Le nom d'état civil

Le nom d'état civil d'une personne, souvent la conjugaison d'un nom de famille et d'un prénom, est son élément d'identité fondamental. Régi par la loi de la nationalité de la personne et reconnu à travers le monde entier, il a toutes les raisons d'être également un constituant de l'identité numérique. Les usages numériques du nom d'état civil sont nombreux et variés (§ I) et doivent en conséquence faire l'objet d'une certaine protection (§ II) .

Les différents usages numériques du nom d'état civil

– Le statut du nom dans le Code civil. – Selon le Code civil, le nom d'état civil d'un ressortissant français est systématiquement composé d'un ou plusieurs prénoms librement choisis par les parents et d'un nom de famille choisi par les parents parmi leurs propres noms de famille (C. civ., art. 311-21">Lien).

En conséquence le nom d'état civil de la personne lui est imposé dès sa naissance à deux niveaux : au niveau familial et au niveau de l'État. Enfin, selon le principe d'immutabilité, et sauf motif légitime, la personne ne peut pas changer son nom d'état civil (C. civ., art. 60 à 61-4">Lien).

– Le statut du nom dans des textes internationaux. – L'article 24-2 du Pacte international relatif aux droits civils et politiques adopté à New York le 16 décembre 1966 Pacte international relatif aux droits civils et politiques – AG ONU : www.ohchr.org/fr/professionalinterest/pages/ccpr.aspx">Lien par l'Assemblée générale des Nations unies consacre comme droit fondamental de la personne l'inscription de sa naissance sur un registre d'état civil.

L'acte de naissance, sur lequel doit figurer le nom attribué à l'enfant, est donc l'élément fondateur de l'état civil. Selon le rapport du 17 juin 2014 du Haut-Commissariat des Nations unies aux droits de l'homme https://documents-dds-ny.un.org/doc/UNDOC/GEN/G14/053/92/PDF/G1405392.pdf?OpenElement">Lien , l'enregistrement des naissances établit l'existence de la personnalité juridique d'un individu.

Les États ont d'ailleurs très vite compris que l'usage du nom comme élément d'identification numérique à l'échelle internationale était d'une efficacité redoutable. C'est ainsi que depuis le début des années 2000 (mai 2006 en France) D. n^o 2005-1726, 30 déc. 2005, relatif aux passeports électroniques, art. 2. , les passeports sont munis d'une puce électronique dans laquelle sont gravées les données personnelles caractérisant le titulaire, notamment ses nom et prénoms. En 2017, cent vingt pays délivraient des passeports munis d'une puce électronique.

S'agissant de l'identification d'un citoyen au moyen d'un titre numérique sécurisé, certains États vont plus loin. En Espagne, par exemple, des cartes d'identité numériques (DNIe) sont délivrées aux ressortissants qui en font la demande. Elles sont livrées avec un lecteur de carte à puce et permettent à leurs détenteurs de justifier de leur identité non seulement dans le monde réel par la présentation physique de cette carte, mais également dans le monde virtuel par l'insertion de la carte dans son lecteur. Ces cartes permettent également de procéder à une signature électronique.

En France, le ministère de l'Intérieur travaille sur un projet similaire qui devrait aboutir à l'émission de cartes d'identité numérique dans les prochaines années Ce projet de création d'une carte d'identité numérique est notamment porté par le groupe La Poste et par le groupe Thales (www.thalesgroup.com/fr/europe/france/dis/gouvernement/identite/tendance-des-cartes-electroniques-en-2016">Lien). .

Une carte nationale d'identité électronique en synergie avec FranceConnect

La direction interministérielle du numérique (Dinum) œuvre pour la mise en place d'une nouvelle génération de carte d'identité française selon le format d'une carte bancaire et comprenant une puce sans contact. Elle devrait intégrer deux empreintes digitales sur la puce, comme le passeport français, et permettre à son possesseur de s'identifier en ligne, et cela en synergie avec le service d'identification FranceConnect.

La feuille de route pour 2019-2021 de la Dinum, publiée en octobre 2019, précisait que : « De nouveaux fournisseurs d'identité seront progressivement proposés, notamment une carte nationale d'identité électronique, afin de développer des usages en ligne nécessitant un niveau de sécurité plus élevé ».

L'objectif affiché par les pouvoirs publics est que les services publics et privés en ligne offrent le service FranceConnect à vingt-cinq millions d'utilisateurs d'ici 2022.

FranceConnect était utilisé par douze millions d'usagers à fin 2019.

– Le nom d'état civil comme identifiant obligatoire de l'utilisateur. – Dans certaines situations, un utilisateur de système d'information doit impérativement être identifié par son nom d'état civil. Cette obligation ne porte pas forcément sur les éléments de connexion (login), mais sur l'identité inscrite au cœur du système et rattachée aux utilisateurs. Cette situation courante se retrouve dans la plupart des accès à un service officiel ou professionnel.

C'est ainsi, par exemple, qu'un notaire qui se connecte à un service professionnel accessible par la plateforme d'identification ID.NOT Authenticator V. infra, n^o . est reconnu par le service en question par son titre et ses nom et prénom.

De la même manière, un contribuable qui se connecte sur le site impots.gouv.fr">Lien est reconnu par les services fiscaux en ligne sous ses nom et prénom.

Il s'agit du moyen le plus fiable pour établir un lien direct entre la personne réelle qui a utilisé le service et les données d'utilisation enregistrées par le système utilisé. Un lien évident entre le réel et le virtuel est ainsi créé.

Un danger découle néanmoins de cette absence d'anonymat : celui de l'usurpation d'identité. Il sera par exemple toujours plus facile pour celui qui veut se faire passer pour Albert Dupont d'y parvenir s'il est répertorié sous ce nom par le service convoité plutôt que s'il est répertorié avec un numéro attribué aléatoirement tel AX2598FR547 : dans la seconde hypothèse, l'usurpateur doit en plus découvrir l'élément d'identification. Il est alors nécessaire d'employer des méthodes d'authentification sécurisées qui associent les exigences de la réglementation aux progrès technologiques.

– Le nom d'état civil comme identifiant de données traitées. – La plupart des systèmes d'information traitent et stockent des données personnelles qui, pour des raisons de simplicité ou de cohérence, sont rassemblées sous le nom d'état civil de la personne.

– Les raisons de l'usage numérique du nom d'état civil. – L'attribution d'un nom, de manière systématique, à chaque personne est un argument en faveur de l'utilisation du nom d'état civil comme élément d'identification en matière d'identité numérique. En effet, l'usage d'un critère international facilite l'échange de données et l'adaptation des systèmes d'un pays à un autre. Il permet également la fusion des données entre différents pays et la proposition de services identiques à chaque client potentiel.

Le nom suit la personne toute sa vie et permet de l'identifier avec fiabilité. Il va pouvoir en conséquence être utilisé tant comme identifiant obligatoire d'un utilisateur que comme identifiant d'une donnée traitée.

L'usage du nom d'état civil comme élément d'identification numérique est d'une efficacité redoutable à l'échelle internationale.

La protection du nom d'état civil

– Le RGPD et le nom patronymique. – Face au risque d'atteinte aux libertés individuelles que peut constituer la collecte massive de données personnelles inscrites au nom de la personne, un besoin de régulation était nécessaire. Cette régulation a été initiée le 6 janvier 1978 par le vote de la loi n^o 78-17 relative à l'informatique, aux fichiers et aux libertés, dite « loi informatique et libertés » L. n^o 78-17, 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés. , qui a notamment créé la Commission nationale de l'informatique et des libertés (Cnil), organisme indépendant en charge de la surveillance du traitement des données personnelles. Puis, le 27 avril 2016, l'Union européenne a adopté le règlement général sur la protection des données (RGPD) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). qui a permis, à l'échelle européenne, une uniformisation de la réglementation et, à l'échelle nationale, un durcissement des mesures de sécurité encadrant la protection des données personnelles V. infra, n^o . .

Par l'effet de ces textes, les organismes collecteurs de données personnelles ne peuvent pas en disposer librement, et les contraintes sont accentuées lorsque le nom de la personne sert à les identifier V. supra, n^o . .

– Pseudonymat ou anonymat. – Aussi, et selon les cas d'usage, l'exploitation ou le partage des données personnelles doit passer par une étape de pseudonymisation ou d'anonymisation.

La pseudonymisation consiste à substituer un alias au nom des personnes tout en conservant une technique de concordance. Les données personnelles peuvent ainsi être partagées sans que les noms apparaissent, tout en permettant aux destinataires autorisés de les identifier grâce à des données tierces. Il s'agit donc d'une technique réversible.

À l'inverse l'anonymisation est un procédé permettant la suppression définitive et irréversible de toute référence au nom de la personne. Cette technique est notamment imposée aux administrations qui alimentent des bases en open data (CRPA, art. L. 312-1-2">Lien et D. 312-1-3">Lien), obligation totale ou partielle selon la nature des données concernées. Les offres de service permettant de procéder à l'anonymisation de données personnelles étant variées et de qualités diverses, le Groupe de travail « Article 29 » sur la protection des données Ce groupe de travail a été institué par l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE. a adopté le 10 avril 2014 l'« avis 05/2014 sur les techniques d'anonymisation » www.cnil.fr/sites/default/files/atoms/files/wp216_fr.pdf">Lien . Cet avis donne en conclusion des recommandations techniques, dresse une liste de bonnes pratiques et propose un tableau donnant un aperçu des forces et des faiblesses des différentes techniques.