Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect »

JORF n°0180 du 6 août 2015 page 13487
texte n° 4




Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect »

NOR: PRMJ1518229A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2015/7/24/PRMJ1518229A/jo/texte


Le Premier ministre,
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations ;
Vu l'ordonnance n° 2005-395 du 28 avril 2005 relative au service public du changement d'adresse ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu la délibération n° 2015-254 de la Commission nationale de l'informatique et des libertés en date du 16 juillet 2015,
Arrête :


Il est créé, par la direction interministérielle des systèmes d'information et de communication (DISIC), un téléservice dénommé « FranceConnect ».


Le téléservice a pour finalité de proposer aux usagers de s'identifier et de s'authentifier, auprès de fournisseurs de téléservices, au moyen de dispositifs mis en œuvre par des fournisseurs d'identité partenaires de « FranceConnect ».
« FranceConnect » repose sur une fédération d'identités et permet :


- la simplification des démarches et formalités administratives effectuées par les usagers et d'en assurer la traçabilité et le suivi ;
- de sécuriser le mécanisme d'échange d'informations entre autorités administratives prévu par l'article 16 A de la loi du 12 avril 2000 susvisée. Le téléservice assure uniquement une fonction de mise en relation des autorités administratives, sans traiter des données susceptibles d'être échangées dans le cadre de l'article 16 A de la loi du 12 avril 2000 susvisée ;
- aux usagers, d'accéder à des téléservices d'autres Etats membres en respectant les dispositions prévues par le règlement du 23 juillet 2014 susvisé, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.


L'adhésion au téléservice « FranceConnect » est facultative.


Les catégories de données à caractère personnel enregistrées sont les suivantes :
1° Pour la gestion de l'identification :
De façon obligatoire :


- le sexe ;
- le nom de famille ;
- le(s) prénom(s) ;
- la date et le lieu de naissance complet ;
- le cas échéant, le numéro d'inscription de l'établissement au répertoire des entreprises et de leurs établissements (SIRET) vérifié et utilisé dans les conditions fixées par les articles R. 123-220 et suivants du code de commerce ;
- les clés de fédération ou « alias » générés par le système à la connexion de l'usager ;
- un alias technique unique propre au système obtenu par le hachage irréversible de tout ou partie des données à caractère personnel mentionnées au présent 1°. Cet alias technique est utilisé pour les seuls besoins du téléservice. Il n'est ni diffusé ni divulgué aux tiers.


De façon facultative :


- le nom d'usage ;
- le numéro de téléphone fixe ;
- le numéro de téléphone portable ;
- l'adresse de courrier électronique ;
- l'adresse postale.


2° Pour la gestion de la traçabilité des accès :


- l'adresse IP de l'usager ;
- les dates et heures de connexion des usagers au téléservice ;
- les jetons issus du mécanisme d'échange d'informations permettant de vérifier la bonne information de l'usager et, le cas échéant, le recueil de son consentement.


Les destinataires ou catégories de destinataires des informations enregistrées par le traitement sont les seuls autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire.
En outre, les données enregistrées de façon obligatoire mentionnées au 1° de l'article 3 sont adressées à l'INSEE pour consultation du répertoire national d'identification des personnes physiques, à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle-même.


L'adhésion au téléservice par les partenaires est subordonnée à l'envoi préalable à la Commission nationale de l'informatique et des libertés, en application du III de l'article 27 de la loi du 6 janvier 1978 susvisée, d'une déclaration faisant référence au présent texte. Cette déclaration dite de conformité à un acte réglementaire unique s'effectue par téléprocédure sur le site internet de la CNIL.
Toutefois, cette déclaration ne couvre pas la mise en œuvre des traitements de données à caractère personnel liés aux services propres de chaque partenaire qui restent soumis à l'accomplissement des formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 susvisée.


Les données à caractère personnel relatives à la gestion de l'identification sont conservées pendant la durée de la session de l'usager. Au-delà de cette durée, elles sont détruites sans délai.
Les données relatives à la gestion de la traçabilité des accès sont supprimées, en l'absence de connexion de l'usager pendant une durée de six mois.
Les clés de fédération et l'alias technique unique propre au système sont supprimés, en l'absence de connexion de l'usager pendant une durée de trente-six mois.
Pour les données visant à assurer la sécurisation du mécanisme d'échange d'informations entre autorités administratives, la durée de conservation est corrélative à la finalité propre de chaque téléservice.


Le droit d'accès, de rectification et de suppression prévu par les articles 39 et suivants de la loi du 6 janvier 1978 susvisée s'exerce auprès de la direction interministérielle des systèmes d'informations et de communication située 39-43, quai André-Citroën, 75015 Paris, par voie postale ou par voie électronique, dans les conditions fixées dans les modalités d'utilisation du téléservice.


Le directeur interministériel des systèmes d'information et de communication est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.


Fait le 24 juillet 2015.


Pour le Premier ministre et par délégation :

La secrétaire générale pour la modernisation de l'action publique,

L. de la Bretèche