Fusion carte d'identité et carte vitale: les mises en garde de la CNIL

Dans le cadre du plan de lutte contre la fraude sociale, Gabriel Attal, le ministre de l’Action et des Comptes publics a annoncé le lancement d'une mission pour définir les contour d'une fusion des données de la carte vitale à la nouvelle carte d'identité. La Commission nationale de l'informatique et des libertés (CNIL) alerte sur plusieurs points bloquants.

Deux scénarios sont proposés dans un rapport de l'Inspection générale des finances, que Tech&Co a pu se procurer. L'une des pistes émises est celle d'intégrer le numéro de sécurité sociale sur la puce de la carte d'identité. Pour la CNIL, cette solution serait "la moins intrusive et la moins risquée d'un point de vue technique".

Cependant, la Commission recommande la réalisation d'une étude "technique, juridique et économique poussée" en amont de sa mise en place qui devra intégrer plusieurs pré-requis. Parmi eux, le cloisonnement du numéro de sécurité sociale par rapport aux autres données contenues dans la puce, en chiffrant la partie assurance maladie. De cette manière, le numéro ne serait visible que par les professionnels de santé.

Niveau de sécurité insuffisant

Il s'agit aussi d'assurer la sécurité du numéro tout au long du processus de création et de délivrance du titre pour que celui-ci ne soit pas visible par les services de mairie. La CNIL recommande également d'inscrire dans la loi, le fait que "tout assuré puisse s'opposer au traitement de son numéro de sécurité sociale sur sa carte d'identité".

Autre hypothèse possible: intégrer le numéro de sécurité sociale sur un QR Code de la carte d'identité ou d'un titre de séjour. Pour la CNIL, ce scénario "n'apparaît pas apporter un niveau de sécurité suffisant" car le QR code serait facilement lisible depuis une simple photocopie ou un scan. "Un écosystème ne relevant pas exclusivement du champs de la sécurité sociale", souligne la CNIL.

Pour autant, la Commission n'écarte pas la solution impliquant "d'autres formats de cachet électronique" avec un meilleur chiffrement.

Dans les deux scénarios proposés, la CNIL avance que "leur mise en œuvre nécessiterait une évolution des caractéristiques techniques des titres d'identité" ou de leur composant dont la puce électronique, ce qui reviendrait à remplacer les cartes d'identités actuelles.

Eviter les stigmatisations

Avec ces deux scénarios, la CNIL souhaite que des alternatives existent "pour qu'un assuré puisse prouver ses droits et bénéficier de la prise en charge par l'assurance maladie". Et de poursuivre: "ces alternatives ne devront pas conduire à une stigmatisation des personnes ne disposant pas de leur titre d'identité ou de limitation quant à l'accès aux soins".

Enfin, la CNIL indique ne pas être favorable "à la mise en oeuvre des scénarios biométriques (...) compte tenu à la fois de la sensibilité des données en cause (...) et des potentiels détournements d’usage de ces traitements". La Commission écarte également l'idée d'une base centralisée avec les données biométriques.

Cette nouveauté pourrait remettre en cause le projet de carte vitale dématérialisée qui était testée par l’État dans huit départements.