Délibération n° 2015-388 du 5 novembre 2015 portant avis sur un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « saisine par voie électronique » (SVE) (demande d’avis n° 1895860) NOR: CNIX1532442X
ELI: Non disponible
La Commission nationale de l’informatique et des libertés,
Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « saisine par voie électronique » (SVE) ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 27-11-4° ;
Vu la loi n° 2013-1005 du 12 novembre 2013 habilitant le Gouvernement à simplifier les relations entre l’administration et les citoyens ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l’avis suivant :
La loi du 12 novembre 2013 susvisée a autorisé le Gouvernement à adopter par ordonnance des mesures législatives destinées notamment à définir les conditions d’exercice d’un droit de saisir l’administration par voie électronique et de lui répondre par la même voie.
Sur ce fondement, a été prise l’ordonnance n° 2014-1330 du 6 novembre 2014 relative au droit des usagers de saisir l’administration par voie électronique, qui modifie l’ordonnance du 8 décembre 2005 susvisée. Ainsi, le nouvel article 2 de cette dernière ordonnance prévoit que « tout usager, dès lors qu’il s’est identifié auprès d’une autorité administrative, peut adresser par voie électronique à celle-ci une demande, une déclaration, un document ou une information, ou lui répondre par la même voie. Cette autorité administrative est régulièrement saisie et traite la demande, la déclaration, le document ou l’information sans demander à l’usager la confirmation ou la répétition de son envoi sous une autre forme ».
Le ministère de l’intérieur a donc développé un téléservice qui permettra l’enregistrement et la transmission des saisines dématérialisées des usagers aux services compétents de l’Etat.
En application de l’article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, la commission a été saisie par le ministre de l’intérieur d’une demande d’avis portant sur un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « saisine par voie électronique » (SVE).
Sur les finalités et le mode de fonctionnement du traitement :
L’article 1er du projet d’arrêté prévoit que le traitement SVE a pour finalité la mise à disposition d’un ou plusieurs téléservices.
Plus précisément, ce téléservice permettra aux usagers d’effectuer des démarches administratives dématérialisées en renseignant un formulaire de dépôt de demande d’information ou d’envoi de dossier lié à une démarche administrative, d’y joindre des pièces justificatives et de les transmettre aux services compétents. L’usager aura la possibilité de compléter sa demande par le dépôt de nouvelles pièces jointes s’il le souhaite.
La commission relève à cet égard que par « usager », il convient d’entendre les usagers individuels, les usagers professionnels ainsi que les associations. L’ensemble de ces usagers aura accès à ce téléservice depuis le site « service-public.fr » et à partir des pages d’accueil des sites internet des services départementaux de l’Etat.
Un accusé d’enregistrement sera alors automatiquement envoyé par l’application à l’adresse électronique renseignée dans le formulaire, lui confirmant ainsi que sa démarche a bien été prise en compte par l’administration. Celle-ci aura alors sept jours pour adresser à l’usager un accusé de réception lui indiquant le service qui va instruire sa demande. La commission relève à cet égard que ce dernier AR ne transitera pas par SVE.
S’agissant du périmètre du traitement envisagé, la commission relève qu’il est large, puisque sont concernées les procédures comme l’accès à des documents administratifs, les agréments liés à la pratique d’un culte, des démarches en matière de réglementation des jeux ou de sécurité et de protection des personnes et des biens, des déclarations en matière d’agriculture, d’environnement, etc.
A cet égard, elle prend acte que les usagers pourront consulter la liste des procédures concernées par cette dématérialisation lors de la connexion sur la page d’accueil. Il convient de rappeler qu’un certain nombre de procédures pourront être exclues de cette dématérialisation, conformément à l’article 4 de l’ordonnance du 8 octobre 2005 susvisée, « pour des motifs d’ordre public, de défense et sécurité nationale, de nécessité de comparution personnelle de l’usager ou de bonne administration, notamment pour prévenir les demandes abusives ».
Une fois la démarche effectuée, la saisine dématérialisée de l’usager transitera par un serveur d’échange permettant d’orienter le dossier en fonction de l’objet de la demande. H sera alors reçu par un logiciel de traitement des courriers ou sur une adresse de messagerie électronique dédiée, selon le dispositif retenu par le service de l’administration concerné, Le ministère considère ainsi que ce dispositif permettra également de rationaliser la réception des dossiers des usagers.
Enfin, cette saisine de l’administration par voie électronique est facultative et non obligatoire. Les usagers conserveront donc la possibilité de saisir l’administration par voie postale et le cas échéant, de se déplacer physiquement, et d’avoir ainsi accès à la même prestation de service. La commission rappelle qu’elle a toujours considéré que la simplification des démarches administratives et l’amélioration des relations entre les administrés et l’administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
La commission estime que ces finalités sont déterminées, explicites et légitimes.
Sur les données traitées :
L’article 2 du projet d’arrêté énumère les données à caractère personnel collectées, en distinguant selon qu’elles sont relatives aux usagers individuels, aux usagers professionnels ou aux associations.
Dans les trois cas, les données sont relatives à l’identification du demandeur, qui peuvent donc varier en fonction de la « nature » de l’usager (état civil et adresse pour l’usager individuel ; identité de l’entreprise, fiche d’identité de l’établissement, informations sur le dirigeant et sur le demandeur pour les usagers professionnels ; identification de l’association et de son représentant légal, informations relatives au demandeur pour les associations) et à l’objet de la demande.
La commission prend acte que l’ensemble des données mentionnées à l’article 2 ne sont pas toutes obligatoires. Elle rappelle à cet égard que, conformément aux dispositions des 3° et 4° de l’article 32-1 de la loi du 6 janvier 1978 modifiée, les usagers devront être informés du caractère obligatoire ou facultatif des données et des conséquences éventuelles d’un défaut de réponse.
Le projet d’arrêté prévoit par ailleurs que le système générera automatiquement un « numéro national d’enregistrement pour chaque premier dépôt d’une demande ». Ce numéro permettra ainsi à l’usager d’avoir une référence unique pour chaque demande déposée et de compléter sa demande si besoin, ce numéro unique permettant de lier le complément à la demande initiale.
Les données directement relatives à la démarche administrative ne seront donc pas enregistrées dans le traitement envisagé, à l’exception du « type » de la demande (« information » ou « dépôt d’un dossier »).
La commission considère que les données sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement envisagé.
Sur la durée de conservation des données :
L’article 3 du projet d’arrêté prévoit que la durée de conservation des données « ne peut excéder 48 heures à compter du dépôt de la demande de l’usager », ce qui laisse supposer que les données pourraient être effacées avant l’expiration de cette durée de 48 heures.
Le ministère ayant confirmé que les données seraient conservées 48 heures, la commission prend acte de son engagement de clarifier la rédaction de l’arrêté sur ce point.
Sous réserve de cette observation, la commission considère que la durée de conservation retenue n’excède pas la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées.
Sur les destinataires des données :
L’article 3 du projet d’arrêté prévoit que pourront accéder aux données à caractère personnel enregistrées dans le traitement les agents habilités à instruire les demandes et les procédures administratives reçues, en raison de leurs fonctions ou pour les besoins du service et dans la limite de leurs besoins d’en connaître.
La commission estime que ces destinataires ont un intérêt légitime à connaître des données collectées.
Sur les droits des personnes :
S’agissant du droit d’information, les Conditions générales d’utilisation (CGU) du système seront consultables sur la page d’accueil du SVE. La commission prend acte que l’ensemble des mentions prévues à l’article 32-1 de la loi du 6 janvier 1978 modifiée seront ajoutées au texte de ces CGU.
L’article 4 du projet d’arrêté prévoit que les droits d’accès et de rectification, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s’exerceront de manière directe auprès du ministère de l’intérieur.
Le droit d’opposition ne s’applique pas au traitement projeté, en application de l’article 38 de la loi du 6 janvier 1978 modifiée.
Sur l’architecture et les mesures de sécurité :
La commission rappelle tout d’abord que le dispositif étant un téléservice, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé.
Le projet d’arrêté prévoit en son article 3 que des mesures de traçabilité seront mises en œuvre, les traces étant conservées un an. La commission prend acte que les actions ainsi tracées sont celles des administrateurs nationaux de l’application.
Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « saisine par voie électronique » (SVE) ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 27-11-4° ;
Vu la loi n° 2013-1005 du 12 novembre 2013 habilitant le Gouvernement à simplifier les relations entre l’administration et les citoyens ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l’avis suivant :
La loi du 12 novembre 2013 susvisée a autorisé le Gouvernement à adopter par ordonnance des mesures législatives destinées notamment à définir les conditions d’exercice d’un droit de saisir l’administration par voie électronique et de lui répondre par la même voie.
Sur ce fondement, a été prise l’ordonnance n° 2014-1330 du 6 novembre 2014 relative au droit des usagers de saisir l’administration par voie électronique, qui modifie l’ordonnance du 8 décembre 2005 susvisée. Ainsi, le nouvel article 2 de cette dernière ordonnance prévoit que « tout usager, dès lors qu’il s’est identifié auprès d’une autorité administrative, peut adresser par voie électronique à celle-ci une demande, une déclaration, un document ou une information, ou lui répondre par la même voie. Cette autorité administrative est régulièrement saisie et traite la demande, la déclaration, le document ou l’information sans demander à l’usager la confirmation ou la répétition de son envoi sous une autre forme ».
Le ministère de l’intérieur a donc développé un téléservice qui permettra l’enregistrement et la transmission des saisines dématérialisées des usagers aux services compétents de l’Etat.
En application de l’article 27-11 (4°) de la loi du 6 janvier 1978 modifiée, la commission a été saisie par le ministre de l’intérieur d’une demande d’avis portant sur un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « saisine par voie électronique » (SVE).
Sur les finalités et le mode de fonctionnement du traitement :
L’article 1er du projet d’arrêté prévoit que le traitement SVE a pour finalité la mise à disposition d’un ou plusieurs téléservices.
Plus précisément, ce téléservice permettra aux usagers d’effectuer des démarches administratives dématérialisées en renseignant un formulaire de dépôt de demande d’information ou d’envoi de dossier lié à une démarche administrative, d’y joindre des pièces justificatives et de les transmettre aux services compétents. L’usager aura la possibilité de compléter sa demande par le dépôt de nouvelles pièces jointes s’il le souhaite.
La commission relève à cet égard que par « usager », il convient d’entendre les usagers individuels, les usagers professionnels ainsi que les associations. L’ensemble de ces usagers aura accès à ce téléservice depuis le site « service-public.fr » et à partir des pages d’accueil des sites internet des services départementaux de l’Etat.
Un accusé d’enregistrement sera alors automatiquement envoyé par l’application à l’adresse électronique renseignée dans le formulaire, lui confirmant ainsi que sa démarche a bien été prise en compte par l’administration. Celle-ci aura alors sept jours pour adresser à l’usager un accusé de réception lui indiquant le service qui va instruire sa demande. La commission relève à cet égard que ce dernier AR ne transitera pas par SVE.
S’agissant du périmètre du traitement envisagé, la commission relève qu’il est large, puisque sont concernées les procédures comme l’accès à des documents administratifs, les agréments liés à la pratique d’un culte, des démarches en matière de réglementation des jeux ou de sécurité et de protection des personnes et des biens, des déclarations en matière d’agriculture, d’environnement, etc.
A cet égard, elle prend acte que les usagers pourront consulter la liste des procédures concernées par cette dématérialisation lors de la connexion sur la page d’accueil. Il convient de rappeler qu’un certain nombre de procédures pourront être exclues de cette dématérialisation, conformément à l’article 4 de l’ordonnance du 8 octobre 2005 susvisée, « pour des motifs d’ordre public, de défense et sécurité nationale, de nécessité de comparution personnelle de l’usager ou de bonne administration, notamment pour prévenir les demandes abusives ».
Une fois la démarche effectuée, la saisine dématérialisée de l’usager transitera par un serveur d’échange permettant d’orienter le dossier en fonction de l’objet de la demande. H sera alors reçu par un logiciel de traitement des courriers ou sur une adresse de messagerie électronique dédiée, selon le dispositif retenu par le service de l’administration concerné, Le ministère considère ainsi que ce dispositif permettra également de rationaliser la réception des dossiers des usagers.
Enfin, cette saisine de l’administration par voie électronique est facultative et non obligatoire. Les usagers conserveront donc la possibilité de saisir l’administration par voie postale et le cas échéant, de se déplacer physiquement, et d’avoir ainsi accès à la même prestation de service. La commission rappelle qu’elle a toujours considéré que la simplification des démarches administratives et l’amélioration des relations entre les administrés et l’administration constituent des finalités légitimes, sous réserve que des mesures de sécurité appropriées soient prévues et que les droits des personnes soient respectés.
La commission estime que ces finalités sont déterminées, explicites et légitimes.
Sur les données traitées :
L’article 2 du projet d’arrêté énumère les données à caractère personnel collectées, en distinguant selon qu’elles sont relatives aux usagers individuels, aux usagers professionnels ou aux associations.
Dans les trois cas, les données sont relatives à l’identification du demandeur, qui peuvent donc varier en fonction de la « nature » de l’usager (état civil et adresse pour l’usager individuel ; identité de l’entreprise, fiche d’identité de l’établissement, informations sur le dirigeant et sur le demandeur pour les usagers professionnels ; identification de l’association et de son représentant légal, informations relatives au demandeur pour les associations) et à l’objet de la demande.
La commission prend acte que l’ensemble des données mentionnées à l’article 2 ne sont pas toutes obligatoires. Elle rappelle à cet égard que, conformément aux dispositions des 3° et 4° de l’article 32-1 de la loi du 6 janvier 1978 modifiée, les usagers devront être informés du caractère obligatoire ou facultatif des données et des conséquences éventuelles d’un défaut de réponse.
Le projet d’arrêté prévoit par ailleurs que le système générera automatiquement un « numéro national d’enregistrement pour chaque premier dépôt d’une demande ». Ce numéro permettra ainsi à l’usager d’avoir une référence unique pour chaque demande déposée et de compléter sa demande si besoin, ce numéro unique permettant de lier le complément à la demande initiale.
Les données directement relatives à la démarche administrative ne seront donc pas enregistrées dans le traitement envisagé, à l’exception du « type » de la demande (« information » ou « dépôt d’un dossier »).
La commission considère que les données sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement envisagé.
Sur la durée de conservation des données :
L’article 3 du projet d’arrêté prévoit que la durée de conservation des données « ne peut excéder 48 heures à compter du dépôt de la demande de l’usager », ce qui laisse supposer que les données pourraient être effacées avant l’expiration de cette durée de 48 heures.
Le ministère ayant confirmé que les données seraient conservées 48 heures, la commission prend acte de son engagement de clarifier la rédaction de l’arrêté sur ce point.
Sous réserve de cette observation, la commission considère que la durée de conservation retenue n’excède pas la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées.
Sur les destinataires des données :
L’article 3 du projet d’arrêté prévoit que pourront accéder aux données à caractère personnel enregistrées dans le traitement les agents habilités à instruire les demandes et les procédures administratives reçues, en raison de leurs fonctions ou pour les besoins du service et dans la limite de leurs besoins d’en connaître.
La commission estime que ces destinataires ont un intérêt légitime à connaître des données collectées.
Sur les droits des personnes :
S’agissant du droit d’information, les Conditions générales d’utilisation (CGU) du système seront consultables sur la page d’accueil du SVE. La commission prend acte que l’ensemble des mentions prévues à l’article 32-1 de la loi du 6 janvier 1978 modifiée seront ajoutées au texte de ces CGU.
L’article 4 du projet d’arrêté prévoit que les droits d’accès et de rectification, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s’exerceront de manière directe auprès du ministère de l’intérieur.
Le droit d’opposition ne s’applique pas au traitement projeté, en application de l’article 38 de la loi du 6 janvier 1978 modifiée.
Sur l’architecture et les mesures de sécurité :
La commission rappelle tout d’abord que le dispositif étant un téléservice, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé.
Le projet d’arrêté prévoit en son article 3 que des mesures de traçabilité seront mises en œuvre, les traces étant conservées un an. La commission prend acte que les actions ainsi tracées sont celles des administrateurs nationaux de l’application.
Pour la présidente :
La vice-présidente déléguée,
M.-F. Mazars
Source: JORF n°0300 du 27 décembre 2015 texte n° 164