Le Premier ministre a lancé, le 9 février 2004 à Lyon, ADELE, le programme gouvernemental d’« ADministration ELEctronique 2004/2007 ». Ce projet ambitieux d’administration en réseau comprend 140 mesures pour 300 nouveaux services devant faciliter les démarches administratives du citoyen, dont notamment :
– l’accès personnalisé au portail www.service-public.fr (et sa déclinaison en portails locaux) permettant la gestion de ses dossiers administratifs en ligne avec la possibilité s’il le souhaite de créer son propre « espace administratif personnel » où seraient stockés ses documents administratifs (avis d’imposition par exemple) ainsi que les échanges entre administrations le concernant ;
– La « carte vie quotidienne » (CVQ), à destination des collectivités locales, qui doit lui simplifier la vie de tous les jours pour les inscriptions en crêches, l’accès aux équipements sportifs et culturels, les titres de transports … ;
– La dématérialisation de l’état civil qui lui permettra d’obtenir en ligne une copie ou un extrait d’acte de naissance, de mariage, de décès … ;
– La carte d’identité électronique (CNIE) qui outre l’attestation de l’état civil et de la nationalité, lui servira d’identifiant sécurisé pour les procédures administratives dématérialisées.
Aujourd’hui, l’administration électronique comprend d’ores et déjà plus de 200 services en ligne et 5500 sites internet publics. Toutefois l’intrusion des nouvelles technologies au sein de l’administration, de part le traitement de données parfois sensibles (par exemple dans le domaine de la santé ou des infractions pénales) associée au nécessaire décloisonnement des services administratifs pour une meilleure productivité et accessibilité des administrés (interconnexion des fichiers) doit impérativement se faire dans la transparence et garantir les libertés individuelles et collectives.
Son développement conduit donc à une renégociation du pacte de confiance entre l’Administration et le citoyen, fondée sur la capacité de l’Administration à restituer au citoyen les informations personnelles dont elle dispose (Livre Blanc – Pierre Truche).
La CNIL s’est prononcé sur l’ADELE (séance du 26 février 2004). Elle a estimé que les lignes directrices sont conformes à la loi Informatique et Liberté, tout en précisant qu’elle examinera attentivement la mise en œuvre de ces projets au regard de quelques principes fondamentaux.
– Ainsi, en application du principe de proportionnalité, chaque projet d’interconnexion de fichiers entre différentes administrations et toute création de base de données centralisée devront être justifiées et simplifier réellement les démarches administratives pour que la CNIL puisse apprécier leur finalité.
Précisons que les interconnexions de fichiers dont les finalités correspondent à des intérêts publics différents, même au sein d’une même administration, sont soumises au régime d’autorisation. Les municipalités désireuses d’intégrer de nouvelles données, par exemple d’ordre sanitaire au sein des cartes d’identité électronique de leurs administrés devront donc préalablement à la mise en œuvre de ce traitement obtenir l’autorisation de la CNIL.
De plus certains traitements, de part la seule nature des données collectées, sont également soumis au régime d’autorisation préalable. Il en est ainsi des données dites sensibles, des données comportant des appréciations sur les difficultés sociales des personnes ou des données biométriques nécessaires au contrôle de l’identité des personnes.
D’autres traitements sont autorisés par décret en Conseil d’Etat ou arrêté ministériel pris après avis motivé et publié de la CNIL lorsqu’ils concernent la sûreté de l’Etat, la défense ou la sécurité publique, la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ; ou lorsqu’ils sont mis en œuvre pour le compte de l’Etat.
– L’administration devra également tenir compte du principe de transparence qui l’oblige à tenir l’usager informé de la manière dont il peut mettre à jour ses données ou les rectifier ainsi que les moyens mis à sa disposition pour vérifier l’exactitude de sa situation administrative.
L’accord de l’administré est exigé avant tout échange d’informations personnelles entre administrations, sauf si la loi les rend obligatoires.
– L’utilisation d’un identifiant unique est prohibé dans la mesure où certains services administratifs doivent garantir l’anonymat. A chaque sphère, son identifiant, la CNIL examinera chacune des différentes options d’identification à fin d’éviter toute centralisation de fait.
Enfin, il est primordial que les municipalités, au même titre que l’Etat, garantissent la sécurité des échanges et protégent leur site contre toute intrusion.
La loi prévoit, en effet, que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés. Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et la nature des données à protéger (article 34).
En cas de sous-traitance, le contrat doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement. La loi organise donc une responsabilité en cascade à la charge du responsable du traitement.
Malgré ces obligations de sécurité, les dérives existent. Ainsi, Alex Türk, Président de la CNIL, à l’occasion de la conférence de presse annuelle de la Commission de juin dernier, a-t-il invité notamment les autorités en charge du système de traitement des infractions constatées (STIC) à d’avantage de vigilance. En effet, près du quart des personnes signalées dans ce fichier l’étaient de manière injustifiée.
Rappelons que cette mise en garde faisait suite au licenciement de quatre salariés d’une société privée de gardiennage chargée de la sécurité de la centrale nucléaire EDF de Flamanville, auxquels la préfecture avait refusé l’agrément nécessaire à l’exercice de leur profession suite à la consultation du fichier STIC.