Articles avec le tag ‘CNIE’

postheadericon Le SGMAP lance un débat national sur l’identité numérique

Dans le contexte d’une carte nationale d’identité électronique toujours en stand by, d’un portail national de téléservices (mon.service-public.fr) qui a du mal à décoller et d’une relance du projet IDnum le gouvernement a décidé de lancer un débat national sur l’identité numérique. Le Secrétariat Général pour la Modernisation de l’Action Publique (SGMAP) a en effet publié une consultation publique pour clarifier la stratégie de l’Etat. L’objectif du gouvernement est de mettre en œuvre « une plateforme de service d’identité de confiance » mais dont les contours restent largement à préciser. Le document soumis à consultation est organisé autour de 11 questions auxquels collectivités et acteurs privés sont invités à répondre. Et ce ne sont pas les questions qui manquent : Quelles passerelles entre l’identité « régalienne » et les identités privées ? Comment simplifier la réalisation de téléservices sans menacer la vie privée des utilisateurs ? Comment concilier sécurité et diversité des usages / besoins de sécurité ? Que penser des « porte-clefs » ou wallet mutualisant les dispositifs de sécurité ? L’Etat ou les collectivités peuvent-ils confier l’enrôlement des profils utilisateurs à des entités privées ? Comment répondre aux nouveaux besoins comme la mobilité ? quelles synergies/mutualisation pour la gestion des identités numériques des fonctionnaires de l’Etat et des collectivités territoriales ? (…)

Les contributions sont à adresser au SGMAP avant le 15 juin.

postheadericon Pas de budget pour la CNIe, le projet reporté sine die

Le déploiement de la carte nationale d’identité électronique (CNIe) était initialement prévu pour 2009, en même temps que le système d’identification des véhicules (SIV) et du passeport biométrique. La censure partielle par le Conseil constitutionnel de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité, prévoyant la mise en place de la CNIe, le reporte de nouveau, au-delà de 2013. Les sages ont en effet rejeté la création d’une base de données nationale comportant des données traçantes (empreintes) outil jugé disproportionné eu égard au but poursuivi et contraire aux libertés fondamentales. Par ailleurs le volet services de la CNIE (certificat, accès aux services en ligne) a lui aussi enterré.

Le nouveau gouvernement n’a pas encore décidé du sort définitif de la CNIE mais le ministère de l’Intérieur a lancé une mission de l’IGA « chargée d’étudier, au regard de la décision du Conseil constitutionnel, la prise en compte, dans la procédure de gestion des futures CNIe et des passeports, des besoins opérationnels des services de sécurité et des services chargés de la délivrance de ces titres dans leur lutte contre la fraude ». En tout état de cause, aucun calendrier de mise en place de la carte nationale d’identité électronique n’a été fixé, et l’ANTS n’a prévu aucune dépense concernant la CNIe pour l’année 2013… (voir ce rapport budgétaire du Sénat)

On soulignera qu’en revanche, le dispositif de sécurisation des données d’état civil servant à élaborer CNI et passeports (dans un premier temps) est confirmé avec la génarlisation de Comedec annoncée pour 2013.

postheadericon CNIE : le fichier national et la signature électronique censurés

Les promoteurs de la carte nationale d’identité électronique – dont on parle depuis bientôt 10 ans  - n’en ont pas fini avec les déconvenues. Le conseil constitutionnel a en effet censuré deux dispositions phares du projet de loi relatif à l’identité. Tout d’abord, il a donné raison aux parlementaires de l’opposition en estimant que les dispositions créant le fichier national permettant un rapprochement entre les données biométriques et son titulaire « portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ». Les sages ont ensuite supprimé les dispositions autorisant la police et  la gendarmerie à accéder à cette base de données. Ils ont estimé « qu’en permettant que les données enregistrées dans ce fichier soient consultées à des fins de police administrative ou judiciaire, le législateur aurait omis d’adopter les garanties légales contre le risque d’arbitraire ».

Les sages ont par ailleurs censuré les dispositions de l’article 3 dotant la CNIE d’un certificat électronique facultatif permettant au titulaire de la carte de s’authentifier sur internet et de signer électroniquement des documents. Le Conseil constitutionnel estime « que les dispositions de l’article 3 ne précisent ni la nature des « données » au moyen desquelles ces fonctions peuvent être mises en œuvre ni les garanties assurant l’intégrité et la confidentialité de ces données ; qu’elles ne définissent pas davantage les conditions dans lesquelles s’opère l’authentification des personnes mettant en œuvre ces fonctions, notamment lorsqu’elles sont mineures ou bénéficient d’une mesure de protection juridique ».

Cette décision ne remet pas en cause l’existence même de la CNIE mais va contraindre le législateur à revoir les modalités techniques du dispositif, à limiter drastiquement les conditions d’accès à ce mégafichier et à mieux définir le périmètre d’utilisation de la CNIE pour d’autres usages. Autant de points sur lesquels la CNIL avait fait des propositions avec notamment l’idée de créer une base de données à « lien faible » où il est impossible de connaître la donnée biométrique d’une personne à partir de son identité et inversement d’identifier une personne à partir d’une donnée biométrique. Ce qui évite d’emblée tout risque de détournement d’usage de la base de données…

Dans l’immédiat cette décision reporte sine die la mise en place de la CNIE puisque la base de données est indispensable à son existence. Il faut donc maintenant attendre la nouvelle législature pour qu’un nouveau texte soit (éventuellement) mis à l’ordre du jour avec toutes les étapes inhérentes au processus législatif (avis de la CNIL, deux à quatre lectures…).

postheadericon CNIE : La base de données biométriques nationale fait polémique

Le lien faible contre le lien fort… Les débats sur la proposition de loi relative à l’identité, texte qui crée notamment la Carte nationale d’identité électronique, ont achoppé sur la nature de la base de données biométriques nécessaire au contrôle de l’identité des porteurs de CNIE. L’Assemblée soutient un lien fort, permettant de retrouver un individu à partir de son empreinte si la Justice l’exige dans des cas très limités, mais avec un fort risque de détournement progressif des usages comme on a pu le constater avec la base de données des empreintes génétiques. Le sénat, suivant l’avis de la CNIL, soutient pour sa part « un lien faible » (explications détaillées ici), où il n’est alors plus possible de connaître la donnée biométrique d’une personne à partir de son identité et inversement d’identifier une personne à partir d’une donnée biométrique. Après l’échec de la commission mixte paritaire, une nouvelle lecture est en cours (texte à venir pour l’adoption définitive à l’Assemblée) mais c’est la version de l’Assemblée nationale qui va prévaloir comme le prévoit la Constitution. En attendant plusieurs sites et observateurs ont pointé le doigt sur ce « fichage des gens honnêtes » et il est fort probable que l’opposition saisisse le conseil constitutionnel en arguant du caractère disproportionné du dispositif prévu par l’Assemblée et que les candidats à la présidentielle intègrent ce débat à leur campagne. Le déploiement de la CNIE dans les villes, annoncé un moment pour l’automne 2012, en serait décalé d’autant…

postheadericon CNIE : vers une indemnisation au titre délivré

Un groupe de travail a été mis en place par l’AMF au printemps dernier pour analyser les conséquences de la délivrance des nouvelles cartes d’identité électroniques (CNIE) pour les communes.Ce rapport, rédigé par un inspecteur général de l’administration, a été mis en ligne courant septembre.

L’arrivée des CNIE représente en effet un enjeu important pour les villes car le nombre de titres est beaucoup plus important : le rapport mentionne qu’en 2010, 8,741 millions demandes de passeports et CNI ont été traités, dont 6,15 millions pour les CNI. Pour faire face à cet accroissement de demandes, le rapport préconise d’augmenter le nombre de stations et – éventuellement – de mieux les répartir. Prenant l’hypothèse d’une délivrance de 15 titres par jour par machine, le rapport estime à 300 le nombre de stations supplémentaires nécessaires. Sur ce point, les villes ont souligné que l’arrivée des CNIE allait générer dans beaucoup de communes des travaux d’aménagement de locaux qui devront être compensés. Elles ont aussi estimé que la répartition des stations ne devaient pas être purement arithmétiques mais tenir compte des contraintes d’aménagement du territoire, en ville comme en zone rurale.

Le rapport est ensuite essentiellement consacré aux modalités d’indemnisation des communes équipées de stations pour les titres délivrés aux non résidents (selon le même principe que pour les passeports). Il préconise de privilégier – sans abandonner totalement la formule du forfait pour les petites communes – une indemnisation au titre délivré, ce qui correspond à une demande forte des grandes villes.

Il est en revanche étonnant que pour les bases de calcul, il n’ait été tenu aucun compte de la spécificité de la CNIE. A la différence du passeport, la CNIE va être dotée d’une puce dite de « vie quotidienne » permettant à l’usager de signer des documents électroniques et de s’authentifier sur internet. Comme le montrent les exemples belges et lituaniens, ces fonctions doivent être expliquées si l’objectif est bien que les citoyens s’en serve… L’explication lors de la délivrance semble s’imposer mais à ceux conditions. D’une part il faut que les agents soient formés (sur la signature électronique, la sécurité des données personnelles…), d’autre part il faut que les communes soient indemnisées d’autant plus que ces fonctions vont bénéficier à d’autres organismes (état, banques, CAF…).

Le rapport annonce la délivrance des premières CNIE à l’automne 2012. Sous réserve que la proposition de loi soit définitivement  adoptée car pour le moment elle est toujours en instance de seconde lecture au sénat.

postheadericon Base de données centralisée, risque de traçage des individus, la CNIE suscite de fortes critiques

L’Assemblée natioanle a adopté le 7 juillet dernier (en première lecture) la proposition de loi relative à la protection de l’identité, qui vise à instaurer la carte nationale d’identité électronique (CNIE). Le nouveau titre sera doté de deux puces. La première, à accès limité et très sécurisée, contiendra les données d’identification biométriques du porteur. La seconde, dite puce de vie quotidienne, pourra être utilisée pour signer des documents électroniques ou s’identifier sur internet.

Les débats se sont concentrés sur la création d’une base de données unique répertoriant les possesseurs de carte avec leurs données biométriques, dont cinq empreintes digitales. Les députés sont en effet revenus sur les restrictions d’usage introduites par les sénateurs en première lecture. Ceux-ci avaient souhaité qu’à partir du fichier central, les autorités de police ne puissent faire de lien univoque entre l’identité d’un individu et ses empreintes digitales, suivant ainsi les recommandations de la CNIL. Le rapporteur du texte Philippe Goujon (UMP) a estimé que « seul un dispositif associant une identité à des éléments biométriques permettrait de traiter efficacement et systématiquement le problème de l’usurpation d’identité ». Serge Blisko (PS) a pour sa part rappelé que la France n’avait créé de fichier de la population qu’une seule fois, en 1940 sous le régime de Vichy dont on sait l’usage qui a été fait… Faisant allusion à Orwell, le député a par ailleurs jugé « inadéquate et inopportune » la puce services qui induit le risque d’un traçage des faits et gestes de tous les citoyens. L’opposition saisira du reste le conseil d’Etat et le conseil constitutionnel le temps venu (il y a encore deux lectures).

Enfin on notera que la députée Delphine Balto s’est émue des conséquences pratiques et organisationnelles de la délivrance des CNIE en mairie et de l’absence d’étude d’impact comme l’avait souligné l’AMGVF (voir le communiqué).

postheadericon MAJ 06/07 CNIE : réfléchir aux usages

MAJ 06/07 : dans un communiqué publié ce jour, l’AMGVF veut « une juste compensation » pour la délivrance des CNIE, car il faudra notamment expliquer aux usagers le fonctionnement de la puce « vie quotidienne ». par ailleurs, l’AMGVf en profite pour dénoncer l’idée émise par la Mission d’évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) de faire délivrer des cartes vitales biométriques en mairie au nom de la lutte contre la fraude. »Les grandes villes refusent d’assumer une tâche qui incombe aux seules administrations sociales et viendrait introduire un peu plus de confusion dans la répartition des compétences entre administrations publiques » explique le communiqué..

Discutée les 6, 7 et 8 juillet à l’Assemblée nationale le texte créant la carte nationale d’identité électronique devra encore attendre deux lectures, un avis de la CNIL et un décret pour voir le jour. Sans compter la probable saisine du conseil constitutionnel par l’opposition…Un délai qui mériterait d’être mis à profit pour réfléchir aux moyens de favoriser les usages de la CNIE dans la vie quotidienne. Car ces nouveaux usages ne coulent pas de source. En Belgique, où la CNIE existe depuis plusieurs années, l’usage des fonctions de signature et d’authentification restent ainsi peu développés. Aussi les pays ayant lancé une carte de ce type cherchent-ils des leviers pour faciliter l’usage du certificat. En Allemagne, il a été décidé de fournir au possesseur d’une CNIE un lecteur de carte à puce, périphérique indispensable à l’utilisation des fonctions de sécurité depuis son ordinateur personnel. Mais la politique la plus aboutie semble être celle de l’Estonie. Dans ce pays de la taille d’une ville (1,3 million d’hab.), la stratégie a été de multiplier les usages. La CNIE fait ainsi office de ticket de bus, permet d’écrire des mails cryptés (avec une adresse mail officielle @eesti.ee), de payer ses impôts, de voter électroniquement et de réaliser des transactions bancaires. Une application gratuite est par ailleurs mise à disposition des utilisateurs et le gouvernement promeut la signature de fichiers, signés sur le poste utilisateur après téléchargement, plutôt que l’authentification en ligne où une grande variété de dispositifs techniques coexiste. Mais le décollage des usages (450 000 utilisateurs) est aussi lié à la multiplication des supports (mobile, clef USB en plus de la carte plastique) et à la mise à disposition de cartes « allégées » – excluant certaines données personnelles comme la photo et délivrées pour 3 ans – pour ceux qui craignent un effet « big brother ».

Dans tous les cas, la CNIE demandera d’évidence de la pédagogie pour expliquer l’intérêt de la « puce citoyenne ». Une tâche que l’ANTS aimerait évidemment confier aux agents municipaux…

 

postheadericon CNIE : quel impact organisationnel et financier pour les grandes villes ?

Le sénat a adopté le 31 mai la proposition de loi relative à l’identité créant la carte nationale d’identité électronique (CNIE). Cette carte d’identité, destinée à lutter contre la fraude à l’identité, comportera une puce avec des données d’identification, dont les empreintes digitales du porteur, et une autre puce dite de vie quotidienne permettant à son porteur, s’il le souhaite, de s’authentifier sur internet et de signer des documents.

La proposition de loi initiale du sénateur Lecerf a été amendée pour renforcer la protection des détenteurs et éviter tout détournement dans l’usage de la base de données créée par le texte. La base centrale de données biométrique sera ainsi à « liens faibles ». Comme l’explique le rapporteur du texte, Francois Pillet, « il s’agit, d’une technique qui exclut la possibilité de retrouver une identité sur la base d’un seul élément recueilli lors de l’établissement d’une carte nationale d’identité, en particulier les empreintes ou le visage. Ce système, qui rend impossible l’identification d’une personne à partir d’une donnée biométrique, permet en revanche la détection de la fraude à l’identité par la mise en relation de l’identité alléguée et celle des empreintes du demandeur de titre. » Sur le volet signature, les sénateurs ont précisée que l’utilisation d’une CNIE ne pourrait être exigée par les services en ligne, la CNIE restant gratuite et facultative comme la CNI actuelle.

En revanche, comme l’a fait remarquer la sénatrice Michèle André, le texte reste muet sur le volet organisationnel et financier. Rappelant les problèmes qu’avaient générés la mise en place du passeport biométrique dans les 2000 villes habilitées à les délivrer, la sénatrice a regrettée que  le texte ne comporte pas « d’évaluation préalable de l’impact opérationnel et financier de l’entrée en vigueur de la nouvelle carte d’identité ». Le système d’indemnisation pour le passeport est aujourd’hui forfaitaire fondé sur une base de 30% d’usagers extérieurs à la commune instruisant les demandes, la sénatrice estime que  « le dispositif mérite d’être revu dès lors que la délivrance des cartes d’identité débouchera sur un surplus de travail dans les mairies, puisque nous pouvons penser que les demandes de cartes d’identité seront deux fois plus nombreuses que pour les passeports ».On ajoutera que concomitamment, les mêmes agents vont devoir gérer le nouveau dispositif d’échange de données dématérialisées d’état civil qui va lui aussi peser sur l’organisation des services accueil des mairies. Cette étude d’impact est donc particulièrement nécessaire si l’on souhaite éviter files d’attente et le mécontentement des usagers que cela risque d’occasionner.

Le texte doit maintenant être examiné par l’Assemblée nationale, le député Philippe Goujon en sera le rapporteur mais il faudra encore deux lectures pour qu’il entre en vigueur.

postheadericon IDnum : une étude pour affiner le modèle économique

Lancé en février 2010, le projet IDNum vise à labelliser des dispositifs d’authentification existants ou à venir (clef USB, carte, certificat, mobile…) proposant un haut niveau de sécurité et reconnus par un large spectre de services en ligne : banques, sites de e-commerces, téléservices administratifs… Cet identifiant unique promet de faciliter la vie des internautes – qui doivent aujourd’hui gérer en moyenne plus d’une douzaine de login/mots de passe – tout en leur garantissant un haut niveau de protection de leurs données personnelles.

Le projet, qui était censé déboucher sur des offres fin 2010, a cependant pris du retard et pour le moment IDnum est avant un tout un consortium composé d’acteurs comme La Poste, France Télécom-Orange, SFR et la Fédération française bancaire. Il est vrai que la question centrale, celle du modèle économique – qui paie pour un service estimé à 12 euros par an et par internaute – n’est toujours pas tranchée. C’est du reste pour cela qu’Eric Besson vient de lancer une étude « de préfiguration », confiée au cabinet McKinsey et pilotée par la Caisse des dépôts et consignations, qui doit rendre ses conclusions « sous trois mois et son rapport final à l’automne » afin de « préconiser un modèle économique pour un déploiement à grande échelle ».

Une étude qui devra aussi positionner ce projet par rapport aux services gratuits, très simples d’utilisation mais peu sécurisés, proposés par des sites comme Facebook (Facebook connect) et par rapport à la carte nationale d’identité électronique. Même si officiellement le Gouvernement parle de « complémentarité » on rappellera que le CNIE va proposer des fonctionnalités de signature et d’authentification qui seront gratuites. Mais le calendrier de déploiement de la CNIE reste très incertain. Pour le moment, la proposition de loi du sénateur Lecerf a franchi la première étape en étant adoptée par le sénat début juin mais le parcours législatif est loin d’être terminé. Les industriels iront-ils plus vite que les parlementaires ?

postheadericon Le texte sur la CNIE, modifié par la commission des lois du sénat, discuté le 27 avril

La proposition de loi du sénateur Jean René Lecerf sur la protection de l’identité sera examinée le 27 avril sur la base du texte modifié par la commission des lois. La principale disposition du texte concerne l’institution d’une carte d’identité électronique (CNIE) qui sera dotée de deux puces distinctes et « étanches »

  • La première, dite régalienne, sera réservée à la vérification de l’identité du porteur et contiendra notamment les données biométriques parmi lesquelles 8 empreintes digitales
  • La seconde, dite puce de« vie quotidienne », contiendra des données d’identité classiques (nom prénom, adresse) et pourra être lue par des dispositifs diffusés dans le commerce  raccordés à un ordinateur personnel. Cette puce sera un moyen de s’authentifier en ligne et permettra de signer des documents.

La seconde disposition importante concerne la création d’un fichier central contenant l’ensemble des données requises pour la délivrance du passeport et de la carte nationale d’identité, notamment celles qui seront inscrites sur le composant électronique de ces titres d’identité (état civil du titulaire, données biométriques, domicile).

La commission des lois du Sénat a apporté plusieurs amendements visant à renforcer la protection des libertés :

  • Le fichier central biométrique ne pourra pas être utilisé à des fins de recherches criminelles. La base biométrique sera par ailleurs « à lien faible », c’est-à-dire interdira qu’un lien univoque soit établi entre une identité civile et les empreintes digitales de l’intéressé.
  • La vérification de l’identité via les empreintes digitales (puce régalienne) ne pourra être effectuée que par des agents habilités
  • Le porteur du titre pourra sélectionner les données qu’il souhaite transmettre lors de l’utilisation de son titre pour des formalités /transactions en ligne
  • L’utilisation d’une CNIE pour un téléservice ne pourra être rendu obligatoire, la CNIE restant un document facultatif.

Enfin on signalera que les modifications d’actes d’état civil (mentions) opérées à l’aide d’une identité se révélant a posteriori usurpée seront distinguées des autres mentions.

Ce texte – sensible du fait de la création d’une base de données centrale, ce qui est nouveau et reste très sensible après l’épisode vichyssois – doit maintenant faire l’objet de deux lectures dans chacune des deux chambres. L’objectif affiché est d’adopter le texte avant la fin de l’année, les premières CNIE étant délivrées fin 2011 / début 2012. Un pari compte tenu du calendrier parlementaire chargé et de cette année préélectorale ?

TIC*