Une carte d’identité 2.0 en attendant la version 3.0 ?
LES FAITS
- Le gouvernement a publié au Journal Officiel un décret rentré en vigueur le 15 mars, pour permettre l’émission en France de la nouvelle carte d’identité électronique à puce (CNIe).
- Ce décret ne traite pas des fonctionnalités d’identité numérique et ne prévoit, pour l’heure, que l’usage régalien du titre d’identité à puce. La place Beauvau semble en effet temporiser sur le sujet, ce que disent regretter certains acteurs de l’ACN (Alliance de la Confiance Numérique) et parlementaires investis sur le sujet.
- Pour autant, FranceConnect continue d’étendre les services accessibles numériquement aux Français, avec l'intégration de Pôle Emploi et bientôt de la CAF, sur la base d’une identité numérique faible.
- Prochainement FranceConnect+ permettra de sécuriser l’accès à des services sensibles avec des moyens a minima substantiels, tels que celui du groupe La Poste déjà qualifié.
- Ce décret modifie également de façon substantielle le décret lié à la base des données TES (fichier des titres électroniques sécurisés) et à ses interconnexions avec d’autres systèmes d’information pour diminuer le risque d'usurpation d'identité, notamment DocVerif, les bases européennes et internationales SIS et LTD Interpole ou les logiciels de la gendarmerie et de la police.
- Le décret abaisse les durées de conservation des données d’identification dans la base centralisée TES (à 15 ans, au lieu de 20).
- Elle permettra surtout au citoyen de demander à ce que ses données empreintes numérisées soit détruites au bout de 90 jours ; dans ce cas, seules les données sur format papier seraient conservées. Ce faisant, la France se conforme à la règlementation européenne sur les cartes d’identité et aux pratiques des autres Etats.
- Mais ceci n’élude pas les recommandations fortes de la CNIL dans son avis sur ce décret. Par exemple, pour éviter tout risque d’identification par cette base centralisée TES, elle demande, comme l’ANSSI, de confier les moyens de déchiffrement de la base à un tiers, de sorte que ni le ministère ni l’autorité tierce ne puissent, seuls, avoir les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires. L'avis de la CNIL pourrait donc favoriser des remises en cause juridiques de ces articles.
ENJEUX
- Se conformer à la nouvelle règlementation européenne pour l’harmonisation des cartes d’identités. Cette dernière donne en effet une date butoir à sa mise en application au 2 août 2021.
- Démarrer au plus tôt la phase pilote : deux arrêtés autorisent l’émission des premières cartes, dès mars et avril 2021, à des citoyens de La Réunion et des départements de l’Oise et de la Seine-Martime.
- Sécuriser la carte d’identité avec de nouvelles sécurités physiques et digitales à l’état de l’art : l'objectif est de diminuer les risques d’usurpation d’identité et de renforcer les détections de fraude, par exemple lors des phases d’identification pour une ouverture de compte bancaire.
- Rendre plus fluide et plus rapide le KYC à distance grâce aux nouvelles fonctionnalités digitales de la carte (puce, CEV) : elles vont faciliter la collecte et la vérification des données d’identité, tout en se conformant aux exigences les plus élevées du nouveau référentiel PVID de l’ANSSI.
- Rendre transparent et acceptable le projet de l’identité numérique régalien sur la base de la CNIe avec une nouvelle série de concertations avec des associations de la société civile. Elles viendront en complément des rapports du Parlement et du CNNum sur le sujet.
MISE EN PERSPECTIVE
-
Cette nouvelle CNIe, même gratuite, demeurera non obligatoire. En France, l’identité régalienne se prouve par tout moyen ; et un titre d’identité peut le permettre. L’émission de cette nouvelle carte coûtera au gouvernement 32 millions d’euros par an.
-
Lors du rapport parlementaire de début 2020, le groupe Imprimerie Nationale avait témoigné d’une capacité comprise entre 200 000 et 500 000 cartes par mois en phase pilote (soit en mars/avril 2021) ; puis d’une volumétrie moyenne de 6,5 millions de cartes par an, avec un rythme maximum de 9,5 millions de CNIe par an. Le Ministère de l’Intérieur cible un lissage de cette capacité pour renouveler les cartes sur 10 ans, notamment en raison de l’impact massif sur les mairies.
-
Ce décret ne décrit pas les fonctionnalités d’identité numérique de la CNIe, qui pourraient selon la CNIL, « faire l’objet de textes futurs, législatifs ou réglementaires ». Pour rappel, le Conseil Constitutionnel a invalidé en 2012 un texte ouvrant la carte d'identité à puce à de nouvelles fonctionnalité, hors champ du régalien.
-
Pour les fonctionnalités d’identité numérique de la carte, la CNIL recommande de prendre en compte l’inclusion numérique, ainsi que des solutions respectueuses de la vie privée : divulgation sélective, pseudonymisation sectorielle par des protocoles cryptographiques avancés de la puce. Or, pour l’heure, l’appel d’offre de l’ANTS pour un futur Système de Gestion de l’Identité Numérique (SGIN) ne réfère qu’une spécification a minima du potentiel protocolaire du référentiel commun franco-allemand eIDAS token. La carte pourrait donc être mise sur le terrain avec un composant qualifié avec choix d’operating système (OS) non encore validé pour la fonctionnalité d’identité numérique.
-
Le décret ne permet donc pas de débloquer le projet de l’ANTS SGIN (évalué entre 26 et 42 millions d’euros) pour la mise en œuvre des fonctionnalités de l’identité numérique de la CNIe et son utilisation par les utilisateurs au format Web ou sur une application mobile (évolution de ALICEM). Ce projet a pourtant déjà fait l’objet d’un appel d’offre début août et les soumissionnaires sont toujours en attente de réponse. Le planning initial prévoyait un T0 en janvier 2021 pour une première version de SGIN en juillet 2022.
DESCRIPTIF DE CETTE NOUVELLE CARTE
- Une durée de vie réduite à 10 ans pour tous
- Un format identique à celui d’une carte bancaire (format ID1)
- Une fabrication selon les textes législatifs de 1993 par le Groupe Imprimerie Nationale.
- Un matériau plus sécurisé et plus durable que ceux des cartes bancaires (tels que le polycarbonate) et un assemblage multicouche complexe et « soudé » pour éviter la fraude.
- Pour lutter contre la falsification du titre, les données ne seront pas imprimées mais gravées au laser dans le matériau
- Comme pour le passeport biométrique, la carte a uniquement une fonctionnalité de puce sans contact (même si présence d’un module métallique visible). La puce sans contact ICAO contient outre les données de l’état civil, une photo et les empreintes numérisées de deux doigts.
- Pour permettre une solution alternative de vérification de l’authenticité du document à la vérification du contenu de la puce par NFC, un Cachet Electronique Visible (CEV) est également imprimé au verso, qui pourrait faciliter de nombreux cas d’usage de vérification d’identité.