Téléservices publics (dé-)localisés, téléservices de l’administration électronique... Arr. 4 juill. 2013, mise en œuvre, par collectivités territoriales, EPCI, syndicats mixtes, EPL, GIP et SPL, de traitements automatisés de données à caractère personnel - téléservices de l’administration électronique.

Le 13 juillet 2013, par Geneviève Koubi,

En ces jours d’été, certaines informations juridiques paraissent inutiles, ou simplement anodines. Pourtant, quelques-unes d’entre elles peuvent susciter un temps d’arrêt... justement à titre de simple information.

.

Un arrêté du 4 juillet 2013, publié au Journal officiel du 13 juillet 2013, autorise la mise en œuvre de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d’un ou de plusieurs téléservices de l’administration électronique, par les collectivités territoriales, les établissements publics de coopération intercommunale, les syndicats mixtes, les établissements publics locaux qui leur sont rattachés ainsi que les groupements d’intérêt public et les sociétés publiques locales dont ils sont membres, - ces personnes morales étant qualifiées d’entités publiques locales par la CNIL dans son avis n° 2013-054 du 7 mars 2013 [1].

.

Une décentralisation territoriale et technique de ces méthodes serait-elle donc ainsi validée ? On pourrait le croire puisque les discours présentant ces modalités de connexion à certains types de services publics, évoquent des "téléservices publics locaux" qui peuvent ainsi être créés et être mis à disposition des administrés.

Pourtant, quelques observations affaiblissent cette mise en perspective.

Puisque ces téléservices publics locaux doivent être compris comme des « traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d’un ou de plusieurs téléservices de l’administration électronique », le terme d’administration électronique ainsi utilisé dans l’intitulé de l’arrêté n’assure pas d’une certitude quant au caractère "local" du téléservice considéré. On pourrait plus sûrement évoquer des téléservices délocalisés ou seulement localisés...

La CNIL, dans l’avis du 7 mars 2013 rendu sur le projet d’arrêté, s’attache encore à rappeler que les collectivités territoriales disposent elles-mêmes du droit de créer, après un avis spécifique de sa part, des téléservices publics qui leur sont propres, c’est-à-dire ne relevant pas du ’périmètre’ signifié par l’arrêté du 4 juillet 2013.

La liste des téléservices publics locaux ou localisés énumérés dans cet arrêté semble accentuer l’entremêlement entre les compétences de l’État et celles des entités publiques locales et les attributions de chacune de ces dernières [2].

.

En effet, l’arrêté du 4 juillet 2013 concernant ces téléservices publics locaux ou localisés, en fixe le périmètre, le principe étant que la "gestion des démarches" doit s’inscrire dans des secteurs déterminés à l’article 1er. L’approche gestionnaire n’est guère masquée en l’occurrence.

Cet article 1er présente un tableau de ces domaines :

« 1. Fiscalité : Taxe ou redevance d’enlèvement des ordures ménagères. / Taxe de séjour. // 2. Travail et social : Bourse de l’emploi. / Apprentissage. / Formation professionnelle. / Demande de stage, d’emploi. // Gestion des aides sociales (demande, attribution et suivi) : - demande de logement et/ou d’aides ; - bourse ; - allocation personnalisée d’autonomie ; - aides en faveur des personnes handicapées ; - revenu de solidarité active. // 3. Santé : / Protection maternelle et infantile. / Plan de vaccination. / Plan canicule. / Plan d’alerte et sauvegarde de la population. / Demandes d’agrément d’assistante maternelle. // 4. Transports : Inscription, suivi et paiement en ligne des prestations, scolaires ou municipales, de transports individuels ou en commun (vélo, voiture, autobus, etc.). / Informations sur les conditions de circulation. // 5. État civil et citoyenneté : Demande d’extraits ou de copies d’actes de l’état civil, de livret de famille. / Inscription à la journée défense et citoyenneté/recensement citoyen obligatoire. / Inscription sur les listes électorales. / Signalement de changement d’adresse. / Attestation d’accueil. / Autorisation de sortie du territoire. / Demande de titres d’identité, de voyage ou de séjour. // 6. Relations avec les élus : Communication municipale. / Relations des usagers avec les élus (demande de rendez-vous, etc.). // 7. Prestations scolaires et périscolaires, activités sportives et socioculturelles : / Gestion des dossiers (inscription, suivi et paiement en ligne) : - centre de loisirs sans hébergement ; - prestations touristiques ; - centre de vacances ; - école ; - crèche-garderie ; restauration scolaire ; activités sportives (piscine municipale, salle de sports, etc.) ; - activités socioculturelles (bibliothèque, médiathèque, musée, réservation de salle municipale) ; - formations pour adultes ; - location de salle ou matériel municipal ; - repas à domicile. // 8. Économie et urbanisme : Inscription de l’activité dans l’annuaire socio-économique. / Aides aux entreprises. / Demande de locaux professionnels. / Gestion des dossiers (demande, attribution, suivi et paiement en ligne) : - eau-assainissement ; - permis de construire ; - permis d’aménager ; - permis de démolir ; - certificat d’urbanisme ; - arrêté individuel d’alignement. / Déclaration : - d’achèvement de travaux ; - d’ouverture d’un chantier ; - d’intention d’aliéner. // 9. Polices spéciales et voirie : Autorisation temporaire de débit de boissons. / Déclaration de chien de première ou deuxième catégorie. / Attestation de changement de domicile. / Paiement, abonnement ou autorisation de stationnement. / Emplacement de marché/foire. / Accès aux voies piétonnes. / Objets perdus. / Signalement de nuisance sonore, olfactive ou visuelle. / Demande d’intervention sur le domaine public (entretien d’espace vert, éclairage public, graffiti, container, etc.). / Cimetière (attribution de concession funéraire). / Tournage de films. // 10. Relations avec les usagers : Relation des usagers avec les services (demande de rendez-vous, etc.). / Inscription à la cérémonie des nouveaux habitants. / Exercice des droits informatique et libertés (demande d’information, de rectification, suppression, etc.). »

A ce même article 1er de l’arrêté, il est précisé que « tout service public s’inscrivant dans le même secteur d’activités et recueillant les mêmes catégories de données que l’un des téléservices listés » est inclus dans le périmètre.

.

Le secrétariat général pour la modernisation de l’action publique (SGMAP) avait donc demandé à la Commission nationale de l’informatique et des libertés (CNIL) son avis sur cette manœuvre qui consiste à reporter la charge de la gestion des téléservices sur les entités locales énumérées dans l’intitulé de l’arrêté. La CNIL reconnait cependant par avance que la portée de son avis doit demeurer nuancée. La CNIL n’est pas seulement une instance consultative de contrôle, elle est une instance consultative de décision.

En effet, dans son avis n° 2013-054 du 7 mars 2013, la CNIL ’avoue’ avoir été largement associée à l’élaboration du projet d’arrêté par les administrations compétentes et les associations représentatives des élus locaux. Inévitablement, dans cette perspective, elle « se félicite de cette démarche de concertation, de nature à permettre la bonne application par les entités publiques locales des principes de protection des données personnelles dans le cadre de la dématérialisation des démarches administratives locales principalement de rappeler les règles de sécurité et de protection des données personnelles à mettre en œuvre dans la gestion des échanges dématérialisés entre les administrés et les autorités administratives. »

Elle valide ’a priori’ le projet d’arrêté pour avoir participé à son élaboration, et lui reconnaît sa « vocation à constituer un acte réglementaire unique au sens de l’article 27-III de la loi "informatique et libertés" ». Ceci permettra aux entités publiques locales énumérées « d’accomplir leurs formalités préalables de manière simplifiée, par le biais de l’envoi à la commission d’un engagement de conformité au cadre prévu » [3].

.

Dans son avis du 7 mars 2013, la CNIL s’attache encore à préciser que ces traitements de données « ont pour finalités de permettre aux administrés d’accomplir en ligne leurs démarches administratives auprès des entités publiques locales et aux agents de celles-ci d’en assurer le traitement et le suivi ». Elle se plie ainsi à la rhétorique étatique numérisante pour donner à ces traitements constitutifs de téléservices, un objectif de simplification des démarches administratives et d’amélioration des relations entre les administrés et l’administration, alors que l’enjeu est plutôt de faciliter le travail des administrations et d’améliorer leur rendement. Quoiqu’il en soit, lesdites démarches et relations seront réalisées et menées cette fois-ci "au niveau des collectivités territoriales".

Mais la CNIL rappelle aussi, par cet avis du 7 mars 2013, « qu’il est nécessaire de limiter la mise en œuvre de traitements de données à caractère personnel à ceux qui sont strictement nécessaires et, en particulier, de ne pas systématiser l’identification d’un administré dès lors qu’une information générale peut être mise à disposition de tout internaute ». Ce rappel n’est pas sans importance, même s’il reste là limité à l’identification de l’administré. S’il laisserait penser que la voie électronique n’est pas la plus adaptée pour ce type d’information générale, il ne prend pourtant pas en considération le fait que les administrés ne sont pas tous tenus de disposer personnellement d’un ordinateur ou téléphone mobile disposant d’un accès à internet [4]. Dès lors, la CNIL ne pouvait se dédire, surtout à l’heure de PRISM : « le développement de l’administration électronique ne doit en aucun cas conduire à la création d’un identifiant unique des administrés, au plan local comme au plan national (...) les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d’autres fins que l’accomplissement de certaines démarches administratives, et tout particulièrement aux fins d’alimenter d’autres fichiers ou de constituer un fichier de population ».

.

La particularité des téléservices publics visés dans l’arrêté du 4 juillet 2013 est aussi de pouvoir être réunis dans un "bouquet de téléservices". Les secteurs alignés dans le tableau de l’article 1er de l’arrêté du 4 juillet 2013 sont regroupés en quelques secteurs qui révèlent autant de catégories d’activités de services publics. Si la CNIL insiste sur le fait que l’enjeu est de permettre aux entités publiques locales de « gérer toutes les démarches administratives s’inscrivant dans les secteurs publics suivants : la fiscalité locale ; le travail et le social ; la santé ; les transports ; l’état civil et la citoyenneté ; les relations avec les élus ; la "vie quotidienne" (comprenant les prestations scolaires et périscolaires, les activités sportives et socioculturelles, l’économie et l’urbanisme, les polices spéciales et la voirie ainsi que les relations avec les usagers) », elle se satisfait du fait que cette liste n’est pas exhaustive... Les circuits de l’administration électronique s’amplifient.

Par son avis, la CNIL explique encore les procédés d’accès aux téléservices publics "locaux". Ces téléservices - inclus dans le périmètre de l’acte réglementaire unique - « seront en effet accessibles, au choix de l’administré, par plusieurs procédés d’identification : un couple identifiant/mot de passe, un numéro de téléphone portable, un certificat électronique, une "carte de vie quotidienne"( [5]) ou encore des clés de fédération, ou "alias", générés par le système et permettant à l’administré d’établir des liens avec ses différents comptes. Suivant l’architecture du dispositif, déterminée par chaque responsable de traitement, l’administré peut ainsi choisir parmi ces modalités pour accéder aux fonctionnalités proposées par un portail de téléservices. La fédération d’identités permet à l’administré d’utiliser des services différents sans avoir à s’identifier à nouveau auprès de chacun d’eux au moyen de clés de fédération propres aux différents services. (...) ce dispositif permet ainsi de simplifier l’utilisation de portails de téléservices tout en prévenant la création d’un identifiant administratif unique des administrés et les risques d’interconnexions de fichiers dont les finalités correspondent à des intérêts publics différents. » Cela semble aller de soi, mais la gestion de multiples identifiants pourrait aussi conduire les administrations à procéder à des mutualisations élargies en agrégeant à un secteur bien d’autres activités au prétexte de combinaisons diversifiées.

Or, comme les déclarations à venir ne seront pas analysées de manière approfondie du seul fait que cet arrêté constitue un acte réglementaire unique au sens de l’article 27-III de la loi "informatique et libertés", la CNIL prévient que les portails d’accès ou les bouquets de téléservices doivent alors garantir « l’étanchéité des données entre les différents secteurs de services publics et que la création d’un fichier de population et d’un identifiant administratif unique est interdite ». L’article 2 de l’arrêté du 4 juillet 2013 précise ainsi que « lorsque les autorités mentionnées à l’article 1er mettent en œuvre ou participent à un portail d’accès à un bouquet de téléservices, le dispositif garantit l’étanchéité des données entre les secteurs mentionnées à l’article 1er pour les services traitants et interdit la création par l’autorité administrative d’un fichier de population ainsi que d’un identifiant unique des usagers. » Ce sera donc à l’usage que les vérifications du respect de ces données pourront être faites...

.

En son alinéa 2, l’article 2 de l’arrêté du 4 juillet 2013 signale encore que « afin de ne pas redemander à un usager une information ou une donnée qu’il aurait déjà produite auprès d’un service traitant et qui serait nécessaire au traitement d’une démarche administrative par un autre service traitant, ce dernier peut, après avoir recueilli le consentement exprès et non équivoque de l’usager, obtenir ladite information ou donnée auprès du service détenteur de celle-ci. » Il est quand même à craindre que ce "consentement exprès et non équivoque de l’usager" ne conduise à la création de facto d’un seul et unique identifiant.

Certes, comme le signale la CNIL dans son avis du 7 mars 2013, la protection des données personnelles des usagers de l’administration n’implique pas qu’il soit nécessaire de "leur redemander des informations qu’ils auraient déjà fournies à la même entité publique". Cependant, comme les services listés, et plus particulièrement ceux concernant la ’vie quotidienne’ « relèvent d’intérêts publics différents et peuvent nécessiter la collecte des données particulières relevant de la vie privée des administrés, alors même que l’interconnexion de traitements de gestion de services publics relevant d’intérêts publics différents n’est pas autorisée », il conviendrait de distinguer les différentes catégories de services publics... S’agit-il d’une distinction entre les secteurs ou domaines signifiés par l’arrêté ? ou bien s’agit-il d’une distinction entre les activités de service public ? Car tous les services publics ne sont pas de "prestations", certains d’entre eux sont de "contributions"...

Par la formulation utilisée dans cet alinéa 2 de l’article 2 de l’arrêté du 4 juillet, il est aussi à craindre que le "consentement exprès et non équivoque de l’usager" ne soit constitué que d’une case précochée dans les tableaux proposés par un des téléservices énumérés [6].

.

La CNIl remarque par ailleurs que « compte tenu, d’une part, du nombre important des démarches administratives concernées par le projet d’arrêté et, d’autre part, de la variété des données demandées à l’administré, il apparaît impossible de mentionner dans le texte l’ensemble des données susceptibles d’être enregistrées dans ces traitements. » L’article 3 de l’arrêté indique alors in fine que « la liste des données à caractère personnel enregistrées et les informations mentionnées à l’article 32 de la loi du 6 janvier 1978 susvisée sont accessibles depuis les téléservices créés dans le cadre de l’article 1er ». A chacun des usagers-internautes de vérifier à quelles catégories de données appartiennent les informations qui lui sont demandées sur lui-même [7].

Ainsi, la CNIL « appelle ... à la vigilance de tout acteur public pour ne traiter que les données strictement nécessaires pour rendre le service public dont il la charge ». L’autorégulation par les acteurs ainsi sollicitée n’est-elle pas le germe des dérives possibles ?

Le lien entre les données à caractère personnel transmises et la démarche réalisée par l’usager, - bien plus que le service rendu ou la prestation du téléservice -, est ainsi affirmé à l’article 3.2 de l’arrêté du 4 juillet 2013 qui concerne les catégories de données à caractère personnel enregistrées : « Pour l’accomplissement des démarches administratives : - les informations et données à caractère personnel strictement nécessaires à l’accomplissement des démarches administratives ». On relèvera cependant la différence entre ces formulations et l’insertion sollicitée par la CNIL dans son avis du 7 mars 2013 : « à sa demande, l’article 3 du projet d’arrêté sera complété sur ce point afin de préciser qu’il s’agit des données « strictement nécessaires à l’accomplissement des démarches administratives mentionnées à l’article 1er ». Car la collecte des données « doit être réalisée directement auprès des personnes concernées et être limitée aux seuls cas strictement nécessaires » [8]...

.

L’usager des services publics est indéniablement en passe de devenir un usager des téléservices publics...

Le management des relations entre administrés et administrations a bel et bien commencé, avec tous les risques de déshumanisation des rapports sociaux que tout discours managérial introduit ...

...

Notes :

[1] Avis n° 2013-054 sur un projet d’arrêté autorisant la mise en œuvre par les collectivités locales, les établissements publics de coopération intercommunale, les syndicats mixtes et les établissements publics locaux qui leur sont rattachés ainsi que les groupements d’intérêt public et les sociétés publiques locales dont ils sont membres de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d’un ou de plusieurs téléservices de l’administration électronique, JO 13 juill. 2013.

[2] Cette expression d’"entités publiques locales" est utilisée par la CNIL pour l’ensemble formé par les collectivités territoriales, les établissements publics de coopération intercommunale (EPCI), les syndicats mixtes et les établissements publics locaux qui leur sont rattachés, les groupements d’intérêt public (GIP) et les sociétés publiques locales (PLS) dont ils sont membres. Dans l’arrêté du 4 juillet 2013, le terme utilisé est celui d’"autorité".

[3] La CNIL insiste sur ce point. Elle le répète à plusieurs reprises (ex. : « La mise en œuvre de ces autres téléservices sera ainsi entourée des mêmes garanties que pour ceux qui y sont expressément mentionnés, sans nécessiter de modification de l’acte réglementaire unique. »)... - comme si elle le regrettait ?

[4] A tout le moins, cet accès devrait être proposé gratuitement via un serveur géré par la personne publique, pour toutes les catégories de personnes dites ’défavorisées’...

[5] A ce propos, quelques précisions s’imposent. Cette carte de vie quotidienne (CVQ) est conçue comme un "support unique permettant d’accéder à plusieurs services publics". Ainsi la CNIL s’inquiète des mesures de sécurité complémentaires devant être mises en œuvre : « Cette exigence est d’autant plus impérieuse dans l’hypothèse d’une carte multiservices utilisée par plusieurs entités locales pour mutualiser un même service public, au premier rang desquels le transport. En effet, la délibération n° 2011-107 du 28 avril 2011 relative à la gestion des applications billettiques dans le cadre de l’organisation de transports publics (autorisation unique n° 15) dispose que des mesures techniques et organisationnelles doivent être mises en œuvre afin de garantir l’absence de traçabilité des activités et déplacements de l’administré et se prémunir contre les risques d’intrusion et de détournement de données sur les systèmes informatiques. Ces mesures doivent en particulier garantir la stricte étanchéité entre les données des différents services et les identifiants tant techniques que fonctionnels utilisés pour le transport ne doivent pas être utilisés pour d’autres services. »

[6] Qui pourrait être du style : "j’autorise l’administration X à communiquer mon identifiant à toute autre administration qui en fait la demande"...

[7] Pour la CNIL « ces mentions d’information doivent être facilement accessibles pour l’administré et rédigées en des termes clairs et pédagogiques ».

[8] La CNIL donne cet exemple : « la collecte d’informations relatives à la santé des personnes aux fins de mises en place de mesures de secours adaptées ne doit pas se traduire systématiquement par le traitement de données relatives aux pathologies, la saisie des modalités de secours spécifiques que celles-ci imposent pouvant suffire. Il en est de même en matière d’informations relatives au régime alimentaire dans le cadre scolaire, où la mention de la religion des personnes concernées n’apparaît pas nécessaire. »

Droit cri-TIC ou Droit cri TIC

Cri TIC, cri-TIC en Droit. Cri-TIC de droit : critique du droit, droit de la critique, droit à la critique, droit critique.

La forme interrogative étant un des signes de l’esprit critique qui anime toute recherche et parcourt tout enseignement, ce site a pour objet, en quelques articles ou brèves, de faire part de questionnements, incomplets et inachevés, sur des thèmes diversifiés... en Droit certes, mais aussi à côté ou aux alentours du Droit.

Pr. Geneviève Koubi

Dans la même rubrique

Collectivités territoriales et évaluation des normes à incidences financières
Etat territorial contre Etat décentralisé
Les petits hôpitaux dans les territoires de santé
Départements : la circonscription plus que la collectivité
Droit et territoires Etapes pour une "réforme de l’administration territoriale de l’État"
Réforme des collectivités territoriales et signes de confusion
Droit des collectivités territoriales A mi-chemin entre État centralisé et État régionalisé...
Les services publics dans les zones rurales en question...
Réforme des collectivités territoriales. Avis du 4 nov. 2009 du Conseil économique, social et environnemental
Droit des collectivités territoriales Réforme des collectivités territoriales. Etape de l’annonce à venir du projet
Réforme des collectivités territoriales. Le communiqué du Conseil des ministres du 21.10.2009
Réforme des collectivités territoriales. Etape du dépôt du projet de loi. Exposé des motifs et étude d’impact.
Droit des fonctions publiques - Droit des collectivités terrioriales Un contrôle de légalité mis à la charge de l’agent public
Des directions interministérielles départementales
DATAR : le retour.
Droit des collectivités territoriales Le site ’officiel’ de la réforme des collectivités territoriales
Relations Etat-Collectivités territoriales Les départements face à l’Etat : payer la note !
Recentrage du pilotage des groupes d’intervention régionaux
Une « carte » des services publics de l’Etat
Droit d’évocation préfectoral en région
Administration territoriale Défis des préfectures dans l’ère RGPP
Cours. Collectivités territoriales/Education - L’EPCI de résidence
Droit des collectivités territoriales - Exercice et documents de cours. Contrôle de légalité en réforme
Faire face aux épisodes neigeux
Droit des collectivités territoriales - Cours. Documents de travail. Réforme des collectivités territoriales
Du déplacement des débits de tabac
Vers la mutualisation des services des Archives départementales
Evaluer l’impact des normes pour les entreprises et... les collectivites territoriales
Un ‛service public de l’emploi local’ habité par l’État ?
- Contrôle de légalité et conseil aux collectivités
- Collectivités locales au secours de l’information environnementale.
Veilleurs vigilants : visionneurs et vidéopatrouilleurs
La communication sur la gestion sanitaire des grands froids.
Education dans les territoires académiques de santé...
Recomposition de la carte des écoles en zone de montagne.
- Repérer les communes à doter par le FSCT pour 2012.
Eviter le "décrochage numérique" sur le territoire
L’administration électronique en v(r)ille...
Revisiter la décentralisation au prisme du concept de "territoire/s".
- Police dans les communes. Conventions de coordination.
- Loi de décentralisation ? L’étape d’un avant-projet dans la MAP.
- Les contributions préfectorales au rapport du Gouvernement sur le contrôle des actes des autorités locales
Téléservices publics (dé-)localisés, téléservices de l’administration électronique...
- Réorganisation territoriale de l’Etat ... au rapport.
- A la recherche de l’impact technique et financier des normes applicables aux collectivités territoriales...
- Outre-mers et ordonnances
Une Charte d’engagements pour mettre au pas les associations ?
Collectivités territoriales et droit communautaire : Un retard qui ne fait pas de bruit ?
- Evaluation des normes réglementaires en vigueur dans les collectivités territoriales
- Rejets pour des cantons redécoupés...
- Election des assemblées et exécutifs locaux : une circulaire référencée tardivement !
Transmission des saisines au médiateur des normes applicables aux collectivités territoriales.
- Un discours spécieux sur l’allègement des normes pour les collectivités territoriales
- Une "charte" de valeur législative : la charte de l’élu local
La lutte contre la pauvreté en "territoires pertinents" ?
Sécurité, sécurisation dans les établissements scolaires
Territoires de montagne et services publics

À propos de cet article

Dernière mise à jour le :
13 juillet 2013
Statistiques de l'article :
9 visiteurs aujourd'hui
5929 visiteurs cumulés

Votre recherche

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 4311 (3319429)