PROTECTION DES DONNES PERSONNELLES ET E -ADMINISTRATION
/ Novembre 2020/
Le développement de l’internet a permis l’émergence de l'e-administration. Cependant, l’émergence de cette nouvelle pratique permet-elle de sauvegarder la protection des données personnelles ?
L’e-administration peut se définir comme l’utilisation des technologies de l’information et de la communication par les administrations publiques dans le but de rendre les services publics plus accessibles et d’en améliorer le fonctionnement interne. L’établissement de l’e-administration passe nécessairement par la dématérialisation de certains documents et de leur conservation sur des serveurs.
De plus, s’agissant de l’administration, plusieurs données personnelles, relatives à nos vies privées seront utilisées. Dès lors, la protection des données personnelles et e-administration devront se conjuguer ensemble. La protection des données personnelles et l’e-administration doivent aller de pair, car tout ce qui est en lien avec les technologies de l’information et de la communication est piratable.
Besoin de l'aide d'un avocat pour un problème de protection des données ?
Téléphonez nous au : 01 43 37 75 63
ou contactez nous en cliquant sur le lien
Toute personne pourrait donc avoir accès a nos données personnelles et pourrait les utiliser à mauvais escient. La protection des données personnelles et e-administration font naître la question suivante : l’émergence de cette nouvelle pratique (e-administration) permet-elle de sauvegarder la protection des données personnelles ?
Avant d’y répondre, il faut savoir que les enjeux sont importants et le duo protection des données personnelles et e-administration va toujours laisser persister cette interrogation. Conscient des enjeux, le législateur va tout mettre en place pour garantir une conjugaison parfaite de la protection des données personnelles et e-administration.
Un rapport intitulé « Protection des données personnelles et administration électronique » a été remis au gouvernement le 26 février 2002[1]. Il rappelle que si l’administration électronique doit simplifier la vie de chacun, ce progrès doit se doubler de la maîtrise par les citoyens des données qui les concernent. A cette fin, il propose d’élaborer un nouveau pacte de confiance entre usagers et administration pour rendre possible la dématérialisation des dossiers en échange d’une meilleure maîtrise par l’usager sur l’utilisation faite des données qu’il fournit.
M.Truche dans son discours prononcé lors de la remise du livret blanc a expressément rappelé que « la mise en place de l’administration électronique n’a pas pour objectif et ne saurait avoir pour résultat de permettre d’augmenter le niveau de surveillance du citoyen ». Il soulignait que la loi protectrice des libertés ne s’oppose aucunement au développement de l’administration électronique, dés lors que des garanties suffisantes sont apportées, « le développement des téléservices doit être gagnant-gagnant : gagnant pour l’usager, en temps et en simplicité ; gagnant pour le citoyen, en respect de sa vie privée ».
Il s’agit de donner confiance à l’usager en l’administration électronique, cela n’est pas chose facile. Chacun se rappelle de l’accueil fait au projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), projet consistant à utiliser un identifiant unique, le numéro créé pour chaque citoyen par l’INSEE, pour l’ensemble des fichiers publics et ainsi à favoriser leur interconnexion.
Considéré comme portant atteinte à la vie privée, ce projet avait dû être retiré. En effet, la réticence des administrés face à ce numéro unique, dû à la crainte que ce ne soit un outil permettant à l’administration d’exercer plus de surveillance à leur égard, a conduit le ministère de l’intérieur à retirer son projet.
Les français sont particulièrement attachés au principe de respect de la vie privée, et par conséquent tout ce qui touche aux données personnelles devient rapidement un sujet sensible.
C’est pour cela que le 25 mai 2018 est entrée en vigueur une nouvelle réglementation qui traite notamment des données personnelles. Il s’agit du règlement général sur la protection des données, RGPD. Le RGPD met en place de nouveaux droits pour les personnes physiques dont les données sont collectées. Il impose également de nouvelles obligations pour ceux qui traitent ces données. Il renforce le principe du consentement de la personne pour l’utilisation de ses données.
Le consentement explicite est devenu grâce à ce texte une obligation. L’accord doit donc être clair et sans ambiguïté. Ceux qui collectent ces données doivent informer les personnes sur ce qu’elles vont devenir, le but de cette collecte.
Si un incident survient ne permettant plus la protection de ces données il faut que les personnes qui ont consenti à leur collecte en soient informées. Les autorités doivent également être alertées dans cette situation.
Ces données doivent pouvoir être transmises, modifiées et effacées à la demande des propriétaires. Les données sensibles telles que les données médicales doivent bénéficier du plus haut niveau de sécurité.
Dans le cadre de l’administration électronique l’atteinte à la vie privée se manifeste de deux façons. D’une part, par l’informatisation des fichiers déjà existants, car il existe un risque d’interconnexion des fichiers, et d’autre part par les informations fournies par les usagers lors d’une demande sur un téléservice
La CNIL dans son rapport sur le programme adele[2] se montrait tout à fait favorable au développement de l’administration électronique « dés lors qu’il s’agit de rendre un meilleur service aux usagers de l’administration, de rendre celle-ci plus efficace et plus transparente, de simplifier les démarches tout en garantissant les droits et libertés de chacun ».
Comme le souligne le programme adele, il est indispensable d’offrir des garanties aux usagers quant à la protection des données personnelles les concernant afin d’assurer le succès de l’e-administration. La CNIL en ce sens, met l’accent sur quatre principes, largement pris en compte par le plan adele : le principe de proportionnalité, le principe de transparence, le principe de sécurité graduée, le principe de la pluralité des identifiants.
Dans ce même objectif, la loi Informatique et Libertés encadre la collecte, le traitement et la conservation des données de garanties. Il s’agit notamment d’attribuer une finalité précise aux fichiers, l’article 6 2° de la loi dispose que les informations ne peuvent être collectées et traitées que pour un usage déterminé et légitime en conformité avec la mission de service public dont est chargée l’administration, tout détournement de la finalité étant passible d’une sanction pénale.
La conservation des données doit être limitée dans le temps, l’article 6 5° dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Enfin, il s’agit de contrôler la divulgation des données, ainsi, les informations nominatives qui sont traitées de manière automatisée ne peuvent être communiquées qu’aux destinataires mentionnés dans l’arrêté, la délibération instituant le traitement ou la norme de référence qui a fait l’objet d’une déclaration à la CNIL.
Cependant, certains tiers sont habilités à se voir communiquer certaines de ces informations. Il s’agit seulement de quelques autorités publiques (aucune société privée ne pouvant avoir accès à ces informations).
La sécurisation des systèmes et des échanges constitue une part essentielle de la politique de l’Etat en matière de protection des données personnelles dans le cadre de l’e-administration. Ainsi, dans l’article 3 de la loi du 9 décembre 2004 qui autorise le gouvernement à simplifier le droit par ordonnance s’engage à prendre toutes les mesures propres à assurer la sécurité de l’administration électronique par le biais de la mise en place d’un référentiel général de sécurité dénommé « politique de référencement intersectoriel de sécurité » (PRIS), prévoyant plusieurs niveaux de sécurité possibles (3 niveaux de * à *** ) pour chaque service de sécurité offert, tels que l'identification, la signature, la confidentialité, l'archivage et l'horodatage.
Cette habilitation permettra la réalisation du projet « ADELE 119 : Politique de référencement intersectorielle de sécurité (PRIS) ». Le cadre juridique mis en place imposera ainsi aux administrations, pour chaque téléservice qu’elles proposent, de déterminer, sur la base de la PRIS, le niveau de sécurité requis, et l’usager utilisant un outil référencé dans le cadre de la PRIS ne pourra se voir refuser l’accès à ce téléservice.
L’ordonnance du 8 décembre 2005 vient donner une base légale à ce référentiel général de sécurité dont les conditions d’élaboration, de modification et de publication doivent encore être précisées par décret.
Il est nécessaire que l’administration soit identifiée en tant que telle par les usagers, ces derniers doivent en effet en utilisant les téléprocédures, avoir la certitude que les données qu’ils fournissent ne sont reçues que par les administrations et non par des individus étrangers. Pour cela une première vérification peut être faite grâce au label « .gouv.fr » qui figure dans la plupart des adresses de téléservices administratifs.
Or il ne figure pas sur tous les sites consacrés aux démarches administratives comme c’est le cas sur les sites des collectivités locales. Ainsi, la PRIS oblige les autorités administratives qui offrent des téléservices à exiger un niveau de sécurité qui se réfère à la grille. Dés lors les prestataires de services de sécurité ainsi que les fournisseurs de services de sécurité, qui souhaitent être agréés par les autorités administratives, sont invités à respecter les exigences de cette grille.
En matière d’identification des usagers, un choix stratégique doit être opéré, nous le disions plus haut ce choix se fera en fonction des téléservices considérés, tous ne nécessitant pas en effet, le même degré de protection.
Pour la CNIL, la sécurité juridique des transactions passe nécessairement par l’authentification et l’identification des personnes, mais dans le respect, dans la mesure du possible, de l’anonymat. La totalité des démarches administratives ne nécessitent pas en effet, d’identification formelle.
Pour de simples besoins d’informations, il doit être possible de demander en ligne des formulaires, qui sont par ailleurs disponibles librement auprès des administrations ou de consulter un document administratif communicable sans avoir à s’authentifier auprès de l’administration.
Dés lors, les exigences de sécurité techniques doivent être modulées en fonction du type de démarche administrative entreprise. Nous pouvons ainsi distinguer plusieurs degrés de sécurité en matière d’authentification :
- Le code d’identification assorti d’un mot de passe. : il s’agit du procédé classique le plus utilisé- la signature électronique : l’ordonnance du 8 décembre 2005 donne une base légale à la signature électronique, si la loi du 13 mars 2000 l’avait déjà fait en instituant l’article 1316-4 ancien devenu 1366 du Code civil, en droit public une telle reconnaissance a tardé, c’est chose faite avec cette ordonnance relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Désormais, la légalité de l’utilisation de la signature électronique dans la sphère publique est incontestable.
- le cryptage, le recours à ce procédé, qui consiste en un chiffrement des données, est exigé lorsqu’il s’agit de transmettre des données qui selon la CNIL sont sensibles (données médicales, financières…).
ARTICLES QUI POURRAIENT VOUS INTERESSER :
