Au Journal officiel, deux décrets pour donner le coup d’envoi de « Dites-le-nous une fois »
Fois de canard
Le 22 janvier 2019 à 13h30
9 min
Droit
Droit
Le gouvernement vient de publier deux décrets, attendus depuis plusieurs années, relatifs au programme « Dites-le-nous une fois ». L’enjeu : faire en sorte que les administrations se partagent certaines informations, de type revenu fiscal de référence ou justificatif d’identité.
« Enfin », diront certains. Censé être opérationnel depuis 2017, « Dites-le-nous une fois » reste aujourd’hui enlisé au stade des expérimentations – tout du moins pour les particuliers. Des dispositions avaient pourtant été introduites dans la loi Numérique de 2016, afin que le fameux programme, synonyme de simplification administrative, devienne réalité.
Après des mois de retards à répétition, l’exécutif a finalement publié au Journal officiel du dimanche 20 janvier deux décrets qui permettront à ce dispositif de prendre pleinement son envol.
Avis d'imposition, justificatif d'identité, quotient familial...
Comme son nom l’indique, le programme « Dites-le-nous une fois » a vocation à dispenser le citoyen de fournir à l’administration des pièces et informations que celle-ci a déjà en sa possession.
Le Code des relations entre le public et les administrations prévoit en ce sens des échanges de « données » et « informations » « strictement nécessaires pour traiter une demande » ou une « déclaration ».
Ainsi, lorsque ces éléments peuvent être obtenus « directement auprès d'une autre administration », et que le service gérant la démarche agit dans le cadre de ses missions légales, le « secret professionnel » ne peut faire barrage à ce partage.
Après avoir été dûment informé, l’usager est alors censé remplir une simple attestation sur l’honneur, certifiant de l’exactitude des informations fournies précédemment. « Cette attestation se substitue à la production de pièces justificatives », précise le même code.
Plusieurs décrets d’application étaient toutefois attendus pour préciser les procédures concernées, ou même les « critères de sécurité et de confidentialité » des échanges effectués dans le cadre de « Dites-le-nous une fois ».
En vertu des textes parus dimanche au Journal officiel, les personnes physiques ne seront plus tenues de produire :
- De « justificatif d'identité » (à condition que le téléservice fonctionne avec le dispositif d’authentification FranceConnect).
- Leurs avis d'imposition ou leurs « avis de situation déclarative à l'impôt sur le revenu », qui émanent de la Direction générale des finances publiques (DGFiP).
- Toute « attestation de droit aux prestations délivrées aux bénéficiaires par les organismes de sécurité sociale » (de type Allocations familiales, Assurance maladie...).
Ces échanges de données prévaudront pour de nombreux types de procédures, énumérées dans ce décret : « santé et solidarité, notamment aides sociales, handicap, perte d'autonomie, retraite, sécurité sociale et soins », « logement et urbanisme, notamment les procédures relatives à l'achat d'un bien et aux aides financières afférentes », « enseignement et études supérieures », « impôts, taxes et droits de douane », « transport, notamment cartes de transport et permis de conduire », etc.
Un échange de données via l’API Particulier
Assez peu de détails sont cependant fournis quant au fonctionnement technique de « Dites-le-nous une fois ». Le décret indique simplement que les administrations pourront aller solliciter les données « échangeables » auprès de la DGFiP, des « organismes de protection sociale » et de la Direction interministérielle au numérique (qui gère FranceConnect).
Ceux-ci devront alors mettre ces informations à disposition « sous forme électronique », soit « par le biais de traitements automatisés assurant la traçabilité des échanges », soit, « à défaut, par l'intermédiaire de la Direction interministérielle du numérique et des systèmes d'information et de communication de l'État ».
Selon la CNIL, « les dispositifs techniques d’échanges de données n’ont pas vocation à stocker les données échangées, qui sont supprimées sans délai à l’issue de leur transit ».
« Tout ça va reposer principalement sur l'API Particulier », nous explique Perica Sucevic, conseiller juridique au sein de la DINSIC. Le fameux programme permettait jusqu’ici à certaines administrations d’obtenir, après convention, des informations relatives aux avis d’imposition et aux quotients familiaux. Le numéro fiscal et le numéro d'avis d'imposition font alors figure d'identifiant permettant de retrouver les données de l'usager.
Des données de traçabilité conservées pendant trois ans
Afin d'assurer la sécurité et la confidentialité des données des usagers, les administrations devront se conformer au « référentiel général de sécurité » édicté par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Seuls les « agents habilités » pourront « accéder aux informations ainsi échangées », précise le décret. Un système de suivi des échanges est néanmoins prévu : des « fonctions d'identification de l'administration demanderesse, d'horodatage, de confidentialité et d'intégrité des informations échangées » sont obligatoires.
« L'usager pourra voir qui a demandé quoi, à quelle administration » explique Perica Sucevic.
Aux termes du décret, les « données relatives à la traçabilité des échanges » seront d’ailleurs conservées pendant une durée de trois ans. Un délai qui a paru anormalement long à la CNIL. « Sauf à justifier de particularités ou de dispositions légales expresses, la durée de conservation des traces en base active est fixée, par principe, à six mois. Cette durée est suffisante pour permettre d’identifier a posteriori un accès frauduleux à des données personnelles, une utilisation abusive de telles données ou de déterminer l’origine d’un incident technique dans le dispositif d’échange », explique-t-elle dans son avis (sur ce qui n'était qu'un projet de décret) transmis le mois dernier au gouvernement.
L’exécutif n’a cependant pas souhaité revoir sa copie.
La CNIL a également prévenu que « les administrations ne pourront procéder aux échanges d’information qu’après avoir recueilli le consentement des personnes », « qui doivent à ce titre disposer d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou encore de la possibilité de les refuser sans subir de préjudice ».
Le consentement est « induit par la procédure », soutient toutefois Perica Sucevic. Et pour cause : l’usager aura la possibilité de fournir par d’autres moyens les informations et données nécessaires au traitement de sa demande. Les pouvoirs publics ont par ailleurs estimé qu’aucun consentement exprès n’était requis, le RGPD prévoyant des exceptions pour les traitements nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
Vers un déploiement progressif
Mais doit-on pour autant s’attendre à un chamboulement immédiat ? « Ce n'est pas parce qu'on a l'outil que tout le monde s'y connecte », confie un bon connaisseur du dossier, qui laisse entendre que ce mouvement risque d’être relativement long à enclencher. « Il faudra voir à quelle vitesse les administrations vont pouvoir non seulement se connecter aux données, mais en plus les déployer à l'intérieur des démarches administratives pour lesquelles ces données sont nécessaires – ce qui va forcément demander du travail au niveau des applications de gestion. »
Les administrations peuvent d’ailleurs refuser de faire marcher le « Dites-le-nous une fois » si les données et informations ne peuvent être obtenues auprès d’un autre service « en raison de leur nature ou d'une impossibilité technique ». Un champ relativement vaste.
« Il sera compliqué de justifier que techniquement, l’administration n'est pas en mesure d’utiliser l’API, mis à part peut-être pour les petites collectivités » temporise Perica Sucevic. « Pour les administrations d'au moins 50 agents ou les communes de plus de 3 500 habitants, on est en mesure aujourd'hui de mettre en place des dispositifs techniques pour se brancher à l'API (soit directement, soit par l'intermédiaire d'un prestataire). »
De son côté, la CNIL a demandé à ce que « les modalités pratiques présidant aux échanges d’informations » soient « détaillées dans des documents annexes tels qu’une circulaire d’application ou un guide spécifique ».
« Dites-le-nous une fois » pour les entreprises et associations
Les décrets publiés dimanche au Journal officiel prévoient également un échange de données au profit des entreprises et organismes à but non lucratif, de type associations. Ceux-ci ne seront plus tenus de produire, dans le cadre des procédures de marchés publics et de demandes d’aides publiques :
- L'attestation de régularité fiscale émanant de la DGFiP
- Les déclarations de résultats soumis aux bénéfices industriels et commerciaux
- Les déclarations de bénéfices non commerciaux
- Les déclarations de résultats soumis aux bénéfices agricoles
- Les déclarations de résultats soumis à l'impôt sur les sociétés
- L'extrait d'immatriculation au registre du commerce et des sociétés et les statuts de la personne morale
- Les attestations de régularité sociale et de vigilance délivrées par les organismes chargés du recouvrement des cotisations sociales
- La carte professionnelle d'entrepreneur de travaux publics délivrée par la fédération nationale des travaux publics
- Le certificat attestant la régularité de la situation de l'employeur au regard de l'obligation d'emploi des travailleurs handicapés
Le gouvernement est enfin venu fixer les modalités de l’expérimentation programmée par la récente loi sur le « droit à l’erreur », afin que les sociétés volontaires puissent réaliser différentes démarches administratives à partir de leur seul numéro de SIREN, dans le prolongement de ce qui existe déjà grâce à l’API Entreprises (utilisée notamment pour « Marchés publics simplifiés », dans le cadre de Dites-le-nous une fois).
Toutes les entreprises dont le domicile ou le siège est situé en Bourgogne-Franche-Comté, en Bretagne ou en Occitanie sont concernées. Pendant trois ans, elles pourront profiter de ces facilités auprès des collectivités territoriales de plus de 3 500 habitants et les administrations d’au moins 50 agents ou salariés, pour toutes les procédures applicables notamment aux « établissements recevant du public » et aux « installations classées pour la protection de l'environnement ».
Au Journal officiel, deux décrets pour donner le coup d’envoi de « Dites-le-nous une fois »
-
Avis d'imposition, justificatif d'identité, quotient familial...
-
Un échange de données via l’API Particulier
-
Des données de traçabilité conservées pendant trois ans
-
Vers un déploiement progressif
-
« Dites-le-nous une fois » pour les entreprises et associations
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/01/2019 à 13h40
Ca va étonner beaucoup, mais une des rares bonnes idées de ce gouvernement que j’approuve XD. Clairement c’est un gros plus … et le principe de ne pas faire un méga gros fichier mais plutôt fluidifier en mode service l’échange de données ? bah c’est une bonne nouvelle
Le 22/01/2019 à 14h09
Le 22/01/2019 à 19h01
En même temps, l’idée a surtout été cultivée par le gouvernement précédent.
Le 22/01/2019 à 19h04
À noter que la DINSIC vient de rejoindre le consortium européen TOOP (Tell Only Once Principle) afin d’expérimenter un “Dites le nous une fois” au niveau européen. L’expérimentation porte en premier lieu sur les données des entreprises, mais le consortium ne limite pas sa portée pour ses travaux futurs.
C’est très lié à la Single Digital Gateway Resolution et au programme d’innovation Horizon2020.
http://toop.eu
http://wiki.ds.unipi.gr/display/TOOP/
Le 23/01/2019 à 13h46
Ça explique qu’elle soit plutôt bonne. Reste à voir concrètement qui va massacrer le boulot.