un texte législatif ou réglementaire.
Sur la messagerie électronique et la fonction de suivi des dossiers personnels :
Cette fonctionnalité regroupera à la fois la fonction de messagerie électronique contenue dans le portail « monservicepublic » et la fonction de suivi des procédures personnelles permettant, notamment, de recevoir des alertes sur l'état des dossiers personnels.
La commission demande que l'ADAE complète la finalité prévue dans le projet d'arrêté ministériel créant le traitement en précisant les modalités exactes des alertes sur les dossiers personnels, en particulier la durée pendant laquelle ce suivi pourra s'effectuer.
La commission souligne que le portail « monservicepublic » ne doit pas conduire à un suivi des situations individuelles des usagers, au-delà de l'information sur l'enregistrement, le déroulement ou la clôture du dossier individuel. L'usager pourra consentir, cependant, à recevoir une alerte qu'il aura choisie sur une échéance relative à son dossier ou à la formalité accomplie.
Sur l'information des personnes :
La commission estime que les droits d'accès, de rectification et de suppression des données prévus par les articles 38 à 40 de la loi du 6 janvier 1978 susvisée doivent porter sur l'ensemble des informations rattachées à une personne.
La commission demande, par ailleurs, que les mentions prévues par l'article 32 de la loi du 6 janvier 1978 susvisée figurent sur le portail « monservicepublic ».
Sur le chiffrement des données à caractère personnel et la traçabilité des actions menées sur le dispositif technique :
La commission prend acte du niveau actuel de sécurité du projet de portail « monservicepublic » mais attire l'attention de l'ADAE sur la nécessité de mener une réflexion sur le nécessaire chiffrement des données à caractère personnel contenues dans le dispositif, en particulier celles de l'espace de données.
La commission estime qu'afin de garantir les possibilités de contrôle et d'analyse du dispositif une politique de traçabilité doit être effectivement mise en place, en particulier s'agissant du stockage des données, de la suppression des comptes ouverts par les usagers sur le portail et des journaux des administrateurs systèmes ainsi que des sauvegardes.
Sur la durée de conservation des données :
La commission constate que l'Agence pour le développement de l'administration électronique (ADAE) conservera la liste des usagers du portail « monservicepublic » et de leurs login/mot de passe avec le numéro de liaison vers les sites fédérés par l'usager.
La commission considère que les comptes des usagers inutilisés devront être désactivés et les données effacées. Une durée maximale devra être fixée dans le cadre de la version définitive du projet.
La commission estime que la durée de conservation des sauvegardes devra être réduite à un mois de façon, en particulier, à ne pas conserver de façon indéfinie les liaisons établies par les usagers vers les différents sites partenaires.
La commission demande que l'ADAE lui fournisse les modalités exactes de l'anonymisation des données à caractère personnel, prévue, à des fins statistiques, après la fin de la durée de conservation de ces données.
Sur la nécessité d'un bilan :
La commission demande à l'Agence pour le développement de l'administration électronique (ADAE) de lui adresser un bilan précis de l'expérimentation, à son terme.