Délibération 2013-070 du 21 mars 2013

Commission Nationale de l'Informatique et des Libertés
Délibération n°2013-070 du 21 mars 2013
Délibération n° 2013-070 du 21 mars 2013 portant homologation du téléservice de la Commission nationale de l’informatique et des libertés permettant l’accomplissement en ligne des formalités préalables
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n°2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n°2007-284 du 2 mars 2007 fixant les modalités d'élaboration, d'approbation, de modification et de publication du référentiel général d'interopérabilité ;

Vu l'arrêté du 9 novembre 2009 portant approbation du référentiel général d'interopérabilité ;

Vu l'arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques ;

Vu le référentiel général d'interopérabilité, version 1.0 du 12 mai 2009, de la Direction générale de la modernisation de l'État du ministère du Budget, des comptes publics et de la de la fonction publique ;

Vu le référentiel général de sécurité, version 1.0 du 6 mai 2010, de l'Agence nationale de la sécurité des systèmes d'information et de la Direction générale de la modernisation de l'État du ministère du Budget, des comptes publics et de la réforme de l'État ;

Sur la proposition de M. Emmanuel de Givry, vice-président délégué, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement ;

Formule les observations suivantes :

Sur le téléservice permettant l'accomplissement des formalités déclaratives

La loi n°78-17 du 6 janvier 1978 modifiée prévoit que tout responsable de fichier informatisé qui comporte des données à caractère personnel doit effectuer, préalablement à sa mise en œuvre, des formalités auprès de la CNIL (articles 22 à 27, articles 53 et 62 de la loi).

En mars 2010, la CNIL a dématérialisé l'ensemble de ses procédures de formalités préalables afin de faciliter leur accomplissement. Depuis cette date, les responsables de traitement peuvent ainsi, à partir du site de la Commission www.cnil.fr , effectuer en ligne toutes les procédures prévues par la loi après avoir été informés et orientés en fonction de leur situation.

Le téléservice permet notamment de joindre toutes les pièces nécessaires à la bonne prise en compte des dossiers de formalités.

Une fois l'envoi réalisé, un accusé de réception est adressé aux déclarants de manière automatique. Au-delà du téléservice, les dossiers de formalités sont ensuite qualifiés et instruits par les services de la Commission.

Sur le référentiel général de sécurité

Le référentiel général de sécurité (RGS), prévu par l'article 9 de l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, et approuvé par l'arrêté du 6 mai 2010, a été élaboré conjointement par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et par la Direction générale de la modernisation de l'État (devenue la Direction interministérielle pour la modernisation de l'action publique). Il contient un ensemble de règles et de recommandations applicables aux téléservices des administrations.

La conformité au référentiel général de sécurité se traduit par l'application, d'une part, des règles relatives au cadre pour gérer la sécurité des systèmes d'information et, d'autre part, des règles relatives aux fonctions de sécurité mises en œuvre.

Conformément à l'article 14 de l'ordonnance n°2005-1516 du 8 décembre 2005, la conformité du présent téléservice doit être assurée avant le 18 mai 2013.

Sur les mesures de sécurité

Afin d'assurer la mise en conformité à l'ordonnance n°2005-1516 du 8 décembre 2005, le présent téléservice a fait l'objet d'une étude des risques de sécurité des systèmes d'information.

L'étude des risques a permis d'identifier les biens à protéger, les menaces et les objectifs de sécurité pour se protéger de manière proportionnée face aux risques. Les fonctions de sécurité et leur niveau ont été déduits, et les règles du référentiel général de sécurité afférentes à la fonction d'authentification d'un serveur ont été prises en considération.

La Commission note que le flux de données circulant entre le formulaire et le serveur web de la Commission est chiffré à l'aide d'un certificat électronique permettant d'authentifier le serveur (utilisation du protocole HTTPS). Par ailleurs, les données saisies sont vérifiées, les formats et le volume des pièces jointes sont limités, le réseau est cloisonné par rapport au réseau interne de la Commission, les accès sont contrôlés, les données sont sauvegardées et des traces journalisées. Un ensemble de mesures sur l'organisation, les locaux, les matériels, les logiciels et les réseaux, complète le dispositif de sécurité existant et des mesures complémentaires ont été déterminées pour l'améliorer.

En outre, la décision créant le téléservice et ses modalités d'utilisation sont rendues accessibles depuis le téléservice, la décision d'homologation fera l'objet d'une information sur le site Internet de la Commission, un fournisseur de certificat électronique a été choisi dans la liste des prestataires référencés au sens de l'ordonnance n°2005-1516 du 8 décembre 2005, la protection de la confidentialité de la clé privée et de l'intégrité du bi-clé associé qu'il aura délivrés pour authentifier le serveur de la Commission est assurée, et l'ANSSI a validé le processus de délivrance de ces certificats de clés.

Un plan d'action est également établi afin de mettre en œuvre un ensemble de mesures complémentaires, destinées à réduire encore les risques identifiés.

Enfin, la Commission prend acte que l'ensemble des exigences du référentiel général d'interopérabilité sont respectées.

Dans ces conditions, la Commission :

•- s'engage à mettre en œuvre les mesures prévues et à en assurer le suivi afin de garantir la conformité au référentiel général de sécurité ;

•- prononce, par la présente délibération, l'homologation du téléservice permettant l'accomplissement en ligne des formalités préalables pour une durée de trois ans.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 30 mars 2013