• Home  / 
  • DELIBERATION 2011-143

DELIBERATION 2011-143

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
Vu l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n°2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n°2007-284 du 2 mars 2007 fixant les modalités d'élaboration, d'approbation, de modification et de publication du référentiel général d'interopérabilité ;
Vu l’arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques ;
Vu l’arrêté du 9 novembre 2009 portant approbation du référentiel général d'interopérabilité ;
Vu le référentiel général d’interopérabilité, version 1.0 du 12 mai 2009, de la Direction générale de la modernisation de l’État du ministère du Budget, des comptes publics et de la de la fonction publique ;
Vu le référentiel général de sécurité, version 1.0 du 6 mai 2010, de l’Agence nationale de la sécurité des systèmes d’information et de la Direction générale de la modernisation de l’État du ministère du Budget, des comptes publics et de la réforme de l’État.
Après avoir entendu M. Yann PADOVA, secrétaire général, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
Sur le téléservice de dépôt de plaintes en ligne
L’article 11 c) de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel dispose que la Commission reçoit les « plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ».
Le 15 juin 2010, la Commission a mis en ligne un téléservice permettant aux usagers de lui adresser leurs plaintes à partir de son site Internet. À titre d’expérimentation, il ne concerne que les personnes qui ont demandé sans succès à ne plus recevoir de publicités (radiation d’un fichier de prospection) et celles qui n’ont pas pu exercer leur droit d’accès.
Ce téléservice permet tout d’abord aux internautes d’être informés et orientés selon leur situation. Il leur permet également de saisir des éléments de plainte (sur l’internaute, sur l’organisme qui détient le fichier, et sur les démarches qui ont été entreprises) et d’envoyer des pièces jointes à l’aide d’un formulaire prévu à cet effet. Une fois la saisie réalisée, un accusé de réception leur est envoyé de manière automatique. Au-delà du téléservice, la plainte est ensuite qualifiée et instruite par les services de la Commission par le processus traditionnel.
Sur le référentiel général de sécurité
Le référentiel général de sécurité (RGS), prévu par l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, et approuvé par l’arrêté du 6 mai 2010, a été élaboré conjointement par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et par la Direction générale de la modernisation de l’État (DGME) du ministère du Budget, des comptes publics et de la réforme de l’État. Il contient un ensemble de règles et de recommandations applicables aux téléservices des administrations.
La conformité au référentiel général de sécurité se traduit par l’application d’une part des règles relatives au cadre pour gérer la sécurité des systèmes d’information, et d’autre part des règles relatives aux fonctions de sécurité mises en œuvre.
Il dispose notamment qu’il convient d’identifier les biens à protéger et les menaces à considérer au moyen d'une analyse de risques, de déterminer les objectifs de sécurité selon les critères de disponibilité, confidentialité, intégrité, traçabilité pour se protéger de manière proportionnée face aux risques, et d’en déduire les fonctions de sécurité nécessaire et leur niveau.
Lorsque ces fonctions de sécurité sont décrites dans le référentiel général de sécurité (signature électronique, authentification, chiffrement, horodatage, ainsi que d'une manière générale tout mécanisme cryptographique et processus de gestion des clés), il convient d’en respecter les règles pour le niveau déterminé au préalable. En outre, il est recommandé de recourir à des produits de sécurité et offres de services de prestataires qualifiées.
Enfin, il convient qu’une autorité, dite d’ « homologation », atteste formellement de la prise en compte de la sécurité par le biais d'une homologation de sécurité, acte par lequel l'autorité administrative engage sa responsabilité. L’autorité d’homologation est celle à laquelle est attribuée la responsabilité du téléservice. Cette décision doit être accessible par Internet.
Conformément à l’article 14 de l’ordonnance n°2005-1516 du 8 décembre 2005, la conformité du téléservice doit être assurée avant le 18 mai 2011 puisqu’il a été créé dans les six mois suivant la publication au Journal officiel, le 18 mai 2010, de l’arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques.
Sur les sécurités du téléservice de dépôt de plaintes en ligne
Afin d’assurer la mise en conformité à l’ordonnance n°2005-1516 du 8 décembre 2005, le téléservice de dépôt des plaintes en ligne de la Commission a fait l’objet d’une étude des risques de sécurité des systèmes d’information.
L’étude des risques a permis d’identifier les biens à protéger, les menaces et les objectifs de sécurité pour se protéger de manière proportionnée face aux risques. Les fonctions de sécurité et leur niveau ont été déduits, et les règles du référentiel général de sécurité afférentes à la fonction d’authentification d’un serveur ont été prises en considération.
La Commission note que le flux de données circulant entre le formulaire et le serveur web de la Commission est chiffré à l’aide d’un certificat électronique permettant d’authentifier le serveur (utilisation du protocole HTTPS). Par ailleurs, les données saisies sont vérifiées, les formats et le volume des pièces jointes sont limités, le réseau est cloisonné par rapport au réseau interne de la Commission, les accès sont contrôlés, les données sont sauvegardées et des traces journalisées. Un ensemble de mesures sur l’organisation, les locaux, les matériels, les logiciels et les réseaux, complète le dispositif de sécurité existant et des mesures complémentaires ont été déterminées pour l’améliorer.
En outre, la décision créant le téléservice et ses modalités d’utilisation seront rendues accessibles depuis le téléservice, la décision d’homologation fera l’objet d’une information sur le site Internet, un fournisseur de certificat électronique sera choisi dans la liste des prestataires référencés au sens de l’ordonnance n°2005-1516 du 8 décembre 2005 dès qu’elle sera publiée, des procédures seront établies avec le prestataire choisi pour garantir qu’il respecte de référentiel général de sécurité, la protection de la confidentialité et de l’intégrité de la clé privée qu’il aura délivrée pour authentifier le serveur de la Commission sera assurée, et le certificat électronique correspondant sera fourni à l’Agence nationale de la sécurité des systèmes d’information pour qu’elle le valide.
Enfin, la Commission prend acte que l’ensemble des exigences du référentiel général d’interopérabilité sont respectées.
Sur l’homologation de sécurité
La Commission s’engage à mettre en place les mesures prévues et à en assurer le suivi afin de garantir la conformité au référentiel général de sécurité.
La Commission décide de prononcer l’homologation du téléservice de dépôt de plaintes en ligne, au vu de l’étude des risques réalisée, pour une durée d’un an.

Le président
Alex TÜRK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: