ladministration communale et les nouvelles technologies : questions choisies formation de...
TRANSCRIPT
L’ADMINISTRATION COMMUNALE ET LES NOUVELLES TECHNOLOGIES :
QUESTIONS CHOISIES
Formation de l’Administration communale de Verviers
Vendredi 5 novembre 2004
Etienne WéryAvocat aux barreaux de Bruxelles et de Paris
Associé ULYS
http://www.ulys.net
Plan
Utilisation des ressources informatiques et contrôle
E-Government Vie Privée Signature électronique
Carte d’identité électronique
Où trouver de l’information pertinente sur le web ?
PARTIE 1 : L’UTILISATION DES RESSOURCES
INFORMATIQUES ET SON CONTRÔLE
Concilier vie privée et vie professionnelle,
Droits des travailleurs et droits des employeurs
I. Le cadre général
Article 8 Convention européenne des droits de l’homme
Article 22 Constitution Article 109 ter D et E de la loi du 21 mars 1991 (loi
Belgacom) Article 314 bis du Code pénal Loi du 8 décembre 1992 (loi vie privée)
II. Un nouvel instrument : la CCT n° 81Convention collective de travail n° 81 du 26 avril 2002, conclue au sein du Conseil national du Travail, relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau
III. Application ratione personae à l’administration communale CCT interprofessionnelle, rendue obligatoire par AR du 12 juin
2002 Cadre général = applicable au secteur public La CCT n° 81 = applicable, en principe, au secteur privé Particularités de l’administration communale
Dualité du personnel : Contractuels => L. 3/07/1978 sur les contrats de travail Statutaires => Statut administratif + régime disciplinaire de la loi
communale
Obligation de disposer d’un règlement de travail (loi du 8 avril 1965, modifiée par la loi du 18 décembre 2002)
Possibilité de règlements de travail différents (contractuel/statutaire)
En fonction du règlement de travail, application de la CCT n° 81, du moins au personnel contractuel
IV. Application ratione materiae de la CCT n° 81
Encadre le contrôle des « données de communication électroniques en réseau »
E-mail Internet / Intranet / Extranet Sms, chat, forums de discussion, Wap…
Ne s’applique pas aux modalités d’utilisation et/ou d’accès aux ressources informatiques => Liberté de l’employeur
V. Les jalons et modalités du contrôle
Contrôle = permis mais sans atteinte excessive à la vie privée et aux libertés individuelles ou collectives
Conditions : Principe de finalité Principe de proportionnalité Principe de transparence
Procédures d’individualisation : directe ou indirecte
A. Principe de finalité 4 situations dans lesquelles le contrôle est
permis : Prévention de faits illicites ou diffamatoires, contraires
aux bonnes moeurs ou susceptibles de porter atteinte à la dignité d’autrui
Ex. : contrôle pour prévenir des actes de piratage, consultation de sites pornographiques, pédophiles ou incitant à la haine raciale
Protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires
Ex. : contrôle pour prévenir de la publicité dénigrante, la divulgation de fichiers, de secrets d’affaires ou d’informations confidentielles
La sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise
Ex. : contrôle en cas de téléchargements de fichiers de tailles importantes et qui ralentissent le réseau ou présentant un risque d’infection par virus
Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
Ex. : contrôle pour vérifier que les règles fixées pour l’accès et l’utilisation des ressources informatiques sont bien respectées
Enumération exhaustive, le contrôle doit poursuivre un but précis
B. Principe de proportionnalité
Le contrôle ne peut entraîner une ingérence dans la vie privée du travailleur
Si il y a une ingérence, elle doit être réduite au minimum
Le contrôle doit être adéquat, pertinent, non excessif et nécessaire au regard des finalités poursuivies
Il ne porte, dans un premier temps, que sur des données globales
Commission vie privée : contrôle temporaire et motivé par des soupçons. CCT ne précise pas.
C. Principe de transparence Information des travailleurs
Information collective (conseil d’entreprise, délégués syndicaux…) :
Politique de contrôle et prérogatives de l’employeur et du personnel survaillant
Finalités poursuivies Conservation ou non de données à caractère personnel, le lieu et
la durée de conservation Caractère permanent ou non du contrôle
Information individuelle (support au choix, règlement de travail, charte d’utilisation …) :
Utilisation de l’outil mis à la disposition du travailleur + limites fonctionnelles
Droits, devoirs et obligations des travailleurs + interdictions éventuelles quant à l’usage des moyens de communication électroniques en réseau
Sanctions prévues au règlement de travail en cas de manquement
D. Procédures d’individualisation
Principes : En cas d’anomalie lors du contrôle
Individualisation des données de communication, PAS du contenu (sauf accord du travailleur)
Exception : consultation du contenu si caractère professionnel non contesté
L’individualisation sera directe ou indirecte selon les finalités poursuivies par le contrôle
Individualisation directe Identification immédiate du travailleur responsable de
l’anomalie, sans formalité, lorsque les finalités du contrôle sont :
Prévention de faits illicites Protection des intérêts de l’entreprise Sécurité ou bon fonctionnement technique
Sanctions, le cas échéant
Individualisation indirecte
Si le contrôle vise à s’assurer du respect de bonne foi des règles d’utilisation des technologies
Phase préalable d’information collective Si récidive, individualisation directe Entretien individuel Sanctions, le cas échant
PARTIE 2 :
L’E-GOVERNMENT
I. Définition Contexte : application des technologies de
l’information et de la communication à l’action des autorités publiques
Deux aspects : Démocratie électronique : utilisation des TIC en vue de
promouvoir la participation des citoyens au débat démocratique et au processus de décision politique
E-Government ou administration électronique : utilisation des TIC pour améliorer la qualité du service rendu par les services publics aux citoyens et entreprises
E-Government = transformation progressive des relations internes et externes du secteur public grâce aux TIC
II. Différentes relations envisageables
Relations entre l’administration et les citoyens : G2C (Government to Citizen)
Relations entre l’administration et les entreprises : G2B (Governement to Business)
Relations entre l’administration et les autres services publics au niveau inter-organisationnel : G2G (Government to Government)
Relations entre l’administration et les fonctionnaires au niveau intra-organisationnel : G2E (Government to Employees)
III. L’objectif : le guichet unique
But = rassembler différents services administratifs ou d’information de façon à réduire le temps et l’énergie dépensés par les usagers pour trouver et obtenir le service dont ils ont besoin
Deux dimensions : Le type de service offert par le guichet
(information < communication < transaction)
Le caractère intégré ou non du service offert (traverse le cloisonnement des services)
Les composantes de l’intégration Le Front Office : ensemble des systèmes techniques
visibles depuis le monde extérieur, par lesquels l’administration assure ses services en utilisant les TIC (souvent un site web ou un portail)
Le Middle Office : système sur lequel se basent les contacts inter-administrations et qui joue le rôle d’interface entre les systèmes informatiques propres à chaque administration, permettant l’échange de données entre systèmes indépendants
Le Back Office : ensemble des systèmes techniques internes qui supportent les activités ou services en ligne d’une administration (bases de données, serveurs internes, …)
IV. Principaux aspects juridiques
Respect de la vie privée
Signature électronique
A. La loi sur la protection de la vie privée
(1) Champ d’application
(2) Principes : traitement loyal et licite
(3) Droits de la personne concernée
(4) Contrôle des traitements
(5) Flux transfrontières
1.1 Champ d’application matériel
Données à caractère personnel : une personne physique identifiée ou identifiable
Traitement : toute opération ou ensemble d’opérations
Exception : « données concernant des activités exclusivement personnelles ou domestiques »
Exceptions partielles : presse, sûreté de l’état, police, enfants disparus et sexuellement exploités.
1.2 Champ d’application personnel
Responsable du traitement Le « Gouvernement » ? : fédéral, fédéré, local ? Qui est le responsable ?
Sous-traitant
Destinataire
Tiers
1.3 Champ d’application territorial
Un établissement fixe en Belgique Login en dehors de la Belgique? En dehors
de l’Europe?
-> intervention d’un tiers
-> loi applicable
-> Safe Harbour?
2. Principes : traitement loyal et licite
Principe de finalité Traitement légitime Catégories spéciales Confidentialité & sécurité Notification & transparence
2.1 Principe de finalité
Finalité du traitement – traitement conforme
Des finalités explicites, une utilisation compatible
Données adéquates, pertinentes et non excessives
Les données doivent être exactes et mises à jour
Conservation des données en fonction de leur finalité (durée de conservation)
Conséquences :
Gouvernement : intérêt général
Interconnexion des fichiers : “Big brother is watching” ?
Usage pour d’autres finalités
Secteur public : autre administration, département, pays…
Secteur privé : usage pour des finalités commeciales
Reproduction des données
Plusieurs départements, administration, copie de sauvegarde
Combien de reproductions ? Comment contrôler ?
2.2 Traitement légitime
Consentement de la personne concernée
Exécution d’un contrat Ex. : Selor
Respect d’une obligation légale Ex. : TVA, Edifact, Dimona
L’intérêt vital de la personne concernée Ex. : Carte SIS
Exécution d’une mission d’intérêt général
L’intérêt légitime <-> droits fondamentaux
2.3 Catégories spéciales
Données sensibles Données médicales Données judiciaires
Régime plus restrictif
(principe = interdiction du traitement mais exceptions prévues)
2.4 Confidentialité & sécurité
Une protection adéquate Les mesures techniques et organisationnelles
requises (PGP, Cryptographie…=> neutralité technologique)
Protéger l’accès au fichier (firewall, mot de passe, login, …)
Copie de sauvegarde Intervention de sous-traitants : conditions
2.5 Notification & transparence
Déclaration auprès de la Commission de la protection de la vie privée (préalable à la mise en œuvre d’un traitement)
Registre public : Finalité, responsable, localisation Pièce-clé de contrôle ?
3. Droits de la personne concernée
Droit à l’information
Droit d’accès
Droit de rectification
Droit d’opposition
3.1 Droit à l’information Communication des informations essentielles
Le responsable du traitement Les finalités du traitement Traitement loyal et licite Communication à un tiers Existence du droit d’accès et de rectification Existence du droit d’opposition si direct marketing
Quand? Si collecte auprès de la personne concernée : au plus
tard au moment de l’obtention des données Si collecte auprès d’un tiers :
au moment de l’enregistrement des données Si une communication à un tiers est envisagée, au plus
tard au moment de la 1ère communication. En cas de direct marketing : avant la 1ère communication
ou utilisation
3.2 Droit d’accès
Endéans les 45 jours suivant la demande Identification du demandeur Le droit d’accès porte sur :
Les données traitées Leur origine La logique du traitement Le droit d’exercice des recours
Droit d’accès direct Droit d’accès indirect => Commission
3.3 Droit de rectification
Correction sans frais des données inexactes Supression des données « non conformes » Interdiction d’utilisation des données « non
conformes » Rectification communiquée endéans le mois
de la demande A la personne concernée Aux destinataires, dans la mesure du possible
3.4 Droit d’opposition
Opposition au traitement de données Si raisons sérieuses et légitimes Sans justification si direct marketing Exception : liceité du traitement en
raison de l’exécution d’un contrat ou d’une obligation légale
Suite de la demande communiquée endéans le mois
4. Les flux transfrontières
Transfert de données hors CE en vue d’un traitement
Condition : niveau de protection adéquat dans le pays concerné (exceptions)
Appréciation du responsable du traitement
Possibilité de black lists de pays
B. La signature électronique
Nécessité d’un système fiable et juridiquement reconnu comme ayant valeur de signature pour réaliser les transactions en ligne
Lois des 20 octobre 2000 et 9 juillet 2001 : reconnaissance de la signature électronique
Ecueils : Parfois, un certain formalisme est exigé par la loi
(Ex. : marchés publics) Diffusion élargie des techniques de signature
électronique parmi les usagers (solution : carte d’identité électronique)
Signature électronique = signature manuscrite => Conditions (L. 9 juillet 2001) :
Signature électronique avancée
Basée sur un certificat qualifié (contenu => annexe 1 de la loi) émis par un prestataire de service de certification (PSC) répondant aux exigences de la loi (annexe 2 de la loi)
Conçue au moyen d’un dispositif sécurisé (annexe 3 de la loi)
Rôle des communes en tant qu’autorité d’enregistrement => carte d’identité électronique
PARTIE 3 :
PROLONGEMENT DE L’E-GOVERNEMENT:
LA CARTE D’IDENTITE ELECTRONIQUE
A. Le cadre juridique Textes
Arrêtés royaux 25 mars 2003 sur la carte d’identité électronique et le régime transitoire
Arrêté ministériel du 26 mars 2003 qui fixe le modèle de la carte d’identité électronique
Arrêté royal 1er septembre 2004 => généralisation de l’introduction de la carte d’identité électronique pour l’ensemble des communes du Royaume
Objectif Favoriser l’E-Government
Automatiquement pourvue d’une signature électronique destinée à diverses applications lors de relations avec l’autorité
B. Le succès de la phase de transition
2003 : 11 communes désignées en tant que pilotes => délivrance de 65.000 cartes d’identité électronique (carte à puce, format carte de crédit)
Contenu de la carte : données habituelles (nom, prénom, lieu de naissance, nationalité, photo, domicile…) + signature électronique
Utilité : apposer sa signature électronique, attester de l’exercie d’un mandat ou d’une compétence officielle, authentifier son identité lors de l’utilisation d’une application de l’administration en ligne
Rôle prépondérant des communes !
C. Evolution possible
Augmenter et diversifier les données contenues dans la puce (données biométriques, médicales…)
Utilisation pour permettre l’authentification à distance pour les échanges administratifs ET commerciaux
Carte unique regroupant diverses fonctions (identité, banque, SIS,…) – Ex. : Projet SmartCities
Qu’en est-il de la protection de la vie privée?
PARTIE 4 :
OU TROUVER DE L’INFORMATION
PARTINENTE SUR LE WEB ?
Quelques adresses utiles
http://www.juridat.be/ http://www.just.fgov.be/index_fr.htm http://www.raadvst-consetat.be/Fr/home_fr.ht
m http://www.arbitrage.be/ http://www.e-gouvernement.be/ http://europa.eu.int/eur-lex/ http://www.droit-technologie.org/ http://www.privacy.fgov.be/
&QUESTION
S
cOMMENTS