Mise en œuvre : Comment paramétrer FranceConnect ?

FranceConnect, c'est quoi ?

FranceConnect est un dispositif d’identification qui permet aux usagers d’utiliser un seul identifiant pour toutes leurs démarches. ll facilite ainsi l’accès aux services numériques et garantit la sécurisation des informations transmises.

Pourquoi ?

Quel cadre juridique ?

L’arrêté du 8 novembre 2018 relatif à FranceConnect précise le rôle du dispositif FranceConnect et les conditions d’utilisation du service.

Qui peut être éligible ?

Toute administration qui le souhaite peut implémenter le bouton FranceConnect pour permettre à ses utilisateurs de s’identifier sur ses services en ligne.

Conformément à l’arrêté du 8 novembre 2018 relatif à FranceConnect, les entreprises ou associations peuvent intégrer FranceConnect dans les cas suivants :

Elles proposent des services en ligne liés à la démarche de changement d’adresse et uniquement pour ces services
Elles proposent des services en ligne dont l’usage nécessite, conformément à un texte réglementaire la vérification de l’identité de leurs utilisateurs.
Une entreprise prestataire d’une administration ou ayant une délégation de service public

Comment mettre en œuvre FranceConnect ?

Cette fiche détaille les différentes étapes à suivre pour mettre en œuvre FranceConnect sur votre environnement. Nous vous invitons à les suivre pas à pas ; vous pouvez cliquer sur les images pour les agrandir.

Demander une habilitation

a) Se connecter sur Compte DataPass

Si vous n’en disposez pas déjà, vous devez vous créer un compte sur le site de demande d’habilitation aux API, Compte DataPass.

Vous devrez vous munir du numéro de SIRET de votre organisation pour vous y rattacher. Le processus de rattachement dépend de l’existence de comptes associés à votre organisation ou non. À ce stade trois possibilités existent :

Aucun mail n’est rattaché au SIRET transmis, ce qui signifie qu’aucun compte n’existe.
Un ou plusieurs mails avec le même nom de domaine sont déjà rattachés au SIRET transmis : un compte existe déjà. Dans ce cas, les membres déjà créés dans votre organisation sont notifiés de votre inscription.
Un ou plusieurs mails sont déjà rattachés au SIRET transmis mais les noms de domaines sont différents, un compte existe mais la création du compte est suspendue, un message vous indique de contacter le support.

Une fois que vous aurez rejoint votre organisation, vous pourrez activer votre compte grâce au mail d’activation reçu.

b) Demander une habilitation

Cliquer sur le bouton pour demander une habilitation et sélectionner « Une api sur api.gouv.fr ».

Rechercher dans la liste « FranceConnect et les API FranceConnectées » et cliquer sur le bouton « Remplir une demande »

c) Remplir le formulaire de demande d'accès

Une demande d’accès à FranceConnect concerne un cas d’usage donné.

Le formulaire de demande d’accès contient plusieurs étapes, qui sont détaillées ici pour le cas d’usage de la simplification de la connexion à Aiden. Afin d’obtenir une acceptation rapide et éviter des problèmes en production, nous vous recommandons de suivre nos recommandations ci-dessous.

Les modèles pré-remplis

Sélectionner « Demande libre ».

Le projet

Vous devez tout d’abord préciser le nom et la description détaillée du cas d’usage dans lequel vous sollicitez l’accès à FranceConnect. Nous vous suggérons d’y intégrer la description ci-après.

Texte proposé :

« Ce portail se basera sur la solution « Aiden » de MGDIS, éditeur partenaire de FranceConnect. L’intégration du service FranceConnect étant native dans cette solution, l’organisme n’aura qu’à renseigner les clés d’utilisation pour mettre en œuvre le service FranceConnect dans le portail. »

Les données nécessaires

Vous devez ensuite sélectionner les données dont vous avez besoin. Il s’agit ici des informations récupérées par Aiden, nécessaires à la création d’un compte et au dépôt d’une demande.

Traitement des données personnelles

Il est nécessaire ici d’identifier les personnes habilitées à obtenir ces informations en raison de leur fonction, ainsi que la durée de conservation de ces données.

Niveau de garantie

Le standard européen eIDAS, qui vise à normaliser et à améliorer la sécurité de l’identification sur Internet, propose trois niveaux de garantie sur les moyens utilisés pour l’identification.

Il est nécessaire de préciser le niveau de garantie requis de la part des fournisseurs d’identité : dans notre cas, le niveau de garantie standard eIDAS 1 est attendu.

Cadre juridique

Les textes ou délibérations/décisions qui vous légitiment à recevoir ces données d’identité doivent ensuite être précisées.

Référence du texte :

« Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d’information et de communication de l’Etat »

URL du texte : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037611479&categorieLien=id

Les personnes impliquées

Il est nécessaire de fournir les coordonnées de votre :

Responsable de traitement, qui détermine les finalités et les moyens du traitement des données à caractère personnel
Délégué à la protection des données (DPD), qui s’assure que votre organisation protège convenablement les données à caractère personnel, conformément à la législation en vigueur.

Un mail leur sera envoyé si la demande d’habilitation est acceptée.

Pour suivre la mise en œuvre du service, vous devez renseigner les coordonnées d’un responsable technique.

Ce responsable technique ne doit pas être un contact MGDIS.

Validation et suivi de la demande d'accès

Les conditions d’utilisation du service sont consultables ici.

Après avoir accepté ces conditions et validé votre demande, vous pourrez suivre son avancement dans le suivi de vos demandes.

En cas de rejet de votre demande d’habilitation, pour comprendre les modifications à apporter à votre demande afin d’obtenir sa validation, vous pouvez prendre contact avec l’instructeur de votre demande. Depuis votre formulaire de demande d’habilitation, une messagerie est proposée.

Demander la mise en production (demande faite avant le 6 mai 2024)

Une fois la demande d’habilitation acceptée, le responsable technique précisé sur la demande d’habilitation recevra un courriel contenant le lien d’accès vers l’Espace Partenaire.

Depuis l’espace Partenaire FranceConnect, auquel vous pouvez vous connecter avec votre compte « DataPass », il vous faut accéder à l’étape « Mettre mon FS en production » et sélectionner l’environnement que vous souhaitez mettre en production (cf. n° de demande).

La demande de mise à disposition est directement possible, car l’intégration de Aiden a déjà été validée par la DINUM et que MGDIS est désigné comme partenaire FranceConnect.

Les étapes « Editer le FS » qui contient les informations pour un environnements de recette et « Recetter » ne sont donc pas à remplir.

Dans ce formulaire, vous devez renseigner le nom du service, des URLs nécessaires à la mise en place du service ainsi que le contact du responsable technique.

La plage d’adresses IP du serveur doit rester vide :

Nom du service définitif

Reprendre le nom de la démarche donnée lors de la demande d’habilitation effectuée sur mon compte DataPass. Et ajouter la mention » – MGDIS – version xxx » à la fin du nom. Cela pourrait donner par exemple « Portail des aides de MON ORGANISME PUBLIC – MGDIS – version 9.2023.130 ». Il est indispensable que vous indiquez la version de Aiden qui sera utilisée lors de l’activation de FranceConnect dans votre portail. Cela simplifiera la procédure de validation de la part de la DINUM. (La version minimum est la 9.2023.130)

URL de connexion et de déconnexion

Il s’agit de l’URL affichant le bouton FranceConnect et de l’URL de callback de déconnexion (c’est la même URL dans le cadre de Aiden).

Pour construire cette URL, rendez-vous sur l’Espace Usagers de votre environnement de production. Copier la première partie de l’adresse jusqu’à la fin du nom de domaine (avant « /accout-management »), et ajouter (« /aides« ).

Par exemple, l’URL sera pour cet environnement : https://gua-soutien-tpe.mgcloud.fr/aides

URL de callback de connexion

L’URL de callback de connexion à renseigner se présente sous la forme :

https://[url de base]/account-management/[tenant]-demandeurs/france-connect/code?redirectUrl=https%3A%2F%2F[url de base]%2Faides%2F%23%2F[tenant]%2Fconnecte%2Fdashboard%2Faccueil&jwtKey=jwt-[tenant]-portail-depot-demande-aides

Pour construire cette URL, rendez-vous sur l’Espace Usagers de votre environnement de production.

L’URL de base est située après « https:// » et avant « /account-management« . Dans l’exemple ci-dessus, l’URL de base est : guy-soutien-tpe.mgcloud.fr

Le tenant est compris entre « /accout-management/ » et « -demandeurs/ux/#« . Dans l’exemple ci-dessus, le tenant est : aidestpe

Soyez vigilant à bien respecter les consignes de saisie des informations associées au nom du service et des URLs nécessaires à la mise en place du service. Si ces informations sont erronées, la mise en production sera refusée par la DINUM, ou des erreurs interviendront lors de l’utilisation de FranceConnect sur votre portail.

Demander la mise en production (après le 6 mai 2024)

C’est le formulaire suivant qu’il faut désormais utiliser :

https://www.demarches-simplifiees.fr/commencer/demande-creation-fs-fc

NB : Pour se connecter sur « demarche-simplifiees », il faut un compte spécifique. Ce n’est pas le même que sur DataPass

Les informations suivantes doivent être saisies :

Choix de l’environnement
- FranceConnect
- Production
- Editeur certifié : oui
- Sélection de votre éditeur : MGDIS
- Version de la solution de votre éditeur : si besoin, demander l’information à votre chef de projet
- Numéro de téléphone
Informations sur votre Fournisseur de Service (pour ces 3 données, suivre les indications au dessus de la zone de saisie)
- Numéro de la demande Datapass
- Nom de l’organisation
- Nom du Fournisseur d’identité
Configuration de votre fournisseur de Service
- Liste des URLs : cf section précédente
- Adresse IP : si besoin, demander l’information à votre chef de projet

Récupérer la clé d'accès

Suite à la validation de votre demande de mise en production, le responsable technique dont les coordonnées ont été fournies à l’étape précédente recevra l‘identifiant client ainsi que le secret associé.

Configurer le module FranceConnect dans l'Espace Administration

Une fois votre clé d’accès en main, vous pouvez activer et paramétrer la fonctionnalité d’identification avec FranceConnect dans l’Espace Administration de Aiden.

Dans le menu « Gestion des paramètres de comptes » du bloc de gestion des comptes de l’Espace Usagers, un onglet « Intégration FranceConnect » est disponible. Après avoir activé la fonctionnalité, il vous faudra choisir le logo et le texte de connexion, puis renseigner la clé (identifiant et secret) et l’URL du service.

L’URL de production à renseigner est la suivante : https://app.franceconnect.gouv.fr

Le bouton de connexion proposé par défaut (FCboutons-10) est celui qu’il faut privilégier. Le second bouton ne doit être choisi que dans le cas où le contraste ne serait pas suffisant.

FranceConnect est configuré sur votre environnement ! Vos usagers pourront dorénavant s’identifier dans Aiden grâce à ce dispositif.

Paramétrer l'environnement de test

Le paramétrage de l’environnement recette client n’est pas obligatoire car MGDIS est partenaire FranceConnect.

L’environnement de recette ne permet pas de valider les données d’identité déclarées chez FranceConnect ainsi que les URLs qui restent des URLs de recette.

Pour autant, ce paramétrage reste possible si le client le souhaite.

Dans l’onglet « Editer le FS », l’identifiant client et la clé secrète sont immédiatement disponibles. L’URL de callBack et de déconnexion doivent être celles de l’environnement de recette client.

Dans l’espace d’administration, l’url à saisir est https://fcp.integ01.dev-franceconnect.fr