• Home  / 
  • DELIBERATION 03-054

DELIBERATION 03-054

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis des dispositions du titre relatif au développement de l'administration électronique, contenues dans l'avant-projet de loi habilitant le Gouvernement à simplifier le droit par voie d'ordonnances ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du parlement européen et du conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret n° 78-774 du 17 juillet 1978 ;

Après avoir entendu Monsieur Marcel PINET, commissaire, en son rapport, et Madame Catherine POZZO DI BORGO, commissaire-adjoint du Gouvernement, en ses observations ;

EMET L'AVIS SUIVANT

Les dispositions figurant sous le titre "développement de l'administration électronique" ont pour objet de définir le cadre juridique adéquat pour assurer le développement de l'administration électronique et améliorer ainsi le service public au bénéfice de l'usager.

L'article premier autorise ainsi le Gouvernement à fixer par voie d'ordonnance les règles nécessaires pour, respectivement :

- assurer la sécurité et la fiabilité des informations échangées entre les usagers et l'administration,

- permettre aux usagers d'effectuer leurs démarches administratives par voie électronique dès lors que de tels services sont disponibles,

- offrir la possibilité pour les administrations d'effectuer tout ou partie des procédures de contrôle dont elles ont la charge par voie électronique,

- mettre à disposition des usagers un dispositif leur permettant de stocker sous forme électronique les documents et données les concernant pouvant être transmis aux destinataires de leur choix, en particulier dans le cadre de démarches administratives,

-offrir aux usagers la possibilité de déclarer, en une seule opération, leur changement d'adresse aux autorités administratives, et le cas échéant à des partenaires privés.

Cet article précise enfin son champ d'application en ce qui concerne tant les acteurs intéressés que les traitements de données visés.

L'article 2 autorise le Gouvernement à fixer par voie d'ordonnance les conditions de nature à permettre la signature électronique des actes administratifs.

L'article 3 autorise le Gouvernement à prendre par voie d'ordonnance, dans le respect des principes posés en matière de protection des libertés individuelles et de la vie privée, les mesures de nature à permettre l'accès et la diffusion des données publiques produites ou collectées par les administrations de l'Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes de sécurité sociale et les autres organismes chargés de la gestion d'un service public administratif.

Enfin, l'article 4, d'application directe, vise à ajouter à l'article 21 de la loi n° 82-610 du 15 juillet 1982 un second alinéa afin de permettre la constitution, au niveau national comme au niveau local, de groupements d'intérêt public pour exercer pendant une durée limitée une activité liée au développement technologique ou gérer des équipements d'intérêt commun nécessaires à ces activités.

La Commission considère qu'en l'état, l'ensemble de ces dispositions qui énonce de simples orientations de caractère général n'appelle pas d'objection de principe au regard des principes de protection des données à caractère personnel mais qu'elle devra être consultée sur les dispositions des ordonnances qui préciseront les mesures envisagées et qui seront susceptibles d'intéresser la protection des droits et libertés des personnes à l'égard des traitements de données à caractère personnel.

Il ne lui appartient pas d'apprécier si l'encadrement juridique ainsi défini par le projet de loi est suffisant au regard des exigences de la jurisprudence du Conseil constitutionnel ni si les mesures envisagées, telles qu'elles ressortent de l'exposé des motifs, sont de nature législative ou réglementaire. Elle estime cependant devoir formuler des observations sur les points suivants.

Sur la sécurité et la fiabilité des échanges de données entre usagers et administrations

La Commission suggère que le texte précise que les informations échangées le sont "par voie électronique".

La Commission approuve l'orientation prise par le Gouvernement de permettre aux administrations de disposer de systèmes d'information dont la sécurité réponde aux exigences posées en particulier par l'article 17 de la directive européenne n° 95/46/CE du 24 octobre 1995 et par l'article 29 de la loi du 6 janvier 1978.

La Commission estime que, dans la mesure où cette disposition a pour objet de renforcer la sécurité non seulement des téléprocédures effectuées par les usagers mais également des échanges d'informations entre administrations, il y a lieu de transférer dans un article spécifique le dernier paragraphe de l'article premier qui prévoit que "les dispositions du présent article s'appliquent également aux échanges entre autorités administratives".

Sur la possibilité pour les administrations, prévue par le 3° de l'article 1er, "d'effectuer tout ou partie des procédures de contrôle dont elles ont la charge par voie électronique"

La Commission estime que, dans la mesure où le 3° de l'article 1er a uniquement pour objet de permettre aux autorités administratives, dans le cadre des procédures de contrôle dont elles ont la charge, d'obtenir des usagers concernés, par voie électronique, les informations requises sur demande préalable et également d'accomplir par voie électronique des actes de procédure liés à l'exercice des contrôles, la rédaction de cette disposition devrait être complétée de façon à délimiter son champ d'application.

La Commission considère également que les dispositions de l'ordonnance devraient indiquer précisément les procédures de contrôle concernées et fixer les modalités d'interrogation et de transmission des informations.

Sur la mise à disposition de l'usager d'un dispositif de stockage des données

La Commission relève la proposition de doter l'usager d'un dispositif de stockage de données ou de documents dont il serait le gestionnaire.

La Commission estime toutefois qu'au regard des principes de protection des données à caractère personnel, l'institution d'un tel dispositif suppose de définir précisément ses conditions exactes d'accès et d'utilisation par l'usager et par l'administration, les contraintes de sécurité, s'agissant en particulier de la possibilité pour l'usager de chiffrer les informations et de déterminer la validité juridique des informations y figurant ainsi que les responsabilités respectives de l'usager, de l'administration destinataire et de l'hébergeur, au regard de l'enregistrement des données, de leur conservation et de leur transmission.

La Commission estime dès lors que la référence faite au 4° de l'article premier à la seule responsabilité des usagers mérite d'être complétée et précisée.

La Commission prend acte de ce que, aux termes de l'exposé des motifs, la liste des données susceptibles d'être conservées dans ce dispositif de stockage sera fixée par décret en Conseil d'Etat pris après avis de la CNIL.

Elle relève également que selon l'exposé des motifs, les dispositifs de stockage seraient gérés par des prestataires privés qui devraient être agrées selon des modalités analogues à celles prévues par l'article L. 1111-8 du code de la santé publique pour l'hébergement de données personnelles de santé.

Sur le service de changement d'adresse

La Commission estime que les objectifs de simplification poursuivis par la création du service de changement d'adresse sont légitimes dès lors d'une part que l'inscription à ce service et la décision de transmettre à telle autorité administrative ou tel partenaire privé les informations relatives au changement d'adresse relèvent de la seule volonté de l'usager et, d'autre part, que toutes garanties sont prises afin que ne soit pas constitué, à l'occasion de telles démarches, un fichier national de domiciliation. Elle observe en outre que les termes de partenaires privés" pourraient être remplacés par une expression mieux adaptée à l'objet de la disposition énoncée.

La Commission prend acte des assurances qui lui ont été données qu'il n'est pas envisagé de recourir au fichier des changements d'adresse de La Poste.

Elle estime également que pour assurer le respect des règles de protection des données à caractère personnel, il y aura lieu de prévoir, dans l'ordonnance, l'obligation pour le service assurant la gestion de ce service de n'enregistrer que les données d'identification et d'adresse strictement nécessaires pour assurer la transmission de celles-ci aux seuls destinataires désignés par l'usager et habilités à connaître de ces informations, au titre de leurs missions, et de ne conserver ces données que le temps strictement nécessaire pour permettre leur bonne réception technique par les destinataires précités et l'envoi par leurs soins d'un accusé de réception.

Sur la signature électronique des actes administratifs

La Commission estime que dans la mesure où, aux termes de l'exposé des motifs, l'article 2 a non seulement pour objet de permettre la signature électronique des actes administratifs mais également de déterminer les effets juridiques, en particulières vis à vis des usagers, des accusés de réception émis sous forme électronique par l'administration, il y aurait lieu de compléter en ce sens cet article.

Sur l'accès et la diffusion des données publiques

Aux termes de l'exposé des motifs, cet article permettra de transposer la directive concernant la réutilisation et l'exploitation commerciale des documents du secteur public, en cours d'adoption. Le champ de l'article 3 est cependant plus vaste que la seule exploitation commerciale et englobe notamment la mise à disposition par les organismes visés des données publiques diffusables.

La Commission rappelle, ainsi qu'elle l'a précisé notamment dans son avis du 3 mai 2001 sur le projet de loi sur la société de l'information et ainsi que l'a souligné le groupe de travail de l'article 29 de la directive européenne n° 95/46/CE du 24 octobre 1995 dans son avis du 3 mai 1999, que les règles de protection des données à caractère personnel s'appliquent aux données rendues publiques, s'agissant tout particulièrement des principes de finalité et de légitimité et du droit de toute personne de s'opposer à la diffusion des données la concernant.

La Commission observe à cet égard que seul l'article 1er fait référence à la législation relative à l'informatique, aux fichiers et aux libertés et estime en conséquence que l'article 3 devrait être complété également en ce sens.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: