• Home  / 
  • DELIBERATION 2010-030

DELIBERATION 2010-030

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,
Saisie le 11 janvier 2010 par l’association Guichet Entreprises d’une demande d’avis sur un projet de résolution portant création d’un téléservice dénommé « guichet-entreprises.fr » ;
Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 27-II-4° ;
Vu l’article 2 de loi n°94-126 du 11 février 1994 relative à l’initiative et à l’entreprise individuelle modifié par la loi n°2008-776 du 4 août 2008 de modernisation de l’économie, et notamment le V de son article 8 ;
Vu le projet de décret modifiant le code de commerce et relatif aux centres de formalités des entreprises examiné par la Commission nationale de l'informatique et des libertés le 14 janvier 2010 ;
Sur le rapport de Madame Isabelle FALQUE-PIERROTIN et Monsieur Bernard PEYRAT, commissaires, et les observations de Madame Elisabeth ROLIN, commissaire du Gouvernement ;
Emet l’avis suivant :
L’association Guichet Entreprises a saisi la Commission nationale de l’informatique et des libertés d’une demande d’avis sur un projet de résolution portant création d’un téléservice dénommé « guichet-entreprises.fr », conformément aux dispositions de l’article 27-II-4° de la loi du 6 janvier 1978 modifiée.
Cette demande d’avis fait suite à l’examen par la Commission le 14 janvier 2010 d’un projet de décret modifiant le code de commerce et relatif aux centres de formalités des entreprises. Ce projet de décret modifiait, notamment, l’article R123-21 du code de commerce afin que la gestion du guichet unique dématérialisé constitue une mission de service public et qu’ainsi, l’Association Guichet Entreprises, personne morale de droit privé qui regroupe les réseaux des Centre de Formalités des Entreprises, l’INPI et l’Agence pour la création d’entreprise, puisse, au titre de cette mission de service public qui lui est confiée, être responsable du téléservice « guichet-entreprises.fr ».
Il convient de rappeler que les Centres de Formalités des Entreprises (CFE) ont un rôle de centralisation des déclarations, de contrôle formel des documents présentés, de transmission de l'ensemble des pièces aux organismes destinataires qui s'assurent de leur régularité et de leur validité. La transposition de la directive européenne dite « services » en droit français a confié un rôle nouveau aux CFE : celui de recevoir les demandes d’autorisations administratives nécessaires à l’exercice des activités réglementées telles que celles d’agent immobilier, de vétérinaires, d’architectes ou de commerçants ambulants. La répartition des demandes entre les sept réseaux de CFE (les Chambres de Commerce et d'Industrie, les Chambres de Métiers et de l'Artisanat, la chambre nationale de la batellerie artisanale, les greffes des tribunaux de commerce ou des tribunaux de grande instance, les chambres d'agriculture, les centres des impôts, les URSSAF) se fait toujours selon la compétence matérielle précisée par l’article R123-3 du code de commerce puis au sein de chaque réseau, selon un critère géographique.
Présentation du téléservice « guichet-entreprises.fr »
Le portail permet de créer un compte utilisateur qui donne accès à un espace personnel dédié au déclarant dans lequel il peut remplir les formulaires nécessaires à la création de son activité et déposer des pièces justificatives.
Dès lors que le déclarant considère son dossier comme complet, le téléservice permet la transmission dématérialisée de celui-ci. Le portail permet, le cas échéant, de rediriger le déclarant vers un site sécurisé afin qu’il s’acquitte du paiement du coût des formalités.
Le portail a pour objectif, à terme, de permettre au déclarant de consulter son dossier, de suivre son état d’avancement et éventuellement de le compléter.
Analyse du projet de résolution au regard de la loi du 6 janvier 1978 modifiée
Sur les finalités et les fonctionnalités
L’article 1er du projet de résolution énonce que ce téléservice a pour objet de permettre à l’entrepreneur d’accomplir l’ensemble des formalités et procédures nécessaires à l’accès et à l’exercice de son activité.
Les principales fonctionnalités de ce portail sont :
1 - accéder à la documentation précisant les obligations des centres de formalités des entreprises ainsi que les éléments constitutifs du dossier de déclaration et du dossier de demandes d’autorisations ;
2 - constituer son dossier unique visé à l’article R 123-1 du code de commerce comprenant le dossier de déclaration et, le cas échéant, de demandes d’autorisations, grâce à un espace de stockage personnel. Cet espace permet au déclarant de gérer et utiliser ses données à caractère personnel, de conserver les informations le concernant et les documents et pièces justificatives qui lui sont nécessaires pour l’accomplissement des démarches administratives. Cet espace est accessible au seul déclarant au moyen d’un identifiant et d’un mot de passe. Son utilisation est placée sous le contrôle et la responsabilité de son titulaire qui peut le désactiver ou le clore à tout moment. Seul le déclarant peut accéder aux données contenues dans son espace personnel et il gère directement les informations qu’il y a stockées. Il peut choisir de les modifier ou de les supprimer librement.
Il conviendrait que cet alinéa soit modifié afin de faire apparaître deux fonctionnalités distinctes : l’une relative à la création du compte utilisateur, et l’autre à la constitution du dossier grâce à l’espace de stockage dont il est le seul à pouvoir accéder.
3 - transmettre son dossier de déclaration et, le cas échéant, de demandes d’autorisations au centre de formalités des entreprises compétent ;
A la lecture du cahier des charges, il apparaît que cette transmission se traduit par la conversion du dossier finalisé par le déclarant dans un format garantissant l’intégrité de son contenu, puis par la possibilité pour les agents habilités des CFE de le lire sans pouvoir le modifier.
4 - accéder aux informations de suivi du traitement du dossier de déclaration et, le cas échéant, du dossier de demandes d’autorisations.
Au vu des éléments complémentaires qui ont été adressés à la Commission, il a été précisé que ce suivi permettrait au déclarant de compléter son dossier, le cas échéant, ainsi que de suivre son état d’avancement.
La Commission constate la légitimité de la finalité du téléservice « guichet-entreprises.fr » ainsi que de ses fonctionnalités, notamment en ce qu’elle s’inscrit dans la transposition de la directive services visant à simplifier et à dématérialiser les procédures relatives à l’accès et à l’exercice de l’activité des prestataires de services.
La Commission rappelle que le développement de l’administration électronique doit avoir pour objectif de mettre en place des outils de simplification des démarches administratives et d’amélioration des relations entre les usagers et l’administration, sans que ces outils soient exclusifs d’autres canaux d’échanges. A ce titre, elle relève que le projet de résolution précise le caractère facultatif pour les usagers du portail « guichet-entreprises.fr»
La Commission se félicite que toutes les opérations effectuées sur l’espace personnel de stockage (dépôt et conservation de documents, transmission d’informations ou de pièces dématérialisées utiles à l’accomplissement des démarches administratives) soient à l’initiative et sous le seul contrôle de l’usager.
Sur les données à caractère personnel
L’article 2 du projet de résolution énumère les catégories de données à caractère personnel enregistrées, en distinguant celles nécessaires pour la gestion de l’accès au portail « guichet-entreprises.fr» et celles relatives à l’utilisation de l’espace personnel de stockage.
Les données relatives à la gestion de l’accès à l’espace personnel du téléservice n’appellent pas d’observations particulières.
Les informations collectées lors de l’utilisation de l’espace de stockage personnel et donc du remplissage des formulaires de création d’entreprises correspondent aux données actuellement demandées dans les formulaires papier.
Il convient de préciser que le NIR n’est transmis qu’aux organismes sociaux pour la prise en charge du déclarant par les organismes maladie et vieillesse ainsi qu’à l’URSAFF. Il a été précisé que la collecte de cette information concernait toutes les personnes devant s’affilier au régime des travailleurs non salariés telles que les entreprises individuelles, les auto-entrepreneurs et pour certains dirigeants de personnes morales (gérants majoritaires de SARL et associés et/ou dirigeants de sociétés de personnes).
La Commission constate que les données collectées sont pertinentes au regard des finalités pour lesquelles elles sont collectées.
Sur la durée de conservation des informations
L’article 3 du projet de résolution indique qu’ « il est procédé à l’effacement de toutes les données et de tous les fichiers présents dans l’espace de stockage personnel du déclarant à l’issue d’une période de douze mois suivant l’ouverture de cet espace de stockage par le déclarant ».
Cette durée apparaît conforme à la durée de conservation de douze mois du « service de conservation provisoire » qui a été fixée par le projet d’article R123-27 du code de commerce tel qu’il a été examiné par la Commission le 14 janvier 2010.
Les éléments complémentaires adressés à la Commission indiquent que passé ce délai d’un an, les données seront effacées si le déclarant n’a pas transmis son dossier.
Cependant, la Commission constate que les données du compte utilisateur ne sont pas visées par l’article 3 précité, alors même qu’il s’agit de données à caractère personnel.
Par ailleurs, la Commission considère que les usagers doivent être préalablement informés de la destruction prochaine de leurs données et documents, et qu’il convient en conséquence de mettre en place un système d’alerte par courriel, donnée fournie par l’usager lors de son inscription au service.
Compte tenu de toutes ces remarques, la Commission préconise que l’article 3 soit rédigé de la manière suivante :
« Il est procédé à l’effacement de toutes les données et de tous les fichiers présents dans l’espace de stockage personnel du déclarant ainsi que les données relatives à la gestion de l’accès à l’espace personnel du téléservice à l’issue d’une période de douze mois suivant l’ouverture de cet espace de stockage par le déclarant, si ce dernier n’a pas finalisé et transmis son dossier.
Deux messages sont au préalable envoyés au déclarant, respectivement trois mois et deux semaines avant la suppression du compte. »
En outre, bien que l’article 1-4° du projet de résolution prévoit comme fonctionnalité la possibilité d’accéder aux informations de suivi du traitement du dossier de déclaration et, le cas échéant, de celui de demandes d’autorisations, aucune précision sur la durée de conservation des données relatives à ce suivi n’a été indiquée.
Toutefois, la Commission a examiné le 14 janvier 2010 l’article R123-19 du code de commerce tel que rédigé de la manière suivante :
« Le support de la déclaration ainsi que les renseignements qu'elle contient et les pièces relatives à celle-ci et, le cas échéant, aux procédures d’autorisation requises ne peuvent être conservées par le centre au-delà des délais nécessaires, en application de l’article R 123-10, à la transmission prévue à l’article R 123-18. ».
Les précisions apportées à la Commission indiquent que le déclarant devrait pouvoir consulter le contenu de sa déclaration pendant le temps nécessaire à l’instruction de son dossier ainsi qu’être en mesure de compléter son dossier dans l’hypothèse où il aurait fourni une mauvaise pièce justificative ou si le dossier faisait apparaître la nécessité de solliciter de nouvelles pièces justificatives.
Par conséquent, l’article 3 du projet de résolution pourrait être complété de la manière suivante : « Une fois le dossier validé et transmis au CFE compétent, le dossier est conservé le temps nécessaire à l’instruction de la déclaration ainsi que le cas échéant, aux procédures d’autorisations. Pendant cette période, le déclarant peut consulter le dossier qu’il a transmis et, le cas échéant, le compléter à la demande du CFE ».
Sur les destinataires
L’article 4 du projet de résolution énumère les destinataires habilités à recevoir communication de ces données à raison de leurs attributions respectives.
La Commission rappelle que ces données sont transmises au CFE par le déclarant une fois que celui-ci a validé le dossier. Les CFE transmettent ensuite les seules données nécessaires aux organismes compétents dans le cadre de leur mission.
Dès lors, la Commission recommande que le 1er alinéa de cet article soit précisé de la manière suivante :
« Les destinataires ou catégories de destinataires habilités à recevoir communication ,des seules données nécessaires à l’exercice de leurs missions sont, à raison de leurs attributions respectives ».
Les destinataires énumérés à l’article 4-I° correspondent à la liste des « principaux organismes destinataires des formalités des entreprises » telle que définie par l’annexe 1-1 à l’article R123-30 du code de commerce.
Il convient de rappeler que le téléservice proposé a pour vocation de transmettre les informations au CFE compétent qui retransmet les informations aux organismes et autorités en charge de l’instruction des formalités relatives à la création d’activité.
Par exemple, l’inspection du travail est destinataire des formalités du CFE lorsque l’entreprise ou l’établissement emploie des salariés.
Sur la sécurité et la confidentialité
La Commission prend acte que l’article 1 rappelle que « Les fonctions du service sont mises en œuvre dans un environnement sécurisé assurant le chiffrement de l’ensemble des données à caractère personnel et des communications avec les partenaires du service ainsi que la traçabilité des accès et des transmissions de données ».
Plus particulièrement, s’agissant de l’accès à son dossier par l’usager, il convient de noter que la confidentialité des échanges est assurée au moyen du protocole sécurisé SSL. L’authentification de l’usager est établie à partir d’un couple identifiant/mot de passe librement choisi par lui. Le mot de passe doit toutefois être d’une longueur d’au moins huit caractères.
La Commission observe, que s’agissant de l’accès au dossier par les agents des CFE, il convient de préciser que la confidentialité des communications entre les systèmes d’information des CFE et le téléservice « guichet-entreprises.fr » est assurée au moyen de protocoles sécurisés éprouvés. Afin de prendre connaissance d’un dossier, les agents habilités doivent s’authentifier au moyen d’un certificat de classe 3+ protégé par un code secret (code PIN).
Par ailleurs, un horodatage des documents est réalisé par un tiers et leur l’intégrité est garantie au moyen d’une signature électronique. Enfin, les consultations des documents par les agents habilités sont enregistrées.
Au regard de ces éléments, la Commission constate que le dispositif présente un niveau de sécurité globalement satisfaisant.
Sur les droits des personnes
La Commission rappelle l’obligation de faire figurer les mentions d’information prévues à l’article 32 de la loi du 6 janvier 1978 modifiée sur chacune des pages contenant des formulaires de collecte de données à caractère personnel. Les éléments complémentaires adressés à la Commission indiquent que l’information concernant la conservation des données des formalités est précisée au déclarant lors de l’utilisation de la fonction de conservation temporaire.
Elle constate que le droit d’opposition ne s’applique pas au présent traitement.
Les droits d’accès et de rectification s’exercent auprès du centre de formalités des entreprises destinataire du dossier de déclaration.
Sur les formalités relatives aux traitements des CFE
Les CFE réalisent déjà des traitements informatiques des déclarations reçues en tant que guichet unique physique ou via des portails tels que CFEnet (pour les entreprises relevant des Chambres de Commerce et d'Industrie) CFEmétier (pour les entreprises relevant des Chambres de Métiers et de l'Artisanat) ou des sites locaux .
Les nouvelles missions des CFE de gestion des demandes d’autorisation des professions réglementées et la mise en place d’un portail unique nécessiteront qu’ils modifient leurs traitements existants.
Dans un souci de simplification, la Commission propose que les formalités des CFE puissent être accomplies sur la base du projet de résolution portant création du téléservice « guichet-entreprises.fr », qui constituerait un acte réglementaire unique au sens de l’article 27-III de la loi du 6 janvier 1978 modifiée. Chaque nouveau partenaire pourrait alors effectuer une déclaration de conformité à cet acte réglementaire unique.
La mise en place d’un acte réglementaire unique, implique toutefois que l’article 1er du projet de résolution soit complété pour couvrir les traitements mis en œuvre par les CFE ce qui n’est pas le cas actuellement. Ainsi, la Commission propose d’ajouter un cinquième paragraphe à l’article 1er dudit projet qui pourrait être rédigé comme suit :
5°) permettre aux CFE de mettre en œuvre les traitements nécessaires à l’exploitation des informations reçues de la personne morale visée au dernier alinéa de l’article R. 123-21 du code de commerce : réception du dossier unique prévu à l’article 2 de la loi n° 94-126 du 11 février 1994 relative à l’initiative et à l’entreprise individuelle et transmis par la personne morale visée à l’article R 123-21 du code de commerce ; réception des informations de suivi du traitement de ces dossiers tels que transmises par les organismes et autorités partenaires ; transmission des informations de suivi du traitement des dossiers uniques à la personne morale visée à l’article R 123-21 du code de commerce ».
Toutefois, la Commission appelle l’attention des CFE sur le fait que le projet de résolution portant création du téléservice «guichet-entreprises.fr » ne peut en aucun cas couvrir leurs propres téléservices, qui répondent à des finalités propres liées aux missions et compétences de chacun, et dont les traitements ne sont pas décrits dans le projet de résolution soumis à la Commission.
Afin d’éviter que la Commission ait à nouveau à examiner ce dossier et pour que les CFE aient une meilleure visibilité sur la manière dont ils pourront s’acquitter de leurs obligations au titre des formalités préalables, la Commission propose que le projet de résolution soit complété par un article qui pourrait être rédigé comme suit : « Acte réglementaire unique: La mise en œuvre des traitements de données à caractère personnel nécessaire à l’exploitation des informations reçues via le téléservice « guichet-entreprises.fr » par le Centre de Formalités des Entreprises compétent est subordonnée à un engagement de conformité faisant référence à la présente résolution. Cette déclaration peut s’effectuer sur le site internet de la Commission nationale de l’informatique et des libertés Toutefois, cette déclaration ne couvre pas la mise en œuvre des traitements de données à caractère personnel liés à d'autres applications propres à chaque administration, qui restent soumis à l’accomplissement des formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 susvisée ».

Le président


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: