Question écrite du Sénateur Philippe Fontaine à Guido De Padt, Ministre de l’Intérieur, concernant :
« La délivrance par les services communaux des nouvelles cartes d’identité électroniques »

Monsieur le Ministre,
Depuis le 15 septembre 2004, les autorités belges délivrent uniquement la carte d’identité électronique. Elle permet d’identifier les personnes via un système électronique par la puce électronique qui contient des données personnelles.

A cet objectif de modernité s’ajoute celui de sécurisation absolue de cette carte puisqu’elle permet notamment à l’aide des certificats digitaux contenus dans la puce de signer des documents de manière électronique, de changer le domicile inscrit dans la puce sans passer par le remplacement de la carte ou encore, bientôt, de surfer de manière plus sure sur des sites réservés à certaines tranches d’âge grâce à l’identification permise par les lecteurs de carte à domicile.


 Par ailleurs, si quelqu’un s’est emparé de la carte d’une autre personne, rien ne pourra en être fait puisque l’eID fonctionne de la même manière qu’une carte bancaire avec un code PIN. Sans ce code PIN, personne ne peut se faire passer pour quelqu’un d’autre sur le web ou toute autre application électronique. Il semble donc qu’il soit nécessaire de faire en sorte que le code PIN reste secret. 

(1) Pouvez-vous, dès lors, me rappeler les consignes reçues par les administrations communales en matière de respect de la confidentialité du code PIN  et existe-t-il un contrôle de ce respect ?

Il semblerait que les communes ne disposent pas automatiquement de terminaux permettant au citoyen qui vient enlever sa carte d’introduire lui-même son code PIN. Il semblerait que dans certaines administrations le fonctionnaire communal introduit lui-même le code PIN avant de donner la carte. Trouvez-vous ça normal qu’aux premiers instants de sa vie, le code de confidentialité de l’eID soit déjà violé ?

Dans certaines communes, à la demande de certains élus soucieux du respect de cette confidentialité, des terminaux à chiffres et lecteur de carte ont été installés à grand peine sur la tablette extérieure. Une commune précise, par exemple, que le terminal sera passé par l’ouverture pratiquée au travers du guichet seulement à la demande du titulaire de la carte. Est-ce normal ?

(2) Enfin, pouvez-vous me dire combien de terminaux de ce genre ont été installés dans les communes  et quelles mesures vous comptez prendre pour veiller au respect de la totale confidentialité qui doit entourer l’eID ?

Réponse du Ministre Guido De Padt,
(1) II peut etre porte a la connaissance de I'honorable Membre que structurellement, toutes les mesures ont ete prises pour garantir la confidentialite du code PUK / PIN du citoyen.

Tout d'abord, I'activation d'une carte electronique (elD, Kids-ID et carte electronique pour etranger) se fait exclusivement au moyen de I'application Belpic, qui est installee sur les terminaux RA-PC dans les communes. Cette application ne peut fonctionner qu'avec une ligne securisee (publilink) connectee au Registre national.

Pour pouvoir demarrer I'application Belpic, Ie fonctionnaire communal mandate a cette fin doit s'identifier en inserant sa carte d'identite electronique dans Ie lecteur de carte prevu a cet effet. Sa carte doit en outre rester dans Ie lecteur de carte, car sinon, la connexion avec Ie registre national est interrompue et plus aucune operation ne peut etre effectuee dans I'application Belpic.

Par consequent, pour I'activation d'une carte d'identite electronique, une configuration complete se composant d'un RA-PC, d'un lecteur de carte pour Ie fonctionnaire communal et d'un lecteur de carte pour Ie citoyen est necessaire, et la carte d'identite electronique du fonctionnaire communal doit rester dans Ie lecteur de carte tout au long de la procedure d'activation. Chaque action effectuee sur Ie RAAPC a la demande du fonctionnaire communal est en outre enregistree de sorte qu'a tout moment, il est possible de verifier ce que Ie fonctionnaire communal concerne a introduit.

A I'ecran du RA-PC s'affichent to utes les eta pes que Ie fonctionnaire doit suivre, parmi lesquelles la procedure a suivre pour I'activation d'une elD, en I'occurrence, demander au citoyen d'introduire son code PUK et PIN sur Ie lecteur de carte destine a cette fin. Dans Ie manuel Belpic, destine aux fonctionnaires communaux, les differentes etapes dans la procedure d'activation des cartes d'identite electroniques, ont egalement ete decrites (voir Release note Application Belpic http://www.ibz.rrn.fgov.be/fileadmin/user upload IC I/kidscard/3 %201 nstructio ns/fr/nouvea u0309/3 ci belge.pdD.

Afin d'activer la carte d'identite electronique d'un citoyen, dans chaque commune, par RAAPC, au moins un lecteur de carte est equipe d'un clavier PINPAD securise, ce qui implique que les codes PUK et PIN introduits sur ce lecteur de carte par Ie citoyen ne peuvent etre retraces par personne, ni meme Ie fonctionnaire communal.

En plus, seul Ie citoyen dispose des codes PUK et PIN. En effet, Ie producteur de carte a envoye ces codes dans un courrier securise (comparable a celui utilise pour communiquer Ie code d'une carte bancaire) uniquement a I'adresse de la residence principale du citoyen concerne. Celui-ci est libre de modifier son code PIN, immediatement apres I'activation de sa carte dans la commune ou plus tard, soit dans la commune meme, soit a partir d'un PC de son choix (equipe d'une connexion Internet et d'un lecteur de carte). La confidentialite des codes PUK I PIN est abordee explicitement dans les «Instructions generales relatives a la carte d'identite electronique » (voir http://www.ibz.rrn.fgov.be/fileadmin/user upload ICI/el D/3 %201 nstructions/fr/instructions general es.pdD·

Toutes les instructions susmentionnees ont ete transmises aux fonctionnaires communaux et sont consultables Iibrement sur Ie site web du Service Public Federallnterieur.

II a en outre ete rappele Ie 23 septembre 2009 a tous les fonctionnaires communaux habilites a travailler avec I'application Belpic qu'i1s doivent respecter strictement les prescriptions reglementaires en matiere d'activation d'une carte d'identite electronique. Les coordinateurs elD provinciaux (et adjoints) ont re9u pour mission de signaler toute irregularite en la matiere.

(2) Comme decrit au point 1, deux lecteurs de carte sont necessaires pour I'activation d'une carte d'identite electronique, un destine a la carte d'identite electronique du fonctionnaire communal et un destine a la carte electronique du citoyen. Le SPF Interieur a installe depuis 2002, au total 4.891 configurations completes dans les communes (c'est-a-dire un RA-PC avec un lecteur de carte pour les fonctionnaires communaux et un lecteur de carte pour Ie citoyen). Sur ordre de I'autorite federale, par RA-PC, au minimum un lecteur de carte avec un clavier securise PINPAD pour Ie citoyen a ete installe dans les communes. Depuis lors, des RA-PC ont toutefois ete remplaces et les communes pouvaient alers soit installer les memes lecteurs de carte, soit en acquerir de nouveaux ou des supplementaires.