Identité numérique : vers l’âge de raison ?
![Image [France Identité numérique] lance un programme de [bug bounty] public](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-bug-errors-885x690.jpg)
![Image [Identité numérique :] Entrust veut racheter Onfido](https://incyber.org//wp-content/uploads/2024/02/incyber-news-cybersecurite-cybersecurity-rachat-fusion-885x690.jpg)
![Image [France :] un nouveau prestataire de tiers payant victime d’un vol de données](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Progressivement, les acteurs de l’identité numérique se mettent en ordre de marche et le cadre réglementaire européen se structure. Gros plan sur un marché qui gagne en maturité.
FranceConnect, adopté par près de 40 millions de Français et qui représente aujourd’hui 1 500 fournisseurs de services, a lancé il y a quelques mois FranceConnect+. L’objectif de cette nouvelle offre est de pouvoir intégrer des services en ligne qui éviteront au citoyen d’avoir à se déplacer pour effectuer une démarche, pour prouver son identité. Il permet aussi de donner accès à des services qui traitent des données sensibles, de santé par exemple.
« FranceConnect+, nouveau fédérateur d’identités, propose pour le moment d’utiliser l’identité numérique de la Poste puisque c’est la première identité numérique à avoir obtenu sa certification de niveau substantiel par l’Anssi. Bientôt, nous proposerons aussi l’identité numérique d’ARIADNEXT YRIS », commente Stéphane Mavel, Responsable Business développement chez FranceConnect.
L’application France Identité actuellement en phase de test
Autre actualité évoquée : l’application France Identité, actuellement en phase de test. Si un citoyen est en possession de la nouvelle carte d’identité électronique et d’un téléphone avec puce NFC, il pourra prochainement tester cette application permettant de s’authentifier auprès des services en ligne reliés à FranceConnect.
Un décret publié au Journal officiel le 27 avril dernier définit le cadre réglementaire de ce SGIN (« Service de garantie de l’identité numérique »), conçu pour fournir un moyen d’accès sécurisé aux services en ligne utilisant la solution d’identification FranceConnect, comme le compte Ameli, le dossier fiscal, les droits sociaux, etc.
« L’application France Identité est une initiative très intéressante. C’est une très bonne combinaison entre, d’un côté, les cartes à puce qui assurent la sécurité, et de l’autre, le téléphone portable qui est un terminal qu’on a toujours avec soi », note Yann Haguet, EVP Identity chez IN Groupe.
L’Anssi joue pleinement son rôle d’organe de contrôle
Dans le cadre de ce foisonnement d’innovations, l’Anssi joue pleinement son rôle de gendarme de l’identité numérique au niveau français. « Au titre du règlement eIDAS, l’Anssi est organe de contrôle. Parmi nos missions, nous avons à charge d’évaluer, par rapport à un référentiel d’exigences, et de certifier la conformité des identités numériques qui sont déployées sur le sol français. Par exemple, aujourd’hui, nous avons évalué l’identité numérique du groupe La Poste au niveau substantiel. Et nous serons amenés à évaluer l’identité numérique proposée par le programme France Identité au niveau substantiel », déclare Hugo Mania, SVP Deputy Head of BDS, à l’Anssi.
L’Anssi dispose de deux référentiels d’exigence. Le premier est le référentiel sur les moyens d’identification électronique. Le second est le référentiel PVID, qui porte sur les prestataires de la vérification d’identité à distance. Il a pour vocation d’apporter de la confiance notamment dans le contexte bancaire (lutte contre le blanchiment d’argent et le financement du terrorisme).
Autre organe de contrôle au niveau français : la Cnil veille, elle aussi, au grain. Au sujet de l’application France Identité, elle a rendu un avis favorable. « La Commission accueille très favorablement ce projet, dont elle note qu’il est l’aboutissement d’échanges nourris avec le ministère et qu’il permet le développement d’une identité numérique régalienne de niveau élevé et respectueuse de la vie privée des usagers », peut-on lire sur le site de France Identité.
Le décret du 27 avril 2022 abroge en effet le précédent moyen d’identification électronique dénommé Authentification en ligne certifiée sur mobile (Alicem), finalement abandonné car utilisant la reconnaissance faciale. « La Cnil est favorable au fait de posséder une identité numérique. Sur le dispositif précédent (Alicem), la Cnil avait fait un certain nombre de remarques et de réserves. Sur ce nouveau dispositif, qui a été le fruit de longs échanges entre le ministère et la Cnil, la Cnil a rendu un avis saluant le dispositif tel qu’il est présenté aujourd’hui. Le dispositif est en effet plus intuitif, il s’appuie sur le processus de remise des cartes d’identité sécurisées, il ne prévoit plus de biométrie, il est donc un peu plus “frugal” en données personnelles », analyse Armand Heslot, Chef du service de l’expertise technologique de la Cnil.
eIDAS : vers la création d’une « V2 »
Au niveau européen, l’année 2022 est une année charnière : elle marque un temps fort dans la constitution de l’identité numérique européenne, appelée à faciliter et sécuriser les actes quotidiens de centaines de millions de personnes et d’entreprises. En coopération avec leurs partenaires industriels, les 27 États membres de l’Union et la Commission européenne sont en train de définir le cadre réglementaire et la boîte à outils technique (toolbox) permettant de déployer la nouvelle identité numérique d’ici 2025.
Il faut rappeler que le règlement 2014 sur les services d’identification électronique eIDAS a été la première législation d’identité introduisant des normes communes pour l’identité électronique en Europe permettant ainsi une reconnaissance mutuelle de cette identité dans l’ensemble des pays de l’Union. Pour autant, l’application de l’eIDAS a été mitigée, avec de nettes différences entre les pays. L’évaluation de la Commission européenne a mis en évidence le besoin de modifier le règlement eIDAS. Une révision (V2) est donc en cours.
La Commission européenne travaille également à un second socle technique, avec la définition d’une « toolbox » assurant le déploiement de solutions viables, pérennes et respectueuses des valeurs fondamentales européennes, à savoir : des données personnelles mieux protégées, des solutions interopérables selon des standards internationaux, et un accès pour tous les citoyens.
Le cadre d’eIDAS v2 s’ouvre à tous les pays de l’Union ainsi qu’aux entreprises, en y ajoutant la possibilité d’accès depuis des téléphones mobiles et des applications. Au terme de ce nouveau règlement, les personnes physiques et morales seront en mesure d’établir un lien entre leur identité numérique nationale et la preuve d’autres attributs ou certificats. Les portefeuilles intégrant cette identité proviendront d’autorités publiques ou d’organisations privées reconnues par les États membres.
En matière d’identité numérique, il existe encore de multiples usages à imaginer, notamment dans le secteur de la santé, de l’éducation ou des mondes virtuels de type métavers. « La pierre angulaire de très nombreuses innovations numériques repose sur les identités et si la garantie de l’identité n’est pas présente, on peut rapidement être confronté à des usurpations. Nous sommes à l’ère où, sur le wallet européen par exemple, nous parlons d’attributs, ce qui est une très bonne chose, mais il faut pouvoir s’appuyer sur une identité garantie », conclut Stéphane Mavel, Responsable Business développement chez FranceConnect.