La carte nationale d’identité électronique (CNIe) est en circulation en France depuis le décret n°2021-279 du 13 mars 2021, entré en vigueur le 15 mars 2021 (ci-après le « Décret »).

Ce Décret précise les modalités d’application du règlement européen 2019/1157 du 20 juin 2019, visant à renforcer la sécurité des cartes d’identité et des documents de séjours au sein des États membres. En outre, il modifie les décrets suivants :

• le décret n°55-1397 du 22 octobre 1955 instituant la carte nationale d’identité ;
• le décret n°2016-1460 du 28 octobre 2016 instituant le fichier des titres électroniques sécurisés (fichier TES).

Mathias Avocats répond aux principales questions soulevées par ce texte.

Quelles mesures de sécurité pour la CNIe ?

Les principaux enjeux de la mise en place de la CNIe sont la sécurité, la lutte contre la fraude documentaire et l’usurpation d’identité. A ce titre, la Commission nationale de l’informatique et des libertés (Cnil) rappelle dans son avis du 11 février 2021 que l’un des objectifs de l’instauration d’une CNIe est de tendre vers la suppression de « la circulation de photocopies de pièces d’État civil lors de l’accomplissement de certaines démarches administratives ou commerciales ».

Le renforcement des mesures de sécurité se matérialise par le contenu de la carte en elle-même. Ainsi, cette dernière est composée notamment des éléments suivants :

• Une puce électronique « hautement sécurisée » (RFID) et un cachet électronique visible (CEV) ;
• Un dispositif holographique (changeant le visuel et la couleur de la photographie) ;
• Un multiple laser image (MLI = image changeante permettant de contrôler la photo d’identité et la date d’expiration de la CNIe).

Le ministère de l’Intérieur indique également que « les données de la puce sont chacune signées avec un cachet électronique, et l’ensemble est signé avec la clé publique de l’État. Toute modification des données se traduit par l’invalidité de la signature. Ainsi ces protections garantissent que les données qui figurent dans la puce sont intactes et signées de l’État ».

Quelle durée de conservation ?

Conformément à l’article 15 du décret, les données à caractère personnel traitées dans le cadre de la CNIe sont conservées pendant quinze ans en France. A ce titre, la Cnil a précisé dans sa délibération n°2021-022 du 11 février 2021 que cette durée de conservation n’était pas contraire à la législation européenne, en particulier à l’article 10-3 du règlement du 20 juin 2019 précité.

Quid de l’opposition au traitement des empreintes digitales ?

La personne concernée ne peut pas s’opposer à la collecte de ses empreintes digitales.

Toutefois, en vertu de l’article 4, 2° du Décret, la personne concernée peut s’opposer à ce que « l’image numérisée de ses empreintes » soit conservée au-delà de 90 jours dans le fichier du traitement (le fichier TES) à compter de la délivrance ou du refus de délivrance du titre.

Dans cette hypothèse, l’administration devra effectuer une copie sur papier de l’image numérisée des empreintes digitales qui sera conservée pendant quinze ans. Les copies d’empreintes ne pourront être utilisées qu’aux fins de « détection de tentatives d’obtention ou d’utilisation frauduleuse d’un titre d’identité ».

Quels sont les principaux apports en matière d’identification électronique ?

Nonobstant la mention des éléments d’identification (nom patronymique, prénom(s), date et lieu de naissance, sexe, taille, nationalité, domicile ou résidence), la carte d’identité doit désormais contenir des données biométriques, à savoir « l’image numérisée de la photographie ainsi que l’image numérisée des empreintes digitales de deux doigts » (article 2 du Décret).

Ces données à caractère personnel, y compris les données biométriques, sont conservées dans le fichier TES et sont rendues accessibles grâce au cachet électronique visible (CEV) et à la puce électronique inclus dans la CNIe. Le ministère de l’Intérieur indique que le composant électronique de la puce ne permettra pas la géolocalisation de la carte d’identité et des usagers.

Quid de l’accès et des usages de la CNIe ?

La liste des personnes autorisées à accéder aux données de la CNIe est fixée par le décret n°2016-1460 du 28 octobre 2016. A ce titre, on peut citer les agents du service public en charge des cartes d’identité ou des passeports, ou encore les agents chargés des missions de recherche et de contrôle d’identité des personnes (police nationale, gendarmerie nationale et douanes).

Quelles recommandations de la CNIL et de l’ANSSI ?

S’agissant de l’élargissement du fichier TES aux données biométriques des cartes d’identité (image du visage et empreintes digitales), la Cnil a indiqué, dans sa délibération du 11 février 2021, que le traitement de ces données sous une forme centralisée présente des risques, « compte tenu à la fois des caractéristiques de l’élément d’identification physique retenu, des usages possibles de ces traitements et des risques d’atteintes graves à la vie privée et aux libertés individuelles en résultant. »

De son côté, l’ANSSI dans le cadre de son rapport sur l’audit du fichier TES, rendu le 17 janvier 2017, converge avec l’avis de la Cnil. En effet, selon l’ANSSI « les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient ». Toutefois, l’agence constate que la sécurité globale du système doit être renforcée et formule des recommandations relatives aux mesures de gouvernance, d’exploitation et de sécurité des données.

CNIe : quid de l’interopérabilité en Europe ?

Le règlement (UE) n°910/2014 du 23 juillet 2014 (dit règlement eIDAS) porte notamment sur la reconnaissance mutuelle des schémas d’identification électronique.

Ce règlement ne vise pas à encadrer le système de gestion de l’identité électronique, ni les infrastructures associées établies dans les États membres. En revanche, il a pour finalité de donner l’accès, de façon transfrontalière, à des services publics européens en ligne.

A ce titre, les États membres disposent d’un pouvoir discrétionnaire d’utiliser ou d’introduire des moyens d’accès aux services en ligne. Toutefois, ces derniers sont tenus de notifier à la Commission européenne les systèmes d’identification électronique utilisés au niveau national pour accéder aux services publics (considérant 12 et 13 du règlement eIDAS).

Cette notification permet donc de créer la confiance nécessaire dans le système d’identification électronique respectif des États membres. Elle permet aussi de faciliter la reconnaissance et l’acceptation mutuelles des titres d’identité.

Pour l’heure, même si aucune notification émanant de la France n’a été réalisée pour la CNIe, la question d’une future notification à la Commission, permettant ainsi une réelle interopérabilité de la carte au sein des pays européens, se pose.

Récemment, la Commission supérieure du Numérique et des Postes, a rendu un avis portant recommandations dans le domaine de la sécurité numérique et sollicite du gouvernement « d’accélérer le déploiement de l’identité numérique régalienne afin que nos concitoyens disposent dans les meilleurs délais de cet instrument essentiel pour la sécurité des accès aux ressources numériques. Cette accélération est également nécessaire pour que la France ne prenne pas de retard supplémentaire par rapport à ses voisins européens. »

Le débat reste entier quant à la reconnaissance mondiale d’un dispositif d’identité électronique dont la confiance de tous les acteurs publics et privés est requise.

Mathias Avocats vous tiendra informé des travaux sur l’identité numérique et sa reconnaissance au-delà de nos frontières.