France Connect : l’État plateforme officialise son système d’authentification

Première brique le l’État plateforme, France Connect a fait l’objet d’un arrêté , découvert par nos confrères de Nextinpact, portant création du téléservice. France Connect proposera aux usagers un accès universel aux services publics en ligne : impôts, sécurité sociale, etc. Grâce à l’authentification unique (SSO – Single Sign-On), il ne sera plus nécessaire de créer un nouveau compte à chaque nouvelle administration sollicitée et de jongler avec de multiples identifiants et mots de passe pour effectuer des démarches administratives.

Fédérer les identités numériques

France Connect est un projet piloté par la DSI de l’État – la Direction interministérielle des systèmes d’information de l’État (Disic) – au sein du Secrétariat général pour la modernisation de l’action publique (Sgmap). Comme l’a indiqué la Disic dans une tribune, France Connect ne va pas se substituer aux différents fournisseurs d’identités publics, mais va fédérer leurs comptes. Ainsi, lorsque l’usager – particulier ou professionnel – accèdera à la page d’accueil du site d’une administration qui adhère au programme, il pourra : soit saisir ses identifiants locaux, soit actionner un bouton France Connect pour s’identifier sans créer de nouveau compte.

L’adhésion à France Connect sera « facultative ». La simplification, la traçabilité et le suivi des démarches et formalités administratives effectuées par les usagers ne sont pas les seuls objectifs du projet. France Connect permettra aussi à l’État de « sécuriser le mécanisme d’échange d’informations entre autorités administratives » et aux usagers « d’accéder à des téléservices d’autres États membres », précise l’arrêté du 24 juillet 2015 publié le 6 août au Journal Officiel.

Protéger les données personnelles

Les données personnelles enregistrées seront les suivantes : sexe, nom, date et lieu de naissance de l’usager, le numéo de SIRET pour les entreprises, sans oublier les clés de fédération, l’alias technique unique, l’adresse IP, les dates et heures de connexion et les jetons issus du mécanisme d’échange d’informations. Ces données seront destinées « aux seules autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d’un texte législatif ou réglementaire ». Elles seront aussi adressées à l’Institut national de la statistique (Insee) « pour consultation du répertoire national d’identification des personnes physiques, à seule fin de certification dans le cas où l’autorité partenaire n’est pas en mesure de réaliser cette certification elle-même. »

Enfin, l’adhésion au téléservice par les partenaires de France Connect sera subordonnée à l’envoi préalable d’une déclaration dite de conformité à la Commission nationale de l’informatique et des libertés (CNIL). Saisie sur ce dossier, celle-ci a recommandé à la Disic de mettre en œuvre des mécanismes permettant aux destinataires de ne recevoir « qu’un sous-ensemble de données d’identité en fonction des besoins du traitement considéré. »

Innover avec le secteur privé

France Connect, qui doit mettre la France en conformité avec la directive européenne eIDAS (Electronic Identification and Signature), n’est pas qu’un dispositif SSO. Le projet fait écho au programme de simplification administrative « dites-le nous une fois » visant à réduire la redondance d’informations demandées aux entreprises. Il servira également de passerelle avec le secteur privé (banques en ligne…). France Connect est un chantier en cours, les expérimentations doivent débuter cette année (DGFiP, Caf..), mais le lancement effectif du programme n’est pas attendu avant 2016.