article

Quelques jours de développement pour intégrer le bouton France Connect

L’intégration de France Connect sur les sites des administrations est aussi simple que celle des boutons Facebook Connect ou Google +. Elle prendra aux fournisseurs de services publics 2 à 10 jours de développement. Et 10 jours supplémentaires s’ils souhaitent exploiter France Connect en tant que tiers de confiance lors d’échanges de données avec d’autres administrations.

Pour le site d’une mairie, d’un service social ou d’une préfecture que signifie concrètement intégrer France Connect ? Quels sont les investissements à réaliser pour ces fournisseurs de services ? Comment ce nouveau système d’authentification et d’identification va-t-il impacter la gestion des comptes usager déjà existant ? Répondre à ces questions revient à passer en revue les deux fonctions que réalise France Connect sur les sites des fournisseurs de services numériques.

Première mission de France Connect : transmettre au service public numérique l’identité vérifiée de l’usager. Explications : ce dernier se rend sur la page web de l’administration concernée, une mairie par exemple. Il sectionne le bouton France Connect et s’authentifie auprès du fournisseur d’identité de son choix (Les Impôt, Améli, La Poste etc). En arrière plan, la mairie reçoit de France Connect des données d’identification sous la forme d’un format pivot (nom, prénom, année et lieu de naissance, etc) ainsi qu’une clef de fédération (identifiant unique de l’usager pour la mairie). Se profilent alors deux cas de figure.

Un mécanisme de fédération reposant sur OpenID Connect

Si l’usager dispose déjà d’un compte au sein de la mairie, ce dernier doit être fédéré avec l’identité transmise par France Connect. Soit le rapprochement est évident (les données de part et d’autres sont identiques) auquel cas la fédération est automatique. Soit il est impossible. C’est le cas par exemple lorsque les administrations ne disposent que d’une adresse mail ou d’un pseudonyme pour identifier leurs usagers. Pour réaliser cette fédération, la mairie met alors à contribution l’usager : par le biais d’un simple formulaire web elle lui demande d’associer son compte avec France Connect.

Si en revanche l’usager ne dispose pas de compte au sein de la mairie, aucune fédération n’est donc à réaliser. L’usager est authentifié sur la base des données pivots.

Dans les deux cas, la mairie conserve dans la table de ses comptes la clef de fédération que lui a transmis France Connect la première fois. Ce faisant, lorsque France Connect lui présentera cette même clef à la prochaine connexion de l’usager, le mairie le reconnaitra automatiquement.

Pour mettre en place cette mécanique, c’est à dire intégrer le bouton France Connect sur le site, développer le formulaire d’enrôlement et conserver les clefs de fédération, les développeurs s’appuieront sur OpenID Connect, un protocole open source éprouvé, de gestion des identités. Ces librairies sont accessibles sur : dev-franceconnect.fr. Temps estimé : entre 2 à 10 jours homme de développement, selon la complexité du SI et le parcours de l’usager pour s’enrôler sous France Connect.

Des jetons de consentement pour les échanges de données entre administrations

Outre la fourniture d’identité, l’autre rôle de France Connect est celui d’un tiers de confiance lors des échanges de données entre administration. Revenons à la mairie. Elle pourrait proposer un nouveau service d’inscription aux cantines scolaires. Pour cela, elle devra récupérer des données fiscales auprès des Impôts et sociales auprès de la CAF. Seulement, dans la plupart des cas, elle souhaitera demander à l’usager son consentement, sans lequel elle ne pourra collecter les données externes nécessaires au traitement du service.

En pratique, France Conncet affiche à l’usager une page web exigeant son accord pour que la mairie récupère ses informations auprès des autres administrations. S’il accepte, France Connect renvoie à la mairie un jeton de consentement. Jeton qu’elle transmet ensuite aux Impôts et à la CAF, en même temps que sa requête. Les données liées à l’usager, et uniquement celles concernant sa démarche, lui sont enfin envoyées (à la condition bien sur que la mairie dispose des droits suffisants). Ce mécanisme de consentement repose également sur OpenID Connect (précisément sur une de ses sous-parties, OAuth). Il est un peu plus gourmand en terme de développement puisqu’il exige une dizaine de jours homme.

Au final, l’effort des fournisseurs de service pour intégrer France Connect reste minime. Surtout au regard des atouts de France Connect qui, en facilitant les échanges de données avec les administrations, promet la création de nouveaux services numériques « tout en un ».