Retour à la section

Délibération n°2015-381 du 5 novembre 2015

JORF n°0296 du 22 décembre 2015

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis concernant un projet d'arrêté relatif à la création d'un téléservice de l'administration dénommé « VTC » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu les articles L. 3122-1 et suivants et R. 3122-1 et suivants du code des transports ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Eric PERES, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'écologie, du développement durable et de l'énergie d'un projet d'arrêté portant création d'un téléservice de l'administration dénommé « VTC » (Voitures de Transport avec Chauffeur).
Ce traitement constituant un téléservice de l'administration électronique, au sens de l'article 27-II (4) de la loi du 6 janvier 1978 modifiée, il doit être autorisé par arrêté du ministre compétent pris après avis motivé et publié de la Commission.
Sur les finalités du traitement :
Le téléservice « VTC » est destiné au dépôt en ligne de la demande d'inscription des exploitants de voitures de transport avec chauffeur au registre visé par l'article L. 3122-3 du code des transports et de la déclaration des intermédiaires mettant en relation des exploitants de voitures de transport avec chauffeur et des clients, prévue à l'article L. 3122-5 de ce même code.
En effet, l'article 1er du projet d'arrêté précise que le traitement « VTC » a pour finalités :

« - l'inscription des exploitants de voitures de transport avec chauffeur au registre prévu à l'article L. 3122-3 du code des transports ;
« - le dépôt par les intermédiaires mettant en relation des exploitants de voitures de transport avec chauffeur et des clients de la déclaration prévue à l'article L. 3122-5 du code des transports ».

La commission prend note de ce qu'en application des articles R. 3122-1 et R. 3122-10 du code des transports, le recours au téléservice est obligatoire. Dès lors, la commission observe que l'effectivité de l'accès au téléservice « VTC » est susceptible de nécessiter une assistance et un accompagnement des usagers, notamment ceux ne disposant pas d'internet et/ou n'ayant pas les compétences requises pour s'en servir.
Par ailleurs, la commission prend acte de ce que les exploitants et intermédiaires accéderont au téléservice en créant leur propre compte via le portail d'authentification CERBERE du ministère de l'écologie, du développement durable et de l'énergie, lequel a fait l'objet d'une formalité préalable à sa mise en œuvre auprès de la commission (déclaration normale n° 1171110). L'authentification des usagers sur le portail CERBERE s'effectuera à partir d'un mot de passe régulièrement renouvelé et composé d'un minimum de huit caractères (avec au moins une majuscule, une minuscule, un chiffre et un caractère spécial). La commission considère que ces modalités d'accès n'appellent pas d'observation particulière.
Sous réserve des observations ci-dessus, la commission considère que les finalités poursuivies par la mise en place de ce téléservice sont déterminées, explicites et légitimes.
Sur les données traitées :
L'article 2 du projet d'arrêté prévoit le traitement des données suivantes :
Pour les exploitants :

- pour les personnes physiques : nom, prénom, date et lieu de naissance, numéro de téléphone, adresse électronique, profession et adresse du domicile et du lieu d'établissement, numéro SIREN ou SIRET ;
- Pour les personnes morales : nom, prénom et adresse de leurs représentants légaux, numéro de téléphone, adresse électronique, raison sociale, forme juridique, adresse du lieu d'établissement, numéro SIREN ou SIRET ;
- numéros et copies des certificats d'immatriculation des véhicules affectés à l'activité ;
- numéro et copies des cartes professionnelles des conducteurs ,
- copies des extraits K bis ;
- copies des justificatifs d'assurance responsabilité civile professionnelle ;
- justificatifs de garantie financière (garantie bancaire ou copies des contrats de location des véhicules).

Concernant les justificatifs de garantie financière, la commission prend acte de ce qu'ils sont demandés aux exploitants afin de vérifier le respect de l'article R. 3122-9 du code des transports.
Pour les intermédiaires :

- une preuve de l'identité et de la nationalité du prestataire ;
- la forme juridique de l'exploitant et, le cas échéant, le montant du capital social (copie des extraits K bis) ;
- l'adresse de son principal établissement ;
- une preuve de l'assurance couvrant sa responsabilité civile professionnelle (copies des justificatifs d'assurance responsabilité civile professionnelle) ;
- la liste des exploitants avec lesquels l'intermédiaire a été en relation contractuelle au cours de l'année, assortie de leurs numéros d'inscription ;
- le nombre total des vérifications effectuées en application de l'article L. 3122-6 du code des transports.

Concernant la preuve de la nationalité des intermédiaires, la commission prend note de que ces derniers doivent en justifier conformément à l'article R. 3122-10 du code des transports.
Par ailleurs, outre les données listées à l'article 2 du projet d'arrêté, la commission prend acte de ce que l'article 5 du projet d'arrêté prévoit la collecte des données suivantes : l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention dans le traitement. La commission relève que ces données de connexion ne figurent pas à l'article 2 du projet d'arrêté, qui pourrait dès lors être utilement complété sur ce point.
Sous réserve des observations ci-dessus, la commission considère que les données traitées sont pertinentes au regard de la finalité poursuivie.
Sur les destinataires :
L'article 4 du projet d'arrêté prévoit que :
« I. - 1. Sont destinataires des données mentionnées à l'article 2 se rapportant à leur demande les exploitants et les intermédiaires usagers du téléservice ;
2. Est destinataire d'une partie des données mentionnées aux 1° et 2° du I de l'article 2 le grand public.
II. - Peuvent accéder, à raisons de leurs attributions, à la totalité des données et informations mentionnées à l'article 2, les agents du ministère chargé des transports [les] gestionnaires du registre et les personnes habilitées par le ministre à exercer cette compétence pour son compte. »
Interrogé sur les modalités de la mise à disposition du grand public, le ministère de l'écologie, du développement durable et de l'énergie indique que cette mise à disposition résulte de l'article R. 3122-5 du code des transports, qui précise que les services désignés par le ministre chargé des transports « procèdent également à la publication, sur le site intemet des services déconcentrés chargés de la politique des transports en région, de la liste des exploitants qui y sont établis ainsi qu'à celle, sur le site internet du ministère des transports, de la liste de l'ensemble des exploitants inscrits ». En outre, le ministère indique que cette mise à disposition permettrait aux forces de l'ordre de vérifier l'inscription au registre d'un exploitant lors de contrôles sur la voie publique.
Le ministère de l'écologie, du développement durable et de l'énergie précise également que le grand public pourrait accéder sur le site internet du ministère et des directions régionales via des fonctions de recherche (par région, par numéro d'inscription, etc.) aux informations suivantes des exploitants inscrits au registre :

- numéro d'inscription ;
- forme juridique ;
- nom et prénom pour une personne physique ;
- dénomination, nom et prénom du principal représentant pour une personne morale ;
- adresse du lieu d'établissement.

Toutefois, la commission est réservée sur les modalités de cette mise à disposition du grand public et relève, d'une part, que la publication en ligne des données ci-dessus n'est pas expressément prévue par le législateur et, d'autre part, que l'article 4-I-2° du projet d'arrêté n'identifie pas précisément les données qui seraient mises à disposition du grand public.
Plus particulièrement, la commission relève le risque d'atteinte à la vie privée des exploitants de VTC que représenterait la diffusion au public de leurs coordonnées, et notamment de leur adresse, eu égard au contexte spécifique de concurrence entre la profession des VTC et la profession des taxis.
De même, la commission observe que, si la mise à disposition des données précitées vise à permettre aux forces de l'ordre de vérifier l'inscription au registre d'un exploitant lors de contrôles sur la voie publique, au regard de cette finalité, il apparaît excessif, au sens de l'article 6-3° de la loi du 6 janvier 1978 modifiée, de procéder à une mise à disposition du grand public.
Dès lors, dans un souci d'équilibre entre transparence et protection des données personnelles, la commission recommande de ne pas publier l'adresse des exploitants et de mettre en place des mesures empêchant l'indexation des données précitées par les moteurs de recherche.
Sous réserve de ces observations, la commission considère que les destinataires visés à l'article 4 du projet d'arrêté ont un intérêt légitime à accéder aux données du téléservice « VTC ».
Sur la durée de conservation des données :
La commission prend note de ce qu'en application de l'article 3 du projet d'arrêté
« 1. Pour les exploitants, la durée de conservation des données mentionnées à l'article 2 est de cinq ans renouvelable jusqu'à la radiation du registre de l'exploitant. Cette durée peut être prorogée, en cas de contentieux, de deux ans après radiation ou non-renouvellement.
2. Pour les intermédiaires, la déclaration étant renouvelable chaque année, les données sont conservées jusqu'à la cessation de l'activité des intermédiaires ».
A cet égard, la commission prend note de ce que les durées ci-dessus correspondent aux délais dans lesquels les inscriptions doivent être renouvelées, conformément aux articles L. 3122-3 et L 3122-5 du code des transports.
S'agissant des données des exploitants, la commission recommande que les données ne soient pas conservées en base active au-delà de cinq ans et fassent ensuite l'objet d'un archivage intermédiaire.
Par ailleurs, la commission prend acte de ce que les données de connexion mentionnées à l'article 5 du projet d'arrêté seront conservées pendant un an.
Ces durées de conservation n'appellent pas d'observations particulières de la commission.
Sur l'information et les droits d'accès, de rectification et d'opposition des personnes concernées :
La commission prend note de ce que les personnes concernées seront informées par voie d'affichage sur le site internet dédié.
De plus, l'article 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent auprès du gestionnaire du registre. A cet égard, la commission se félicite que le ministère de l'écologie, du développement durable et de l'énergie se soit engagé à ajouter dans le projet les coordonnées de la direction générale des infrastructures des transports et de la mer, auprès de laquelle les personnes concernées pourront exercer leurs droits d'accès et de rectification.
Par ailleurs, la commission prend note de ce que le projet d'arrêté écarte expressément l'application du droit d'opposition pour motif légitime prévu par l'article 38 de la loi du 6 janvier 1978 modifiée.
Les dispositions du projet d'arrêté relatives aux droits d'accès, de rectification et d'opposition pour motif légitime n'appellent pas d'observation de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
La commission relève qu'un nombre limité des personnes internes au ministère aura accès à l'application et que des profils d'habilitation sont prévus afin de gérer les accès aux données.
De plus, le responsable de traitement a mis en place une politique de mot de passe conforme aux bonnes pratiques actuelles, ceux-ci étant en effet composés de huit caractères minimum et comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Les mots de passe seront renouvelés au moins tous les six mois.
L'accès au téléservice est sécurisé au moyen du protocole HTTPS et l'hébergement des données s'effectuera dans les centres serveurs du ministère.
La commission rappelle que, compte tenu de ce que le dispositif envisagé est un téléservice de l'administration, il appartient au responsable de traitement d'attester de sa conformité au décret n° 2010-112 (référentiel général de sécurité) et de le mentionner sur le site.
De plus, concernant la sécurité des sites internet, la commission recommande de mettre en œuvre les recommandations techniques relatives à la sécurité des sites internet publiées par l'Agence nationale de la sécurité des systèmes d'information dans une note technique intitulée « recommandations pour la sécurisation des sites web ».
Enfin, la commission rappelle que la mise en place du téléservice « VTC » doit se faire en conformité avec l'article 32-II de la loi du 6 janvier 1978 modifiée et qu'en particulier :

- aucun cookie non-nécessaire au service ne doit être déposé sur l'ordinateur de l'utilisateur sans le consentement préalable de ce dernier ;
- il doit être indiqué aux utilisateurs comment s'opposer au dépôt de cookies tout en continuant à bénéficier du service ;
- les mentions d'information doivent être complètes et détailler les finalités associées aux différents cookies déposés.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis concernant un projet d'arrêté relatif à la création d'un téléservice de l'administration dénommé « VTC » ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu les articles L. 3122-1 et suivants et R. 3122-1 et suivants du code des transports ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Eric PERES, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,

Emet l'avis suivant :

La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'écologie, du développement durable et de l'énergie d'un projet d'arrêté portant création d'un téléservice de l'administration dénommé « VTC » (Voitures de Transport avec Chauffeur).

Ce traitement constituant un téléservice de l'administration électronique, au sens de l'article 27-II (4) de la loi du 6 janvier 1978 modifiée, il doit être autorisé par arrêté du ministre compétent pris après avis motivé et publié de la Commission.

Sur les finalités du traitement :

Le téléservice « VTC » est destiné au dépôt en ligne de la demande d'inscription des exploitants de voitures de transport avec chauffeur au registre visé par l'article L. 3122-3 du code des transports et de la déclaration des intermédiaires mettant en relation des exploitants de voitures de transport avec chauffeur et des clients, prévue à l'article L. 3122-5 de ce même code.

En effet, l'article 1er du projet d'arrêté précise que le traitement « VTC » a pour finalités :

« - l'inscription des exploitants de voitures de transport avec chauffeur au registre prévu à l'article L. 3122-3 du code des transports ;

« - le dépôt par les intermédiaires mettant en relation des exploitants de voitures de transport avec chauffeur et des clients de la déclaration prévue à l'article L. 3122-5 du code des transports ».

La commission prend note de ce qu'en application des articles R. 3122-1 et R. 3122-10 du code des transports, le recours au téléservice est obligatoire. Dès lors, la commission observe que l'effectivité de l'accès au téléservice « VTC » est susceptible de nécessiter une assistance et un accompagnement des usagers, notamment ceux ne disposant pas d'internet et/ou n'ayant pas les compétences requises pour s'en servir.

Par ailleurs, la commission prend acte de ce que les exploitants et intermédiaires accéderont au téléservice en créant leur propre compte via le portail d'authentification CERBERE du ministère de l'écologie, du développement durable et de l'énergie, lequel a fait l'objet d'une formalité préalable à sa mise en œuvre auprès de la commission (déclaration normale n° 1171110). L'authentification des usagers sur le portail CERBERE s'effectuera à partir d'un mot de passe régulièrement renouvelé et composé d'un minimum de huit caractères (avec au moins une majuscule, une minuscule, un chiffre et un caractère spécial). La commission considère que ces modalités d'accès n'appellent pas d'observation particulière.

Sous réserve des observations ci-dessus, la commission considère que les finalités poursuivies par la mise en place de ce téléservice sont déterminées, explicites et légitimes.

Sur les données traitées :

L'article 2 du projet d'arrêté prévoit le traitement des données suivantes :

Pour les exploitants :

- pour les personnes physiques : nom, prénom, date et lieu de naissance, numéro de téléphone, adresse électronique, profession et adresse du domicile et du lieu d'établissement, numéro SIREN ou SIRET ;

- Pour les personnes morales : nom, prénom et adresse de leurs représentants légaux, numéro de téléphone, adresse électronique, raison sociale, forme juridique, adresse du lieu d'établissement, numéro SIREN ou SIRET ;

- numéros et copies des certificats d'immatriculation des véhicules affectés à l'activité ;

- numéro et copies des cartes professionnelles des conducteurs ,

- copies des extraits K bis ;

- copies des justificatifs d'assurance responsabilité civile professionnelle ;

- justificatifs de garantie financière (garantie bancaire ou copies des contrats de location des véhicules).

Concernant les justificatifs de garantie financière, la commission prend acte de ce qu'ils sont demandés aux exploitants afin de vérifier le respect de l'article R. 3122-9 du code des transports.

Pour les intermédiaires :

- une preuve de l'identité et de la nationalité du prestataire ;

- la forme juridique de l'exploitant et, le cas échéant, le montant du capital social (copie des extraits K bis) ;

- l'adresse de son principal établissement ;

- une preuve de l'assurance couvrant sa responsabilité civile professionnelle (copies des justificatifs d'assurance responsabilité civile professionnelle) ;

- la liste des exploitants avec lesquels l'intermédiaire a été en relation contractuelle au cours de l'année, assortie de leurs numéros d'inscription ;

- le nombre total des vérifications effectuées en application de l'article L. 3122-6 du code des transports.

Concernant la preuve de la nationalité des intermédiaires, la commission prend note de que ces derniers doivent en justifier conformément à l'article R. 3122-10 du code des transports.

Par ailleurs, outre les données listées à l'article 2 du projet d'arrêté, la commission prend acte de ce que l'article 5 du projet d'arrêté prévoit la collecte des données suivantes : l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention dans le traitement. La commission relève que ces données de connexion ne figurent pas à l'article 2 du projet d'arrêté, qui pourrait dès lors être utilement complété sur ce point.

Sous réserve des observations ci-dessus, la commission considère que les données traitées sont pertinentes au regard de la finalité poursuivie.

Sur les destinataires :

L'article 4 du projet d'arrêté prévoit que :

« I. - 1. Sont destinataires des données mentionnées à l'article 2 se rapportant à leur demande les exploitants et les intermédiaires usagers du téléservice ;

2. Est destinataire d'une partie des données mentionnées aux 1° et 2° du I de l'article 2 le grand public.

II. - Peuvent accéder, à raisons de leurs attributions, à la totalité des données et informations mentionnées à l'article 2, les agents du ministère chargé des transports [les] gestionnaires du registre et les personnes habilitées par le ministre à exercer cette compétence pour son compte. »

Interrogé sur les modalités de la mise à disposition du grand public, le ministère de l'écologie, du développement durable et de l'énergie indique que cette mise à disposition résulte de l'article R. 3122-5 du code des transports, qui précise que les services désignés par le ministre chargé des transports « procèdent également à la publication, sur le site intemet des services déconcentrés chargés de la politique des transports en région, de la liste des exploitants qui y sont établis ainsi qu'à celle, sur le site internet du ministère des transports, de la liste de l'ensemble des exploitants inscrits ». En outre, le ministère indique que cette mise à disposition permettrait aux forces de l'ordre de vérifier l'inscription au registre d'un exploitant lors de contrôles sur la voie publique.

Le ministère de l'écologie, du développement durable et de l'énergie précise également que le grand public pourrait accéder sur le site internet du ministère et des directions régionales via des fonctions de recherche (par région, par numéro d'inscription, etc.) aux informations suivantes des exploitants inscrits au registre :

- numéro d'inscription ;

- forme juridique ;

- nom et prénom pour une personne physique ;

- dénomination, nom et prénom du principal représentant pour une personne morale ;

- adresse du lieu d'établissement.

Toutefois, la commission est réservée sur les modalités de cette mise à disposition du grand public et relève, d'une part, que la publication en ligne des données ci-dessus n'est pas expressément prévue par le législateur et, d'autre part, que l'article 4-I-2° du projet d'arrêté n'identifie pas précisément les données qui seraient mises à disposition du grand public.

Plus particulièrement, la commission relève le risque d'atteinte à la vie privée des exploitants de VTC que représenterait la diffusion au public de leurs coordonnées, et notamment de leur adresse, eu égard au contexte spécifique de concurrence entre la profession des VTC et la profession des taxis.

De même, la commission observe que, si la mise à disposition des données précitées vise à permettre aux forces de l'ordre de vérifier l'inscription au registre d'un exploitant lors de contrôles sur la voie publique, au regard de cette finalité, il apparaît excessif, au sens de l'article 6-3° de la loi du 6 janvier 1978 modifiée, de procéder à une mise à disposition du grand public.

Dès lors, dans un souci d'équilibre entre transparence et protection des données personnelles, la commission recommande de ne pas publier l'adresse des exploitants et de mettre en place des mesures empêchant l'indexation des données précitées par les moteurs de recherche.

Sous réserve de ces observations, la commission considère que les destinataires visés à l'article 4 du projet d'arrêté ont un intérêt légitime à accéder aux données du téléservice « VTC ».

Sur la durée de conservation des données :

La commission prend note de ce qu'en application de l'article 3 du projet d'arrêté

« 1. Pour les exploitants, la durée de conservation des données mentionnées à l'article 2 est de cinq ans renouvelable jusqu'à la radiation du registre de l'exploitant. Cette durée peut être prorogée, en cas de contentieux, de deux ans après radiation ou non-renouvellement.

2. Pour les intermédiaires, la déclaration étant renouvelable chaque année, les données sont conservées jusqu'à la cessation de l'activité des intermédiaires ».

A cet égard, la commission prend note de ce que les durées ci-dessus correspondent aux délais dans lesquels les inscriptions doivent être renouvelées, conformément aux articles L. 3122-3 et L 3122-5 du code des transports.

S'agissant des données des exploitants, la commission recommande que les données ne soient pas conservées en base active au-delà de cinq ans et fassent ensuite l'objet d'un archivage intermédiaire.

Par ailleurs, la commission prend acte de ce que les données de connexion mentionnées à l'article 5 du projet d'arrêté seront conservées pendant un an.

Ces durées de conservation n'appellent pas d'observations particulières de la commission.

Sur l'information et les droits d'accès, de rectification et d'opposition des personnes concernées :

La commission prend note de ce que les personnes concernées seront informées par voie d'affichage sur le site internet dédié.

De plus, l'article 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent auprès du gestionnaire du registre. A cet égard, la commission se félicite que le ministère de l'écologie, du développement durable et de l'énergie se soit engagé à ajouter dans le projet les coordonnées de la direction générale des infrastructures des transports et de la mer, auprès de laquelle les personnes concernées pourront exercer leurs droits d'accès et de rectification.

Par ailleurs, la commission prend note de ce que le projet d'arrêté écarte expressément l'application du droit d'opposition pour motif légitime prévu par l'article 38 de la loi du 6 janvier 1978 modifiée.

Les dispositions du projet d'arrêté relatives aux droits d'accès, de rectification et d'opposition pour motif légitime n'appellent pas d'observation de la part de la commission.

Sur la sécurité des données et la traçabilité des actions :

La commission relève qu'un nombre limité des personnes internes au ministère aura accès à l'application et que des profils d'habilitation sont prévus afin de gérer les accès aux données.

De plus, le responsable de traitement a mis en place une politique de mot de passe conforme aux bonnes pratiques actuelles, ceux-ci étant en effet composés de huit caractères minimum et comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Les mots de passe seront renouvelés au moins tous les six mois.

L'accès au téléservice est sécurisé au moyen du protocole HTTPS et l'hébergement des données s'effectuera dans les centres serveurs du ministère.

La commission rappelle que, compte tenu de ce que le dispositif envisagé est un téléservice de l'administration, il appartient au responsable de traitement d'attester de sa conformité au décret n° 2010-112 (référentiel général de sécurité) et de le mentionner sur le site.

De plus, concernant la sécurité des sites internet, la commission recommande de mettre en œuvre les recommandations techniques relatives à la sécurité des sites internet publiées par l'Agence nationale de la sécurité des systèmes d'information dans une note technique intitulée « recommandations pour la sécurisation des sites web ».

Enfin, la commission rappelle que la mise en place du téléservice « VTC » doit se faire en conformité avec l'article 32-II de la loi du 6 janvier 1978 modifiée et qu'en particulier :

- aucun cookie non-nécessaire au service ne doit être déposé sur l'ordinateur de l'utilisateur sans le consentement préalable de ce dernier ;

- il doit être indiqué aux utilisateurs comment s'opposer au dépôt de cookies tout en continuant à bénéficier du service ;

- les mentions d'information doivent être complètes et détailler les finalités associées aux différents cookies déposés.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.

La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.