Les téléservices locaux de l'administration électronique

La mise en place d’une téléprocédure ne doit conduire ni à imposer l’identification préalable des usagers si la démarche administrative ne le nécessite pas, ni à recueillir des données supplémentaires qui ne seraient pas pertinentes (par exemple, demander le numéro de carte d’identité pour la délivrance d’un extrait d’acte d’état civil). Les données recueillies ne doivent servir que pour les finalités exposées au moment de leur collecte

Dans tous les cas, les mêmes règles juridiques doivent s’appliquer aux procédures à distance et aux procédures sur place ou par courrier.

Des téléservices sécurisés

La CNIL recommande que l’accès au téléservice permettant de consulter à distance ces demandes d’actes soit contrôlé par un code d’accès et un mot de passe alphanumérique d’une longueur de huit caractères minimum. Les collectivités pourront également se référer au référentiel général de sécurité en cours de finalisation par la Direction générale de la modernisation de l’État (DGME). Celui-ci définira les modalités, plus ou moins fortes, d’authentification selon la nature du téléservice.

Les informations reçues à distance ne peuvent être stockées que le temps nécessaire à la transmission vers le service concerné sans donner lieu à la constitution d’une nouvelle base de données. Les échanges de données doivent être sécurisés : ainsi le recueil de données à caractère personnel au moyen d’un site internet doit faire l’objet de liaisons chiffrées (https).

La transparence, gage de confiance pour les administrés

Les internautes doivent être informés, par des mentions explicites figurant sur les pages du site, du caractère obligatoire ou facultatif des renseignements collectés, de la finalité de la collecte, des destinataires des informations traitées ainsi que de l’existence d’un droit d’accès et de rectification

En outre, si la collectivité envisage de diffuser l’annuaire nominatif des services de la mairie, les personnes concernées doivent être préalablement informées de cette diffusion et mises en mesure de s’y opposer.

S’agissant de données contenues sur des cartes à puce, toutes mesures doivent être prises (exemple : bornes d’accès) pour permettre aux titulaires de ces cartes de consulter le contenu de celles-ci. La CNIL estime, en outre, qu’il ne doit pas y avoir de centralisation, de fait, de toutes les données des administrés. Chaque service concerné par une carte multiapplicative ne doit accéder qu’aux données le concernant.

Dans le cas de la mise en place d’un téléservice, celui-ci doit essentiellement servir à faire transiter les informations vers les applications métiers. La durée de conservation des données dans le téléservice lui-même doit rester très brève.

Si des échanges de données entre administrations sont prévus, l’usager doit en être informé et avoir donné son consentement.