L’identité numérique : le temps du bilan, le temps des projets

Avec le lancement en 2018 du programme interministériel pour l’identification numérique et la nomination de sa directrice Valérie Péneau, les autorités gouvernementales françaises se donnaient les moyens d’une politique active. Un an plus tard, la crise sanitaire rendait plus nécessaire que jamais la sécurisation des échanges dans l’espace numérique. Dans ce contexte, un travail important a été accompli. Mais certaines décisions sont encore à prendre.

1°) Le règlement e-IDAS (Electronic Identification and Trust Services) a été publié en juillet 2014 et le règlement d’exécution qui en détaille la mise en œuvre est daté du 8 septembre de l’année suivante. Celui-ci prévoyait la reconnaissance mutuelle des moyens d’identification électronique à partir du 29 septembre 2018.

Comme on le sait, cette importante initiative a pour ambition de donner un cadre européen à l’identité numérique en organisant l’interopérabilité entre les systèmes mis en place par les États membres, avec une priorité pour les services publics.

Le schéma d’identité numérique est à la base du système envisagé. Le règlement demande aux États de le préparer puis de le notifier à la Commission pour qu’il soit examiné par les experts des États membres (peer review).

Ce n’est qu’en 2021 que la France a mis en œuvre cette procédure. Le schéma proposé est constitué par FranceConnect avec l’identité numérique de La Poste qui est pour l’instant la seule en France à avoir obtenu le label identité numérique de niveau substantiel. Un service public d’identité numérique, France identité numérique, associé à la nouvelle carte d’identité française et visant un niveau élevé devrait être notifié prochainement.

On doit se féliciter que la démarche de notification ait enfin été engagée. Mais on peut aussi regretter un tel retard et que le périmètre du dispositif proposé soit aujourd’hui limité. Aujourd’hui, 19 pays représentant 56% de la population européenne ont notifié un tel schéma. (Notons toutefois que, pour l’instant, les flux d’interopération entre pays membres restent limités).

Pour les années à venir, l’objectif que pourrait se donner le Gouvernement devrait être d’élargir et de compléter le schéma proposé pour le mettre au niveau des autres pays européens.

Cela est d’autant plus nécessaire que la Commission prépare un nouveau règlement prévoyant de doter les citoyens de l’Union d’un portefeuille électronique, contenant l’identité numérique nationale avec des attributs (nom, date de naissance, données biométriques etc.) et pouvant, sous le contrôle de l’utilisateur être associée à d’autres données comme le permis de conduire, les diplômes, un compte bancaire, un certificat médical, etc.

La Commission souhaite aussi étendre l’application de ce règlement au secteur privé régulé, c’est-à-dire soumis à des obligations légales et règlementaires établissant un régime de confiance. Pour l’instant, les conditions de mise en œuvre n’ont pas été communiquées.

Personne ne peut contester l’intérêt de créer en Europe un espace numérique interopérable et sûr. Dans sa mise en œuvre, la France pourrait y jouer un rôle de premier plan. Pour être une force de proposition crédible, elle devrait donner l’exemple.

Espérons que dans les prochaines années les pouvoirs publics portent cette ambition.

2°) Au cours des dernières années, FranceConnect a connu une croissance remarquable.

En cinq ans, ce service d’identification en ligne a dépassé le nombre de 30 millions d’utilisateurs, avec plus de 18 millions de connexions mensuelles. 12 millions de Français l’utilisent plus de 4 fois par an.

Il permet de se connecter à plus de 1 000 services dont la plupart ont fait de réels progrès en facilité d’utilisation.

FranceConnect ne manque pas de projets qui laissent prévoir que cette évolution positive va se poursuivre. Ce développement est un succès qui mériterait d’être mieux mis en valeur. Il laisse entrevoir une généralisation de l’administration numérique qui n’attend plus qu’une identité numérique accessible à tous pour être définitivement confortée.

Les interrogations demeurent cependant sur le niveau d’ambition pour cet embryon d’écosystème.

Doit-il se cantonner au secteur public ? Doit-il devenir une plateforme structurée pour des échanges numériques publics et privés au service de tous les Français ? Doit-il être doté d’un modèle économique afin de devenir attrayant pour les entreprises (par exemple pour répondre aux exigences de la connaissance du client/KYC) et pouvoir financer son développement ?

Pour l’instant, l’État reste très prudent et ne concède qu’un régime expérimental limité à certaines entités du secteur privé.

3°) Enfin ! Après des années d’hésitation et de préparation, la France s’est dotée d’une nouvelle carte nationale d’identité électronique. Il était temps. Notre pays, là encore, souffrait d’un retard dommageable qui le plaçait derrière de nombreux pays européens, africains ou asiatiques. La technologie de la carte d’identité française en circulation était vieille de plus d’un quart de siècle.

La multiplication des fraudes (faux, usurpation d’identité) rendait chaque année plus urgente la mise en place d’un document infalsifiable. De son côté, l’Union européenne avait adopté en 2019 un règlement faisant obligation aux États membres de doter leurs citoyens de documents d’identité établis sur une base biométrique.

Une partie de ce retard est maintenant rattrapé et le nouveau document peut être attribué aux personnes qui en font la demande dans tous les départements français. On doit saluer le progrès accompli si l’on se souvient des difficultés de tous ordres qu’il a fallu surmonter pour arriver à ce résultat : polémiques publiques, hésitations gouvernementales et suspension d’un projet en 2005, censure du Conseil constitutionnel en 2012, choix techniques difficiles.

Le nouveau titre français, d’un format moderne, parait parfaitement sécurisé même si certaines remarques ont pu être formulées sur le choix des composants. Il est équipé d’un dispositif électronique, la puce, susceptible d’être lu par les services compétents, qui contient les données biométriques du titulaire (empreintes dactyloscopiques et photographie).

Le choix a été fait de laisser les attributions suivre le rythme habituel, ce qui laisse prévoir, toutes choses égales d’ailleurs, le renouvellement d’une grande partie du stock dans plus d’une décennie.

On peut toutefois éprouver une certaine déception, temporaire espérons-le. Il est manifeste en effet que la puce de la CNIE est sous utilisée et que l’utilisation en ligne de la carte est encore à venir. Rappelons que depuis vingt ans les populations d’autres pays européens comme les Estoniens peuvent signer électroniquement en ligne. Plus proche de nous, l’exemple de la Belgique pourrait également nous inspirer. Grâce à une carte d’identité électronique reposant sur un registre de population parfaitement géré, le citoyen belge peut accéder en ligne à de très nombreux services publics ou privés, et ceci depuis près de 20 ans !

Le Gouvernement n’a pas encore franchi le pas, même s’il a engagé une consultation auprès des industriels pour définir un système de gestion de l’identité numérique. Il semble qu’il prévoie de rendre possible l’utilisation de la carte pour la certification de l’identité numérique en ligne comme pour l’accès aux services connectés, mais le détail des fonctionnalités n’a pas été révélé. Là aussi, le choix du modèle économique n’est pas encore fait et l’ensemble des partenaires demeure dans l’expectative.

On peut espérer que les prochaines années voient les incertitudes levées et qu’un jour les citoyens français volontaires pourront être dotés d’un seul document d’identité qui remplacera presque tous les autres à l’image du portefeuille prévu par les services de la Commission.

4°) Ces dernières années, les critiques sur la carte vitale se sont multipliées. Deux rapports parlementaires ont alimenté le débat public : celui de Carole Grandjean et de Nathalie Goulet sur la lutte contre les fraudes aux prestations sociales (octobre 2019) et celui du député Patrick Hetzel (25 novembre 2020) sur une proposition de loi sénatoriale tendant à opportunité d’instituer une carte vitale biométrique.

Le nombre de cartes vitales en circulation dépasse celui de la population éligible et fait planer un doute sur la gestion des attributions et des radiations. Les occasions de fraude sont nombreuses et une partie d’entre elles trouvent leur origine dans une usurpation d’identité. La carte vitale en effet n’ouvre pas de droit mais constitue une modalité d’identification de l’assuré auprès d’un organisme de la Sécurité Sociale. Il arrive que la carte soit perdue, volée, prêtée, voire utilisée par un tiers sur la base d’ordonnances falsifiées pour l’acquisition de médicaments revendus par la suite.

Aussi le député Hetzel préconise-t-il l’introduction d’éléments biométriques dans la carte vitale afin de l’individualiser et de la fiabiliser.

Certains pays européens ont engagé de telles réformes. Le Portugal, par exemple, regroupe dans une seule carte biométrique l’identification civile et les données permettant de vérifier l’éligibilité aux droits sociaux.

Le député suggérait de procéder à une expérimentation de la carte Vitale biométrique. La proposition de loi a été rejetée.

Toutefois, afin de vérifier l’identité du patient pour prescrire le bon traitement à la bonne personne (ce que l’on appelle désormais dans le milieu de la santé l’identito-vigilance), le GIE Carte Vitale expérimente une nouvelle application qui permettra d’authentifier les assurés de manière simple et sécurisée. Elle a vocation à devenir la clé d’accès à des services tels que l’Espace numérique de santé, le Dossier médical partagé (DMP), la prise de rendez-vous en ligne, la télémédecine, la préadmission à l’hôpital,

Le programme semble néanmoins accuser un peu de retard dans son déploiement.

5°) Sous réserve d’une évolution de la législation, l’attribution d’une identité numérique aux étrangers, notamment aux demandeurs d’asile, permettrait d’assurer en toute sécurité une notification des actes nécessaires à l’instruction de leurs demandes.

Déjà, le HCR (Haut Comité aux Réfugiés de l’ONU) mène une politique active visant à offrir « une identité numérique robuste, fiable et sécurisée aux personnes déplacées de force et aux apatrides ». L’Estonie a offert d’apporter son concours à la mise en place de ce dispositif qui a pour objectif de permettre aux réfugiés de bénéficier d’un accès sécurisé aux services numériques en ligne (services publics, banque, recherche d’emploi etc.) Il s’agit là d’un progrès majeur tant la précarité des réfugiés est aggravée par la perte de toute identité reconnue.

De son côté, le service français en charge de l’asile, l’OFPRA, a engagé une expérimentation permettant aux demandeurs d’asile de deux régions tests d’accéder aux documents qui leur sont adressés grâce à une messagerie sécurisée.

Cette initiative est heureuse. Elle ouvre la voie à l’attribution d’une identité numérique aux étrangers qui permettra d’adresser à ces derniers tous documents entrant dans le cadre de leur demande. Cette transmission, sous conditions à définir, valant notification.

6°) Il est certainement souhaitable que les pouvoirs publics définissent des principes clairs relatifs à l’usage de la reconnaissance faciale en matière de sécurité.

Pour certaines procédures, la reconnaissance faciale est d’usage courant, par exemple dans certains aéroports pour fluidifier les procédures de contrôle ou encore pour authentifier l’utilisateur d’un iPhone. Dans certains pays, la loi autorise l’identification des clients entrant dans un magasin, dans d’autres pays, elle est l’instrument d’un lourd contrôle de la population.

Mais, son utilisation, facilitée en Asie ou en Amérique, est très contrôlée en Europe. L’Union européenne en effet a établi par le RGPD, des règles strictes encadrant la création, l’usage et le stockage de données biométriques. L’utilisation de la reconnaissance faciale est de ce fait sévèrement limitée. Les décisions de la CNIL française confirment cette rigueur.

Le débat est donc ouvert. Si chacun admet que les données personnelles – parmi lesquelles on compte la biométrie de chaque individu – doivent être protégées, on ne comprendrait pas que les services de police renoncent à cette technique par exemple lorsqu’il s’agit de prévenir des attentats de masse lors d’événements sportifs ou de lutter contre le crime organisé, le trafic de drogue ou le blanchiment.

Cette question complexe n’a pas encore été tranchée. Elle devrait l’être dans la perspective des jeux olympiques de Paris en 2024.

7°) La modernisation de l’état-civil constitue également un chantier pour les années à venir. Le Répertoire national d’identification des personnes physiques (RNIPP) est une des bases les plus solides pour définir et protéger l’identité des Français. Il est utilisé aussi bien par l’administration fiscale que par les caisses de retraite. Il est également indispensable aux politiques publiques. C’est ainsi qu’il permet de suivre quotidiennement le nombre des décès, information précieuse en cas de pandémie ou d’accident climatique (canicule)

Certes l’informatisation des actes de naissance et de décès a permis une meilleure gestion à distance offrant ainsi un service plus accessible. Mais de grands progrès restent à accomplir. Les débats parlementaires récents illustrent l’actualité de la question

Un effort de modernisation est nécessaire pour que l’État continue d’être un gardien fiable de l’identité des citoyens. Faute de quoi, ce sont les grandes plateformes qui continueront de dispenser à leurs clients une identité définie par leur comportement dans l’espace numérique, données qu’elles maîtrisent sans contrôle.

*

Tous, élus et fonctionnaires, chercheurs et industriels, et surtout les citoyens usagers de l’espace numérique pourraient trouver dans ces orientations des perspectives encourageantes. Pour les mettre en œuvre, il faut d’abord s’accorder sur les buts à atteindre et sur les principes à respecter puis avec fermeté et esprit de suite, s’engager sans tarder.