L’identité numérique pour quoi faire ?

Outre la volonté de garantir la véritable identité des personnes sur l’Internet, force est de constater que l’identité d’un individu sur les réseaux numériques est souvent parcellaire car dispersée sur plusieurs comptes et plusieurs identifiants. Ceci l’expose donc à des risques d’usurpation, car les garanties de sécurité fluctuent d’un service à l’autre et d’importantes difficultés peuvent être rencontrées pour s’exonérer de toute responsabilité en cas de commission d’infractions.

Par facilité mais au prix d’une sécurité réduite, certains services utilisent des comptes déjà créés sur Google ou Facebook. Ces derniers sont censés garantir l’identité de leurs utilisateurs et réduire les risques cyber, alors que traditionnellement ce sont les services de l’Etat qui fournissent les documents d’identité (carte, passeport, permis de conduire ou carte de séjour) avec photo. Malheureusement, la France ne dispose toujours pas de carte d’identité électronique après le loupé de mars 2012.

Or, les utilisations potentielles de moyens d’identifications conformes à la règlementation européenne sont très diverses (banques, assurances, commerce en ligne, administrations fiscales et sociales, …).

Le Règlement eIDAS ou la Reconnaissance mutuelle des moyens d’identification

Le règlement (UE) n° 910/2014  du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) ne porte pas sur l’identification entre personnes privées sauf si l’Etat membre en a décidé autrement. L’identification doit être effectuée par l’administration ou par un fournisseur de service qu’elle a reconnu. Le règlement définit l’identification électronique comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (art. 3-1).

Il permet la reconnaissance mutuelle des moyens d’identification électronique délivrés dans un Etat membre : soit par l’Etat membre, soit dans le cadre d’un mandat de l’Etat membre ou soit indépendamment de l’Etat membre mais reconnu par lui (art. 7). Il permet aussi l’interopérabilité au sein de l’Union européenne de schémas d’identification notifiés à la Commission par les Etats membres à la commission européenne.

Un certain nombre de conditions impératives sont nécessaires (art. 6) comme celle du niveau de garantie qui doit être équivalent à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre ; pour être notifié, le niveau de garantie doit être a minima substantiel ou élevé. Depuis le 29 septembre 2018, les schémas d’identification électronique notifiés par un Etat membre auprès de la Commission européenne sont reconnus par les autres Etats membres.

FranceConnect en conformité avec eIDAS ?

Pour l’heure, la France n’a pas encore notifié de schéma d’identification électronique alors que l’Allemagne, l’Italie, l’Estonie ou encore la Croatie ont déjà franchi cette étape. FranceConnect est un téléservice qui fournit à d’autres services en ligne l’identité vérifiée d’une personne physique. Cette identité correspond à « l’identité pivot ». Le projet a vu le jour avec l’arrêté du 24 juillet 2015, abrogé et remplacé par l’Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d’information et de communication de l’Etat.

Le téléservice agrège les comptes des usagers de plusieurs services publics fournisseurs d’identité (DGFIP, Alicem du ministère de l’intérieur, Sécurité sociale, La Poste…) afin que l’utilisateur ne dispose plus que d’un seul compte national. L’authentification et l’attribution d’un login et d’un mot de passe par un des fournisseurs d’identité partenaires, fournisseurs de téléservices et de services en ligne lui permet d’accéder aux services d’une autre autorité administrative.

Mais il est à souligner que FranceConnect s’est ouvert à la sphère privée « les personnes morales de droit privé qui proposent des services en ligne dont l’usage nécessite, conformément à des dispositions législatives ou règlementaires, la vérification de l’identité de leurs utilisateurs ou de celle de certains de leurs attributs et uniquement pour les services qui nécessitent cette vérification » (art. 4). Ce qui constitue une importante avancée en terme d’ »identité régalienne », faute de carte d’identité électronique ce dont la majorité des Etats européens et la principauté de Monaco disposent. Malheureusement, la nature ayant horreur du vide, certains GAFAM (Google, Facebook …) restent toujours en tête pour jouer le rôle de « hubs d’identités » en ce qui concerne les sites de commerce en ligne notamment.

L’identification entre personnes privées est possible au niveau national

Pour un groupement d’entreprise et dans le cadre national, l’identité numérique peut être « présumée fiable » selon l’article L. 102 III du Code des Postes et des communication électroniques (CPCE) et ce, jusqu’à preuve du contraire si elle répond aux prescriptions du cahier des charges établi par l’ANSSI, et fixé par décret en Conseil d’Etat. L’ANSSI certifie la conformité des moyens d’identification électronique aux exigences de ce cahier des charges.

Selon l’article L. 102 – IV du CPCE « Le prestataire fournissant un moyen d’identification électronique autre que celui mentionné au III et qui en fait la demande peut se voir délivrer par l’autorité nationale de sécurité des systèmes d’information une certification attestant du niveau de garantie associé à ce moyen d’identification électronique. L’autorité nationale de sécurité des systèmes d’information établit à cette fin, après avis de la Commission nationale de l’informatique et des libertés, les référentiels définissant les exigences de sécurité associées au moyen d’identification électronique. Ces exigences précisent notamment les critères retenus pour la délivrance du moyen d’identification électronique, pour la gestion de ce moyen, pour l’authentification, ainsi que pour la gestion et l’organisation des prestataires. Ces référentiels sont mis à disposition du public par voie électronique. Les modalités de cette certification sont définies par décret en Conseil d’Etat« . Ces dispositions assurent la sécurité nécessaire aux identités numériques.

L’assimilation des acteurs privés, véritable enjeu de l’identité numérique

Les intentions sont fort louables, mais on peut regretter la latence législative et règlementaire qui ne permet pas encore aux prestataires de se démarquer pour développer une identité numérique nationale et européenne qui respecte à la fois le règlement eIDAS et le Règlement 2016/679 (RGPD) du 27 avril 2016. Il en va de la compétitivité numérique de la France de se doter de tels outils numériques, alors que les mastodontes d’outre atlantique rivalisent de rapidité et d’ergonomie pour offrir des solutions d’identification peu respectueuses de la vie privée des utilisateurs.

Pourtant, des solutions européennes existent comme l’allemand Verime qui développe l’identification et l’authentification des personnes grâce aux smartphones par exemple. Outre la décision de déployer la carte d’identité électronique, des solutions comparables seraient les bienvenues en France. Les acteurs du marché attendent des avancées rapides en matière d’identité numérique pour se déployer tant sur le marché national que sur le marché européen. Il ne faudrait pas que le retard accumulé depuis plusieurs années ne se traduise pas de façon négative sur le plan économique et de l’emploi et que la France termine en queue de peloton…

Éric A. Caprioli, Avocat à la Cour, Docteur en Droit, membre de la délégation française aux Nations Unies, société d’avocats membre du réseau JurisDéfi

https://www.usine-digitale.fr/article/les-enjeux-de-l-identite-numerique.N795374

Publié le 20 janvier 2019