Un téléservice constitue le « guichet d’accueil » numérique proposé par une collectivité permettant aux usagers d’accomplir certaines démarches ou formalités administratives : demande de permis de construire, inscription au ramassage scolaire, demande de logement social, demande de pièces extraites de l’état civil, etc...
Un site web diffusant des informations sur la commune ou l’inscription à un bulletin municipal ne constitue pas un téléservice.
Les téléservices qui reposent sur la collecte de données personnelles constituent des traitements soumis à la réglementation sur la protection des données personnelles.
La collectivité, et son sous-traitant, doivent respecter des principes essentiels pour garantir le respect de la vie privée des usagers :
La pertinence et la proportionnalité
Le téléservice permet de faire transiter des données entre les usagers et les « applications métiers », les informations collectées et enregistrées doivent être pertinentes et strictement nécessaires à l’accomplissement de la démarche concernée.
Exemple de pertinence et proportionnalité
Ne pas imposer une authentification préalable de l’usager si celle-ci n’est pas strictement nécessaire à l’accomplissement d’une démarche ou d’une formalité administrative (la création d’un compte utilisateur pour se voir délivrer la copie d’un acte de mariage) et ne pas recueillir des données supplémentaires qui ne seraient pas strictement nécessaires (demander le numéro de carte d’identité pour la délivrance d’un extrait d’acte d’état civil).
La pluralité des identifiants
Pour mettre en œuvre un téléservice, la CNIL recommande l’utilisation d’un identifiant par service public proposé.
Exemple d’identifiant
Une collectivité qui propose un téléservice permettant d’accomplir différentes démarches administratives devra générer un identifiant par service public : état civil, permis de construire, etc.
Vous pouvez également utiliser le service « FranceConnect » pour gérer l’identification de vos usagers dans les démarches. Ce service est développé par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) pour simplifier les démarches en ligne.
Le cloisonnement des données des différentes sphères administratives
Le responsable de traitement doit maintenir un cloisonnement des informations personnelles collectées en fonction de la finalité de leur collecte, qui est garanti par une politique de gestion des droits des personnes habilitées à accéder aux données en fonction de leurs missions.
La sécurité des données
Les mesures de sécurité décrites dans le Guide de la sécurité des données personnelles de la CNIL, avec une attention particulière aux questions relatives à la sécurisation des sites web, constituent un socle de bonnes pratiques à respecter pour mettre en œuvre un téléservice.
En matière de téléservice, la CNIL rappelle qu’une analyse de risque de la sécurité des systèmes d’informations est requise pour l’homologation du Référentiel Général de Sécurité (RGS). Des conseils méthodologiques sont disponibles.
Bonne pratique
Le délégué à la protection des données (DPO) doit être associé à la mise en oeuvre des téléservices.