Décret n° 2022-676 du 26 avril 2022 autorisant la création d'un moyen d'identification électronique dénommé « Service de garantie de l'identité numérique » (SGIN) et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »

NOR : INTD2203658D
ELI : https://www.legifrance.gouv.fr/eli/decret/2022/4/26/INTD2203658D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2022/4/26/2022-676/jo/texte
JORF n°0098 du 27 avril 2022
Texte n° 27

Version initiale


Publics concernés : particuliers souhaitant s'identifier et s'authentifier électroniquement à l'aide d'un moyen d'identification électronique utilisant les données d'identification personnelle contenues dans le composant électronique de leur carte nationale d'identité.
Objet : création d'un traitement de données à caractère personnel permettant aux titulaires d'une carte nationale d'identité comportant un composant électronique d'utiliser un moyen d'identification électronique pour s'identifier et s'authentifier électroniquement auprès d'organismes publics et privés.
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication .
Notice : le décret autorise un traitement de données à caractère personnel relatif à la création d'un moyen d'identification électronique.
Ce traitement de données à caractère personnel propose aux détenteurs d'un équipement terminal de communications électroniques (téléphone portable) doté d'un dispositif de lecture sans contact, une application mobile visant à permettre une identification et une authentification électroniques. A cet effet, le décret autorise le traitement à lire les données enregistrées dans le composant électronique des cartes nationales d'identité, à l'exception de l'image numérisée des empreintes digitales.
La création du moyen d'identification électronique et son utilisation relèvent de l'unique volonté des usagers.
Le moyen d'identification électronique peut être utilisé par les usagers pour l'accès à des services en ligne proposés par des fournisseurs liés par convention à FranceConnect, des fournisseurs liés par convention aux responsables du traitement.
Le décret définit les finalités du traitement, la nature et la durée de conservation des données enregistrées ainsi que les catégories de personnes ayant accès à ces données ou en étant destinataires. Il précise les modalités d'exercice des droits des personnes concernées.
Le décret abroge le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » (ALICEM).
Références : le décret ainsi que le décret n° 2016-1460 du 28 octobre 2016 qu'il modifie, dans sa rédaction issue de cette modification, peuvent être consultés sur le site Légifrance (https://www.legifrance.gouv.fr).


Le Premier ministre,
Sur le rapport du ministre de l'intérieur,
Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment le e du 1 de son article 6 ;
Vu le règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille ;
Vu le code des postes et des communications électroniques, notamment son article L. 102 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité ;
Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d'identité ;
Vu le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu les avis de la Commission nationale de l'informatique et des libertés en date du 9 décembre 2021 et du 10 février 2022 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :


    • Le ministre de l'intérieur (secrétariat général) et l'Agence nationale des titres sécurisés (ANTS) sont conjointement autorisés à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Service de garantie de l'identité numérique » (SGIN).
      Ce traitement a pour finalité de mettre à disposition des titulaires d'une carte nationale d'identité comportant le composant électronique mentionné à l'article 1-1 du décret du 22 octobre 1955 susvisé un moyen d'identification électronique leur permettant de s'identifier et de s'authentifier auprès d'organismes publics ou privés grâce à une application qu'ils installent sur leur équipement terminal de communications électroniques permettant la lecture sans contact de ce composant.
      L'application permet à l'usager, notamment, de générer des attestations électroniques comportant les seuls attributs d'identité dont il estime la transmission nécessaire aux tiers de son choix.


    • Peuvent être traitées et enregistrées dans le traitement mentionné à l'article 1er les données à caractère personnel suivantes :
      1° Données permettant l'identification de l'usager :
      a) Le nom ;
      b) Le nom d'usage ;
      c) Le(s) prénom(s) ;
      d) La date de naissance ;
      e) Le lieu de naissance ;
      f) La nationalité ;
      g) Le sexe ;
      h) L'adresse postale extraite du composant électronique du titre ;
      i) Le cas échéant, l'adresse postale renseignée par l'usager ;
      j) La photographie de l'usager extraite du composant électronique du titre ;
      k) L'adresse de courrier électronique ;
      l) Le cas échéant, le numéro d'appel de l'équipement terminal de communications électroniques renseigné par l'usager ;
      2° Données permettant l'identification du titre détenu par l'usager :
      a) Le numéro et le type de titre ;
      b) La date de délivrance ;
      c) La date d'expiration ;
      d) Le statut de validité du titre (valide/invalide/inconnu) ;
      3° Données relatives à l'historique des transactions réalisées par l'usager, dans la limite d'un nombre maximal de transactions déterminé par les responsables de traitement :
      a) Le destinataire des données d'identification personnelle de l'usager ;
      b) La catégorie de la transaction ;
      c) Le statut de la transaction ;
      d) Le cas échéant, la durée de validité des données d'identification personnelle de l'usager transmises ;
      e) Le cas échéant, le motif de la transmission des données d'identification personnelle de l'usager ;
      f) L'horodatage de la transaction ;
      4° L'identifiant de l'équipement terminal de communications électroniques.


    • I. - Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, aux données et informations conservées sur le serveur des responsables du traitement en application du I de l'article 4, les agents des services du secrétariat général du ministère de l'intérieur et de l'Agence nationale des titres sécurisés chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre du traitement mentionné à l'article 1er, individuellement désignés et spécialement habilités par leur directeur.
      II. - Lorsque les usagers s'identifient et s'authentifient électroniquement pour accéder à des services en ligne, peuvent être destinataires, dans la limite du besoin d'en connaître :
      1° Le téléservice FranceConnect pour les seules données mentionnées aux a à e, au g et au k du 1° de l'article 2 ;
      2° Les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet, sans les modifier, les données mentionnées aux a à e, au g et au k du 1° de l'article 2 ;
      3° Les fournisseurs de téléservices liés par convention au ministère de l'intérieur et à l'Agence nationale des titres sécurisés pour les seules données mentionnées aux a à h et au k du 1° de l'article 2.
      Les responsables du traitement rendent publique la liste actualisée des fournisseurs de téléservices mentionnés au 2° et 3° du présent II.


    • I. - A l'exception de celles mentionnées au 3° de l'article 2, les données sont stockées sur le serveur géré par les responsables du traitement. Elles sont conservées pendant cinq ans à compter de la dernière vérification d'identité de l'usager du moyen d'identification électronique. Elles sont effacées de ce serveur dès lors que l'usager supprime son moyen d'identification électronique ou qu'il désinstalle l'application mobile de son équipement terminal de communications électroniques.
      II. - Les données mentionnées à l'article 2 sont stockées sur l'équipement terminal de communications électroniques de l'usager.
      A l'exception de celles mentionnées au 3° de l'article 2, ces données sont chiffrées par les responsables de traitement. Elles ne sont déchiffrées et accessibles que lorsque l'usager utilise l'application installée sur son équipement terminal.
      Ces données stockées sur l'équipement terminal de l'usager sont conservées pendant un délai de cinq ans au plus, à compter de la dernière vérification d'identité de l'usager du moyen d'identification électronique.
      III. - Les données stockées sur le serveur géré par les responsables du traitement et sur l'équipement terminal de l'usager sont automatiquement supprimées à l'issue d'un délai de deux mois si l'usager ne mène pas à son terme la création du moyen d'identification électronique.
      Elles sont automatiquement supprimées à l'issue d'une période d'inactivité du moyen d'identification électronique de deux ans.


    • Les opérations de création, de consultation, d'utilisation, de révocation et de suppression du moyen d'identification électronique font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération. Les informations relatives à ces opérations sont conservées pendant trois ans dans le serveur géré par les responsables du traitement et ne peuvent être consultées, par les personnes mentionnées au I de l'article 3, qu'à la demande de l'usager ou, en cas de litige, après l'en avoir informé.


    • Les droits d'information, d'accès, de rectification et le droit à la limitation du traitement s'exercent auprès des responsables du traitement dans les conditions prévues aux articles 13, 15, 16, 18 et 26 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.


    • Le III de l'article 3 du décret du 28 octobre 2016 susvisé est remplacé par les dispositions suivantes :
      « III. − Les données enregistrées dans le composant électronique prévu à l'article 1-1 du décret du 22 octobre 1955 susvisé, à l'exclusion de l'image numérisée des empreintes digitales, sont lues par le traitement mentionné à l'article 1er du décret n° 2022-676 du 26 avril 2022 autorisant la création d'un moyen d'identification électronique dénommé “ Service de garantie de l'identité numérique ” (SGIN) et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé “ Authentification en ligne certifiée sur mobile ”. »


    • Le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » est abrogé.


    • Le ministre de l'intérieur est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 26 avril 2022.


Jean Castex
Par le Premier ministre :


Le ministre de l'intérieur,
Gérald Darmanin

Extrait du Journal officiel électronique authentifié PDF - 238,8 Ko
Retourner en haut de la page