[veille] FranceConnect

Pour nous, très bientôt.
Je ne peux pas en dire plus pour l’instant :slight_smile:

Ahah mystère. @Jean-Marc_Le_Roux

Ceci j’ai déjà connu des « très bientôt » qui n’en étaient pas.

Et le manque de transparence me pose des questions pour un système qui se veut être un pivot de sincérité.

Espérons que tout va bien se passer et préparons nous au pire :wink:

1 « J'aime »

Tu prépares un happening @Jean-Marc_Le_Roux ?

Le caractère officiel de cette information ne dépend pas de moi. Mais le nécessaire a été fait pour que FranceConnect nous soit rendu disponible à très (très) court terme.

Je vous tiens au jus.

@Jean-Marc_Le_Roux peux tu me dire si je me trompe, mais FranceConnect est basée sur les données du recensement. Est ce totalement impossible de leur demander d’obtenir une info supplémentaire (Citoyen: oui/non) avec les conditions géré de leur coté (inscription sur les listes électorale, majeur, vacciné toussa…)?

La plateforme #MaVoix ne possède comme cela aucune info personnelle si ce n’est de savoir si c’est un « citoyen apte a voter » ou non, compte tenu de la loi actuelle.

1 « J'aime »

Voilà une vraie question,

Pour le coup j’étais pour FranceConnect au départ pour toute sa technicité sécure et Etatique (crédibilité) mais avec le recul je ne pense pas que ça soit la solution si celle-ci ne prend pas en compte ceci :

Au delà de l’identité pivot disponible par défaut, on peut demander d’autres données administratives. Mais ça nécessite un accord spécifique avec la/les administrations en question : je ne sais pas si cette donnée et disponible et si on nous y donnera accès.

Je viens de leur envoyer ce mail:

Bonjour,

nous travaillons sur une plateforme de vote en ligne sécurisée par la blockchain :

https://cocorico.cc

Nous voulons utiliser FranceConnect et nous souhaiterions pouvoir limiter l’accès au vote aux seuls citoyens français (et non pas à tous les résidents).

Au delà de l’identité pivot, est-il possible d’avoir une donnée permettant d’établir si l’identité appartient à un citoyen français ?
Si oui, quelles sont les restrictions associées et à quelle administration devrions nous négocier l’accès à cette donnée ?

Merci pour votre aide,

4 « J'aime »

Avons nous reçu une réponse à ce mail @Jean-Marc_Le_Roux ?

Oui.
Et la réponse c’est qu’il n’y a pas de moyen de savoir qui est citoyen et que ça n’est pas prévu.

Il fallait creuser, en effet. En gros, France Connect est l’équivalent numérique d’une carte d’identité ou d’un titre de séjour, indistinctement, sans la mention « nationalité française ».

Pour un vote papier, il faut une carte d’identité et une carte électorale (qui indique que l’individu est retrouvable dans une liste d’électeurs donnée) et on compare les identités sur les deux. Normalement, on donne le numéro sur sa liste au bon bureau de vote, un assesseur va au numéro concerné, lit le nom et un autre peut comparer le nom lu au nom sur la carte d’identité: si c’est identique, l’électeur est autorisé à déposer son bulletin. C’est à relire comme une procédure « informatique » (un algorithme) même s’il suffit pour la mener d’avoir des humains sachant lire et compter.
La carte d’identité peut être France Connect, c’est déjà franchement pas mal mais on ne peut pas lui en demander plus. Et même qu’il ne faut pas, qu’il faut avoir la « carte d’électeur » ailleurs.

Il faudrait donc avoir un étage « vérification que la personne (dont on a d’autre part l’identité prouvée) est un électeur inscrit » (ou une variante de cette classification mais tel quel, c’est ce qui se tient le mieux politiquement, le plus acceptable par les votants des législatives). Cet étage de vérification a plus ou moins une articulation avec celle de l’identité, quitte à ce que la vérification soit moins complète qu’elle n’en a l’air. Deux-trois possibilités principales:

  • avoir les listes électorales (ou une partie, notamment celles de nos circos au moment où on s’y sera présentés, on y a droit -les candidats plus exactement- ce sera toujours ça) et y confronter les identités
  • plus simplement, demander de déclarer sur l’honneur (à des individus dont on connaît la vraie identité, plus dur pour tricher sans conséquences) qu’ils sont bien inscrits sur les listes électorales.
    -possibilité intermédiaire, demander la commune d’inscription et le bureau et numéro (de fait, pour répondre, il faut avoir sa carte électorale, les habitués du vote sauront vite les informations par coeur) ainsi que la date d’émission (les révisions de listes entraînent des décalages de numéros, pouvant entraîner de « fausses incohérences »: l’ancien et le nouveau numéro N ne sont pas la même personne), ce qui permet de détecter si on tombe sur des incohérences (deux numéros 388? un 1033 alors que la liste s’arrête à 1027? pour savoir le dernier numéro de la liste, on peut demander, ce n’est pas un secret puisqu’en soi ça ne dévoile aucune donnée personnelle)

Impossible légalement il me semble.

Mieux. On demande en première étape de confirmer son identité en rappelant que l’usurpassion d’identité est un délis. On pourrait demander par la même occasion que la personne confirme être citoyenne et avoir le droit de voter.

Au passage, c’est @ColinMaudry qui s’occupe maintenant de faire le lien avec Etalab pour nous ouvrir l’accès à FranceConnect (cf le compte rendu ici).

1 « J'aime »

L’outil France Connect est intéressant (et le fil peut continuer enfin je crois ^^) mais il ne faut pas que tout repose dessus.

Mieux. On demande en première étape de confirmer son identité en rappelant que l’usurpation d’identité est un délit. On pourrait demander par la même occasion que la personne confirme être citoyenne et avoir le droit de voter.
Oui, c’est une solution.
On pourrait demander en plus, après cela, les infos de la carte électorale: commune (ça, il faut, puisque l’inscription sur les listes repose sur les communes hors cas particuliers à l’étranger) + numéro de bureau et numéro sur la liste du bureau.

Pour les listes électorales, on ne peut pas les avoir en entier et en permanence mais elles sont disponibles aux candidats aux élections (sur le territoire concerné) et consultables au moins sur place quand elles sont en révision (ce qui veut dire à la fin de validité des numéros). Donc des vérifications sont possibles même si elles ne sont pas forcément exhaustives. Cela fait que la déclaration du votant sur notre site n’est pas juste « une case à cocher pour pouvoir continuer » dès lors qu’il y a une probabilité non négligeable qu’il y ait une vérification derrière - surtout en cas de bizarrerie p.ex. 400 votants dans une commune de 500 habitants où on ne connaît personne, ce qui peut s’expliquer mais mieux vaut jeter un oeil au moment de la révision des listes…

Nous n’aurons pas de candidat en élection pendant 5 ans.
De plus, l’utilisation de ces listes est très encadrée et je ne pense pas que l’usage que nous en ferons rentre dans ce cadre.
Donc ça n’est pas une piste viable.

Salut @Jean-Marc_Le_Roux ou @Colin. Des news de FranceConnect alors ?
Comment se passera l’interface de connection qui garantit l’unicité du vote/votant.

Dans le cadre de mon travail je collabore beaucoup avec Etalab et le SGMAP, j’ai donc mis à profit ma visite de ce début de semaine pour sonder la faisabilité d’une utilisation en production de FranceConnect par #MAVOIX (pour utilisation à but expérimental est probablement négociable).

Mon interlocuteur, chef de produit chez Etalab, m’a expliqué qu’en l’état, l’arrêté ministériel qui régit le déploiement de France Connect n’autorise son utilisation qu’aux administrations explicitement habilitées par voie réglementaire :

Article 4 :

Les destinataires ou catégories de destinataires des informations enregistrées par le traitement sont les seuls autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d’un texte législatif ou réglementaire.

En pratique, au sein du SGMAP, un arrêté rectificatif est en cours de gestation depuis un moment afin d’élargir l’utilisation de France Connect à des organismes privés. En première ligne, seraient concernées les organismes qui, en raison de leur activité, ont l’obligation légale de demander des justificatif d’identité à leurs clients/utilisateurs (banques, assurances, etc.). #MAVOIX, même sous la forme d’une association, ne rentrerait pas dans ce cadre.

Il n’est pas exclu que ce nouvel arrêté soit plus ambitieux et soit rédigé de façon à permettre à #MAVOIX d’intégrer le dispositif, mais pour cela, il va falloir faire du lobbying : proposer une réécriture de cet article et la défendre. Avoir un ou plusieurs députés à l’Assemblée nationale sera un argument de poids :slight_smile:

Je vais voir si je peux me procurer la version de travail de l’arrêté qui se prépare.

4 « J'aime »

Merci encore pour tes efforts @ColinMaudry,
Dans le cas où FranceConnecte soit trop long ou autre…
Quelles seraient les alternatives ?
Ne pouvons-nous pas voir avec laposte s’il veulent bien qu’on utilise leur data afin d’être l’alternative privée de FranceConnect ? (Eh y’a même un petit business à ouvrir d’ailleurs, mais chut pas trop fort sinon il ne sera pas en logiciel libre :wink:)
Quoique FranceConnect non plus, ne l’est pas.

LaPrimaire.org utilisait je crois les numéros de téléphone pour rendre les votes uniques, avec validation par SMS. C’est ça @thibauld ? C’était convaincant ?

Oui, on utilise une combinaison [« email unique » et « telephone unique »] mais ce n’est pas suffisant pour garantir l’unicité de la personne (creation de faux emails et creation de numero de telephones virtuels) donc on enrobe le tout de bcp d’analyse de metadonnées (ip, operateur du telephone, user agent etc…) pour garantir « autant que faire se peut » l’unicité du votant. Pour le coup ca marche plutot bien, en tout cas on en est assez satisfaits :slight_smile: On peut pas garantir 0 fraude mais ce qui est sur c’est qu’on rend la fraude « massive » (le vrai sujet) quasiment impossible.

3 « J'aime »