spécificités propres à la puissance publique
Dans le cadre de l’utilisation de données personnelles des individus par des services privés, le Conseil national du numérique est favorable à la reconnaissance d’un droit à l’autodétermination informationnelle (cf.
recommandations 4 et 5 du volet I) dont la définition a été précisée par le Conseil d’État dans son étude annuelle sur “Le numérique et les libertés fondamentales67” (septembre 2014). Ce droit à l’autodétermination implique que chaque individu puisse
67 Le droit à l’autodétermination informationnelle vise à “renforcer la place de l’individu dans le droit à la protection de ses données pour lui permettre de décider de la communication et de l’utilisation de ses données à caractère personnel”. Conseil d’Etat, Rapport annuel sur “le nu-mérique et les libertés fondamentales”, de septembre 2014
avoir accès à ces données et qu’ils puissent les lire, les modifier, les effacer, choisir ce qu’ils veulent en faire et décider des services qui y ont accès.
Le Conseil considère que le principe d’autodétermination informationnelle, opposable aux acteurs privés, devrait s’appliquer de manière différenciée aux administrations. En effet, le principe d’autodétermination informationnelle ne peut ouvrir les mêmes droits pour les individus que ceux prévus dans le cadre de la délivrance d’un service privé, afin de garantir le respect des principes directeurs du service public et l’exercice de certaines prérogatives de la puissance publique :
Les contraintes pesant sur l’administration ne doivent pas entraver le bon fonctionnement des services publics, afin de respecter l’exigence de continuité du service public ;
La mise en œuvre du droit à l’autodétermination informationnelle doit prendre en compte certaines prérogatives propres à la puis-sance publique.Ainsi, la reconnaissance d’un droit à l’autodétermination informationnelle sur les données personnelles détenues ou collectées par l’administration se traduirait non pas par un droit absolu de modification, suppression ou autorisation de réutilisation, mais par :
Un droit d’accès et de visualisation des données ;
Un droit de demander le cas échéant la correction des données, sous réserve de justification ;
Un droit d’autoriser certains flux de données entre les administrations (cf. su-pra) ;
Un droit éventuel à demander l’effacement de certaines données, dans le cadre d’une procédure spécifique.Le droit à l’autodétermination informationnelle pourrait se matérialiser par la mise en place de différentes fonctionnalités (cf. encadré). Les administrations devraient permettre à chaque usager des services publics de visualiser les données le concernant détenues par les administrations ainsi que d’accéder à ces données. Le Conseil national du numérique propose de s’inspirer de l’initiative américaine du Blue Button qui permet aux usagers d’accéder et de télécharger leurs données personnelles de santé.
Les différents espaces personnels, propres à chaque thématique de service public numérique (cf. recommandation n°25) pourraient proposer, à terme, une fonctionnalité permettant de suivre et de contrôler l’usage qui est fait de ses données personnelles, en prenant la forme de PIMS (Personal Information Management System)68. Cela permettrait aux usagers de :
de visualiser les données les concernant détenues ou produites par les admi-nistrations ;
de visualiser l’historique des échanges de données le concernant entre admi-nistrations ;
de télécharger ces données ;
de connaître la durée de conservation des données par les administrations.LA CITOYENNETE
ELECTRONIQUE EN ESTONIE
Dans la continuité de son accès à l’indépendance en 1991, l’Estonie s’est lancé dans la refonte de leur administration et le développement de ses propres infrastructures réseaux. Au début des années 2000, elle a mis en place un système de citoyenneté électronique qui repose sur un identifiant unique, constituant la clé d’accès à un ensemble de démarches et de services en ligne depuis un support connecté. L’Estonie s’est dotée d’une architecture technique (X-Road) qui garantit l’identification et l’authentification d’une personne physique grâce à un certificat électronique émis par une carte d’identité électronique. À l’heure actuelle, ce système est fortement utilisé : plus de 90 % de la population estonienne possède une carte d’identité électronique et l’architecture X-Road permet d’accéder à près de 2000 services, proposés par plus de 900 organisations publiques ou privées. L’État estonien reconnaît en outre les signatures numériques pour les documents en ligne.
Pour accompagner la mise en place de ce dispositif, l’État estonien a instauré un cadre strict de gestion des données. D’une part, les citoyens peuvent télécharger certaines données les concernant. D’autre part, ils disposent d’un registre détaillant la date et l’heure de consultation de ces données. En cas de litige, ils peuvent formuler une plainte auprès d’un médiateur rattaché à
68 Les PIMS, “Personal Information Management Systems”, aussi nommés “clouds personnels”, qui visent à reconstituer pour les individus des espaces de gestion de leurs données personnelles sécurisés et indépendants des plateformes dont le modèle économique repose sur l’exploitation de ces données.
l’Inspection de la protection des données, une agence indépendante sous l’autorité du ministère de la Justice. Ce dispositif trouve son fondement dans la Constitution estonienne de 1992 qui garantit le droit à la vie privée, au secret des communications et à la protection des données.
Sources :
http://www.mckinsey.com/insights/public_sector/innovation_in_government_i ndia_and_estonia
https://www.ria.ee/public/x_tee/X-road-factsheet-2014.pdf
http://www.renaissancenumerique.org/images/stories/estonie_renaissancenu merique_vdef%201.pdf