FranceConnect et identité numérique : ce que la sécurité nous enseigne

En 2022, une attaque par phishing ciblant FranceConnect a mis en lumière une réalité que les concepteurs de tout système d'identité numérique doivent intégrer : plus un système centralise l'accès, plus il concentre le risque. Ce n'est pas une raison de ne pas le construire. C'est une raison de le construire autrement.

FranceConnect : une réussite incontestable

FranceConnect est l'un des succès de la transformation numérique de l'État français. Lancé en 2016 par la DINUM, il compte aujourd'hui plus de 40 millions d'utilisateurs et permet d'accéder à plus de 1 400 services en ligne en s'authentifiant une seule fois auprès d'un fournisseur d'identité de confiance (impôts.gouv.fr, Ameli, La Poste, etc.).

Le principe est celui du SSO (Single Sign-On) appliqué au secteur public : au lieu de créer un compte différent pour chaque service, le citoyen délègue son authentification à un fournisseur qu'il connaît déjà. C'est élégant, pragmatique, et ça fonctionne.

Pour des millions de Français peu à l'aise avec la multiplication des mots de passe, FranceConnect a représenté une simplification réelle. Et pour l'État, il a permis de déployer rapidement de nouveaux services en s'appuyant sur une infrastructure d'authentification commune.

Les limites structurelles du modèle

FranceConnect est un système d'authentification, pas un système de partage de données. Cette distinction est fondamentale. Il prouve qui vous êtes ; il ne dit pas ce que vous possédez, où vous habitez, quelle est votre situation familiale, fiscale ou patrimoniale.

Deuxième limite : FranceConnect+ (la version renforcée avec vérification biométrique) couvre les services publics, mais la grande majorité des acteurs privés réglementés — banques, notaires, assureurs, avocats — n'y sont pas connectés. L'écosystème reste donc fragmenté pour les démarches qui mêlent sphères publique et privée.

Troisième limite, la plus sensible : la concentration. Un système d'authentification unique crée un point de défaillance unique. L'incident de 2022, où des fraudeurs ont utilisé des comptes FranceConnect compromis pour souscrire frauduleusement à des allocations, a illustré ce risque. Le problème n'était pas FranceConnect lui-même — les identifiants volés provenaient d'autres fuites de données — mais la réutilisation de credentials compromis.

Les principes d'une architecture sécurisée

La sécurité d'un système d'identité numérique repose sur plusieurs principes qui ne sont pas toujours faciles à concilier :

• Minimisation des données — Ne partager que ce qui est strictement nécessaire pour chaque démarche. Si un notaire a besoin de vérifier votre identité, il n'a pas besoin d'accéder à vos relevés bancaires.
• Consentement granulaire — Le citoyen doit pouvoir autoriser l'accès à un document spécifique, pour une durée définie, à un destinataire identifié. Pas un accès global et permanent.
• Traçabilité — Toute consultation doit être journalisée et accessible à l'utilisateur. Si quelqu'un a accédé à mon dossier, je dois le savoir, quand, et pourquoi.
• Réversibilité — Le consentement doit pouvoir être révoqué à tout moment, avec effet immédiat sur les accès accordés.
• Authentification forte — L'accès au système lui-même doit reposer sur une MFA (authentification multi-facteurs) pour limiter l'impact d'un credential compromis.

Ces principes ne sont pas des contraintes imposées par le RGPD — ce sont les fondements d'un système que les utilisateurs peuvent raisonnablement faire confiance. Le RGPD les codifie parce qu'ils sont bons, pas l'inverse.

Ce que KPKC.APP construit

KPKC.APP ne réinvente pas l'identité numérique. Nous nous appuyons sur FranceConnect pour l'authentification publique. Ce que nous construisons, c'est la couche de données — le dossier permanent, structuré, contrôlé par l'utilisateur — que FranceConnect ne fournit pas.

Notre architecture repose sur une règle absolue : aucune donnée n'est partagée sans un acte de consentement positif et traçable. Pas de partage par défaut. Pas d'accès batch. Chaque partage génère une entrée dans le journal de l'utilisateur. Chaque partenaire n'accède qu'aux données pour lesquelles il a reçu une autorisation explicite.

Sur la question de la centralisation, notre réponse est architecturale : les données sensibles ne sont jamais stockées en clair sur nos serveurs. Nous stockons des références et des hash ; les documents sont chiffrés avec des clés que seul l'utilisateur peut déléguer. Même si notre infrastructure était compromise, les données des utilisateurs resteraient illisibles.

C'est un choix de conception exigeant — techniquement et pour l'expérience utilisateur. Mais c'est la seule approche cohérente avec notre positionnement : nous sommes les gardiens de la donnée de nos utilisateurs, pas ses propriétaires.

L'enjeu de confiance systémique

La vraie question n'est pas technique. Les solutions existent. La vraie question, c'est comment construire la confiance à l'échelle. FranceConnect a mis 6 ans à atteindre 40 millions d'utilisateurs — et cela grâce à la légitimité de l'État.

Pour un acteur privé, cette confiance se construit différemment : par la transparence sur les pratiques de sécurité, par l'audit indépendant des systèmes, par la démonstration que les engagements pris sont tenus dans la durée. C'est un processus plus lent, mais plus robuste, parce qu'il repose sur des preuves et non sur des décrets.

C'est le chemin que K PAR K CONSEILS a choisi. Pas le plus court. Mais le seul qui mérite la confiance.