Décret n° 2022-676 du 26 avril 2022 autorisant la création d'un moyen d'identification électronique dénommé « Service de garantie de l'identité numérique » (SGIN) et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »

Dernière mise à jour des données de ce texte : 01 janvier 2024

NOR : INTD2203658D

JORF n°0098 du 27 avril 2022

Version en vigueur au 28 mars 2024


Le Premier ministre,
Sur le rapport du ministre de l'intérieur,
Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment le e du 1 de son article 6 ;
Vu le règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille ;
Vu le code des postes et des communications électroniques, notamment son article L. 102 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité ;
Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d'identité ;
Vu le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu les avis de la Commission nationale de l'informatique et des libertés en date du 9 décembre 2021 et du 10 février 2022 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :


    • Le ministre de l'intérieur (secrétariat général) et l'Agence nationale des titres sécurisés (ANTS) sont conjointement autorisés à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Service de garantie de l'identité numérique » (SGIN).
      Ce traitement a pour finalité de mettre à disposition des titulaires d'une carte nationale d'identité comportant le composant électronique mentionné à l'article 1-1 du décret du 22 octobre 1955 susvisé un moyen d'identification électronique leur permettant de s'identifier et de s'authentifier auprès d'organismes publics ou privés grâce à une application qu'ils installent sur leur équipement terminal de communications électroniques permettant la lecture sans contact de ce composant.
      L'application permet à l'usager, notamment, de générer des attestations électroniques comportant les seuls attributs d'identité dont il estime la transmission nécessaire aux tiers de son choix.


    • Peuvent être traitées et enregistrées dans le traitement mentionné à l'article 1er les données à caractère personnel suivantes :
      1° Données permettant l'identification de l'usager :
      a) Le nom ;
      b) Le nom d'usage ;
      c) Le(s) prénom(s) ;
      d) La date de naissance ;
      e) Le lieu de naissance ;
      f) La nationalité ;
      g) Le sexe ;
      h) L'adresse postale extraite du composant électronique du titre ;
      i) Le cas échéant, l'adresse postale renseignée par l'usager ;
      j) La photographie de l'usager extraite du composant électronique du titre ;
      k) L'adresse de courrier électronique ;
      l) Le cas échéant, le numéro d'appel de l'équipement terminal de communications électroniques renseigné par l'usager ;
      2° Données permettant l'identification du titre détenu par l'usager :
      a) Le numéro et le type de titre ;
      b) La date de délivrance ;
      c) La date d'expiration ;
      d) Le statut de validité du titre (valide/invalide/inconnu) ;
      3° Données relatives à l'historique des transactions réalisées par l'usager, dans la limite d'un nombre maximal de transactions déterminé par les responsables de traitement :
      a) Le destinataire des données d'identification personnelle de l'usager ;
      b) La catégorie de la transaction ;
      c) Le statut de la transaction ;
      d) Le cas échéant, la durée de validité des données d'identification personnelle de l'usager transmises ;
      e) Le cas échéant, le motif de la transmission des données d'identification personnelle de l'usager ;
      f) L'horodatage de la transaction ;
      4° L'identifiant de l'équipement terminal de communications électroniques.


    • I. - Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, aux données et informations conservées sur le serveur des responsables du traitement en application du I de l'article 4, les agents des services du secrétariat général du ministère de l'intérieur et de l'Agence nationale des titres sécurisés chargés de la maîtrise d'ouvrage et de la maîtrise d'œuvre du traitement mentionné à l'article 1er, individuellement désignés et spécialement habilités par leur directeur.
      II. - Lorsque les usagers s'identifient et s'authentifient électroniquement pour accéder à des services en ligne, peuvent être destinataires, dans la limite du besoin d'en connaître :
      1° Le téléservice FranceConnect pour les seules données mentionnées aux a à e, au g et au k du 1° de l'article 2 ;
      2° Les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet, sans les modifier, les données mentionnées aux a à e, au g et au k du 1° de l'article 2 ;
      3° Les fournisseurs de téléservices liés par convention au ministère de l'intérieur et à l'Agence nationale des titres sécurisés pour les seules données mentionnées aux a à h et au k du 1° de l'article 2.
      Les responsables du traitement rendent publique la liste actualisée des fournisseurs de téléservices mentionnés au 2° et 3° du présent II.


    • I. - A l'exception de celles mentionnées au 3° de l'article 2, les données sont stockées sur le serveur géré par les responsables du traitement. Elles sont conservées pendant cinq ans à compter de la dernière vérification d'identité de l'usager du moyen d'identification électronique. Elles sont effacées de ce serveur dès lors que l'usager supprime son moyen d'identification électronique ou qu'il désinstalle l'application mobile de son équipement terminal de communications électroniques.
      II. - Les données mentionnées à l'article 2 sont stockées sur l'équipement terminal de communications électroniques de l'usager.
      A l'exception de celles mentionnées au 3° de l'article 2, ces données sont chiffrées par les responsables de traitement. Elles ne sont déchiffrées et accessibles que lorsque l'usager utilise l'application installée sur son équipement terminal.
      Ces données stockées sur l'équipement terminal de l'usager sont conservées pendant un délai de cinq ans au plus, à compter de la dernière vérification d'identité de l'usager du moyen d'identification électronique.
      III. - Les données stockées sur le serveur géré par les responsables du traitement et sur l'équipement terminal de l'usager sont automatiquement supprimées à l'issue d'un délai de deux mois si l'usager ne mène pas à son terme la création du moyen d'identification électronique.
      Elles sont automatiquement supprimées à l'issue d'une période d'inactivité du moyen d'identification électronique de deux ans.


    • Les opérations de création, de consultation, d'utilisation, de révocation et de suppression du moyen d'identification électronique font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération. Les informations relatives à ces opérations sont conservées pendant trois ans dans le serveur géré par les responsables du traitement et ne peuvent être consultées, par les personnes mentionnées au I de l'article 3, qu'à la demande de l'usager ou, en cas de litige, après l'en avoir informé.


    • Les droits d'information, d'accès, de rectification et le droit à la limitation du traitement s'exercent auprès des responsables du traitement dans les conditions prévues aux articles 13, 15, 16, 18 et 26 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.


Fait le 26 avril 2022.


Jean Castex
Par le Premier ministre :


Le ministre de l'intérieur,
Gérald Darmanin

Retourner en haut de la page