La Commission nationale de l'informatique et des libertés,
Saisie le 27 août 2008 par le ministère du budget, des comptes publics et de la fonction publique d'une
demande d'avis sur un projet d'arrêté portant création d'un télé service dénommé « mon.service-public.fr » ;
Vu la convention no 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à
l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi
no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de
données à caractère personnel, notamment son article 27-II (4°) ;
Vu l'ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électronique entre les usagers et
les autorités administratives et entre les autorités administratives, notamment son article 7 ;
Vu l'arrêté du 12 avril 2006 portant création d'un traitement automatisé de données à caractère personnel
expérimental dénommé « portail mon.service-public » ;
Vu la délibération no 2005-280 du 22 novembre 2005 portant avis sur le projet d'ordonnance relatif aux
échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu la délibération no 2005-304 du 8 décembre 2005 portant avis sur le projet d'arrêté présenté par l'Agence
pour le développement de l'administration électronique et créant le téléservice « mon.service-public.fr » ;
Sur le rapport de Mme Isabelle Falque-Pierrotin, commissaire, et les observations de Mme Pascale
Compagnie, commissaire du Gouvernement,
Emet l'avis suivant :
Le ministère du budget, des comptes publics et de la fonction publique a saisi la Commission nationale de
l'informatique et des libertés d'une demande d'avis sur un projet de décret en Conseil d'Etat pris en application
de l'article 7 de l'ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les
autorités administratives, et d'une demande d'avis sur un projet d'arrêté portant création d'un téléservice
dénommé « mon.service-public.fr » (MSP).
Ce projet d'arrêté constitue à la fois un texte d'application de certaines dispositions du projet de décret,
concernant des aspects de l'espace de stockage de données mis à la disposition des usagers de l'administration,
et un acte réglementaire portant création des traitements de données à caractère personnel mis en oeuvre dans le
cadre du portail « mon.service-public.fr », conformément aux dispositions de l'article 27-II (4°) de la loi du
6 janvier 1978 modifiée.
Sur les finalités et les fonctionnalités :
L'article 2 du projet d'arrêté énonce que ce téléservice est la version personnalisée du site internet service-
public.fr et a pour objet de mettre à la disposition des usagers un ensemble de services administratifs
accessibles par internet. Les principales fonctionnalités de ce portail sont la personnalisation des contenus
d'information, l'accès à partir d'un point central aux téléservices des administrations partenaires, la mise à
disposition d'un espace de stockage permettant de conserver des informations personnelles ainsi que des
documents et pièces justificatives, nécessaires à l'accomplissement de démarches administratives, la gestion
d'échanges dématérialisés entre les usagers et les autorités administratives.
La commission rappelle que le développement de l'administration électronique doit avoir pour objectif de
mettre en place des outils de simplification des démarches administratives et d'amélioration des relations entre
les usagers et l'administration, sans que ces outils soient exclusifs d'autres canaux d'échanges. A ce titre, elle
relève qu'il n'apparaît pas dans le projet qui lui est soumis de volonté de faire du portail « mon.service-
public.fr » un dispositif obligatoire pour les usagers, et que le projet d'arrêté précise bien le caractère facultatif
de son utilisation.
Concernant l'espace de stockage de données accessible en ligne, la commission a estimé dans ses précédents
avis que l'institution d'une telle fonctionnalité supposait de définir précisément ses conditions exactes d'accès
et d'utilisation par l'usager et par l'administration, ainsi que les contraintes en termes de sécurité.
La commission se félicite que l'utilisation de l'espace de stockage, tout comme l'inscription à « mon.service-
public.fr », soit présentée comme une simple faculté offerte à l'usager. Elle se félicite également que toutes les
opérations effectuées sur l'espace personnel de stockage (dépôt et conservation de documents, transmission
d'informations ou de pièces dématérialisées utiles à l'accomplissement des démarches administratives) soient à
l'initiative et sous le contrôle de l'usager. Elle estime néanmoins que le projet d'arrêté devrait préciser que seul
l'usager peut accéder aux données contenues dans son espace personnel de stockage.
Contrairement à ce que prévoit le projet d'arrêté, qui dispose que l'espace de stockage « est ouvert et clos [à
la demande de l'usager] », la commission relève que cet espace est automatiquement créé pour chaque
utilisateur qui ouvre un compte MSP et que celui-ci a seulement la possibilité de le désactiver s'il ne souhaite
pas utiliser cette fonctionnalité. Elle considère dès lors que le projet d'arrêté devrait indiquer que « l'utilisation
de l'espace de stockage est placée sous le contrôle et la responsabilité de son titulaire, qui peut le désactiver à
tout moment ». Elle estime que l'usager devrait être parfaitement informé de cette possibilité de désactivation
qui garantit qu'aucune information ne pourra plus être enregistrée dans cet espace ou transmise à des autorités
administratives.
La commission souligne qu'en l'état actuel du dispositif les autorités administratives ne peuvent pas
s'échanger entre elles des documents ou informations contenues dans l'espace personnel de l'usager, y compris
avec le consentement de celui-ci.
Elle rappelle que toute évolution en ce sens devrait lui être préalablement soumise.
Elle souligne par ailleurs, concernant les alertes qui peuvent être reçues par les usagers sur le suivi de leurs
dossiers, que le portail « mon.service-public.fr » ne devrait pas conduire à un suivi des situations individuelles
des usagers, au-delà de l'information sur l'enregistrement, le déroulement ou la clôture d'un dossier individuel.
Sur la sécurité et la confidentialité :
La commission rappelle que, dans sa délibération du 8 décembre 2005 susvisée, elle a pris acte que les
numéros permettant de relier le portail « mon.service-public.fr » aux sites partenaires choisis par les usagers
seraient des chaînes de caractères alphanumériques aléatoires et non signifiantes, permettant seulement de faire
le lien entre les téléservices, sans que le système technique MSP ne puisse avoir connaissance des identifiants
sectoriels des usagers. Elle constate que « mon.service-public.fr » d'aboutit pas à un regroupement
d'identifiants sectoriels autour d'un identifiant commun, et que le projet n'a pas pour objectif ni pour
conséquence de créer un identifiant administratif national.
Elle estime toutefois que cette question, fondamentale au regard des grands principes de la loi du
6 janvier 1978 modifiée, devrait être garantie par les textes et non pas seulement par des mesures techniques, et
que le principe de la fédération volontaire d'identité devrait être explicité. Elle demande ainsi que le projet
d'arrêté portant création du portail « mon.service-public.fr » énonce expressément que le dispositif, bien que
créant un lien sous le contrôle de l'usager entre différents identifiants sectoriels, ne doit pas conduire à la
création d'un « identifiant administratif unique » des usagers.
Conformément aux dispositions du décret, l'article 2 du projet d'arrêté précise les modalités d'accès aux
fonctionnalités proposés par le portail « mon.service-public.fr ».
La commission observe que le seul procédé d'identification mentionné est le couple « identifiant et mot de
passe » choisis par l'usager. Or, le dossier qui lui a été présenté fait état de deux autres modes
d'authentification le « challenge SMS », qui consiste à utiliser le téléphone portable de l'usager pour l'envoi
d'un code d'accès au portail, et le certificat électronique. Quand bien même ce dernier procédé ne sera pas
disponible à l'ouverture du service, la commission considère que l'arrêté devrait viser l'ensemble des outils
d'identification, en précisant que le choix de l'un ou l'autre de ces procédés est laissé à l'usager, sauf dans les
cas où une fonctionnalité ou un service requiert un mode particulier d'authentification (par exemple par
certificat électronique). Sur ce point, elle attire l'attention de l'administration sur le fait que lorsqu'un
téléservice nécessite, de par sa nature ou sa sensibilité particulière, une authentification forte de l'usager, ce
besoin ne doit pas conduire à une généralisation de ce niveau d'authentification à l'ensemble des téléservices et
fonctionnalités offertes par le portail.
Le projet d'arrêté indique que le dispositif est mis en oeuvre « dans un environnement sécurisé », sans autre
précision sur les mesures de sécurité mises en oeuvre. La commission estime que l'arrêté devrait préciser la
nature de ces mesures de sécurité, telles que le chiffrement de l'ensemble des données à caractère personnel et
des communications avec les partenaires, ainsi que la traçabilité des accès et des transmissions de données.
La commission se félicite néanmoins au vu du dossier technique qu'aient été prises en compte ses
recommandations sur la nécessité de prévoir un chiffrement des données à caractère personnel et constate que
le dispositif MSP présente un niveau de sécurité globalement satisfaisant. Elle observe toutefois que ce niveau
de sécurité dépendra également des mesures propres aux téléservices mis en oeuvre par chaque partenaire.
Sur les données à caractère personnel enregistrées :
L'article 3 du projet d'arrêté énumère les catégories de données à caractère personnel enregistrées, en
distinguant celles nécessaires pour la gestion de l'accès au portail « mon.service-public.fr » et celles relatives à
l'utilisation de l'espace personnel de stockage.
Concernant les informations nécessaires pour la gestion de l'accès au portail, la commission observe que
sont visés le numéro de téléphone portable de l'usager ainsi que le certificat électronique, alors même que ces
deux modes d'authentification ne sont pas pris en compte par l'article 2. Elle demande donc que ces deux
articles soient mis en cohérence dans l'arrêté.
En outre, elle considère que le texte devrait également viser, concernant les données traitées dans le cadre de
la liaison de comptes, les clés de fédération ou « alias » qui permettent d'établir les liens entre MSP et les
téléservices partenaires. Elle suggère qu'un alinéa soit ajouté à l'article 3 de l'arrêté, après celui concernant « la
gestion de l'accès au téléservice », et qui pourrait être ainsi rédigé : « Pour la liaison des comptes des
téléservices partenaires à celui de "mon.service-public.fr" : les clés de fédération ou "alias", générés par le
système à la demande de l'usager pour permettre d'établir les liens entre les différents comptes. »
Concernant l'utilisation de l'espace de stockage, la commission avait appelé l'attention de l'ADAE, dans sa
délibération du 8 décembre 2005 susvisée, sur la nécessité de s'assurer de la proportionnalité des informations
enregistrées dans cet espace personnel au regard des téléservices partenaires effectivement accessibles. Elle
estime que l'arrêté devrait préciser, concernant « la partie relative aux informations personnelles de l'usager »,
qui s'agit des informations servant au préremplissage des formulaires dans le cadre de l'utilisation des
téléservices partenaires. Sur la nature de ces informations, la commission constate qu'elles sont limitées à l'état
civil et aux coordonnées de l'usager, et que celui-ci est libre de renseigner tout ou partie seulement de ces
informations.
La commission observe que seront également conservées dans l'espace de stockage les données à caractère
personnel contenues dans les documents et pièces justificatives qui y seront déposés, par l'usager lui-même ou
à sa demande par les administrations partenaires.
Sur les destinataires :
L'article 4 du projet d'arrêté énumère les destinataires habilités à recevoir communication de certaines
données, à l'initiative de l'usager et à raison de leurs attributions respectives. La commission relève que
l'article 2 du projet d'arrêté prévoit que « les partenaires ne peuvent se voir communiquer par le biais de cet
espace que les informations et documents dont ils ont à connaître en vertu d'un texte législatif ou
réglementaire ».
La commission prend acte que la liste des destinataires est appelée à être complétée à mesure que de
nouvelles administrations souhaiteront se raccorder au portail « mon.service-public.fr », et qu'elle sera saisie
pour avis des modifications consécutives de l'arrêté.
Afin de simplifier les démarches que les partenaires du dispositif doivent accomplir en vue de leur
raccordement au portail, la commission considère que l'arrêté portait création du téléservice « mon.service-
public.fr » pourra constituer un acte réglementaire unique au sens de l'article 27-III de la loi du 6 janvier 1978
modifiée, et que chaque nouvelle administration partenaire pourra ainsi effectuer une déclaration de conformité
à cet arrêté.
Toutefois, elle attire d'attention de la DGME et des administrations intéressées sur le fait que l'arrêté portant
création du portail « mon.service-public.fr » ne peut en aucun cas couvrir les téléservices de chaque
administration partenaire, qui répondent à des finalités propres liées aux missions et compétences de chacune,
et dont les traitements ne sont pas décrits dans le projet d'arrêté soumis à la commission.
Pour une meilleure visibilité des administrations sur la manière dont elles pourront s'acquitter de leurs
obligations au titre des formalités préalables requises par la loi du 6 janvier 1978 modifiée, la commission
propose que l'arrêté soit complété d'un article expliquant ces formalités, et qui pourrait être rédigé comme
suit : « L'adhésion par les administrations partenaires au portail "mon.service-public.fr" est subordonnée à
l'envoi préalable à la Commission nationale de l'informatique et des libertés, en application du III de
l'article 27 de la loi du 6 janvier 1978 susvisée, d'une déclaration faisant référence au présent arrêté. Cette
déclaration dite "de conformité à un acte réglementaire unique" s'effectue par téléprocédure sur le site internet
de la CNIL. Toutefois, cette déclaration ne couvre pas la mise en oeuvre des traitements de données à caractère
personnel liés aux téléservices propres de chaque administration, qui restent soumis à l'accomplissement des
formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 modifiée. »
Sur la durée de conservation des informations :
La commission a considéré dans sa délibération du 8 décembre 2005 susvisée que les comptes des usagers
inutilisés devraient être désactivés et les données effacées, et a demandé qu'une durée maximale de
conservation soit fixée dans la version définitive du projet.
Elle attire l'attention de la DGME sur la contradiction contenue dans l'article 5 du projet d'arrêté, qui
précise que « sans intervention de l'utilisateur ces documents et informations sont conservées sans limitation de
durée », alors que l'alinéa suivant prévoit que « sans utilisation par l'usager de son espace de stockage pendant
une durée de 36 mois, le contenu de celui-ci est détruit sans délai ».
S'agissant de la durée de conservation de l'ensemble des données et documents personnels de l'usager, en
l'absence de toute connexion de celui-ci à son compte MSP, la commission a bien noté que celle-ci répond à
l'objectif de permettre à l'usager de récupérer dans son espace personnel des informations ou documents, qui
peuvent être des pièces justificatives déposées par une administration à l'issue d'une démarche effectuée en
ligne, le temps qui correspond à la durée moyenne de prescription en matière de procédures administratives.
Cependant, la commission considère que les usagers doivent être préalablement informés de la destruction
prochaine, le cas échéant, de leurs données et documents, et qu'il convient en conséquence de mettre en place
un système d'alerte, par courriel, SMS ou courrier postal en fonction des informations fournies par l'usager lors
de son inscription au service.
L'article 5 de l'arrêté pourrait dès lors être rédigé de la façon suivante : « Les informations contenues dans
l'espace de stockage sont gérées directement par l'utilisateur. Il peut choisir de les modifier ou de les
supprimer librement. En l'absence de connexion de l'usager à son compte USP pendant une durée de 36 mois,
celui-ci est fermé et l'ensemble de son contenu détruit. Deux messages d'information sont au préalable envoyés
à l'usager respectivement 1 an et 2 mois avant la suppression du compte. »
Sur les droits des personnes :
La commission constate, au vu des éléments du dossier, que les mentions d'information prévues par la loi du
6 janvier 1978 modifiée ont été intégrées sur le portail « mon.service-public.fr » dans les pages relatives aux
conditions générales d'utilisation et aux questions fréquemment posées (FAQ). Néanmoins, elle estime que
certaines informations contenues dans les conditions générales d'utilisation devraient être mises en conformité
avec les dispositions réglementaires fixant les règles de fonctionnement du service, notamment en ce qui
concerne les modalités selon lesquelles les administrations peuvent déposer, après autorisation expresse de
l'usager, des informations dans l'espace personnel de stockage, et sur la suppression des données lors de la
fermeture du compte.
Enfin, elle attire l'attention de la DGME sur l'obligation de faire figurer les mentions d'information prévues
à l'article 32 de la loi du 6 janvier 1978 modifiée sur chacune des pages contenant des formulaires de collecte
de données à caractère personnel, notamment celles relatives à l'inscription au service ou à l'enregistrement
d'informations personnelles dans l'espace de stockage.
Le président,
A. TÜRK