Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d'information et de communication de l'Etat




Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d'information et de communication de l'Etat

NOR: PRMJ1819224A
Version consolidée au 14 décembre 2018


Le Premier ministre,
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code des relations entre le public et l'administration et notamment ses articles L. 112-9, L. 113-12 et L. 114-8 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'ordonnance n° 2005-395 du 28 avril 2005 relative au service public du changement d'adresse ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu les délibérations n° 2015-254 et n° 2018-164 de la Commission nationale de l'informatique et des libertés en date du 16 juillet 2015 et du 24 mai 2018,
Arrête :


Il est créé, par la direction interministérielle du numérique et du système d'information et de communication de l'Etat (DINSIC), un téléservice dénommé « FranceConnect ».


Le téléservice a pour finalité de proposer au public de s'identifier et de s'authentifier, auprès de partenaires, fournisseurs de téléservices et de services en ligne, au moyen de dispositifs mis en œuvre par des fournisseurs d'identité partenaires de « FranceConnect ».
« FranceConnect » repose sur une fédération d'identités et permet :
1° De simplifier des démarches et formalités administratives effectuées par le public et d'en assurer la traçabilité et le suivi ;
2° De sécuriser le mécanisme d'échange d'informations entre autorités administratives prévu par les articles L. 113-12 et L. 114-8 du code des relations entre le public et l'administration susvisés. Le téléservice assure uniquement une fonction de mise en relation des autorités administratives, sans traiter des données susceptibles d'être échangées dans ce cadre ;
3° De simplifier l'accès du public aux services en ligne proposés par les entités partenaires ;
4° Au public, d'accéder à des téléservices d'autres Etats membres en respectant les dispositions prévues par le règlement du 23 juillet 2014 susvisé, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.
L'adhésion au téléservice « FranceConnect » est facultative.


Les catégories de données à caractère personnel enregistrées sont les suivantes :
1° Pour la gestion de l'identification de l'utilisateur :
a) De façon obligatoire :


- le sexe ;
- le nom de famille ;
- le(s) prénom(s) ;
- la date et le lieu de naissance complet ;
- l'adresse de courrier électronique ;
- le cas échéant, le numéro d'inscription de l'entreprise ou de son établissement au répertoire des entreprises et de leurs établissements (SIREN ou SIRET) vérifié et utilisé dans les conditions fixées par les articles R. 123-220 et suivants du code de commerce ;
- les clés de fédération ou « alias » générés par le système à la connexion de l'utilisateur ;
- un alias technique unique propre au système obtenu par le hachage irréversible de tout ou partie des données à caractère personnel mentionnées au présent 1°. Cet alias technique est utilisé pour les seuls besoins du téléservice. Il n'est ni diffusé ni divulgué aux tiers ;


b) De façon facultative :


- le nom d'usage ;
- le numéro de téléphone fixe ;
- le numéro de téléphone portable ;
- l'adresse de courrier électronique ;
- l'adresse postale.


2° Pour la gestion de la traçabilité des accès de l'utilisateur :


- l'adresse IP ;
- les dates et heures de connexion au service « FranceConnect » ;
- les jetons issus du mécanisme d'échange d'informations permettant de vérifier la bonne information de l'utilisateur et, le cas échéant, le recueil de son consentement.


Les destinataires ou catégories de destinataires des informations enregistrées par le traitement sont :


- les autorités administratives partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire ;
- les personnes morales mentionnées au II et au III de l'article 1er de l'ordonnance du 28 avril 2005 susvisée qui proposent des services en ligne liés à la démarche de changement d'adresse et uniquement pour ces services ;
- les personnes morales de droit privé qui proposent des services en ligne dont l'usage nécessite, conformément à des dispositions législatives ou règlementaires, la vérification de l'identité de leurs utilisateurs ou de celle de certains de leurs attributs et uniquement pour les services qui nécessitent cette vérification.


En outre, les données enregistrées de façon obligatoire mentionnées au 1° du I de l'article 3 sont adressées à l'INSEE pour consultation du répertoire national d'identification des personnes physiques, à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle-même.


Les données à caractère personnel relatives à la gestion de l'identification sont conservées pendant la durée de la session de l'utilisateur. Au-delà de cette durée, elles sont détruites sans délai.
Les données relatives à la gestion de la traçabilité des accès sont supprimées, en l'absence de connexion de l'utilisateur pendant une durée de six mois.
Les clés de fédération et l'alias technique unique propre au système sont supprimés, en l'absence de connexion de l'utilisateur pendant une durée de trente-six mois. Pour ce qui concerne la finalité mentionnée au dernier alinéa de l'article 2, cette durée est fixée à six mois.
Pour les autres données, la durée de conservation est corrélative à la finalité propre de chaque service en ligne partenaire.


Le droit d'accès, de rectification et de suppression prévu par les articles 39 et suivants de la loi du 6 janvier 1978 susvisée s'exerce auprès de la direction interministérielle du numérique et du système d'information et de communication de l'Etat située au 20, avenue de Ségur, 75007 Paris, par voie postale ou par voie électronique, dans les conditions fixées dans les modalités d'utilisation du téléservice.

Article 7
A modifié les dispositions suivantes :


Le directeur interministériel du numérique et du système d'information et de communication de l'Etat est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.


Fait le 8 novembre 2018.


Pour le Premier ministre et par délégation :

Le directeur interministériel du numérique et du système d'information et de communication de l'Etat,

H. Verdier