Les Secrets de Saint Pierre

 

 

 

 

Vers un système d’authentification unique pour l’administration en ligne

 

 

Ministère de la Décentralisation du 5 janvier 2015

 

 

 

 

© Site Europa - Commission européenne

 

 

Disposer d’un système d’authentification et d’identification unique pour les démarches administratives en ligne est l'ambition du projet France Connect. Sa vocation : simplifier la relation des usagers avec l’ensemble des administrations au travers de ce système universel. Les premières expérimentations débutent en janvier 2015.

 

 

Impôts, sécurité sociale... : une identification unique

 

 

Les impôts, la Caf, la sécurité sociale, la mairie etc… Pour leurs démarches en ligne, les usagers jonglent entre les sites internet, les identifiants et les mots de passe. Et lorsqu’ils sollicitent une nouvelle administration, ils doivent créer un nouveau compte.

 

 

Pourtant, derrière la mutiplicité des comptes, les usagers s’adressent à une même entité : l’administration publique, d'où le projet d'un système d’authentification et d’identification unique pour toutes les démarches auprès d'une collectivité, d'un opérateur public, de la fonction hospitalière ou de l’Etat.

 

 

Le projet France Connect est développé par le secrétariat général pour la modernisation de l’action publique (SGMAP) et piloté par la Disic (Direction interministérielle des systèmes d’information et de communication). Il proposera aux particuliers, aux professionnels ainsi qu’aux représentants d’entreprises ou d’associations, un mécanisme d’identification reconnu par tous les services publics numériques disponibles en France.

 

 

Avec ce système, l’usager accèderait à la page d’accueil d’une administration (une mairie par exemple) dont le système d’authentification s’est au préalable aligné sur France Connect. Il saisit alors soit les identifiants locaux soit actionne le bouton France Connect qui lui propose les autres accès.

 

 

Premières expérimentations en janvier 2015

 

 

Les premières expérimentations démarrent en janvier 2015. L’enjeu : atteindre rapidement une masse critique d’utilisateurs afin d'inciter les administrations à rejoindre le projet.

 

 

Courant 2015, les comptes de mon.service-public.fr, portail spécialisé dans la simplification des démarches administratives en ligne, seront opérés par France Connect. La direction générale des Finances publiques (DGFiP) pourrait prochainement fédérer ses comptes. Des initiatives équivalentes sont en cours de définition avec l’Assurance Maladie. Enfin, côté entreprises, les comptes d’organismes comme Télé TVA et Net-Entreprise devraient également rejoindre le projet.

 

 

France Connect mettra par ailleurs la France en conformité avec la directive européenne eIDAS (Electronic Identification and Signature) qui prévoit une interopérabilité des systèmes d’identification utilisés par les Etats-membres pour accéder à leurs services en ligne.

 

 

France Connect s'inscrit dans la nouvelle stratégie d’Etat plateforme qui repose sur l’échange de données entre les administrations afin de fournir à l’usager de nouveaux services numériques et lui éviter de remettre les mêmes pièces justificatives aux différents organismes publics.

 

 

Lire aussi

 

 

Europe : vers l’interopérabilité entre les administrations publiques - 30/05/2014

 

 

 

 

 

 

Le déploiement du SSO France Connect officiellement autorisé par arrêté

 

 

 

Next Inpact du 6 août 2015

 

 

 

Xavier Berne

 

 

 

Crédits : mucahiddin/iStock/ThinkStock

 

 

 

Loi

 

 

 

Le gouvernement vient de publier l’arrêté autorisant la mise en œuvre du dispositif « France Connect », développé depuis l’année dernière sous l’égide de la Direction interministérielle des systèmes d’information de l’État (DISIC). En passe d’être expérimentée, cette solution devrait permettre au citoyen de se connecter à partir de 2016 sur les principaux sites publics – impôts, CAF, Sécurité sociale... – grâce à un seul jeu d'identifiants.

 

 

 

Qui n’a jamais été agacé de devoir avoir un identifiant et un mot de passe pour chaque service en ligne, et notamment pour ceux proposés par l’administration française ? Les choses pourraient cependant être bien plus simples dans un avenir proche. Les pouvoirs publics travaillent en effet depuis plusieurs mois à la mise en place d’un dispositif qui permettra à terme de fédérer plusieurs comptes de son choix : France Connect.

 

 

 

Lorsqu’un internaute souhaitera se connecter à un site adhérant à ce programme (celui de la CAF par exemple), un bouton lui proposera de s’identifier à partir des codes lui ayant été fournis par un autre participant à France Connect, comme les impôts. L’avantage ? Il sera ainsi suffisant de connaître un seul sésame pour accéder à l’ensemble de ses comptes.

 

 

 

Le dispositif ne se limite par ailleurs pas à de l’authentification numérique, puisqu’il est couplé à un autre projet : « Dites-le nous une fois ». L’usager pourra aussi choisir de faire profiter une administration d’informations ayant déjà été fournies à une autre organisme public (RIB, extrait Kbis...).

 

 

 

Des données personnelles automatiquement croisées avec les fichiers de l’INSEE

 

 

 

Avant de mettre ce nouveau service en musique, les autorités ont dû acter sa création par un arrêté publié ce matin au Journal officiel. Celui-ci indique que France Connect « repose sur une fédération d'identités », et que son utilisation sera bien entendue « facultative » pour les internautes.

 

 

 

Il précise surtout les données à caractère personnel qui seront stockées par ce nouveau téléservice : nom, sexe, date de naissance, éventuel numéro de SIRET pour les entreprises, mais aussi – et surtout – « les clés de fédération ou « alias » générés par le système à la connexion de l'usager ». Toutes ces informations seront ensuite accessibles aux « autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire ». L'INSEE en sera également destinataire « pour consultation du répertoire national d'identification des personnes physiques, à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle-même ».

 

 

 

Ces dispositions ont cependant fait tiquer la Commission nationale de l’informatique et des libertés (CNIL). « Les fournisseurs de services seront automatiquement rendus destinataires des données obligatoires composant l'identité pivot des usagers, alors même que certains téléservices peuvent ne pas nécessiter la collecte de l'ensemble de ces données » s’inquiète l’institution dans un avis afférent à cet arrêté. La gardienne des données personnelles a ainsi prévenu le gouvernement dès la mi-juillet que « tout mécanisme d'authentification ou d'identification doit limiter le traitement de données aux seules données nécessaires ».

 

 

 

La Commission a dès lors explicitement demandé à la DISIC de faire évoluer son dispositif, de telle sorte que les organismes destinataires des données de France Connect ne reçoivent « qu'un sous-ensemble de données d'identité en fonction des besoins du traitement considéré ». Cette évolution conditionne même selon la CNIL la conformité de la solution à la loi Informatique et Libertés. Il est cependant impossible en l’état de savoir si cette recommandation sera suivie par les développeurs du programme.

 

 

 

L’appel à la prudence de la CNIL

 

 

 

Si la CNIL se montre globalement favorable à la mise en œuvre de France Connect, elle en appelle néanmoins à la plus grande prudence. « Le développement de l'administration électronique ne passe pas nécessairement et ne doit pas conduire à la création d'un identifiant unique des administrés, au plan local comme au plan national » souligne ainsi l’institution. Avant de prévenir : « Les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de certaines démarches administratives, et tout particulièrement aux fins d'alimenter d'autres fichiers ou de constituer un fichier de population. »

 

 

 

Certains se souviendront d’ailleurs que la CNIL a vu le jour au milieu des années 70, justement parce que le gouvernement prévoyait de mettre sur pied un fichier (dénommé SAFARI) rassemblant les informations nominatives détenues sur les citoyens par les différentes administrations... (voir notre émission 14h42 avec Louis Joinet).

 

 

 

La Commission rappelle enfin que la mise en œuvre de France Connect « doit s'accompagner de mesures de sécurité appropriées ». L’institution a en ce sens salué les précisions introduites dans l’arrêté concernant le chiffrement des alias, qui devront faire l’objet d’un « hachage irréversible ». Si la copie du gouvernement prévoit en outre que chaque adhérant au dispositif doive préalablement effectuer une déclaration de conformité auprès de la CNIL, cette dernière conclut son avis en demandant à recevoir une évaluation du dispositif un an après son ouverture au public.

 

 

 

Le lancement officiel de France Connect n’est cependant pas prévu pour avant 2016. Des expérimentations doivent être menées dès cette année auprès d’institutions volontaires, à l’image de la Direction générale des finances publiques (DGFiP) et de la CAF. Aujourd’hui pensé pour des acteurs publics, le dispositif a toutefois été conçu pour fonctionner également avec des opérateurs privés. La Poste fait ainsi partie des entreprises intéressées pour disposer elles aussi du bouton France Connect. Quant à la connexion avec le programme « Dites-le nous une fois », l'ordonnance ayant autorisé ce partage d'information entre administrations ne devrait pas entrer en vigueur avant 2017 (voir notre article).