Après avoir entendu le rapport de M. Claude CASTELLUCCIA, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
Le présent projet de décret porte sur l'organisation des échanges d'informations entre administrations nécessaires pour informer les personnes sur leur droit au bénéfice éventuel d'une prestation ou d'un avantage prévus par des dispositions législatives ou des actes réglementaires, et pour leur attribuer éventuellement lesdits prestations ou avantages. Ce projet est pris en application de l'article 162 de la loi relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale, sur laquelle la Commission s'était prononcée (délibération n° 2021-035 du 25 mars 2021), codifié au II de l'article L. 114-8 du CRPA.
Selon la DINUM, ce dispositif a pour objectif de généraliser l'approche proactive des administrations afin de lutter contre le non-recours au droit aux prestations et avantages auxquels les usagers pourraient prétendre.
La Commission suit depuis longtemps, et avec une attention particulière, l'évolution de la dématérialisation d'une partie des échanges de données entre administrations, qui constituent des traitements de données à caractère personnel. Ces échanges participent à la simplification des formalités administratives des usagers lorsqu'ils ont pour finalité de dispenser les usagers, personnes physiques ou morales, de fournir les mêmes justificatifs plusieurs fois.
La lutte contre le non-recours ne doit pas se heurter au droit de l'usager à renoncer aux prestations et avantages pour lesquels il est éligible.
Si la simplification des démarches administratives et l'amélioration des relations entre le public et les administrations constituent des objectifs légitimes, ces échanges doivent être limités aux données strictement nécessaires et garantir le respect des droits des personnes, ainsi que la sécurité et la confidentialité des données. La Commission considère qu'il faut distinguer, d'une part, les échanges de données réalisés aux fins de répondre aux demandes de l'usager, qui ne posent pas de difficulté de principe dès lors que l'atteinte à la vie privée apparaît faible, et, d'autre part, ceux réalisés à des fins de police administrative, de surveillance ou de détection des fraudes, pour lesquels il convient d'avoir une vigilance particulière.
A cet égard, la Commission accueille très favorablement l'ajout des mentions indiquant que les données collectées ne seront pas utilisées ou réutilisées à des fins de « détection ou pour la sanction d'une fraude » à l'article L. 114-8 du CRPA, tel qu'elle l'avait jugé nécessaire dans sa délibération n° 2021-035 du 25 mars 2021 précitée.
Sur la responsabilité de traitement :
Le projet de décret laisse aux administrations une marge de manœuvre importante quant au choix de mettre en œuvre les traitements ayant pour finalité l'information proactive ainsi que, le cas échéant, leurs modalités. Dès lors, les administrations concernées doivent être considérées comme responsables de traitement au sens de la réglementation en matière de protection des données à caractère personnel.
A ce titre, elles sont soumises aux dispositions du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
La Commission prend acte qu'il n'est pas prévu que les administrations la saisissent ultérieurement pour avis, lorsqu'elles mettront en place les traitements relatifs à la démarche proactive.
Dans le cadre de la démarche proactive, les principes de minimisation et de proportionnalité des données impliquent que la collecte de celles-ci par les administrations doit être limitée à ce qui est nécessaire.
Sur l'information des personnes :
L'information des usagers doit être conforme aux exigences posées par le RGPD et adaptée au public visé.
En premier lieu, le paragraphe 2 du point II. de l'article L. 114-8 du CRPA prévoit que l'usager est avisé de ses droits d'accès et de rectification ainsi que, le cas échéant, de son droit de s'opposer à la poursuite du traitement des données, « au plus tard au moment de la première communication individuelle » réalisée par l'administration.
La Commission préconise que les administrations informent les usagers en amont de toute prise de contact au regard de la mention « au plus tard au moment de la première communication individuelle » précitée. Cette information préalable pourrait être délivrée, notamment, via le site web de l'administration concernée.
Une information individuelle pourrait également être délivrée au travers des différents portails proposés aux usagers tels que « mesdroitssociaux.gouv.fr » ou « impots.gouv.fr ».
En tout état de cause, une alternative à destination des personnes utilisant peu, ou pas, les services numériques, ainsi que pour celles n'y ayant pas accès, devrait toujours être prévue.
En second lieu, la Commission rappelle les dispositions du dernier alinéa de l'article L. 114-8 du CRPA qui prévoient une information en ligne des usagers sur la liste des administrations ainsi que des avantages ou prestations qui sont, ou seront, concernés par les transmissions de données.
Sur l'exercice des droits des personnes :
La DINUM prévoit de laisser les administrations déterminer les modalités d'exercice des droits des personnes concernées, et notamment les droits d'accès, de rectification et d'opposition.
Afin de garantir une expérience de l'usager optimale, la Commission préconise que les administrations mettent en place des modalités similaires afin que tous les usagers puissent exercer facilement leurs droits.
Par ailleurs, la Commission s'interroge sur la possibilité de mettre en place un portail unique et centralisé, destiné aux usagers, afin qu'ils puissent aisément et directement exercer leurs droits auprès de toutes les administrations concernées. Toutefois, la mise en place d'un tel dispositif ne devrait pas pour autant conduire à créer un fichier national unique recensant toutes les informations relatives aux usagers sollicités qui serait accessible à toutes les administrations concernées.
En premier lieu, les droits des usagers, en particulier le droit d'accès et le droit de rectification, devraient pouvoir être exercés auprès de toutes les administrations concernées, qu'il s'agisse de celle ayant collecté les données de l'usager ou celles réalisant l'information proactive.
A cet égard, l'article 19 du RGPD prévoit que « le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué ». En tant que responsables de traitement, les administrations concernées mettant en œuvre des traitements à des fins d'information proactive devraient respecter cette obligation de notification et permettre une mise à jour uniforme des données relatives à l'usager.
En second lieu, le Gouvernement a indiqué à la Commission vouloir exclure expressément, dans le décret, la possibilité pour une personne de s'opposer à ce que ses données soient transmises à une ou plusieurs administrations à des fins de démarche proactive. Par conséquent, l'exercice du droit d'opposition préalablement à une première sollicitation par l'administration ne sera pas possible.
L'exclusion de ce droit d'opposition peut être considérée comme s'inscrivant dans la logique de la lutte contre le non-recours aux prestations. Toutefois, elle devra satisfaire les conditions posées à l'article 23 du RGPD.
En tout état de cause, la Commission rappelle que l'exercice du droit d'opposition à la poursuite du traitement ne prive pas l'usager des avantages ou prestations en question. Il devra toujours pouvoir en bénéficier par une autre voie que celle de la démarche proactive initiée par les administrations.
En troisième lieu, la Commission prend acte de ce que l'exercice du droit d'opposition auprès des administrations sollicitant les personnes entraînera la destruction totale des données de la personne concernée au sein du traitement concerné.
Afin d'éviter la multiplication des sollicitations des administrations, dans le cadre de leurs démarches d'information proactive, et d'assurer l'effectivité du droit d'opposition, la DINUM précise que les informations relatives à la demande et l'exercice de ce droit seront conservées.
La Commission recommande que l'accès aux informations concernant les personnes ayant refusé la poursuite du traitement soit restreint et strictement encadré. Ces informations devraient être conservées sous la forme d'une empreinte cryptographique, par exemple via une opération de hachage.
La Commission attire enfin l'attention de la DINUM et des administrations concernées sur la nécessité que les personnes soient en mesure d'exercer facilement leurs droits selon des modalités prenant notamment en compte les difficultés d'accès, voire l'absence d'accès, au numérique d'une partie de la population.
Sur la durée de conservation des données :
L'article 2 du projet de décret précise que la durée de conservation des données est corrélative à la finalité propre de chacune des procédures concernées par la démarche proactive, et qu'elle s'apprécie au cas par cas, notamment en fonction de l'utilité administrative que présente la donnée.
Le paragraphe 3 du point II de l'article L. 114-8 du CRPA prévoit que le décret dont la Commission est saisie « détermine (…) la durée et les modalités de conservation des informations et des données collectées à cette occasion ».
Or, le projet de décret ne précise pas les durées de conservation qui devront être mises en place, contrairement aux dispositions de l'article L. 114-8 précité. La Commission prend acte que le Gouvernement s'engage à compléter le projet de texte pour remplir cette exigence législative.
La Commission sera particulièrement vigilante au respect du principe de limitation de la durée de conservation des données à caractère personnel.
A cet égard, comme cela avait été préconisé par la Commission en matière de prospection commerciale, la durée de conservation de l'information relative à l'exercice du droit d'opposition par un usager devrait être de trois ans.
En outre, la durée de conservation des données des usagers n'ayant pas exercé leur droit d'opposition pourrait être déterminée au regard de la durée de la campagne d'information proactive réalisée par l'administration à l'origine de la démarche proactive, ou sur l'utilité que présente la donnée au regard du traitement en question.
Par ailleurs, certaines informations détenues par les administrations deviennent caduques passé un certain délai, tel que le revenu fiscal de référence ou l'âge de l'usager. Cette temporalité pourrait également être utilisée dans la détermination des durées de conservation.
En tout état de cause, les administrations devront déterminer un intervalle de temps raisonnable entre chaque démarche proactive pour une prestation donnée, et ce, afin d'éviter la multiplication des sollicitations des usagers éligibles au bénéfice de certains avantages ou prestations.
Les autres dispositions du projet de décret n'appellent pas d'observation de la part de la Commission.