Le gouvernement vient de publier l’arrêté autorisant la mise en œuvre du dispositif « France Connect », développé depuis l’année dernière sous l’égide de la Direction interministérielle des systèmes d’information de l’État (DISIC). En passe d’être expérimentée, cette solution devrait permettre au citoyen de se connecter à partir de 2016 sur les principaux sites publics – impôts, CAF, Sécurité sociale... – grâce à un seul jeu d'identifiants.
Qui n’a jamais été agacé de devoir avoir un identifiant et un mot de passe pour chaque service en ligne, et notamment pour ceux proposés par l’administration française ? Les choses pourraient cependant être bien plus simples dans un avenir proche. Les pouvoirs publics travaillent en effet depuis plusieurs mois à la mise en place d’un dispositif qui permettra à terme de fédérer plusieurs comptes de son choix : France Connect.
Lorsqu’un internaute souhaitera se connecter à un site adhérant à ce programme (celui de la CAF par exemple), un bouton lui proposera de s’identifier à partir des codes lui ayant été fournis par un autre participant à France Connect, comme les impôts. L’avantage ? Il sera ainsi suffisant de connaître un seul sésame pour accéder à l’ensemble de ses comptes.
Le dispositif ne se limite par ailleurs pas à de l’authentification numérique, puisqu’il est couplé à un autre projet : « Dites-le nous une fois ». L’usager pourra aussi choisir de faire profiter une administration d’informations ayant déjà été fournies à une autre organisme public (RIB, extrait Kbis...).
Des données personnelles automatiquement croisées avec les fichiers de l’INSEE
Avant de mettre ce nouveau service en musique, les autorités ont dû acter sa création par un arrêté publié ce matin au Journal officiel. Celui-ci indique que France Connect « repose sur une fédération d'identités », et que son utilisation sera bien entendue « facultative » pour les internautes.
Il précise surtout les données à caractère personnel qui seront stockées par ce nouveau téléservice : nom, sexe, date de naissance, éventuel numéro de SIRET pour les entreprises, mais aussi – et surtout – « les clés de fédération ou « alias » générés par le système à la connexion de l'usager ». Toutes ces informations seront ensuite accessibles aux « autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire ». L'INSEE en sera également destinataire « pour consultation du répertoire national d'identification des personnes physiques, à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle-même ».
Ces dispositions ont cependant fait tiquer la Commission nationale de l’informatique et des libertés (CNIL). « Les fournisseurs de services seront automatiquement rendus destinataires des données obligatoires composant l'identité pivot des usagers, alors même que certains téléservices peuvent ne pas nécessiter la collecte de l'ensemble de ces données » s’inquiète l’institution dans un avis afférent à cet arrêté. La gardienne des données personnelles a ainsi prévenu le gouvernement dès la mi-juillet que « tout mécanisme d'authentification ou d'identification doit limiter le traitement de données aux seules données nécessaires ».
La Commission a dès lors explicitement demandé à la DISIC de faire évoluer son dispositif, de telle sorte que les organismes destinataires des données de France Connect ne reçoivent « qu'un sous-ensemble de données d'identité en fonction des besoins du traitement considéré ». Cette évolution conditionne même selon la CNIL la conformité de la solution à la loi Informatique et Libertés. Il est cependant impossible en l’état de savoir si cette recommandation sera suivie par les développeurs du programme.
L’appel à la prudence de la CNIL
Si la CNIL se montre globalement favorable à la mise en œuvre de France Connect, elle en appelle néanmoins à la plus grande prudence. « Le développement de l'administration électronique ne passe pas nécessairement et ne doit pas conduire à la création d'un identifiant unique des administrés, au plan local comme au plan national » souligne ainsi l’institution. Avant de prévenir : « Les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de certaines démarches administratives, et tout particulièrement aux fins d'alimenter d'autres fichiers ou de constituer un fichier de population. »
Certains se souviendront d’ailleurs que la CNIL a vu le jour au milieu des années 70, justement parce que le gouvernement prévoyait de mettre sur pied un fichier (dénommé SAFARI) rassemblant les informations nominatives détenues sur les citoyens par les différentes administrations... (voir notre émission 14h42 avec Louis Joinet).
La Commission rappelle enfin que la mise en œuvre de France Connect « doit s'accompagner de mesures de sécurité appropriées ». L’institution a en ce sens salué les précisions introduites dans l’arrêté concernant le chiffrement des alias, qui devront faire l’objet d’un « hachage irréversible ». Si la copie du gouvernement prévoit en outre que chaque adhérant au dispositif doive préalablement effectuer une déclaration de conformité auprès de la CNIL, cette dernière conclut son avis en demandant à recevoir une évaluation du dispositif un an après son ouverture au public.
Le lancement officiel de France Connect n’est cependant pas prévu pour avant 2016. Des expérimentations doivent être menées dès cette année auprès d’institutions volontaires, à l’image de la Direction générale des finances publiques (DGFiP) et de la CAF. Aujourd’hui pensé pour des acteurs publics, le dispositif a toutefois été conçu pour fonctionner également avec des opérateurs privés. La Poste fait ainsi partie des entreprises intéressées pour disposer elles aussi du bouton France Connect. Quant à la connexion avec le programme « Dites-le nous une fois », l'ordonnance ayant autorisé ce partage d'information entre administrations ne devrait pas entrer en vigueur avant 2017 (voir notre article).