• Home  / 
  • DELIBERATION 2005-280

DELIBERATION 2005-280

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie le 9 novembre 2005 par l'agence pour le développement de l'administration électronique d'une demande d'avis sur le projet d'ordonnance relatif aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et notamment son article 11-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 ;

Après avoir entendu, Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du gouvernement, en ses observations ;

Emet l'avis suivant :

La CNIL a été saisie, par l'agence pour le développement de l'administration électronique (ADAE), le 9 novembre 2005, d'un projet d'ordonnance relatif aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ce projet a été rédigé en application de la loi du 9 décembre 2004 de simplification du droit et autorisant le gouvernement à agir par ordonnance (PLH 2).

La Commission constate que le champ d'application du projet d'ordonnance est de définir les conditions des échanges dématérialisés entre les "autorités administratives" (administrations de l'Etat, collectivités territoriales, organismes de protection sociale relevant du code de la sécurité sociale, du code rural ou du code du travail et autres organismes chargés de la gestion d'un service public administratif) et les citoyens, voire entre les administrations elles-mêmes.

La Commission estime que les objectifs de simplification poursuivis par le projet d'ordonnance sont légitimes dès lors que les principes de protection des données à caractère personnel sont respectés, en particulier la proportionnalité des échanges créés au regard de leurs finalités, la confidentialité des données traitées ainsi que leur durée de conservation.

Sur les échanges d'informations prévus par l'ordonnance au regard des principes de la loi "informatique et libertés"

La Commission constate que le I de l'article 2 du projet d'ordonnance pose le principe selon lequel les usagers et les administrations, dans les conditions et limites fixées par décret en Conseil d'Etat, peuvent procéder à des échanges d'information "par voie électronique".

La Commission prend acte que ces dispositions visent à permettre aux citoyens d'échanger avec les administrations des "messages électroniques", comme le souligne le rapport au Président de la République joint au projet d'ordonnance, et à fournir une base pour des échanges dématérialisés n'entrant pas dans les conditions fixées (interopérabilité et mesures de sécurité) au II de l'article 2 du projet d'ordonnance.

La Commission souligne, tout d'abord, que le premier objectif pourrait être obtenu en modifiant les dispositions de l'article 16 de la loi du 12 avril 2000 afin d'obliger les autorités administratives à prendre en compte les messages électroniques, par exemple des courriels des administrés.

La Commission relève, par ailleurs, que la rédaction actuelle du second objectif, dans la généralité des messages électroniques qu'elle semble inclure, est en contradiction avec l'objectif général de sécurité poursuivi parle chapitre Il du projet d'ordonnance.

De surcroît, la Commission rappelle que les échanges de données à caractère personnel couvertes par le secret professionnel relèvent du domaine de la loi.

En conséquence, la Commission considère que le I de l'article 2 du projet d'ordonnance devrait être supprimé ou, à tout le moins, que le décret mentionné devrait être pris après avis de la CNIL et que la rédaction reste limitée à la prise en compte des demandes des usagers par courriel ou téléphone.

Sur la notion de téléservice

Le II de l'article 2 du projet d'ordonnance dispose que les autorités administratives peuvent créer des téléservices permettant d'effectuer en ligne des démarches administratives.

La Commission considère qu'il s'agit d'une base juridique permettant de définir un cadre commun à toutes les administrations pour la création de téléservices.

La Commission souligne l'intérêt pour les téléservices de respecter "des exigences de sécurité et d'interopérabilité prévues aux chapitres deux et trois de l'ordonnance".

Elle ajoute cependant qu'il est nécessaire que la création ou le développement des téléservices se fassent dans le respect des dispositions de la loi du 6 janvier 1978.

La Commission demande que le II de l'article 2 actuel soit complété par les mots "dans le respect des dispositions de la loi du 6 janvier 1978".

Sur l'information des personnes

La Commission relève que le premier alinéa de l'article 6 du projet d'ordonnance prévoit que lorsqu'une disposition législative ou réglementaire rend nécessaire qu'une administration demande à un usager une information émanant d'une autre administration, cette information, dès l'instant où elle contient des données à caractère personnel, pourra être transmise par voie électronique entre administrations, à condition que l'usager l'ait expressément autorisé.

La Commission considère que cette disposition est protectrice, par principe, de l'usager et qu'elle permet, en toute hypothèse, une information a priori claire de celui-ci. La Commission souligne, dans le même temps, que ce consentement peut parfois paraître théorique dans la mesure où il peut être lié à une demande de prestation.

La Commission relève également que le deuxième alinéa du même article 6 du projet d'ordonnance dispose que l'autorisation de l'usager "n'est pas nécessaire lorsque l'autorité administrative est habilitée par une disposition législative ou réglementaire à obtenir, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, la transmission" de l'information.

La Commission constate que ces dispositions peuvent concerner des échanges divers d'information entre autorités administratives alors même que la loi du 9 décembre 2004 n'habilite le gouvernement à agir par ordonnance pour créer des échanges entre les autorités administratives que dans le cadre des "procédures de contrôle". Elle demande, par conséquent, que cette limitation soit ajoutée au paragraphe 2 de l'article 6 afin d'en limiter la portée, conformément à la loi d'habilitation.

La Commission estime, en outre, qu'une information des usagers devra être mise en place préalablement à l'échange d'informations.

La Commission considère indispensable, afin de garantir le respect des principes de protection des données à caractère personnel, que les mots "dans le respect de la loi du 6 janvier 1978" soient ajoutés.

Enfin, la Commission rappelle que les échanges de données à caractère personnel entre autorités administratives couvertes par le secret professionnel relèvent du domaine législatif.

En conséquence, la Commission propose que la rédaction suivante soit substituée à l'article 6 alinéa 2 : "cette autorisation n'est pas nécessaire lorsque l'autorité administrative est habilitée par une disposition législative, notamment s'il s'agit de données à caractère personnel couvertes par le secret professionnel, ou réglementaire à obtenir, dans le cadre d'une procédure de contrôle, la transmission de cette information, dans le respect des dispositions de la loi du 6 janvier 1978. L'usager doit préalablement être informé de l'existence de cette possibilité d'échange d'informations entre autorités administratives".

Sur l'espace personnel de stockage de données

L'article 7 du projet d'ordonnance pose le principe de la création d'un téléservice de stockage de données accessible en ligne pour l'usager. Il est destiné à permettre à l'usager de stocker ses documents personnels et de pouvoir les transmettre aux administrations habilitées à les demander.

La Commission a, dans sa délibération n° 03-054 du 27 novembre 2003, estimé qu'au regard des principes de protection des données à caractère personnel, l'institution d'un tel dispositif supposait de définir précisément ses conditions exactes d'accès et d'utilisation par l'usager et par l'administration, les contraintes de sécurité, s'agissant en particulier de la possibilité pour l'usager de chiffrer les informations, et de déterminer la validité juridique des informations y figurant, ainsi que les responsabilités respectives de l'usager, de l'administration destinataire et de l'hébergeur, au regard de l'enregistrement des données, de leur conservation et de leur transmission.

La Commission se félicite que la liste des données susceptibles d'être conservées dans ce dispositif de stockage, les conditions de sécurité, le type d'informations gérées et les modalités d'intervention de l'usager soient fixés par décret en Conseil d'État, pris après avis de la CNIL.

Sur l'accusé de réception électronique

L'article 5 du projet d'ordonnance dispose que toute demande, déclaration ou paiement adressé à une administration par voie électronique doit faire l'objet d'un accusé de réception électronique.

La Commission souligne le caractère positif de ce principe mais constate que dans le cadre du portail de changement d'adresse mis en oeuvre par l'ADAE un tel accusé de réception n'a pas été mis en place. La Commission demande que les modalités d'application de ce principe soit prises par un décret en Conseil d'Etat "pris après avis de la CNIL".

Sur les mesures de sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives ou entre les autorités administratives

La Commission estime que la définition, à l'article 9 du projet d'ordonnance, d'un référentiel de sécurité destiné à préciser les modalités techniques de sécurité des échanges de données entre les usagers et les autorités administratives ou entre autorités administratives est satisfaisante.

A cet égard, la Commission demande à être consultée sur le décret qui définira ce référentiel de sécurité ainsi que le cas échéant, en amont, sur les questions relatives aux données à caractère personnel concernées par ce référentiel.

De ce point de vue, la Commission rappelle que les échanges et les circulations d'informations contenant des données à caractère personnel doivent être effectués sur des supports chiffrés.

La Commission demande que les mots "après avis de la CNIL" soient ajoutés à l'article 13 du projet d'ordonnance qui renvoie à un décret en Conseil d'Etat les modalités d'application du chapitre relatif aux conditions de sécurité, les données à caractère personnel étant directement concernées par ces mesures de sécurité.

Sur l'interopérabilité des services offerts par voie électronique

La Commission demande que l'article 14 du projet d'ordonnance soit complété par les mots "dans le respect de la loi informatique et libertés" et que le décret définissant le référentiel général d'interopérabilité soit pris "après avis de la CNIL".

De la même façon, la Commission souligne l'importance que le décret en Conseil d'Etat visé à l'article 17 du projet d'ordonnance soit "pris après avis de la CNIL".

Le président Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: