5.3. Sécurité informatique et de l'information
Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »
| Date de signature : | 13/05/2019 | Statut du texte : | Abrogé |
| Date de publication : | 16/05/2019 | Emetteur : | Ministère de l'Intérieur |
| Consolidée le : | Source : | JO du 16 mai 2019 | |
| Date d'entrée en vigueur : | 17/05/2019 |
Décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile »
Abrogé par le décret n° 2022-676 du 26 avril 2022
NOR : INTD1828804D
Publics concernés : particuliers souhaitant s’identifier électroniquement et s’authentifier à l’aide d’un moyen d’identification électronique ; administrations et entreprises souhaitant proposer l’utilisation de ce moyen d’authentification.
Objet : création d’un moyen d’identification électronique permettant de s’identifier électroniquement et de s’authentifier pour l’accès à un service en ligne.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret autorise la mise en œuvre d’un moyen d’identification électronique qui permet de proposer aux utilisateurs d’un équipement terminal de communications électroniques (téléphone portable) doté d’un dispositif de lecture sans contact, une application dénommée ALICEM. Ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » à partir des passeports biométriques ou des titres de séjour étrangers électroniques et biométriques. A cet effet, le présent décret autorise le traitement ALICEM à lire les données enregistrées dans le composant électronique des passeports et des titres de séjour étrangers, à l’exception de l’image numérisée des empreintes digitales. Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect. Le décret définit les finalités de ce traitement, la nature et la durée de conservation des données traitées et enregistrées ainsi que les catégories de personnes ayant accès à ces données. Il précise les droits des personnes concernées. Le décret modifie également l’article R. 611-1 du code de l’entrée et du séjour des étrangers et du droit d’asile afin d’enregistrer les titres de séjour des ressortissants étrangers dans le fichier national de contrôle de la validité des titres et de permettre le contrôle de leur validité.
Références : le code de l’entrée et du séjour des étrangers et du droit d’asile (partie réglementaire) et le décret n°2016-1460 du 28 octobre 2016, dans leur rédaction issue de cette modification, ainsi que le présent décret, peuvent être consultés sur le site Légifrance (https://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport du ministre de l’intérieur,
- Vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment le a du 2. de son article 9 ;
- Vu le règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, paragraphe 3, du règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ;
- Vu le code de l’entrée et du séjour des étrangers et du droit d’asile, notamment ses articles R. 311-13-1 et R. 611-5 ;
- Vu le code des postes et des communications électroniques, notamment son article L. 102 ;
- Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 27 ;
- Vu le décret n°2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
- Vu le décret n°2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité ;
- Vu l’avis n°2018-342 de la Commission nationale de l’informatique et des libertés en date du 18 octobre 2018 ;
- Le Conseil d’Etat (section de l’intérieur) entendu, Décrète :
CHAPITRE Ier
DISPOSITIONS AUTORISANT LA CRÉATION D’UN TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL DÉNOMMÉ « AUTHENTIFICATION EN LIGNE CERTIFIÉE SUR MOBILE » (ALICEM)
Art. 1er. – Le ministre de l’intérieur est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Authentification en ligne certifiée sur mobile ».
Ce traitement a pour finalité de proposer aux titulaires de l’un des titres mentionnés à l’article 2 du présent décret la délivrance d’un moyen d’identification électronique leur permettant de s’identifier électroniquement et de s’authentifier auprès d’organismes publics ou privés, au moyen d’un équipement terminal de communications électroniques doté d’un dispositif permettant la lecture sans contact du composant électronique de ces titres, en respectant les dispositions prévues par le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 susvisé, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.
L’enrôlement dans ce traitement par le titulaire de l’un des titres mentionnés à l’article 2 du présent décret donne lieu à l’ouverture d’un compte.
Art. 2. – Le traitement mentionné à l’article 1er s’applique :
1° Aux ressortissants français titulaires d’un passeport comportant un composant électronique, tel que mentionné à l’article 2 du décret du 30 décembre 2005 susvisé ;
2° Aux ressortissants étrangers titulaires d’un titre de séjour comportant un composant électronique, tel que mentionné à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile.
Art. 3. – Les titres mentionnés à l’article 2 doivent être en cours de validité au moment de l’enrôlement dans le traitement mentionné à l’article 1er et à chaque demande d’utilisation du moyen d’identification électronique.
Pour permettre la délivrance du moyen d’identification électronique, et à chaque utilisation de l’application, le traitement mentionné à l’article 1er est mis en relation avec le fichier national de contrôle de la validité des titres.
Art. 4. – Le traitement mentionné à l’article 1er utilise un système de reconnaissance faciale statique et de reconnaissance faciale dynamique.
Le traitement ne comporte pas de dispositif de recherche permettant l’identification à partir de l’image numérisée du visage.
Art. 5. – Les données enregistrées dans le composant électronique prévu à l’article 2 du décret du 30 décembre 2005 susvisé sont lues par le traitement mentionné à l’article 1er, à l’exclusion de l’image numérisée des empreintes digitales, dans les conditions prévues à l’article 3 du décret du 28 octobre 2016 susvisé.
Art. 6. – Les données enregistrées dans le composant électronique prévu à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile sont lues par le traitement mentionné à l’article 1er, à l’exclusion de l’image numérisée des empreintes digitales, dans les conditions prévues à l’article R. 611-5 du même code.
Art. 7. – Peuvent être enregistrées dans le présent traitement les données à caractère personnel et informations suivantes :
1° Données permettant l’identification de l’usager :
a) Le nom ;
b) Le nom d’usage ;
c) Le(s) prénom(s) ;
d) La date de naissance ;
e) Le pays de naissance ;
f) Le département de naissance ;
g) Le lieu de naissance ;
h) La nationalité ;
i) Le sexe ;
j) La taille et la couleur des yeux ;
k) L’adresse postale ;
l) La photographie de l’usager extraite du titre ;
m) La photographie de l’usager prise avec son équipement terminal de communications électroniques pour lareconnaissance faciale ;
n) La vidéo prise par l’usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;
o) L’adresse électronique ;
p) Le numéro d’appel de l’équipement terminal de communications électroniques ;
q) L’identifiant technique associé au compte de l’usager ;
2° Données permettant l’identification du titre détenu par l’usager :
a) Le numéro du titre ;
b) L’autorité de délivrance ;
c) La date de délivrance ;
d) La date d’expiration ;
e) La clé publique permettant de certifier l’authenticité du titre ;
3° Données relatives à l’historique des transactions associées au compte ALICEM :
a) Le nom du fournisseur de service ;
b) La catégorie de la transaction ;
c) Une description courte du fournisseur de service ;
d) Une description longue du fournisseur de service ;
e) Le statut de la transaction ;
f) La date de la transaction ;
g) La date de mise à jour de la transaction ;
h) La date d’expiration de la transaction ;
i) La priorité de la transaction ;
4° L’identifiant unique du service de notification, aux fins d’identification de l’équipement terminal de communications électroniques.
Art. 8. – Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d’en connaître, à tout ou partie des données et informations enregistrées dans le traitement mentionné à l’article 1er, à l’exclusion des données mentionnées du a au l du 1°, du a au d du 2° et au 3° de l’article 7 :
1° Les agents des services du ministère de l’intérieur chargés de la maîtrise d’ouvrage du traitement mentionné à l’article 1er, individuellement désignés et habilités par leur directeur ;
2° Les agents de l’Agence nationale des titres sécurisés chargés de la maîtrise d’œuvre du traitement mentionné à l’article 1er, individuellement désignés et dûment habilités par leur directeur.
Art. 9. – I. − Peuvent être destinataires, dans la limite du besoin d’en connaître, des données enregistrées dans le traitement mentionnées au II du présent article :
1° La direction interministérielle du numérique et du système d’information et de communication de l’Etat ;
2° Les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet les données d’état civil sans modification ;
3° Les fournisseurs de téléservices liés par convention à l’Agence nationale des titres sécurisés.
II. − Les données transmises sont les suivantes :
1° Le nom de famille ;
2° Le cas échéant, le nom d’usage ;
3° Le(s) prénom(s) ;
4° La date de naissance ;
5° Le lieu de naissance ;
6° Le sexe ;
7° L’adresse postale ;
8° L’adresse électronique ;
9° Le numéro d’appel de l’équipement terminal de communications électroniques.
Art. 10. – I. − Les données mentionnées du a au l du 1° et du a au d du 2° de l’article 7 sont conservées uniquement sur l’équipement terminal de communications électroniques de l’usager.
II.− Les données mentionnées aux m et n du 1° de l’article 7 font l’objet d’un traitement par le traitement centralisé mis en œuvre par l’Agence nationale des titres sécurisés aux seules fins de mettre en œuvre la reconnaissance faciale statique et la reconnaissance faciale dynamique prévues à l’article 4. Elles sont effacées sitôt ces reconnaissances terminées.
III. − Les autres données sont conservées dans le traitement centralisé mis en œuvre par l’Agence nationale des titres sécurisés.
Les données mentionnées aux o, p et q du 1° ainsi qu’au 3° de l’article 7 font également l’objet d’une conservation sur l’équipement terminal de communications électroniques de l’usager.
Art. 11. – I. − Les données à caractère personnel conservées sur l’équipement terminal de communications électroniques de l’usager sont chiffrées. Elles sont inaccessibles dès lors que l’usager supprime son compte. Elles sont supprimées de l’équipement terminal de communications électroniques lorsque l’usager désinstalle l’application ALICEM de son équipement terminal de communications électroniques.
II. − Les données à caractère personnel, énumérées au III de l’article 10 sont conservées pendant toute la durée d’utilisation par l’usager du compte mentionné à l’article 1er du présent décret.
Elles sont supprimées à l’issue d’un délai de vingt-quatre heures en cas d’absence de validation de la création du compte et à l’issue d’un délai de sept jours en cas d’absence d’activation du compte. Elles sont supprimées à l’issue d’une période d’inactivité du compte de six ans.
Art. 12. – Les opérations de création, consultation, utilisation, mise à jour et suppression du compte font l’objet d’un enregistrement comprenant l’identifiant de l’auteur, la date, l’heure et l’objet de l’opération. Les informations relatives à ces opérations sont conservées pendant six ans et ne peuvent être consultées, par les agents mentionnés à l’article 8, qu’à la demande de l’usager ou, en cas de litige, après l’en avoir informé. L’usager en est alors destinataire.
Art. 13. – L’Agence nationale des titres sécurisés procède, au moment de la demande d’ouverture du compte mentionné à l’article 1er, à l’information de l’usager concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques.
Art. 14. – Les droits d’accès, de rectification, d’effacement et de limitation du traitement ainsi que le droit à la portabilité des données s’exercent auprès de l’Agence nationale des titres sécurisés dans les conditions prévues aux articles 15, 16, 17, 18 et 20 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
CHAPITRE II
DISPOSITIONS MODIFIANT LE CODE DE L’ENTRÉE ET DU SÉJOUR DES ÉTRANGERS ET DU DROIT D’ASILE
Art. 15. – La section 1 du chapitre unique du titre Ier du livre VI du code de l’entrée et du séjour des étrangers et du droit d’asile (partie réglementaire) est ainsi modifiée :
I. − A l’article R. 611-1 :
1° Au début de l’article, il est ajouté la mention : « I. − » ;
2° Au début du dernier alinéa, il est ajouté la mention : « II. − » ;
3° Le même article est complété par un alinéa ainsi rédigé :
« Le traitement automatisé prévu au I du présent article transmet au fichier national de contrôle de la validité des titres les informations relatives au numéro de titres émis, sa date de délivrance, sa date de fin de validité ainsi que l’indication relative au type de titre. Sont également transmis le statut des titres et, le cas échéant, les motifs de leur invalidité. »
II. − A l’article R. 611-5 :
1° Au début de l’article, il est ajouté la mention : « I. − » ;
2° L’article est complété par un alinéa ainsi rédigé :
« II. − Les données enregistrées dans le composant électronique prévu à l’article R. 311-13-1 du code de l’entrée et du séjour des étrangers et du droit d’asile, à l’exclusion de l’image numérisée des empreintes digitales, sont lues par le traitement mentionné à l’article 1er du décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé “Authentification en ligne certifiée sur mobile” ».
CHAPITRE III
DISPOSITIONS MODIFIANT LE DÉCRET No 2016-1460 DU 28 OCTOBRE 2016
Art. 16. – L’article 3 du décret du 28 octobre 2016 susvisé est complété par un alinéa ainsi rédigé :
« III. − Les données enregistrées dans le composant électronique prévu à l’article 2 du décret du 30 décembre 2005 susvisé, à l’exclusion de l’image numérisée des empreintes digitales, sont lues par le traitement mentionné à l’article 1er du décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile ».
Art. 17. – Le ministre de l’intérieur est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 13 mai 2019.
Par le Premier ministre :
EDOUARD PHILIPPE
Le ministre de l’intérieur,
CHRISTOPHE CASTANER
Source Légifrance