mardi 22 janvier 2019

Echanges de données entre les administrations : Décret du 18 janvier 2019.

La question des échanges d’informations entre les administrations de l’État, entre les administrations de l’État et ses établissements publics administratifs et entre ces mêmes établissements publics gangrène l’économie du Code des relations entre le public et les administrations (CRPA).

Après les modifications de ce Code intervenues du fait de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, a été publié, au Journal officiel du 20 janvier 2019, un décret n° 2019-31 en date du 18 janvier 2019 relatif aux échanges d’informations et de données entre administrations dans le cadre des démarches administratives et à l’expérimentation prévue par l’article 40 de la [loi n° 2018-727 du 10 août 2018 pour un État au service d’une société de confiance>https://www.legifrance.gouv.fr/jo_pdf.do ?id=JORFTEXT000037307624] [1].

Se référant aussi aux quelques dispositions non codifiées de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et au décret n° 2010-112 du 2 février 2010 édicté en conséquence et concernant notamment le référentiel général de sécurité pour les systèmes d’information mis en œuvre dans le cadre des administrations [2], le décret n° 2019-31 du 18 janvier 2019 relatif aux échanges d’informations et de données entre administrations dans le cadre des démarches administratives a fait l’objet d’un avis détaillé par la Commission nationale de l’informatique et des libertés (CNIL), l’avis n° 2018-357 en date du 13 décembre 2018.

Plus que le décret lui-même c’est cet avis qui retient l’attention tant il délivre en sous-main les intentions du gouvernement à propos de ces échanges tels qu’envisagés à l’article L. 114-8 du CRPA : « Les administrations échangent entre elles toutes les informations ou données strictement nécessaires pour traiter une demande présentée par le public ou une déclaration transmise par celui-ci en application d’un texte législatif ou réglementaire. Les administrations destinataires de ces informations ou données ne peuvent se voir opposer le secret professionnel dès lors qu’elles sont, dans le cadre de leurs missions légales, habilitées à connaître des informations ou des données ainsi échangées. / Une administration chargée de traiter une demande ou une déclaration mentionnée à l’alinéa précédent fait connaître à la personne concernée les informations ou données qui sont nécessaires à cette fin et celles qu’elle se procure directement auprès d’autres administrations françaises, qui en sont à l’origine ou qui les détiennent en vertu de leur mission. / Le public est informé du droit d’accès et de rectification dont dispose chaque personne intéressée sur les informations et données mentionnées au présent article. » Ce qui ne devrait donc pas laisser indifférent l’administré ...

A titre liminaire, la CNIL rappelle les dispositions de l’article L. 114-9 du CRPA qui justifie clairement sa saisine : « Les échanges d’informations ou de données entre administrations prévues à l’article L. 114-8 s’effectuent selon des modalités prévues par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. / Ce décret détermine : 1° Les domaines et les procédures concernés par les échanges d’informations ou de données ; 2° La liste des administrations auprès desquelles la demande de communication s’effectue en fonction du type d’informations ou de données ; 3° Les critères de sécurité et de confidentialité nécessaires pour garantir la qualité et la fiabilité des échanges ; 4° Les informations ou données qui, en raison de leur nature, notamment parce qu’elles touchent au secret médical et au secret de la défense nationale, ne peuvent faire l’objet de ces échanges entre administrations ; 5° Le délai de conservation des informations et données applicable à chaque système d’échanges. »

Même si l’objectif de la « simplification » des démarches administratives par les biais de la dématérialisation et des téléprocédures paraît légitime, les échanges d’informations et de données à caractère personnel entre les administrations doivent répondre à ce seul périmètres [3], être « strictement nécessaires » [4] et, bien sûr, « respecter la réglementation applicable en matière de protection des données »…

Aussi, mieux vaut lire l’avis de la CNIL du 13 décembre 2018 avant de consulter le décret…

Notes :

[1] Cet article 40 dispose : « Sans préjudice de l’article L. 114-8 du code des relations entre le public et l’administration, à titre expérimental et pour une durée de trois ans à compter de la publication du décret en Conseil d’État prévu au troisième alinéa du présent article, les personnes inscrites au répertoire des entreprises et de leurs établissements, qui y consentent, ne sont pas tenues de communiquer à une administration des informations que celle-ci détient déjà dans un traitement automatisé ou qui peuvent être obtenues d’une autre administration par un tel traitement. / Lorsqu’elle obtient des informations par un traitement automatisé, l’administration en informe la personne concernée. Elle assure la confidentialité et la protection de ces informations afin d’empêcher qu’elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès. / Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, précise les modalités d’application du présent article, notamment la liste des traitements automatisés entrant dans le champ de l’expérimentation ainsi que, pour chaque traitement, la liste des données disponibles. / L’expérimentation fait l’objet d’une évaluation, notamment de son impact sur les délais administratifs, dont les résultats sont transmis au Parlement. »

[2] Cf. art. 1 du D. Dn° 2010-112, 2 févr. 2010 : « Le référentiel général de sécurité prévu par l’article 9 de l’ordonnance du 8 décembre 2005 susvisée fixe les règles auxquelles les systèmes d’information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l’intégrité de ces systèmes et l’identification de leurs utilisateurs. / Ces règles sont définies selon des niveaux de sécurité prévus par le référentiel pour des fonctions de sécurité, telles que l’identification, la signature électronique, la confidentialité ou l’horodatage, qui permettent de répondre aux objectifs de sécurité mentionnés à l’alinéa précédent. / La conformité d’un produit de sécurité et d’un service de confiance à un niveau de sécurité prévu par ce référentiel peut être attestée par une qualification, le cas échéant à un degré donné, régie par le présent décret. »

[3] Sont exclues les banques et les assurances.

[4] La CNIL insiste sur ce point à plusieurs reprises.

Droit cri-TIC ou Droit cri TIC

Cri TIC, cri-TIC en Droit. Cri-TIC de droit : critique du droit, droit de la critique, droit à la critique, droit critique.

La forme interrogative étant un des signes de l’esprit critique qui anime toute recherche et parcourt tout enseignement, ce site a pour objet, en quelques articles ou brèves, de faire part de questionnements, incomplets et inachevés, sur des thèmes diversifiés... en Droit certes, mais aussi à côté ou aux alentours du Droit.

Pr. Geneviève Koubi

Votre recherche

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 2754 (4117504)