Le blog TIC

Archive pour la catégorie ‘Administration électronique’

MAJ 8/11 : Le sénat a adopté la proposition de loi relative à l’identité en rétablissant la base de données biométriques centralisée « à lien faible » et en proscrivant l’utilisation des technologies de reconnaissance faciale. Si les sénateurs ont souligné le risque de traçage des individus utilisant la puce de vie quotidienne on regrettera qu’il n’aient évoqué à aucun moment la question des modalités de délivrance de la CNIE. Car il faudra bien que quelqu’un explique l’utilisation de cette fameuse puce de vie quotidienne aux citoyens.

Alors que les sénateurs s’apprêtent à examiner le 3 novembre en seconde lecture la proposition de loi créant la carte nationale d’identité électronique, la commission nationale informatique et liberté a rendu un avis invitant les parlementaires à la vigilance sur un texte jugé très sensible du point de vue de la protection des libertés individuelles.

Plus précisément, la CNIL revient sur plusieurs points de la proposition de loi relative à l’identité :

• La commission s’inquiète de la création d’une base de données biométriques centralisée et des risques de détournement de son utilisation à des fins policières (comme souhaité par les députés). Elle demande que le texte prévoie davantage de garanties sur ce point en limitant strictement les usages et les possibilités de croisement de fichiers,
• Elle estime que la comparaison entre la donnée biométrique enregistrée dans le composant et l’empreinte lue en direct sur un lecteur pourrait se faire dans la carte elle-même. Cela éviterait ainsi le recours à une base de données biométriques centralisée,
• Elle rappelle que la lutte contre la fraude à l’identité – qui est la principale finalité du texte – passe d’abord par une sécurisation des documents sources (documents d’état civil) servant à établir les titres.
• Elle exprime sa plus grande réserve sur la possibilité de recourir à l’utilisation de technologies de reconnaissance faciale. Dans le contexte du développement de la vidéoprotection, cette technologie ferait courir « des risques importants pour les libertés individuelles » écrit la Commission.
• Elle considère que les enfants de moins de 12 ans devraient être dispensés de la collecte de leurs données biométriques comme l’autorise les textes européens,
• Concernant la puce dite de « vie quotidienne » (identification en ligne/signature électronique), la CNIL estime que les garanties offertes au citoyen doivent être renforcées. La Commission estime que le citoyen utilisant ces fonctions doit être en mesure de contrôler les données personnelles transmises à un tiers et qu’il convient d’interdire l’exploitation par l’État d’informations sur les transactions privées effectuées par les citoyens.

La Commission des lois du sénat a d’ores et déjà rétabli la création d’une base de données biométrique « à lien faible » pour limiter les risques de détournement et enlevé la possibilité de recourir à la reconnaissance faciale. Dans le contexte d’un sénat passé à l’opposition, la proposition de loi a toutes les chances d’être abondamment amendée. Mais si le dernier mot revient à l’Assemblée nationale il n’est pas certain que le Gouvernement se risque sur un sujet éminemment sensible en période électorale.

On rappellera que le coffre-fort électronique est au cœur du dispositif « mon.service-public.fr »(MSP) site sur lequel l’usager peut, via un système d’identification unique reposant sur la fédération d’identités, effectuer des formalités auprès de diverses administrations (impôts, caisse de retraite, CAF…) et stocker dans un espace dédié ses pièces justificatives. Ce coffre fort intéresse beaucoup les grandes villes qui voient là une possibilité de simplifier les formalités effectuées en mairie en permettant aux services municipaux d’ aller y récupérer, à partir du moment où l’usager y consent, divers justificatifs courants (fiscalité, droits sociaux…).

Force est de constater cependant que malgré un nombre important d’inscrits (plus de 2 millions), MSP et le coffre fort ne rencontrent pas le succès escompté en terme d’usage. La proposition de loi Warsmann sur la simplification du droit (article 52) adoptée le 18 octobre vise à favoriser cet usage en généralisant le principe de déclaration unique (qui concerne désormais les procédures déclaratives) et en étendant le bénéfice du coffre du fort électronique aux entreprises. Il vise surtout à permettre à différentes administrations d’accéder aux pièces justificative sous contrôle de l’usager.

L’ utilisation de ce système passe cependant par une harmonisation des définitions utilisées par les administrations ainsi que des données transmises/stockées sur MSP. Il s’agit également de s’assurer du respect des données personnelles de l’usager, chaque administration ne devant être destinataire que des seules données qui lui sont nécessaires à la réalisation de la démarche.

La DISIC, la DGME et évidemment la CNIL doivent plancher sur une ordonnance portant sur ces deux points. Il n’est cependant pas certain que les 18 mois donnés par l’article 52 seront suffisants pour que l’ordonnance devant apporter ces précisions sorte. Mais avant il faudra que la proposition ait achevé son parcours législatif pour un texte qui ne vient de passer qu’une étape sur les quatre lectures prévues.

Le Conseil de Paris a adopté une délibération relative aux nouveaux compteurs électriques Linky. Dénonçant l’absence totale de concertation avec les collectivités qui sont propriétaires des réseaux de distribution, le conseil de Paris estime qu’en l’état « les services gratuits proposés avec ces compteurs ne permettent pas d’assurer la maîtrise de la demande d’énergie, remettant ainsi en question les potentialités des ‘smart grids’ (réseaux intelligents) pourtant à l’origine même du changement de matériel ». La collectivité estime en outre que les compteurs Linky n’offrent pas toutes les garanties nécessaires en matière de respect des données personnelles des utilisateurs. La collectivité demande un « réexamen du cahier des charges des compteurs avant tout déploiement, pour réellement prendre en compte l’intérêt des usagers, la confidentialité des données et la capacité de maîtrise de l’énergie ». Si la délibération n’a pas de caractère exécutoire (elle exprime un « vœu », elle se veut un exemple pour les autres collectivités.

On rappellera que le gouvernement a donné son accord à la généralisation des compteurs intelligents mais que tout est loin d’être réglé pour autant. Seuls les appels d’offre lancés par ERDF permettront d’avoir ainsi un chiffrage précis du cout du déploiement et donc du mode de financement du déploiement (pour le moment on parle de gratuité, sauf pour les services à valeur ajoutée…). La CNIL doit également examiner de près la question de la protection des données personnelles (voir sa FAQ). Par ailleurs la question de la propriété des compteurs, soulevée par la FNCCR, n’a pas été réglée ainsi que celle de la modalité d’accès aux fameuses données de consommation. Tout le monde n’a pas internet mais « l’affichage déporté » pose quant à lui de nombreux problèmes (voir cette audition du président de l’Ademe).

Avec autopartage@toulouse les agents du grand Toulouse n’auront bientôt plus besoin de passer par les services municipaux pour prendre un véhicule de service. Muni de leur seul mobile ils pourront tout à la fois réserver, ouvrir et démarrer leur véhicule. Un mobile qui leur dira même si les équipements réglementaires de sécurité son présents ou non dans le véhicule et transmettra automatiquement les informations d’utilisation aux services techniques.

L’expérimentation lancée début octobre concerne  une trentaine d’agents et une dizaine de voitures (des Twingo) mais ce test a vocation à être étendu si il est concluant à l’ensemble du parc auto de l’agglo, voire aux véhicules Mobilib (autopartage grand public). Ce pilote, qui utilise la technologie NFC (puce sans contact qui équipe les téléphones et les véhicules) fait partie des projets sélectionnés par le ministère de l’Industrie dans le cadre de l’appel à projets « Objets communicants et sans contact ». Il est mené par Continental Automotive au sein d’un consortium regroupant la communauté urbaine du Grand Toulouse, deux industriels (Artal Technologies et Oberthur Technologies) et deux prestataires spécialisés dans l’autopartage  (Mobilib’ et Lyberta). Toulouse fait également partie des villes ayant déposé un dossier dans le cadre de l’appel à projets / grand emprunt ville numérique NFC.

A l’occasion des assises de la sécurité et des systèmes d’information, le directeur de l’Agence nationale de la sécurité des systèmes d’information, Patrick Pailloux, a tiré la sonnette d’alarme. Déplorant un « nombre très important d’attaques d’administrations ou d’entreprises à des fins d’espionnage » le directeur de l’ANSSI a dénoncé en vrac les mots de passe de deux caractères sur des postes administrateurs ou en évidence sur un post-it placé sur l’écran, les ordinateurs dont les logiciels n’ont pas été « patchés » et les postes clients avec des droits sur l’ensemble du réseau qui constituent encore des pratiques courantes y compris dans les administrations sensibles… La généralisation de l’informatique mobile, les smartphones et les réseaux sociaux n’arrangent rien et la situation seraient de l’avis des spécialistes de la SSI « apocalyptique… ». Face à l’urgence, l’ANSSI a appelé les administrations comme les entreprises à revenir à « des principes élémentaires de sécurité souvent oubliés : limitation des droits d’accès, analyse des mouvements suspects sur les systèmes d’information, sanctuarisation des éléments les plus critiques comme les dispositifs de gestions des droits d’accès, application régulière des correctifs de sécurité… »

On rappellera que l’ANSSI est désormais l’interlocuteur des collectivités dans le domaine de la sécurité des systèmes d’information. L’Agence a en effet la charge de la mise à jour du référentiel général de sécurité (RGS) l’un des trois référentiels (avec le RGI et le RGAA) qui s’appliquent à l’ensemble des administrations dont les collectivités territoriales.

Bordeaux, Rennes, Paris, Pessac, Tours… font partie des sites internet de collectivités à avoir été récemment piratés selon le site Zataz.com qui réalise une veille sur l’actualité de la cybersécurité et du hacking. Si ce n’est pas la première fois que des sites communaux sont victimes de pirates, jusqu’à présent ces attaques se traduisaient par le remplacement de la page d’accueil par un message-signature du pirate.

Or, cette fois-ci, le pirate a eu accès à des bases de données utilisateurs. Dans le cas de Pessac, Zataz indique ainsi que « le pirate informatique a diffusé sur la toile la méthode pour ponctionner de ses informations privées un des services électroniques de cette commune. Pour parfaire sa démonstration malveillante, il en a profité pour diffuser un échantillon de logins, mots de passe et emails volés sur ce site web ». Voila qui est ennuyeux.

On rappellera que l’article 38 de l’ ordonnance 2011-1012 du 24 août 2011 (JO du 26 août 2011) oblige  les fournisseurs de services de communications électroniques accessibles au public à prévenir les utilisateurs de leurs services en cas de fuite de données. L’absence de notification est punie d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende (le détail des obligations créées par ce texte ici).

Même si ces attaques ne peuvent qu’inciter les collectivités à faire la chasse aux failles de sécurité (serveurs, mise à jour des logiciels et protocoles…) elles sont malgré tout un signe positif. Elles montrent en effet l’arrivée à maturité des téléservices publics locaux et de l’administration électronique : c’est parce que les sites internet des villes offrent des services riches et nombreux, qu’ils sont perçu comme aynat de la valeur et donc  attaqués. Il faudra désormais faire avec… comme le font tous les sites de e-commerce.

MA J 29/09 : les déclarations du ministre Éric Besson sur la gratuité de Linky n’ont pas convaincu. UFC queChoisir estime ainsi que « tout porte à croire que ceux-ci le paieront via le TURPE (le tarif d’utilisation du réseau public d’électricité), le prix exorbitant de l’appareil » et que « les vrais bénéficiaires du déploiement seront donc le gestionnaire de réseau qui verra notamment diminuer ses coûts de relève des compteurs, et les fournisseurs d’électricité qui pourront multiplier les offres tarifaires et taxer au prix fort le moindre dépassement« . La FNCCR est pour sa part revenue sur la question de la propriété des compteurs et systèmes de comptage. Elle a demandé « l’engagement solennel du Gouvernement à ne pas obérer le patrimoine des collectivités concédantes d’un outil essentiel au fonctionnement des réseaux« . Sur ce point le ministre de l’énergie a botté en touche lors de la conférence de presse,  or pourtant cette question est essentielle. Comme le fait remarquer le journal de l’environnement « comptablement, la situation du gestionnaire de réseaux de distribution (GRD) sera très différente si les Linky sont des actifs qu’il peut porter à son bilan, ou non« . Un point qui pourrait sérieusement retarder le lancement de l’appel d’offre…

La généralisation du compteur électrique communicant Linky a été officiellement annoncée par Eric Besson ministre de l’industrie mercredi 28 septembre. Ce nouveau compteur sera généralisé à partir de 2013 (l’appel d’offre doit être prochainement lancé) et d’ici à 2020 dans 35 millions de foyers. Ce nouvel équipement sera « gratuit pour le consommateur » a précisé le ministre. Le coût de déploiement (4,3 milliards d’euros) sera à la charge d’ERDF et compensé par des gains de productivité (relevé à distance notamment) et une meilleure optimisation du réseau électrique (smart grids). Linky doit apporter au consommateur des services qui seront eux aussi « gratuits ». Le gouvernement a signé dans ce sens une charte avec les fournisseurs d’électricité prévoyant un socle de services minimal : accès à deux ans d’historique de consommation et mois par mois. Les consommateurs seront aussi alertés gratuitement par leur fournisseur d’électricité en cas de dépassement d’un seuil fixé avec lui. Les fournisseurs d’électricité pourront cependant facturer des services supplémentaires. Un décret sur la mise à disposition gratuite d’informations concernant aussi les compteurs actuels est par ailleurs en cours de rédaction.

Le suivi du déploiement sera assuré par le comité Linky, mis en place au début de l’été dernier et qui associe notamment les collectivités. Ce comité doit travailler en particulier sur les services à développer dans l’habitat et sur la protection des données personnelles.

Les associations d’élus ont été destinataires d’un projet d’arrêté élaboré par le service juridique de la DGME visant à simplifier la mise en place de téléservices par les collectivités et leurs groupements.

Aujourd’hui, chaque téléservice (sauf dans certains domaines où existe d’ores et déjà une déclaration simplifiée) doit faire l’objet d’un dossier CNIL spécifique, ce qui est une source de complexité et de délais pour les collectivités. En accord avec la CNIL, la DGME a élaboré un projet de texte qui vise à autoriser les traitements de données à caractère personnel les plus courants pour une liste limitative de téléservices : état civil et citoyenneté, enfance et école, voirie, urbanisme, aide sociale, logement développement économique, relation aux usagers (prise de rendez-vous…), activités sportives et culturelles, polices spéciales. Le texte liste ensuite les données personnelles que les collectivités seraient autorisées à traiter : identifiants, téléphone, certificat… et précise les durées de conservation des données.

Ces téléservices ne seraient dès lors soumis qu’à une déclaration unique, les collectivités devant notamment préciser à la CNIL les modalités d’exercice du droit d’accès des usagers et les mesures de sécurité prises pour assurer la confidentialité des données.

On soulignera que les services dématérialisés « sensibles » (utilisant la biométrie, la géolocalisation…) devront toujours faire l’objet d’un avis de la CNIL.

Le projet de texte doit maintenant être soumis à l’avis de la CNIL.

Le portail d’accès à l’administration est désormais disponible en version mobile à l’adresse internet suivante m.service-public.fr.

Ce site web reprend certains contenus du portail dont l’annuaire de l’administration (55 000 coordonnées des administrations de l’État et des services publics locaux) les fiches droits et démarches, la rubrique « comment faire si », l’annuaire des sites mobiles ((Légimobile, MobiDroits, Pôle emploi, Handicap.fr, Douane Française, Conseils aux voyageurs…) et les actualités.

L’annuaire, qui intègre les données locales* (mairies, mairies annexes, services publics locaux) et liste les sites mobiles des administrations propose des fonctionnalités dédiées smartphones :

• Numéros de téléphones « click to call » (génération de l’appel d’un simple clic),
• Indication du service public demandé le plus proche en fonction de la localisation de l’usager (si le téléphone a la fonction et si l’utilisateur le souhaite),
• Calcul d’itinéraire

Pour le moment, il s’agit d’une version mobile, l’opportunité de créer une application (iphone, Android, Blackberry) est à l’étude.

* Ces données locales étaient jusqu’alors gérées par la caisse des dépôts via « service public local ». Suite à l’arrêt de ce SPL, ces données sont mises à jour soient par les collectivités (qui passe éventuellement par un prestataire et s’organisent au niveau régional comme c’est le cas pour la Bourgogne et Midi Pyrénées) soit directement par la Dila qui gère le service. Pour faciliter ce travail de mise à jour, la Dila est en train d’élaborer un « web service » pour donner la possibilité aux collectivités de mettre à jour elle-même leur données.

Le groupe de travail sur la e-administration présidé par le député Franck Riester a remis ses proposition à Valérie Pécresse, ministre de la réforme de l’État, sur l’amélioration de la relation numérique à l’usager.

Sans trop de surprise*, le rapport suggère de mettre les administrations – d’État convient-il de préciser – à l’heure des nouveaux usages du web 2.0. C’est ainsi qu’il propose de mettre en place une évaluation systématique et permanente des téléservices en place en utilisant des mini-sondages en fin de procédure ou encore des dispositifs de signalement en ligne des erreurs. Il propose surtout que l’État forme des « community managers » pour assurer une veille sur les réseaux sociaux et créer des communautés sur des sujets ciblés (santé, éducation, culture…). Les agents de l’État, sous réserve d’adhérer à une charte de bonne pratique, seraient invités à s’exprimer sur les médias sociaux.

Le second groupe de proposition concerne l’utilisation des applications mobiles, pour tenir compte du phénomène smartphones qui équipent de plus en plus de français. Le rapport suggère de multiplier les applications mobiles pour obtenir des informations administratives géolocalisées, connaitre en temps réel l’avancement de ses démarches ou encore présenter des pièces justificatives, celle-ci (avis d’imposition, facture…) pouvant être scannées à l’aide d’un simple flashcode apposé sur le document officiel.

Si ce rapport contient de bonnes idées, il pourra laisser circonspect bon nombre d’usagers (cf. le rapport annuel du médiateur de la République) qui se plaignent d’administrations (d’état pour l’essentiel…°) trop souvent injoignables au téléphone et ne répondant pas aux mails… En d’autres termes, avant le web 2.0, il faudrait que les outils 1.0 soient parfaitement assimilés. On regrettera par ailleurs que si peu de place ait été accordée à l’analyse d’expériences existantes, en particulier au niveau local, en matière d’utilisation du web 2.0. Car dans ce domaine il y avait certainement des idées à prendre et quoi qu’en laisse penser la communication de la DGME, l’interlocuteur N°1 des usagers de l’Administration (avec un A) reste la commune et l’absence d’une réflexion sur la place des collectivités dans la relation numérique rend ce travail singulièrement bancal.

Le rapport est téléchargeable en ligne et les internautes sont invités à faire part de leurs commentaires.

*Le groupe de travail est composé de responsable de sites webs commerciaux utilisant le web 2.0 (1000 mercis, dailymotion,aquarelle.com…)