1.2. Régime applicable
au échanges en back office
Comme on l'a vu précédemment, avec l'ordonnance
téléservice à venir, les autorités administratives
auront la possibilité, de se transmettre entre elles directement des
informations dont elles sont en possession. Si ces échanges concernent
un usager personne physique dans le cadre d'un service aux
usagers les dispositions énoncées au 1.1 sont
applicables.
Si ces échanges concernent uniquement les
administrations, alors il convient de distinguer selon qu'il y ait ou
non une interconnexion. Sans interconnexion, c'est le
régime général de la simple déclaration qui
s'applique ; en cas d'interconnexion, l'autorisation de la CNIL
sera nécessaire. En cas de traitements intéressants la
sûreté de l'État, la défense ou la
sécurité publique, ils doivent faire l'objet
d'un arrêté pris après avis motivé de la
CNIL (article 26, I, 1°).
1.3. Autres dispositions
intéressants l'administration électronique
Tout d'abord la loi de 1978 telle que modifiée par la
loi n° 2004-801 du 6 août 2004, a prévu, dans des conditions
qui seront définies par décret, l'exonération de
déclaration prévue à l'article 22 des traitements à
condition qu'un correspondant à la protection des
données à caractère personnel indépendant
et désigné par l'entreprise (un salarié ou un prestataire
externe) assure le respect de la loi. Si les téléservices
utilisent le NIR (Numéro d'Identité au Répertoire ou
numéro de Sécurité Social) ou un autre identifiant, ils
restent soumis au régime de l'arrêté pris après avis
motivé et publié de la CNIL.
Ensuite, l'article 35 impose des règles
particulières de responsabilité au
sous-traitant. La PRIS (Politique Intersectorielle de
Sécurité) suivait déjà les exigences de ces
règles. En effet, la mise en place de téléservice implique
souvent la réalisation du projet par un ou des prestataire(s)
privé(s). Le contrat liant l'administration à la
personne privée doit être conforme aux exigences de protection des
données à caractère personnel. L'article énonce que
« le sous-traitant ne peut agir que sur instruction du
responsable du traitement ». Cette obligation ne
décharge pas le responsable du traitement, l'administration qui propose
le téléservice, de la responsabilité de veiller à
la sécurité et à la
confidentialité des données telles que
mentionnées à l'article 34. Cet article précise que la
nature de ces mesures doit être fonction des types de données
traitées et au risque présenté par le traitement
(obligation de moyen).
L'espace de stockage offert à l'usager pour ses
documents, propice au stockage de données personnelles, ne semble pas
être compromis par cet obligation de sécurité de l'article
34. Rien n'indique dans le texte que le responsable du traitement ait
l'obligation de garantir la fiabilité des données recueillies. En
revanche, l'article 40 de la loi donne le droit à toute personne
physique d'exiger une mise à jour des données.
Une contradiction est évidente entre l'exigence de
confidentialité des données présentes dans ce
« coffre fort » et l'obligation de
l'administration, responsable du traitement de mettre à jour les
données personnelles de la personne concernée, l'usager...
|