Les numéros d'identification

L'autre élément d'identification numérique imposé est le numéro d'identification. Certains sont attribués par l'État (§ I) , d'autres par des acteurs privés (§ II) à l'instar de l'adresse IP (§ III) .

Les numéros attribués par l'État

– Le numéro d'inscription au répertoire des personnes physiques (NIRPP ou NIR). – Depuis 1946 Ord. n^o 45-2454, 19 oct. 1945, fixant le régime des assurances sociales applicables aux assurés des professions non agricoles, art. 6. , prioritairement pour les besoins de la Sécurité sociale, l'État attribue à chaque Français, dès sa naissance, un numéro d'inscription au répertoire des personnes physiques (NIRPP ou NIR), numéro communément appelé « numéro de sécurité sociale ». Le NIR est géré par l'Insee D. n^o 47-834, 13 mai 1947, relatif à l'organisation des services centraux et des directions régionales de l'Insee, art. 2. . Par son exhaustivité et sa simplicité, ce numéro répertoriant tous les citoyens attire les convoitises de l'ensemble des services de l'État.

En 1972, les ministères de l'Intérieur et de la Justice préparent le projet de système automatisé pour les fichiers administratifs et le répertoire des individus, dit « projet Safari ». Ce projet consiste à utiliser le NIR dans l'ensemble des fichiers informatiques actuels et futurs des différentes administrations et à interconnecter le tout V., sur le site INA.fr, « JT 20h ORTF, 23 juill. 1972 » (https://sites.ina.fr/cnil-40-ans/focus/chapitre/2/medias/CAF97060610">Lien). . Ce projet Safari sera toutefois vite abandonné face à la polémique soulevée par la publication d'un article de Philippe Boucher dans le journal Le Monde, intitulé Safari ou la chasse aux Français Article complet sur le site de la Cnil (www.cnil.fr/sites/default/files/atoms/files/le_monde_0.pdf">Lien). , visant à dénoncer les conséquences d'un tel fichage des individus. C'est dans ce contexte qu'est créée la Commission nationale de l'informatique et des libertés (Cnil), par l'adoption de la loi informatique et libertés du 6 janvier 1978 L. n^o 78-17, 6 janv. 1978, préc. . La Cnil a notamment le pouvoir d'autoriser ou non l'usage du NIR par les autorités pour chaque fichier créé. Les projets d'échanges d'informations entre les administrations sont fréquents et la réglementation évolue perpétuellement. La disposition légale la plus récente des cas d'usage du NIR date du décret du 19 avril 2019, dit « décret cadre-NIR » D. n^o 2019-341, 19 avr. 2019, relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire : JO 21 avr. 2019, n^o 4. . Comme pour tout traitement de données à caractère personnel, la Cnil dispose également d'un pouvoir de contrôle de l'usage du NIR par les pouvoirs publics ou les organismes privés et peut poursuivre en justice Ord. n^o 2018-1125, 13 déc. 2018, prise en application de l'article 32 de la loi n^o 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n^o 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel, art. 19 : JO 13 déc. 2018, n^o 5. .

– Le service FranceConnect. – Notre millefeuille administratif a toutefois rapidement conduit l'État à multiplier le nombre de numéros d'identification par citoyen, chaque fichier administratif répondant aux exigences de son propre numéro d'identification… Si le citoyen pouvait être rassuré sur le respect de l'exercice de ses libertés individuelles grâce au contrôle de la Cnil, la multiplication de ces numéros conjuguée à un besoin d'utilisation de plus en plus fréquent rendait les accès aux systèmes administratifs dématérialisés totalement abscons.

À partir d'une identification complète sur un site reconnu par FranceConnect, site de première importance comme mpots.gouv.fr">Lieni ou ameli.fr">Lien(Sécurité sociale), l'usager peut accéder à des services publics en ligne (Agence nationale des titres sécurisés, Toulouse Métropole, consultation du livret scolaire en ligne…). Le partage d'informations se fait au niveau des identifiants d'accès et non au niveau du classement des données collectées : ainsi chaque site internet ou service numérique conserve la maîtrise et le traitement des données dont il a la charge, seul le moyen d'accès est partagé. Il s'agit des prémices d'une identité numérique attribuée par l'État.

elles proposent des services en ligne liés à la démarche de changement d'adresse et uniquement pour ces services ;
elles proposent des services en ligne dont l'usage nécessite, conformément à un texte réglementaire, la vérification de l'identité de leurs utilisateurs.

Ce constat a amené l'État à créer en 2005 le service FranceConnect A. 24 juill. 2015, portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » : JO 6 août 2015, n^o 4. .

Depuis 2018 A. 8 nov. 2018, relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d'information et de communication de l'État, art. 4 : JO 15 nov. 2018, n^o 3. , les entreprises privées peuvent également utiliser le service FranceConnect pour l'identification de leurs clients dans les cas suivants :

Enfin, un arrêté du 11 mai 2020 A. 11 mai 2020, relatif à l'expérimentation visant à étendre le périmètre des partenaires du téléservice « FranceConnect » : JO 21 mai 2020, n^o 124. a lancé une expérimentation limitée à cent personnes morales dont la finalité est de déterminer les nouveaux secteurs d'activité qui trouveraient un bénéfice à utiliser FranceConnect afin d'améliorer les services rendus à leurs utilisateurs. Selon le 6^ode l'article 2 dudit arrêté : « Les modalités de participation à l'expérimentation sont disponibles sur le site https://franceconnect.gouv.fr/partenaires">Lien ».

Vidéo de présentation du service FranceConnect

– Le système Alicem (« Authentification en ligne certifiée sur mobile »). – Le système Alicem créé par décret du 13 mai 2019 D. n^o 2019-452, 13 mai 2019, autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ». permet par ailleurs aux usagers de FranceConnect de s'identifier par reconnaissance faciale : l'usager télécharge l'application Alicem sur un smartphone compatible, crée un compte en indiquant ses éléments d'état civil de base, son adresse e-mail et un numéro de portable. Il reçoit enfin un SMS de confirmation et filme ensuite son visage sous plusieurs angles. Il est désormais identifiable par les services compatibles avec FranceConnect à la seule vue de son visage !

Ce décret du 13 mai 2019 donnant naissance à Alicem a fait l'objet d'un recours pour excès de pouvoir devant le Conseil d'État par l'association « La Quadrature du net » déposé en juillet 2019 au motif qu'il n'y a pas d'alternative à l'usage de la reconnaissance faciale dans le système Alicem. Par un arrêt du 4 novembre 2020, les dixième et neuvième chambres réunies du Conseil d'État ont toutefois rejeté ce recours CE, 10^e et 9^e ch., 4 nov. 2020, n^o 432656. .

Ce rejet a été essentiellement motivé, d'une part, par l'inexistence pour la création d'identifiants électroniques d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale et, d'autre part, par le fait que le consentement à Alicem est librement donné dans la mesure où les services auxquels cette identification donne accès sont tous également accessibles via la plateforme FranceConnect.

Les numéros attribués par des acteurs privés

– Encadrement par la Cnil et le RGPD. – Afin de faciliter la tenue de leurs fichiers en évitant les erreurs et les homonymies, et ne pouvant pas utiliser le NIR, la quasi-totalité des acteurs privés répertoriant des personnes (clients, salariés, fournisseurs, sujets d'étude…) attribuent des numéros d'identification. Cette pratique, qui est une composante de la constitution d'un fichier contenant des données à caractère personnel, est régulée par le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, préc. sous le contrôle de la Cnil.

L'attribution d'un numéro d'identification à une personne par une entreprise selon des critères qui lui sont propres ne présente pas de réelle difficulté. Les précautions à prendre sont celles de toute constitution de fichier contenant des données à caractère personnel. Ainsi, jusqu'à l'entrée en vigueur du RGPD, les entreprises devaient constituer et déclarer leurs fichiers clients à la Cnil selon la norme simplifiée NS-048 Cnil, délib. n^o 2016-264, 21 juill. 2016, portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048) : JO 14 sept. 2016, n^o 52. . Actuellement, la Cnil donne sur la page internet relative à la norme NS-048 l'information suivante : « Suite à l'entrée en application du RGPD, les normes simplifiées adoptées par la Cnil n'ont plus de valeur juridique à compter du 25 mai 2018. Dans l'attente de la production de référentiels RGPD, la Cnil a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d'orienter leurs premières actions de mise en conformité ». Cette norme simplifiée traite à la fois des problématiques de constitution et de déclaration des fichiers clients.

Consultation de la norme simplifiée 48.Fichiers clients-prospects et vente en ligne

– Usages. – Les numéros attribués par les acteurs privés sont de véritables composantes de l'identité numérique des personnes attributaires. En plus de faciliter leur inscription dans les registres de l'entreprise émettrice, ce numéro permet aux personnes de s'identifier rapidement et de manière fiable. Ainsi les cartes à code-barres, QR Code ou autres puces RFID De l'anglais Radio Frequency Identification : méthode pour mémoriser et récupérer des données à distance en utilisant des marqueurs appelés « radio-étiquettes ». ne sont que des supports sur lesquels est gravé le numéro d'identification. Lorsque le code est lu, il est rapproché du registre informatique et permet l'identification du porteur.

L'adresse IP

– Attribution de l'adresse IP. – En se connectant au réseau internet, un appareil se voit attribuer, de manière directe ou indirecte, un numéro d'identification dit « adresse IP » (Internet Protocol). Cette attribution est faite par le fournisseur d'accès à internet par le biais duquel l'appareil se connecte au réseau internet. Selon l'abonnement, elle peut être statique (fixe) ou dynamique (une nouvelle adresse est attribuée à chaque connexion). Dans les deux cas de figure, le fournisseur d'accès à internet est techniquement en mesure d'identifier l'abonné à qui a été attribuée telle adresse IP à telle date.

Si l'identité de l'abonné à qui est attribuée l'adresse IP est certaine, ce n'est pas le cas de l'identité de l'utilisateur effectif (prêt de matériel par l'abonné à un tiers, usurpation d'adresse IP…). Il est donc légitime de se demander si l'adresse IP constitue une composante de l'identité numérique d'un usager d'internet.

– Valeur juridique de l'adresse IP. – Sans se prononcer directement sur l'identité numérique, la première chambre civile de la Cour de cassation a tranché le 3 novembre 2016 Cass. 1^re civ., 3 nov. 2016, n^o 15-22.595 : JurisData n^o 2016-022669 ; JCP G 2016, 1310, note R. Perray ; JCP E 2016, act. 888. une question assez proche, qui était de savoir si l'adresse IP pouvait être assimilée à des données personnelles dont la collecte devait en conséquence faire l'objet d'une déclaration préalable auprès de la Cnil. La Haute juridiction a répondu par l'affirmative, en visant l'article 2 de la loi informatique et libertés du 6 janvier 1978 qui définit alors la donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » L'article 2 a été modifié par l'ordonnance n^o 2018-1125 du 12 décembre 2018 (« Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique »). .

Cet arrêt est conforme à la position prise par la Cnil dans sa délibération du 21 décembre 2006 Cnil, délib. n^o 2006-294, 21 déc. 2006, autorisant la mise en œuvre par l'Association de lutte contre la piraterie audiovisuelle (LPA) d'un traitement de données à caractère personnel ayant pour finalité principale la recherche des auteurs de contrefaçons audiovisuelles. .

L'adresse IP : une donnée personnelle de l'abonné, pas de l'utilisateur

Si l'adresse IP constitue assurément une donnée personnelle dont la collecte doit faire l'objet d'une déclaration préalable auprès de la Cnil, il est cependant risqué d'en faire une composante de l'identité numérique, compte tenu de l'incertitude sur l'identité de l'utilisateur liée à des raisons pratiques.