La Commission nationale de l'informatique et des libertés,
Saisie par le secrétariat général pour la modernisation de l'action publique, pour le compte du Premier ministre, d'une demande d'avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé FranceConnect ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-II-4 et 27-II-1 ;
Vu la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations, notamment son article 16 A ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment ses articles 9 et suivants ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le dossier de saisine et ses compléments ;
Après avoir entendu M. Philippe GOSSELIN et M. Maurice RONAI, commissaires, en leur rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le secrétariat général pour la modernisation de l'action publique (SGMAP), pour le compte du Premier ministre, d'une demande d'avis sur un projet d'arrêté portant création, par la direction interministérielle des systèmes d'information et de communication (DISIC), d'un traitement de données nécessaire à la mise en œuvre du téléservice FranceConnect .
Ce dispositif vise à mettre à disposition des usagers de l'administration, via un mécanisme unique d'authentification, des téléservices de l'administration électronique. Dans la mesure où le traitement projeté comporte un identifiant des personnes physiques, il relève des dispositions de l'article 27-II-4 de la loi du 6 janvier 1978 modifiée. Ce traitement, mis en œuvre par l'Etat, requiert en outre une consultation du répertoire national d'identification des personnes physiques (RNIPP), sans inclure le numéro d'inscription à ce répertoire, et relève à ce titre des dispositions du 1° du Il du même article. Conformément auxdites dispositions, sa mise en œuvre doit dès lors être autorisée par arrêté ministériel pris après avis motivé et publié de la commission.
Ce projet d'arrêté a en outre vocation à constituer un acte réglementaire unique au sens de l'article 27-II-1 de la même loi, permettant aux partenaires de FranceConnect d'accomplir leur formalité de manière simplifiée, par le biais de l'envoi à la commission d'un engagement de conformité au cadre ainsi prévu.
Sur les finalités du traitement :
Aux termes de l'article 2 du projet d'arrêté, le traitement poursuit trois finalités :
- simplifier les démarches et formalités administratives effectuées par l'administré et en assurer la traçabilité et le suivi ;
- sécuriser les mécanismes d'échanges de données entre autorités administratives prévus par l'article 16 A de la loi du 12 avril 2000 susvisée ;
- s'acquitter des obligations prévues par le règlement du 23 juillet 2014 susvisé en matière de schémas d'identification électronique.
Concrètement, FranceConnect vise à proposer un mécanisme permettant à l'usager de s'identifier et de s'authentifier auprès de fournisseurs de services (à ce stade, uniquement des téléservices de l'administration). Afin de faciliter cette identification, le dispositif s'appuie sur des fournisseurs d'identité qui garantissent l'identification électronique de la personne concernée. Tout fournisseur de services n'est pas nécessairement un fournisseur d'identité, et réciproquement.
En pratique, le dispositif FranceConnect repose sur une fédération d'identités, qui permet de mettre en œuvre un mécanisme de liaison entre les identités d'un utilisateur dans différents systèmes d'information.
Ainsi, un usager qui souhaite utiliser un téléservice peut choisir de se connecter à ce fournisseur de service via le dispositif, en cliquant sur le bouton FranceConnect.
Le dispositif propose alors à l'usager une liste de fournisseurs d'identité et le redirige vers celui de son choix, auprès duquel l'usager s'authentifie en utilisant les moyens d'authentification qu'il possède déjà pour son compte. Le fournisseur d'identité communique en retour à FranceConnect des éléments d'identité obligatoires ( identité pivot composée des nom, prénom(s), genre, date et lieu de naissance) ainsi que, le cas échéant, des données facultatives supplémentaires requises par le fournisseur de service.
Cette identité pivot est ensuite systématiquement certifiée par FranceConnect au regard du RNIPP, auquel ne peut accéder aucun fournisseur d'identité dans le cadre du présent dispositif. Une fois cette certification effectuée, FranceConnect calcule un alias technique avec ces données d'identité. Cet alias technique est propre à chaque usager, régénéré à chaque connexion, et connu uniquement de FranceConnect.
Cet alias permet enfin de générer la clé de fédération, qui correspond à l'identifiant de l'usager pour le fournisseur de service initialement requis ou de retrouver une telle clé si elle existe déjà. Cette clé permet l'accès audit service, auquel l'usager peut dès lors directement accéder.
Ce mécanisme permet ainsi à l'usager d'utiliser des téléservices différents sans avoir à s'identifier à nouveau auprès de chacun d'eux et s'inscrit ainsi dans le cadre d'une logique de guichet unique de nature à rationaliser les accès aux services publics.
La deuxième finalité poursuivie par le traitement concerne les échanges d'informations entre administrations. Lorsqu'un utilisateur est identifié par FranceConnect auprès de plusieurs autorités administratives, le dispositif permet la mise en relation d'autorités souhaitant procéder aux échanges d'informations prévus par la loi du 12 avril 2000 susvisée, avec le consentement de l'usager concerné.
S'agissant de la troisième finalité, FranceConnect vise à constituer le dispositif national permettant d'assurer l'interopérabilité technique des schémas d'identification électronique au sein de l'Union européenne, ce qui a pour objectif de permettre l'accès des ressortissants nationaux aux services en ligne transfrontaliers ou européens.
La commission considère que ce traitement est dès lors de nature à simplifier les démarches administratives et à améliorer les relations entre les usagers et l'administration. A ce titre, elle estime que les finalités poursuivies sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Néanmoins, la commission a toujours considéré que les traitements mis en œuvre à de telles fins devaient être limités aux données strictement nécessaires à l'accomplissement des démarches administratives et, en particulier, que l'accès à une information générale qui peut être mise à disposition de tout internaute ne doit pas être subordonnée à une authentification d'un usager. Elle estime de même que le développement de l'administration électronique ne passe pas nécessairement et ne doit pas conduire à la création d'un identifiant unique des administrés, au plan local comme au plan national, et que les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de certaines démarches administratives, et tout particulièrement aux fins d'alimenter d'autres fichiers ou de constituer un fichier de population. Enfin, la mise en œuvre de traitements de données aux fins de simplification des démarches administratives et d'amélioration des relations entre les usagers et l'administration doit s'accompagner de mesures de sécurité appropriées et garantir le respect des droits des personnes prévus par la loi Informatique et Libertés .
C'est dès lors à l'aune de ces éléments que les conditions précises de mise en œuvre du dispositif France Connect , dont les objectifs de simplification et de modernisation sont accompagnés par la commission, doivent être appréciées.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté précise les catégories de données à caractère personnel enregistrées dans les traitements, en distinguant celles nécessaires pour la gestion de l'identification et celles relatives à la gestion de la traçabilité des accès.
En premier lieu, seront traitées par le dispositif FranceConnect les données constituant l'identité pivot précitée, composée des nom de famille, prénom, sexe, date et lieu de naissance. Ces données sont utilisées aux fins de certification au regard du RNIPP et de création d'un alias technique unique.
La création et l'utilisation de cet alias sont assorties de plusieurs garanties : il est non signifiant, propre à chaque usager, regénéré à chaque connexion après certification au regard du RNIPP, haché et inconnu tant des fournisseurs de services ou d'identité que de la personne concernée.
Il ne permet pas de retrouver directement l'identité des personnes concernées, dans la mesure où il est obtenu par le hachage irréversible des données d'identité et non, comme l'indique le projet d'arrêté, par son chiffrement .
Le mécanisme de hachage est mis en œuvre conformément au référentiel général de sécurité.
Cet alias est traité à la seule fin de mettre en œuvre le mécanisme de liaison d'identités. Ainsi, seule la DISIC qui met en œuvre le dispositif FranceConnect est habilitée à le traiter pour assurer cette mise en relation.
La commission relève que cet alias a une portée strictement technique et ne constitue pas un identifiant unique à la disposition de l'utilisateur ou des administrations qui fournissent des services. Toutefois, afin d'éviter qu'un tel alias devienne de fait un identifiant unique, la commission demande que le projet d'arrêté prévoie expressément que cet alias ne puisse être utilisé à d'autres fins que celles pour lesquelles l'usager recourt à FranceConnect ni être diffusé à un tiers, notamment aux fournisseurs de services ou d'identité. Le responsable de traitement devrait en outre mettre en œuvre des mesures de sécurité, organisationnelle et logique, de nature à garantir tout détournement de finalité et prévoir une fonction de suppression de l'intégralité des informations de la base.
Par ailleurs, l'article 3 du projet d'arrêté prévoit que des données d'identification peuvent être collectées et enregistrées à titre facultatif dans le traitement, au choix de l'usager et en fonction des données requises pour l'authentification du fournisseur de service. Il s'agit des noms d'usage ainsi que des coordonnées postales, de téléphonie fixe, de téléphonie mobile et de messagerie électronique.
En ce qui concerne les données traitées pour la gestion de la traçabilité des accès listées à l'article 3-2° du projet d'arrêté, la commission relève tout d'abord que certaines données traitées à ce titre ne sont pas mentionnées. En particulier, l'adresse IP de l'internaute, les dates et heures de connexion des utilisateurs du système FranceConnect ainsi que les traces des consentements recueillis auprès des utilisateurs, s'agissant des échanges d'informations entre autorités administratives, ne sont pas mentionnées dans le projet d'arrêté, qui serait dès lors utilement complété sur ce point.
Au titre des données traitées pour la gestion de la traçabilité des accès figure en outre la clé de fédération générée par le système FranceConnect et qui constitue l'identifiant spécifique de l'usager pour chaque téléservice. La commission rappelle que seule cette clé est adressée aux fournisseurs de service, et non l'alias technique unique susmentionné. Ce mode de fonctionnement du dispositif permet dès lors de ne pas partager entre les différents partenaires cet alias et de disposer d'identifiants distincts pour chacun des téléservices, ce qui est de nature à garantir la pertinence du dispositif.
Néanmoins, elle relève que, dans le cas particulier de portail unique d'accès à l'ensemble des téléservices d'une même autorité administrative, une diversification de la clé de fédération FranceConnect en fonction des secteurs pourrait être nécessaire, par exemple dans les conditions prévues par l'arrêté du 4 juillet 2013 autorisant la mise en œuvre par les collectivités territoriales, les établissements publics de coopération intercommunale, les syndicats mixtes, les établissements publics locaux qui leur sont rattachés ainsi que les groupements d'intérêt public et les sociétés publiques locales dont ils sont membres de traitements automatisés de données à caractère personnel ayant pour objet la mise à disposition des usagers d'un ou de plusieurs téléservices de l'administration électronique, afin de se prémunir contre la génération d'un identifiant unique au plan local. La commission demande dès lors que des mesures soient prévues en ce sens.
En tout état de cause, la commission relève que ces clés de fédération, de même que l'alias technique unique, ne constituent pas des données de gestion de la trnçabilité des accès, mais des données à caractère personnel permettant la gestion de l'identité des usagers par le dispositif. Elle estime dès lors que l'article 3 du projet d'arrêté devrait être modifié sur ce point.
S'agissant des usagers professionnels, la commission rappelle que l'utilisation du dispositif FranceConnect peut nécessiter le traitement de données à caractère personnel, en particulier en ce qui concerne les entrepreneurs individuels ou les représentants des structures professionnelles. A cet égard, elle relève que l'arrêté ne précise pas de manière explicite les données traitées dans ce cadre. Ainsi, il n'est pas précisé les cas dans lesquels la collecte du SIREN et du SIRET est alternative ou cumulative ni l'utilisation d'un référentiel aux fins de certification des données collectées. La commission demande dès lors que le projet d'arrêté soit complété sur ces points.
Enfin, la commission prend acte que ne seront pas traitées par le dispositif FranceConnect les données susceptibles d'être échangées entre les autorités administratives en application de l'article 16 A de la loi du 12 avril 2000 susvisée, dans la mesure où le mécanisme FranceConnect n'assure alors qu'un rôle de mise en relation entre ces autorités administratives dans les conditions susmentionnées. Elle estime que cette garantie serait utilement mentionnée dans le projet d'arrêté.
Sur la durée de conservation des données :
L'article 6 du projet d'arrêté distingue trois types de durées de conservation.
S'agissant des données relatives à la gestion de l'identification, la durée de conservation est conditionnée par la durée de session de l'internaute. Ainsi, en cas de déconnexion ou d'expiration de la session de FranceConnect, l'internaute se reconnecte à l'aide de ses identifiant et authentifiant.
En ce qui concerne les données de traçabilité, il est prévu une durée de trente-six mois à compter de la dernière session, le SGMAP ayant indiqué qu'il s'agit de la durée de prescription généralement admise en matière administrative . La commission rappelle à cet égard que, sauf à justifier de particularités ou de dispositions légales expresses, la durée de conservation des traces est fixée, par principe, à six mois.
En revanche, dans la mesure où les clés de fédération et l'alias technique unique ne constituent pas des données de traçabilitê, il est possible de les conserver au-delà de cette durée de six mois, par exemple pendant trois ans.
Sur les destinataires des données :
L'article 4 du projet d'arrêté prévoit que seules les autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire sont destinataires des informations enregistrées dans FranceConnect. Il prévoit également que l'INSEE est rendu destinataire des données obligatoirement collectées pour l'identité pivot à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle même .
La commission demande que l'article 4 soit modifié pour exclure explicitement des données concernées l'alias technique, que seul FranceConnect peut détenir. Elle prend acte que seules les autorités administratives et les autorités participant au service public du changement d'adresse seront destinataires des données enregistrées dans le traitement, à l'exclusion de tout organisme privé. Néanmoins, elle relève que l'architecture retenue pour le dispositif ne permet pas, en l'état, de s'assurer que ces autorités n'accèdent qu'aux seules données nécessaires à l'exercice de leurs missions.
En effet, la commission relève que les fournisseurs de services seront automatiquement rendus destinataires des données obligatoires composant l'identité pivot des usagers, alors même que certains téléservices peuvent ne pas nécessiter la collecte de l'ensemble de ces données. Or, elle rappelle que tout mécanisme d'authentification ou d'identification doit limiter le traitement de données aux seules données nécessaires.
La commission demande dès lors à la DISIC de mettre à disposition de ces entités un processus de simple authentification (c'est-à-dire confirmant uniquement le lien entre l'utilisateur et son identifiant de service) et de mettre en œuvre des mécanismes permettant à un téléservice de ne recevoir qu'un sous-ensemble de données d'identité en fonction des besoins du traitement considéré. Elle rappelle que ces mesures sont nécessaires, du point de vue du responsable du traitement FranceConnect, pour se conformer aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle relève en outre que ces mesures permettront aux autorités administratives destinataires de ces informations de ne traiter que les données pertinentes, adéquates et non excessives, au regard des finalités de chaque traitement en cause, conformément à l'article 6-3° de la même loi.
En outre, la commission relève que certaines de ces autorités ne sont pas, en l'état actuel du droit, autorisées à consulter le RNIPP et relève que le dispositif FranceConnect aura néanmoins pour effet de les rendre directement destinataires de données certifiées ou corrigées au vu de ce répertoire.
Sur les droits des personnes concernées :
Le respect des droits prévus par la loi du 6 janvier 1978 modifiée constitue un impératif essentiel dans le cadre du traitement FranceConnect et, plus généralement, dans le cadre des traitements mis en œuvre aux fins d'administration électronique.
A cet égard, la commission prend acte de la garantie, rappelée à l'article 2 du projet d'arrêté, selon laquelle l'utilisation du dispositif est facultative pour les usagers.
Elle rappelle dès lors que, sauf lorsque des dispositions légales en disposent expressément autrement, les autorités administratives partenaires du dispositif FranceConnect doivent assurer le maintien d'une procédure alternative au téléservice et que cette procédure doit alors permettre l'accès, dans des conditions analogues, à la même prestation de service public. La commission demande dès lors à la DISIC de s'assurer de cette condition avant d'accepter toute adhésion au dispositif.
Elle relève en outre que, dans la mesure où le dispositif FranceConnect constituera le nœud de connexion au sens du règlement susvisé du 23 juillet 2014, son utilisation sera rendue obligatoire pour les personnes résidant en France en matière d'identification et d'authentification électroniques auprès d'un autre Etat membre. Elle demande dès lors que ce caractère obligatoire dans le cadre des échanges européens soit mentionné dans le projet d'arrêté.
En ce qui concerne le consentement de l'usager à l'égard du traitement de ses données, la commission rappelle en outre que les échanges de données prévus par l'article 16 A de la loi OCRA doivent rester sous son contrôle. Elle demande dès lors que l'arrêté prévoit expressément que des informations ne peuvent être échangées qu'après avoir recueilli le consentement exprès et non équivoque de l'usager, à l'instar de ce que prévoit l'arrêté du 4 juillet 2013 précité s'agissant des téléservices locaux.
S'agissant de l'information des personnes concernées par le dispositif FranceConnect, la commission prend acte que des mentions conformes à l'article 32 de la loi du 6 janvier 1978 modifiée sont prévues par le SGMAP. Elle rappelle néanmoins l'importance de la qualité de l'information qui doit être relayée par celui-ci auprès de ses partenaires et estime dès lors que des mentions-type d'information, rédigées en des termes complets et pédagogiques, soient élaborées et proposées aux fournisseurs de service, qui devront les rendre facilement accessibles pour l'administré.
L'article 7 du projet d'arrêté prévoit que les droits d'accès, de rectification et de suppression s'exercent dans les conditions prévues par les articles 39 et suivants de la loi Informatique et Libertés . La commission prend acte que, à sa demande, ces droits pourront également s'exercer par voie électronique.
Elle prend en outre acte qu'aucune disposition du projet d'arrêté ne prévoit d'exclure le droit d'opposition des personnes au traitement de leurs données. Au-delà du caractère facultatif de l'utilisation du dispositif FranceConnect, la commission rappelle dès lors que la DJSIC devra donner suite aux demandes d'opposition exercées pour motifs légitimes par les personnes concernées.
Sur la sécurité des données et la traçabilité des actions :
Le projet d'arrêté n'évoque aucune mesure de sécurité, organisationnelle ou logique.
L'étude des risques effectuée par le SGMAP prend en compte les menaces sur le système pouvant avoir un impact sur le dispositif (interruption de service, perte d'image, perturbation de fonctionnement de tiers, infraction aux lois, aux règlements, perte de clientèles ou de fournisseurs, crise gouvernementale) ou présenter une atteinte à la vie privée des usagers.
A l'issue de cette étude menée en application de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, des mesures ont été décidées et un plan d'action prévu. Le SGMAP indique que la couverture des risques a été vérifiée. Enfin, le code source a fait l'objet d'audits et le système a fait l'objet de tests d'intrusion pour en vérifier la solidité.
Toutefois, l'étude portée à la connaissance de la commission ne prend pas en compte les risques que le système, sur l'ensemble du périmètre décrit par le projet d'arrêté, fait porter sur la vie privée des usagers.
La commission regrette que le SGMAP n'ait pas conduit d'étude d'impact sur la vie privée (EIVP ou Privacy Impact Assessment - PIA en anglais) pour se conformer à l'obligation de sécurité prévue par l'article 34 de la loi Informatique et Libertés , d'autant plus que cette approche méthodologique est exigée des collectivités territoriales dans le cadre de l'arrêté précité du 4 juillet 2013.
En effet, la fédération des fournisseurs d'identité et de services que propose FranceConnect va donner lieu à une centralisation des risques sur chaque personne concernée. En particulier, en cas d'usurpation d'identité auprès d'un fournisseur d'identité, le risque d'accès aux autres services, via la facilité offerte par FranceConnect, est démultiplié.
A cet égard, le SGMAP a indiqué des pistes pour réduire ce risque dans le cas où la victime potentielle aurait déjà utilisé FranceConnect. Il propose, entre autres mesures, que l'administré puisse, à terme : être prévenu des connexions à son compte FranceConnect par courriel ou par SMS directement par FranceConnect ; ajouter des facteurs d'authentification ; signaler un vol, une perte d'identifiants ou supprimer/interdire un fournisseur d'identité.
La commission souligne l'importance de mettre en œuvre ces mesures, de nature à assurer la conformité à l'article 34 de la loi du 6 janvier 1978 modifiée, en renforçant notamment celles concernant les personnes qui n'ont encore jamais utilisé FranceConnect. A titre d'illustration, il peut s'agir d'exiger du fournisseur d'identité, agissant comme tel pour la première fois, d'informer la personne concernée de ce point par la voie de communication utilisée pour leur relation habituelle.
Il convient également, pour assurer la sécurité du dispositif dans sa globalité, que les responsables des différents téléservices se conforment à l'obligation de réalisation préalable d'une étude d'impact sur la vie privée. Chaque téléservice étant spécifique, cette étude permettra ainsi de déterminer les mesures adéquates pour traiter ces risques de manière proportionnée, notamment quant au degré d'authentification, y compris les risques inhérents à la fédération d'identités proposée par le dispositif FranceConnect.
La commission rappelle que cette étude d'impact devra être communiquée sur demande. Les mesures de sécurité mises en œuvre et leur amélioration continue doivent être vérifiables, l'ensemble de ces documents devant être tenu à disposition lors de contrôle.
Elle rappelle également que des mesures de sécurité complémentaires doivent être mises en œuvre en cas de traitement de données sensibles au sens des articles 8, 9 et 25-1-7° de la loi du 6 janvier 1978 modifiée.
Enfin, la commission souhaite disposer d'une évaluation du dispositif un an après son ouverture au public.