• Home  / 
  • DELIBERATION 2005-304

DELIBERATION 2005-304

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie le 28 août 2005 par l'agence pour le développement de l'administration électronique d'une demande d'avis portant sur un projet d'arrêté créant le téléservice "monservicepublic" ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et notamment son article 27-II, 4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Après avoir entendu, Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du gouvernement, en ses observations ;

Emet l'avis suivant :

L'Agence pour le développement de l'administration électronique (ADAE) a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis portant sur un projet d'arrêté créant le téléservice "monservicepublic" conformément aux dispositions de l'article 27-II, 4° de la loi du 6 janvier 1978 modifiée ;

Le portail internat ainsi créé sera mis en oeuvre à titre expérimental pour une durée d'un an. A cette fin, ce portail permettra de recevoir les informations issues des sites internet des administrations correspondant aux centres d'intérêts de l'usager. Il lui permettra également, par une authentification unique, d'accéder aux téléservices des administrations partenaires ainsi qu'à ses dossiers personnels, par un moyen technique évitant de saisir les identifiants sectoriels à chaque connexion. Il assurera enfin le stockage sur un espace dédié de ses dossiers et données personnels et lui permettra de bénéficier d'une messagerie électronique ainsi que d'un système de suivi et d'alertes.

Dans la mesure où la présente expérimentation est limitée à un an, le présent avis de la Commission est limité à la durée de cette expérimentation et l'ADAE devra présenter un nouveau dossier de formalités préalables lors de la mise en oeuvre définitive du portail.

Elle rappelle que chaque administration partenaire du portail "monservicepublic" devra accomplir les formalités préalables prévues par la loi du 6 janvier 1978 modifiée, préalablement à la mise en oeuvre de son téléservice.

Sur la personnalisation de l'information :

La Commission constate que l'usager pourra, après avoir créé un compte sur le portail internet "monservicepublic", définir, en fonction de ses centres d'intérêts, les domaines dans lesquels il souhaite recevoir une information des sites des administrations. Cette fonctionnalité ne concerne, en l'état du projet, que les informations disponibles sur le site "servicepublic.fr". Elle estime que cette fonctionnalité ne soulève pas de difficulté au regard des règles de protection des données à caractère personnel, dès l'instant où l'usager est libre de paramétrer les informations qu'il reçoit et de modifier ou de supprimer à tout moment son compte personnel.

Toutefois, afin de garantir l'anonymat de cette fonction, la Commission demande que les dispositions de l'article 2 du projet d'arrêté créant le portail "monservicepublic" relatives à l'énumération de la finalité relative à "la personnalisation des contenus" soient complétées des termes suivants : "cette finalité est accessible par la saisie d'un identifiant et d'un mot de passe librement choisis".

Sur l'accès, à partir d'une authentification unique, aux téléservices des partenaires du portail "monservicepublic

"Le portail "monservicepublic" permettra à un usager, à partir d'un point d'entrée unique et d'une seule authentification, d'accéder à ses comptes personnels dans différentes administrations. L'usager qui s'authentifiera, par un identifiant sectoriel, sur un des sites partenaires du portail pourra demander à bénéficier d'une authentification unique pour accéder à d'autres téléprocédures. A cette fin, il devra créer un compte sur le portail "monservicepublic" avec un identifiant et un mot de passe (ce dernier a une taille minimale de huit caractères avec au moins une lettre ou un chiffre) puis, indiquer les sites pour lesquels il souhaite bénéficier de l'authentification unique. Une fois l'identifiant sectoriel indiqué sur chaque site partenaire, il décidera de les relier entre eux par le biais du compte "monservicepublic" qui permettra, ultérieurement, d'accéder à l'ensemble des téléservices ainsi fédérés au seul moyen de l'identifiant et du mot de passe du portail "monservicepublic".

La Commission prend acte que le numéro permettant de relier, à partir du portail "monservicepublic", les sites partenaires choisis par l'usager sera une chaîne alphanumérique (chiffres et lettres) aléatoire, non signifiante permettant seulement de faire le lien entre les téléservices, sans que le système technique du portail "monservicepublic" ne puisse avoir accès ou connaître les identifiants sectoriels de l'usager. Elle constate que ce numéro n'aboutira donc pas à un regroupement d'identifiants sectoriels autour d'un identifiant commun.

La Commission recommande que l'usager du portail internet soit informé de l'existence de ce numéro permettant de relier le site "monservicepublic" aux téléservices des administrations partenaires en évitant de saisir les identifiants sectoriels.

La Commission relève, qu'en l'état du projet, il n'y a pas de volonté de faire du portail "monservicepublic" un dispositif obligatoire pour les usagers, ni de créer un identifiant administratif national.

La Commission souligne qu'elle restera vigilante sur les développements futurs du projet et demande que l'ADAE apporte toutes les garanties sur ce point.

Sur l'espace de données :

L'espace de données aura pour fonctions, à la fois de permettre de stocker des données à caractère personnel qui serviront à compléter de façon automatique des formulaires en ligne et aussi, de comporter une partie contenant des pièces justificatives pouvant être envoyées par l'usager lorsque cela est nécessaire.

La Commission attire l'attention de l'ADAE sur la nécessité de s'assurer de la proportionnalité des informations enregistrées dans l'espace personnel au regard des finalités offertes tant par celui-ci que par le portail "monservicepublic".

La Commission constate que l'accès à l'espace de données prévoit la saisie facultative de plusieurs informations dont la profession, la nationalité et les date et lieu de naissance.

La Commission considère que la nécessité de collecter ces informations, en particulier celles relatives à la naissance, la profession ou la nationalité, devra être appréciée, dans la version définitive du projet, au regard des téléservices partenaires effectivement accessibles.

La Commission prend acte que le projet d'arrêté ministériel créant le traitement rappelle que l'espace de données ne pourra être utilisé par les administrations pour échanger entre elles des documents, qu'avec le consentement de l'usager.

La Commission estime que le projet d'arrêté ministériel créant le traitement devra prévoir que les partenaires ne peuvent se voir communiquer par le biais de l'espace de données que les informations et documents dont ils ont à connaître dans le cas où ils y sont habilités par un texte législatif ou réglementaire.

Sur la messagerie électronique et la fonction de suivi des dossiers personnels :

Cette fonctionnalité regroupera à la fois la fonction de messagerie électronique contenue dans le portail "monservicepublic" et la fonction de suivi des procédures personnelles permettant, notamment, de recevoir des alertes sur l'état des dossiers personnels.

La Commission demande que l'ADAE complète la finalité prévue dans le projet d'arrêté ministériel créant le traitement en précisant les modalités exactes des alertes sur les dossiers personnels, en particulier la durée pendant laquelle ce suivi pourra s'effectuer.

La Commission souligne que le portail "monservicepublic" ne doit pas conduire à un suivi des situations individuelles des usagers, au-delà de l'information sur l'enregistrement, le déroulement ou la clôture du dossier individuel. L'usager pourra consentir, cependant, à recevoir une alerte qu'il aura choisie sur une échéance relative à son dossier ou à la formalité accomplie.

Sur l'information des personnes :

La Commission estime que les droits d'accès, de rectification et de suppression des données prévus par les articles 38 à 40 de la loi du 6 janvier 1978 modifiée doivent porter sur l'ensemble des informations rattachées à une personne.

La Commission demande, par ailleurs, que les mentions prévues par l'article 32 de la loi du 6 janvier 1978 modifiée, figurent sur le portail "monservicepublic".

Sur le chiffrement des données à caractère personnel et la traçabilité des actions menées sur le dispositif technique :

La Commission prend acte du niveau actuel de sécurité du projet de portail "monservicepublic" mais attire l'attention de l'ADAE sur la nécessité de mener une réflexion sur le nécessaire chiffrement des données à caractère personnel contenues dans le dispositif, en particulier celles de l'espace de données.

La Commission estime, qu'afin de garantir les possibilités de contrôle et d'analyse du dispositif, une politique de traçabilité doit être effectivement mise en place, en particulier s'agissant du stockage des données, de la suppression des comptes ouverts par les usagers sur le portail et des journaux des administrateurs systèmes ainsi que des sauvegardes.

Sur la durée de conservation des données :

La Commission constate que l'agence pour le développement de l'administration électronique (ADAE) conservera la liste des usagers du portail "monservicepublic" et de leurs login/mot de passe avec le numéro de liaison vers les sites fédérés par l'usager.

La Commission considère que les comptes des usagers inutilisés devront être désactivés et les données effacées. Une durée maximale devra être fixée dans le cadre de la version définitive du projet.

La Commission estime que la durée de conservation des sauvegardes devra être réduite à un mois de façon, en particulier, à ne pas conserver de façon indéfinie les liaisons établies par les usagers vers les différents sites partenaires.

La Commission demande que l'ADAE lui fournisse les modalités exactes de l'anonymisation des données à caractère personnel, prévue, à des fins statistiques, après la fin de la durée de conservation de ces données.

Sur la nécessité d'un bilan :

La Commission demande à l'agence pour le développement de l'administration électronique (ADAE) de lui adresser un bilan précis de l'expérimentation, à son terme.

Le Président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: