(DEMANDE D'AVIS NO 1967806)
La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « Espace numérique des agents publics (ENSAP) » ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des pensions civiles et militaires de retraite ;
Vu le code des pensions militaires d'invalidité et des victimes de la guerre ;
Vu le code de sécurité sociale, notamment ses articles L. 161-17 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 84-16 du 11 janvier 1984 modifiée portant dispositions statutaires relatives à la fonction publique de l'Etat, notamment son article 64 ;
Vu le décret n° 62-765 du 6 juillet 1962 portant règlement sur la comptabilité publique en ce qui concerne la liquidation des traitements des personnels de l'Etat, notamment son article 1er ;
Vu le décret n° 86-83 du 17 janvier 1986 relatif aux dispositions générales applicables aux agents contractuels de l'Etat pris pour l'application de l'article 7 de la loi n° 84-16 du 11 janvier 1984 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-1052 du 26 août 2009 portant création du service des retraites de l'Etat ;
Vu le décret n° 2010-1690 du 30 décembre 2010 relatif aux procédures financières et comptables spécifiques des forces armées ;
Vu le décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique, notamment son article 128 ;
Vu le décret n° 2016-1073 du 3 août 2016 relatif à la mise à disposition et à la conservation sur support électronique des bulletins de paye et de solde des agents civils de l'Etat, des magistrats et des militaires, notamment ses articles 2 et suivants ;
Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le décret n° 2016-1073 du 3 août 2016 relatif à la mise à disposition et à la conservation sur support électronique des bulletins de paye et de solde des agents civils de l'Etat, des magistrats et des militaires a instauré un espace numérique créé et administré par la direction générale des finances publiques (DGFiP), dénommé « Espace numérique sécurisé des agents publics (ENSAP) ».
L'objectif poursuivi par l'ENSAP est de mettre à disposition des agents civils de l'Etat, des magistrats et des militaires, tout au long de leur période d'activité puis durant leur retraite, un espace numérique sécurisé offrant des services personnalisés relatifs à la paye et aux pensions de l'Etat.
La commission observe que l'article 5 du décret du 3 août 2016 renvoie à des arrêtés le soin de définir, pour chaque département ministériel concerné, la date d'entrée dans le dispositif, laquelle doit intervenir au plus tard le 1er janvier 2020.
La mise en œuvre de l'ENSAP constitue un téléservice de l'administration électronique. Dans la mesure où ce traitement porte sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), il y a lieu de faire application des dispositions prévues au 4° du II de l'article 27 de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées :
L'ENSAP est mis à disposition des catégories suivantes d'agents publics de l'Etat :
- les actifs de l'Etat (titulaires, contractuels et stagiaires), y compris ceux qui ont été temporairement employés, et dont la rémunération est traitée par les services de la DGFiP, par le ministère de la défense, ou par un autre organisme gérant les rémunérations ;
- les pensionnés de l'Etat ou leurs ayants cause, bénéficiant du versement d'une prestation par les services de la DGFiP.
Ne seront concernés que par les fonctionnalités du volet « rémunération » :
- les agents contractuels et les stagiaires, qui relèvent du régime général de la Caisse nationale d'assurance vieillesse (CNAV) et de l'Institution de retraite complémentaire des agents non titulaires de l'Etat et des collectivités publiques (IRCANTEC), et non du service des retraites de l'Etat (SRE).
Sur les finalités de l'ENSAP :
1° S'agissant de l'outil d'échange et de communication avec l'administration et des démarches pouvant être réalisées via l'ENSAP :
Un service de messagerie privée sera déployé, qui permettra aux usagers de communiquer avec des gestionnaires de l'administration, dans le cadre de la réalisation et du suivi de démarches portant sur le volet « pension ».
La commission observe qu'à l'occasion de ces échanges, les usagers pourront joindre toutes les pièces justificatives utiles à la gestion de leur compte, à l'instruction de leurs demandes ou à la mise à jour de leur compte individuel retraite (CIR) par le service des retraites de l'Etat (SRE) ;
2° S'agissant de la mise à disposition de documents :
La DGFiP souhaite mettre à disposition des usagers un service d'archivage sécurisé de documents relatifs aux rémunérations et aux pensions.
Les usagers auront la possibilité de télécharger les documents, de les enregistrer sur le support de leur choix, et de les imprimer depuis leur domicile ou leur lieu de travail.
L'article 2 du décret du 3 août 2016 prévoit qu'une remise sur support papier pourra être accordée aux usagers qui sont dans l'incapacité d'accéder sur leur lieu de travail à leur espace numérique sécurisé, ou absents en raison d'un congé de longue durée.
Des arrêtés ministériels préciseront les conditions de dépôt des demandes de copie sur support papier, ainsi que les situations professionnelles dans lesquelles les agents pourront bénéficier de cette dérogation.
Les usagers auront en outre la possibilité de choisir le support de délivrance des bulletins de pension directement via l'ENSAP ;
3° S'agissant de l'outil de simulation du montant des retraites :
L'ENSAP proposera également aux agents publics actifs un simulateur de leurs droits à retraite, qui ne sera plus accessible après leur départ à la retraite.
La commission note que les travaux de conception du simulateur sont en cours. Elle relève qu'il s'agit plus concrètement de permettre aux usagers de réaliser des estimations individuelles précises de leurs prestations retraite, sur la base d'une extraction automatique des données de carrière détenues par l'administration dans le CIR.
Afin de garantir la fiabilité du montant estimé, le simulateur a vocation à prendre en compte toutes les spécificités liées aux catégories de personnes concernées et aux règles de calcul propres aux carrières administratives.
Le ministère envisage par ailleurs de mettre à disposition des usagers de l'ENSAP un hyperlien vers l'outil de simulation EVA, géré par le groupement d'intérêt public « Union retraite » et accessible via les portails des différents régimes de retraite, selon des modalités restant à définir.
La commission estime que les finalités sont déterminées, explicites et légitimes.
Sur les modalités d'accès à l'ENSAP :
Afin de se connecter à leur espace personnel, les usagers auront le choix entre une solution d'authentification propre à l'ENSAP, d'une part, et le recours au dispositif d'authentification FranceConnect, d'autre part.
S'agissant du dispositif spécifique à l'ENSAP, la commission observe que, lors de la première connexion, les usagers doivent s'identifier en renseignant leur nom, leur date de naissance et leur NIR.
Afin de s'assurer de l'identité des usagers, ces informations seront rapprochées de celles d'ores et déjà détenues par la DGFiP et le ministère de la défense, dans le cadre des applications de paiement des rémunérations et des pensions répertoriant tous les agents publics de l'Etat bénéficiant d'une paie ou d'une pension.
Il est par ailleurs prévu de vérifier si le NIR renseigné est certifié dans le Système national de gestion des identifiants (SNGI) géré par la CNAV et l'INSEE.
Afin de limiter les risques, notamment de fraude et d'usurpation, il sera demandé aux usagers de corroborer leur identité en renseignant leur numéro de compte bancaire au format IBAN.
La commission observe que la saisie du numéro IBAN est sécurisée au moyen d'un masquage. Plus concrètement, la série de chiffres ne sera affichée que partiellement à l'écran, et l'usager sera invité à compléter quatre caractères pour s'identifier.
Sur la nature des données :
La commission considère que les données visées à l'annexe du projet d'arrêté n'appellent pas d'observation.
Elle estime qu'au regard du nombre de personnes concernées et de la nécessité d'identifier de façon certaine les usagers, ainsi que des garanties de sécurité apportées par le ministère, l'utilisation du NIR en tant qu'identifiant de connexion est justifiée.
Sur les durées de conservation des données :
Les données sont conservées cinq ans :
- à compter du décès de la personne pour les données relatives à la pension ;
- à compter de la date d'effet de la pension ou du décès en activité de l'agent pour les données relatives à la paie.
La commission relève que ces durées correspondent aux délais de recours en cas de contentieux et n'appellent pas d'observation.
Elle rappelle qu'à l'expiration de ces durées, les données doivent être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Elle note par ailleurs que les personnes concernées seront informées des durées de conservation des documents mis à leur disposition dans l'ENSAP, afin de prendre les mesures nécessaires avant leur suppression.
Sur l'information et les droits des personnes :
Le ministère indique que les personnes concernées seront informées, conformément à l'article 32 de la loi, au moyen de mentions disponibles sur l'ENSAP.
La commission observe que seules seront modifiables par l'usager depuis l'ENSAP les informations liées à son profil (adresses électroniques, numéros de téléphone, mot de passe et question secrète).
La commission rappelle que les mesures correctives apportées à l'occasion de l'exercice du droit de rectification auprès des services gestionnaires doivent être prises en compte à brève échéance sur toutes les parties impactées du traitement.
Elle prend note enfin que le projet d'arrêté, en application des dispositions du dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée, écarte l'application du droit d'opposition.
Sur les mesures de sécurité :
Le ministère atteste de la conformité de l'ENSAP au décret n° 2010-112 du 2 février 2010 (Référentiel général de sécurité). La commission en prend acte et rappelle que le ministère devra le mentionner sur l'ENSAP.
Sur les échanges de données :
L'ENSAP utilise une plate-forme d'accès sécurisé (PAS) de la DGFiP pour garantir un accès sécurisé aux données depuis internet. L'accès au téléservice est en outre sécurisé au moyen du protocole HTTPS. La commission rappelle qu'il est recommandé d'utiliser la version de TLS la plus à jour possible.
Les données traitées dans l'ENSAP sont stockées et archivées dans le silo ATLAS de la DGFiP assurant sécurité, intégrité et pérennité des documents. Les NIR des usagers conservés dans ce silo sont chiffrés en base.
Les documents mis à disposition des usagers dans l'espace d'archivage reposent sur des flux de données produits par les systèmes d'information et en particulier par le back office du SRE. A cet égard, l'ENSAP repose sur des Applications ProgrammingInterfaces (API), permettant d'interroger les bases de données et d'extraire les informations relatives à chaque usager.
Sur les habilitations d'accès aux données :
S'agissant de la gestion des habilitations, chaque usager n'accède qu'aux données qui lui sont propres. Aussi, les services gestionnaires appelés à échanger avec les usagers via l'outil de messagerie dédié accèdent aux données à partir de leurs applicatifs métiers.
Le ministère indique que la structure du mot de passe de connexion à l'ENSAP doit respecter les critères suivants : 8 caractères minimum, 2 minuscules minimum, 2 majuscules minimum, 2 chiffres minimum et la possibilité d'utiliser des caractères spéciaux.
Ces critères donnent toutefois des informations précises sur la structure du mot de passe, réduisant fortement le nombre d'essais nécessaires afin de « casser » le mot de passe. Dans la mesure où les critères retenus par le ministère auraient pour conséquence d'exposer davantage le traitement aux risques d'attaque par « force brute », la Commission invite le ministère à suivre ses recommandations en la matière (mots de passe composés de 8 caractères minimum, comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux).
Dans le cadre des échanges avec le ministère, celui-ci s'est dit favorable à cette proposition et envisage de la prendre en compte dans un prochain lot de l'ENSAP.
L'accès à l'ENSAP est bloqué après trois tentatives infructueuses.
La saisie du nom, de la date de naissance et du NIR lors de la première connexion est complétée par la présence d'un captcha ajoutant une protection contre l'intrusion de robots.
Une fois la première connexion effectuée, le numéro IBAN tronqué sera supprimé des bases de l'ENSAP, mais restera stocké dans les systèmes d'information des ministères.
Sur la sécurité logique :
Le traitement repose sur le réseau interministériel de l'Etat. Afin de protéger le système d'information et les données traitées, la DGFiP opère un cloisonnement strict des différents réseaux composant son système d'information, au moyen d'infrastructures de détection, de contrôle et de traçabilité dédiées, conformément aux recommandations de l'ANSSI.
Des dispositifs visant à éviter les intrusions et les « dénis de service » sont maintenus et mis à jour selon les recommandations de l'ANSSI.
Les pièces justificatives pouvant être versées par les usagers dans le cadre de leurs démarches ne seront pas conservées dans l'ENSAP, dès lors qu'il ne s'agit que d'un canal transitoire. Elles seront uniquement stockées dans les applications des services gestionnaires.
Interrogé sur les vérifications liées à la sécurité des pièces versées, le ministère précise que celles-ci doivent respecter un format particulier et font l'objet d'une analyse antivirus.
Par ailleurs, les incidents informatiques font l'objet d'un processus de gestion documenté.
Sur la traçabilité des actions :
Concernant la traçabilité des événements, les accès au téléservice de l'ENSAP sont authentifiés et tracés. Une journalisation des opérations de consultation, de création, de modification et de suppression du traitement est ainsi réalisée. Les traces sont régulièrement analysées par les agents habilités de la DGFiP.
Sur la sécurité physique :
L'ENSAP est physiquement hébergé dans des sites de la DGFiP. Des sauvegardes quotidiennes sont réalisées et conservées dans un lieu garantissant leur sécurité et leur disponibilité.
S'agissant des mesures organisationnelles, une procédure générale de reprise d'activité est prévue par la DGFiP.
La commission estime enfin qu'au regard du nombre de personnes concernées, et de la nécessité pour les usagers d'accéder à certaines fonctionnalités (notamment l'accès aux bulletins de paie, de solde et de pension), la mise en œuvre de l'ENSAP nécessite une haute disponibilité. Les choix technologiques opérés par le ministère devront permettre de prévenir l'obsolescence du système et d'assurer la disponibilité des informations auprès des usagers tout au long de leur carrière et de leur retraite.