Analyse et Décryptage – Portefeuille d’identité numérique (IDN)
PRÉAMBULE
Le 9 Mars 2021, la Commission Européenne a présenté son plan « objectifs numériques pour 2030 » dont l’ambition est de permettre qu’au moins 80 % des citoyens européens puissent utiliser une solution d’identité numérique, notamment via un portefeuille d’identité numérique européen (European Digital Identity Wallet).
A l’heure où l’identité numérique reste encore marginale malgré une progression substantielle (600 000 identités numériques fournies par la Poste depuis 2020 et environ 20 000 par mois[1]), pourquoi parle-t-on maintenant d’un portefeuille d’identité numérique et quels en sont les bénéfices ? De même comment se repérer entre les différentes solutions d’identité existantes que sont la Carte Nationale d’Identité (CNI) électronique, la CNI numérique / biométrique ?
Softeam Consulting vous propose un état des lieux de ces différents moyens d’identification existants et à venir, ainsi qu’une mise en perspective de leurs conséquences sociales, économiques et réglementaires.
De la carte d’identité électronique à la carte d’identité numérique
La Carte Nationale d’Identité électronique (CNIe) française a été déployée en Aout 2021, conformément au règlement (UE) 2019/1157 qui l’imposait pour chaque état membre à cette même date. De la taille d’une carte de crédit, elle intègre plusieurs nouveautés qui en renforcent la sécurité (dont un dispositif holographique de nouvelle génération, et un cachet électronique qui reprend les données du titre ainsi qu’une signature électronique). Enfin, elle a la particularité de contenir une puce électronique sécurisée qui intègre l’ensemble des données d’identité du titulaire ainsi que des données biométriques (images numérisées de 2 empreintes digitales et de la photo du détenteur). La capacité des autorités de contrôles (police, douanes) à comparer les éléments figurant sur la carte avec ceux numérisés dans la puce permet d’en améliorer significativement la sécurité contre la contrefaçon et l’usurpation d’identité.
L’accès aux informations contenues dans cette puce sera possible via la technologie NFC qui permet une lecture sans contact (hautement sécurisée afin d’interdire les piratages sauvages dans les transports en commun par exemple). Or c’est cette technologie NFC qui offre le marchepied nécessaire à la numérisation future de l’actuelle CNIe : en effet, la France a lancé en mars 2021 l’application « France Identité » développée par le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés (ANTS) et présentée comme « le prolongement numérique » de la carte d’identité physique. De fait, cette application accessible sur les smartphones Android (version 8.1) et Apple (IOS 16) capables de lire la puce NFC contenue sur la carte physique permettra de créer un justificatif d’identité numérique authentifié (après avoir saisi un code à 6 chiffres transmis par voie postale ou l’utilisation de France Connect). Le justificatif d’identité ainsi créé (et dont la validité sera limitée) permettra de remplacer les photocopies de papiers d’identités et pourra servir à prouver son âge, à retirer des colis, à s’abonner auprès d’un opérateur ou à effectuer des démarches administratives. Il ne pourra en revanche pas servir de preuve d’identité lors d’un contrôle de police.
La CNI numérique est actuellement testée par 1000 beta-testeurs et sa date de disponibilité est prévue dès 2023.
Vers un portefeuille d’identité numérique Européen
Le 3 juin 2021, la Commission européenne a présenté le projet de « Portefeuille d’identité numérique européen » (Digital Identity Wallet) dont l’ambition est de permettre à chaque citoyen de l’Union de stocker sur son smartphone non seulement ses documents d’identité (CNI, passeport, permis de conduire…) mais aussi des documents de santé, des diplômes ou des cartes de paiement, le tout numérisés, certifiés et interopérable dans chacun des pays membres. L’objectif étant de permettre de prouver son identité pour chaque service en ligne qui le requiert, de payer en ligne, de partager des documents, de pouvoir prouver son âge ou d’accéder en toute sécurité à des services sensibles comme le dossier médical partagé. Surtout, l’ambition de ce portefeuille est d’être utilisable aussi bien dans le secteur public pour l’accès aux services régaliens que dans le secteur privé (pour l’ouverture de comptes bancaires, la location de voitures, d’appartements, l’achat de billets d’avion etc.)
En France, plusieurs acteurs sont déjà présents sur ce marché évalué à 1,2 Md€ en 2029[2], dont Thales qui propose via sa filiale Gemalto l’application « Digital ID Wallet ». L’objectif pour la France est de disposer de solutions souveraines et de ne pas dépendre des GAFAM très investis dans ce domaine (Apple propose déjà un Wallet permettant de stocker des papiers d’identité).
Avantages du portefeuille numérique
Outre la fin de l’obligation de cumuler des ID/identifiants et mots de passe pour s’identifier sur des sites internet publics ou privés et de centraliser ses documents d’identité de façon sécurisée dans son smartphone (et donc ne plus risquer de perdre le support physique dont la réédition est souvent coûteuse et fastidieuse), le principal avantage réside dans la sécurité que garantie l’identité numérique et plus largement le portefeuille d’identité numérique :
- Sécurité dans la maîtrise qu’auront les utilisateurs de leurs données d’identité: nous ne savons pas toujours comment sont utilisées les données personnelles saisies pour s’inscrire sur un site ou bénéficier d’un service ; à fortiori lorsque le site en question permet de s’authentifier auprès de site web tiers tout en gardant le même compte utilisateur (car on perd de fait le contrôle de ses données personnelles, c’est le cas avec les réseaux sociaux comme Twitter, Facebook ou Linkedin).
- Contrôle des données personnelles que l’utilisateur partagera avec les services en ligne : notamment, il ne sera plus nécessaire pour prouver son âge de saisir toutes les données de sa CNI : l’application permettra de prouver son âge et lui seul de manière authentifiée.
- Sécurité vis-à-vis du vol ou de l’usurpation d’identité, la majorité des sites ne vérifiant pas l’identité des internautes, la fraude est fréquente avec les coûts engendrés et les menaces pour la cybersécurité associées.
Autres avantages : la capacité à lier l’identité numérique avec des services de confiance dits « qualifiés » comme la signature électronique par exemple, permettra de réaliser à distance des opérations aujourd’hui réservées au face à face comme la signature d’actes notarié par exemple. De même, la capacité à définir un attribut à une personne (ex : mandataire ou curateur) via des certificats qualifiés associés à la signature électronique permettra d’intégrer la délégation de pouvoir.
Critiques formulées à l’égard du portefeuille d’identité numérique
Les critiques à l’égard de ce portefeuille numérique sont de 3 ordres : risques sur la confidentialité des données personnelles, surveillance et contrôle de la population.
- Confidentialité: là où l’utilisateur ne disséminera plus son identité sur plusieurs sites internet, il la concentrera chez le fournisseur de l’application de portefeuille numérique ainsi que toutes ses informations les plus sensibles ou confidentielles.
- Surveillance et contrôle : depuis le Covid, la suspicion de surveillance et traçage généralisé s’est installée dans de nombreux esprits, principalement avec le passe sanitaire. Ainsi, la capacité du gouvernement à lier par exemple les données de santé de l’utilisateur avec son activité quotidienne (transports utilisés, lieux fréquentés via paiements effectués etc.), d’en faire des analyses et d’en tirer des conclusions est au centre de toutes les préoccupations. La possibilité de limiter les accès d’une personne via un pass ou QR code intégré au portefeuille ou de lui retirer des droits en bloquant ses moyens de paiement ou en désactivant son permis de conduire (du fait d’une émission de gaz à effet de serre trop élevée par exemple) entraîne de nombreuses inquiétudes auprès des opposants au système.
Normes et réglementations entourant le portefeuille d’identité numérique européen
En Europe, c’est le règlement eIDAS sur l’identification électronique et les services de confiance au sein du marché intérieur qui fournit le cadre juridique et fonctionnel des services en établissant le « socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques »[3]. La version 910/2014 réglementait jusqu’à présent les différents services de confiance (coffre forts numériques, signature et cachets électroniques, horodatage etc.) parmi lesquels l’identification électronique. Or, si ce règlement formulait des exigences relatives à la reconnaissance mutuelle des moyens d’identification électronique au sein des états membres, il ne permettait pas de fonder les bases d’un système transfrontalier construit sur un socle technologique et des normes partagées par tous les pays. Enfin, la version de 2014 ne prenait pas en compte la notion de portefeuille d’identité interopérable au sein de l’Union.
En réponse, la Commission européenne a publié le 3 juin 2021 une proposition visant à réviser le règlement existant. En parallèle elle a mis en place un espace de coopération avec les états membres et le secteur privé afin de définir la boite à outils commune (« common toolbox ») permettant de définir les normes et technologies partagées par tous les acteurs de tous les pays afin de construire ce portefeuille d’identité numérique partagé.
Le planning de cette étude était le suivant :
- Définition de la boite à outils : Septembre 2022,
- Publication de la boite à outils par la Commission : Octobre 2022.
Jusqu’à présent aucune communication n’a été effectuée. Nous les attendons donc avec impatience !
Pour télécharger le document, c'est par ici.
[1] https://www.lefigaro.fr/secteur/high-tech/le-marche-de-l-identite-numerique-accelere-20220323
[2] Source : https://acteurspublics.fr/upload/media/default/0001/33/de3ca498b989941637f253392c3f4c3f15941f40.pdf
[3] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas