Utilisation de FranceConnect

modifié par l'arrêté du 8 novembre 2018

Techno: Proposé par Max actualisé le 19 Nov. 2018.

Dans un précédent article consacré à FranceConnect, permettant de s’identifier et de s’authentifier auprès de services en ligne avec un identifiant unique. Jusqu'à présent, il n'était utilisable qu'avec un nombre limité de services en ligne, essentiellement public, quoiqu'il fût envisagé dès sa création d'étendre son utilisation par des partenaires du secteur privé

Un Arrêté du 8 novembre 2018 relatif au télé-service dénommé "FranceConnect " est publié au JO du 15/11/2018 abrogeant le précédent arrêté du 24 juillet 2015 concernant le même service FranceConnect, précise les conditions de mise en œuvre.

L'utilisation de FranceConnect n'est possible pour les partenaires privés que dans un cadre limité prévu à l'article 4 de l'arrêté tel que les services en ligne liés à la démarche de changement d’adresse et à ceux dont l’usage nécessite la vérification de l’identité de leurs utilisateurs ou de celle de certains de leurs attributs.

Le RGPD étant passé par là, les données à caractère personnel enregistrées sont décrites précisément ainsi que leur délai de conservation, qui ne doit pas excéder la durée de la session pour les éléments d'identification et six mois pour ceux liés à la traçabilité des accès.

La liste des données d'identification est répartie en deux groupes,
le premier obligatoire

• Genre;
• Nom de famille;
• le ou les prénoms;
• date et lieu de naissance complet;
• Une adresse de courrier électronique ;
• le cas échéant, le numéro d'inscription de l'entreprise ou de son établissement au répertoire des entreprises et de leurs établissements (SIREN ou SIRET) vérifié et utilisé dans les conditions fixées par les articles R. 123-220 et suivants du code de commerce ;
• clés de fédération ou "alias" générés par le système à la connexion de l'utilisateur ;
• alias technique unique propre au système obtenu par le hachage irréversible de tout ou partie des données à caractère personnel mentionnées au présent 1°. Cet alias technique est utilisé pour les seuls besoins du télé-service. Il n'est ni diffusé ni divulgué aux tiers ;

Le second facultatif :

• Nom d'usage ;
• Numéro de téléphone fixe ;
• Numéro de téléphone portable ;
• Adresse postale.

Les éléments nécessaires à la traçabilité des accès

• Adresse IP ;
• Dates et heures de connexion au service "FranceConnect" ;
• Jetons issus du mécanisme d'échange d'informations permettant de vérifier la bonne information de l'utilisateur et, le cas échéant, le recueil de son consentement.

Il s'agit d'informations couramment utilisées, collectées par nos nombreux et multiples services en ligne auxquels nous nous connectons ou renseignées par nos soins lors de l'inscription à ces mêmes services.

Toutefois, malgré les mesures de protection mises en place, utiliser un seul moyen d'identification pour se connecter à différents services en ligne, public ou privé, me parait être un non-sens en matière de confidentialité et de sécurité.

A cet effet, consultez les recommandations de l'ANSSI, dont la première est d'utiliser un mot de passe unique pour chaque service, d'autant que, chaque jour, nous apprenons que telles compagnies ou tels services en ligne ont faits l'objet de piratages avec des vols de données, d'identifiants etc.

Présenté comme devant simplifier :

• Les démarches et formalités administratives effectuées par le public et d’en assurer la traçabilité;
• L’accès du public aux services en ligne proposés par des partenaires privés;
• L'accès à des télé-services d’autres Etats membres.

L'adhésion à FranceConnect est, selon l'article 2 de l'arrêté, facultative. Facultative pour qui, quand on sait, au moins par expérience, que l'identification avec FranceConnect est obligatoire pour accéder à l'ensemble des fonctions du service comme par exemple sur le site Info-Retraite.

Conclusion: Un système d'identification centralisant l'ensemble de vos connexions à divers services en ligne, si ce n'est pas seulement un problème de sécurité, c'est pour le moins un véritable problème de confidentialité et de surveillance généralisée.

-