Administration numérique - "Arrêté Cnil" sur les téléservices : quelles conséquences pour les collectivités ?
"Hier, lorsqu'une collectivité déployait un bouquet de téléservices, une demande d'autorisation préalable était obligatoirement envoyée à la Commission nationale de l'informatique et des libertés (Cnil) pour chaque téléservice. Désormais, une simple déclaration suffira, à la condition expresse de respecter les règles de cloisonnement établies...", résume Thierry Le Vaguerèse, chef de projet de la gestion de la relation aux usagers de la ville de Lyon et associé à la rédaction de l'arrêté de la Cnil sur les téléservices publié le 13 juillet au Journal officiel.
Thierry Le Vaguerèse exprime ainsi toute l'ambiguïté de ce texte qui, d'un côté, simplifie et, de l'autre, multiplie les précautions de sécurité. Certes, législation et réglementation en vigueur ne sont pas modifiées. Mais l'arrêté vient définir un cadre plus précis, plus contraignant aussi, afin de faciliter le passage au mode déclaratif simplifié proposé par la Cnil. Il devrait particulièrement intéresser les collectivités en phase de développement de téléservices.
Des "silos" étanches pour le traitement
Lorsque les autorités administratives, c'est-à-dire les collectivités et leurs établissements publics, mettent en oeuvre un portail d'accès à un bouquet de téléservices, l'arrêté stipule qu'elles doivent garantir l'étanchéité des échanges entre l'usager et les services traitants, sur la base de dix catégories thématiques. Par ailleurs, le principe interdisant la création d'un fichier population et d'un identifiant unique est rappelé avec force (article 2).
A première vue, ces précautions devraient conduire à la création de dix "silos" distincts. Devra-t-on alors demander à l'usager qu'il s'identifie pour chaque catégorie de services ? Et l'administration devra-t-elle invariablement repasser par l'usager pour obtenir des données personnelles le concernant ? "Ce serait à l'opposé des attentes des collectivités qui souhaitent lui offrir un accès unifié et des démarches simples, si possible non répétitives", répond Thierry Le Vaguerèse.
L'identifiant unique reste jouable
L'arrêté apporte heureusement quelques inflexions. Ainsi, afin d'éviter qu'un service ne demande répétitivement à l'usager une information qu'il a déjà fournie à une autre administration, les deux entités sont autorisées à se rapprocher pour organiser le transfert des données désirées (2e alinea de l'article 2). Mais l'opération ne peut se réaliser sans "le consentement exprès et non équivoque de l'usager". L'arrêté s'aligne d'abord sur des programmes de modernisation en préparation comme "Dites-le-nous une fois", annoncé le 17 juillet lors du dernier Comité interministériel à la modernisation de l'action publique (Cimap), qui organisera concrètement cette procédure de transmission. Ensuite, il ouvre une porte à la fédération d'identité (1) ou à des technologies équivalentes.
Dans le cas des collectivités, au moment de son inscription au bouquet de téléservices local, l'usager sera par exemple invité à cocher les services auxquels il souhaite se lier sous le même identifiant, dans le cadre de la règle du consentement. Charge ensuite à la collectivité d'assurer le cloisonnement imposé, dans sa base arrière de gestion (back office), afin d'interdire tout recoupement.
Plusieurs collectivités expérimentent ces différentes voies. Le conseil général de l'Aube teste l'échange inter-administrations, en récupérant pour ses propres besoins des données de compte déjà fournies par l'usager à mon-service.public.fr. Ici, plus de double saisie à effectuer pour fournir une adresse ou des données d'état civil, l'application récupère, après accord de l'usager, les données requises. De son côté, la ville de Lyon propose un accès par identifiant unique à une trentaine de téléservices organisés en silos dans le back office. Réalisé antérieurement à l'arrêté, il offre même un niveau de sécurité renforcé.
Les téléservices "transport" exclus du périmètre
Le découpage du périmètre des téléservices en dix domaines (2) tels que la fiscalité, le social, les prestations scolaires (article 1) complique le jeu... C'est sans doute la partie du texte la plus controversée. D'abord en raison du nombre "trop élevé" de domaines retenus par la Cnil. Ensuite parce qu'une bonne partie du périmètre des transports est exclue de l'arrêté (article 7, 2e alinéa). Seuls "l'inscription, le suivi et le paiement en ligne des prestations scolaires ou municipales, de transports individuels ou en commun" (article 1) sont concernés. En revanche, les titres de transport des sociétés délégataires en sont exclus.
Cette séparation, qui va surtout affecter les cartes multiservices, maintient le "statu quo" antérieur. L'implémentation sur les cartes de vie quotidienne de la fonction billettique transport imposera une demande d'autorisation préalable. La Cnil reste fermement opposée à toute ouverture dans ce domaine. Les cartes transport facilitent le pistage de l'usager et sont fortement encadrées en raison des risques d'atteinte à la vie privée qu'elles représentent. La séparation va imposer certaines limitations d'ordre financier. La fabrication de pass' touristiques combinant par exemple moyens de transports collectifs, accès à des musées et au patrimoine culturel, sera toujours possible, mais sur des cartes jetables et anonymes.
En revanche, l'implémentation des téléservices de vie quotidienne s'appuyant sur l'identité risque de rencontrer quelques freins et difficultés. Ce qui mécontente les villes engagées dans le déploiement de cartes sans contact (technologies NFC), qui comptaient sur un assouplissement des règles. "Je comprends cette réaction, remarque un fonctionnaire du Secrétariat général à la modernisation de l'action publique (SGMAP). Une carte de vie quotidienne sans les transports, c'est comme un vélo sans pédales. Ce service est essentiel à la réussite de tout projet de carte ambitieux." Sur le volet faisabilité, certaines villes envisagent l'utilisation de deux cartes, d'autres prévoient une carte unique dotée de deux puces... Mais pour l'heure, seule la ville d'Angers utilise une puce capable d'intégrer les différents silos, non sans avoir revu de fond en comble l'architecture initiale, après le passage de la Cnil. Les obstacles techniques ne sont pas insurmontables, mais il reste à trouver la formule "magique" qui sécurise la vie privée, simplifie la vie de l'usager tout en restant dans des coûts d'exploitation supportables pour la collectivité.
Une procédure déclarative "très" simplifiée
Malgré les contraintes, "l'arrêté représente un progrès, assure Thierry le Vaguerèse, puisque nous passons d'un filtrage amont assez lourd à un système de contrôle a posteriori". Les collectivités qui s'estimeront être en conformité avec l'arrêté, troqueront la demande d'autorisation relative à chaque téléservice, contre une simple déclaration de conformité, en ligne, faisant référence à l'arrêté (article 7). Le gain de temps est estimé à plusieurs mois, voire davantage encore lorsque la Cnil demande des modifications.
Les collectivités sont toujours tenues de réaliser, avant le déploiement, "une analyse de risques tenant compte du respect de la vie privée des usagers" (art. 6), mais celle-ci sera à présenter seulement en cas de contrôle (a posteriori) du bouquet de téléservices. Auparavant, cette étude (3) était soumise à l'arbitrage préalable de la Cnil et à des délais d'instruction supérieurs à trois mois. "Dans l'ensemble, l'allègement sera incitatif, estime Thierry le Vaguerèse. L'arrêté doit être pris comme une première étape." La seconde viendra de l'Europe avec les deux règlements en préparation sur la signature électronique (début 2014) et, surtout, sur la protection des données personnelles (attendu pour la fin 2015). Ces règlements devraient sans doute encore modifier la donne : "Le compromis nécessaire entre les pays dotés d'un fichier national centralisé comme la Belgique et les autres conduira probablement à une révision à la baisse de nos règles de protection des données", ajoute-t-il.
Les petites communes pénalisées…?
Comment les collectivités absorberont-elles ces nouvelles contraintes ? Peu d'inquiétude pour les grandes collectivités qui auront la capacité de déployer des bouquets de téléservices conformes (plusieurs millions d'euros pour la ville de Lyon). Même scénario pour les communes adhérentes à une plateforme de services numérique mutualisée - e-Bourgogne, e-Megalis, Sictiam (Alpes-Maritimes), Alpi (Landes) - qui proposent des bouquets de services en ligne et des bases arrière de gestion conformes à la législation sur la protection des données personnelles.
La situation des autres semble plus incertaine. Quelques éditeurs nationaux seront en mesure de proposer bientôt une offre, mais le marché restera limité. Quant à l'Etat, il prépare une version de "mon-service public.fr" en marque blanche et une série de modules aux collectivités. Certains sont déjà testés par Dijon, Lyon et le conseil général de l'Aube. Seul l'échelon des petites communes et des établissements de coopération intercommunale, reste incertain. Le SGMAP vient de programmer le développement d'une offre dans le cadre de son chantier "bureau agent" sous la forme de modules paramétrables. "Mais le chemin pour les petites collectivités sera plus long", reconnaît l'un des chargés de mission impliqués dans son développement.
Au final, que peut-on réellement attendre de cet arrêté ? Quelques mois de patience seront nécessaires avant que les expérimentations ne commencent à produire des données exploitables. Pour l'heure, l'essentiel va désormais reposer sur la bonne compréhension des règles par les acteurs publics. D'autant que dans sa rédaction, l'arrêté ne restera pas dans les annales comme un modèle de clarté. La Cnil prépare à cet effet deux guides pratiques, le premier comme mode d'emploi pour se conformer à l'arrêté et le second pour apporter un éclairage plus précis sur les téléservices "transports" hors périmètre.
La Cnil n'hésite pas à s'écarter de la réalité du terrain pour protéger la vie privée. Nul ne doute aujourd'hui de la sensibilité des citoyens sur ce sujet. Et les arguments du régulateur sont souvent recevables. Mais comme le sont aussi les points de vue de ceux qui déplorent le retard de la France en matière d'administration numérique et tirent la sonnette d'alarme sur les risques de voir émerger des Facebook ou des Google beaucoup moins regardants sur la protection de la vie privée.
Philippe Parmantier / EVS
(1) Une technologie consistant à réunir, sous une seule identité, l'ensemble des mots de passe d'un usager, le tout étant protégé par un système d'authentification maître.
(2) Ils concernent : la fiscalité ; le travail social ; la santé (mais de manière très restrictive) ; les transports (dans un spectre également très limité) ; l'état-civil et la citoyenneté ; les relations avec les élus ; les prestations scolaires, périscolaires sportives et socioculturelles ; l'économie et l'urbanisme ; les polices spéciales et la voirie ; les relations avec les usagers.
(3) L'étude est réalisée selon la méthode Ebios (Expression des besoins et identification des objectifs de sécurité) proposée par l'Agence nationale de la sécurité des systèmes d'information (Ansii). Fondée sur l'analyse pondérée des risques, elle permet d'obtenir un risque toléré qui fait l'objet de l'arbitrage de la Cnil.