La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l’intérieur d’une demande d’avis concernant un projet de décret en Conseil d’Etat autorisant la création d’un moyen d’identification électronique dénommé « Service de garantie de l’identité numérique » et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés »), notamment son article 8-I-4°-a) ;
Sur la proposition de M. Claude CASTELLUCCIA, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :
La Commission a été saisie à nouveau en urgence le 27 janvier 2022 d'une demande d'avis portant sur certaines modifications du projet de décret en Conseil d’Etat autorisant la création d’un moyen d’identification électronique dénommé « Service de garantie de l’identité numérique » (ci-après « SGIN ») et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » (ci-après « ALICEM »), qu’elle avait examiné dans son avis n° 2021-151 du 9 décembre 2021.
La Commission ne se prononce dans le présent avis que sur les modifications apportées au projet de texte et renvoie pour le reste à sa délibération du 9 décembre 2021. La saisine modificative a deux objets principaux : modifier la désignation des responsables de traitement et préciser l’étendue de cette responsabilité.
Sur la désignation des responsables de traitement
L’article 1er du projet de décret prévoit désormais que l’Agence nationale des titres sécurisés (ci-après « ANTS ») est co-responsable du traitement « SGIN » aux côtés du ministère de l’intérieur. A cet égard, la Commission prend acte des précisions apportées par le ministère de l’intérieur selon lesquelles cet ajout est réalisé pour tenir compte de l’évolution récente de la gouvernance du projet interministériel de développement de l’identité numérique.
Il est rappelé que conformément à l’article 26 du RGPD, les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences de la règlementation « informatique et libertés » (loi et règlement) par voie d'accord entre eux, sauf si, et dans la mesure où, leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'Etat membre auquel les responsables du traitement sont soumis. En tout état de cause, l’accord ou la législation en question doit refléter les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Conformément aux lignes directrices du Comité européen de la protection des données relatives aux concepts de responsable de traitement et de sous-traitant dans le RGPD en date du 7 juillet 2020, la Commission recommande que ces rôles et ces responsabilités soient définis dans le présent projet de décret.
La Commission relève que l’article 3 du projet de texte a été modifié afin d’inclure les agents de l’ANTS chargés de la maîtrise d’ouvrage et de la maîtrise d’œuvre du traitement en tant qu’accédants aux données du traitement « SGIN ». Elle prend acte de ce que cette modification reflète les changements de gouvernance du projet interministériel mentionnés ci-dessus.
Enfin, l’article 5 du projet de décret devra être modifié en conséquence et mentionner « les responsables de traitements ».
Sur l’étendue de la responsabilité de traitement de l’administration et l’objet du décret
Le ministère s’interroge sur l’étendue de la responsabilité de traitement et les éléments à faire figurer dans le décret lorsque l’administration prévoit de mettre à disposition des usagers une application à télécharger sur leurs téléphones portables pour leur fournir un service et que cette application sera amenée à traiter les données à caractère personnel de l’usager.
Selon la règlementation « informatique et libertés », est responsable de traitement celui qui détermine les finalités et les moyens du traitement. S’agissant de la fourniture des services publics administratifs, la Commission considère généralement que l’administration, qui détermine unilatéralement les modalités de ses services publics et peut les modifier, endosse la responsabilité des traitements, y compris lorsqu’elle ne fait que fournir un service à l’usager à sa demande. Dans certains cas particuliers, lorsqu’elle se contente de mettre à disposition des usagers une application ou un logiciel qui est installé et désinstallé sur leur terminal à leur discrétion, avec un traitement et une conservation des données locaux, les traitements sont parfois considérés comme étant sous la seule responsabilité de l’usager (v. CNIL, délibération n° 2020-135 du 17 décembre 2020).
En l’espèce, la Commission relève que l’opération d’enrôlement des usagers dans l’application, la fourniture du service d’identification et d’authentification à des services en ligne ainsi que la génération d’attestations impliquent des interactions avec les serveurs du ministère. Ces opérations se feront donc sous la responsabilité du ministère de l’intérieur et de l’ANTS, qui apparaissent responsables de l’ensemble des traitements liés à l’application proposée aux usagers. Si le dispositif de vérification des attestations d’identité par des tiers devait être mis en œuvre sous la seule responsabilité de ceux-ci, l’administration devrait a minima être en charge de s’assurer de la sécurité du dispositif employé et de sa conformité à la réglementation « informatique et libertés ».
La Commission approuve donc les modifications apportées à l’article 1er pour mieux décrire les services apportés à l’usager et, notamment, la mention explicite de la faculté pour l’usager de générer ses attestations (telle qu’elle l’avait recommandée dans sa délibération du 9 décembre 2021).
Elle invite le Gouvernement à mieux distinguer, à l’article 2, pour chaque fonctionnalité (identification, authentification, attestation, etc.), ce qui relève des données traitées par l’administration, qui ont vocation à être encadrées par le décret, et des données stockées par l’usager sur l’application de son ordiphone, qui ne seront pas traitées sur les serveurs de l’administration, tels que notamment certains éléments de l’historique des transactions.
Par ailleurs, il apparaît opportun de limiter le nombre maximal de transactions conservé dans l’historique, ou de permettre à l’usager de le régler, cette information constituant une donnée à caractère personnel qui pourrait être récupérée par un tiers en cas de vol de l’ordiphone.
Sur les autres modifications apportées au projet de décret
La Commission formule en outre les observations complémentaires suivantes :
La Commission relève que la précision selon laquelle « Le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie » a été retirée de l’article 2 du projet de décret listant les informations pouvant être traitées et enregistrées dans le traitement « SGIN ». La Commission regrette la disparition de cette mention qui permettait de mentionner explicitement qu’aucun traitement supplémentaire de données biométriques ne serait réalisé du fait de la mise en œuvre du traitement projeté. Elle rappelle que, dès lors que le traitement ne comporte pas, parmi la liste des données, de gabarit biométrique mais seulement la photographie, le décret n’autorisera pas le recours à la reconnaissance faciale, qui conduirait à traiter une telle donnée, qui relève des données sensibles (voir CNIL, séance plénière, 25 juin 2020, avis sur projet de décret PASP, n° 2020-064).
La Commission relève que l’article 3 a été complété de sorte à obliger les responsables de traitement à rendre publique la liste actualisée des fournisseurs de services liés par convention à « FranceConnect » et ceux liés par convention au ministère de l’intérieur et à l’ANTS. Cette initiative est fortement encouragée par la Commission.
La Commission relève que la mention relative à l’accès des usagers à leurs données d’identité mentionnées aux a à k, à l’exception du i du 1° de l’article 2, a été supprimée du projet de texte. La Commission s’interroge quant à cette suppression et rappelle qu’il est important que les usagers puissent prendre connaissance des informations les concernant stockées à l’intérieur de l’application, conformément au principe de transparence.
La Commission relève que la mention initialement prévue à l’article 6, qui écartait le droit d’opposition, a été retirée du présent projet de décret. Le ministère a précisé ce droit s’appliquerait de facto par la désinstallation de l’application mobile entraînant automatiquement l’effacement des données stockées sur le serveur et l’ordiphone, à l’exception de celles conservées en vue de la résolution d’éventuels contentieux. Elle prend acte de ce que le droit d’opposition s’appliquera, selon le droit commun et y compris pour toutes les opérations de traitement des données qui relèveront de l’administration, et estime que l’effacement de l’application constitue une modalité appropriée d’exercice de ce droit. Elle recommande que les mentions d’information de l’application précisent que la désinstallation de l’application entraîne à la fois la suppression des données conservées localement et celles stockées en base centrale par le ministère et l’ANTS à l’exception des données identifiant le titre (numéro et type) et des traces en vue de la résolution d’éventuels contentieux.
Enfin, eu égard aux modifications apportées entre le premier projet de décret soumis à la Commission en 2021 et celui-ci, la Commission demande que l’analyse d’impact relative à la protection des données à caractère personnel soit mise à jour.
La Présidente
Marie-Laure DENIS
CNIL — 3 Place de Fontenoy, TSA 80715 –
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site officiel :
www.cnil.fr
Les données personnelles nécessaires
à l’accomplissement des missions de la CNIL
sont traitées dans des fichiers destinés
à son usage exclusif.
Les personnes concernées peuvent exercer leurs droits Informatique et Libertés en s’adressant au délégué à la protection des données (DPO) de la CNIL via un formulaire en ligne ou par courrier postal. Pour en savoir plus :
www.cnil.fr/donnees-personnelles.