France identité, l'application mobile d'authentification sur la rampe de lancement
Adieu Alicem, vive le "service de garantie de l'identité numérique" ou plus simplement "France identité". Un décret du 26 avril a remplacé l’application d’authentification Alicem, utilisant la reconnaissance faciale, par un nouveau système d’enrôlement fondé sur la carte nationale d'identité. Adoubée par la Cnil, l’application est attendue sur les magasins d’application dans les prochains jours. Elle doit notamment sécuriser l’accès aux téléservices publics locaux et permettre le développement de service à authentification forte.
Attendu depuis plusieurs mois, le décret créant le service de garantie de l'identité numérique (SGID) est paru au Journal officiel du 26 avril. Le SGID, marketé "France identité", a la même vocation que le dispositif Alicem, abrogé par le présent décret : l’authentification forte des usagers pour l’accès à des services en ligne. Mais à la différence d’Alicem, il n’utilise plus la reconnaissance faciale pour enrôler les usagers mais la puce d’un titre biométrique : aujourd’hui la carte nationale d’identité électronique (CNIE), demain un passeport ou un titre de séjour électronique.
Lecture des données de la puce de la CNIE
Pour créer un compte France identité dans la nouvelle application, le SGID repose sur la lecture des données de la puce des titres d’identité électroniques avec un smartphone équipé de la technologie NFC (sans contact). Les données pouvant être lues, précise le décret du 26 avril, seront l’état civil, la nationalité, le sexe ainsi que l’adresse postale et le courrier électronique si l’information est renseignée par l’usager. Concernant la photo, celle-ci pourra être récupérée par certains fournisseurs de services, mais sans traitement biométrique. Les empreintes digitales resteront totalement inaccessibles. Les téléservices n’auront accès qu’aux données dont ils ont besoin, les données les plus sensibles (adresses, photographie) étant réservées à des fournisseurs de services liés par convention au ministère de l’Intérieur et à l’Agence nationale des titres sécurisés (ANTS). France connect, principal bénéficiaire du SGID, n’aura ainsi accès qu’aux données "pivot" (nom, nom d’usage, prénom(s) date de naissance, lieu de naissance et sexe) ainsi qu’à l’adresse de courrier électronique de l’usager, à charge pour France connect de veiller à ne transmettre que les données nécessaires au service.
Simplification des téléservices locaux
Concrètement, France identité va prendre la forme d’une application mobile dont le lancement est annoncé pour les prochains jours. "France identité permettra de s’authentifier sur internet avec la même sécurité qu’une carte physique et la même simplicité qu’une carte bancaire munie d’un code confidentiel. En effet, tout sera protégé par des mécanismes cryptographiques", fait valoir le site dédié à la promotion de France identité. L’application devrait simplifier la réalisation d’une procuration, l’accès au dossier médical personnel et la réalisation d’actes notariés. Mais les collectivités territoriales, et notamment toutes celles raccordées à France connect, devraient être les principales bénéficiaires du nouveau dispositif d’authentification. France identité mentionne à titre d’exemples l’inscription sur les listes électorales, l’accès à un portail de services locaux (cantine, bibliothèque, piscine…), la gestion des titres de transport, la demande d’aide sociale, la pré-demande de Pacs, l’inscription d’un enfant à la crèche ou encore la participation à une consultation citoyenne… Enfin, France identité facilitera la génération de justificatifs d’identité à la volée, évitant à l’usager de disperser dans la nature des scans de ses titres d’identité.
Aval de l’AMF et de la Cnil
France identité naît sous de meilleurs auspices qu’Alicem avec le double adoubement des élus locaux et de la Cnil. Lors de son dernier congrès, l’AMF s’était ainsi félicitée d'avoir été associée à la conception d’un système particulièrement adapté aux enjeux de sécurisation des téléservices publics locaux (voir notre article). Mais France identité peut surtout s’enorgueillir d’un avis "très favorable" de la Cnil (avis n°2021-151 du 9 décembre 2021). France identité en cite du reste un extrait dans les mentions légales de son site internet : "La commission accueille très favorablement ce projet, dont elle note qu’il est l’aboutissement d’échanges nourris avec le ministère et qu’il permet le développement d’une identité numérique régalienne de niveau élevé et respectueuse de la vie privée des usagers." Parmi les avancées, la Cnil note que le SGIN "utilise le processus d’identification et d’enrôlement mis en œuvre pour la création de la carte nationale d’identité sans étape ou données biométriques supplémentaires" alors qu’Alicem ajoutait un traitement avec l’usage d’une technologie intrusive de reconnaissance faciale et la création d’un "fichier des gens honnêtes".
Proposer des alternatives à France identité
Elle se félicite également du caractère "facultatif" du service et de la possibilité de le résilier à tout moment. Il suffira en effet à l’usager de désinstaller l’application pour révoquer le traitement de données. La Cnil note néanmoins qu’il s’agira "du seul dispositif, pour les prochaines années, accessible à tous les citoyens fournissant une identité numérique de niveau élevé" et souligne "l’importance de s’assurer que le dispositif soit le plus simple d’utilisation pour tous les publics, y compris ceux les moins rompus au numérique". Elle invite aussi les services utilisateurs de France identité à "offrir d’autres modalités d’accès aux services concernés", sous forme électronique ou de guichet physique "afin d’assurer un égal accès au service public à tous les citoyens". Sur les données collectées, la commission valide un dispositif où les personnes "peuvent accéder à la quasi-totalité des données d’identité traitées et les transmettre aux personnes physiques ou morales de leur choix". Seules les cinq dernières transactions de l’usager seront enregistrées. La Cnil recommande néanmoins la mise en place d’une notification par un canal séparé après chaque utilisation. Le fichier national DOCVERIF, créé pour l’occasion, n’accédera enfin qu’à des données techniques (type, date de délivrance, statut) permettant de vérifier la validité des titres pour la génération de justificatifs ou lors de téléprocédures exigeant un niveau élevé d’authentification.