Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile »

Le ministre de l'intérieur est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Authentification en ligne certifiée sur mobile ».

Ce traitement a pour finalité de proposer aux titulaires de l'un des titres mentionnés à l'article 2 du présent décret la délivrance d'un moyen d'identification électronique leur permettant de s'identifier électroniquement et de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ces titres, en respectant les dispositions prévues par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 susvisé, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.

L'enrôlement dans ce traitement par le titulaire de l'un des titres mentionnés à l'article 2 du présent décret donne lieu à l'ouverture d'un compte.

Le traitement mentionné à l'article 1er s'applique :

1° Aux ressortissants français titulaires d'un passeport comportant un composant électronique, tel que mentionné à l'article 2 du décret du 30 décembre 2005 susvisé ;

2° Aux ressortissants étrangers titulaires d'un titre de séjour comportant un composant électronique, tel que mentionné à l'article R. 311-13-1 du code de l'entrée et du séjour des étrangers et du droit d'asile.

Les titres mentionnés à l'article 2 doivent être en cours de validité au moment de l'enrôlement dans le traitement mentionné à l'article 1er et à chaque demande d'utilisation du moyen d'identification électronique.

Pour permettre la délivrance du moyen d'identification électronique, et à chaque utilisation de l'application, le traitement mentionné à l'article 1er est mis en relation avec le fichier national de contrôle de la validité des titres.

Le traitement mentionné à l'article 1er utilise un système de reconnaissance faciale statique et de reconnaissance faciale dynamique.

Le traitement ne comporte pas de dispositif de recherche permettant l'identification à partir de l'image numérisée du visage.

Les données enregistrées dans le composant électronique prévu à l'article 2 du décret du 30 décembre 2005 susvisé sont lues par le traitement mentionné à l'article 1er, à l'exclusion de l'image numérisée des empreintes digitales, dans les conditions prévues à l'article 3 du décret du 28 octobre 2016 susvisé.

Les données enregistrées dans le composant électronique prévu à l'article R. 311-13-1 du code de l'entrée et du séjour des étrangers et du droit d'asile sont lues par le traitement mentionné à l'article 1er, à l'exclusion de l'image numérisée des empreintes digitales, dans les conditions prévues à l'article R. 611-5 du même code.

Peuvent être enregistrées dans le présent traitement les données à caractère personnel et informations suivantes :

1° Données permettant l'identification de l'usager :

a) Le nom ;

b) Le nom d'usage ;

c) Le(s) prénom(s) ;

d) La date de naissance ;

e) Le pays de naissance ;

f) Le département de naissance ;

g) Le lieu de naissance ;

h) La nationalité ;

i) Le sexe ;

j) La taille et la couleur des yeux ;

k) L'adresse postale ;

l) La photographie de l'usager extraite du titre ;

m) La photographie de l'usager prise avec son équipement terminal de communications électroniques pour la reconnaissance faciale ;

n) La vidéo prise par l'usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;

o) L'adresse électronique ;

p) Le numéro d'appel de l'équipement terminal de communications électroniques ;

q) L'identifiant technique associé au compte de l'usager ;

2° Données permettant l'identification du titre détenu par l'usager :

a) Le numéro du titre ;

b) L'autorité de délivrance ;

c) La date de délivrance ;

d) La date d'expiration ;

e) La clé publique permettant de certifier l'authenticité du titre ;

3° Données relatives à l'historique des transactions associées au compte ALICEM :

a) Le nom du fournisseur de service ;

b) La catégorie de la transaction ;

c) Une description courte du fournisseur de service ;

d) Une description longue du fournisseur de service ;

e) Le statut de la transaction ;

f) La date de la transaction ;

g) La date de mise à jour de la transaction ;

h) La date d'expiration de la transaction ;

i) La priorité de la transaction ;

4° L'identifiant unique du service de notification, aux fins d'identification de l'équipement terminal de communications électroniques.

Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, à tout ou partie des données et informations enregistrées dans le traitement mentionné à l'article 1er, à l'exclusion des données mentionnées du a au l du 1°, du a au d du 2° et au 3° de l'article 7 :

1° Les agents des services du ministère de l'intérieur chargés de la maîtrise d'ouvrage du traitement mentionné à l'article 1er, individuellement désignés et habilités par leur directeur ;

2° Les agents de l'Agence nationale des titres sécurisés chargés de la maîtrise d'œuvre du traitement mentionné à l'article 1er, individuellement désignés et dûment habilités par leur directeur.

I. − Peuvent être destinataires, dans la limite du besoin d'en connaître, des données enregistrées dans le traitement mentionnées au II du présent article :

1° La direction interministérielle du numérique et du système d'information et de communication de l'Etat ;

2° Les fournisseurs de téléservices liés par convention à FranceConnect, auxquels FranceConnect transmet les données d'état civil sans modification ;

3° Les fournisseurs de téléservices liés par convention à l'Agence nationale des titres sécurisés.

II. − Les données transmises sont les suivantes :

1° Le nom de famille ;

2° Le cas échéant, le nom d'usage ;

3° Le(s) prénom(s) ;

4° La date de naissance ;

5° Le lieu de naissance ;

6° Le sexe ;

7° L'adresse postale ;

8° L'adresse électronique ;

9° Le numéro d'appel de l'équipement terminal de communications électroniques.

I. − Les données mentionnées du a au l du 1° et du a au d du 2° de l'article 7 sont conservées uniquement sur l'équipement terminal de communications électroniques de l'usager.

II. − Les données mentionnées aux m et n du 1° de l'article 7 font l'objet d'un traitement par le traitement centralisé mis en œuvre par l'Agence nationale des titres sécurisés aux seules fins de mettre en œuvre la reconnaissance faciale statique et la reconnaissance faciale dynamique prévues à l'article 4. Elles sont effacées sitôt ces reconnaissances terminées.

III. − Les autres données sont conservées dans le traitement centralisé mis en œuvre par l'Agence nationale des titres sécurisés.

Les données mentionnées aux o, p et q du 1° ainsi qu'au 3° de l'article 7 font également l'objet d'une conservation sur l'équipement terminal de communications électroniques de l'usager.

I. − Les données à caractère personnel conservées sur l'équipement terminal de communications électroniques de l'usager sont chiffrées. Elles sont inaccessibles dès lors que l'usager supprime son compte. Elles sont supprimées de l'équipement terminal de communications électroniques lorsque l'usager désinstalle l'application ALICEM de son équipement terminal de communications électroniques.

II. − Les données à caractère personnel, énumérées au III de l'article 10 sont conservées pendant toute la durée d'utilisation par l'usager du compte mentionné à l'article 1er du présent décret.

Elles sont supprimées à l'issue d'un délai de vingt-quatre heures en cas d'absence de validation de la création du compte et à l'issue d'un délai de sept jours en cas d'absence d'activation du compte.

Elles sont supprimées à l'issue d'une période d'inactivité du compte de six ans.

Les opérations de création, consultation, utilisation, mise à jour et suppression du compte font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération. Les informations relatives à ces opérations sont conservées pendant six ans et ne peuvent être consultées, par les agents mentionnés à l'article 8, qu'à la demande de l'usager ou, en cas de litige, après l'en avoir informé. L'usager en est alors destinataire.

L'Agence nationale des titres sécurisés procède, au moment de la demande d'ouverture du compte mentionné à l'article 1er, à l'information de l'usager concernant l'utilisation d'un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques.

Les droits d'accès, de rectification, d'effacement et de limitation du traitement ainsi que le droit à la portabilité des données s'exercent auprès de l'Agence nationale des titres sécurisés dans les conditions prévues aux articles 15, 16, 17, 18 et 20 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.

La section 1 du chapitre unique du titre Ier du livre VI du code de l'entrée et du séjour des étrangers et du droit d'asile (partie réglementaire) est ainsi modifiée :

I. − A l'article R. 611-1 :

1° Au début de l'article, il est ajouté la mention : « I. − » ;

2° Au début du dernier alinéa, il est ajouté la mention : « II. − » ;

3° Le même article est complété par un alinéa ainsi rédigé :

« Le traitement automatisé prévu au I du présent article transmet au fichier national de contrôle de la validité des titres les informations relatives au numéro de titres émis, sa date de délivrance, sa date de fin de validité ainsi que l'indication relative au type de titre. Sont également transmis le statut des titres et, le cas échéant, les motifs de leur invalidité. »

II. − A l'article R. 611-5 :

1° Au début de l'article, il est ajouté la mention : « I. − » ;

2° L'article est complété par un alinéa ainsi rédigé :

« II. − Les données enregistrées dans le composant électronique prévu à l'article R. 311-13-1 du code de l'entrée et du séjour des étrangers et du droit d'asile, à l'exclusion de l'image numérisée des empreintes digitales, sont lues par le traitement mentionné à l'article 1er du décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé “ Authentification en ligne certifiée sur mobile ” ».

L'article 3 du décret du 28 octobre 2016 susvisé est complété par un alinéa ainsi rédigé :

« III. − Les données enregistrées dans le composant électronique prévu à l'article 2 du décret du 30 décembre 2005 susvisé, à l'exclusion de l'image numérisée des empreintes digitales, sont lues par le traitement mentionné à l'article 1er du décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ».

Le ministre de l'intérieur est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.