Identité numérique : la CNIL approuve le successeur d’ALICEM

Qualifié d' « aboutissement d’échanges nourris avec le ministère » de l'Intérieur, la CNIL « accueille très favorablement » le nouveau « Service de garantie de l’identité numérique » (SGIN), qui fait suite à l'application mobile ALICEM de reconnaissance faciale biométrique ainsi qu'au « fichier des gens honnêtes ». 

Le Premier ministre, faisant suite à un rapport du ministère de l'Intérieur, vient (enfin) de publier le décret autorisant la création d’un moyen d’identification électronique dénommé « Service de garantie de l’identité numérique » (SGIN) et abrogeant celui portant création du décrié projet ALICEM d' « Authentification en ligne certifiée sur mobile ».

• Identité numérique : Alicem a le seum

L'objectif est de permettre aux titulaires d'une carte nationale d’identité électronique (CNIe) qui, rappelons-le, est proposée depuis le 2 août 2021, en dépit de l'avis critique de la CNIL, de bénéficier d’un moyen d'identification électronique pour s'authentifier sur un service en ligne, public ou privé.

La CNIL déplorait en effet que le méga-fichier TES des « gens honnêtes », adossé à la CNIe biométrique, soit interconnecté avec d'autres fichiers français et paneuropéens. Elle s'étonnait en outre que les données soient conservées 15 ans, alors que la durée de vie de la CNIe est désormais réduite à 10 ans.

• La CNIL retoque (encore) le méga-fichier biométrique des « gens honnêtes »

Le décret autorise en l'espèce la création d'un traitement de données à caractère personnel qui permettra aux détenteurs d'un téléphone portable doté d'un dispositif de lecture sans contact d'utiliser une application mobile « visant à permettre une identification et une authentification électroniques » : 

« A cet effet, le décret autorise le traitement à lire les données enregistrées dans le composant électronique des cartes nationales d'identité, à l'exception de l'image numérisée des empreintes digitales. »

Le décret précise que « la création du moyen d'identification électronique et son utilisation relèvent de l'unique volonté des usagers », et donc qu'il ne sera pas obligatoire. 

Il pourra être utilisé par les usagers pour l'accès à des services en ligne « proposés par des fournisseurs liés par convention à FranceConnect, des fournisseurs liés par convention aux responsables du traitement ».

Étrangement, les deux avis de la CNIL mentionnés dans le décret n'ont pas été publiés au JO, ce qui arrive hélas régulièrement. Contactée, la CNIL nous a fait savoir que l'on pouvait les consulter via les mentions légales de france-identite.gouv.fr, le site du programme interministériel d'identité numérique porté par les ministères de l’Intérieur, de la Justice, de la Transformation et de la Fonction publiques et du secrétariat d’État au numérique.

Lutter contre l'illectronisme, en attendant des alternatives

Dans son premier avis en date du 9 décembre 2021, la CNIL relève que « la création et l’utilisation du "SGIN" seraient facultatives pour l’usager, et seraient conditionnées à la détention d’une CNIe et d’un téléphone portable disposant de la technologie de lecture sans contact et compatible avec l’application mobile ».

Elle souligne dès lors que « ce moyen d’identification électronique ne saurait être imposé pour accéder aux services en ligne, publics comme privés ». Ces derniers « devront donc offrir d’autres modalités d’accès aux services concernés, d’une part par d’autres moyens d’identification électronique et, d’autre part, par un guichet physique afin d’assurer un égal accès au service public à tous les citoyens ».

Elle n'en relève pas moins qu'« il s’agira du seul dispositif, pour les prochaines années, accessible à tous les citoyens fournissant une identité numérique de niveau élevé », ce qui pose dès lors des problèmes d'accessibilité, touchant particulièrement les personnes affectées par l'illectronisme : 

« Dans ce contexte, la Commission souligne l’importance de s’assurer que le dispositif soit le plus simple d’utilisation pour tous les publics, y compris ceux les moins rompus au numérique. »

Une extension du SGIN aux passeports et titres de séjour fin 2022

Revenant sur l'abrogation du projet d'enrôlement à distance via l'application de reconnaissance faciale ALICEM, la CNIL précise que SGIN « bénéficie des mesures mises en place » pour la sécurisation de la délivrance des CNIe, « et donc du contrôle visuel de l’identité du demandeur par un agent de l’État sur la base des documents fournis pour la demande, ainsi qu’une comparaison d’empreintes entre le demandeur et les données inclues dans son titre biométrique » : 

« Le présent projet de décret autorise le traitement "SGIN" à lire les données enregistrées dans le composant électronique des CNIe, à l'exception de l'image numérisée des empreintes digitales. »

Si le SGIN traitera certes la donnée relative à la photographie de l’usager, la Commission relève que « le dispositif ne comporte pas de traitement biométrique de la photographie [et] qu'aucun traitement supplémentaire de donnée biométrique ne sera réalisé du fait de la mise en œuvre du traitement projeté ».

Enfin, elle « prend acte des précisions apportées selon lesquelles il est envisagé, pour fin 2022, une extension du dispositif "SGIN" aux passeports et titres de séjour ». Ce qui permettra donc aux détenteurs de passeports biométriques de ne pas être obligés d'opter pour une CNIe pour pouvoir bénéficier du SGIN.

Quand la CNIL félicite le ministère de l'Intérieur

Fait suffisamment rare pour être souligné, la CNIL conclut son avis en précisant que « la Commission accueille très favorablement ce projet, dont elle note qu’il est l’aboutissement d’échanges nourris avec le ministère et qu’il permet le développement d’une identité numérique régalienne de niveau élevé et respectueuse de la vie privée des usagers ». Ce que ne manque pas de souligner @france_identite, le compte Twitter nouvellement lancé du programme interministériel :

La @CNIL a accueilli très favorablement ce projet et l’a approuvé dans deux délibérations en date du 9 décembre 2021 et du 10 février 2022.
Avis publiés ici👇https://t.co/E8OhTbuBA4

— France identité (@france_identite) April 27, 2022

Elle précise en outre avoir « toujours été favorable à la création d’une identité numérique d’État de haut niveau, de nature à améliorer la sécurité des procédures (en supprimant par exemple la circulation de photocopies de pièces d’état civil lors de l’accomplissement de démarches administratives) et à faciliter la lutte contre la fraude documentaire ». 

Elle félicite également le ministère de l'Intérieur d'avoir permis que cette « identification de niveau élevé » inclut « une possibilité de démontrer seulement certains attributs et de créer des justificatifs d’identité permettant de remplacer le recours aux photocopies de pièces d’identité » : 

« Enfin, la Commission apprécie particulièrement que le ministère ait prévu un dispositif permettant d’assurer la minimisation des données, que ce soit par la divulgation des seuls attributs nécessaires lors de l’utilisation de la CNIe pour l’identification du porteur ou par la possibilité de créer des attestations minimisées contenant les seules informations strictement nécessaires à certaines démarches et pouvant être utilisées hors ligne. »

Outre le fait de permettre d'accéder à des services en ligne des fournisseurs de services publics ou privés, SGIN permettra ainsi à ses utilisateurs de « générer des attestations électroniques d’attributs d’identité qu’ils pourront transmettre électroniquement aux tiers de leur choix ou présenter dans le monde physique (par exemple pour apporter la preuve de leur majorité ou de leur âge) », sans pour autant avoir à décliner son identité : 

« La Commission prend acte de ce que seules les données dites "pivot" (nom, nom d’usage, prénom(s) date de naissance, lieu de naissance et sexe) ainsi que l’adresse de courrier électronique de l’usager seront transmises au téléservice "FranceConnect", à charge pour ce dernier de ne transmettre aux fournisseurs de services avec lesquels il a une convention que les attributs qui leur sont nécessaires et qu’ils ont expressément demandés, tel que prévu dans ses conditions générales d’utilisation. »

La question reste donc aussi de savoir si SGIN pourrait, ou non, être utilisé pour accéder aux sites pornographiques, censés être interdits aux moins de 18 ans. Resterait cela dit à convaincre les sites pornographiques de conditionner l'accès à leurs serveurs à un service adossé à FranceConnect, mais également les usagers de s'identifier sur FranceConnect afin de pouvoir se connecter aux sites pornographiques...

Cédric O avait cela dit déclaré, en juin 2020, que le gouvernement n'envisageait pas d'utiliser FranceConnect pour vérifier l'âge des gens qui vont sur les sites pornographiques.

SGIN n'utilisera DOCVERIF que pour les cas d'usage élevés

La CNIL prend par ailleurs acte des précisions apportées par le ministère selon lesquelles SGIN « permettrait à l’usager de faire apparaître sa photographie sur son attestation électronique d’attributs d’identité ou conjointement à un code QR afin de l’authentifier », mais également que ladite photographie « sera conservée uniquement de manière chiffrée au sein du téléphone portable de l’usager ».

Concrètement, l'application comportera en effet, pour ce qui est des « données permettant l'identification de l'usager », les noms (y compris d'usage), prénoms, date et lieu de naissance, nationalité, sexe, « adresse postale extraite du composant électronique du titre » (et, « le cas échéant, l'adresse postale renseignée par l'usager »), photographie « extraite du composant électronique du titre », l'adresse de courrier électronique et, le cas échéant, « le numéro d'appel de l'équipement terminal de communications électroniques renseigné par l'usager », ainsi que l'identifiant de l'équipement terminal de communications électroniques.

Y figureront également, pour ce qui est des « données permettant l'identification du titre détenu par l'usager », le numéro et le type de titre d'identité (CNIe, passeport, titres de séjour), ses dates de délivrance et d'expiration, ainsi que le statut de validité du titre (« valide/invalide/inconnu »).

SGIN interrogera en effet le fichier national de contrôle de la validité des titres DOCVERIF afin de vérifier la validité administrative du titre en question « lorsque le moyen d’identification électronique sera utilisé avec un niveau de garantie élevé, ainsi que pour la génération d’attestations, mais pas lorsqu’il sera utilisé comme moyen d’identification ou d’authentification avec les niveaux de garanties substantiel ou bas », précise la CNIL.

Une traçabilité des cinq dernières « transactions »

Les données relatives à l'historique des transactions réalisées par l'usager y seront également conservées, « dans la limite d'un nombre maximal de transactions déterminé par les responsables de traitement ». Le ministère a précisé à la CNIL que ne seront concernées que les seules cinq dernières transactions réalisées par l’usager, à savoir : 

• Le destinataire des données d'identification personnelle de l'usager ;
• La catégorie de la transaction ;
• Le statut de la transaction ;
• Le cas échéant, la durée de validité des données d'identification personnelle de l'usager transmises ;
• Le cas échéant, le motif de la transmission des données d'identification personnelle de l'usager ;
• L'horodatage de la transaction.

Dans sa FAQ, France identité numérique précise cela dit que « l’usager a la possibilité de consulter via son application mobile l’historique des transactions qu’il a réalisées sur les trois derniers mois » et que « s’il le souhaite, l’usager peut décider de ne conserver que les cinq dernières transactions qu’il a effectuées ». Cette précision correspond à une recommandation faite dans la seconde délibération de la CNIL : 

« Par ailleurs, il apparaît opportun de limiter le nombre maximal de transactions conservé dans l’historique, ou de permettre à l’usager de le régler, cette information constituant une donnée à caractère personnel qui pourrait être récupérée par un tiers encas de vol de l’ordiphone. »

Le décret ne mentionne pas, par contre, un autre désidérata de la CNIL, qui aurait voulu permettre aux usagers d'être notifiés, à la manière de la double authentification, de toute tentative d'utilisation voire d'usurpation de son identifiant numérique : 

« Dans un objectif de transparence et de contrôle par les utilisateurs de leur moyen d’identification électronique, mais aussi afin de détecter le plus tôt possible une éventuelle usurpation du moyen d’identification, la Commission recommande qu’une notification par un canal séparé (courriel, par exemple) soit adressée à l’utilisateur à chaque utilisation du dispositif, sur le modèle de ce qui est fait pour "FranceConnect". »

Des durées de conservation remises en question

Évoquant les durées de conservation, la CNIL « tient à souligner, à titre liminaire, que le ministère a fait un travail de minimisation pour ne conserver sur le serveur qu’une liste de données à caractère personnel succincte. Elle regrette néanmoins que la rédaction de l’article 4 du projet de décret n’en fasse pas mention. »

Cet article précise que les données, à l'exception de celles concernant les « transactions », sont « conservées pendant cinq ans à compter de la dernière vérification d'identité de l'usager du moyen d'identification électronique » sur le serveur géré par les responsables du traitement, en « base active » et non « archive », ce qui fait tiquer la CNIL : 

« Bien que la durée envisagée semble pertinente au regard des finalités et des obligations relatives à la création d’un tel moyen d’identification électronique, la Commission s’interroge sur la pertinence de conserver ces données en base active durant toute la durée de conservation. Elle encourage le ministère à évaluer s’il est possible de, et à partir de quand, conserver ces données en base archive. »

Les données seront par ailleurs « effacées de ce serveur dès lors que l'usager supprime son moyen d'identification électronique ou qu'il désinstalle l'application mobile de son équipement terminal de communications électroniques », et « automatiquement supprimées à l'issue d'une période d'inactivité du moyen d'identification électronique de deux ans ».

Elles sont, de même, stockées sur l'équipement terminal de l'usager et « conservées pendant un délai de cinq ans au plus, à compter de la dernière vérification d'identité de l'usager du moyen d'identification électronique ».

Le ministère conservera par ailleurs pendant 3 ans les traces concernant les « opérations de création, de consultation, d'utilisation, de révocation et de suppression » du moyen d'identification électronique, dans « un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération ».

Si la CNIL considère que cette durée de conservation est « proportionnée » pour ce qui est des usages régaliens du SGIN, elle « s’interroge cependant sur la conservation à si long terme des traces d’utilisation du moyen d’identification électronique, dès lors qu’il serait utilisé pour des services non-régaliens » :

« La Commission encourage le ministère à réévaluer la pertinence et l’équilibre (au regard du suivi que cela implique) de conserver ces traces sur trois ans pour les services commerciaux. »

Des mesures de sécurité conformes au RGPD, et bien prises en compte

La CNIL estime enfin que les mesures de sécurité « semblent conformes » au RGPD ainsi qu'à la loi du 6 janvier 1978 modifiée, et que l'analyse d’impact relative à la protection des données (AIPD) fournie par le ministère de l'Intérieur « démontr[e] sa bonne prise en compte des risques sur les personnes concernées liés au dispositif » : 

« En particulier, la Commission a pris note à la fois de l’intégration, dès que possible, de briques logicielles ayant fait l’objet d’un visa de sécurité par l’ANSSI, ainsi que la mise en œuvre d’un processus d’homologation, de certification et/ou de qualification pour l’ensemble des éléments du processus, application comprise. »

Elle relève qu' « une certification de sécurité de premier niveau (CSPN) est prévue à court terme » concernant la génération d’attestations, « dans un second temps » : 

« La Commission tient à souligner l’importance d’évaluer la solution en prenant en compte l’impact potentiel des utilisations frauduleuses, notamment par un tiers, d’une telle attestation, en vérifiant notamment que des mesures adaptées sont mises en œuvre (par exemple avec un dispositif de date maximale d’utilisation pour chaque attestation et un système de révocation d’attestation par l’utilisateur en un clic). »

Évoquant les identifications et authentifications « à des fournisseurs de services partenaires, donc en dehors du système "FranceConnect" », elle « prend acte de ce que la minimisation des données à caractère personnel sera intégrée aux conventions afin d’assurer que seules les données nécessaires soient demandées ».

Un fichier sous co-responsabilité de l'ANTS

Dans une seconde délibération, en date du 10 février 2022, la CNIL explique avoir « été saisie à nouveau en urgence le 27 janvier 2022 d'une demande d'avis portant sur certaines modifications du projet de décret », et que « la saisine modificative a deux objets principaux : modifier la désignation des responsables de traitement et préciser l’étendue de cette responsabilité » : 

« Le ministère s’interroge sur l’étendue de la responsabilité de traitement et les éléments à faire figurer dans le décret lorsque l’administration prévoit de mettre à disposition des usagers une application à télécharger sur leurs téléphones portables pour leur fournir un service et que cette application sera amenée à traiter les données à caractère personnel de l’usager. »

Le nouveau projet de décret prévoyait en effet que l’Agence nationale des titres sécurisés (ANTS) soit déclarée « co-responsable du traitement "SGIN" aux côtés du ministère de l’Intérieur », ce que confirme le décret finalement publié au JO : 

« À cet égard, la Commission prend acte des précisions apportées par le ministère de l’Intérieur selon lesquelles cet ajout est réalisé pour tenir compte de l’évolution récente de la gouvernance du projet interministériel de développement de l’identité numérique. »

La CNIL relève que l’article 3 du projet de texte avait ainsi « été modifié afin d’inclure les agents de l’ANTS chargés de la maîtrise d’ouvrage et de la maîtrise d’œuvre du traitement en tant qu’accédants aux données du traitement "SGIN" ». Elle « prend acte de ce que cette modification reflète les changements de gouvernance du projet interministériel mentionnés ci-dessus » : 

« La Commission approuve donc les modifications apportées à l’article 1er pour mieux décrire les services apportés à l’usager et, notamment, la mention explicite de la faculté pour l’usager de générer ses attestations (telle qu’elle l’avait recommandée dans sa délibération du 9 décembre 2021). »

Le traitement ne comporte pas de reconnaissance faciale

La CNIL relève en outre que la précision selon laquelle « le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie » a été retirée de l’article 2 du projet de décret listant les informations pouvant être traitées et enregistrées dans le traitement SGIN : 

« La Commission regrette la disparition de cette mention qui permettait de mentionner explicitement qu’aucun traitement supplémentaire de données biométriques ne serait réalisé du fait de la mise en œuvre du traitement projeté. Elle rappelle que, dès lors que le traitement ne comporte pas, parmi la liste des données, de gabarit biométrique mais seulement la photographie, le décret n’autorisera pas le recours à la reconnaissance faciale, qui conduirait à traiter une telle donnée, qui relève des données sensibles. »

La CNIL note également que « l’article 3 a été complété de sorte à obliger les responsables de traitement à rendre publique la liste actualisée des fournisseurs de services liés par convention à "FranceConnect" et ceux liés par convention au ministère de l’Intérieur et à l’ANTS », une initiative « fortement encouragée par la Commission ».

La désinstallation vaudra droit d'opposition

En matière de droits d'accès, la Commission relève que « la mention initialement prévue à l’article 6, qui écartait le droit d’opposition, a été retirée du présent projet de décret » : 

« Le ministère a précisé ce droit s’appliquerait de facto par la désinstallation de l’application mobile entraînant automatiquement l’effacement des données stockées sur le serveur et l’ordiphone, à l’exception de celles conservées en vue de la résolution d’éventuels contentieux. »

Le décret publié au JO se borne en effet à préciser que « les droits d'information, d'accès, de rectification et le droit à la limitation du traitement s'exercent auprès des responsables du traitement ».

La CNIL prend acte de cette modification, mais « recommande que les mentions d’information de l’application précisent que la désinstallation de l’application entraîne à la fois la suppression des données conservées localement et celles stockées en base centrale par le ministère et l’ANTS à l’exception des données identifiant le titre (numéro et type) et des traces en vue de la résolution d’éventuels contentieux ».

Une brève histoire du serpent de mer de l'identité numérique

Dans une page consacrée aux origines du service, France Identité explique qu' « afin de garantir le succès de déploiement du nouveau service », le programme interministériel a reposé sur « une équipe intégrée, pluridisciplinaire et complémentaire » regroupant « une quinzaine de profils variés (ingénieurs, juristes ou spécialistes de l’expérience utilisateur…) » : 

« Cette équipe resserrée s’appuie sur les compétences et les expertises d’acteurs numériques reconnus, dont principalement l’ANTS, la DNUM et la DINUM. Son comité stratégique regroupe l’ensemble des parties prenantes intéressées au développement de l’identité numérique sécurisée (ministères de l’Intérieur, de la Justice, de l’Économie, de la Santé, ANSSI, Programme Tech-Gouv, France-Connect, DITP, DGE…). » 

De plus, et « dès 2018, les Assises de l’identité numérique ont initié un cycle d’échanges réguliers avec les associations d’élus, les associations représentatives d’usagers, les fournisseurs d’usages… » : 

« De janvier 2019 à mars 2020, à la demande du secrétaire d’État en charge du numérique, le Conseil national du Numérique a organisé plusieurs ateliers d’experts et de citoyens dont les constats et les recommandations ont été rassemblés dans un rapport paru en Juin 2020. »

Dans la foulée, une Mission d’information parlementaire « Identité numérique », à l’initiative de l’Assemblée nationale, « a permis l’audition publique de très nombreuses parties prenantes et l’organisation d’une consultation citoyenne en ligne » :

« Les résultats de ce "cahier des charges citoyen" ont été pris en compte dans la définition de la feuille de route du Programme. »

L'expérience du prototype Alicem « a également permis de mieux comprendre les attentes et les inquiétudes suscitées par une telle solution et de mieux identifier les conditions nécessaires au succès du futur moyen d’identification électronique régalien » : 

« Enfin, au-delà d’une co-construction administrative et citoyenne, ce projet a pour ambition de mobiliser les nombreux acteurs industriels et start-ups de l’écosystème français. »

« Ces choix partagés pourront faire l’objet de normalisations internationales et de possibilités d’exportation accrues », la filière française de l'identité numérique faisant partie des leaders mondiaux du secteur.

En 2011, le sénateur signataire de la proposition de loi sur le fichier des « gens honnêtes », prémisse de l'identité numérique, avait ainsi expliqué que « les entreprises françaises sont en pointe mais elles ne vendent rien en France, ce qui les pénalise à l’exportation par rapport aux concurrents américains ».

Le rapporteur de la proposition de loi avait lui aussi relevé que « comme les industriels du secteur l’ont souligné au cours de leur audition, l’industrie française est particulièrement performante en la matière » :

« Les principales entreprises mondiales du secteur sont françaises, dont 3 des 5 leaders mondiaux des technologies de la carte à puce, emploient plusieurs dizaines de milliers de salariés très qualifiés et réalisent 90 % de leur chiffre d’affaires à l’exportation.
Dans ce contexte, le choix de la France d’une carte nationale d’identité électronique serait un signal fort en faveur de notre industrie. »

Il aura donc fallu 11 ans pour parvenir à un accord satisfaisant à la fois le ministère de l'Intérieur, la CNIL, et les industriels de l'identité numérique. Reste à voir si l'intendance suivra, et à quoi, et comment, servira cette « identité numérique ».

À quoi pourra-t-elle bien servir ?

Une autre page intitulée « À quoi sert-il ? » précise que « plusieurs usages nationaux sont quasiment prêts à être déployés une fois la CNIe plus largement distribuée et la solution technique d’identité numérique mise en place ». 

Une précédente cartographie des cas d'usage du SGIN, effectuée par la Direction Interministérielle de la Transformation Publique (DITP), avait ainsi qualifié les déclarations d'impôt et RSA, l'accès aux services municipaux, au DMP, à Ameli, au livret scolaire, les contestations de contravention, le recensement et les demandes de CMU, tout comme les virements élevés, d'usages « coeur de cible » du fait de leur « forte volumétrie avec maturité a priori suffisante ».

A contrario, les achats en ligne et de cartes de transport, paiements instantanés et accès à des lieux sécurisés (« travail, école, hôpital, etc. ») étaient, de leur côté, qualifiés d'usages « prospectifs » en raison de leur « forte volumétrie », matinée d'une « maturité incertaine ».

Les demandes de CNI, de passeport, de RSA et de procuration, le vote en ligne et l'inscription sur les listes électorales ou au permis de conduire, avaient pour leur part été qualifiés d'« usages symboliques (faible volumétrie mais valeur d'image) ».