Recevez chaque jour toute l'actualité du numérique

x

Histoire, défis, enjeux : la carte nationale d'identité électronique est enfin là... et maintenant ?

Tribune La carte nationale d’identité numérique se concrétise enfin après 15 ans de travaux. L'occasion pour le Cabinet Caprioli & Associés de revenir sur les multiples enjeux liés à la gestion de l'identité numérique, socle du Marché Unique Numérique.
Twitter Facebook Linkedin Flipboard Email
×

Histoire, défis, enjeux : la carte nationale d'identité électronique est enfin là... et maintenant ?
Histoire, défis, enjeux : la carte nationale d'identité électronique est enfin là... et maintenant ? © IN Group

La gestion de l’identité numérique est au cœur de la crise sanitaire actuelle. Les initiatives sont nombreuses comme le démontrent la publication le 1er mars 2021 du référentiel Prestataire de Vérification d’Identité à Distance (PVID), la validation d’ALICEM par le Conseil d’Etat à la fin de l’année dernière ou encore la pré-notification d’un schéma d’identification français auprès de la Commission européenne.

Et tout dernièrement, la publication au Journal Officiel du 14 mars 2021 du décret n° 2021-279 du 13 mars 2021 portant diverses dispositions relatives à la carte nationale d'identité et au traitement de données à caractère personnel dénommé "titres électroniques sécurisés" (TES).

L’aboutissement d’un long, très long processus
Les enjeux sociaux, politiques, culturels et juridiques du passage de la carte nationale d’identité à une carte électronique sont débattus depuis plus d’une quinzaine d’années. En effet, la première initiative est apparue en 2005 avec le programme INES (Identité Nationale Electronique Sécurisée) lancé par le Ministère de l’Intérieur.

Longtemps suspendue à l’adoption d’un projet de loi relatif à l’identité, la Carte Nationale d’Identité Électronique devait voir le jour en 2006. En tant que telle, la Carte Nationale d’Identité Numérique aurait eu pour objectif de mieux garantir l’identité contre les risques d’usurpation et de détournement, de lutter contre le terrorisme, d’autoriser l’authentification du porteur en vue de l’utilisation de téléservices dans les relations avec les administrations ou autres et la signature électronique pour les services commerciaux et de consommation sur l’Internet ainsi que de simplifier les demandes de documents d’identité électronique et leur renouvellement.

Par la suite, la  loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité a été promulguée en ce sens et rappelle que "L'identité d'une personne se prouve par tout moyen. La présentation d'une carte nationale d'identité ou d'un passeport français en cours de validité suffit à en justifier." (article 1er). Cependant, cette  loi avait été partiellement censurée par le Conseil constitutionnel (Décision n° 2012-652 DC du 22 mars 2012).

Les Sages ont notamment censuré l’article 3 qui offrait la possibilité d’intégrer à la carte nationale d’identité des fonctions de signature électronique dans un cadre plus large de e-services, mais également l’article 5 qui prévoyait la création d’un fichier centralisé des identités et l'accès à cette base pour les agents de police et de gendarmerie (finalement établi par le Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité).

Comme un serpent de mer, le sujet de la Carte Nationale d’Identité Électronique a ressurgi au gré des changements politiques nationaux depuis 2012, mais c’est en 2019 que la situation se stabilise du fait de l’adoption du Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation. Ce Règlement impose aux États membres de l’Union européenne de mettre en place des documents d’identité biométriques comprenant la photographie et les empreintes digitales du titulaire (répondant aux normes OACI) et entre en vigueur le 2 août 2021.

Le décret instituant la Carte Nationale d’Identité Electronique !
Le Décret n° 2021-279 du 13 mars 2021 vient ainsi mettre en œuvre le règlement européen, la France précédant la date limite de près de six mois. Ce décret prévoit que soit intégré, au sein de la carte nationale d'identité, un composant électronique comportant des éléments biométriques, image numérisée de son titulaire ainsi que deux empreintes digitales, afin de se conformer aux prescriptions de l'Union européenne. Il impose également le recueil obligatoire des empreintes digitales, excepté pour les mineurs de douze ans, et ramène à dix ans la durée de validité des cartes nationales d'identité conformément aux prescriptions susmentionnées. Il prévoit aussi la présence d'un cachet électronique visible sur le titre contenant des données signées du titulaire.

De plus, le décret apporte des modifications à la procédure de délivrance des cartes d'identité, concernant les personnes détenues ou dans l'incapacité physique de se déplacer, en permettant la prise de photographies par les agents de préfectures ou de mairies qui se déplacent avec un dispositif de recueil mobile pour enregistrer les demandes de cartes d'identité. Par ailleurs, il procède à la mise en conformité du traitement de données au règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Mais un Décret a minima ?
Toutefois, il est à noter également que le Décret ne fait aucunement référence dans ses visas au Règlement eIDAS. Dès lors, la Carte Nationale d’Identité Electronique française n’a a priori pas vocation à devenir un schéma d’identification notifié auprès de la Commission européenne contrairement à celles de l’Italie, de l’Estonie, de la République Tchèque, de l’Espagne, de la Lituanie, de l’Allemagne, de la Slovaquie, du Luxembourg, de la Belgique, de la Croatie, de la Lituanie ou encore du Portugal.

Un choix stratégique pour l’heure en questionnement puisque le Ministère de l’Intérieur a précisé, s’agissant du développement de solutions d’identité numérique, par ailleurs, que "le composant électronique de la CNIe serait intégré au schéma d'identification électronique composé d'ALICEM ("Application de lecture de l'identité d'un citoyen en mobilité") et de FranceConnect" (Délibération CNIL n° 2021-022 du 11 février 2021 portant avis sur un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité et le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité (demande d'avis n° 20015262).

En outre, rien n’est évoqué expressément concernant la possibilité d’y recourir pour le e-Commerce, a contrario d’autres Etats membres de l’UE. La CNIE telle qu’établie semble répondre strictement au Règlement n°2019/1157, si ce n’est la présence d’un Cachet électronique visible.

Le Cachet électronique visible (CEV), une avancée pour la CNIE ?
L’article 1-3 nouveau du Décret du 22 octobre 1955 précise désormais : "La carte nationale d'identité comporte un cachet électronique visible en assurant l'authenticité et contenant les informations suivantes : le nom de famille, le cas échéant le nom d'usage, le premier prénom, le sexe, la nationalité, le lieu et la date de naissance du titulaire, le type de document, le numéro du titre et sa date de délivrance".

Il s’agit d’une implémentation spécifique d’un cachet électronique sous forme d’un code 2D visible contenant les données signées et la signature électronique de ces données. Au plan technique, les données à encoder dans le Code 2D-Doc sont limitativement énumérées (ajouter d’autres données est interdit) et doivent rentrer dans des champs imposés en fonction du type de document émis comme ici pour la CNIE.

Le standard à code barre bidimensionnel 2D-Doc consiste à insérer un code à barres 2D emportant les informations clés du document la date d'émission du document ou du code à barres 2D ; et ces informations sont verrouillées par une signature électronique du hash de ces données, qui garantit l'identification de l'organisme émetteur et l'intégrité du document. Ce dispositif est normalisé AFNOR XP Z42-101,102, 103 et 104.

Toutefois, rien n’indique comment ce CEV pourra être utilisé à l’avenir et l’on peut imaginer combien le recours à ce CEV pourrait être précieux si des e-commerçants pouvaient y recourir. Cette question mérite d’être creusée auprès des autorités compétentes.

Et la CNIL dans tout ça ?
La CNIL s’est prononcée sur le projet de décret dans le cadre d’une délibération n° 2021-022 du 11 février 2021. Dans ce cadre, elle se montre particulièrement vigilante concernant le fichier "Titres Electroniques Sécurisés" (TES) en raison de "son périmètre d’une ampleur inégalée et de la nature particulièrement sensible des données biométriques qu’il contient."

Elle souligne également les risques de la mise en place et du maintien d’une base centrale de données biométriques, de l’extension des données actuellement transmises au fichier national de contrôle de la validité des titres (traitement DOCVERIF), de la durée de conservation des éléments d’identification biométriques ainsi que les transmissions de données vers d’autres systèmes de traitement (comme Schengen ou INTERPOL) ou encore les transferts de données vers des pays tiers.  Un point particulier aura trait à la sécurité du traitement en cause et sur ce sujet, elle renvoie vers l’ANSSI.

Au-delà des débats éthiques que cette CNIE ne manquera pas de provoquer, il n’en reste pas moins vrai qu’elle répond à une exigence de l’Union Européenne et à un véritable besoin pour la citoyenneté numérique. A l’heure où les différents Pays membres se dotent de cet outil commun propre à garantir l’identité en son sein, il semble incontournable pour la France de se saisir de cette opportunité qui viendra en complément de tout le travail déjà initié par la DINUM via France Connect, ainsi que par le Programme interministériel France Identité Numérique. De nombreuses questions restent encore en suspens, les prochains mois seront à cet égard décisifs.

Eric A. Caprioli, Isabelle Cantero, Ilène Choukri, Pascal Agosti
Caprioli & Associés, société d’avocats membre du réseau JurisDefi



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.