La sécurité des données, enjeu majeur du service état civil

Publié le

Alors que l’année 2013-2014 commence, les services d’état civil devront mettre en œuvre sur le plan national deux nouveautés. La première, déjà très médiatisée et appliquée, est la loi ouvrant le mariage aux couples homosexuels. La seconde est plus diffuse, mais néanmoins cruciale : il s’agit de la protection des données personnelles communiquées à et par les services à la population (en particulier état civil et élection).

L’année passée a été marquée par des situations à risque pour les collectivités en cette matière.

D’une part, la dématérialisation des services est une dynamique galopante comme en témoigne l’arrêté du 4 juillet 2013 « autorisant la mise en œuvre par les collectivités territoriales […] de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d'un ou de plusieurs téléservices de l'administration électronique ou le développement du service des archives en ligne ».

D’autre part, la Commission nationale de l’informatique et des libertés a rappelé à l’ordre certaines communes, comme cela fut le cas en septembre 2012, sur la question de la publication de données personnelles.

Les services d’état civil se trouvent ainsi dans l’obligation de maîtriser les règles de publicité et de protection des données pour assurer le respect des droits des usagers. Pour les plus petites communes, qui forment la majorité d’entre elles, la dématérialisation est alors autant une chance qu’une menace.

Pour y faire face, des solutions simples existent, avec le soutien de deux services : le Secrétariat général de la modernisation de l’action publique (SGMAP) et la Commission nationale de l’informatique et des libertés (CNIL).

La première étape consiste à déterminer quelles sont les informations sensibles que peuvent manier les services d’état civil, ainsi que les autres services à la population susceptibles d’y être attachés (élection, funéraire et cinéraire, accueil). L’article 2 de la loi du 6 janvier 1978 délimite un domaine large en disposant que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Or, ces données ne peuvent faire l’objet d’un traitement informatisé que sous des conditions strictes établies par la loi, contrôlées par la CNIL conformément à l’article 11 de la loi de 1978. En principe, il suffit de recueillir l’accord des usagers pour la collecte de leurs données personnelles, par un formulaire dont le modèle est communiqué par la CNIL.

Pour certaines données, bien plus sensibles, le régime est plus strict que la déclaration. Prévu par les articles 25, 54 et 64 de la loi de 1978, un régime d’autorisation s’applique au traitement de certaines données. Y sont soumises les données enregistrées qui sont sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes), biométriques, génétiques, en matière d’infractions, de condamnations, de mesures de sûreté, de numéro de sécurité sociale ou de commentaires sur la condition de la personne. Y sont également soumises les données collectées dans une finalité spécifique (traitements statistiques de l’INSEE, traitements susceptibles d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat, l’interconnexion de fichiers ayant des finalités distinctes ou correspondant à des intérêts publics distincts). Enfin, ce régime s’applique en cas de transferts de données hors de l’Union européenne, ce qui prend une dimension nouvelle avec les services gratuits de dématérialisation offerts par certaines églises américaines !

La seconde étape est la déclaration elle-même, qui se fait en ligne, sur le site de la CNIL. Il est demandé des informations de base sur le déclarant – personne physique ou morale – ainsi que sur la personne mettant en œuvre le traitement des données. Le déclarant doit également instruire les objectifs poursuivis par le traitement, le fondement juridique de celui-ci le cas échéant, le nom du logiciel et de la technologie utilisés (notamment les systèmes de sécurité mis en place) ainsi que les personnes concernées par le traitement des informations.

Les informations traitées elles-mêmes sont ensuite transmises, afin que la Commission soit instruite de la manière la plus complète. Sa réponse, transmise dans un délai d’une à deux semaines, permet alors de lancer le traitement dématérialisé des données.

Reste à mettre en place efficacement le système de traitement des données. Plusieurs solutions existent : construire ou faire construire une solution unique par collectivité, se regrouper au sein d’un syndicat, d’un établissement public de coopération intercommunale ou d’une société publique locale qui prendra en charge la mission informatique ou, enfin, faire appel au service mon.service-public.fr (MSP), rattaché au Premier ministre. L’entretien avec Thomas Menant a pour ambition de vous éclairer sur ce service.

Sources :