Agence nationale de protection des données personnelles

Le règlement général sur la protection des données (RGPD) entre en application et concerne les entreprises, administrations et collectivités. Il implique la prise en compte d’exigences, notamment en matière de sécurité des données, essentielle à la protection des données à caractère personnel. Une opportunité pour le renforcement général de la sécurité numérique en France, que l’ANSSI accompagne avec ce « kit de la sécurité des données ».

LA sécurité au service de la protection des données à caractère personnel

Adopté le 27 avril 2016 par l’ensemble des États membres de l’Union européenne (UE) et le Parlement européen, applicable à partir du 25 mai 2018, le RGPD harmonise et renforce les règles applicables en matière de protection des données à caractère personnel sur le territoire de l’UE.

Parmi les exigences fixées, la sécurité des données occupe une place centrale.

En invitant toutes les entités publiques et privées concernées à faire face au risque numérique, le RGPD participe à accroître le niveau général de sécurité numérique en France.

Il vient ainsi compléter d’autres dispositifs règlementaires concourant au renforcement de la sécurité numérique, jusqu’à présent limités à un nombre restreint d’organisations(LPM, directive NIS).

Le kit pour « la sécurité des données »

En plus des recommandations de la CNIL en matière de sécurité des données (voir encadré) et dans le contexte de la nécessaire sécurisation des données à caractère personnel, l’ANSSI met à disposition, à partir d’aujourd’hui, le « kit de la sécurité des données » : management du risque, bonnes pratiques, sensibilisation, équipements et services de confiance… autant de ressources méthodologiques et pratiques, de recommandations et d’outils utiles aux entreprises de toutes tailles, administrations et collectivités soucieuses de renforcer la sécurité des données.
> Le « Kit de la sécurité des données »

Le secrétariat général du ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés (ANTS) s'engagent à ce que le traitement de données à caractère personnel « SGIN » soit conforme au règlement général sur la protection des données RGPD et à la loi Informatique et Libertés.

Objet du traitement

Les démarches dématérialisées font aujourd’hui l’objet d’un usage massif. Dans ce contexte, le besoin d’identification et d’authentification numériques est croissant et constitue l’un des facteurs de confiance déterminants pour la poursuite du développement de cet écosystème digital. Pour permettre la mise en œuvre de ce moyen d’identification électronique au sens du règlement eIDAS, des données à caractère personnel figurant sur le titre d’identité physique de l’usager sont collectées et conservées, le cas échéant, uniquement dans une zone protégée de l’application France Identité sous le seul contrôle des usagers.

Ce traitement est mis en œuvre par le ministère de l’intérieur et l’Agence nationale des titres sécurisés, dans le respect des exigences de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, et du règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).

La collecte et l’enregistrement des données à caractère personnel de l’utilisateur dans le cadre du traitement SGIN s’opèrent conformément aux dispositions du e) de l’article 6-1. du règlement général sur la protection des données  et notamment au regard :

• du règlement eIDAS, qui a pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché intérieur en établissant un cadre d’interopérabilité, donne une définition de l’identification électronique ainsi que des moyens utilisés pour réaliser cette identification électronique et établit trois niveaux de garantie (faible, substantiel, élevé) pour ces moyens d’identification électronique
• de l’article L. 102 du code des postes et des communications électroniques, traitant spécifiquement des moyens d’identification électronique en prévoyant qu’ils puissent faire l’objet d’une certification par l’Etat et en créant une présomption de fiabilité lorsque ceux-ci répondent aux prescriptions du cahier des charges qui doit être établi par l’ANSSI et fixé par décret en Conseil d’Etat.
• du règlement sur la carte nationale d’identité imposant aux Etats membres de l’Union européenne de délivrer, à compter du mois d’août 2021, une carte nationale d’identité disposant d’un composant électronique comprenant des données alphanumériques et des données biométriques de son titulaire (photographie et empreintes digitales) dont l’objet premier est la libre circulation mais dont il est expressément indiqué (considérant 15) qu’elle peut contribuer à l’identification électronique.
• de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité, indiquant dans son article 2 les données contenues dans le composant électronique de la carte d’identité et dans son article 6, que l’identité du possesseur de cette carte nationale est justifiée à partir des données inscrites sur le document lui-même ou dans le composant électronique sécurisé 
• du règlement général sur la protection des données (ou RGPD) posant le cadre juridique en matière de protection des données personnelles des citoyens européens afin de répondre aux évolutions du numérique.
• de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
• du code des relations entre le public et l’administration, et notamment son article R. 112-9-1.
• du décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d’identité
• du décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité
• de l’arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques 
• de l’arrêté du 20 septembre 2019 portant référentiel général d’amélioration de l’accessibilité

La collecte et l’enregistrement de ces données sont nécessaires à la mise en œuvre du traitement SGIN.

Responsables du traitement

La responsabilité du traitement SGIN est assurée conjointement par le secrétariat général du ministère de l’intérieur et par l’agence nationale des titres sécurisés (ANTS), établissement public à caractère administratif placé sous tutelle du ministère de l’intérieur.

Toute évolution concernant le statut des deux responsables de traitement identifiés supra pourra donner lieu à une actualisation des présentes mentions d’information.

Finalités du traitement

La finalité du traitement SGIN est de proposer aux titulaires d’une carte nationale d’identité comportant un composant électronique, tel que mentionné à l’article 1-1 du décret du 22 octobre 1955, la délivrance d’un moyen d’identification électronique leur permettant de s’identifier et de s’authentifier électroniquement auprès d’organismes publics ou privés, en utilisant l’application France Identité qui permet notamment la lecture sans contact du composant électronique de ce titre.

Les services rendus sont les suivants

• la délivrance dans des conditions sécurisées, d’un moyen d’identification électronique, contribuant ainsi à : – réduire le risque d’usurpation d’identité grâce à un processus d’authentification sécurisé  – proposer une alternative dématérialisée des démarches y compris les plus sensibles 
• la maîtrise de la diffusion des données d’identité par l’usager auprès de services tiers, notamment en proposant une alternative à la fourniture de photographies de titres d’identité dont l’usage ultérieur ne peut être contrôlé par les usagers
• la possibilité de diffusion sélective des données d’identité, proportionnées à l’usage strictement nécessaire (ex : preuve d’âge sans diffusion de l’adresse du titulaire du titre).

En cas de contact via l’adresse , la donnée à caractère personnel collectée est l’adresse de courrier électronique des usagers concernés. Cette donnée est enregistrée dans un fichier informatisé et sécurisé afin d’assurer une gestion individualisée des demandes des usagers. Sans cette donnée, le responsable du traitement ne peut assurer cette tâche. La gestion des demandes des usagers implique la conservation de la donnée collectée la durée nécessaire à l’accomplissement de sa finalité c’est-à-dire six mois. Lorsque les demandes portent sur l’accessibilité des informations et fonctionnalités du portail, cette donnée est conservée quatre ans.

Base juridique du traitement de données

Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement conformément aux dispositions du e) de l’article 6-1. du règlement général sur la protection des données.

La délivrance des titres d’identité aux citoyens relève de la compétence exclusive de l’Etat. Cette mission régalienne est essentielle : elle garantit l’identité des personnes concernées et elle leur permet de prouver leur identité, leur nationalité et d’exercer leur citoyenneté.

Catégories de données obligatoirement traitées

Les données traitées par l’application France Identité sont :

• les données du titre d’identité
• les données de contact
• l’historique des transactions

Les données traitées par le serveur du SGIN sont :

• les données du titre d’identité
• les données du contact
• les données permettant l’identification de l’équipement mobile sur lequel est installée l’application France Identité
• les données relatives au titre d’identité

Les données traitées par le site Internet France Identité sont :

• le numéro du titre d’identité en cas de demande de suppression du compte
• les données techniques permettant l’identification de l’équipement de l’usager
• l’email pour valider la demande de suppression du compte

Catégories de personnes concernées

Les personnes concernées sont les personnes utilisant le SGIN pour l’application mobile et la rubrique «  mon compte  » du site Internet.

Destinataires des données

L’accès au traitement SGIN est exclusivement réservé :

• aux agents des services du secrétariat général du MI (Programme interministériel France identité numérique) et les agents de l’Agence nationale des titres sécurisés, chargés de la maîtrise d’ouvrage et de la maîtrise d’œuvre du traitement. Ces agents sont individuellement désignés et spécialement habilités par leur directeur.

Sur demande des autorités judiciaires ou des personnes concernées, ces agents peuvent également avoir accès aux traces d’utilisation du moyen d’identification électronique.

• aux usagers eux-mêmes lorsqu’ils obtiennent des attestations électroniques d’attributs d’identité.

Peuvent recevoir les données à caractère personnel des usagers :

• le téléservice FranceConnect
• les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet les données sans modification
• les fournisseurs de téléservices liés par convention au responsable du traitement 
• les personnes physiques ou morales auxquelles les usagers souhaitent transmettre une attestation électronique d’attributs d’identité.

Aucune de vos données n’est exploitée à des fins publicitaires ou commerciales (revente de données).

La durée de conservation des données

Les données à caractère personnel traitées par l’ordiphone sont conservées cinq ans maximum, suivant la durée de validité de l’identité numérique selon le référentiel général de sécurité (RGS).

Les données à caractère personnel traitées par le serveur SGIN sont supprimées dès lors que :

• les données ont été transmises aux tiers concernés 
• l’opération contribuant à l’obtention du code secret a été réalisée.

Le numéro de titre, et l’adresse email de l’usager sont stockés sur le serveur 3 ans à compter de la suppression du compte.

Les usagers ont la possibilité de supprimer leur moyen d’identification électronique ou de désinstaller l’application France Identité.

Lorsque la suppression du moyen d’identification électronique est sollicitée, le délai de suppression est de 2 mois maximum, pour le cas où l’usager a sollicité un code d’activation.

Lorsque l’usager désinstalle l’application France Identité, seules les données stockées sur l’ordiphone sont supprimées.

Les traces relatives aux opérations de création, consultation, utilisation, révocation et suppression du moyen d’identification électronique sont conservées trois ans pour faire face à un éventuel contentieux.

Cookies et traceurs d’audience

Résumé du Coockies

Le portail dépose un traceur (ou cookie) de mesure d’audience sur votre ordinateur, tablette, téléphone portable, lorsque vous le consultez. Il a pour objet de générer des statistiques anonymes de fréquentation du portail.

La société AT-Internet est chargée de déposer ce traceur de mesure d’audience. Le traceur de mesure d’audience déposé sur votre ordinateur, tablette, téléphone portable est paramétré pour être en conformité avec les recommandations de la Commission nationale de l’informatique et des libertés (CNIL) qui exemptent d’autorisation préalable de tels traceurs lorsqu’ils sont correctement configurés pour respecter la vie privée. Pour en savoir plus, cliquer ici

Le traceur d’audience collecte un minimum de données à caractère personnel. Il demeure actif pendant 13 mois fixes. L’ensemble des données collectées et traitées est conservé 25 mois à compter de la collecte par la société AT-Internet.

Pour en savoir plus sur la gestion du traceur de mesure d’audience déposé par la société AT-Internet, vous pouvez consulter la politique de confidentialité de cette société.

Le traceur de mesure d’audience déposé sur votre ordinateur, tablette, téléphone portable est parametré pour être en conformité avec les recommandations de la Commission nationale de l’informatique et des libertés (CNIL) qui exemptent d’autorisation préalable de tels traceurs lorsqu’ils sont correctement configurés pour respecter la vie privée. Pour plus d’informations, vous pouvez le consulter ici

Vos droits Informatique et Libertés

Conformément aux exigences de l’article 13 du règlement général sur la protection des données, les personnes concernées sont informées des traitements effectués. Elles peuvent recueillir des informations précises sur le traitement sur le site de la direction du programme interministériel France identité numérique.

L’information se traduira également par des explications pédagogiques écrites et des vidéos adaptées à la compréhension de tous les publics susceptibles d’être concernés par le traitement.

Les droits d’accès, de rectification et de limitation conformément aux exigences des articles 15, 16 et 18 du règlement général sur la protection des données ne s’appliquent qu’aux données à caractère personnel conservées dans le serveur du SGIN. Les données saisies par l’usager de l’ordiphone sont modifiables et accessibles par l’utilisateur du SGIN. L’usager dispose du droit d’accès à ses données. Ces droits s’exercent, auprès des responsables de traitement, par l’envoi d’un courrier électronique accompagné de la copie d’un titre d’identité en cours de validité (CNI/passeport) ou d’un justificatif d’identité généré à partir de l’application France Identité à l’adresse de courrier électronique suivante :

Le droit à l’effacement et le droit à l’opposition ne sont pas applicables au présent traitement.

Les usagers ont la possibilité de supprimer leur moyen d’identification électronique ou de désinstaller l’application mobile de leur ordiphone. La suppression du moyens d’identification électronique permet de supprimer les données personnelles de l’usager sur le serveur du ministère de l’Intérieur et, si possible sur le mobile de l’usager. La désinstallation de l’application mobile a pour effet de supprimer les données personnelles contenues sur le mobile.

Coordonnées des responsables de traitement Ministère de l’intérieur

Secrétaire Général, Place Beauvau
75800 Paris Cedex 08

Agence nationale des titres sécurisés
BP 70474
18 rue Irénée Carré 08101 Charleville-Mézières Cedex

Coordonnées du délégué à la protection des données

Ministère de l’intérieur
Délégué ministériel à la protection des données
Place Beauvau
75800 Paris Cedex 08

Réclamation auprès de la Commission nationale de l’informatique et des libertés

Vous pouvez aussi déposer une réclamation auprès de la commission nationale de l’informatique et des libertés :

Commission nationale de l’informatique et des libertés
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07

Contacter la Cnil

Qu'est

Qu'est

Quelle sont les 4 missions de la CNIL ?

Qui assure la protection des données personnelles en France ?