Délibération n° 2018-136 du 19 avril 2018 portant avis sur un projet d'arrêté relatif aux caractéristiques techniques du téléservice mentionné à l'article R. 414-6 du code de justice administrative (TELERECOURS CITOYENS) (demande d'avis n° 2165666)

JORF n°0105 du 6 mai 2018
texte n° 32



Délibération n° 2018-136 du 19 avril 2018 portant avis sur un projet d'arrêté relatif aux caractéristiques techniques du téléservice mentionné à l'article R. 414-6 du code de justice administrative (TELERECOURS CITOYENS) (demande d'avis n° 2165666)

NOR: CNIX1812727X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le Conseil d'Etat d'une demande d'avis concernant un projet d'arrêté relatif aux caractéristiques techniques du téléservice mentionné à l'article R. 414-6 du code de justice administrative ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de justice administrative et notamment ses articles R. 414-1 et suivants et R. 611-8-6 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11 (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2018-251 du 6 avril 2018 relatif à l'utilisation d'un téléservice devant le Conseil d'Etat, les cours administratives d'appel et les tribunaux administratifs et portant autres dispositions ;
Vu l'arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » ;
Vu l'arrêté du 20 janvier 2017 relatif aux caractéristiques techniques de l'application permettant l'utilisation des téléprocédures devant le Conseil d'Etat, les cours administratives d'appel et les tribunaux administratifs ;
Vu la délibération n° 2004-095 du 9 décembre 2004 portant autorisation d'un traitement automatisé de données à caractère personnel présenté par le vice-président du Conseil d'Etat et concernant la gestion des activités contentieuses du Conseil d'Etat, des cours administratives d'appel et des tribunaux administratifs ;


Sur la proposition de Mme Sylvie ROBERT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le Conseil d'Etat, d'une demande d'avis concernant un projet d'arrêté relatif aux caractéristiques techniques du téléservice mentionné à l'article R. 414-6 du code de justice administrative (CJA) et dénommé « TELERECOURS CITOYENS ».
L'article 3 du décret n° 2018-251 susvisé prévoit que « les personnes physiques et morales de droit privé non représentées par un avocat, autres que celles chargées de la gestion permanente d'un service public, peuvent adresser leur requête à la juridiction par voie électronique au moyen d'un téléservice accessible par le réseau internet. Ces personnes ne peuvent régulièrement saisir la juridiction par voie électronique que par l'usage de ce téléservice. »
Le téléservice projeté a donc pour objet, d'une part, d'ouvrir aux personnes physiques et morales de droit privé non représentées par un avocat, la possibilité d'introduire leurs requêtes devant les juridictions concernées, et de leur permettre, d'autre part, d'adresser à celles-ci les mémoires et pièces produites. Ce traitement doit également permettre aux personnes concernées d'accéder à leur dossier contentieux. Il permettra par ailleurs d'alimenter le traitement ayant pour objet de permettre la gestion de l'ensemble des activités contentieuses du Conseil d'Etat, des cours administratives d'appel et des tribunaux administratifs et sur lequel la commission s'est prononcée dans sa délibération n° 2004-095 du 9 décembre 2004 susvisée.
La commission prend acte que le déploiement du téléservice projeté se fera, dans un premier temps, dans des juridictions dites « pilotes » (le tribunal administratif de Cergy, de Melun, et la section du contentieux du Conseil d'Etat), pour ensuite être généralisé, en novembre 2018, à l'ensemble des juridictions administratives.
Dans la mesure où le traitement projeté a pour objet de permettre aux personnes non représentées d'introduire des requêtes et d'échanger avec les juridictions de l'ordre administratif à partir d'un identifiant, il constitue un téléservice de l'administration électronique, au sens de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, qui doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
L'article 1er du projet d'arrêté prévoit que le téléservice projeté « permet aux personnes physiques et morales de droit privé non représentées par un avocat, autres que celles chargées de la gestion permanente d'un service public, d'introduire des requêtes, d'échanger avec les juridictions administratives des mémoires, des pièces et des courriers durant la procédure contentieuse et de consulter leur dossier contentieux par voie électronique ».
L'article R. 414-1 du CJA prévoit la possibilité de transmettre une requête par voie électronique « lorsqu'elle est présentée par un avocat, un avocat au Conseil d'Etat et à la Cour de cassation, une personne morale de droit public autre qu'une commune de moins de 3 500 habitants ou un organisme de droit privé chargé de la gestion permanente d'un service public, la requête doit, à peine d'irrecevabilité, être adressée à la juridiction par voie électronique au moyen d'une application informatique dédiée accessible par le réseau Internet. La même obligation est applicable aux autres mémoires du requérant. »
La commission relève qu'antérieurement au décret du 6 avril 2018 susvisé, les personnes non représentées dans le cadre d'une procédure engagée devant une juridiction administrative pouvaient, dans certaines conditions se voir adresser des documents par la juridiction, de manière dématérialisée. L'article R. 611-8-6 du CJA prévoyait en effet que, « lorsqu'une requête a été adressée à la juridiction par l'application mentionnée à l'article R. 414-1, le greffe peut mettre à la disposition des parties non éligibles à cette application, sous réserve d'obtention de leur accord, les mémoires et pièces sur un site internet sécurisé afin qu'elles en obtiennent communication de manière dématérialisée ».
L'article 5 du décret n° 2018-251 du 6 avril 2018 a modifié l'article précité afin de prévoir que « lorsqu'une partie a accepté, pour une instance donnée, l'utilisation du téléservice mentionné à l'article R. 414-6, la juridiction peut lui adresser par cette application, et pour cette instance, toutes les communications et notifications prévues dans le présent livre ».
Ainsi, la commission relève que l'article ler du projet d'arrêté vise uniquement à permettre de simplifier l'accès des personnes de droit privé non représentées à la dématérialisation des documents communiqués par les juridictions administratives et faciliter les échanges durant la procédure contentieuse. Elle prend acte du fait que l'utilisation de ce téléservice est facultative.
Compte tenu de ce qui précède et, notamment, de la possibilité introduite par l'article R. 414-6 du CJA, pour les personnes non représentées, ainsi que celle déjà encadrée par le même code pour les autres catégories de personnes, morales, d'adresser des requêtes à la juridiction administrative, la commission estime que les finalités du traitement projeté sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 9 du projet d'arrêté prévoit que « les données à caractère personnel enregistrées par l'application sont les nom, prénom, adresse, nationalité, adresse électronique et numéros de téléphone des utilisateurs, ainsi que, pour les personnes morales, leur forme, dénomination sociale et les nom et prénom de leur représentant ». Il est par ailleurs précisé que seront collectées les données de connexion.
La commission prend acte de ce que les données relatives à l'identité du représentant d'une personne morale de droit privé pourront être collectées, ce qui n'appelle pas d'observations particulières.
Elle rappelle que les traitements mis en œuvre à des fins de simplification des démarches des usagers doivent être limités aux données strictement nécessaires à l'accomplissement des démarches administratives. Dans ce contexte, si la commission prend acte des précisions selon lesquelles la collecte du numéro de téléphone des utilisateurs du téléservice projeté doit permettre à l'usager, qui en aurait fait la demande, de se voir adresser un message d'information plutôt que par courrier électronique, notamment afin de l'informer des évolutions de son dossier, elle estime qu'une telle donnée ne devrait pas faire l'objet d'une collecte systématique. A cet égard, la commission prend acte que ces données ne seront plus collectées de manière obligatoire et que le projet d'arrêté est modifié en ce sens. Elle relève également que l'information des usagers quant à la finalité précise poursuivie par la collecte du numéro de téléphone sera renforcée.
Dans ces conditions, la commission considère que les catégories de données visées ci-dessus et dont il est envisagé la collecte dans le traitement projeté, sont adéquates au regard de la finalité du traitement et ce, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 10 du projet d'arrêté prévoit que « les destinataires des informations enregistrées par l'application sont, pour les affaires qui les concernent et sous réserve des règles relatives au secret de l'instruction, les parties et intervenants au procès, et les personnels de la juridiction administrative ».
Concernant la première catégorie de personnes visées par cet article du projet d'arrêté, la commission relève que doit être entendu au titre des « parties et intervenants au procès », les personnes visées à l'article ler du projet d'acte, soit les personnes physiques et morales de droit privées non représentées par un avocat, pour les données qui les concernent, en fonction de leur qualité à l'instance.
S'agissant des « personnels de la juridiction administrative », la commission estime que cette formulation pourrait être précisée afin d'indiquer que ces personnels sont ceux habilités à instruire les saisines et les procédures administratives reçues en raison de leurs fonctions ou pour les besoins du service et dans la limite de leurs besoins d'en connaitre. Elle prend acte que l'arrêté et les conditions générales d'utilisation seront modifiés en ce sens.
La commission considère que les destinataires visés à l'article 10 du projet d'arrêté ont un intérêt légitime à accéder aux données du traitement « TELERECOURS CITOYENS ».
Sur la durée de conservation des données :
L'article 11 du projet d'arrêté énonce que « les données à caractère personnel de chaque affaire pour laquelle l'utilisation du téléservice a été acceptée sont conservées pendant un durée de cinq ans après que cette affaire a fait l'objet d'une décision devenue définitive ».
La commission prend acte que la durée ainsi retenue doit permettre de tenir compte de la durée d'utilité administrative (DUA) notamment prévue par l'instruction n° DAF/DPACl/RES/2009/ 019 et fixée à cinq ans. Elle rappelle toutefois que les données enregistrées dans le traitement source, relatif à gestion des activités contentieuses des juridictions administratives et sur lequel elle s'est prononcée dans sa délibération n° 2004-095 du 9 décembre 2004, prévoient des durées de conservation supérieures. La commission invite dès lors à uniformiser les durées de conservation de ces traitements et, le cas échéant, à l'informer de toute modification substantielle, conformément aux dispositions de l'article 30-II de la loi du 6 janvier 1978 modifiée.
L'alinéa 2 de l'article 11 du projet d'arrêté prévoit par ailleurs que « les données à caractère personnel du compte de l'utilisateur sont conservées pendant une durée d'un an après la création de son compte, si aucune affaire n'y a été rattachée, ou après que toutes les affaires pour lesquelles les téléprocédures ont été acceptées auront fait l'objet d'un effacement ».
La commission relève que les données visées à cet alinéa correspondent aux données de connexion, soit les identifiants de connexion, collectées dans le cadre du traitement. Compte tenu de cette précision, elle estime que la durée de conservation de ces données d'une année est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes :
A titre liminaire, la commission estime que le caractère facultatif de l'usage du téléservice devrait être clairement indiqué aux internautes, par exemple, dès la page d'accueil du dispositif, de même que les modalités pratiques permettant d'effectuer une démarche analogue sans recourir au téléservice. Elle prend acte que cette information sera affichée sur le site « telerecours.fr ».
En tout état de cause, la commission recommande que le justiciable soit informé de manière claire et précise des modalités d'utilisation du téléservice, outre la communication des informations mentionnées à l'article 32 de la loi du 6 janvier 1978 modifiée. A cet égard elle prend acte que cette information sera délivrée aux utilisateurs via les conditions générales d'utilisation du téléservice.
L'article 12 du projet d'arrêté prévoit que les droits d'accès, de rectification et de suppression s'exercent auprès du délégué à la protection des données à caractère personnel du Conseil d'Etat.
Sur la sécurité des données et la traçabilité des actions :
La politique de mot de passe mise en œuvre par le responsable de traitement lors d'une inscription par le biais du site de l'application Télérecours citoyens est conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. Une inscription indirecte via le téléservice « FranceConnect » est également possible, dans les conditions prévues à l'arrêté du 24 juillet 2015 susvisé.
Les accès au traitement se font via le protocole TLS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la ou les versions de TLS les plus à jour possible.
L'intégrité des documents déposés est assurée au moyen d'un dispositif de sécurité, dit de « procès-verbal numérique » (PVN), qui inclut un mécanisme de vérification d'intégrité par le calcul d'empreintes numériques. Conformément à l'ordonnance n° 2005-1516 du 8 décembre 2005 visée dans l'arrêté, toute fonction de hachage utilisée dans ce contexte devra être conforme à l'annexe B1 du Référentiel général de sécurité.
Des sauvegardes régulières, notamment quotidiennes, sont réalisées. La commission rappelle qu'elles devront être testées régulièrement, afin de vérifier leur intégrité.
Une journalisation des opérations de consultation, création, mise à jour et suppression des données est mise en place. La commission rappelle qu'une durée de conservation des journaux de six mois est habituellement préconisée par la commission pour ce type de traitement.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars