Articles

Article AUTONOME (Délibération n° 2016-111 du 21 avril 2016 portant avis sur un projet de décret autorisant les téléservices tendant à la mise en œuvre du droit des usagers de saisir l'administration par voie électronique (demande d'avis n° 1938305))

Article AUTONOME (Délibération n° 2016-111 du 21 avril 2016 portant avis sur un projet de décret autorisant les téléservices tendant à la mise en œuvre du droit des usagers de saisir l'administration par voie électronique (demande d'avis n° 1938305))


La Commission nationale de l'informatique et des libertés,
Saisie par le secrétariat général pour la modernisation de l'action publique (SGMAP), pour le compte du Premier ministre, d'une demande d'avis concernant un projet de décret autorisant les téléservices tendant à la mise en œuvre du droit des usagers de saisir l'administration par voie électronique (SVE),
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des relations entre le public et l'administration ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le II (4°) et le III de son article 27 ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'ordonnance n° 2014-1330 du 6 novembre 2014 relative au droit des usagers de saisir l'administration par voie électronique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2015-1404 du 5 novembre 2015 relatif au droit des usagers de saisir l'administration par voie électronique ;
Vu l'arrêté du 4 juillet 2013 autorisant la mise en œuvre par les collectivités territoriales, les établissements publics de coopération intercommunale, les syndicats mixtes, les établissements publics locaux qui leur sont rattachés ainsi que les groupements d'intérêt public et les sociétés publiques locales dont ils sont membres de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d'un ou de plusieurs téléservices de l'administration électronique ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le secrétariat général pour la modernisation de l'action publique (SGMAP), pour le compte du Premier ministre, d'une demande d'avis concernant un projet de décret autorisant les téléservices tendant à la mise en œuvre du droit des usagers de saisir l'administration par voie électronique (SVE).
Ce projet de décret vise à permettre l'application de l'ordonnance n° 2014-1330 du 6 novembre 2014 susvisée, qui a instauré un droit pour les usagers de saisir toute administration par voie électronique, dorénavant codifié à l'article L. 112-8 du code des relations entre le public et l'administration (CRPA).
Ce type de saisine peut donner lieu à la mise en œuvre, par les administrations concernées, de téléservices susceptibles de porter sur des données parmi lesquelles figure un identifiant de personne physique et relevant dès lors des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Afin de faciliter la mise en œuvre de ces téléservices, le présent projet de décret a vocation à constituer un acte réglementaire unique, au sens de l'article 27-III de la loi « Informatique et Libertés » (désigné ci-après « ARU » ou « RU »), qui permettra la mise en œuvre de différents types de téléservice « SVE » par les administrations saisies à l'initiative des usagers par voie dématérialisée. En application desdites dispositions, ce projet de décret doit être pris après avis motivé et publié de la commission.
Sur les finalités et les fonctionnalités des traitements
L'article ler du projet de décret prévoit que les traitements SVE ont pour finalité la mise à disposition d'un ou plusieurs téléservices.
Plus précisément, il s'agit d'autoriser les services de l'Etat et les établissements publics administratifs (EPA) à mettre en œuvre les traitements automatisés permettant leur saisine par voie électronique (SVE) afin que les usagers puissent effectuer des démarches administratives de toutes natures, y joindre, le cas échéant, des pièces justificatives et obtenir une réponse par voie électronique. Cette obligation d'offrir un SVE peut être satisfaite par différents types de dispositifs qui peuvent recouvrir trois formes principales : la simple mise à disposition d'une adresse de messagerie électronique dédiée à recevoir les envois du public ; la création d'un formulaire de contact générique ou dédié, renseigné en ligne et transmis par un canal spécifique ; la mise en œuvre d'une téléprocédure dédiée à l'accomplissement de certaines démarches.
L'acte réglementaire unique a vocation à encadrer les procédures « de toutes natures », comme l'accès à des renseignements, la communication de documents administratifs ou d'informations publiques, les agréments liés à la pratique d'une activité ou encore une demande d'obtention de permis de conduire, effectuées à l'initiative de l'usager, qu'il agisse à titre personnel, professionnel ou associatif.
Néanmoins, certaines procédures peuvent, « pour des motifs d'ordre public, de défense et sécurité nationale, de nécessité de comparution personnelle de l'usager ou de bonne administration, notamment pour prévenir les demandes abusives », être exclues de cette dématérialisation par décret en Conseil d'Etat, conformément à l'article L. 112-10 du CRPA.
De même, le présent projet de décret ne concerne pas les téléservices « SVE » susceptibles d'être mis en œuvre par les collectivités territoriales ou leurs groupements ainsi que par les organismes sociaux. Les traitements mis en œuvre par ces catégories de responsables seront encadrés par des actes réglementaires distincts, qui devront nécessairement s'articuler avec les cadres juridiques existants en la matière, et notamment l'arrêté du 4 juillet 2013 susvisé. Il n'est actuellement pas prévu que les téléservices « SVE » mis en œuvre par les autorités administratives indépendantes (AAI) soient encadrés par un tel acte réglementaire unique.
La commission rappelle qu'elle a toujours considéré que la simplification des démarches administratives et l'amélioration des relations entre les administrés et l'administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
A cet égard, elle rappelle que les conditions de SVE et les obligations afférentes incombant aux administrations sont précisément encadrées par les dispositions du CRPA ainsi que par le décret n° 2015-1404 du 5 novembre 2015 susvisé. Lesdites dispositions prévoient notamment les modalités des notifications et des accusés d'enregistrement et de réception électroniques, ainsi que l'absence de refus exprès de l'usager quant à la réception d'une réponse de l'administration par voie électronique ou encore le recueil préalable de l'accord exprès de l'usager quant à recevoir la notification d'un document en utilisant un procédé électronique.
Le « choix des services et des établissements concernés », mentionné au dernier alinéa de l'article 1er du projet de décret, quant aux modalités de réponse par la voie électronique à une SVE, doit dès lors s'inscrire dans ce cadre juridique.
Ainsi, la commission rappelle que les responsables de traitement SVE doivent prévoir les modalités pratiques de nature à mettre l'usager en capacité d'exprimer ses choix.
Elle estime en outre que le caractère facultatif de l'usage de l'usage de ces SVE devrait être clairement indiqué aux internautes, dès la page d'accueil du dispositif, de même que les modalités pratiques permettant d'effectuer une démarche analogue sans recourir à la SVE. Il serait également opportun de renvoyer l'usager vers les lieux de médiation numérique afin de lui permettre d'appréhender les modalités d'usage de l'outil de saisine électronique.
A titre général, la commission rappelle que les traitements mis en œuvre à des fins de simplification des démarches des usagers doivent être limités aux données strictement nécessaires à l'accomplissement des démarches administratives et, en particulier, que l'accès à une information générale qui peut être mise à disposition de tout internaute ne doit pas être subordonnée à une identification d'un usager. De même, elle estime que le développement de l'administration électronique ne passe pas nécessairement et ne doit pas conduire à la création d'un identifiant unique des administrés et que les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de la démarche initiée par l'usager.
Dans ces conditions, la commission estime que ces finalités sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Dans la continuité des efforts de rationalisation en matière de points d'accès aux services publics dématérialisés, elle recommande, outre l'accès à partir des pages d'accueil des sites internet des services ministériels et des EPA, que l'ensemble de ces administrés puisse également avoir accès à ces téléservices SVE depuis le site « service-public.fr ». Cette consultation doit pouvoir intervenir sans que l'internaute soit identifié ou que des données le concernant soient traitées.
Sur les catégories de données traitées
L'article 2 du projet de décret énumère les données à caractère personnel enregistrées ou traitées dans les téléservices SVE mis en œuvre par une administration. Par définition, il s'agit de l'ensemble des données que communiqueront les usagers lors de la validation de leur saisine par voie électronique.
Il distingue cinq catégories selon que les données sont relatives aux usagers agissant à titre particulier, associatif ou professionnel, ainsi qu'à la traçabilité des accès des agents des autorités administratives concernées.
Dans les quatre premiers cas, les données sont relatives :


- à l'identification du demandeur ou de l'agent, qui peuvent donc varier en fonction de l'identité sous laquelle l'usager effectue la démarche (pour l'usager particulier : état civil, coordonnées de toute nature, éléments d'identification administrative ou professionnelle ; pour l'usager professionnel : identité juridique et administrative de l'entreprise et de l'établissement principal, informations civiles et statutaires sur le représentant légal de l'entreprise et sur l'auteur de la saisine, coordonnées utiles ; pour les associations : identification juridique et administrative de l'association et de son représentant légal, de l'auteur de la saisine agissant au nom de l'association ; pour les personnels et agents : identifiant de leur auteur, date, heure et objet de l'opération tracée lors de consultation, création, modification ou suppression de données) ;
- à l'objet et aux références de la saisine ;
- aux informations relatives aux connexions et accès au téléservice.


S'agissant des données d'état civil relatives aux personnes physiques, la commission relève que seuls les dates et lieux de naissance sont mentionnés, quel que soit le motif pour lequel la SVE est effectuée. Il en va de même des données relatives au statut de l'entreprise ou de l'association, qui ne retiennent que les dates de création de l'entité sans évoquer, par exemple, les éventuelles radiations, interdictions de gérer ou suspensions d'agrément. Dans la mesure où le traitement de données relatives à d'autres événements de la vie civile, professionnelle ou associative pourrait être pertinent dans le cadre de certaines saisines, le décret serait utilement modifié afin de prévoir également la collecte des dates et lieux de l'ensemble des événements liés à l'état civil des personnes physiques ainsi que les catégories de données liées aux éventuelles évolutions statutaires des entreprises ou des associations.
Le II de l'article 2 du projet de décret mentionne la possibilité de traiter des données « sensibles » au sens de l'article 8 de la loi « Informatique et Libertés » « soit parce que ces données sont directement en lien avec la saisine initiée, soit parce que l'auteur de la saisine a souhaité joindre à son dossier des précisions relevant de cette catégorie de données ».
A cet égard, la commission estime que le renseignement d'un formulaire, à la seule initiative de l'usager, et la validation de sa saisine suffisent, sous réserve que celui-ci soit clairement informé des conditions de traitement de ses données à caractère personnel, à caractériser le consentement exprès et non ambigu de l'usager au traitement de données le concernant relevant de l'article 8 de la loi précitée.
En outre, dans la mesure où les usagers pourront communiquer à leur initiative des données qu'ils considèrent en rapport avec leur saisine, la commission estime que le projet de décret devrait également être complété pour mentionner la collecte et le traitement de données de l'article 9 de la loi du 6 janvier 1978 modifiée.
La commission prend acte que les données mentionnées à l'article 2 ne sont pas toutes obligatoires. Elle rappelle à cet égard que, conformément aux dispositions des 3° et 4° de l'article 32-I de la loi du 6 janvier 1978 modifiée, les intemautes devront être informés du caractère obligatoire ou facultatif des renseignements à fournir pour une SVE et des conséquences éventuelles d'un défaut de réponse.
En tout état de cause, la commission estime que le projet de décret devrait être modifié afin de rappeler expressément que les données traitées pour l'accomplissement des différentes saisines par voie électronique sont celles strictement nécessaires à chaque démarche initiée par l'internaute.
Dans la mesure où l'usager transmettrait des données excessives au regard des besoins de sa démarche, la commission estime que le responsable de traitement devrait, dans la mesure du possible et sans préjudice de dispositions contraires en application du code du patrimoine, procéder à leur destruction, définitive et sécurisée, ou à leur archivage, et en informer l'usager, par exemple, dans le cadre de l'accusé de réception. Ces mesures sont tout particulièrement nécessaires en cas de collecte de données relevant des articles 8 et 9 de la loi « Informatique et Libertés », qui ne peuvent être traitées que « dans la mesure où la finalité du traitement » ou par « les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ».
En ce qui concerne les « informations relatives aux connexions et accès au téléservice », la commission rappelle que celles-ci doivent être limitées à ce qui est strictement nécessaire à la SVE et ne doivent pas comprendre des cookies à finalité autre que technique ou d'autres traceurs de navigation.
Sous réserve de ces observations, la commission considère que les données sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement envisagé, conformément à l'article 6 (3°) de la loi « Informatique et Libertés ».
Sur la durée de conservation des données
L'article 4 du projet de décret prévoit que la durée de conservation maximale des données « ne peut excéder de deux années le délai d'instruction des saisines ». Il prévoit également la possibilité de procéder à un archivage intermédiaire pour une durée de dix années et, au-delà de la durée d'utilité administrative, renvoie au respect du code du patrimoine.
Cette durée est plus longue que celle habituellement retenue en matière de téléservices publics, dans la mesure où ceux-ci ont généralement pour objet de transmettre des données par voie électronique vers les « applications métiers » utilisées pour instruire les saisines. A titre d'illustration, l'arrêté du 4 juillet 2013 précité prévoit une durée de conservation de trois mois et l'arrêté du 23 décembre 2015 portant création du téléservice SVE du ministère de l'intérieur prévoit une durée maximale de quarante-huit heures.
Néanmoins, dans la mesure où ce décret a vocation à encadrer diverses architectures mises en œuvre dans des contextes variés, la commission considère que, pour certains de ces dispositifs, une telle durée de conservation de deux années pourrait être proportionnée.
En revanche, elle rappelle qu'il s'agit d'une durée de conservation maximale et qu'il appartient donc à chaque responsable de traitement de déterminer une durée conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, compte tenu des finalités propres poursuivies par chaque dispositif SVE.
La commission invite en conséquence le SGMAP à appeler l'attention des responsables de traitement sur ce point et demande que l'acte réglementaire portant création du téléservice SVE précise dès lors la durée de conservation retenue.
De même, la durée de dix années prévue en matière d'archivage intermédiaire devrait être une durée de conservation maximale et pourrait n'être justifiée que pour certains téléservices SVE.
En tout état de cause, la durée d'archivage ne devrait pas excéder la durée d'utilité administrative (DUA) applicable à la démarche initiée et définie en application du code du patrimoine.
Sur les destinataires des données
L'article 3 du projet de décret prévoit que l'accès aux données à caractère personnel, transmises lors d'une saisine par voie électronique, est limité aux agents habilités à instruire les saisines et les procédures administratives reçues, en raison de leurs fonctions ou pour les besoins du service et dans la limite de leurs besoins d'en connaître.
La liste de ces destinataires n'appelle pas d'observation particulière de la commission.
Par ailleurs, elle rappelle qu'une administration initialement saisie par l'usager doit transmettre à l'autorité compétente les données composant la saisine et en avise l'intéressé, conformément aux dispositions prévues par l'article L. 114-2 du CRPA. Au vu de ces dispositions légales, il n'apparaît néanmoins pas nécessaire de les mentionner dans le projet de décret.
Sur les droits des personnes concernées
S'agissant du droit d'information, l'article 6 du projet de décret mentionne le fait que chaque responsable de traitement porte à la connaissance du public un acte réglementaire portant création du téléservice SVE qu'il met en œuvre. Des conditions générales d'utilisation (CGU) élaborées selon un modèle type établi par le SGMAP seront également portées à connaissance de tout internaute.
La commission rappelle que, dès la page d'accueil d'un téléservice public, tout internaute doit pouvoir être informé du niveau de confiance défini par le responsable de traitement et matérialisé par l'attestation d'homologation du téléservice publiée en application de l'ordonnance du 8 décembre 2005 susvisée.
Outre le caractère facultatif de ces SVE, elle rappelle également que chaque responsable de traitement doit délivrer les éléments d'information prévus à l'article 32 de la loi du 6 janvier 1978 modifiée, ainsi que toutes les informations relatives à l'exercice des droits des personnes prévus spécifiquement par les dispositions légales précitées.
L'article 6-I du projet de décret prévoit que les droits d'accès et de rectification, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exerceront de manière directe auprès du service désigné à cette fin par le responsable de traitement.
A cet égard, le dernier alinéa de l'article 3 du projet de décret mentionne que l'usager peut accéder directement à sa saisine lorsque le téléservice le prévoit. La commission recommande que de telles fonctionnalités, qui seraient plus utilement mentionnées à l'article 6 du projet de décret, soient effectivement mises en œuvre par les responsables de traitement.
De même, elle considère que la mise en œuvre de tout téléservice doit avoir pour corollaire d'organiser une possibilité pour les usagers d'exercer, en tout ou partie par voie dématérialisée, leurs droits « Informatique et Libertés » et en particulier leur droit d'accès à l'intégralité des données les concernant traitées par le service instructeur de la SVE.
L'article 6-II prévoit que le droit d'opposition pour motifs légitimes ne s'applique pas au traitement projeté, en application de l'article 38 de la loi du 6 janvier 1978 modifiée.
A cet égard, la commission considère que ce droit doit pouvoir, à titre général, être exercé s'agissant d'une saisine à l'initiative de l'usager, sauf à ce que des dispositions légales expressément contraires le prévoient. Elle prend acte de l'engagement du SGMAP à modifier le projet de décret sur ce point, afin de prévoir que ce droit pourra en principe être exercé et ne pourra être écarté que par une mention expresse de l'arrêté ministériel portant création de téléservices SVE.
Sur l'architecture et les mesures de sécurité
Le projet de décret liste, en son article 2 (d), les données traitées à l'occasion des mesures de traçabilité des accès à mettre en œuvre, les traces étant conservées pendant un délai qui ne peut excéder trois années. La commission prend acte que les actions ainsi tracées sont celles de tout personnel et agent des autorités administratives mettant en œuvre une SVE. Sur ce point, elle rappelle qu'à titre général, la durée de conservation des traces doit être proportionnée à la sensibilité du traitement mis en œuvre.
La commission rappelle également que, s'agissant de la mise en œuvre d'un téléservice au sens de l'ordonnance n° 2005-1516 susvisée, les téléservices SVE doivent notamment être conformes aux référentiels généraux de sécurité (RGS) et d'interopérabilité (RGI). Ils doivent en outre, dans certaines conditions, respecter le Référentiel général d'accessibilité à l'administration (RGAA).
En tout état de cause, la commission estime que ces mesures doivent être conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée et rappelle que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. Les responsables de traitement devront ainsi être tout particulièrement attentifs aux mesures permettant de garantir, d'une part, l'intégrité des données transmises entre administré et administration et, d'autre part, leur confidentialité, notamment au regard des attributions légales des agents y accédant et du niveau d'authentification requis pour apporter une réponse à l'administré. Ces mesures devraient être renforcées dans l'hypothèse d'interconnexions ainsi qu'en cas de traitement de données sensibles au sens des articles 8 et 9 de la loi du 6 janvier 1978 modifiée.
Sur le formalisme préalable à effectuer par les responsables de traitement de SVE
L'article 5 du projet de décret indique que l'autorisation des téléservices SVE est subordonnée à l'envoi à la commission d'un engagement de conformité faisant référence au présent décret. Il est prévu que cet envoi soit accompagné d'une description synthétique des fonctionnalités assurées par le téléservice, des éventuelles transmissions et interconnexions mises en œuvre. La commission demande que ces descriptions soient complétées des précisions évoquées dans la présente délibération.
De surcroît, le responsable de traitement crée le téléservice SVE par acte réglementaire publié et visant ledit engagement de conformité.
La commission rappelle qu'un tel engagement de conformité ne couvre pas la mise en œuvre des traitements de données à caractère personnel mis en œuvre par les services instructeurs.