Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »

Date de signature :13/05/2019 Statut du texte :En vigueur
Date de publication :16/05/2019 Emetteur :Ministère de l'Intérieur
Consolidée le : Source :JO du 16 mai 2019
Date d'entrée en vigueur :17/05/2019

Décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification  électronique dénommé « Authentification en ligne certifiée sur mobile »

NOR : INTD1828804D

Publics concernés : particuliers souhaitant s’identifier électroniquement et s’authentifier à l’aide d’un moyen d’identification électronique ; administrations et entreprises souhaitant proposer l’utilisation de ce moyen d’authentification.

Objet : création d’un moyen d’identification électronique permettant de s’identifier électroniquement et de s’authentifier pour l’accès à un service en ligne.

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le décret autorise la mise en œuvre d’un moyen d’identification électronique qui permet de proposer aux utilisateurs d’un équipement terminal de communications électroniques (téléphone portable) doté d’un dispositif de lecture sans contact, une application dénommée ALICEM. Ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » à partir des passeports biométriques ou des titres de séjour étrangers électroniques et biométriques. A cet effet, le présent décret autorise le traitement ALICEM à lire les données enregistrées dans le composant électronique des passeports et des titres de séjour étrangers, à l’exception de l’image numérisée des empreintes digitales. Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect. Le décret définit les finalités de ce traitement, la nature et la durée de conservation des données traitées et enregistrées ainsi que les catégories de personnes ayant accès à ces données. Il précise les droits des personnes concernées. Le décret modifie également l’article R. 611-1 du code de l’entrée et du séjour des étrangers et du droit d’asile afin d’enregistrer les titres de séjour des ressortissants étrangers dans le fichier national de contrôle de la validité des titres et de permettre le contrôle de leur validité.

Références : le code de l’entrée et du séjour des étrangers et du droit d’asile (partie réglementaire) et le décret n°2016-1460 du 28 octobre 2016, dans leur rédaction issue de cette modification, ainsi que le présent décret, peuvent être consultés sur le site Légifrance (https://www.legifrance.gouv.fr).

Le Premier ministre,

Sur le rapport du ministre de l’intérieur,


CHAPITRE Ier

DISPOSITIONS AUTORISANT LA CRÉATION D’UN TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL DÉNOMMÉ « AUTHENTIFICATION EN LIGNE CERTIFIÉE SUR MOBILE » (ALICEM)

Art. 1er. – Le ministre de l’intérieur est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Authentification en ligne certifiée sur mobile ».

Ce traitement a pour finalité de proposer aux titulaires de l’un des titres mentionnés à l’article 2 du présent décret la délivrance d’un moyen d’identification électronique leur permettant de s’identifier électroniquement et de s’authentifier auprès d’organismes publics ou privés, au moyen d’un équipement terminal de communications électroniques doté d’un dispositif permettant la lecture sans contact du composant électronique de ces titres, en respectant les dispositions prévues par le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 susvisé, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.

L’enrôlement dans ce traitement par le titulaire de l’un des titres mentionnés à l’article 2 du présent décret donne lieu à l’ouverture d’un compte.

Art. 2. – Le traitement mentionné à l’article 1er s’applique :

1° Aux ressortissants français titulaires d’un passeport comportant un composant électronique, tel que mentionné à l’article 2 du décret du 30 décembre 2005 susvisé ;
2° Aux ressortissants étrangers titulaires d’un titre de séjour comportant un composant électronique, tel que mentionné à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile.

Art. 3. – Les titres mentionnés à l’article 2 doivent être en cours de validité au moment de l’enrôlement dans le traitement mentionné à l’article 1er et à chaque demande d’utilisation du moyen d’identification électronique.

Pour permettre la délivrance du moyen d’identification électronique, et à chaque utilisation de l’application, le traitement mentionné à l’article 1er est mis en relation avec le fichier national de contrôle de la validité des titres.

Art. 4. – Le traitement mentionné à l’article 1er utilise un système de reconnaissance faciale statique et de reconnaissance faciale dynamique.

Le traitement ne comporte pas de dispositif de recherche permettant l’identification à partir de l’image numérisée du visage.

Art. 5. – Les données enregistrées dans le composant électronique prévu à l’article 2 du décret du 30 décembre 2005 susvisé sont lues par le traitement mentionné à l’article 1er, à l’exclusion de l’image numérisée des empreintes digitales, dans les conditions prévues à l’article 3 du décret du 28 octobre 2016 susvisé.

Art. 6. – Les données enregistrées dans le composant électronique prévu à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile sont lues par le traitement mentionné à l’article 1er, à l’exclusion de l’image numérisée des empreintes digitales, dans les conditions prévues à l’article R. 611-5 du même code.

Art. 7. – Peuvent être enregistrées dans le présent traitement les données à caractère personnel et informations suivantes :
1° Données permettant l’identification de l’usager :
a) Le nom ;
b) Le nom d’usage ;
c) Le(s) prénom(s) ;
d) La date de naissance ;
e) Le pays de naissance ;
f) Le département de naissance ;
g) Le lieu de naissance ;
h) La nationalité ;
i) Le sexe ;
j) La taille et la couleur des yeux ;
k) L’adresse postale ;
l) La photographie de l’usager extraite du titre ;
m) La photographie de l’usager prise avec son équipement terminal de communications électroniques pour lareconnaissance faciale ;
n) La vidéo prise par l’usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;
o) L’adresse électronique ;
p) Le numéro d’appel de l’équipement terminal de communications électroniques ;
q) L’identifiant technique associé au compte de l’usager ;

2° Données permettant l’identification du titre détenu par l’usager :
a) Le numéro du titre ;
b) L’autorité de délivrance ;
c) La date de délivrance ;
d) La date d’expiration ;
e) La clé publique permettant de certifier l’authenticité du titre ;

3° Données relatives à l’historique des transactions associées au compte ALICEM :
a) Le nom du fournisseur de service ;
b) La catégorie de la transaction ;
c) Une description courte du fournisseur de service ;
d) Une description longue du fournisseur de service ;
e) Le statut de la transaction ;
f) La date de la transaction ;
g) La date de mise à jour de la transaction ;
h) La date d’expiration de la transaction ;
i) La priorité de la transaction ;

4° L’identifiant unique du service de notification, aux fins d’identification de l’équipement terminal de communications électroniques.

Art. 8. – Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d’en connaître, à tout ou partie des données et informations enregistrées dans le traitement mentionné à l’article 1er, à l’exclusion des données mentionnées du a au l du 1°, du a au d du 2° et au 3° de l’article 7 :

1° Les agents des services du ministère de l’intérieur chargés de la maîtrise d’ouvrage du traitement mentionné à l’article 1er, individuellement désignés et habilités par leur directeur ;

2° Les agents de l’Agence nationale des titres sécurisés chargés de la maîtrise d’œuvre du traitement mentionné à l’article 1er, individuellement désignés et dûment habilités par leur directeur.

Art. 9. – I. − Peuvent être destinataires, dans la limite du besoin d’en connaître, des données enregistrées dans le traitement mentionnées au II du présent article :

1° La direction interministérielle du numérique et du système d’information et de communication de l’Etat ;
2° Les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet les données d’état civil sans modification ;
3° Les fournisseurs de téléservices liés par convention à l’Agence nationale des titres sécurisés.

II. − Les données transmises sont les suivantes :
1° Le nom de famille ;
2° Le cas échéant, le nom d’usage ;
3° Le(s) prénom(s) ;
4° La date de naissance ;
5° Le lieu de naissance ;
6° Le sexe ;
7° L’adresse postale ;
8° L’adresse électronique ;
9° Le numéro d’appel de l’équipement terminal de communications électroniques.

Art. 10. – I. − Les données mentionnées du a au l du 1° et du a au d du 2° de l’article 7 sont conservées uniquement sur l’équipement terminal de communications électroniques de l’usager.

II.− Les données mentionnées aux m et n du 1° de l’article 7 font l’objet d’un traitement par le traitement centralisé mis en œuvre par l’Agence nationale des titres sécurisés aux seules fins de mettre en œuvre la reconnaissance faciale statique et la reconnaissance faciale dynamique prévues à l’article 4. Elles sont effacées sitôt ces reconnaissances terminées.

III. − Les autres données sont conservées dans le traitement centralisé mis en œuvre par l’Agence nationale des titres sécurisés.

Les données mentionnées aux o, p et q du 1° ainsi qu’au 3° de l’article 7 font également l’objet d’une conservation sur l’équipement terminal de communications électroniques de l’usager.

Art. 11. – I. − Les données à caractère personnel conservées sur l’équipement terminal de communications électroniques de l’usager sont chiffrées. Elles sont inaccessibles dès lors que l’usager supprime son compte. Elles sont supprimées de l’équipement terminal de communications électroniques lorsque l’usager désinstalle l’application ALICEM de son équipement terminal de communications électroniques.

II. − Les données à caractère personnel, énumérées au III de l’article 10 sont conservées pendant toute la durée d’utilisation par l’usager du compte mentionné à l’article 1er du présent décret.

Elles sont supprimées à l’issue d’un délai de vingt-quatre heures en cas d’absence de validation de la création du compte et à l’issue d’un délai de sept jours en cas d’absence d’activation du compte. Elles sont supprimées à l’issue d’une période d’inactivité du compte de six ans.

Art. 12. – Les opérations de création, consultation, utilisation, mise à jour et suppression du compte font l’objet d’un enregistrement comprenant l’identifiant de l’auteur, la date, l’heure et l’objet de l’opération. Les informations relatives à ces opérations sont conservées pendant six ans et ne peuvent être consultées, par les agents mentionnés à l’article 8, qu’à la demande de l’usager ou, en cas de litige, après l’en avoir informé. L’usager en est alors destinataire.

Art. 13. – L’Agence nationale des titres sécurisés procède, au moment de la demande d’ouverture du compte mentionné à l’article 1er, à l’information de l’usager concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques.

Art. 14. – Les droits d’accès, de rectification, d’effacement et de limitation du traitement ainsi que le droit à la portabilité des données s’exercent auprès de l’Agence nationale des titres sécurisés dans les conditions prévues aux articles 15, 16, 17, 18 et 20 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.

CHAPITRE II

DISPOSITIONS MODIFIANT LE CODE DE L’ENTRÉE ET DU SÉJOUR DES ÉTRANGERS ET DU DROIT D’ASILE

Art. 15. – La section 1 du chapitre unique du titre Ier du livre VI du code de l’entrée et du séjour des étrangers et du droit d’asile (partie réglementaire) est ainsi modifiée :

I. − A l’article R. 611-1 :
1° Au début de l’article, il est ajouté la mention : « I. − » ;
2° Au début du dernier alinéa, il est ajouté la mention : « II. − » ;
3° Le même article est complété par un alinéa ainsi rédigé :
« Le traitement automatisé prévu au I du présent article transmet au fichier national de contrôle de la validité des titres les informations relatives au numéro de titres émis, sa date de délivrance, sa date de fin de validité ainsi que l’indication relative au type de titre. Sont également transmis le statut des titres et, le cas échéant, les motifs de leur invalidité. »

II. − A l’article R. 611-5 :
1° Au début de l’article, il est ajouté la mention : « I. − » ;
2° L’article est complété par un alinéa ainsi rédigé :
« II. − Les données enregistrées dans le composant électronique prévu à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile, à l’exclusion de l’image numérisée des empreintes digitales, sont lues par le traitement mentionné à l’article 1er du décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé “Authentification en ligne certifiée sur mobile” ».

CHAPITRE III

DISPOSITIONS MODIFIANT LE DÉCRET No 2016-1460 DU 28 OCTOBRE 2016

Art. 16. – L’article 3 du décret du 28 octobre 2016 susvisé est complété par un alinéa ainsi rédigé :

« III. − Les données enregistrées dans le composant électronique prévu à l’article 2 du décret du 30 décembre 2005 susvisé, à l’exclusion de l’image numérisée des empreintes digitales, sont lues par le traitement mentionné à l’article 1er du décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile ».

Art. 17. – Le ministre de l’intérieur est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 13 mai 2019.

Par le Premier ministre :
EDOUARD PHILIPPE

Le ministre de l’intérieur,
CHRISTOPHE CASTANER 

Source Légifrance