2-1566/6 | 2-1566/6 |
1er AVRIL 2003
Procédure d'évocation
Le projet facultativement bicaméral à l'examen a été déposé par le gouvernement à la Chambre des représentants le 10 mars 2003.
La Chambre a adopté le projet de loi amendé au cours de la séance du 28 mars 2003 et le Sénat l'a évoqué le 31 mars 2003.
En application de l'article 27.1, alinéa 2, du Règlement du Sénat, la commission a entamé la discussion avant le vote final à la Chambre.
La commission de l'Intérieur et des Affaires administratives a donc discuté les articles 133 à 136 au cours de ses réunions des 27 mars et 1er avril 2003.
M. Van den Bossche expose que, pour mettre en place le projet d'e-government, il faut veiller à organiser les relations et les procédures entre les services publics, d'une part, et entre les services publics, les citoyens et les entreprises, d'autre part, de manière à pouvoir proposer des services aussi efficaces que possible, avec un minimum de contraintes administratives, en recourant aux nouvelles technologies.
L'un des éléments fondamentaux de ce projet réside dans la mise à disposition de services électroniques à partir de portails ou de sites web. L'utilisation de certains de ces services nécessite cependant l'identification électronique du citoyen, ainsi que l'authentification de cette dernière.
C'est dans ce cadre que la carte d'identité électronique a été instaurée en collaboration avec le ministre de l'Intérieur.
La carte d'identité électronique offre un très haut niveau de garantie concernant l'identification et l'authentification, car on utilise la technologie des certificats. L'émission de la carte pour tous les citoyens prendra cependant quelques années. Certaines transactions peuvent cependant déjà être offertes avec un niveau de garantie quelque peu inférieur, qui est basé sur l'utilisation combinée d'un numéro d'utilisateur, d'un mot de passe et d'un token. Un token est un document sur lequel est mentionnée une série de caractères non mémorisables, dont le citoyen doit en introduire un nombre choisi arbitrairement par la transaction quand il utilise un service électronique. Ainsi, l'authentification se fait sur la base d'une combinaison de connaissances (le mot de passe) et de propriété (le token).
Un tel système offre des garanties suffisantes, par exemple pour le dépôt de certaines déclarations. Le comité sectoriel qui va être créé au sein de la Commission pour la protection de la vie privée afin d'autoriser la communication de données à caractère personnel par les servcies publics déterminera les transactions pour lesquelles ce système offre des garanties suffisantes et les transactions pour lesquelles l'utilisation de la carte d'identité électronique sera nécessaire.
La demande d'un numéro d'utilisateur, d'un mot de passe et d'un token pourra se faire sur le portail fédéral. Le service sera aussi offert de manière à pouvoir être intégré à d'autres portails, comme le portail de la sécurité sociale, ou des portails de communes, régions ou communautés. Ainsi, un citoyen pourra, avec un même numéro d'utilisateur, un même mot de passe et un même token, arriver sur le plus de portails et sites web publics possibles.
Il est toutefois extrêmement important de vérifier le mieux possible, lors de l'attribution des numéros d'utilisateurs, des mots de passe et des tokens, que le demandeur est bien celui qu'il prétend être. C'est pourquoi un certain nombre de données, telles que le numéro de la carte d'identité et de la carte SIS, devront être communiquées lors de la demande. Lors de la procédure d'enregistrement, l'exactitude de ces données sera vérifiée dans un certain nombre de banques de données relevant des autorités publiques. Si les données sont exactes, le demandeur se verra attribuer un numéro d'utilisateur et un mot de passe; le token sera envoyé à son adresse officielle figurant dans le Registre national.
Les articles présentés créeront la base juridique pour permettre ce système et pour que les citoyens bénéficient déjà immédiatement d'un certain nombre de transactions. Dans un premier article, il a été prévu la possibilité de demander les données mentionnées sur la carte d'identité et sur la carte SIS dans le cadre d'une telle procédure d'enregistrement. Dans un deuxième article, il a été prévu la possibilité, pour vérifier l'exactitude des données demandées à l'intéressé pendant cette procédure d'enregistrement, d'avoir accès :
au Registre national;
aux registres de la Banque-carrefour de la sécurité sociale, qui contiennent des éléments d'identification relatifs aux personnes qui ne figurent pas au Registre national;
au fichier central des cartes d'identité;
au registre des cartes SIS;
à la Banque-carrefour des entreprises.
Le but de l'accès est clairement spécifié, de sorte que le principe de finalité prévu dans la réglementation relative à la vie privée est clairement respecté.
Dans son avis nº 14/2003, la Commission de la protection de la vie privée souscrit à la volonté du gouvernement fédéral d'arriver à des procédures d'enregistrement uniques pour l'octroi aux citoyens et aux entreprises de numéros d'utilisateurs, de mots de passe et de tokens utilisables pour l'identification et l'authentification lors de l'utilisation d'un maximum de services électroniques offerts par le plus de services publics possibles. Dans son avis, la commission a proposé une série de modifications au présent projet pour exprimer encore plus formellement cette volonté. Ces propositions de modification du texte ont été acceptées.
Comme déjà indiqué dans le commentaire des articles, la loi citée du 8 décembre 1992 s'applique d'ailleurs complètement au traitement des données à caractère personnel qui se fait en exécution des articles proposés. Cela implique notamment, comme la Commission le fait remarquer, le respect du principe de proportionnalité lors de l'accès aux banques de données à des fins de vérification de l'exactitude des données à caractère personnel communiquées pendant la procédure d'enregistrement, un devoir d'information envers l'intéressé, la prise des mesures nécessaires pour assurer un niveau de sécurité convenable et la conclusion d'un accord avec les sous-traitants éventuels satisfaisant aux dispositions de l'article 16, § 1er, de la loi du 8 décembre 1992.
En réponse à la requête de la commission, on peut aussi formellement assurer que tout citoyen est libre d'utiliser ou non les services électroniques proposés par les autorités. Pour tous les services aux citoyens, il reste toujours possible d'utiliser les services offerts par les autorités au moyen des procédures traditionnelles sur support papier.
La commission souhaite enfin être informée de la façon dont les différents services publics utiliseront les services proposés. Une fois que cette procédure aura été complètement élaborée, elle sera communiquée à la commission. En général, on veillera à ce que soient élaborés pour les citoyens et les entreprises les directory services, où les numéros des utilisateurs, les mots de passe et les tokens sont gérés et auxquels les personnes offrant des services électroniques de manière bien sécurisée peuvent faire appel par l'intermédiaire d'un standard ouvert utilisé comme base pour le processus d'identification et d'authentification.
L'ensemble des articles envoyés à la commission a été adopté à l'unanimité des 9 membres présents.
Confiance a été faite au rapporteur pour la rédaction du présent rapport.
| Le rapporteur, | La présidente, |
| Jean-Pierre MALMENDIER. | Anne-Marie LIZIN. |
Le texte adopté par la commission
est identique au texte
évoqué par le Sénat
(voir doc. Chambre, nº 50-2343/27)