Le ministère du budget, des comptes publics et de la fonction publique a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis sur un projet de décret en Conseil d'Etat pris en application de l'article 7 de l'ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, et d'une demande d'avis sur un projet d'arrêté portant création d'un téléservice dénommé « mon.service-public.fr » (MSP).
Ce projet d'arrêté constitue à la fois un texte d'application de certaines dispositions du projet de décret, concernant des aspects de l'espace de stockage de données mis à la disposition des usagers de l'administration, et un acte réglementaire portant création des traitements de données à caractère personnel mis en œuvre dans le cadre du portail « mon.service-public.fr », conformément aux dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités et les fonctionnalités :
L'article 2 du projet d'arrêté énonce que ce téléservice est la version personnalisée du site internet service-public.fr et a pour objet de mettre à la disposition des usagers un ensemble de services administratifs accessibles par internet. Les principales fonctionnalités de ce portail sont la personnalisation des contenus d'information, l'accès à partir d'un point central aux téléservices des administrations partenaires, la mise à disposition d'un espace de stockage permettant de conserver des informations personnelles ainsi que des documents et pièces justificatives, nécessaires à l'accomplissement de démarches administratives, la gestion d'échanges dématérialisés entre les usagers et les autorités administratives.
La commission rappelle que le développement de l'administration électronique doit avoir pour objectif de mettre en place des outils de simplification des démarches administratives et d'amélioration des relations entre les usagers et l'administration, sans que ces outils soient exclusifs d'autres canaux d'échanges. A ce titre, elle relève qu'il n'apparaît pas dans le projet qui lui est soumis de volonté de faire du portail « mon.service-public.fr » un dispositif obligatoire pour les usagers, et que le projet d'arrêté précise bien le caractère facultatif de son utilisation.
Concernant l'espace de stockage de données accessible en ligne, la commission a estimé dans ses précédents avis que l'institution d'une telle fonctionnalité supposait de définir précisément ses conditions exactes d'accès et d'utilisation par l'usager et par l'administration, ainsi que les contraintes en termes de sécurité.
La commission se félicite que l'utilisation de l'espace de stockage, tout comme l'inscription à « mon.service-public.fr », soit présentée comme une simple faculté offerte à l'usager. Elle se félicite également que toutes les opérations effectuées sur l'espace personnel de stockage (dépôt et conservation de documents, transmission d'informations ou de pièces dématérialisées utiles à l'accomplissement des démarches administratives) soient à l'initiative et sous le contrôle de l'usager. Elle estime néanmoins que le projet d'arrêté devrait préciser que seul l'usager peut accéder aux données contenues dans son espace personnel de stockage.
Contrairement à ce que prévoit le projet d'arrêté, qui dispose que l'espace de stockage « est ouvert et clos [à la demande de l'usager] », la commission relève que cet espace est automatiquement créé pour chaque utilisateur qui ouvre un compte MSP et que celui-ci a seulement la possibilité de le désactiver s'il ne souhaite pas utiliser cette fonctionnalité. Elle considère dès lors que le projet d'arrêté devrait indiquer que « l'utilisation de l'espace de stockage est placée sous le contrôle et la responsabilité de son titulaire, qui peut le désactiver à tout moment ». Elle estime que l'usager devrait être parfaitement informé de cette possibilité de désactivation qui garantit qu'aucune information ne pourra plus être enregistrée dans cet espace ou transmise à des autorités administratives.
La commission souligne qu'en l'état actuel du dispositif les autorités administratives ne peuvent pas s'échanger entre elles des documents ou informations contenues dans l'espace personnel de l'usager, y compris avec le consentement de celui-ci.
Elle rappelle que toute évolution en ce sens devrait lui être préalablement soumise.
Elle souligne par ailleurs, concernant les alertes qui peuvent être reçues par les usagers sur le suivi de leurs dossiers, que le portail « mon.service-public.fr » ne devrait pas conduire à un suivi des situations individuelles des usagers, au-delà de l'information sur l'enregistrement, le déroulement ou la clôture d'un dossier individuel.
Sur la sécurité et la confidentialité :
La commission rappelle que, dans sa délibération du 8 décembre 2005 susvisée, elle a pris acte que les numéros permettant de relier le portail « mon.service-public.fr » aux sites partenaires choisis par les usagers seraient des chaînes de caractères alphanumériques aléatoires et non signifiantes, permettant seulement de faire le lien entre les téléservices, sans que le système technique MSP ne puisse avoir connaissance des identifiants sectoriels des usagers. Elle constate que « mon.service-public.fr » d'aboutit pas à un regroupement d'identifiants sectoriels autour d'un identifiant commun, et que le projet n'a pas pour objectif ni pour conséquence de créer un identifiant administratif national.
Elle estime toutefois que cette question, fondamentale au regard des grands principes de la loi du 6 janvier 1978 modifiée, devrait être garantie par les textes et non pas seulement par des mesures techniques, et que le principe de la fédération volontaire d'identité devrait être explicité. Elle demande ainsi que le projet d'arrêté portant création du portail « mon.service-public.fr » énonce expressément que le dispositif, bien que créant un lien sous le contrôle de l'usager entre différents identifiants sectoriels, ne doit pas conduire à la création d'un « identifiant administratif unique » des usagers.
Conformément aux dispositions du décret, l'article 2 du projet d'arrêté précise les modalités d'accès aux fonctionnalités proposés par le portail « mon.service-public.fr ».
La commission observe que le seul procédé d'identification mentionné est le couple « identifiant et mot de passe » choisis par l'usager. Or, le dossier qui lui a été présenté fait état de deux autres modes d'authentification le « challenge SMS », qui consiste à utiliser le téléphone portable de l'usager pour l'envoi d'un code d'accès au portail, et le certificat électronique. Quand bien même ce dernier procédé ne sera pas disponible à l'ouverture du service, la commission considère que l'arrêté devrait viser l'ensemble des outils d'identification, en précisant que le choix de l'un ou l'autre de ces procédés est laissé à l'usager, sauf dans les cas où une fonctionnalité ou un service requiert un mode particulier d'authentification (par exemple par certificat électronique). Sur ce point, elle attire l'attention de l'administration sur le fait que lorsqu'un téléservice nécessite, de par sa nature ou sa sensibilité particulière, une authentification forte de l'usager, ce besoin ne doit pas conduire à une généralisation de ce niveau d'authentification à l'ensemble des téléservices et fonctionnalités offertes par le portail.
Le projet d'arrêté indique que le dispositif est mis en œuvre « dans un environnement sécurisé », sans autre précision sur les mesures de sécurité mises en œuvre. La commission estime que l'arrêté devrait préciser la nature de ces mesures de sécurité, telles que le chiffrement de l'ensemble des données à caractère personnel et des communications avec les partenaires, ainsi que la traçabilité des accès et des transmissions de données.
La commission se félicite néanmoins au vu du dossier technique qu'aient été prises en compte ses recommandations sur la nécessité de prévoir un chiffrement des données à caractère personnel et constate que le dispositif MSP présente un niveau de sécurité globalement satisfaisant. Elle observe toutefois que ce niveau de sécurité dépendra également des mesures propres aux téléservices mis en œuvre par chaque partenaire.
Sur les données à caractère personnel enregistrées :
L'article 3 du projet d'arrêté énumère les catégories de données à caractère personnel enregistrées, en distinguant celles nécessaires pour la gestion de l'accès au portail « mon.service-public.fr » et celles relatives à l'utilisation de l'espace personnel de stockage.
Concernant les informations nécessaires pour la gestion de l'accès au portail, la commission observe que sont visés le numéro de téléphone portable de l'usager ainsi que le certificat électronique, alors même que ces deux modes d'authentification ne sont pas pris en compte par l'article 2. Elle demande donc que ces deux articles soient mis en cohérence dans l'arrêté.
En outre, elle considère que le texte devrait également viser, concernant les données traitées dans le cadre de la liaison de comptes, les clés de fédération ou « alias » qui permettent d'établir les liens entre MSP et les téléservices partenaires. Elle suggère qu'un alinéa soit ajouté à l'article 3 de l'arrêté, après celui concernant « la gestion de l'accès au téléservice », et qui pourrait être ainsi rédigé : « Pour la liaison des comptes des téléservices partenaires à celui de "mon.service-public.fr” : les clés de fédération ou "alias”, générés par le système à la demande de l'usager pour permettre d'établir les liens entre les différents comptes. »
Concernant l'utilisation de l'espace de stockage, la commission avait appelé l'attention de l'ADAE, dans sa délibération du 8 décembre 2005 susvisée, sur la nécessité de s'assurer de la proportionnalité des informations enregistrées dans cet espace personnel au regard des téléservices partenaires effectivement accessibles. Elle estime que l'arrêté devrait préciser, concernant « la partie relative aux informations personnelles de l'usager », qui s'agit des informations servant au préremplissage des formulaires dans le cadre de l'utilisation des téléservices partenaires. Sur la nature de ces informations, la commission constate qu'elles sont limitées à l'état civil et aux coordonnées de l'usager, et que celui-ci est libre de renseigner tout ou partie seulement de ces informations.
La commission observe que seront également conservées dans l'espace de stockage les données à caractère personnel contenues dans les documents et pièces justificatives qui y seront déposés, par l'usager lui-même ou à sa demande par les administrations partenaires.
Sur les destinataires :
L'article 4 du projet d'arrêté énumère les destinataires habilités à recevoir communication de certaines données, à l'initiative de l'usager et à raison de leurs attributions respectives. La commission relève que l'article 2 du projet d'arrêté prévoit que « les partenaires ne peuvent se voir communiquer par le biais de cet espace que les informations et documents dont ils ont à connaître en vertu d'un texte législatif ou réglementaire ».
La commission prend acte que la liste des destinataires est appelée à être complétée à mesure que de nouvelles administrations souhaiteront se raccorder au portail « mon.service-public.fr », et qu'elle sera saisie pour avis des modifications consécutives de l'arrêté.
Afin de simplifier les démarches que les partenaires du dispositif doivent accomplir en vue de leur raccordement au portail, la commission considère que l'arrêté portait création du téléservice « mon.service-public.fr » pourra constituer un acte réglementaire unique au sens de l'article 27-III de la loi du 6 janvier 1978 modifiée, et que chaque nouvelle administration partenaire pourra ainsi effectuer une déclaration de conformité à cet arrêté.
Toutefois, elle attire d'attention de la DGME et des administrations intéressées sur le fait que l'arrêté portant création du portail « mon.service-public.fr » ne peut en aucun cas couvrir les téléservices de chaque administration partenaire, qui répondent à des finalités propres liées aux missions et compétences de chacune, et dont les traitements ne sont pas décrits dans le projet d'arrêté soumis à la commission.
Pour une meilleure visibilité des administrations sur la manière dont elles pourront s'acquitter de leurs obligations au titre des formalités préalables requises par la loi du 6 janvier 1978 modifiée, la commission propose que l'arrêté soit complété d'un article expliquant ces formalités, et qui pourrait être rédigé comme suit : « L'adhésion par les administrations partenaires au portail "mon.service-public.fr” est subordonnée à l'envoi préalable à la Commission nationale de l'informatique et des libertés, en application du III de l'article 27 de la loi du 6 janvier 1978 susvisée, d'une déclaration faisant référence au présent arrêté. Cette déclaration dite "de conformité à un acte réglementaire unique” s'effectue par téléprocédure sur le site internet de la CNIL. Toutefois, cette déclaration ne couvre pas la mise en œuvre des traitements de données à caractère personnel liés aux téléservices propres de chaque administration, qui restent soumis à l'accomplissement des formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 modifiée. »
Sur la durée de conservation des informations :
La commission a considéré dans sa délibération du 8 décembre 2005 susvisée que les comptes des usagers inutilisés devraient être désactivés et les données effacées, et a demandé qu'une durée maximale de conservation soit fixée dans la version définitive du projet.
Elle attire l'attention de la DGME sur la contradiction contenue dans l'article 5 du projet d'arrêté, qui précise que « sans intervention de l'utilisateur ces documents et informations sont conservées sans limitation de durée », alors que l'alinéa suivant prévoit que « sans utilisation par l'usager de son espace de stockage pendant une durée de 36 mois, le contenu de celui-ci est détruit sans délai ».
S'agissant de la durée de conservation de l'ensemble des données et documents personnels de l'usager, en l'absence de toute connexion de celui-ci à son compte MSP, la commission a bien noté que celle-ci répond à l'objectif de permettre à l'usager de récupérer dans son espace personnel des informations ou documents, qui peuvent être des pièces justificatives déposées par une administration à l'issue d'une démarche effectuée en ligne, le temps qui correspond à la durée moyenne de prescription en matière de procédures administratives.
Cependant, la commission considère que les usagers doivent être préalablement informés de la destruction prochaine, le cas échéant, de leurs données et documents, et qu'il convient en conséquence de mettre en place un système d'alerte, par courriel, SMS ou courrier postal en fonction des informations fournies par l'usager lors de son inscription au service.
L'article 5 de l'arrêté pourrait dès lors être rédigé de la façon suivante : « Les informations contenues dans l'espace de stockage sont gérées directement par l'utilisateur. Il peut choisir de les modifier ou de les supprimer librement. En l'absence de connexion de l'usager à son compte USP pendant une durée de 36 mois, celui-ci est fermé et l'ensemble de son contenu détruit. Deux messages d'information sont au préalable envoyés à l'usager respectivement 1 an et 2 mois avant la suppression du compte. »
Sur les droits des personnes :
La commission constate, au vu des éléments du dossier, que les mentions d'information prévues par la loi du 6 janvier 1978 modifiée ont été intégrées sur le portail « mon.service-public.fr » dans les pages relatives aux conditions générales d'utilisation et aux questions fréquemment posées (FAQ). Néanmoins, elle estime que certaines informations contenues dans les conditions générales d'utilisation devraient être mises en conformité avec les dispositions réglementaires fixant les règles de fonctionnement du service, notamment en ce qui concerne les modalités selon lesquelles les administrations peuvent déposer, après autorisation expresse de l'usager, des informations dans l'espace personnel de stockage, et sur la suppression des données lors de la fermeture du compte.
Enfin, elle attire l'attention de la DGME sur l'obligation de faire figurer les mentions d'information prévues à l'article 32 de la loi du 6 janvier 1978 modifiée sur chacune des pages contenant des formulaires de collecte de données à caractère personnel, notamment celles relatives à l'inscription au service ou à l'enregistrement d'informations personnelles dans l'espace de stockage.