La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté autorisant la création d'un système de téléservice destiné à la prédemande de titres officiels,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la route, notamment ses articles R. 221-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11 (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur de trois demandes d'avis portant sur un unique projet d'arrêté autorisant la création d'un système de téléservices destinés à la prédemande de titres officiels. Ce système contient trois traitements devant permettre aux usagers de créer un compte afin de formuler des prédemandes de permis de conduire et de passeport, de façon dématérialisée, et de suivre l'avancement de leur demande.
Dans la mesure où ce système relatif aux prédemandes de titres officiels, mis en œuvre pour le compte de l'Etat, met à disposition des usagers des téléservices de l'administration électronique, il relève des dispositions de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
Le ministère a indiqué que la prédemande de passeport en ligne donnerait lieu, avant sa généralisation au plan national, à une expérimentation dans une dizaine de départements pilotes. La commission n'a pas d'opposition de principe à la mise en œuvre de cette expérimentation, qui ne nécessite pas d'être expressément prévue par le projet d'arrêté. Elle demande néanmoins à être informée des évolutions du traitement que le bilan de cette expérimentation pourrait impliquer.
Sur les finalités du traitement et le fonctionnement du téléservice :
Les traitements ont pour finalité de permettre aux usagers de créer un compte sur le site de l'Agence nationale des titres sécurisés (ANTS) leur permettant de remplir, en ligne, les formulaires dématérialisés de demande de permis de conduire et de passeport. Ces téléservices facultatifs offrent ainsi une alternative aux formulaires papier destinés au recueil des données nécessaires à l'enregistrement et à l'instruction de ces demandes. Ils concernent toutefois le seul recueil des données actuellement relevées par voie de formulaire CERFA. Il n'est en effet pas prévu de dématérialiser les pièces justificatives qui demeurent fournies par l'usager, au format papier, lors de sa présentation au guichet.
En ce qui concerne le fonctionnement des téléservices, l'usager doit se connecter sur le site de l'ANIS et créer un compte afin d'accéder aux prédemandes de titres officiels. Pour ce faire, il choisit un identifiant de connexion et reçoit, par courriel, un mot de passe composé de huit caractères, comportant nécessairement des lettres en minuscules et en majuscules et des chiffres. L'usager peut par la suite modifier ce mot de passe.
Le compte permet à l'usager de fournir, d'une part, les différentes informations nécessaires à l'instruction des demandes de titres précités, à leur production et acheminement et, d'autre part, les coordonnées permettant de le tenir informé de l'avancement du processus de délivrance du titre. L'usager reçoit en effet des messages de suivi de la fabrication de son titre.
Une fois son compte créé, l'usager peut formuler différentes prédemandes sans avoir à en recréer un. Il peut ainsi procéder à une demande de renouvellement de son passeport quelques mois après avoir formulé une prédemande de permis de conduire.
L'usager renseigne toutes les donnees nécessaires à la demande du titre souhaité ou peut bénéficier de la fonction facultative de préremplissage des formulaires de prédemandes. Une fois la prédemande de titre en ligne validée, le demandeur reçoit un courriel et un SMS, récapitulant sa prédemande.
Il doit ensuite se présenter personnellement auprès de l'administration compétente pour déposer son dossier complet comprenant le récapitulatif de sa prédemande imprimé, sur lequel sera collée sa photographie, sauf si celle-ci a déjà été communiquée par voie électronique dans le cadre de la prédemande de permis de conduire, ainsi que les pièces justificatives et, le cas échéant, les timbres.
L'agent en charge du traitement de la demande de titre a accès aux données saisies par l'usager grâce au scan du QR-code figurant sur le récapitulatif de la prédemande ou en saisissant le numéro d'enregistrement de celle-ci.
Cette transmission informatisée des données saisies en ligne par l'usager à l'administration doit permettre d'éviter les erreurs de reconnaissance de caractère qui peuvent exister lorsque le formulaire papier est scanné. En outre, les prédemandes dématérialisées doivent permettre de réduire le temps d'attente au guichet.
En tout état de cause, l'agent peut procéder à des modifications si une donnée est erronée. Le dépôt du dossier auprès de l'administration permet ainsi une dernière vérification des données saisies.
La commission rappelle qu'elle a toujours considéré que la simplification des démarches administratives et l'amélioration des relations entre les administrés et l'administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
Elle observe en outre que le caractère facultatif des téléservices assure l'expression du consentement des intéressés au traitement, conformément aux dispositions de l'article 7 de la loi du 6 janvier 1978 modifiée.
La commission considère dès lors que les finalités des traitements projetés sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données à caractère personnel traitées :
Afin de permettre la création et la gestion du compte, sont enregistrés :
- le nom de naissance, le premier prénom et le sexe de l'usager ;
- l'identifiant de connexion choisi par l'usager et son mot de passe ;
- le numéro de téléphone portable et l'adresse électronique ;
- une question secrète et la réponse à celle-ci.
Si l'usager souhaite utiliser la fonction de préremplissage des formulaires, il doit en outre indiquer son nom d'usage, ses dates et lieu de naissance, son adresse postale.
En ce qui concerne les prédemandes de permis de conduire, sont enregistrées des données relatives à :
- l'identité du demandeur : nom de famille, le cas échéant, nom d'usage, prénoms, date et lieu de naissance, photographie ;
- ses coordonnées : adresse postale, numéro de téléphone portable, adresse électronique ;
- le numéro de sa prédemande et sa signature numérisée.
En ce qui concerne les prédemandes de passeport, sont enregistrées des données relatives à :
- l'identité du demandeur du titre : nom de famille, le cas échéant, nom d'usage autorisé par la loi, prénoms, date et lieu de naissance, sexe, couleur des yeux, taille, raisons qui fondent la nationalité, choisies parmi une liste exhaustive, domicile, nom, prénoms, nationalité, date et lieu de naissance des parents ; l'identité de son représentant légal, lorsque le demandeur du passeport est mineur ;
- ses coordonnées (numéro de téléphone portable, courriel) ;
- le motif de sa demande et le numéro de sa prédemande.
La commission prend acte que lorsque la prédemande de passeport concerne un mineur, les données relatives aux coordonnées de l'usager et permettant de suivre l'instruction du dossier sont celles du représentant légal qui effectue la démarche.
Le ministère a précisé que les numéros de téléphone portable et adresses électroniques sont indispensables pour la création d'un compte usager dès lors qu'ils sont demandés, comme élément de vérification, en cas d'oubli du mot de passe.
Ces données sont nécessaires à la création d'un compte, à la gestion des prédemandes des titres concernés par le téléservice ainsi qu'au suivi de leur avancement et sont dès lors conformes à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation :
Les données enregistrées pour les prédemandes de permis de conduire et de passeport sont conservées pendant six mois à compter de la validation de la prédemande. A l'issue de ce délai, elles sont effacées de la plate-forme. Le ministère a indiqué que cette durée de conservation était nécessaire en cas de contentieux avec l'administration.
Les données enregistrées pour la création et la gestion de l'accès au compte, ainsi que, le cas échéant, pour le préremplissage des formulaires de prédemandes, sont conservées trente-six mois après la dernière connexion de l'usager à son compte. En effet, si l'usager ne se connecte pas à son compte pendant une durée de trente-six mois consécutifs, le compte est fermé et l'ensemble des données à caractère personnel est supprimé. Préalablement à une telle fermeture, l'usager reçoit, par courriel, deux messages d'information aux échéances suivantes : un an puis deux mois avant la suppression du compte.
Cette durée de conservation de trente-six mois permet à un usager de procéder à différentes prédemandes sans avoir saisir à nouveau ses données.
En toute hypothèse, l'usager peut, à tout moment, fermer son compte, ce qui entraîne alors la suppression des données et informations le concernant. En revanche, la fermeture du compte ne remet pas en cause les prédemandes de titres validées en ligne mais rend seulement inaccessible la consultation de leur avancement de manière dématérialisée.
Ces durées de conservation n'appellent pas d'observations particulières de la commission.
Sur les accédants et les destinataires :
S'agissant des prédemandes de permis de conduire, seuls les agents des services préfectoraux en charge de l'instruction des demandes de permis de conduire, les agents de la direction départementale interministérielle en charge de l'examen du permis de conduire, les agents du service du système national des permis de conduire (SNPC), les agents de l'Agence nationale des titres sécurisées ont accès, dans la limite de leurs attributions, aux données collectées auprès des demandeurs.
Par ailleurs, le projet d'arrêté prévoit qu'ont seuls accès aux données enregistrées pour les prédemandes de passeport, à raison de leurs attributions et dans la limite du besoin d'en connaître, les agents des mairies en charge du recueil des demandes de passeport, les agents des services centraux déconcentrés du ministère de l'intérieur et du ministère des affaires étrangères chargés de l'application de la réglementation relative aux passeports et les agents de l'ANTS.
L'accès de ces personnels en charge de l'instruction des demandes de permis de conduire et de passeport n'appelle pas d'observations particulières.
Sur les droits des personnes :
La plate-forme de l'ANTS permettant de formuler des prédemandes de titres officiels vient renforcer l'offre de téléservices du ministère de l'intérieur dont l'utilisation est facultative. La commission considère qu'afin que le consentement des personnes concernées reste libre et éclairé le ministère devra continuer de mettre à disposition des usagers qui ne seraient pas en capacité d'accéder au téléservice proposé, ou qui ne souhaiteraient pas l'utiliser, un autre moyen d'accès aux demandes de titres concernés.
L'information des personnes est assurée par une mention figurant sur le site intemet de prédemande de titres de l'ANTS, dans la rubrique « mentions légales ». Cette même mention est portée à la connaissance de l'usager lors de la création d'un compte. En outre, le récapitulatif de prédemande généré sous format PDF et le récépissé de demande une fois le dossier complet déposé comportent une mention relative au droit d'accès.
La commission relève que la mention générale indiquée par le ministère ne fait pas état de la finalité poursuivie par le traitement ni des destinataires des données. Elle recommande dès lors que cette mention soit complétée en ce sens.
Le projet d'arrêté précise que, pour les opérations qui ne pourraient pas être réalisées directement par l'usager, les droits d'accès et de rectification s'exerceront auprès de l'ANTS.
En ce qui concerne le droit d'opposition, le téléservice étant facultatif et le compte de l'usager pouvant en outre être fermé à tout moment, ce droit peut s'exercer dans les conditions prévues à l'article 38 de la loi du 6 janvier 1978 modifiée.
Sous réserve des précédentes observations, la commission considère que ces modalités d'exercice des droits des personnes sont satisfaisantes.
Sur les mesures de sécurité :
A titre liminaire, la commission rappelle que, conformément à l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, la conformité du système de téléservices de prédemandes de titres officiels au référentiel général de sécurité (RGS) doit être assurée avant sa mise en œuvre. Le responsable de traitement doit mentionner cette conformité au RGS sur le site permettant l'accès au téléservice.
Le ministère a précisé que les mots de passe attribués aux usagers étaient composés de huit caractères, comportant nécessairement des lettres en minuscules et en majuscules et des chiffres. Il n'a toutefois pas indiqué si, lorsque l'usager modifie ce mot de passe, les mêmes règles lui sont imposées.
A cet égard, la commission rappelle qu'une politique de sécurisation des mots de passe satisfaisante doit imposer le recours à des mots de passe disposant d'un minimum de huit caractères, composés de trois types de caractères parmi les minuscules, majuscules, chiffres ou caractères spéciaux. Elle doit également imposer à l'utilisateur et au personnel de renouveler régulièrement son mot de passe et prévoir le verrouillage, au moins temporaire, après un certain nombre de tentatives d'accès infructueuses. Enfin, les mots de passe ne doivent pas être stockés en clair dans un fichier ou dans une base de données.
En ce qui concerne les personnels, leurs accès sont autorisés de façon nominative. L'authentification se fait au moyen de certificat logiciels « client » et les accès à l'application sont tracés.
L'accès des usagers à la plate-forme est sécurisé au moyen du protocole HTTPS. La commission souligne l'importance de se conformer à l'état de l'art, notamment en ne supportant plus les versions de « Secure Sockets Layer » (SSL), et en préférant la ou les versions de « Transport Layer Security » (TLS) les plus à jour possible. Elle recommande également de mettre en œuvre les recommandations techniques relatives à la sécurité des sites internet publiées par l'ANSSI dans une note technique « recommandations pour la sécurisation des sites web ».
Les données du compte usager sont automatiquement supprimées après trente-six mois d'inactivité du compte.
La commission relève enfin que la sécurité physique des locaux et équipements hébergeant le traitement suivent les bonnes pratiques actuelles.
Les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.