Le déploiement du SSO « France Connect » officiellement autorisé par arrêté
Sso lonely
Le 06 août 2015 à 12h30
6 min
Droit
Droit
Le gouvernement vient de publier l’arrêté autorisant la mise en œuvre du dispositif « France Connect », développé depuis l’année dernière sous l’égide de la Direction interministérielle des systèmes d’information de l’État (DISIC). En passe d’être expérimentée, cette solution devrait permettre au citoyen de se connecter à partir de 2016 sur les principaux sites publics – impôts, CAF, Sécurité sociale... – grâce à un seul jeu d'identifiants.
Qui n’a jamais été agacé de devoir avoir un identifiant et un mot de passe pour chaque service en ligne, et notamment pour ceux proposés par l’administration française ? Les choses pourraient cependant être bien plus simples dans un avenir proche. Les pouvoirs publics travaillent en effet depuis plusieurs mois à la mise en place d’un dispositif qui permettra à terme de fédérer plusieurs comptes de son choix : France Connect.
Lorsqu’un internaute souhaitera se connecter à un site adhérant à ce programme (celui de la CAF par exemple), un bouton lui proposera de s’identifier à partir des codes lui ayant été fournis par un autre participant à France Connect, comme les impôts. L’avantage ? Il sera ainsi suffisant de connaître un seul sésame pour accéder à l’ensemble de ses comptes.
Le dispositif ne se limite par ailleurs pas à de l’authentification numérique, puisqu’il est couplé à un autre projet : « Dites-le nous une fois ». L’usager pourra aussi choisir de faire profiter une administration d’informations ayant déjà été fournies à une autre organisme public (RIB, extrait Kbis...).
Des données personnelles automatiquement croisées avec les fichiers de l’INSEE
Avant de mettre ce nouveau service en musique, les autorités ont dû acter sa création par un arrêté publié ce matin au Journal officiel. Celui-ci indique que France Connect « repose sur une fédération d'identités », et que son utilisation sera bien entendue « facultative » pour les internautes.
Il précise surtout les données à caractère personnel qui seront stockées par ce nouveau téléservice : nom, sexe, date de naissance, éventuel numéro de SIRET pour les entreprises, mais aussi – et surtout – « les clés de fédération ou « alias » générés par le système à la connexion de l'usager ». Toutes ces informations seront ensuite accessibles aux « autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire ». L'INSEE en sera également destinataire « pour consultation du répertoire national d'identification des personnes physiques, à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle-même ».
Ces dispositions ont cependant fait tiquer la Commission nationale de l’informatique et des libertés (CNIL). « Les fournisseurs de services seront automatiquement rendus destinataires des données obligatoires composant l'identité pivot des usagers, alors même que certains téléservices peuvent ne pas nécessiter la collecte de l'ensemble de ces données » s’inquiète l’institution dans un avis afférent à cet arrêté. La gardienne des données personnelles a ainsi prévenu le gouvernement dès la mi-juillet que « tout mécanisme d'authentification ou d'identification doit limiter le traitement de données aux seules données nécessaires ».
La Commission a dès lors explicitement demandé à la DISIC de faire évoluer son dispositif, de telle sorte que les organismes destinataires des données de France Connect ne reçoivent « qu'un sous-ensemble de données d'identité en fonction des besoins du traitement considéré ». Cette évolution conditionne même selon la CNIL la conformité de la solution à la loi Informatique et Libertés. Il est cependant impossible en l’état de savoir si cette recommandation sera suivie par les développeurs du programme.
L’appel à la prudence de la CNIL
Si la CNIL se montre globalement favorable à la mise en œuvre de France Connect, elle en appelle néanmoins à la plus grande prudence. « Le développement de l'administration électronique ne passe pas nécessairement et ne doit pas conduire à la création d'un identifiant unique des administrés, au plan local comme au plan national » souligne ainsi l’institution. Avant de prévenir : « Les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de certaines démarches administratives, et tout particulièrement aux fins d'alimenter d'autres fichiers ou de constituer un fichier de population. »
Certains se souviendront d’ailleurs que la CNIL a vu le jour au milieu des années 70, justement parce que le gouvernement prévoyait de mettre sur pied un fichier (dénommé SAFARI) rassemblant les informations nominatives détenues sur les citoyens par les différentes administrations... (voir notre émission 14h42 avec Louis Joinet).
La Commission rappelle enfin que la mise en œuvre de France Connect « doit s'accompagner de mesures de sécurité appropriées ». L’institution a en ce sens salué les précisions introduites dans l’arrêté concernant le chiffrement des alias, qui devront faire l’objet d’un « hachage irréversible ». Si la copie du gouvernement prévoit en outre que chaque adhérant au dispositif doive préalablement effectuer une déclaration de conformité auprès de la CNIL, cette dernière conclut son avis en demandant à recevoir une évaluation du dispositif un an après son ouverture au public.
Le lancement officiel de France Connect n’est cependant pas prévu pour avant 2016. Des expérimentations doivent être menées dès cette année auprès d’institutions volontaires, à l’image de la Direction générale des finances publiques (DGFiP) et de la CAF. Aujourd’hui pensé pour des acteurs publics, le dispositif a toutefois été conçu pour fonctionner également avec des opérateurs privés. La Poste fait ainsi partie des entreprises intéressées pour disposer elles aussi du bouton France Connect. Quant à la connexion avec le programme « Dites-le nous une fois », l'ordonnance ayant autorisé ce partage d'information entre administrations ne devrait pas entrer en vigueur avant 2017 (voir notre article).
Le déploiement du SSO « France Connect » officiellement autorisé par arrêté
-
Des données personnelles automatiquement croisées avec les fichiers de l’INSEE
-
L’appel à la prudence de la CNIL
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/08/2015 à 12h39
J’imagine que la mise en œuvre technique est différente, mais ça existe déjà au sein du portail service-public.fr, non ? On peut accéder aux impôts/la sécu, par exemple, avec une seule combinaison login/pwd.
Le 06/08/2015 à 12h48
Ce n’est pas vraiment ça, tu te connecte avec ton compte d’impot.gouv.fr, ou de la poste ou d’ameli
Le 06/08/2015 à 12h53
Disons que tu gardes un identifiant par site, mais tu les regroupes sous le compte service-public.fr. Après connexion au portail SP, tu peux sans nouvelle saisie d’informations aller les autres sites. Cette solution qui existe a l’avantage d’être “à la demande” de l’utilisateur.
Le 06/08/2015 à 13h21
+1 avec xillibit : le résultat est que au final, on se connecte avec un seul compte.
Des programmes de SSO come Guardian ne font pas autre chose : on se connecte avec un compte unique, mais par exemple, le compte bureautique windows est connu de Guardian, même si l’opération d’acquisition peut être transparente à l’utilisateur.
Le 06/08/2015 à 13h23
Est-ce que le décret prevoit l’information des adhérents au bousin en cas de piratage ? Et la procédure de régénération+communication des indentifiants ?
Le 06/08/2015 à 13h24
Le 06/08/2015 à 13h24
Oui.. France Connexion par exemple, avec un “X” comme quand on l’écrit correctement en français, ça aurait peut-être fait disparaitre tous les “connection” que je vois régulièrement parsemés dans des écrits en français….
Le 06/08/2015 à 13h25
Vu que tu utilise soit ton compte des impots soit d’Ameli, soit de la poste c’est chez eux qu’il faut aller voir pour régénérer le mot de passe
Le 06/08/2015 à 13h29
Le 06/08/2015 à 13h34
“French Connexion”
:)
Le 06/08/2015 à 13h39
ils ont peut être eut peur de faire trop :
french connection
ou alors ils voulaient éviter la marque “france connection” qui est une boite en évenementiel " />" />" />
Le 06/08/2015 à 13h40
Xavier, pour voir jusqu’où on peut aller, le système danois NemID est vraiment pas mal (quand ca tombe en rade, c’est la merde mais sinon c’est génial) " />
Le 06/08/2015 à 13h40
Et ils voulaient pas faire un système “2-factors” moins sensible aux gags ?
Le 06/08/2015 à 13h42
C’est ce qui fait le charme de la langue française " />
Et puis, ta logique est celle de l’écrit. La logique de l’oral est à l’inverse : connection, connecter… T dans les 2 cas, mais un qui se prononce X, et l’autre T ?
Le 06/08/2015 à 13h50
Le 06/08/2015 à 13h53
Le 06/08/2015 à 14h38
Plusieurs idée d’implémentation ont été proposé autour de “FranceConnect” lors
d’un Hackathon “EtatPlateforme”. Cependant, il faut que l’ensemble des
ministères jouent le jeu et mettent à disposition leurs données, pour que
“FranceConnect” ne soit pas juste le SSO des services l’état et que le
“Dites nous une fois” puissent réellement fonctionner.
Le 06/08/2015 à 15h03
Après les collectivités territoriales (communes, intercommunalités, départements…) peuvent aussi fournir l’authentification via france connect peur les services sur leurs sites
Le 06/08/2015 à 15h10
L’anglais n’est pas un bon exemple, il y a pas mal de syllabes dans un mot ou un autre qui s’écrivent pareil mais se prononcent différemment aussi. “Read” (/rid/) et “Read” (/red/), par exemple. :P
Le 06/08/2015 à 15h10
Sauf que connexion vient de connexe (du latin conexus) et que connecter vient du latin “conectere” !
A savoir que connection vient d’un usage US alors que connexion était plus usité chez nos voisins d’outre tunnel !
Le 06/08/2015 à 16h07
Perso pour les impôts, je suis jamais arriver a m’y connecter avec la procédure standard ces 3 dernières années. Il manque toujours une info/ID impossible a trouver sur la paperasse, c’est marquer noir sur blanc ou elle se trouve mais quand je regarde ma feuille il y à rien à l’emplacement décrit " />
J’ai toujours du passer par un vieu lien officieux tout pourri pecho sur le net est qui demandes moins d’infos pour arriver a s’authentifier
Le 06/08/2015 à 18h40
C’est un bon projet, mais que va-t-il se passer si on a déjà plusieurs identifiants sur ces sites ? Il va falloir en créer un autre ?
Le 06/08/2015 à 19h41
Si t’as des comptes sur les sites des impôts, la CAF, ou la Sécurité sociale pourquoi tu devrais en re-créer d’autres ?
Le 06/08/2015 à 20h10
Pour avoir les identifiants uniques ?
Le 06/08/2015 à 23h06
Justement si l’on souhaite sortir d’un simple SSO qui fournirai le nom / prénom / date de naissance et lieu de naissance d’une personnes.
Il faut que les différentes entité propose des éléments, des données. L’objectif derrière FranceConnect est le principe du “Dites nous une fois” surtout. Le SSO n’apporte pas la partie ayant le plus de plus-value, hormis un identifiant unique possible entre les différents SI public.
Hors pour le principe du “Dites nous une fois”, il faut que les différents ministères, collectivité territoriales ne soit pas que fournisseur de service, mais également fournisseur de donnée. Hors le gros du travail est bien là. Qu’est-ce que la collectivité / le ministère / le service doit proposer comme données.
Par exemple si tu souhaite te présenter à un concours de l’administration, plutôt que de fournir les X éléments demandé en PJ ou par courrier. Tu te connecte sur le formulaire d’inscription, tu accepte que celui-ci accède aux données de “ta collectivité”, de la DGFIP, etc (tu n’aura qu’à accepter les différentes administrations vers laquelle ton inscription souhaite y accéder), pour rapatrier les donnée issues de leur SI. Les entités se faisant confiance, ou effectuant les vérification, entre elle sur les éléments, tu n’aura pas de pièce justificative à fournir.
Autre exemple : Pourquoi devrais-je fournir une attestation de domicile à ma mairie alors que la DGFIP (la déclaration d’impôt étant un justificatif) là.
>> La plus-value de FranceConnect est là. Dans les échanges entre collectivité / ministères / service / etc pour éviter de fournir des papiers que l’état a déjà entre ces mains. Et pour cela il faut que les différentes entités soit aussi fournisseur de données. (Et ce point là n’est pas encore gagné).
Le 06/08/2015 à 23h45
Le 07/08/2015 à 05h46
Il sera ainsi suffisant de connaître un seul sésame pour accéder à l’ensemble de ses comptes.
ça facilitera la tâche aux hackers
Le 06/08/2015 à 12h33
“France Connect” … pour une administration qui passe beaucoup de temps à franciser les noms anglais, ils ne pouvaient pas trouver un truc plus “français” ?
Le 06/08/2015 à 12h38
La prochaine étape, c’est le déploiement sur les sites Djihadiste pour connecter tout le monde. " />