Le décret permettant d’encadrer la mise en œuvre des téléservices est paru au journal officiel du 29 mai 2016 (1).
Il concilie deux impératifs :
- la simplification des démarches pour les usagers qui souhaitent adresser à une administration, une demande, une déclaration, un document ou une information, ou lui répondre par la voie électronique ;
- la constitution et l’utilisation des fichiers avec les droits et les libertés des usagers, notamment en limitant les interconnections entre administrations.
La loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés est conçue pour encadrer et contrôler le développement de l’informatique. Cette loi a mis en place un ensemble de contraintes qui permet de préciser les limites et les garanties à respecter à l’occasion du traitement de données à caractère personnel. En outre, elle limite fortement, pour les administrations, les possibilités de croisement des fichiers informatiques en leur possession, ce qui nuit à la simplification des démarches administratives (multiplication des demandes d’information redondantes auprès des administrés).
Le présent décret tient compte de ces deux impératifs à savoir garantir le respect des libertés individuelles des usagers et simplifier l’exercice des démarches administratives, en permettant aux usagers de les faire par voie électronique.
Il fixe en particulier les catégories de données à caractère personnel qui sont enregistrées et traitées, à l’initiative des usagers, dans les téléservices pour les particuliers, pour les entreprises, pour les associations ainsi que pour la traçabilité des accès.
Au titre des garanties, le décret prévoit que :
- l’autorisation des téléservices « est subordonnée à l’envoi à la Commission nationale de l’informatique et des libertés d’un engagement de conformité faisant référence au présent décret et accompagné d’une description synthétique des fonctionnalités, de la sécurité desdits téléservices particulièrement en cas d’interconnexions, et des éventuelles transmissions et interconnexions mises en œuvre » ;
- les téléservices « sont créés par un acte réglementaire publié des services ou des établissements qui en ont la responsabilité juridique, lequel vise l’engagement de conformité prévu à l’alinéa précédent ».
Consultée pour avis (2), la Cnil rappelle que s’agissant de la mise en œuvre d’un téléservice au sens de l’ordonnance n° 2005-1516, les téléservices doivent notamment être conformes aux référentiels généraux de sécurité (RGS) et d’interopérabilité (RGI). Ils doivent en outre, dans certaines conditions, respecter le Référentiel général d’accessibilité à l’administration (RGAA).
La Cnil estime que ces mesures doivent être conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée et rappelle que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. Les responsables de traitement devront ainsi être tout particulièrement attentifs aux mesures permettant de garantir, d’une part, l’intégrité des données transmises entre administré et administration et, d’autre part, leur confidentialité, notamment au regard des attributions légales des agents y accédant et du niveau d’authentification requis pour apporter une réponse à l’administré.
Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
(1) Décret 2016-685 du 27-5-2016, JO du 29-5-2016.
(2) Délibération 2016-111 du 29-5-2016.