Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis portant sur un projet d'arrêté modifiant l'arrêté du 20 avril 2016 autorisant la création d'un système de téléservices destinés à la prédemande de titres officiels.
L'objet du projet d'arrêté est d'étendre aux cartes nationales d'identité le dispositif de prédemande en ligne de titre déjà applicable aux passeports, autorisé par l'arrêté du 20 avril 2016 susvisé, pris après l'avis de la commission en date du 19 novembre 2015. Dans la mesure où le traitement est mis en œuvre pour le compte de l'Etat et met à disposition des usagers des téléservices de l'administration électronique, sa modification relève des dispositions de l'article 27-11 (4°) et de l'article 30-11 de la loi du 6 janvier 1978 modifiée. L'extension du système de téléservices doit dès lors être autorisée par arrêté ministériel, pris après avis motivé et publié de la commission. Cette extension appelle les observations suivantes de la part de la commission.
Le système de téléservices destinés à la prédemande de titres officiels a pour finalité, aux termes de l'article 1er de l'arrêté du 20 avril 2016 précité, « de recueillir de manière dématérialisée les informations nécessaires à l'instruction des demandes de titres, à leur production et acheminement, ainsi que les coordonnées téléphoniques et électroniques permettant de tenir informé le demandeur de l'avancement du processus de délivrance du titre ».
Il concerne actuellement les prédemandes de passeports et de permis de conduire, que les usagers peuvent réaliser en ligne, après avoir créé un compte sur le site de l'Agence nationale des titres sécurisés (ANTS) et avoir rempli les formulaires dématérialisés de demande de ces documents.
Le projet d'arrêté prévoit la modification des articles 1er, 5 et 6 de l'arrêté du 20 avril 2016, qui définissent les finalités du traitement, les données qui y sont enregistrées et ses destinataires, pour y ajouter la mention des cartes nationales d'identité et étendre aux demandeurs de ces titres l'usage du téléservice aujourd'hui utilisable par les demandeurs de passeports.
Les conditions et modalités de la prédemande de titre seront totalement identiques à celles prévues pour les passeports, qui ont été examinées par la commission dans la délibération n° 2015-418 du 19 novembre 2015 précitée.
Le téléservice demeurera facultatif et concernera uniquement le recueil dématérialisé des informations administratives de l'usager, les pièces justificatives devant être fournies en format papier, en toute hypothèse, au moment de la présentation de l'usager au guichet, en mairie.
Il permettra, comme pour les passeports, à un usager d'effectuer une prédemande dans le cas d'une première demande de titre ou dans le cas d'un renouvellement de carte nationale d'identité. Les catégories de données à caractère personnel enregistrées dans le traitement ainsi que les destinataires de ces données seront identiques à ceux prévus pour les passeports, qui sont définis par les articles 5 et 6 de l'arrêté du 20 avril 2016 précité. Enfin, le système permettra toujours d'informer l'usager de l'avancement du processus de délivrance de titre, par l'envoi de courriels et de SMS.
L'extension du téléservice aux demandeurs de cartes nationales d'identité s'inscrit dans le cadre de l'objectif de modernisation et de simplification des procédures de délivrance des titres officiels. Elle doit permettre de simplifier les démarches administratives des usagers et de sécuriser le recueil des informations nécessaires à l'enregistrement des demandes de cartes nationales d'identité au sein de la base de données « Titres électroniques sécurisés » (TES), créée par le décret n° 2016-1460 du 28 octobre 2016 susvisé. La récupération informatique des données permet en particulier d'éviter les erreurs de reconnaissance de caractères en cas de scan du formulaire CERFA papier. Elle présente également l'avantage de faciliter l'enregistrement des demandes et donc de réduire l'attente au guichet, étant rappelé que le caractère facultatif du téléservice et le maintien de la possibilité d'utiliser les formulaires en papier permettent de s'assurer du consentement des intéressés à la collecte de ces données par voie électronique.
Si la simplification des démarches administratives des usagers par le biais d'un téléservice, à laquelle répond la modification envisagée du traitement, apparaît légitime à la commission, elle suppose néanmoins l'adoption de mesures de sécurité adéquates, permettant notamment d'empêcher, conformément à l'article 34 de loi du 6 janvier 1978 modifiée, que des tiers non autorisés aient accès aux données.
A cet égard, la commission considère qu'une politique de sécurisation des mots de passe satisfaisante doit imposer le recours à des mots de passe qui disposent d'un minimum de douze caractères, composés de trois types de caractères parmi les minuscules, majuscules, chiffres et caractères spéciaux ou qui comportent entre huit et onze caractères, soient composés de trois des quatre possibilités précitées et soient associés à une restriction d'accès en cas d'erreurs successives (blocage de compte temporaire, possibilité de nouvelles tentatives après une durée incrémentielle, etc.).
Les mots de passe doivent en outre être définis ou modifiés par l'utilisateur dès la première connexion, puis régulièrement renouvelés et ne doivent pas être stockés en clair dans un fichier ou dans une base de données.
Sur ce point, le ministère avait notamment prévu que l'usager choisisse un identifiant de connexion pour se créer un compte sur le site de l'ANTS et reçoive, par courriel, un mot de passe composé de huit caractères, comportant nécessairement des lettres en minuscules et en majuscules, ainsi que des chiffres, ce mot de passe devant par la suite être modifié par l'intéressé. Le mot de passe temporaire généré automatiquement est transmis en clair par courriel mais celui-ci doit être réinitialisé à la première connexion.
La commission rappelle toutefois que les critères de complexité que le ministère de l'intérieur s'est engagé à appliquer doivent s'imposer tant aux mots de passe automatiquement générés qu'à ceux que les usagers sont susceptibles de définir après leur modification. Sur ce point, elle prend acte que le mot de passe choisi par les usagers devra être composé de huit caractères minimum, avec l'utilisation de caractères spéciaux, de majuscules et de minuscules ainsi que de chiffres. Elle prend également acte qu'après six saisies erronées, le compte se bloquera pendant une durée de quinze minutes et que cette durée de blocage sera multipliée par deux si le compte est à nouveau bloqué après six saisies infructueuses.
La commission rappelle en outre que le traitement constituant un téléservice d'une autorité administrative, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. Si elle prend acte que le téléservice de prédemande en ligne de passeport et de carte nationale d'identité a fait l'objet d'une homologation RGS le 4 novembre 2016, pour une durée d'un an, elle rappelle qu'il revient au responsable de traitement d'attester formellement de la sécurité du traitement en publiant l'attestation d'homologation sur le site du téléservice.
Enfin, l'accès au téléservice est sécurisé au moyen du protocole https. La commission recommande d'utiliser la version de TLS la plus à jour possible et prend acte que la version TLS1.2 est en cours d'installation.
Sous ces réserves, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que l'obligation résultant de l'article 34 nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.