Ensuring the compliance of a digital identity product used by millions of French people
- Client: Direction interministérielle du numérique
- Durée de la mission : de mars à octobre 2021
- Mots clés : Coaching, Conformité, RGPD
Le contexte
FranceConnect est un dispositif national d’identification unique garantissant l’identité d’un utilisateur aux sites ou applications en s’appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée.
Dans le cadre d’une mission conformité, notre équipe d’experts a été mandatée pour travailler sur la gouvernance partenariale, la conformité au regard de la protection des données personnelles (RGPD) et le rôle des équipes pour FranceConnect et ses applications dérivées.
Le challenge
Définir un cadre clair et rigoureux en matière de conformité au regard de la protection des données personnelles pour un produit numérique en constante évolution.
Le résultat
FranceConnect simplifie les démarches de plus de 40 millions de personnes
La solution proposée par l’État pour sécuriser et simplifier la connexion à plus de 1400 services en ligne.
Notre approche
France Connect : un produit 3 en 1
Dernier la marque “France Connect”, il existe en fait plusieurs services distincts :
- FranceConnect “grand public”, pour tous les usagers,
- AgentConnect pour les agents publics, sur le même concept que pour les particuliers, les agents peuvent utiliser un même identifiant pour accéder à différents services professionnels.
- FC Support, une application utilisée par l’équipe FranceConnect pour répondre à l’ensemble des sollicitations des usagers, agents ou partenaires.
FranceConnect, projet vivant
Les activités et les évolutions autour de FranceConnect sont nombreuses, le projet est clairement vivant.
1. Analyser et poser la réflexion autour des expérimentations sont toujours en cours.
Par exemple, certaines entreprises privées pouvaient proposer le bouton FranceConnect depuis mai 2020. Cette expérimentation, menée avec un nombre maximal de cent personnes morales, avait pour finalité de déterminer les nouveaux secteurs d’activité qui trouveraient un bénéfice à utiliser FranceConnect afin d’améliorer les services rendus à leurs utilisateurs.
A titre expérimental : des entreprises du secteur de la santé, du médico-social, de l’éducation, des transports ou encore de location (immobilier ou véhicules). 1 an plus tard, il s’agissait d’évaluer cette expérimentation et de participer à concevoir des pistes.
2. Participer au lancement d’AgentConnect
Depuis quelques années, on constate que les agents sont amenés à multiplier les identifiants pour accéder à l’ensemble des applications nécessaires à exercer leur métier. Diverses expérimentations ont été menées. Prêt à être lancé, il fallait appuyer l’équipe AgentConnect dans sa démarche de conformité RGPD et soulever les questions de sécurité générale.
3. Appuyer les équipes support de FranceConnect
Il existe une face méconnue du travail de l’équipe FranceConnect : apporter des réponses à l’ensemble des personnes qui cherchent à mieux comprendre l’outil ou qui rencontrent des problèmes dans son usage. Il s’agit toute de même de plusieurs milliers de demandes par mois.
L’équipe travaillait à la migration de l’outil de support (ticketing), à l’amélioration des procédures internes et à la création de modèles de réponses types.
Notre action en détail
Notre intervention s’est organisée autour de trois missions principales. Elles-mêmes basées sur l’expertise rédactionnelle et réglementaire de Numéricité en matière de protection des données (RGPD) et plus généralement du fonctionnement administratif, nos actions ont permi d’appuyer au mieux toutes les équipes gravitant autour de FranceConnect.
Concernant France Connect “classique” :
- Accompagnement à l’évaluation de l’experimentation, indentification des évolutions possibles, des différents scénarios de poursuite du chantier et de variation du périmètre des acteurs proposés.
- En fonction nous avons détaillé diverses trajectoires de conformité.
- Trajectoire de mise en conformité de France Connect en apportant une expertise sur les documents existants ayant vocation à être mis à jour.
Concernant AgentConnect :
- Trajectoire de mise en conformité de “France Connect Agent” en apportant un expertise sur le documentation conformité obligatoire ainsi que sur les règles d’usage
Concernant FC Support (France Connect Support) :
- Trajectoire de mise en conformité du support de France Connect en adéquation avec l’ensemble des produits France Connect, le support étant le même pour tous les publics utilisateurs de différentes versions.
- Documentation des pratiques notamment en matière de support de deuxième et troisième niveau.
- Trajectoire de conformité impliquant la participation à la rédaction de divers documents à destination des l’ensemble des acteurs participants au fonctionnement de France Connect Support (confidentialité des données, conservation des données, etc.)
Témoignages
Tumeplay est un projet important, d'abord parce que sa philosophie et sa raison d'être est louable et ensuite parce que le challenge en matière de développement, de calendrier, de travail en équipe et de création de contenu est une belle aventure humaine et technique.