FranceConnect : des « conséquences décisives » sur les télé-services des collectivités

La Cnil a rendu cet été son avis sur le dispositif FranceConnect. Elle demande au SGMAP de prendre ses responsabilités face à l'impact que ce dispositif aura sur les fournisseurs de services et les fournisseurs d'identité.

La création de FranceConnect, qui permettra aux usagers de la sphère publique le souhaitant de n’utiliser plus qu’un seul identifiant pour accéder à de nombreux télé-services,a été officialisée par un arrêté le 24 juillet 2015. L’avis que la CNIL avait rendu sur le projet d’arrêté a donc été rendu public dans la foulée. Cela a été l’occasion pour la Commission de rappeler certains grands principes, et de demander au SGMAP de les faire respecter à ses partenaires. Rien cependant ne devrait retarder le lancement du service prévu pour début 2016.

Pas d’identifiant unique

La crainte principale de la Commission a été entendue, et prise en compte dans l’arrêté donnant naissance à FranceConnect. En effet, suite à sa demande, l’article 3 de l’arrêté prévoit expressément que l’alias technique créé par le dispositif grâce aux informations envoyées par le fournisseur d’identité (adresse, nom, prénom, date de naissance et sexe), ne peut être utilisé à d’autres fins que celles pour lesquelles l’usager recourt à FranceConnect, ni être diffusé à un tiers. « L’enjeu principal, pour la Commission, était de s’assurer que FranceConnect ne puisse devenir un nouveau Safari, c’est-à-dire un identifiant unique, national et à la disposition de toutes les administrations », souligne ÉmileGabrié, chef de service du secteur régalien et des collectivités locales à la direction de la conformité de la CNIL.

A lire aussi France Connect : un seul identifiant pour tous ses comptes administratifs

Pas besoin d’un autre système d’authentification

FranceConnect se présentant comme un dispositif facultatif, la CNIL demande que les usagers puissent accéder aux services par une autre solution. La bonne nouvelle, pour la DISIC ⁽¹⁾, qui développe le dispositif, c’est que cette solution peut être proposée sous forme électronique ou sous forme papier. « Il a naturellement semblé inutile à la Commission de contraindre des collectivités qui vont déjà investir pour s’interfacer à FranceConnect à déployer une autre solution d’identification électronique en parallèle », précise Émile Gabrié.

Relayer l’information

Dans son avis, la CNIL estime que FranceConnect doit relayer l’information auprès de ses partenaires et leur proposer des mentions-type afin d’informer les usagers conformément à l’article 32 de la loi « Informatique et Libertés ». Elle demande aussi à la DISIC de s’assurer que les autorités administratives qui souhaitent utiliser le dispositif proposent bien une procédure alternative au télé-service, et de vérifier qu’elles procèdent à une nouvelle étude d’impact sur la vie privée.

« Le projet d’arrêté sur lequel nous avons donné notre avis ne porte, juridiquement, que sur FranceConnect. Pourtant, ce dispositif a des conséquences décisives sur tous les fournisseurs d’identité et les fournisseurs de services. Le SGMAP pilote le développement de l’administration électronique en France, notamment par la mise en œuvre de FranceConnect auquel tous les télé-services pourront se connecter. Cette démarche, que la CNIL souhaite par ailleurs accompagner, a naturellement des conséquences sur sa responsabilité quant à la conformité de ses partenaires à la loi « Informatique et Libertés » », explique Émile Gabrié.

La DISIC ne pense pas en avoir les moyens

La DISIC ne semble pas forcément prête à endosser ce rôle… « C’est de la responsabilité des fournisseurs de services de mettre à jour leur étude d’impact. La DISIC pourra favoriser la bonne réalisation des adaptations de ces études d’impact, mais n’aura pas les moyens, ni les connaissances métier sur le contexte particulier de chaque service ni la légitimité pour les auditer », répond Xavier Albouy, adjoint au directeur de la DISIC⁽²⁾. De plus il précise que la DISIC demandera aux fournisseurs de services de déclarer s’ils ont bien prévu d’autres dispositifs, mais ne pourra le vérifier.

Mieux respecter le principe de proportionnalité…

Dans son avis, la CNIL mettait aussi en avant le fait que le principe de proportionnalité, c’est à dire ne demander que les données qui sont réellement utiles pour le traitement, risquait de ne pas être respecté. En effet, l’architecture de FranceConnect prévoyait d’envoyer aux fournisseurs de services les nom, prénoms, sexe, date et lieu de naissance de l’usager, même s’ils n’en avaient pas l’utilité. « La CNIL a fait valoir le fait que les données d’identité soient filtrées avant d’être transmises au fournisseur de service, en fonction des stricts besoins de ce fournisseur. C’est effectivement une bonne idée », reconnaît Xavier Albouy. Il indique que d’ici à la fin de l’année, les fournisseurs de services devront communiquer à FranceConnect les données dont ils ont réellement besoin pour identifier l’usager, et seules ces données leur seront envoyées. « Cela ne représente que des aménagements à la marge en termes de développement informatique » indique Xavier Albouy. Ce devrait d’autant plus facile que très peu de fournisseurs de services sont encore connectés⁽³⁾.

… et renforcer la sécurité

Suite à l’avis de la CNIL, qui s’interrogeait en cas d’usurpation d’identité, la DISIC a prévu, d’ici à la fin de l’année, de prévenir l’usager dès qu’il y a une connexion sur son compte, ou si une perte ou un vol de données étaient constatés. « Pour ceux qui ne se sont jamais connectés, FranceConnect ne dispose pas d’une adresse fiable pour informer l’usager. Il va donc nous falloir traiter le risque d’usurpation d’identité avant utilisation de FranceConnect via les fournisseurs d’identité. Ils pourraient par exemple alerter eux-mêmes l’usager lors d’une première connexion à notre dispositif », explique Xavier Albouy.

Divergences sur l’étude d’impact sur la vie privée

La CNIL estime que la DISIC n’a pas mené d’étude d’impact sur la vie privée : « elle a fait une étude des risques très sérieuse préalablement à la mise en œuvre du dispositif. Néanmoins, cette étude avait pour principal objet la sécurité des systèmes d’information, et non, en tant que telle, la vie privée des usagers concernés par le dispositif. Or, les effets, par exemple, d’une usurpation d’identité auprès d’un fournisseur d’identité dans le cadre de FranceConnect pourraient être démultipliés puisqu’elle faciliterait l’accès indu à tous les télé-services adhérents au dispositif. Cela fait donc peser un risque plus important sur la vie privée des individus qu’un simple télé-service de l’administration, nationale ou territoriale », note Émile Gabrié.

La DISIC pour sa part, estime avoir effectué ce qui est exigé dans l’article 34 de la loi « Informatique et Libertés », même si elle reconnaît ne pas avoir utilisé la méthode de la CNIL elle-même. A sa décharge, faire une étude d’impact sur la vie privée n’est pas encore une obligation, ce n’est qu’une bonne pratique recommandée. « Afin de garantir la meilleure sécurité au projet FranceConnect, une analyse détaillée de la méthode promue par la CNIL est programmée dans les prochaines semaines, ce qui permettra de prendre en compte d’éventuelles bonnes pratiques complémentaires… », conclut Xavier Albouy.

L’avis de la CNIL a donc permis de soulever un certain nombre de points. Les réponses semblent en passe d’être apportées par les équipes de FranceConnect. La Commission a  de toute façon demandé à pouvoir refaire une évaluation un an après son ouverture au public.