Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »




Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »

NOR: INTD1828804D
Version consolidée au 10 juillet 2019


Le Premier ministre,
Sur le rapport du ministre de l'intérieur,
Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment le a du 2. de son article 9 ;
Vu le règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ;
Vu le code de l'entrée et du séjour des étrangers et du droit d'asile, notamment ses articles R. 311-13-1 et R. 611-5 ;
Vu le code des postes et des communications électroniques, notamment son article L. 102 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu l'avis n° 2018-342 de la Commission nationale de l'informatique et des libertés en date du 18 octobre 2018 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :

  • Chapitre Ier : Dispositions autorisant la création d'un traitement de données à caractère personnel dénommé « Authentification en ligne certifiée sur mobile » (ALICEM)


    Le ministre de l'intérieur est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Authentification en ligne certifiée sur mobile ».
    Ce traitement a pour finalité de proposer aux titulaires de l'un des titres mentionnés à l'article 2 du présent décret la délivrance d'un moyen d'identification électronique leur permettant de s'identifier électroniquement et de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ces titres, en respectant les dispositions prévues par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 susvisé, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.
    L'enrôlement dans ce traitement par le titulaire de l'un des titres mentionnés à l'article 2 du présent décret donne lieu à l'ouverture d'un compte.


    Le traitement mentionné à l'article 1er s'applique :
    1° Aux ressortissants français titulaires d'un passeport comportant un composant électronique, tel que mentionné à l'article 2 du décret du 30 décembre 2005 susvisé ;
    2° Aux ressortissants étrangers titulaires d'un titre de séjour comportant un composant électronique, tel que mentionné à l'article R. 311-13-1 du code de l'entrée et du séjour des étrangers et du droit d'asile.


    Les titres mentionnés à l'article 2 doivent être en cours de validité au moment de l'enrôlement dans le traitement mentionné à l'article 1er et à chaque demande d'utilisation du moyen d'identification électronique.
    Pour permettre la délivrance du moyen d'identification électronique, et à chaque utilisation de l'application, le traitement mentionné à l'article 1er est mis en relation avec le fichier national de contrôle de la validité des titres.


    Le traitement mentionné à l'article 1er utilise un système de reconnaissance faciale statique et de reconnaissance faciale dynamique.
    Le traitement ne comporte pas de dispositif de recherche permettant l'identification à partir de l'image numérisée du visage.


    Les données enregistrées dans le composant électronique prévu à l'article 2 du décret du 30 décembre 2005 susvisé sont lues par le traitement mentionné à l'article 1er, à l'exclusion de l'image numérisée des empreintes digitales, dans les conditions prévues à l'article 3 du décret du 28 octobre 2016 susvisé.


    Les données enregistrées dans le composant électronique prévu à l'article R. 311-13-1 du code de l'entrée et du séjour des étrangers et du droit d'asile sont lues par le traitement mentionné à l'article 1er, à l'exclusion de l'image numérisée des empreintes digitales, dans les conditions prévues à l'article R. 611-5 du même code.


    Peuvent être enregistrées dans le présent traitement les données à caractère personnel et informations suivantes :
    1° Données permettant l'identification de l'usager :
    a) Le nom ;
    b) Le nom d'usage ;
    c) Le(s) prénom(s) ;
    d) La date de naissance ;
    e) Le pays de naissance ;
    f) Le département de naissance ;
    g) Le lieu de naissance ;
    h) La nationalité ;
    i) Le sexe ;
    j) La taille et la couleur des yeux ;
    k) L'adresse postale ;
    l) La photographie de l'usager extraite du titre ;
    m) La photographie de l'usager prise avec son équipement terminal de communications électroniques pour la reconnaissance faciale ;
    n) La vidéo prise par l'usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;
    o) L'adresse électronique ;
    p) Le numéro d'appel de l'équipement terminal de communications électroniques ;
    q) L'identifiant technique associé au compte de l'usager ;
    2° Données permettant l'identification du titre détenu par l'usager :
    a) Le numéro du titre ;
    b) L'autorité de délivrance ;
    c) La date de délivrance ;
    d) La date d'expiration ;
    e) La clé publique permettant de certifier l'authenticité du titre ;
    3° Données relatives à l'historique des transactions associées au compte ALICEM :
    a) Le nom du fournisseur de service ;
    b) La catégorie de la transaction ;
    c) Une description courte du fournisseur de service ;
    d) Une description longue du fournisseur de service ;
    e) Le statut de la transaction ;
    f) La date de la transaction ;
    g) La date de mise à jour de la transaction ;
    h) La date d'expiration de la transaction ;
    i) La priorité de la transaction ;
    4° L'identifiant unique du service de notification, aux fins d'identification de l'équipement terminal de communications électroniques.


    Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, à tout ou partie des données et informations enregistrées dans le traitement mentionné à l'article 1er, à l'exclusion des données mentionnées du a au l du 1°, du a au d du 2° et au 3° de l'article 7 :
    1° Les agents des services du ministère de l'intérieur chargés de la maîtrise d'ouvrage du traitement mentionné à l'article 1er, individuellement désignés et habilités par leur directeur ;
    2° Les agents de l'Agence nationale des titres sécurisés chargés de la maîtrise d'œuvre du traitement mentionné à l'article 1er, individuellement désignés et dûment habilités par leur directeur.


    I. − Peuvent être destinataires, dans la limite du besoin d'en connaître, des données enregistrées dans le traitement mentionnées au II du présent article :
    1° La direction interministérielle du numérique et du système d'information et de communication de l'Etat ;
    2° Les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet les données d'état civil sans modification ;
    3° Les fournisseurs de téléservices liés par convention à l'Agence nationale des titres sécurisés.
    II. − Les données transmises sont les suivantes :
    1° Le nom de famille ;
    2° Le cas échéant, le nom d'usage ;
    3° Le(s) prénom(s) ;
    4° La date de naissance ;
    5° Le lieu de naissance ;
    6° Le sexe ;
    7° L'adresse postale ;
    8° L'adresse électronique ;
    9° Le numéro d'appel de l'équipement terminal de communications électroniques.


    I. − Les données mentionnées du a au l du 1° et du a au d du 2° de l'article 7 sont conservées uniquement sur l'équipement terminal de communications électroniques de l'usager.
    II. − Les données mentionnées aux m et n du 1° de l'article 7 font l'objet d'un traitement par le traitement centralisé mis en œuvre par l'Agence nationale des titres sécurisés aux seules fins de mettre en œuvre la reconnaissance faciale statique et la reconnaissance faciale dynamique prévues à l'article 4. Elles sont effacées sitôt ces reconnaissances terminées.
    III. − Les autres données sont conservées dans le traitement centralisé mis en œuvre par l'Agence nationale des titres sécurisés.
    Les données mentionnées aux o, p et q du 1° ainsi qu'au 3° de l'article 7 font également l'objet d'une conservation sur l'équipement terminal de communications électroniques de l'usager.


    I. − Les données à caractère personnel conservées sur l'équipement terminal de communications électroniques de l'usager sont chiffrées. Elles sont inaccessibles dès lors que l'usager supprime son compte. Elles sont supprimées de l'équipement terminal de communications électroniques lorsque l'usager désinstalle l'application ALICEM de son équipement terminal de communications électroniques.
    II. − Les données à caractère personnel, énumérées au III de l'article 10 sont conservées pendant toute la durée d'utilisation par l'usager du compte mentionné à l'article 1er du présent décret.
    Elles sont supprimées à l'issue d'un délai de vingt-quatre heures en cas d'absence de validation de la création du compte et à l'issue d'un délai de sept jours en cas d'absence d'activation du compte.
    Elles sont supprimées à l'issue d'une période d'inactivité du compte de six ans.


    Les opérations de création, consultation, utilisation, mise à jour et suppression du compte font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération. Les informations relatives à ces opérations sont conservées pendant six ans et ne peuvent être consultées, par les agents mentionnés à l'article 8, qu'à la demande de l'usager ou, en cas de litige, après l'en avoir informé. L'usager en est alors destinataire.


    L'Agence nationale des titres sécurisés procède, au moment de la demande d'ouverture du compte mentionné à l'article 1er, à l'information de l'usager concernant l'utilisation d'un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques.


    Les droits d'accès, de rectification, d'effacement et de limitation du traitement ainsi que le droit à la portabilité des données s'exercent auprès de l'Agence nationale des titres sécurisés dans les conditions prévues aux articles 15, 16, 17, 18 et 20 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.


Fait le 13 mai 2019.


Edouard Philippe

Par le Premier ministre :


Le ministre de l'intérieur,

Christophe Castaner