D'ici au 30 juin prochain, les internautes seront en mesure de déposer dans un nouveau « coffre-fort électronique » différents justificatifs auxquels ils pourront donner l’accès, au cas par cas, à certaines administrations. Un dispositif qui passe par la refonte du site « service-public.fr ». Explications.
Ne donner ses informations et justificatifs (d’identité, de domicile, RIB...) à l’administration qu’une seule fois, au lieu d’avoir à les ressortir à chaque démarche... Ce qui pouvait ressembler à de la science-fiction il y a encore quelques années se transforme progressivement en réalité. Un décret et un arrêté publiés ce matin au Journal officiel viennent finaliser en ce sens la mutation du site « service-public.fr » en un guichet unique censé faciliter substantiellement la vie du citoyen.
Le 1er juillet 2016, le site « mon.service-public.fr » disparaîtra. Les services accessibles par son biais (notamment un espace de stockage de documents administratifs d’une capacité d’environ 100 Mo) seront alors proposés sur « service-public.fr » – lequel se présentait jusqu’ici uniquement comme un portail d’information officiel sur les droits et démarches du citoyen. « Votre Compte Association », le dispositif similaire à destination des associations, sera lui aussi fusionné.
Un guichet unique, des démarches en ligne facilitées
Concrètement, cela signifie que les internautes ayant un compte sur « service-public.fr » pourront pré-remplir les formulaires de diverses administrations partenaires (à partir du nom, de la date de naissance, de l’adresse... qu’ils auront laissés en s’inscrivant), voire transmettre des justificatifs déposés dans leur espace de stockage : acte de naissance, carte d’identité, déclaration de revenus, carte grise, fiches de paie, livret de famille... Le tout sans avoir besoin de créer un nouveau compte auprès du service sollicité.
Dans son avis sur ce qui n’était qu’un projet d’arrêté, la CNIL explique plus en détail le dispositif élaboré par la DILA, l’administration en charge de « service-public.fr » :
« Pour entreprendre une démarche par voie dématérialisée, un administré peut choisir de se connecter au site « service-public.fr » et non directement au site internet de l'autorité administrative habilitée à instruire cette démarche. Afin de faciliter les démarches, il est proposé à l'usager, d'une part, de renseigner, dans un compte personnel, une ou plusieurs catégories de données à caractère personnel de façon à préremplir tout ou partie d'un formulaire administratif dématérialisé et, d'autre part, d'accéder à l'espace de stockage associé audit compte pour y conserver une ou plusieurs pièces justificatives susceptibles d'être transmises dans le cadre d'une démarche entreprise.
L'usager peut dès lors, après avoir pu les modifier autant que de besoin, valider l'ensemble des données qu'il souhaite renseigner sur ce formulaire avant de l'adresser à l'autorité compétente pour instruire la démarche. Outre la possibilité d'adresser ce formulaire renseigné par voie papier, l'usager peut choisir la voie électronique, également pour y joindre une ou plusieurs pièces justificatives. Enfin, l'autorité en charge d'instruire la démarche entreprise peut, directement à partir du dispositif SP2016 [pour « service-public.fr 2016 », ndlr], informer l'usager de façon à lui permettre de suivre l'état d'instruction de la démarche entreprise. De surcroît, elle peut être autorisée expressément par l'usager à accéder à l'espace de stockage, pour y déposer le résultat de la démarche entreprise ou le document administratif produit, et/ou y récupérer une pièce justificative utile pour la démarche entreprise. »
L’arrêté indique clairement que ce nouveau téléservice sera « facultatif et non exclusif d'autres modalités d'accès ». Autrement dit, ceux qui ne pourraient ou ne souhaiteraient pas passer par Internet pour leurs démarches administratives continueront bien entendu de pouvoir effectuer celles-ci par écrit. La CNIL a été particulièrement vigilante sur ce point, demandant à la DILA de s’assurer que des alternatives permettent un « accès, dans des conditions analogues, à la même prestation de service public ».
Pour les autres, les nouveaux services seront accessibles « au moyen d'un identifiant et d'un mot de passe ou d'un code d'accès qui [aura été adressé à l’usager] sur son téléphone portable ». L’internaute aura également la possibilité de s’identifier via FranceConnect (voir notre analyse).
Un coffre-fort accessible à l'administration sur « autorisation expresse »
« L'utilisation du compte intégrant l'espace de stockage en ligne est placée sous le contrôle et la responsabilité de son titulaire qui peut le clore à tout moment. Hors les cas prévus par la loi, seul l'usager peut accéder aux données contenues dans son espace personnel de stockage », précise l’arrêté. L’internaute donnera en ce sens son « autorisation expresse » pour chaque démarche nécessitant la récupération d’un justificatif hébergé dans ce « coffre-fort électronique ».
Cet échange de fichier(s) n’aura cependant lieu qu’avec certaines administrations, spécialement habilitées « en vertu d'un texte législatif ou réglementaire ». La CNIL explique à cet égard que les services ne « pourront accéder au dispositif que sous réserve d'avoir conclu une convention avec le Premier ministre » : « Ces conventions doivent permettre à la DILA de s'assurer que les destinataires n'accèdent qu'aux données strictement nécessaires pour la démarche entreprise, de rappeler qu'il leur appartient de mettre en œuvre des mesures sécurité adaptées à chaque contexte de dématérialisation et de vérifier que les traitements de données à caractère personnel mis en œuvre font l'objet de formalités préalables. »
Quant aux informations destinées à venir pré-remplir les principaux champs de saisie (nom, adresse, date de naissance...), le décret prévoit que ces données pourront naturellement « être effacées ou modifiées par l'usager lorsqu'il remplit le formulaire ».
Les textes actuels permettent d'ores et déjà de telles transmissions, sauf que très peu d'institutions participent aujourd'hui au dispositif. Contactée, la DILA s'est refusée à nous en dire plus pour l’instant sur ses probables nouveaux partenaires (ministères, CAF, collectivités territoriales... ?). L'intérêt du transfert de justificatifs repose pourtant sur le champ de ces administrations participantes...
La CNIL estime enfin que « de manière générale, le dispositif présente un niveau de sécurité satisfaisant ». En effet, « la DILA utilise notamment des moyens de chiffrement afin d'assurer la confidentialité et l'intégrité des données, informations et documents conservés et transmis depuis l'espace de stockage, ce qui est conforme aux recommandations que la commission a pu formuler dans ses précédents avis ». La gardienne des données personnelles estimait pourtant que l'arrêté aurait pu utilement « préciser la nature des principales mesures de sécurité mises en œuvre, telles que le chiffrement de l'ensemble des données à caractère personnel et des communications avec les partenaires ». Un complément qui n’a finalement pas été ajouté par l’exécutif.
Des comptes supprimés après trois ans d'inactivité
D’un point de vue plus pratique, le décret prévoit que les utilisateurs actuels de « mon.service-public.fr » qui souhaitent conserver leur compte doivent « assurer manuellement » le transfert de celui-ci vers « service-public.fr » avant le 30 juin prochain, faute de quoi tout sera supprimé... La DILA nous a quoi qu'il en soit confié que « la mise en ligne effective » des nouveaux comptes relevait d’une « question de quelques semaines ».
Sachez d'autre part qu’en l’absence de connexion à un compte pendant trois ans, l’administration procèdera à sa suppression. Trois messages d'information seront au préalable envoyés à l'usager, respectivement un an, deux mois et sept jours avant l’effacement du compte et de son contenu.
En attendant 2017 et « Dites-le nous une fois »
« Dites-le nous une fois », initialement pensé pour les entreprises, prendra quant à lui son envol à partir du 1er janvier 2017 – date d’entrée en vigueur d’une ordonnance publiée à cet effet l’année dernière. Au programme : possibilité de transmission des attestations de régularité fiscale, Kbis, etc. Autant de documents régulièrement exigés pour des demandes de subventions, des marchés publics... La différence avec le coffre-fort de la DILA ? Les informations pourront être récupérées automatiquement par les administrations (voir notre article). Un dispositif similaire est attendu pour les particuliers, également pour l'année prochaine.
D'un point de vue budgétaire, le gouvernement se montre assez discret sur ce projet, mais signalons qu'un appel à projets doté d'une enveloppe de 10 millions d'euros a été lancé en 2015.
Commentaires (12)
#1
Je m’interroge beaucoup sur le côté sécu.
" />
en effet un unique portail qui contiendrait tout plein de données et de documents personnels nominatifs sur tout plein de français, c’est juste la poule aux oeufs d’or pour des mecs malintentionnés, donc il faut blinder le schmilblick.
seulement on n’a aucun détail sur la solution mise en oeuvre.
la sécu par obfuscation, c’était bon y’a 30 ans.
on nous dit “y’a du chiffrement”. ouais mais qui chiffre? puisque les administrations sont censées avoir accès aux données, c’est du chiffrement côté serveur. qui détient les clés? comment sont elles stockées?
La gardienne des données personnelles estimait pourtant que l’arrêté aurait pu utilement « préciser la nature des principales mesures de sécurité mises en œuvre, telles que le chiffrement de l’ensemble des données à caractère personnel et des communications avec les partenaires ». Un complément qui n’a finalement pas été ajouté par l’exécutif.
sans déconner
#2
ah j’ai compris: c’est du cloud sécurisé souverain en fait.
" />
#3
Un article sur ce sujet devrait etre accesible a tous imo
EDIT: mon post n’est pas une reponse a ton com, c’est juste le seul moyen pour commenter l’article :p
#4
+1
#5
#6
après c’est facultatif, mais bon ça aussi ça peut changer à l’avenir.
l’idée est bonne, mais faut voir l’implémentation quoi.
#7
… c’est bien, vous commencez à voir le début de la fin ….
Avec un peu trop de retard … donc déjà trop tard.
La high tech vous en vouliez : vous allez en creuver bouffer!
#8
#9
1- pas entendu parler != jamais arrivé. sinon déjà entendu parler des intrusions dans les systèmes de Bercy ou l’Élysée y’a quelques années?
" />
2- bases de données de l’état non publiques. là on parle d’un site public, accessible depuis internet.
mais bon tu as raison, ça sert à rien de sécuriser puisqu’on a jamais entendu parler d’intrusion, et que les données persos et d’identité de quelques millions de personnes centralisées au même endroit, ça n’intéresse personne. et puis quand même, de quel droit remet-on en question les bonnes idées de l’exécutif?
#10
#11
De ce que j’ai compris, l’intérêt c’est surtout que si une administration te demande un document que tu dois obtenir d’une autre, ça transite par le coffre virtuel sans passer par chez toi.
#12
L’idée de ne pas avoir à resaisir les champs et rescanner les documents est bonne, mais il faudrait je pense que la transmission des documents soit à l’initiative de l’utilisateur. Je pense qu’il mieux valu s’inspirer des applications en ligne des banques.
Par exemple, dès lors qu’un service (qu’il soit public ou non, d’ailleurs) a besoin d’informations qui peuvent figurer dans ce « coffre fort » (champs unifiés, donc), envoyer une requête à l’API du gouvernement. Un système d’authentification assure que l’on accepte d’envoyer des données (fonctionnant sur le même principe que 3D Secure ou Verified by Visa par exemple) en demandant une clef à l’utilisateur.
À ce moment, il faudrait que les données soient uniquement chiffrées dans la base du ministère, et que seul le citoyen concerné possède la clef. Les données possédées par le gouvernement devraient être stockées ailleurs.
L’intérêt, qu’on pourrait alors se permettre de stocker beaucoup plus de données qu’avant. L’État sait beaucoup de choses sur nous : État civil, comptes bancaires, ADN, casier judiciaire, données médicales… mais tout cela est heureusement détenu par des services différents. Pour pouvoir réunir toutes ces données (et au fond, ce n’est pas totalement une mauvaise idée), il faut impérativement que seul le citoyen concerné ait le droit de regarder directement.