Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
A titre liminaire, la commission note que la mise en œuvre du traitement dénommé « portail numérique des droits sociaux » (PNDS) dont est saisie la commission pour avis sur le fondement de l'article 274-I (1°) de la loi du 6 janvier 1978 modifiée, a été confiée à la Caisse centrale de la mutualité sociale agricole (CCMSA).
Sur la finalité du traitement :
Le portail numérique des droits sociaux (PNDS) poursuit un double objectif de simplification d'accès aux prestations sociales et de lutte contre le non-recours aux droits sociaux.
Il est créé en application de la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels précitée qui prévoit l'accès des assurés à un service en ligne leur fournissant une information sur les droits sociaux et la possibilité de réaliser des simulations.
La commission note que le PNDS sera accessible via le compte personnel d'activité.
Le traitement envisagé est destiné à tous les assurés sociaux et a vocation à constituer un point d'entrée centralisé aux plateformes des organismes sociaux leur permettant, d'une part, d'accéder à des informations générales sur les prestations et droits dans les domaines de la santé, de la retraite, du chômage, du logement, de la solidarité et de la famille et, d'autre part, de consulter les informations relatives à leur situation.
Plus précisément, le PNDS permettra aux assurés :
- de consulter leurs droits aux prestations sociales ;
- de recevoir, des organismes qui les gèrent, des informations sur leurs droits ;
- de simuler les prestations sociales auxquelles ils sont susceptibles d'avoir droit ;
- d'engager des démarches auprès des organismes assurant la gestion de leurs prestations sociales.
La commission estime que ces finalités sont déterminées, explicites et légitimes conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur l'absence d'alternative au dispositif de connexion FranceConnect :
Le portail est accessible par le dispositif de connexion FranceConnect sur lequel la commission a rendu un avis dans sa délibération du 16 juillet 2015.
La commission rappelle, d'une part, que pour l'utilisation de ce dispositif, la CCMSA sera tenue d'effectuer un engagement de conformité à l'arrêté du 24 juillet 2015 susvisé, cet arrêté constituant un acte réglementaire unique.
D'autre part, la commission rappelle que cet arrêté précise que l'utilisation du dispositif FranceConnect doit être facultative.
Or, le ministère a indiqué qu'aucun dispositif alternatif à l'identification via FranceConnect n'est envisagé.
La commission attire donc l'attention du ministère sur le fait que le dispositif FranceConnect doit demeurer facultatif et, par conséquent, que les personnes qui ne souhaiteraient pas utiliser un tel dispositif ne devraient pas être privées du bénéfice de services tels que ceux proposés par le PNDS.
Aussi, elle invite le ministère à prévoir un processus alternatif permettant aux personnes de bénéficier des services du PNDS.
Sur la nature des données traitées :
Les informations traitées dans le cadre du PNDS, énumérées à l'article 2 du projet de décret, sont relatives aux assurés sociaux ainsi qu'aux membres de leur foyer.
La commission note que seules sont enregistrées dans le traitement les informations portant sur l'identifiant FranceConnect, le NIR et les données de connexion (dates et heures de connexion, adresse IP). Les autres données mentionnées à l'article 2 du projet de décret sont uniquement accessibles en consultation.
Elle relève que le projet de décret prévoit l'affichage d'informations relatives aux ressources issues de la direction générale des finances publiques (DGFIP) et de la déclaration sociale nominative (DSN).
Interrogé sur ce point, le ministère a indiqué que dans la première version du portail, les données relatives aux ressources ne concerneront que les informations détenues par la branche famille et par Pôle emploi, et ne seront pas issues de la DGFIP, ni de la DSN.
La commission prend acte des précisions apportées par le ministère selon lesquelles des données pourront également être renseignées directement par les assurés pour réaliser des simulations mentionnées à l'article 1 (2°) du projet de décret. La commission note que ces données ne feront pas l'objet d'un enregistrement et qu'elles n'excéderont pas le périmètre de celles indiquées à l'article 2 du projet de décret.
En outre, l'utilisation du dispositif de connexion FranceConnect implique le calcul d'un alias technique unique pour les seules fins de liaisons d'identité qui permet de générer une clé de fédération correspondant à l'identifiant de l'usager pour chaque téléservice.
En application de l'arrêté du 24 juillet 2015 susvisé, l'alias technique unique ne peut être ni divulgué, ni diffusé aux tiers par la direction interministérielle des systèmes d'information et de communication (DINSIC).
La commission rappelle ainsi que seule la clé de fédération correspondant à l'identifiant de l'usager pour le téléservice pourra être traité par la CCMSA dans le cadre du traitement projeté, l'alias technique unique ne pouvant être traité que par la DINSIC.
Pour ce qui concerne l'utilisation du NIR, le ministère a indiqué que cette donnée était nécessaire pour identifier et authentifier l'usager et permettre d'interroger les bases de données des organismes gérant les prestations sociales afin de remonter des informations personnelles de leurs assurés et contextualiser le portail de l'usager.
La commission considère que les données collectées et traitées dans le cadre du PNDS sont pertinentes, adéquates et non excessives conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'identifiant FranceConnect et le NIR sont conservés dans le traitement projeté pendant une durée d'un an après la dernière connexion de l'usager concerné.
A l'expiration de ces durées, les données sont définitivement détruites.
Le projet de décret précise que les données de « traces » et de « traces de contact » sont conservées pendant une durée ne pouvant excéder un mois après l'achèvement des opérations de pilotage et de gestion technique des incidents.
La commission relève que ces données correspondent aux données de connexion.
La commission recommande que celles-ci ne soient pas conservées au-delà d'une durée maximum de six mois et invite le ministère à modifier le projet de décret sur ce point.
Elle est informée de ce que l'article 5 du projet de décret sera modifié afin de distinguer précisément les durées de conservation du NIR et de l'identifiant FranceConnect de celles des autres données de connexion.
Sous ces réserves, la commission estime que ces durées de conservation n'excèdent pas celles nécessaires à l'exercice des finalités pour lesquelles les données sont collectées conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 4 du projet de décret prévoit que les agents de la CCMSA ont accès aux données visées à l'article 2.
La commission note que pour la gestion du portail, les agents habilités de la CCMSA auront accès aux données relatives au NIR, à l'identifiant FranceConnect et aux données de connexion.
Elle est également informée de la mise en place d'une plateforme téléphonique afin d'accompagner les usagers dans l'utilisation du service. Dans ce cadre, des conseillers auront accès aux informations visées à l'article 2 du projet de décret.
Pour ces derniers, la commission recommande qu'il soit précisé dans le projet de décret que cet accès se limite à une simple consultation sans possibilité de modification ni suppression.
Sur l'information des personnes :
Les personnes concernées sont informées de la mise en œuvre du traitement projeté par une mention figurant sur le portail numérique des droits sociaux.
La commission relève que cette mention d'information précise la finalité poursuivie par le traitement, l'identité du responsable de traitement, les catégories de destinataires des données ainsi que les droits dont les usagers disposent.
Elle rappelle que cette information doit également mentionner la durée de conservation des catégories de données traitées, en application de l'article 32-I (8°) de la loi.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès de chacun des organismes auxquels les personnes sont rattachées.
A cet égard, la commission constate que le NIR, l'identifiant FranceConnect et les données de connexion sont enregistrées dans le traitement PNDS. Dans ces conditions, les personnes souhaitant avoir accès à ces données devront pouvoir exercer leurs droits auprès de la CCMSA.
La commission recommande dès lors au ministère de compléter le projet de décret sur ce point.
L'article 6 du projet de décret exclut le droit d'opposition conformément à l'article 38-III de la loi.
Dans la mesure où le traitement est facultatif, la commission relève que les personnes peuvent, en pratique, demander la fermeture de leur espace personnel sur le PNDS.
Dès lors, elle s'interroge sur l'opportunité de prévoir l'exclusion du droit d'opposition.
Sur la sécurité des données et la traçabilité des actions :
La commission note que le traitement est hébergé au sein du centre informatique national de la Mutualité Sociale Agricole (ci-après MSA), sur du matériel dédié.
Le traitement interagit avec ses partenaires (i.e. le RSI, Pôle emploi, l'assurance maladie…) par le biais de la passerelle « Interops » (saisine 08016911), sur des liaisons privées. La commission note par ailleurs qu'une homologation du PNDS est en cours par la commission d'homologation de la MSA.
Par ailleurs, la commission prend acte des mesures mises en œuvre en terme de sécurité physique des matériels ainsi que des protections contre les sinistres naturels et considère ces dernières adaptées aux risques identifiés et vis-à-vis de la sensibilité du traitement présenté.
Le personnel travaillant sur la plateforme dispose de comptes nominatifs personnels. Les comptes systèmes génériques (i.e. « administrateur », « root »…) ne peuvent être utilisés qu'indirectement, après une connexion préalable sur un compte nominatif. Les comptes utilisateurs doivent répondre à un minima requis, notamment faire une longueur minimale de huit caractères et contenir des caractères provenant de trois des quatre groupes (majuscules, minuscules, chiffres et caractères spéciaux).
Le commission recommande que les mots de passe fassent une longueur d'a minima douze caractères et soient composés de lettres majuscules, minuscules, chiffres et
symboles ou alors qu'ils fassent entre huit et onze caractères, soient composés de trois des quatre possibilités précitées associé à une restriction d'accès en cas d'erreurs successives (blocage de compte temporaire, possibilité de tentatives après une durée incrémentielle, etc.).
La commission note qu'un système de SIEM, permettant de centraliser et assurer la disponibilité et l'intégrité des traces techniques, est mis en œuvre. L'accès en lecture n'est permis qu'au personnel dûment habilité.
La commission prend acte que le parcours de l'administré sur le PNDS s'effectue entièrement au travers d'une connexion chiffrée permettant l'authentification du téléservice. Le protocole TLS, associé à des certificats homologué RGS*, est ainsi mis en œuvre. La commission rappelle qu'il revient au responsable de traitement de publier l'attestation d'homologation sur le site du téléservice.
Par ailleurs, tel que précisé ci-dessus, le PNDS ne conserve, au sein de sa base de données, que l'identifiant « FranceConnect » associé au NIR de l'utilisateur.
La commission note que ces données, dont le NIR, sont stockées en clair au sein de la base de données et recommande que ce dernier, a minima, soit chiffré à l'aide d'un algorithme réputé fort. La commission rappelle que la gestion des clés de chiffrement doit être réalisée de manière à ce que cette dernière ne soit pas divulguée et soit révocable en cas de compromission. Il convient de noter que l'utilisation de formats de données propriétaires ne peut être considéré comme étant une protection vis-à-vis de la donnée ainsi stockée.
Sous réserve des remarques formulées ci-dessus, la commission considère que les mesures de sécurité et de protection apportées aux données personnelles traitées sont satisfaisantes.