Certains services numériques ne laissent pas à la personne, utilisateur ou sujet, le choix dans l'identifiant qui la représente. Sans être exhaustif, nous pouvons aborder deux situations : celle où la personne est identifiée par son nom d'état civil
(Sous-section I)
, et celle où elle est identifiée par un numéro attribué d'office
(Sous-section II)
.
Les éléments d'identification imposés
Les éléments d'identification imposés
Le nom d'état civil
Le nom d'état civil d'une personne, souvent la conjugaison d'un nom de famille et d'un prénom, est son élément d'identité fondamental. Régi par la loi de la nationalité de la personne et reconnu à travers le monde entier, il a toutes les raisons d'être également un constituant de l'identité numérique. Les usages numériques du nom d'état civil sont nombreux et variés
(§ I)
et doivent en conséquence faire l'objet d'une certaine protection
(§ II)
.
Les différents usages numériques du nom d'état civil
– Le statut du nom dans le Code civil. – Selon le Code civil, le nom d'état civil d'un ressortissant français est systématiquement composé d'un ou plusieurs prénoms librement choisis par les parents et d'un nom de famille choisi par les parents parmi leurs propres noms de famille (C. civ., art. 311-21">Lien).
En conséquence le nom d'état civil de la personne lui est imposé dès sa naissance à deux niveaux : au niveau familial et au niveau de l'État. Enfin, selon le principe d'immutabilité, et sauf motif légitime, la personne ne peut pas changer son nom d'état civil (C. civ., art. 60 à 61-4">Lien).
– Le statut du nom dans des textes internationaux. – L'article 24-2 du Pacte international relatif aux droits civils et politiques adopté à New York le 16 décembre 1966
Pacte international relatif aux droits civils et politiques – AG ONU : www.ohchr.org/fr/professionalinterest/pages/ccpr.aspx">Lien
par l'Assemblée générale des Nations unies consacre comme droit fondamental de la personne l'inscription de sa naissance sur un registre d'état civil.
L'acte de naissance, sur lequel doit figurer le nom attribué à l'enfant, est donc l'élément fondateur de l'état civil. Selon le rapport du 17 juin 2014 du Haut-Commissariat des Nations unies aux droits de l'homme
https://documents-dds-ny.un.org/doc/UNDOC/GEN/G14/053/92/PDF/G1405392.pdf?OpenElement">Lien
, l'enregistrement des naissances établit l'existence de la personnalité juridique d'un individu.
Les États ont d'ailleurs très vite compris que l'usage du nom comme élément d'identification numérique à l'échelle internationale était d'une efficacité redoutable. C'est ainsi que depuis le début des années 2000 (mai 2006 en France)
D. no 2005-1726, 30 déc. 2005, relatif aux passeports électroniques, art. 2.
, les passeports sont munis d'une puce électronique dans laquelle sont gravées les données personnelles caractérisant le titulaire, notamment ses nom et prénoms. En 2017, cent vingt pays délivraient des passeports munis d'une puce électronique.
S'agissant de l'identification d'un citoyen au moyen d'un titre numérique sécurisé, certains États vont plus loin. En Espagne, par exemple, des cartes d'identité numériques (DNIe) sont délivrées aux ressortissants qui en font la demande. Elles sont livrées avec un lecteur de carte à puce et permettent à leurs détenteurs de justifier de leur identité non seulement dans le monde réel par la présentation physique de cette carte, mais également dans le monde virtuel par l'insertion de la carte dans son lecteur. Ces cartes permettent également de procéder à une signature électronique.
En France, le ministère de l'Intérieur travaille sur un projet similaire qui devrait aboutir à l'émission de cartes d'identité numérique dans les prochaines années
Ce projet de création d'une carte d'identité numérique est notamment porté par le groupe La Poste et par le groupe Thales (www.thalesgroup.com/fr/europe/france/dis/gouvernement/identite/tendance-des-cartes-electroniques-en-2016">Lien).
.
Une carte nationale d'identité électronique en synergie avec FranceConnect
La direction interministérielle du numérique (Dinum) œuvre pour la mise en place d'une nouvelle génération de carte d'identité française selon le format d'une carte bancaire et comprenant une puce sans contact. Elle devrait intégrer deux empreintes digitales sur la puce, comme le passeport français, et permettre à son possesseur de s'identifier en ligne, et cela en synergie avec le service d'identification FranceConnect.
La feuille de route pour 2019-2021 de la Dinum, publiée en octobre 2019, précisait que : « De nouveaux fournisseurs d'identité seront progressivement proposés, notamment une carte nationale d'identité électronique, afin de développer des usages en ligne nécessitant un niveau de sécurité plus élevé ».
L'objectif affiché par les pouvoirs publics est que les services publics et privés en ligne offrent le service FranceConnect à vingt-cinq millions d'utilisateurs d'ici 2022.
FranceConnect était utilisé par douze millions d'usagers à fin 2019.
– Le nom d'état civil comme identifiant obligatoire de l'utilisateur. – Dans certaines situations, un utilisateur de système d'information doit impérativement être identifié par son nom d'état civil. Cette obligation ne porte pas forcément sur les éléments de connexion (login), mais sur l'identité inscrite au cœur du système et rattachée aux utilisateurs. Cette situation courante se retrouve dans la plupart des accès à un service officiel ou professionnel.
C'est ainsi, par exemple, qu'un notaire qui se connecte à un service professionnel accessible par la plateforme d'identification ID.NOT Authenticator
V. infra, no
.
est reconnu par le service en question par son titre et ses nom et prénom.
De la même manière, un contribuable qui se connecte sur le site impots.gouv.fr">Lien est reconnu par les services fiscaux en ligne sous ses nom et prénom.
Il s'agit du moyen le plus fiable pour établir un lien direct entre la personne réelle qui a utilisé le service et les données d'utilisation enregistrées par le système utilisé. Un lien évident entre le réel et le virtuel est ainsi créé.
Un danger découle néanmoins de cette absence d'anonymat : celui de l'usurpation d'identité. Il sera par exemple toujours plus facile pour celui qui veut se faire passer pour Albert Dupont d'y parvenir s'il est répertorié sous ce nom par le service convoité plutôt que s'il est répertorié avec un numéro attribué aléatoirement tel AX2598FR547 : dans la seconde hypothèse, l'usurpateur doit en plus découvrir l'élément d'identification. Il est alors nécessaire d'employer des méthodes d'authentification sécurisées qui associent les exigences de la réglementation aux progrès technologiques.
– Le nom d'état civil comme identifiant de données traitées. – La plupart des systèmes d'information traitent et stockent des données personnelles qui, pour des raisons de simplicité ou de cohérence, sont rassemblées sous le nom d'état civil de la personne.
– Les raisons de l'usage numérique du nom d'état civil. – L'attribution d'un nom, de manière systématique, à chaque personne est un argument en faveur de l'utilisation du nom d'état civil comme élément d'identification en matière d'identité numérique. En effet, l'usage d'un critère international facilite l'échange de données et l'adaptation des systèmes d'un pays à un autre. Il permet également la fusion des données entre différents pays et la proposition de services identiques à chaque client potentiel.
Le nom suit la personne toute sa vie et permet de l'identifier avec fiabilité. Il va pouvoir en conséquence être utilisé tant comme identifiant obligatoire d'un utilisateur que comme identifiant d'une donnée traitée.
L'usage du nom d'état civil comme élément d'identification numérique est d'une efficacité redoutable à l'échelle internationale.
La protection du nom d'état civil
– Le RGPD et le nom patronymique. – Face au risque d'atteinte aux libertés individuelles que peut constituer la collecte massive de données personnelles inscrites au nom de la personne, un besoin de régulation était nécessaire. Cette régulation a été initiée le 6 janvier 1978 par le vote de la loi no 78-17 relative à l'informatique, aux fichiers et aux libertés, dite « loi informatique et libertés »
L. no 78-17, 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés.
, qui a notamment créé la Commission nationale de l'informatique et des libertés (Cnil), organisme indépendant en charge de la surveillance du traitement des données personnelles. Puis, le 27 avril 2016, l'Union européenne a adopté le règlement général sur la protection des données (RGPD)
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
qui a permis, à l'échelle européenne, une uniformisation de la réglementation et, à l'échelle nationale, un durcissement des mesures de sécurité encadrant la protection des données personnelles
V. infra, no
.
.
Par l'effet de ces textes, les organismes collecteurs de données personnelles ne peuvent pas en disposer librement, et les contraintes sont accentuées lorsque le nom de la personne sert à les identifier
V. supra, no
.
.
– Pseudonymat ou anonymat. – Aussi, et selon les cas d'usage, l'exploitation ou le partage des données personnelles doit passer par une étape de pseudonymisation ou d'anonymisation.
La pseudonymisation consiste à substituer un alias au nom des personnes tout en conservant une technique de concordance. Les données personnelles peuvent ainsi être partagées sans que les noms apparaissent, tout en permettant aux destinataires autorisés de les identifier grâce à des données tierces. Il s'agit donc d'une technique réversible.
À l'inverse l'anonymisation est un procédé permettant la suppression définitive et irréversible de toute référence au nom de la personne. Cette technique est notamment imposée aux administrations qui alimentent des bases en open data (CRPA, art. L. 312-1-2">Lien et D. 312-1-3">Lien), obligation totale ou partielle selon la nature des données concernées. Les offres de service permettant de procéder à l'anonymisation de données personnelles étant variées et de qualités diverses, le Groupe de travail « Article 29 » sur la protection des données
Ce groupe de travail a été institué par l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE.
a adopté le 10 avril 2014 l'« avis 05/2014 sur les techniques d'anonymisation »
www.cnil.fr/sites/default/files/atoms/files/wp216_fr.pdf">Lien
. Cet avis donne en conclusion des recommandations techniques, dresse une liste de bonnes pratiques et propose un tableau donnant un aperçu des forces et des faiblesses des différentes techniques.
Les numéros d'identification
L'autre élément d'identification numérique imposé est le numéro d'identification. Certains sont attribués par l'État
(§ I)
, d'autres par des acteurs privés
(§ II)
à l'instar de l'adresse IP
(§ III)
.
Les numéros attribués par l'État
– Le numéro d'inscription au répertoire des personnes physiques (NIRPP ou NIR). – Depuis 1946
Ord. no 45-2454, 19 oct. 1945, fixant le régime des assurances sociales applicables aux assurés des professions non agricoles, art. 6.
, prioritairement pour les besoins de la Sécurité sociale, l'État attribue à chaque Français, dès sa naissance, un numéro d'inscription au répertoire des personnes physiques (NIRPP ou NIR), numéro communément appelé « numéro de sécurité sociale ». Le NIR est géré par l'Insee
D. no 47-834, 13 mai 1947, relatif à l'organisation des services centraux et des directions régionales de l'Insee, art. 2.
. Par son exhaustivité et sa simplicité, ce numéro répertoriant tous les citoyens attire les convoitises de l'ensemble des services de l'État.
En 1972, les ministères de l'Intérieur et de la Justice préparent le projet de système automatisé pour les fichiers administratifs et le répertoire des individus, dit « projet Safari ». Ce projet consiste à utiliser le NIR dans l'ensemble des fichiers informatiques actuels et futurs des différentes administrations et à interconnecter le tout
V., sur le site INA.fr, « JT 20h ORTF, 23 juill. 1972 » (https://sites.ina.fr/cnil-40-ans/focus/chapitre/2/medias/CAF97060610">Lien).
. Ce projet Safari sera toutefois vite abandonné face à la polémique soulevée par la publication d'un article de Philippe Boucher dans le journal Le Monde, intitulé Safari ou la chasse aux Français
Article complet sur le site de la Cnil (www.cnil.fr/sites/default/files/atoms/files/le_monde_0.pdf">Lien).
, visant à dénoncer les conséquences d'un tel fichage des individus. C'est dans ce contexte qu'est créée la Commission nationale de l'informatique et des libertés (Cnil), par l'adoption de la loi informatique et libertés du 6 janvier 1978
L. no 78-17, 6 janv. 1978, préc.
. La Cnil a notamment le pouvoir d'autoriser ou non l'usage du NIR par les autorités pour chaque fichier créé. Les projets d'échanges d'informations entre les administrations sont fréquents et la réglementation évolue perpétuellement. La disposition légale la plus récente des cas d'usage du NIR date du décret du 19 avril 2019, dit « décret cadre-NIR »
D. no 2019-341, 19 avr. 2019, relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire : JO 21 avr. 2019, no 4.
. Comme pour tout traitement de données à caractère personnel, la Cnil dispose également d'un pouvoir de contrôle de l'usage du NIR par les pouvoirs publics ou les organismes privés et peut poursuivre en justice
Ord. no 2018-1125, 13 déc. 2018, prise en application de l'article 32 de la loi no 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel, art. 19 : JO 13 déc. 2018, no 5.
.
– Le service FranceConnect. – Notre millefeuille administratif a toutefois rapidement conduit l'État à multiplier le nombre de numéros d'identification par citoyen, chaque fichier administratif répondant aux exigences de son propre numéro d'identification… Si le citoyen pouvait être rassuré sur le respect de l'exercice de ses libertés individuelles grâce au contrôle de la Cnil, la multiplication de ces numéros conjuguée à un besoin d'utilisation de plus en plus fréquent rendait les accès aux systèmes administratifs dématérialisés totalement abscons.
À partir d'une identification complète sur un site reconnu par FranceConnect, site de première importance comme mpots.gouv.fr">Lieni ou ameli.fr">Lien(Sécurité sociale), l'usager peut accéder à des services publics en ligne (Agence nationale des titres sécurisés, Toulouse Métropole, consultation du livret scolaire en ligne…). Le partage d'informations se fait au niveau des identifiants d'accès et non au niveau du classement des données collectées : ainsi chaque site internet ou service numérique conserve la maîtrise et le traitement des données dont il a la charge, seul le moyen d'accès est partagé. Il s'agit des prémices d'une identité numérique attribuée par l'État.
- elles proposent des services en ligne liés à la démarche de changement d'adresse et uniquement pour ces services ;
- elles proposent des services en ligne dont l'usage nécessite, conformément à un texte réglementaire, la vérification de l'identité de leurs utilisateurs.
Ce constat a amené l'État à créer en 2005 le service FranceConnect
A. 24 juill. 2015, portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » : JO 6 août 2015, no 4.
.
Depuis 2018
A. 8 nov. 2018, relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d'information et de communication de l'État, art. 4 : JO 15 nov. 2018, no 3.
, les entreprises privées peuvent également utiliser le service FranceConnect pour l'identification de leurs clients dans les cas suivants :
Enfin, un arrêté du 11 mai 2020
A. 11 mai 2020, relatif à l'expérimentation visant à étendre le périmètre des partenaires du téléservice « FranceConnect » : JO 21 mai 2020, no 124.
a lancé une expérimentation limitée à cent personnes morales dont la finalité est de déterminer les nouveaux secteurs d'activité qui trouveraient un bénéfice à utiliser FranceConnect afin d'améliorer les services rendus à leurs utilisateurs. Selon le 6ode l'article 2 dudit arrêté : « Les modalités de participation à l'expérimentation sont disponibles sur le site https://franceconnect.gouv.fr/partenaires">Lien ».
Vidéo de présentation du service FranceConnect
– Le système Alicem (« Authentification en ligne certifiée sur mobile »). – Le système Alicem créé par décret du 13 mai 2019
D. no 2019-452, 13 mai 2019, autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ».
permet par ailleurs aux usagers de FranceConnect de s'identifier par reconnaissance faciale : l'usager télécharge l'application Alicem sur un smartphone compatible, crée un compte en indiquant ses éléments d'état civil de base, son adresse e-mail et un numéro de portable. Il reçoit enfin un SMS de confirmation et filme ensuite son visage sous plusieurs angles. Il est désormais identifiable par les services compatibles avec FranceConnect à la seule vue de son visage !
Ce décret du 13 mai 2019 donnant naissance à Alicem a fait l'objet d'un recours pour excès de pouvoir devant le Conseil d'État par l'association « La Quadrature du net » déposé en juillet 2019 au motif qu'il n'y a pas d'alternative à l'usage de la reconnaissance faciale dans le système Alicem. Par un arrêt du 4 novembre 2020, les dixième et neuvième chambres réunies du Conseil d'État ont toutefois rejeté ce recours
CE, 10e et 9e ch., 4 nov. 2020, no 432656.
.
Ce rejet a été essentiellement motivé, d'une part, par l'inexistence pour la création d'identifiants électroniques d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale et, d'autre part, par le fait que le consentement à Alicem est librement donné dans la mesure où les services auxquels cette identification donne accès sont tous également accessibles via la plateforme FranceConnect.
Les numéros attribués par des acteurs privés
– Encadrement par la Cnil et le RGPD. – Afin de faciliter la tenue de leurs fichiers en évitant les erreurs et les homonymies, et ne pouvant pas utiliser le NIR, la quasi-totalité des acteurs privés répertoriant des personnes (clients, salariés, fournisseurs, sujets d'étude…) attribuent des numéros d'identification. Cette pratique, qui est une composante de la constitution d'un fichier contenant des données à caractère personnel, est régulée par le RGPD
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, préc.
sous le contrôle de la Cnil.
L'attribution d'un numéro d'identification à une personne par une entreprise selon des critères qui lui sont propres ne présente pas de réelle difficulté. Les précautions à prendre sont celles de toute constitution de fichier contenant des données à caractère personnel. Ainsi, jusqu'à l'entrée en vigueur du RGPD, les entreprises devaient constituer et déclarer leurs fichiers clients à la Cnil selon la norme simplifiée NS-048
Cnil, délib. no 2016-264, 21 juill. 2016, portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048) : JO 14 sept. 2016, no 52.
. Actuellement, la Cnil donne sur la page internet relative à la norme NS-048 l'information suivante : « Suite à l'entrée en application du RGPD, les normes simplifiées adoptées par la Cnil n'ont plus de valeur juridique à compter du 25 mai 2018. Dans l'attente de la production de référentiels RGPD, la Cnil a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d'orienter leurs premières actions de mise en conformité ». Cette norme simplifiée traite à la fois des problématiques de constitution et de déclaration des fichiers clients.
Consultation de la norme simplifiée 48.Fichiers clients-prospects et vente en ligne
– Usages. – Les numéros attribués par les acteurs privés sont de véritables composantes de l'identité numérique des personnes attributaires. En plus de faciliter leur inscription dans les registres de l'entreprise émettrice, ce numéro permet aux personnes de s'identifier rapidement et de manière fiable. Ainsi les cartes à code-barres, QR Code ou autres puces RFID
De l'anglais Radio Frequency Identification : méthode pour mémoriser et récupérer des données à distance en utilisant des marqueurs appelés « radio-étiquettes ».
ne sont que des supports sur lesquels est gravé le numéro d'identification. Lorsque le code est lu, il est rapproché du registre informatique et permet l'identification du porteur.
L'adresse IP
– Attribution de l'adresse IP. – En se connectant au réseau internet, un appareil se voit attribuer, de manière directe ou indirecte, un numéro d'identification dit « adresse IP » (Internet Protocol). Cette attribution est faite par le fournisseur d'accès à internet par le biais duquel l'appareil se connecte au réseau internet. Selon l'abonnement, elle peut être statique (fixe) ou dynamique (une nouvelle adresse est attribuée à chaque connexion). Dans les deux cas de figure, le fournisseur d'accès à internet est techniquement en mesure d'identifier l'abonné à qui a été attribuée telle adresse IP à telle date.
Si l'identité de l'abonné à qui est attribuée l'adresse IP est certaine, ce n'est pas le cas de l'identité de l'utilisateur effectif (prêt de matériel par l'abonné à un tiers, usurpation d'adresse IP…). Il est donc légitime de se demander si l'adresse IP constitue une composante de l'identité numérique d'un usager d'internet.
– Valeur juridique de l'adresse IP. – Sans se prononcer directement sur l'identité numérique, la première chambre civile de la Cour de cassation a tranché le 3 novembre 2016
Cass. 1re civ., 3 nov. 2016, no 15-22.595 : JurisData no 2016-022669 ; JCP G 2016, 1310, note R. Perray ; JCP E 2016, act. 888.
une question assez proche, qui était de savoir si l'adresse IP pouvait être assimilée à des données personnelles dont la collecte devait en conséquence faire l'objet d'une déclaration préalable auprès de la Cnil. La Haute juridiction a répondu par l'affirmative, en visant l'article 2 de la loi informatique et libertés du 6 janvier 1978 qui définit alors la donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres »
L'article 2 a été modifié par l'ordonnance no 2018-1125 du 12 décembre 2018 (« Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique »).
.
Cet arrêt est conforme à la position prise par la Cnil dans sa délibération du 21 décembre 2006
Cnil, délib. no 2006-294, 21 déc. 2006, autorisant la mise en œuvre par l'Association de lutte contre la piraterie audiovisuelle (LPA) d'un traitement de données à caractère personnel ayant pour finalité principale la recherche des auteurs de contrefaçons audiovisuelles.
.
L'adresse IP : une donnée personnelle de l'abonné, pas de l'utilisateur
Si l'adresse IP constitue assurément une donnée personnelle dont la collecte doit faire l'objet d'une déclaration préalable auprès de la Cnil, il est cependant risqué d'en faire une composante de l'identité numérique, compte tenu de l'incertitude sur l'identité de l'utilisateur liée à des raisons pratiques.