Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-3893

de Philippe Fontaine (MR) du 11 aôut 2009

à la ministre de l'Intérieur

Cartes d'identité électroniques - Délivrance - Code PIN - Confidentialité

document d'identité
protection de la vie privée
protection des données
document électronique
administration électronique
confidentialité

Chronologie

11/8/2009Envoi question (Fin du délai de réponse: 10/9/2009)
19/10/2009Réponse

Question n° 4-3893 du 11 aôut 2009 : (Question posée en français)

Depuis le 15 septembre 2004, les autorités belges délivrent uniquement la carte d'identité électronique. Elle permet d'identifier les personnes via un système électronique par la puce électronique qui contient des données personnelles.

A cet objectif de modernité s'ajoute celui de sécurisation absolue de cette carte puisqu'elle permet notamment à l'aide des certificats digitaux contenus dans la puce de signer des documents de manière électronique, de changer le domicile inscrit dans la puce sans passer par le remplacement de la carte ou encore, bientôt, de surfer de manière plus sure sur des sites réservés à certaines tranches d'âge grâce à l'identification permise par les lecteurs de carte à domicile.

Par ailleurs, si quelqu'un s'est emparé de la carte d'une autre personne, rien ne pourra en être fait puisque l'eID fonctionne de la même manière qu'une carte bancaire avec un code PIN. Sans ce code PIN, personne ne peut se faire passer pour quelqu'un d'autre sur le web ou toute autre application électronique. Il semble donc qu'il soit nécessaire de faire en sorte que le code PIN reste secret. Pouvez-vous, dès lors, me rappeler les consignes reçues par les administrations communales en matière de respect de la confidentialité du code PIN et existe-t-il un contrôle de ce respect ?

Il semblerait que les communes ne disposent pas automatiquement de terminaux permettant au citoyen qui vient enlever sa carte d'introduire lui-même son code PIN. Il semblerait que dans certaines administrations le fonctionnaire communal introduit lui-même le code PIN avant de donner la carte. Trouvez-vous ça normal qu'aux premiers instants de sa vie, le code de confidentialité de l'eID soit déjà violé ?

Dans certaines communes, à la demande de certains élus soucieux du respect de cette confidentialité, des terminaux à chiffres et lecteur de carte ont été installés à grand peine sur la tablette extérieure. Une commune précise, par exemple, que le terminal sera passé par l'ouverture pratiquée au travers du guichet seulement à la demande du titulaire de la carte. Est-ce normal ?

Enfin, pouvez-vous me dire combien de terminaux de ce genre ont été installés dans les communes et quelles mesures vous comptez prendre pour veiller au respect de la totale confidentialité qui doit entourer l'eID ?

Réponse reçue le 19 octobre 2009 :

L'honorable membre trouvera ci-après la réponse à sa question.

1. Pouvez-vous dès lors me rappeler les consignes reçues par les administrations communales en matière de respect de la confidentialité du code PIN et existe-t-il un contrôle de ce respect?

Il peut être porté à la connaissance de l’honorable membre que structurellement, toutes les mesures ont été prises pour garantir la confidentialité du code PUK / PIN du citoyen.

Tout d’abord, l'activation d'une carte électronique (eID, Kids-ID et carte électronique pour étranger) se fait exclusivement au moyen de l'application Belpic, qui est installée sur les terminaux RA-PC dans les communes. Cette application ne peut fonctionner qu'avec une ligne sécurisée (publilink) connectée au Registre national.

Pour pouvoir démarrer l’application Belpic, le fonctionnaire communal mandaté à cette fin doit s'identifier en insérant sa carte d'identité électronique dans le lecteur de carte prévu à cet effet. Sa carte doit en outre rester dans le lecteur de carte, car sinon, la connexion avec le registre national est interrompue et plus aucune opération ne peut être effectuée dans l’application Belpic.

Par conséquent, pour l'activation d'une carte d'identité électronique, une configuration complète se composant d'un RA-PC, d'un lecteur de carte pour le fonctionnaire communal et d'un lecteur de carte pour le citoyen est nécessaire, et la carte d'identité électronique du fonctionnaire communal doit rester dans le lecteur de carte tout au long de la procédure d'activation. Chaque action effectuée sur le RA-PC à la demande du fonctionnaire communal est en outre enregistrée de sorte qu’à tout moment, il est possible de vérifier ce que le fonctionnaire communal concerné a introduit.

A l'écran du RA-PC s'affichent toutes les étapes que le fonctionnaire doit suivre, parmi lesquelles la procédure à suivre pour l'activation d'une eID, en l'occurrence, demander au citoyen d'introduire son code PUK et PIN sur le lecteur de carte destiné à cette fin. Dans le manuel Belpic, destiné aux fonctionnaires communaux, les différentes étapes dans la procédure d’activation des cartes d’identité électroniques, ont également été décrites (voir Release note Application Belpic http://www.ibz.rrn.fgov.be/fileadmin/user_upload/CI/kidscard/3%20Instructions/fr/nouveau0309/3_ci_belge.pdf).

Afin d'activer la carte d'identité électronique d'un citoyen, dans chaque commune, par RA-PC, au moins un lecteur de carte est équipé d’un clavier PINPAD sécurisé, ce qui implique que les codes PUK et PIN introduits sur ce lecteur de carte par le citoyen ne peuvent être retracés par personne, ni même le fonctionnaire communal.

En plus, seul le citoyen dispose des codes PUK et PIN. En effet, le producteur de carte a envoyé ces codes dans un courrier sécurisé (comparable à celui utilisé pour communiquer le code d'une carte bancaire) uniquement à l'adresse de la résidence principale du citoyen concerné. Celui-ci est libre de modifier son code PIN, immédiatement après l'activation de sa carte dans la commune ou plus tard, soit dans la commune même, soit à partir d’un PC de son choix (équipé d'une connexion Internet et d'un lecteur de carte). La confidentialité des codes PUK / PIN est abordée explicitement dans les « Instructions générales relatives à la carte d'identité électronique » (voir http://www.ibz.rrn.fgov.be/fileadmin/user_upload/CI/eID/3%20Instructions/fr/instructions_generales.pdf).

Toutes les instructions susmentionnées ont été transmises aux fonctionnaires communaux et sont consultables librement sur le site web du Service public fédéral Intérieur.

Il a en outre été rappelé le 23 septembre 2009 à tous les fonctionnaires communaux habilités à travailler avec l'application Belpic qu'ils doivent respecter strictement les prescriptions réglementaires en matière d'activation d'une carte d'identité électronique. Les coordinateurs eID provinciaux (et adjoints) ont reçu pour mission de signaler toute irrégularité en la matière.

2. Enfin, pouvez-vous me dire combien de terminaux de ce genre ont été installés dans les communes et quelles mesures vous comptez prendre pour veiller au respect de la totale confidentialité qui doit entourer l'eID?

Comme décrit au point 1, deux lecteurs de carte sont nécessaires pour l'activation d'une carte d'identité électronique, un destiné à la carte d'identité électronique du fonctionnaire communal et un destiné à la carte électronique du citoyen. Le SPF Intérieur a installé depuis 2002, au total 4.891 configurations complètes dans les communes (c'est-à-dire un RA-PC avec un lecteur de carte pour les fonctionnaires communaux et un lecteur de carte pour le citoyen). Sur ordre de l’autorité fédérale, par RA-PC, au minimum un lecteur de carte avec un clavier sécurisé PINPAD pour le citoyen a été installé dans les communes. Depuis lors, des RA-PC ont toutefois été remplacés et les communes pouvaient alors soit installer les mêmes lecteurs de carte, soit en acquérir de nouveaux ou des supplémentaires.