Après avoir entendu Mme Dominique CASTERA, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par la direction des affaires juridiques du ministère de l'économie et des finances d'une demande d'avis concernant un projet de décret relatif au répertoire numérique des représentants d'intérêts pris pour application de l'article 25 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
Le législateur a organisé un cadre juridique permettant d'identifier les personnes pouvant être regardées comme des représentants d'intérêts, de réguler leurs conditions d'intervention, de les soumettre à des obligations déontologiques qu'il a déterminées, de sanctionner leur méconnaissance et, enfin, de rendre le processus de décision publique plus transparent pour les citoyens.
A cette fin, l'article 25 de la loi crée un répertoire numérique des représentants d'intérêts dont la finalité est d'assurer l'information des citoyens sur les relations entre ceux-ci et les pouvoirs publics.
Ainsi, toute personne physique exerçant, à son compte ou pour le compte de tiers, des activités de représentation d'intérêts au sens de l'article 18-2 de la loi du 11 octobre 2013 sera tenue de s'y inscrire par l'intermédiaire d'un téléservice. Pour les personnes morales, sont inscrits le dirigeant et les employés chargés des activités de représentation par l'intermédiaire de la personne désignée comme contact opérationnel chargé de communiquer les informations requises à la Haute Autorité pour la transparence de la vie publique (HATVP).
Le projet de décret dont est saisie pour avis la commission doit déterminer :
- le rythme et les modalités de communications des informations devant être transmises à la HATVP ainsi que les conditions de publication de ces informations ;
- les modalités de présentation des activités du représentant d'intérêts ;
- les modalités de saisine de la HATVP ainsi que la procédure des vérifications sur pièces et sur place.
Sur l'autorité responsable de traitement :
Le répertoire numérique créé par la loi du 9 décembre 2016 est mis en oeuvre par la Haute Autorité pour la transparence de la vie publique, qui en est responsable au sens de l'article 3 de la loi du 6 janvier 1978 modifiée. La commission estime que le projet de décret pourrait expressément l'indiquer.
Sur les informations transmises à la Haute Autorité pour la transparence de la vie publique :
L'article 3 du projet de décret énumère les informations qui doivent être transmises à la Haute autorité pour la transparence de la vie publique.
Ces informations portent notamment sur les décisions publiques sur lesquelles ont porté les actions de représentation d'intérêts engagées, le type d'actions de représentations d'intérêts engagées ainsi que les questions sur lesquelles portent ces actions, les catégories de responsables publics mentionnées aux 1° à 7° de l'article 18-2 de la loi du 11 octobre 2013 précitée, avec lesquelles tout représentant d'intérêts est entré en communication et lorsque ce dernier a effectué les actions pour le compte d'un tiers, l'identité de celui-ci.
Au regard de la décision du Conseil constitutionnel en date du 8 décembre 2016 qui souligne que les dispositions de la loi, parce qu'elles n'imposent la communication que de données d'ensemble et de montants globaux relatifs à l'année écoulée, ne portent pas une atteinte disproportionnée à la liberté d'entreprendre, la commission estime que l'article 3 pourrait utilement préciser le caractère global des informations demandées quant aux types de décisions et de questions sur lesquelles ont porté les actions.
Sur les mesures envisagées afin de sécuriser les transmissions des déclarations émanant des représentants d'intérêts :
La commission rappelle que le responsable du traitement, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et traitées, au regard de la nature des données, des risques présentés par le traitement, et notamment empêcher que des tiers non autorisés y aient accès par l'intermédiaire de mesures de sécurité physiques, logiques et organisationnelles.
L'article 5 autorise la création d'un téléservice et prévoit les modalités de son fonctionnement. Le traitement étant un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. La HA'FVP attestera donc formellement de sa conformité au décret 2010-112 (référentiel général de sécurité) et le mentionnera sur le site du registre.
La commission prend note que des profils d'habilitation définissent les accès, rôles et informations disponibles aux différents utilisateurs. La commission rappelle que les permissions d'accès doivent être supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations doit être opérée à une fréquence régulière.
La commission observe que chaque personne concernée dispose d'un identifiant qui lui est propre, en l'occurrence son adresse électronique. L'authentification s'effectue ensuite par mot de passe.
La commission rappelle que, conformément à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, elle demande que ces derniers fassent une longueur minimale de douze caractères et soient composés de lettres majuscules, minuscules, chiffres et symboles ou qu'ils fassent entre huit et onze caractères, soient composés de trois des quatre possibilités précitées et associés à une restriction d'accès en cas d'erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d'attente incrémentielle, etc.).
Ils doivent en outre être définis, ou modifiés par l'utilisateur dès sa première connexion, puis régulièrement renouvelés et ne doivent pas être stockés en clair.
La commission observe que le télédéclarant reçoit des accusés de réception relatifs à la création de son compte et aux éléments qu'il a communiqués sur le téléservice.
S'agissant des échanges de données, la commission recommande que ceux-ci soient réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et de la destination.
Enfin, la commission préconise la mise en place d'une architecture de journalisation permettant de conserver une trace des événements de sécurité et du moment où ils ont eu lieu. Ces journaux devront ensuite faire l'objet d'analyses permettant de détecter d'éventuels mésusages.
La commission rappelle que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les droits des personnes :
Sur l'information des personnes :
L'article 6 du projet de décret impose à la HATVP d'informer les personnes sur « le recueil » des données les concernant. La commission estime donc qu'il appartient à la HATVP d'assurer l'information des personnes dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée.
Sur les droits d'accès et de rectification :
La commission observe que les représentants d'intérêts, personnes physiques exerçant pour leur compte, sont en mesure d'exercer directement leurs droits d'accès et de rectification dans la mesure où ils actualisent eux-mêmes leurs informations et que ces dernières sont publiques.
Sur l'absence de droit d'opposition des personnes :
La mise en œuvre du traitement résulte du respect d'une obligation légale qui porte création d'un répertoire numérique visant à assurer la transparence des relations entre les représentants ou membres des autorités publiques ou des organes administratifs et les représentants d'intérêts. Dès lors, la commission estime que le projet de décret devrait, conformément à l'article 38 de la loi du 6 janvier 1978 modifiée, expressément écarté le droit d'opposition des personnes concernées.
Sur les durées de publication et de conservation des données :
L'article 6 du projet de décret prévoit que les informations relatives aux actions de représentation d'intérêts demeurent publiques pendant une durée de cinq ans à compter de leur publication par la Haute Autorité.
Lorsqu'une personne inscrite au répertoire cesse ses fonctions de représentation d'intérêts, elle en informe, par l'intermédiaire du téléservice mentionné à l'article 5, la Haute Autorité qui mentionne cette information dans un répertoire rendu public. Les données sont alors supprimées au terme de la durée de conservation de cinq ans. Dans l'hypothèse où le représentant d'intérêts reprend ses fonctions après interruption, ses informations sont actualisées et conservées cinq ans à compter de cette mise à jour.
Les informations annuelles sont conservées cinq ans à compter de leur mise en ligne. La commission observe que, pour les rapports annuels transmis postérieurement à la reprise d'activité, un nouveau délai de cinq ans courra dès leur publication.
La commission estime que cette durée n'excède pas celle nécessaire à la finalité pour laquelle elles sont conservées et traitées.
Sur les mesures empêchant l'indexation des données directement identifiantes par les moteurs de recherche externe :
L'article 6 prévoit que les modalités de publication du répertoire devront être déterminées par une délibération de la HATVP.
Afin de limiter les risques de réutilisation des données, la commission recommande que la HATVP mette en place des mesures empêchant l'indexation des données appelées à être publiées dans le répertoire. Ces mesures peuvent consister, par exemple, en l'utilisation de règles d'indexation à destination des moteurs de recherche correctement définies (par exemple un fichier « robots.txt »), de publication des données au format image ou de mécanismes visant à s'assurer que l'émetteur d'une requête relative à un document est bien un internaute et non un programme informatique (CAPTCHA visuels et auditifs).