Référentiel de sécurité et prestataires de confiance pour échanges électroniques administratifs D. n° 2010-112- 2 février 2010 - application art. 9, 10 et 12 Ord n° 2005-1516, 8 déc. 2005 : échanges électroniques entre usagers et autorités administratives et entre autorités administratives
Le 4 février 2010, par Geneviève Koubi,
Sous un intitulé quelque peu inapproprié, des indications substantielles sont données non pour ce qui concerne l’ensemble des modalités numériques et électroniques utilisées par les administrés pour une relation avec les administrations publiques quelles qu’elles soient, mais pour ces administrations élles-mêmes en tant qu’elles se présentent comme des ’autorités administratives’. Ces indications sont présentées dans le décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. De fait, les administrés sont, dans ce circuit, essentiellement ’informés’ tandis que les autorités administratives (administrations de l’Etat, collectivités territoriales, établissements publics à caractère administratif, organismes gérant des régimes de protection sociale et autres organismes chargés de la gestion d’un service public administratif) se voient directement concernées pour toute utilisation des systèmes d’information et de communication.
Il est nécessaire de reprendre les définitions instituées par l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, dont le présent décret est une des applications, pour en saisir les implications : - système d’information : « tout ensemble de moyens destinés à élaborer, traiter, stocker ou transmettre des informations faisant l’objet d’échanges par voie électronique entre autorités administratives et usagers ainsi qu’entre autorités administratives » ; - prestataire de services de confiance : « toute personne offrant des services tendant à la mise en oeuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique » ; - produit de sécurité : « tout dispositif, matériel ou logiciel, mettant en oeuvre des fonctions qui contribuent à la sécurité des informations échangées par voie électronique » ; - téléservice : « tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives. » (art. 1 II Ord. n°2005-1516 8 déc. 2005)
.
Le décret du 2 février 2010 s’intéresse principalement aux modalités techniques et aux systèmes de sécurité des circuits relationnels de nature cybernétique, numérique ou électronique. Le réfentiel de sécurité qui y est prévu l’est pour faire en sorte que soient assurées « la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l’intégrité de ces systèmes et l’identification de leurs utilisateurs », ce qui vise particulièrement « l’identification, la signature électronique, ... l’horodatage » (art. 1er D. 2 févr. 2010).
Toutefois, ce référentiel général de sécurité est placé sous la responsabilité directe du Premier ministre. En effet, selon l’article 2 du décret, l’Agence nationale de la sécurité des systèmes d’information ne fait que "concourir" à l’élaboration de ce référentiel et à sa mise à jour, et elle le fait « en liaison avec la direction générale de la modernisation de l’Etat ». Ce positionnement semble retracer encore une fois la tendance générale des pouvoirs publics à situer sous le régime sous-jacent de la RGPP qui est l’axe impératif de la modernisation des administrations, l’ensemble des mécanismes relationnels que les administrations pourraient développer, notamment par la voie des téléservices [1]. Si « ce référentiel est mis à disposition du public par voie électronique », il ne s’agit que d’une information à l’état brut que seuls les initiés seront en mesure d’évaluer et d’apprécier quant au respect des droits et libertés. L’externalisation des services qui s’y attachent [2] accentuera peut-être leur réticence [3], alors que l’article 5 du décret n° 2010-112 du 2 février 2010 précise que « l’autorité administrative atteste formellement auprès des utilisateurs de son système d’information que celui-ci est protégé conformément aux objectifs de sécurité » [4].
C’est à l’Agence nationale de la sécurité des systèmes d’information que revient la charge d’assurer que « le niveau et les objectifs de sécurité sont cohérents avec le besoin de sécurité des autorités administratives. Elle instruit cette demande lorsque l’ensemble des matériels, des logiciels et de la documentation nécessaires pour réaliser l’évaluation sont (sic) disponibles et accessibles. » [5]. Mais cette fonction que prend en charge l’Agence nationale de la sécurité des systèmes d’information n’est que de nature informative et consultative [6] et s’entend toujours dans le cadre de la modernisation de l’Etat ; l’article 24 du décret en confirme d’ailleurs le schéma recentralisateur : « Le référencement d’un produit de sécurité ou d’un prestataire de services de confiance mentionné à l’article 12 de l’ordonnance du 8 décembre 2005 susvisée est subordonné au respect des prescriptions contenues dans un cahier des charges approuvé par arrêté du ministre chargé de la réforme de l’Etat. /Le référencement mentionné au premier alinéa est prononcé par décision du ministre chargé de la réforme de l’Etat. »
Les précisions purement techniques n’étant pas là exposées, il s’agit principalement de faire état des systèmes de sécurité qui seraient mis en oeuvre dans le cadre des téléservices, des téléprocédures qui se multiplient et des formes de dématérialisation des rapports administratifs entretenus entre les administrations et les usagers des différents services. La pensée des relations administratives en petites cases à remplir et en volume de mégaoctets à ne pas dépasser s’insinue de plus en plus jusqu’à effacer les formes d’accueil et d’écoute qui avaient été une des images de marque des services publics dits "à la française".
Une définition ’légale’ est aussi donnée. A l’article 20 du décret il est indiqué qu’au sens du présent chapitre [7] on entend par : « "Certificat électronique" : des données sous forme électronique attestant du lien entre une autorité administrative ou un agent d’une autorité administrative et des éléments cryptographiques qui lui sont propres et qui sont utilisés par une fonction de sécurité assurant l’identification de cette autorité ou de cet agent dans un système d’information » et par l’expression « "Validation d’un certificat électronique" : la procédure mise en place par l’Etat pour garantir que le certificat électronique d’un agent ou d’une autorité administrative a été délivré par une autorité administrative. » Ces précisions ne sont pas sans incidence sur la relation qu’un administré peut développer avec une administration publique : « La validation des certificats électroniques d’une autorité administrative ou de ses agents est subordonnée au respect par cette autorité des règles du référentiel général de sécurité relatives à la délivrance de ces certificats. L’Agence nationale de la sécurité des systèmes d’information peut vérifier sur place les conditions de délivrance de ces certificats. /Dans le cas d’un téléservice, les autorités administratives mettent à la disposition de leurs usagers les informations, dont la liste est fixée par un arrêté du Premier ministre, relatives à la délivrance et à la validation de leurs certificats électroniques. »
.
Ces dispositions supposent qu’à terme chacun sera obligé de s’inscrire dans le cyberespace, de se lancer dans les sphères virtuelles, de détenir un identifiant IP (qui risque de se modifier au fur et à mesure des changements de matériel...) et, dans le cadre qui risque bien d’être imposé à chacun par la suite de monservicepublic.fr de se créer des codes et des mots de passe diversifiés et de plus en plus alambiqués pour se protéger des autres... mais, dès lors, non de l’administration [8].
.
Alors que la CNIL rappelle constamment que toute promenade sur le net laisse des traces, les incursions dans les sphères administratives électroniques resteront gravées...
Notes :
[1] V. art. 4 Ord. n°2005-1516 8 déc. 2005 : « Les autorités administratives peuvent créer, dans le respect des dispositions de la loi du 6 janvier 1978 susvisée et des règles de sécurité et d’interopérabilité ..., des téléservices. Lorsqu’elles mettent en place un tel service, les autorités administratives rendent accessibles depuis ce dernier la décision le créant ainsi que ses modalités d’utilisation, notamment les modes de communication possibles. Ces modalités s’imposent aux usagers. »
[2] V. Chap. IV : Qualification des prestataires de services de confiance, art. 10 et suiv.
[3] Art. 4 : « Pour mettre en oeuvre dans un système d’information les fonctions de sécurité ainsi déterminées, l’autorité administrative recourt à des produits de sécurité et à des prestataires de services de confiance ayant fait l’objet d’une qualification dans les conditions prévues au présent décret ou à tout autre produit ou prestataire pour lesquels elle s’est assurée de la conformité de leurs fonctions de sécurité au référentiel général de sécurité. »
[4] ... sans évoquer de quelconque modèle de responsabilité, donc à charge pour le juge compétent d’en déterminer progressivement par la suite les éléments constitutifs ?
[5] Au vu des modifications des modalités de recrutement dans l’ensemble des cadres et emplois des services administratifs, il faut là espérer que les agents soient réellement recrutés sur des critères de compétence et non suivant des a priori comportementalistes qui conduisent quelque peu à une expansion des formes de faveur, et recrutés qu’ils ne le soient pas à titre ’précaire’ : le vol et la vente des données personnelles semble actuellement prendre une certaine ampleur...
[6] Art. 18 :« Lorsqu’elles recourent à un prestataire de services de confiance qualifié ..., les administrations de l’Etat en informent l’Agence nationale de la sécurité des systèmes d’information. »
[7] ... et non : au sens du présent décret.
[8] V. cependant, art. 7 Ord. n°2005-1516 8 déc. 2005 : « Il est créé un service public, exploité sous la responsabilité de l’Etat, consistant en la mise à disposition de l’usager d’un espace de stockage accessible en ligne. Cet espace, placé sous le contrôle de son titulaire, ouvert et clos à sa demande, permet à l’usager de conserver et de communiquer aux autorités administratives des informations et documents utiles à l’accomplissement de ses démarches. Les autorités administratives peuvent, avec l’autorisation du titulaire de l’espace de stockage, y déposer des documents. Lorsqu’en application d’une disposition législative ou réglementaire, une autorité administrative demande à un usager la communication d’une information, ce dernier peut en autoriser la transmission depuis cet espace à cette autorité. Les autorités administratives ne peuvent se voir communiquer par le biais de cet espace que les informations et documents dont elles ont à connaître. » ; Arr. 12 avr. 2006 portant création d’un traitement automatisé de données à caractère personnel expérimental dénommé "portail monservicepublic", JO 29 avr. 2006 ; Arr. 18 juin 2009 portant création par la direction générale de la modernisation de l’Etat d’un téléservice dénommé "mon.service-public.fr", JO 20 juin 2009. V. Gk, « Quand le service public se ’personnalise’... »