La direction générale de la modernisation de l'Etat (DGME) a saisi la Commission nationale de l'informatique et des libertés le 29 novembre 2010 d'une demande d'avis sur un projet d'arrêté modifiant l'arrêté du 18 juin 2009 portant création d'un téléservice dénommé « mon.Service-Public.fr » (MSP).
Les modifications apportées par cet arrêté portent sur la finalité du portail « mon.Service-Public.fr », sur les catégories de données susceptibles d'être traitées et sur les destinataires de ces données, ceci afin de permettre l'accès à de nouveaux téléservices de l'administration électronique.
Sur les finalités du traitement :
Le développement de l'offre de services en ligne proposés par les administrations ces dernières années a permis de faciliter de nombreuses démarches administratives pour l'usager. En contrepartie, l'augmentation des services à disposition rend leur gestion de plus en plus complexe pour l'usager : multiplication des comptes et des mots de passe associés, diversité des sites internet offrant ces services, etc.
Dans un souci de simplification du paysage de l'administration en ligne, « mon.Service-Public.fr », mis en place par l'arrêté du 18 juin 2009, se présente comme le cadre de référence permettant aux usagers d'accéder via un portail unique à un ensemble de téléservices et d'accomplir des démarches en ligne.
Le projet d'arrêté soumis à la commission modifie l'article 2 de l'arrêté du 18 juin 2009 relatif aux finalités du traitement « mon.Service-Public.fr » et ajoute une nouvelle finalité : « Mettre à disposition des usagers un ensemble de téléservices leur permettant d'accomplir leurs démarches administratives en ligne auprès des autorités compétentes (...) ».
L'ajout de cette nouvelle finalité permet de mettre à la disposition des usagers plusieurs téléservices (accessibles via des sites différents) et qui seront désormais raccordés à la plate-forme « mon.Service.Public.fr » (utilisation de cette seule adresse pour accéder à l'ensemble des téléservices).
Ainsi, le téléservice « serveur de formulaires » mis en œuvre par la DGME et ayant pour finalité de permettre l'accomplissement par les usagers de démarches administratives en ligne et d'assurer leur transmission électronique aux services administratifs (arrêté du 22 juillet 2007) sera désormais intégré à « mon-Service-Public.fr ». Il en est de même pour les téléservices « changement d'adresse en ligne » (arrêté du 16 mai 2005) et « demande de subvention » (arrêté du 9 novembre 2007) également mis en œuvre par la DGME.
La commission considère que l'ajout de cette nouvelle finalité est légitime. Elle relève cependant que le projet d'arrêté qui lui est soumis fait référence à un « ensemble de téléservices » sans en donner une liste précise et prend acte que cette liste sera accessible sur « mon.Service-Public.fr ».
Enfin, la commission rappelle que les conditions d'accès et d'utilisation de services par les usagers et l'administration demeurent inchangées. Elles sont définies par l'article 2 de l'arrêté du 18 juin 2009 pris après avis de la commission (délibération n° 2008-578 du 18 décembre 2008).
Sur les données traitées :
Le projet d'arrêté soumis à la commission insère un nouvel alinéa à l'article 3 de l'arrêté du 18 juin 2009 relatif à l'accomplissement des démarches administratives.
En premier lieu, cet alinéa prévoit que les catégories de données à caractère personnel enregistrées par « mon.Service-Public.fr » sont les suivantes : « les informations ou catégories d'informations à caractère personnel nécessaire à l'accomplissement des démarches administratives mentionnées à l'article 3 et prévues par un texte légal ou réglementaire ».
La commission considère qu'il serait préférable de parler de « données ou de catégories de données » à caractère personnel plutôt que « d'informations ».
Par ailleurs, si le projet d'arrêté n'énumère pas de façon exhaustive les données à caractère personnel enregistrées, il prévoit une double condition, ces données devant à la fois être « nécessaires à l'accomplissement des démarches administratives » et « prévues par un texte légal ou réglementaire ». En outre, il est prévu qu'une liste de ces données soit accessible via le site « mon.Service-Public.fr ».
En second lieu, le projet d'arrêté prévoit que « lorsque le traitement de données sensibles au sens de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée est nécessaire à l'accomplissement d'une démarche administrative en ligne, la confidentialité de ces données est particulièrement renforcée par des mesures techniques de sécurité supplémentaires ».
En effet, la commission avait appelé l'attention de la DGME sur la question de l'éventuel traitement de données sensibles, notamment relatives à la santé des personnes dans le cadre de l'accomplissement des démarches administratives. Parmi les démarches qui pourraient à terme être réalisées en ligne, figure par exemple la demande d'obtention ou de renouvellement de la carte de personne handicapée auprès des maisons départementales des personnes handicapées (MDPI-1), à l'occasion desquelles un certificat comportant des informations médicales détaillées est demandé à titre de pièce justificative.
La DGME a indiqué à la commission que, s'agissant des informations relevant de l'article 8 de la loi du 6 janvier 1978 modifiée, il n'était pas prévu de les exclure a priori, dans la mesure où elles peuvent être demandées dans le cadre de services offerts aux personnes, notamment handicapées.
Sur les destinataires des données :
En 2009, les partenaires de « mon.Service-Public.fr » étaient principalement issus de la sphère sociale (Caisse des dépôts et consignations, direction des retraites ; Caisse des dépôts et consignations, direction du développement du territoire ; Caisse nationale d'assurance vieillesse des travailleurs salariés ; Caisse centrale de la mutualité sociale agricole ; la Caisse nationale d'allocations familiales ; la Caisse nationale de l'assurance maladie des travailleurs salariés ; l'Agence centrale des organismes de sécurité sociale ; Pôle emploi).
La DGME a souhaité désormais élargir sont réseau de partenaires à toutes les administrations (ministères, organismes sociaux, collectivités territoriales, etc.) qui proposent des services en ligne nécessitant une authentification de l'usager et qui ont donc vocation à rejoindre mon.service-public.fr.
Ainsi, le projet d'arrêté soumis à la commission modifie l'article 4 de l'arrêté du 18 juin 2009 portant création du téléservice « mon.Service-Public.fr » qui prévoit que « les destinataires ou catégories de destinataires des informations enregistrées par le traitement sont les seules autorités légalement ou réglementairement habilitées à traiter les démarches administratives des usagers du téléservice ».
La commission relève que l'article 2 de l'arrêté précité prévoit que les partenaires ne peuvent se voir communiquer que les informations et documents dont ils ont à connaître en vertu d'un texte législatif ou réglementaire.
En outre, s'agissant de certains services comme le changement d'adresse, elle rappelle que le choix des destinataires ayant communication des données doit rester sous le contrôle exclusif de l'utilisateur.
Sur l'adhésion au téléservice « mon.Service-Public.fr » :
Afin de simplifier les démarches que les autorités administratives doivent accomplir en vue de leur raccordement au portail, la commission avait préconisé dans sa délibération n° 2008-578 du 18 décembre 2008 que l'arrêté portant création du téléservice « mon.Service-Public.fr » constitue un acte réglementaire unique au sens de l'article 27-111 de la loi du 6 janvier 1978 modifiée,
L'adhésion au téléservice « mon.Service-Public.fr » par les autorités administratives est ainsi subordonné à l'envoi préalable à la CNIL d'une déclaration faisant référence à l'arrêté du 18 juin 2009 modifié. Cette déclaration dite « de conformité à un acte réglementaire unique » s'effectue par téléprocédure sur le site internet de la CNIL.
La commission rappelle que l'arrêté du 18 juin 2009 ne couvre pas la mise en œuvre de traitements de données à caractère personnel propres à chaque autorité, qui restent soumis à l'accomplissement de formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 modifiée.
En outre l'adhésion au téléservice « mon.Service-Public.fr » par des autorités autres qu'administratives est également soumise à l'accomplissement de formalités préalables auprès de la commission.
Sur la sécurité et la confidentialité des données :
Le projet d'arrêté soumis à la commission et le dossier technique associé ne modifient pas les mesures de sécurité qui avaient été décrites par la DGME lors de l'examen du projet d'arrêté portant création du téléservice « mon.Service-Public.fr ». La commission renvoie par conséquent aux observations qu'elle avait formulées dans sa délibération n° 2008-578 du 18 décembre 2008.
Par ailleurs, la commission prend acte du fait que la DGME travaille en étroite collaboration avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) afin d'atteindre les niveaux de sécurité optimum préconisés par le référentiel général de sécurité (RGS).
Toutefois, en raison du risque d'utilisation à des fins frauduleuses de l'espace de stockage par des usagers peu scrupuleux se prévalant d'une garantie de l'administration sur les données stockées et en raison du nombre croissant d'usurpations d'identité, la commission souhaite appeler l'attention de la DGME sur les mesures à prendre afin que les données stockées dans cet espace (pièces d'identité notamment) ne puissent être considérées comme ayant été vérifiées par l'administration.
Sur la durée de conservation des informations :
Le projet d'arrêté soumis à la commission ajoute un nouvel alinéa à l'article 6 de l'arrêté du 18 juin 2009. Cet alinéa prévoit que les données personnelles saisies par l'usager lors de démarches administratives et transmises aux destinataires concernés sont conservées pendant une durée maximale de trente jours et sont détruites à expiration de ce délai.
Cette durée n'apparaît pas excessive et n'appelle pas d'observations de la part de la commission.
Sur les droits des personnes :
La commission constate, au vu des éléments du dossier, que les mentions d'information prévues par la loi du 6 janvier 1978 modifiée ont été intégrées sur le portail « mon.service-public.fr » dans les pages relatives aux conditions générales d'utilisation et aux questions fréquemment posées (FAQ).
Enfin, elle appelle l'attention de la DGME sur l'obligation de faire figurer les mentions d'information prévues à l'article 32 de la loi du 6 janvier 1978 modifiée sur chacune des pages contenant des formulaires de collecte de données à caractère personnel, notamment celles relatives à l'inscription au service ou à l'enregistrement d'informations personnelles dans l'espace de stockage.