Téléservices et protection de la vie privée

17 décembre 2018

Dans un contexte de dématérialisation croissante des services publics et de développement des téléservices, la CNIL rappelle les bonnes pratiques indispensables pour le développement de téléservices en conformité avec le RGPD.

Qu’est-ce qu’un téléservice ?

L’article 1er de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives définit le téléservice comme “tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives”.

Un téléservice constitue le « guichet d’accueil » numérique proposé par une administration, une collectivité ou un organisme en charge d’un service public permettant aux usagers d’accomplir certaines démarches ou formalités administratives.

Il doit ainsi permettre à un usager d’obtenir une prestation, de faire valoir un droit, de satisfaire une obligation légale ou de demander un document (demande de permis de construire, inscription au ramassage scolaire, demande de logement social, demande d’attestation, paiement de droits, etc.).

Ne constitue pas un téléservice : un simple accès à des ressources documentaires numériques, un site internet diffusant des informations généralistes sur l’organisation des services administratifs (horaires d’ouverture, modalités de contact, actualités diverses, etc.), l’inscription à une newsletter ou à un bulletin municipal, un service permettant aux usagers d’utiliser un réseau social, etc.

À RETENIR

Les téléservices, dès lors qu’ils reposent sur la collecte de données à caractère personnel, constituent des traitements soumis à la règlementation sur la protection des données personnelles et ce, indépendamment de leurs modalités concrètes de fonctionnement ou encore de leur périmètre. 

 

Il existe en effet une multitude de téléservices :

  • nationaux (ex : impots.gouv.fr, ameli.fr, amendes.gouv.fr, etc.) ;
  • locaux (ex : mairie, conseil départemental, conseil général, etc.) ;
  • mutualisés ou non par différentes collectivités ;
  • avec une authentification de l’usager via un couple login/mot de passe ou sans authentification de l’usager ;
  • avec ou sans espace de stockage permanent de documents administratifs.

La CNIL rappelle que la dématérialisation ne doit pas être un frein à la réalisation de démarches administratives par les usagers. Ainsi, la mise en place de téléservices, qui constitue un des principaux leviers de modernisation de l’action publique, doit être entourée de moyens permettant de répondre aux besoins d’accompagnement spécifiques des usagers (mise à disposition de matériel informatique, accompagnement par des agents, etc.).

À la suite de l’entrée en application du RGPD, l’engagement de conformité à certains actes réglementaires uniques n’a plus, en tant que telle, de valeur juridique (notamment les actes réglementaires uniques RU-30-téléservices locaux et RU-52-saisine par voie électronique).

Quels principes respecter ?  

Le responsable de traitement (exemple : la collectivité ou l’administration), et le cas échéant le sous-traitant (le prestataire qui développe le téléservice), doivent respecter les principes essentiels pour garantir le respect de la vie privée des usagers. À ce titre, la CNIL rappelle la nécessité de définir précisément la répartition des responsabilités entre les différents acteurs du traitement (responsable de traitement, responsables de traitement conjoints, sous-traitant).

> En savoir plus sur les principes essentiels.

En matière de téléservices, la CNIL porte une attention particulière au respect des  principes suivants :

  1. La pertinence et la proportionnalité

Le téléservice permet de faire transiter des données entre les usagers et les « applications métiers », les informations collectées et enregistrées doivent être pertinentes et strictement nécessaires à l'accomplissement de la démarche concernée.

Il est ainsi préconisé de ne pas imposer une authentification préalable de l’usager si celle-ci n’est pas strictement nécessaire à l’accomplissement d’une démarche ou d’une formalité administrative.

  1. La pluralité des identifiants

Un identifiant est un numéro d’inscription (composé de plusieurs caractères) propre à un administré et attribué par l’administration pour un secteur donné (le numéro fiscal pour la sphère fiscale, le numéro de sécurité sociale pour la sphère médico-sociale, le numéro d’allocataire pour la CAF, etc.).

De manière constante, la CNIL exclut la possibilité pour l’administration d’attribuer un identifiant unique à l’usager pour l’intégralité de ses démarches administratives afin d’éviter tout risque de création d’un fichier de population sur la base de cet identifiant.

Pour mettre en œuvre un téléservice, la CNIL recommande ainsi l’utilisation d’un identifiant par service public proposé.

Exemple : une collectivité qui propose un téléservice multisectoriel permettant d’accomplir différentes démarches administratives (exemple : travail-social / santé / urbanisme) devra générer un identifiant par service public. L’usager aura donc un identifiant pour sa demande d’aide au logement, un identifiant pour sa demande de permis de construire, un identifiant pour sa demande d’inscription à la protection maternelle infantile, etc.

Des solutions alternatives, respectueuses de la vie privée sont néanmoins admises par la CNIL :

  • la mutualisation d’un identifiant commun entre les différents services publics que regroupe un même secteur (exemples de secteurs : fiscalité, travail et social, santé, transports, état civil et citoyenneté, prestations scolaires et périscolaires).

Dans le secteur de l’urbanisme, il pourrait par exemple être envisagé un identifiant commun pour la demande de permis de construire, la demande de permis de démolir, la demande d’aides spécifiques, etc.

  • la génération d’identifiants sectoriels à partir de la diversification d’un identifiant racine, tel le numéro de série d’une carte multi-applicative par exemple.

Focus : la carte de vie quotidienne ou carte de vie multi-applicative

Nombreuses sont les collectivités qui mettent en place des cartes de vie quotidienne ou multi-applicatives permettant d’accéder à plusieurs services publics.

La CNIL considère que ces cartes à puce doivent comporter au minimum deux identifiants :

  • un identifiant pour les services relevant du secteur des transports

et

  • un identifiant mutualisé qui sera dérivé pour chaque secteur ou directement plusieurs identifiants sectoriels pour les services relevant des autres secteurs.    
  1. Le cloisonnement des données des différentes sphères administratives

Les modalités d'utilisation du téléservice doivent garantir une stricte étanchéité des données enregistrées dans les différents services publics. Autrement dit, le responsable de traitement doit maintenir un cloisonnement des informations personnelles collectées en fonction de la finalité de leur collecte.

Cette étanchéité est notamment garantie par une politique de gestion des droits des personnes habilitées à accéder aux données en fonction de leurs missions.

Un « décloisonnement » de certaines données personnelles peut toutefois être envisagé, sous réserve  d'informer et de recueillir au préalable le consentement de l’usager et que les données personnelles concernées ne soient pas strictement spécifiques à un service public donné.

> En savoir plus sur la transparence

  1. La sécurité des données

Les mesures de sécurité décrites dans le Guide de la sécurité des données personnelles de la CNIL, avec une attention particulière aux questions relatives à la sécurisation des sites web, constituent un socle de bonnes pratiques à respecter pour mettre en œuvre un téléservice.

En matière de téléservice, la CNIL rappelle qu’ une analyse de risque sécurité des systèmes d’informations requise pour l’homologation du Référentiel Général de Sécurité (RGS). Des conseils méthodologiques sont disponibles.

Cette analyse de risque pourra être intégrée à la partie « étude des risques liés à la sécurité des données » de l’analyse d’impact de la vie privée (AIPD).  

Lorsque le téléservice est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données doit être menée.

> En savoir plus sur l'analyse d’impact relative à la protection des données (AIPD)

Le responsable de traitement doit mettre en place des procédures de gestion des incidents de sécurité.

En savoir plus :

> Notifier une violation de données personnelles

> Notifications d’incidents de sécurité aux autorités de régulation : comment s’organiser et à qui s’adresser ? 

Les bons réflexes de gouvernance

Le Délégué à la protection des données (DPO) doit être associé à la mise en œuvre des téléservices.

Les différents téléservices doivent être inscrits au registre des activités de traitement tenu par le responsable du traitement.

En savoir plus :

>Le registre des activités de traitement