Laure Landes-Gronowski, notre associée IT&Data, interviewée dans le JT de TF1 sur la nouvelle appli d’identification du gouvernement “SGIN”

#sgin #interview #donneesacaracterepersonnel

TF1, JT de 20h du 29 avril 2022 – Interview de notre associée, Laure LANDES-GRONOWSKI (pôle IT & Data protection), dans le cadre du reportage de Jérôme Garro sur la nouvelle application lancée par le gouvernement, dénommée SGIN, et ayant pour finalité la mise à disposition des titulaires d’une “nouvelle” carte nationale d’identité un moyen d’identification électronique leur permettant :

  • de s’identifier et de s’authentifier auprès d’organismes publics ou privés grâce à une application qu’ils installent sur leur équipement terminal de communications électroniques permettant la lecture sans contact du composant contenu dans la carte d’identité,
  • de générer des attestations électroniques comportant les seuls attributs d’identité dont il estime la transmission nécessaire aux tiers de son choix.

 

Présentation du SGIN

Par décret 2022-676 du 26 avril 2022, le ministre de l’intérieur (secrétariat général) et l’Agence nationale des titres sécurisés (ANTS) ont été conjointement autorisés à créer et à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Service de garantie de l’identité numérique » (SGIN), ayant pour finalité la création d’un moyen d’identification électronique.

Ce décret prévoit ainsi les finalités d’utilisation des données des usagers pour cette finalité, les catégories de données pouvant être traitées dans ce cadre, les destinataires autorisés à accéder à ces données,…

 

Questions / réponses sur le SGIN

En réponse aux questions du journaliste Jérôme Garro, Laure Landes-Gronowski est revenue sur certains aspects structurants de cette application.

 

Pourquoi les empreintes digitales ne seront pas enregistrées dans l’application ?

En droit de la protection des données à caractère personnel, il est interdit de collecter / enregistrer plus de données que ce qui est strictement nécessaire pour la finalité poursuivie, en l’espèce pour rendre le service. Si les données ne sont pas nécessaires pour rendre le service, ce qui semble être le cas s’agissant des empreintes digitales, alors elles ne doivent pas être collectées dans le cadre du service. En outre, les empreintes digitales sont des données qui présentent une certaine sensibilité et qui ne peuvent être collectées / traitées que dans certaines hypothèses limitées et sous certaines conditions strictes. Enfin, la Commission nationale de l’informatique et des libertés (ou Cnil) rappelle régulièrement qu’il est par principe interdit de créer des bases de données comportant des données biométriques (en ce incluant des empreintes digitales), sauf certains cas très spécifiques et devant être strictement limités.

 

La mise en œuvre de cette application comporte-t-elle des risques pour les données des usagers ?

Tout nouveau traitement de données à caractère personnel implique des risques pour les personnes concernées, encore plus lorsque ce traitement à une vocation très “identifiante”.

C’est pour cela que les organismes mettant en œuvre un tel traitement sont tenus à une obligation de sécurité s’agissant des données traitées, collectées,…

Cela passe en l’espèce, ainsi que tel est prévu par le décret précité, par :

  • des mesures de sécurité renforcées (telles que le chiffrement des données par exemple en fonction des supports de stockage) ;
  • l’application de règles de purge et de suppression des données à l’issue d’un certain délai (ex: suppression des données si le process de création de compte n’est pas finalisé ou si un usager est inactif pendant un certain temps ou si l’usager supprime ou désinstalle ses données, et en tout état de cause au-delà de 5 ans à compter de la dernière vérification d’identité ;
  • des mesures de traçabilité des opérations faites sur ou au moyen de l’application : les opérations de création, de consultation, d’utilisation, de révocation et de suppression du moyen d’identification électronique font l’objet d’un enregistrement comprenant l’identifiant de l’auteur, la date, l’heure et l’objet de l’opération ;
  • des habilitations restreintes pour l’accès aux données au sein des serveurs par exemple.

Il convient également de rappeler que les personnes concernées disposent de certains droits sur leurs données (ex: un droit d’accès, un droit à l’effacement -par exemple en supprimant son compte-,…) et qu’elles peuvent les exercer. Elles peuvent également saisir la Cnil qui veille au respect des dispositions et précautions applicables en matière de protection des données à caractère personnel.

 

 

Retrouvez le replay du reportage sur tf1.fr (à partir de 9min52).

 

 

 

Par AGIL’IT – Pôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée