Jusqu'à présent, le fédérateur d'identité FranceConnect était réservé aux administrations et services publics. Mais un arrêté qui vient de paraître au Journal Officiel de 15 novembre 2018 vient de rompre cette restriction. Désormais, le téléservice FranceConnect peut être employé par des entreprises privées sous un certaine nombre de restrictions. Rappelons que FranceConnect n'est pas un fournisseur d'identité en tant que tel mais agrège des fournisseurs d'identité (la DGFiP, la sécurité sociale, etc.) pouvant être utilisés par des services en ligne tiers. Désormais, ces services peuvent donc appartenir au secteur privé et FranceConnect se place donc comme concurrent d'autres services de connexion comme ceux fournis par Facebook ou Google.
L'arrêté précise la liste des informations pouvant ou devant être intégrées à l'identité traitée. Il précise que, pour se connecter à un service, l'usage de FranceConnect doit rester facultatif et ne peut donc pas être le seul moyen d'identification. Les acteurs privés pouvant utiliser FranceConnect sont, d'une part, ceux gérant les changements d'adresses, d'autre part, « les personnes morales de droit privé qui proposent des services en ligne dont l'usage nécessite, conformément à des dispositions législatives ou réglementaires, la vérification de l'identité ». Les sites de e-commerce ne sont donc pas concernés et restent obligés, s'ils souhaitent proposer un service d'identité partagée, d'utiliser un outil comme ceux de Google ou Facebook.
L'arrêté précise également les obligations en matière de traçabilité des accès et de durée de conservation de ces informations. Le responsable de FranceConnect est réaffirmé comme étant la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC).
Commentaire