Délibération n° 2015-411 du 12 novembre 2015 portant avis sur un projet d'arrêté relatif à la mise en œuvre de traitements de données à caractère personnel intégrés au dispositif dénommé « service-public.fr » pour permettre, en un point d'accès unifié pour l'usager, d'accomplir des démarches administratives en tout ou partie dématérialisées et de bénéficier de services d'informations personnalisées (demande d'avis n° 1878256)

JORF n°0048 du 26 février 2016
texte n° 104



Délibération n° 2015-411 du 12 novembre 2015 portant avis sur un projet d'arrêté relatif à la mise en œuvre de traitements de données à caractère personnel intégrés au dispositif dénommé « service-public.fr » pour permettre, en un point d'accès unifié pour l'usager, d'accomplir des démarches administratives en tout ou partie dématérialisées et de bénéficier de services d'informations personnalisées (demande d'avis n° 1878256)

NOR: CNIX1605661X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par la direction de l'information légale et administrative (DILA), pour le compte du Premier ministre, d'une demande d'avis sur un projet d'arrêté portant intégration au site « service-public.fr » de téléservices pour permettre, en un point d'accès unifié pour l'administré, d'accomplir des démarches administratives en tout ou partie dématérialisées et de bénéficier de services d'informations personnalisées ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations, notamment son article 16 A ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment son article 7 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-730 du 18 juin 2009 relatif à l'espace de stockage accessible en ligne pris en application de l'article 7 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 6 juin 2000 modifié relatif à la création d'un site sur internet intitulé « service-public.fr » ;
Vu l'arrêté du 18 juin 2009 modifié portant création par la direction générale de modernisation de l'Etat d'un téléservice dénommé « Mon.Service-public.fr » ;
Vu l'arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » ;
Vu la délibération n° 2011-110 du 28 avril 2011 portant avis sur un projet d'arrêté modifiant l'arrêté du 18 juin 2009 portant création d'un téléservice dénommé « mon.Service-Public.fr » ;


Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par la direction de l'information légale et administrative (DILA), pour le compte du Premier ministre, d'un projet d'arrêté portant intégration au site internet « service-public.fr » d'un téléservice permettant à l'usager d'accomplir des démarches administratives en tout ou partie dématérialisées et d'avoir accès à des services d'informations personnalisées.
Ce projet d'arrêté vise à modifier le fonctionnement de téléservices existants pour les rendre accessibles en un point d'accès unifié pour l'administré (ci-après « dispositif SP2016 »), à savoir les dispositifs « Mon.Service-Public.fr » (MSP), « Votre Compte Association » (VCA) ainsi que l'« espace de stockage accessible en ligne » créé par le décret du 18 juin 2009 susvisé.
Dès lors, en application de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, ce dispositif doit être autorisé par arrêté, pris après avis motivé et publié de la commission.
La commission relève qu'elle est saisie de façon concomitante pour avis sur un projet de décret en vue de modifier le décret du 18 juin 2009 relatif à l'espace de stockage accessible en ligne précité. Le projet d'arrêté fixe également certaines conditions d'application dudit décret pris en application de l'article 7 de l'ordonnance du 8 décembre 2005 susvisée.
Sur les finalités et les fonctionnalités du dispositif :
Aux termes de l'article 2 du projet d'arrêté, le dispositif SP2016 poursuit trois finalités principales :


- la création et la gestion de « compte particulier » et/ou de « compte association » ;
- la mise à disposition d'un ensemble de téléservices proposés par des autorités administratives et organismes partenaires du site « service-public.fr » de nature à entreprendre des démarches administratives et à en assurer un suivi par l'usager ;
- l'accès et l'utilisation d'un espace personnel de stockage numérique prévu à l'article 7 de l'ordonnance n° 2005-1516 du 8 décembre 2005 susmentionnée et associé à chaque compte créé.


Concrètement, SP2016 vise à mettre à la disposition des internautes un point unifié, le site internet « service-public.fr », pour entreprendre un ensemble de démarches administratives relevant de différentes autorités partenaires de la DILA.
En pratique, le dispositif SP2016 repose sur une plate-forme centralisant divers outils pour simplifier l'accomplissement par un usager de démarches administratives, y compris pour organiser des échanges utiles entre usagers et administrations. Ainsi, pour entreprendre une démarche par voie dématérialisée, un administré peut choisir de se connecter au site « service-public.fr » et non directement au site internet de l'autorité administrative habilitée à instruire cette démarche.
Afin de faciliter les démarches, il est proposé à l'usager, d'une part, de renseigner, dans un compte personnel, une ou plusieurs catégories de données à caractère personnel de façon à préremplir tout ou partie d'un formulaire administratif dématérialisé et, d'autre part, d'accéder à l'espace de stockage associé audit compte pour y conserver une ou plusieurs pièces justificatives susceptibles d'être transmises dans le cadre d'une démarche entreprise. L'usager peut dès lors, après avoir pu les modifier autant que de besoin, valider l'ensemble des données qu'il souhaite renseigner sur ce formulaire avant de l'adresser à l'autorité compétente pour instruire la démarche. Outre la possibilité d'adresser ce formulaire renseigné par voie papier, l'usager peut choisir la voie électronique, également pour y joindre une ou plusieurs pièces justificatives. Enfin, l'autorité en charge d'instruire la démarche entreprise peut, directement à partir du dispositif SP2016, informer l'usager de façon à lui permettre de suivre l'état d'instruction de la démarche entreprise. De surcroît, elle peut être autorisée expressément par l'usager à accéder à l'espace de stockage, pour y déposer le résultat de la démarche entreprise ou le document administratif produit, et/ou y récupérer une pièce justificative utile pour la démarche entreprise.
Le dispositif « Votre compte professionnel » (VCP) jusqu'alors proposé dans le cadre de MSP ne sera pas repris dans le cadre de SP2016. Il en va de même s'agissant du mécanisme de liaisons d'identités.
Le projet d'arrêté rappelle expressément le caractère facultatif du dispositif SP2016 ainsi que son caractère « non exclusif d'autres modalités d'accès » aux services publics. La création d'un compte entraîne certes la création automatique d'un espace de stockage dédié, cette caractéristique liée à l'architecture du dispositif est néanmoins compensée par le fait que le titulaire est mis en mesure d'en maîtriser la mise en œuvre.
La commission considère que ce dispositif est dès lors de nature à simplifier les démarches administratives et à améliorer les relations entre les usagers et l'administration. Mis en œuvre en application de la loi du 12 avril 2000 et de l'article 7 de l'ordonnance du 8 décembre 2005 susvisées, le dispositif SP2016 permet ainsi à l'usager d'entreprendre et de suivre différentes démarches dématérialisées sans avoir à créer un compte utilisateur auprès de chaque autorité administrative. SP2016 s'inscrit dans le cadre d'une logique de « guichet unique » de nature à rationaliser les accès de l'usager aux services publics. A ce titre, la commission estime que les finalités poursuivies sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
De façon constante, la commission considère que les traitements mis en œuvre à de telles fins doivent être limités aux données strictement nécessaires à l'accomplissement des démarches administratives et, en particulier, que l'accès à une information générale qui peut être mise à disposition de tout internaute ne doit pas être subordonnée à l'identification de l'usager. Elle estime de même que le développement de l'administration électronique ne doit pas conduire à la création d'un identifiant unique des administrés, au plan local comme au plan national, et que les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de certaines démarches administratives, et tout particulièrement aux fins d'alimenter d'autres fichiers ou de constituer un « fichier de population ».
Dès lors, la commission considère que les finalités de récupération directe par l'autorité administrative concernant des données et pièces justificatives conservées dans l'espace de stockage devrait être formulée de façon plus explicite, tant dans le projet d'arrêté que dans le projet de décret susmentionnés.
Elle observe que le procédé d'identification proposé, par défaut, est un mécanisme déclaratif qui se compose d'un identifiant (une adresse de messagerie électronique vérifiée par l'activation d'un lien à usage unique) et d'un mot de passe choisis par l'intemaute. Ainsi, un même administré peut légitimement créer plusieurs comptes SP2016 associés à des espaces de stockage distincts dans la mesure où il renseigne différentes adresses électroniques.
D'autres modalités d'identification sont prévues : l'usage d'un code adressé par SMS, l'utilisation d'un certificat électronique et le recours au mécanisme « FranceConnect ».
Dans la mesure où le projet de décret relatif à l'espace de stockage renvoie aux outils d'identification proposés par le site « service-public.fr », elle considère que les différentes fonctionnalités du dispositif devraient être explicitement prévues au projet d'arrêté et notamment s'agissant du mécanisme de liaison d'identités proposé par la DILA dans le dispositif SP2016.
Il est prévu de maintenir explicitement, parmi les conditions générales d'utilisation (CGU) du dispositif SP2016, l'absence de finalité de commercialisation des données et des documents traités. La commission prend acte que cette limite de finalité, prévue par les CGU auxquelles renvoie le décret portant sur l'« espace de stockage », protège également l'ensemble des données traitées par le dispositif SP2016.
La commission relève que la DILA procède à la réalisation de statistiques basées uniquement sur le nombre de connexions, en vue d'analyser les usages de ce dispositif et d'en améliorer le fonctionnement, sans utiliser ces éléments pour prendre de décision à l'égard des personnes concernées. Cette finalité statistique doit être mentionnée au projet d'arrêté.
Une fonctionnalité d'alerte peut être paramétrée par l'administré pour suivre l'ensemble des démarches le concernant sans pour autant que le dispositif SP2016 conduise à un suivi des situations individuelles des administrés, au-delà de l'information sur l'enregistrement, le déroulement ou la clôture d'une démarche particulière renseignée dans le dispositif SP2016 par chaque autorité compétente. Un tel suivi doit être assuré uniquement au sein du service en charge de gérer la démarche administrative entreprise.
Sous ces réserves, la commission considère que les finalités du dispositif « SP2016 » sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée. Dans ces conditions, elle partage pleinement les objectifs de simplification et de modernisation poursuivis par le responsable de traitement.
Sur les données à caractère personnel traitées :
L'article 3 du projet d'arrêté énumère les catégories de données à caractère personnel enregistrées, en distinguant celles nécessaires pour la gestion de l'accès aux téléservices proposés à partir du portail SP2016, celles relatives à l'utilisation d'un « compte particulier » et d'un « compte association » ainsi que celles relatives à l'utilisation de l'espace personnel de stockage et celles traitées pour l'accomplissement des démarches administratives.
Concernant les données obligatoirement traitées pour la gestion de l'accès au téléservice, la commission observe que sont visés uniquement l'identifiant de connexion et le mot de passe choisis par l'usager.
Elle prend acte que la DILA précise qu'à la différence du dispositif MSP l'identifiant de connexion est l'adresse de messagerie renseignée par l'usager.
La commission estime que d'autres modalités d'authentification pourraient être rendues obligatoires pour accéder aux services qui requièrent un niveau d'identification plus élevé. Outre l'utilisation d'un mot de passe, un usager pourrait s'authentifier via un certificat électronique ou un code d'accès adressé sur un numéro de téléphone portable. Seul le certificat électronique est cité par l'article 2, à titre d'illustration.
Elle prend acte que la DILA met en cohérence la rédaction de l'article 3 pour compléter tout particulièrement la liste des données dont le traitement est rendu obligatoire. Elle suggère qu'un alinéa soit ajouté à l'article 3 de l'arrêté pour mentionner les données traitées par la DILA pour reconnaître les usagers recourant au mécanisme de liaisons d'identités.
Concernant les données traitées à titre facultatif, la commission constate qu'elles sont limitées à l'identité civile, à la situation familiale et aux coordonnées de l'usager et que celui-ci est libre de renseigner tout ou partie seulement de ces données comme de les modifier à partir de son compte SP2016.
De plus, le projet d'arrêté prévoit, pour la partie relative aux données à caractère personnel de l'usager, qu'il s'agit de permettre « le préremplissage de formulaires dans le cadre des services offerts par service-public.fr ». Il est également prévu, pour « la partie relative à la conservation des documents et pièces justificatives », qu'il s'agit des pièces « nécessaires à l'accomplissement de démarches administratives ».
La commission relève que ces précisions sont conformes aux recommandations précédemment formulées dans le souci de s'assurer de la proportionnalité des données traitées par le dispositif SP2016 au regard des téléservices partenaires effectivement accessibles.
Elle rappelle que la possibilité pour l'usager de modifier les données pré-remplies avant de valider le formulaire concerné doit être aménagée pour l'ensemble des catégories de données traitées, quelle que soit la fonctionnalité actionnée. En ce sens, elle considère qu'il devrait en être de même pour les données d'identité civile certifiées RNIPP dans la mesure où elles seraient reçues de façon systématique par la DILA en cas d'éventuel recours à « FranceConnect ».
Les données traitées pour la gestion de la traçabilité des accès ne sont pas mentionnées. En particulier, l'adresse IP de l'ensemble des utilisateurs accédant à tout ou partie du contenu d'un compte usager, les dates et heures de connexion ainsi que les traces des autorisations accordées par les usagers au regard du contenu de l'espace de stockage et les traces relatives aux actions des différentes autorités habilitées à instruire une démarche entreprise à partir de données traitées par SP2016, ne sont pas listées au projet d'arrêté, qui serait dès lors utilement complété sur ces catégories de données à caractère personnel.
Parmi ces données de traçabilité des accès, est également concerné l'identifiant spécifique de l'usager au sein du dispositif SP2016. La commission rappelle que l'identifiant connu par SP2016 ne se confond pas avec les identifiants distincts pour chacun des téléservices proposés par d'autres responsables de traitement. Néanmoins elle rappelle que, dans le cas particulier de portail unique d'accès à l'ensemble des téléservices, une diversification de l'identifiant en fonction de secteurs d'activités pourrait être nécessaire, par exemple dans les conditions prévues par l'arrêté du 4 juillet 2013 autorisant la mise en œuvre par les collectivités territoriales (et assimilées) de traitements de données ayant pour objet la mise à disposition des usagers d'un ou plusieurs téléservices de l'administration électronique, afin de se prémunir contre la génération d'un identifiant unique. La commission demande dès lors que des mesures soient prévues en ce sens.
S'agissant des usagers concernés par un compte « association », la commission rappelle que l'utilisation de SP2016 peut nécessiter le traitement de données à caractère personnel, en particulier en ce qui concerne les représentants de ces structures associatives. A cet égard, elle relève que l'arrêté mentionne la « profession/fonction » de l'usager créateur de ce type de compte. La commission rappelle que cette « profession » doit uniquement concerner celle exercée dans le cadre de la structure associative concernée.
Enfin, et dans la continuité de ses précédents avis en la matière, la commission prend acte que la DILA a mentionné, au projet d'arrêté, le recours à des référentiels préétablis qui facilitent et fiabilisent la saisie par l'usager des données le concernant. Elle rappelle que ces référentiels doivent être complétés de « champs libres » afin de prendre en compte toute situation particulière.
Sous ces réserves, la commission considère que les données traitées par le dispositif « SP2016 » sont pertinentes, adéquates et non excessives, conformément à l'article 6 (3°) de la loi du 6 janvier 1 978 modifiée.
Sur les destinataires :
L'article 4 du projet d'arrêté prévoit que les destinataires de données traitées par le dispositif SP2016 sont uniquement « les autorités administratives habilitées, en vertu d'un texte législatif ou réglementaire, à instruire les démarches administratives des usagers ».
A cet égard, la commission prend acte que ces autorités administratives ne pourront accéder au dispositif que sous réserve d'avoir conclu une convention avec le Premier ministre. Ces conventions doivent permettre à la DILA de s'assurer que les destinataires n'accèdent qu'aux données strictement nécessaires pour la démarche entreprise, de rappeler qu'il leur appartient de mettre en œuvre des mesures sécurité adaptées à chaque contexte de dématérialisation et de vérifier que les traitements de données à caractère personnel mis en œuvre font l'objet de formalités préalables.
Dès lors, la commission demande à ce qu'un modèle type de ces conventions lui soit communiqué et que les conventions signées soient tenues à disposition.
Sur la durée de conservation des données :
L'article 5 du même projet d'arrêté décrit plus particulièrement une procédure de gestion de « comptes inactifs » qui prévoit une durée maximale de conservation de trente-six mois, à compter de la dernière connexion de l'usager. En l'absence de réponse aux trois messages d'informations adressés par la DILA un an, deux mois puis sept jours avant l'éventuelle suppression du compte, le compte est fermé et l'ensemble de son contenu est détruit.
La commission rappelle que ces délais concernent également la conservation des pièces justificatives stockées dans l'espace personnel accessible en ligne.
Pour la DILA, cette durée de conservation de l'ensemble des données et pièces justificatives doit permettre à l'usager d'accéder aux données utiles le temps qui correspond à la durée moyenne des prescriptions en matière de procédure administrative.
S'agissant des données saisies dans un formulaire pour entreprendre une démarche administrative, l'article 5 du projet d'arrêté précise l'effacement automatique des données saisies pour accomplir une démarche administrative, au-delà d'une durée maximale de trente jours.
La commission considère que cette durée répond notamment à l'éventuel besoin de réitérer l'envoi par la DILA, à l'autorité administrative partenaire, des données saisies lors d'une démarche entreprise depuis le portail « service-public.fr ». Ces données n'ayant pas à être traitées plus avant par la DILA, cette durée de conservation n'appelle pas d'observation particulière.
Sur l'information et les droits des personnes :
Le respect des droits prévus par la loi « Informatique et libertés » constitue un impératif essentiel dans le cadre du dispositif SP2016 et, plus généralement, dans le cadre des traitements mis en œuvre aux fins d'administration électronique et de simplification des relations avec les administrés.
A cet égard, la commission prend acte de la garantie, rappelée à l'article 2 du projet d'arrêté, selon laquelle l'utilisation du dispositif pour accéder aux téléservices des partenaires est facultative pour les administrés et non exclusive d'autres modalités d'accès aux services publics qu'il appartient aux autorités partenaires d'organiser.
Elle rappelle dès lors que, sauf lorsque des dispositions légales en disposent expressément autrement, les autorités administratives partenaires du dispositif SP2016 doivent assurer le maintien d'une procédure alternative aux téléservices et aux services dématérialisés. En outre, ces alternatives doivent alors permettre l'accès, dans des conditions analogues, à la même prestation de service public. La commission demande à la DILA de s'assurer de ces caractéristiques avant toute adhésion au dispositif SP2016.
La commission observe que toutes les opérations effectuées sur l'espace personnel de stockage (dépôt et conservation de données et de documents, transmission de données ou de pièces dématérialisées utiles à l'accomplissement des démarches administratives) sont placées à l'initiative et sous le contrôle de l'usager. En ce sens, le projet d'arrêté précise que, hors les cas prévus par des dispositions législatives ou réglementaires, seul l'usager peut accéder aux données contenues dans son compte et son espace personnel de stockage.
La commission relève que la DILA met à disposition un outil de construction des différents formulaires de démarches administratives qu'une autorité partenaire propose de dématérialiser. Cet outil permet notamment de faire figurer les mentions d'information prévues par l'article 32 de la loi du 6 janvier 1978 modifiée sur l'ensemble des formulaires du dispositif SP2016, y compris celui relatif à l'inscription au service ou à l'enregistrement de données dans l'espace de stockage. Ces mentions d'information ont également été intégrées sur le portail « service-public.fr » dans les pages relatives aux conditions générales d'utilisation (CGU) et aux questions fréquemment posées (FAQ) accessibles à tout internaute.
La commission estime que certaines informations contenues dans les CGU devraient être reprises, de façon claire, pour l'activation des différentes fonctionnalités du dispositif SP2016. En ce sens, il conviendrait notamment de rappeler, avant de valider chaque autorisation, les modalités pratiques alternatives pour effectuer la démarche sans s'appuyer sur l'espace de stockage.
Ces modalités pratiques permettant la maîtrise par l'usager des données le concernant devraient être prévues dans un acte réglementaire, et non uniquement dans des CGU modifiables par le responsable de traitement. En effet, le présent projet d'arrêté, tout comme le projet de décret examiné par la commission, ne précise pas « les modalités selon lesquelles le titulaire autorise le dépôt d'informations sur son espace de stockage ou leur transmission à partir de celui-ci ».
En tout état de cause elle rappelle que ces modalités doivent être précisément consignées par la DILA.
Enfin, l'article 6-I du projet d'arrêté prévoit que les droits d'accès, de rectification et de suppression s'exercent dans les conditions prévues par les articles 39 et suivants de la loi du 6 janvier 1978 modifiée. La commission prend acte que ces droits peuvent également être exercés par voie dématérialisée. En ce sens, elle souligne que l'article 5 du même projet d'arrêté rappelle que les données contenues dans le compte et l'espace de stockage sont gérées directement par l'usager.
De surcroît, elle considère que, pour garantir la maîtrise par l'usager des données le concernant, les fonctionnalités de suivi de l'ensemble des démarches entreprises devraient également lui permettre d'accéder à l'ensemble des traces concernant les actions des autorités administratives relatives à ses données à caractère personnel. L'accessibilité à ces données doit mettre l'usager en mesure de s'assurer que seules les autorités habilitées à instruire les démarches entreprises et celles autorisées à accéder à son espace de stockage ont pu traiter les données le concernant dans la limite de leurs attributions et de leurs autorisations.
En outre, la commission prend acte qu'aucune disposition du projet d'arrêté ne prévoit d'exclure le droit d'opposition des usagers au traitement automatisé de leurs données. Au-delà du caractère facultatif de l'utilisation du dispositif et des fonctionnalités mises à disposition pour garantir la maîtrise par l'usager des données le concernant, la commission rappelle dès lors que la DILA devra alors donner suite aux demandes d'opposition exercées pour motifs légitimes par les personnes concernées.
Sur la sécurité et la confidentialité :
La commission souligne qu'a été communiquée une analyse de risques du système d'information mis en œuvre par la DILA, complétée d'une étude des risques spécifique à la protection des données à caractère personnel. Elle souligne également la qualité de la méthodologie empruntée et considère que l'ensemble de cette documentation permet d'étudier les risques présentés par le traitement en prenant en compte les impacts potentiels à la fois sur le responsable du traitement et sur les personnes concernées.
De manière générale, le dispositif présente un niveau de sécurité satisfaisant. En effet, la DILA utilise notamment des moyens de chiffrement afin d'assurer la confidentialité et l'intégrité des données, informations et documents conservés et transmis depuis l'espace de stockage, ce qui est conforme aux recommandations que la commission a pu formuler dans ses précédents avis.
Elle observe toutefois que ce niveau de sécurité dépendra également des mesures propres aux téléservices mis en œuvre par chaque partenaire.
Par ailleurs, contrairement à ce que prévoit l'article 7 de l'ordonnance du 8 décembre 2005 et le projet de décret, le projet d'arrêté n'évoque aucune mesure de sécurité, organisationnelle ou logique. II n'indique pas plus que le dispositif est mis en œuvre dans un environnement sécurisé. Seul l'article 3 (5°) du projet d'arrêté l'évoque, de manière indirecte, en prévoyant que la confidentialité des données « sensibles » au sens des articles 8 et 9 de la loi « Informatique et libertés » est particulièrement renforcée par des mesures de sécurité complémentaires.
La commission estime que l'arrêté devrait préciser la nature des principales mesures de sécurité mises en œuvre, telles que le chiffrement de l'ensemble des données à caractère personnel et des communications avec les partenaires, ainsi que la traçabilité des accès et des transmissions de données.
La commission rappelle que la dématérialisation de services publics nécessite d'adapter les procédés d'identification aux usages en ne réservant les niveaux sécurisés qu'aux démarches dématérialisées en tout ou partie qui le requièrent.
Elle rappelle enfin qu'en cas de stockage de données relatives à la santé il conviendrait de solliciter l'agrément d'hébergeur de données de santé conformément à l'article L. 1111-8 du code de la santé publique.
Sous réserve de ces observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les autres caractéristiques du dispositif :
La commission relève que les arrêtés relatifs à MSP seront abrogés à compter du 30 juin 2016 dans la mesure où ils concernent la mise en œuvre de téléservices existants dont les fonctionnalités font, en tout ou partie, l'objet d'intégration au sein du présent dispositif proposé par la DILA.
S'agissant de la fermeture définitive de MSP et de la destruction du contenu des comptes personnels et des espaces de stockages associés qui n'auraient pas migré vers le nouveau dispositif SP2016 faute de démarche entreprise en ce sens par l'usager, la commission suggère à la DILA de consolider la campagne d'information mise en œuvre. Il s'agirait de recourir à l'ensemble des coordonnées susceptibles d'avoir été renseignées dans le « compte usager » pour adresser une information, par exemple par SMS, en complément du dernier courriel adressé.
Par ailleurs, la commission prend acte que le projet de texte soumis pour avis a vocation à compléter l'arrêté du 6 novembre 2000 relatif à la création du site sur internet intitulé « service-public.fr » modifié par l'arrêté du 10 août 2001. Elle rappelle que ce téléservice est accessible à tout internaute, sans collecte de données le concernant, et qu'il met à disposition des informations générales concernant l'administration française ainsi que les droits et démarches administratives. Ce téléservice accueille également la diffusion de l'annuaire des responsables de l'administration française dont les données sont communiquées à la DILA par l'organisme de rattachement, voire par l'intéressé.
Du fait des modifications intervenues depuis 2000, la commission estime que cet arrêté serait utilement mis à jour afin de garantir la conformité du cadre réglementaire au regard des caractéristiques actuelles du site « service-public.fr ».


La présidente,

I. Falque-Pierrotin