Les entretiens de l’ID Forum : le permis de conduire mobile

Kristel Teyras : « Les solutions d’identités mobiles dites de dernière génération permettent de répondre en même temps aux exigences d’identification de l’univers numérique et à celles du monde réel »

ID Forum: Bonjour Kristel Teyras. Vous travaillez au sein du groupe Thales sur les titres mobiles numériques. Pouvez-vous nous dire quelques mots sur votre activité ?

Kristel Teyras : Le smartphone est au cœur de la révolution de l’identité numérique. La force de frappe des smartphones combinée à l’expertise de Thales et à notre maitrise des technologies d’identification, d’authentification, de reconnaissance biométrique, de sécurité logicielle et de chiffrement des données dernier cri, nous permettent d’accompagner au mieux nos clients, acteurs publics, dans leurs projets d’identité numérique et de dématérialisation des documents d’identité sur mobile. A ce titre, je suis responsable marché et ligne produit identité mobile, plateforme et services, secteur public chez Thales Digital Identity & Security.

ID Forum : Nous entendons de plus en plus parler du permis de conduire sur mobile (mDL). De quoi s’agit-il ?

Kristel Teyras : Le permis de conduire mobile est une version dématérialisée du permis de conduire physique qui est encrypté et digitalisé sur un smartphone ou une tablette. Outre le confort d’utilisation indéniable qu’il apporte, il est aussi beaucoup plus difficilement falsifiable, car il renferme une pièce d’identité numérisée sécurisée dont l’authenticité peut être vérifiée, plutôt que d’afficher simplement une image numérique d’un permis de conduire qui pourrait aisément être modifiée.

Prouver que nous sommes celui ou celle que nous prétendons être est un élément quasi essentiel de la vie moderne. Ces solutions d’identités mobiles dites de dernière génération (permis, carte d’identité sur mobile ou autres), permettent de répondre en même temps aux exigences d’identification de l’univers numérique et à celles du monde réel. C’est sur ce créneau que se positionnent des solutions comme le Digital ID Wallet, en créant une véritable passerelle avec un portefeuille électronique de documents d’identité qui s’utilise aussi bien dans le cadre d’une identification en ligne, que dans celui d’un contrôle d’identité en personne.

ID Forum : Quels sont ses avantages en sus du confort pour une personne d’avoir son permis sur son téléphone mobile ? S’agit-il d’un dérivé du permis document physique ayant un rôle de compagnon ou s’affranchit-il complétement du document physique pour s’affirmer comme son alternative ?

Kristel Teyras : En sus du confort d’utilisation qu’il apporte, le permis de conduire mobile offre aux citoyens un contrôle total sur leurs données personnelles, avec la liberté de décider quelles informations ils partagent, quand et avec qui ils souhaitent les partager. Dans le même temps, la dématérialisation de documents d’identité sur mobile présente un avantage indéniable pour les autorités émettrices : celui d’être simple à émettre, à gérer et à vérifier, tout en offrant un outil puissant pour lutter efficacement contre l’usurpation d’identité, réduire le travail administratif et soutenir l’économie numérique. Les tiers de confiance, en charge de vérifier l’identité d’un sujet, bénéficient de procédés de vérification simplifiés tout en étant renforcés. La vérification d’un permis de conduire mobile ne nécessite en effet pas de matériel spécifique et couteux, si ce n’est une simple application de vérification d’identité sur smartphone ou tablette, tout en garantissant des niveaux de confiance élevés.

Les pouvoirs publics créent un compagnon mobile aux documents d’identité physiques. L’objectif n’est pas ici de remplacer les documents physiques mais bel et bien d’offrir une extension de ces documents en version numérique afin d’enrichir les cas d’usages et ouvrir la voie vers de nouveaux services à forte valeur ajoutée pour le citoyen et les tiers de confiance.

ID Forum : Quel est son développement aux Etats Unis, en Asie, en Europe… Pouvez-vous nous citer quelques réalisations dans ce domaine ?

Kristel Teyras : Les initiatives liées à la mise en œuvre d’une identité numérique pour le citoyen abondent partout dans le monde et la pandémie que nous traversons n’a fait qu’accélérer ce phénomène, avec un besoin encore plus grand d’identification des personnes à distance et d’authentification sécurisée pour accéder à des services publics en ligne essentiels à notre quotidien (télémédecine, prescriptions en ligne, aides sociales, plans d’aides pour les entreprises, etc..). En Europe, l’Estonie mais aussi le Danemark, l’Italie ou encore le Portugal sont de beaux exemples de réussite. Même si l’attrait est là, les projets de permis de conduire mobile sont plus timides en Europe, car la grande majorité des pays membres émettent un document d’identité officiel autre que le permis de conduire. En revanche, aux Etats-Unis ou en Australie, pays dans lesquels le permis de conduire fait office de document d’identité, ces solutions connaissent un fort engouement et nombreux sont les états qui ont, ou qui sont sur le point d’implémenter ce type de solutions. Les initiatives s’accélèrent, ainsi Thales a récemment contribué au lancement du wallet d’identité numérique de l’Etat du Queensland, en Australie. Un projet ambitieux avec un wallet comprenant plusieurs titres digitalisés (permis de conduire, bateau, carte d’identification) que nous avons piloté en 2020 avant déploiement cette année. Plus récemment la Floride nous a fait confiance pour orchestrer son programme de permis de conduire mobile qui sortira en juin. Les titulaires d’un permis pourront prouver leur identité en ligne et en personne, partager des attributs d’identité avec des tiers de confiance. De leur côté, les fournisseurs de biens et de services floridiens (aéroports, hôtels, sociétés de location de voitures, etc.) pourront compter sur ce service pour identifier leurs clients et utilisateurs, sans compromettre leur confidentialité.

ID Forum : Quel est le cadre légal généralement utilisé pour son adoption ? Son usage ou sa validité légale est-elle restreinte aujourd’hui par rapport au document physique ? Prévoyez-vous des évolutions ?

Kristel Teyras :

Pour qu’une version mobile, dématérialisée d’un titre d’identité puisse être officielle et reconnue comme telle, un cadre législatif doit d’abord l’autoriser, définir sa portée juridique ainsi que les cas d’usages pour lesquels elle pourra être utilisée. Une fois la législation en vigueur, ces nouveaux permis de conduire mobiles bénéficient de la même validité et reconnaissance que les permis de conduire traditionnels. Ils peuvent également, si la législation le permet, jouer un rôle supplémentaire en tant qu’outil d’authentification fiable, permettant aux citoyens de faire valoir en toute sécurité leur identité en ligne pour un large éventail de services. Pour ce qui est de l’usage, il faut laisser à l’écosystème le temps de se créer, mais aux vues des avantages offerts par ce genre de technologie, en terme de sécurité, de confort d’utilisation et d’ouverture à des services dits intelligents, l’adoption suivra naturellement. L’Australie est un bel exemple d’engouement des utilisateurs pour ce genre de technologie avec plus de 700 000 téléchargements de l’application de permis de conduire recensés en Nouvelle-Galles du Sud en moins d’une semaine après son lancement.

ID Forum : Ou en est le cadre normatif sur le permis de conduire mobile ? La norme ISO 18013-5 va-t-elle être adoptée ? Est-elle déjà utilisée dans les faits ?

Kristel Teyras : La norme ISO 18013-5 est en cours de finalisation et devrait être publiée d’ici à la fin du mois d’avril. Un certain nombre de déploiements ont déjà eu lieu avec des solutions basées sur les dernières versions disponibles de l’ISO et migreront vers la dernière version dès lors que cette dernière est publiée. Cette norme sera complétée par l’ISO 23220 qui définit quant à lui le provisionnement de l’identité numérique sur mobile.

ID Forum : Les utilisations du titre mobile sont prévues en présentiel et en ligne. Quelles perspectives cela ouvre-t-il ? Comment seront transmises ou vérifiées les données selon les options choisies ?

Kristel Teyras : L’identité mobile telle que définie par l’ISO 18013-5 offre deux types de vérification de l’identité, l’un connecté, l’autre déconnecté, pour satisfaire à toutes les situations et besoins. En mode connecté, le titulaire du permis de conduire mobile transmettra un jeton d’authentification au tiers de confiance, lui permettant ainsi de vérifier tout ou partie des éléments qui constituent son identité, directement à la source, sur les bases de données étatiques (registre national d’identité ou autres) et en temps réel. Le tiers de confiance aura ainsi l’assurance de bénéficier des données les plus actuelles. A l’inverse, si le cas d’usage (ex. preuve d’âge) ne justifie pas une telle connexion au serveur, la vérification en mode non connecté sera alors privilégiée. L’ISO prévoit que les documents d’identité dématérialisés soient aussi stockés dans le portefeuille numérique mobile (permis de conduire mobile, carte de santé mobile, titre de voyage numérique, carte grise numérique, etc.). Ces derniers peuvent ainsi être vérifiés en mode hors connexion réseau. Les données sont échangées de smartphone à smartphone via Bluetooth Low Energy (BLE), sur la base rappelons-le du consentement de l’utilisateur, qui est à l’initiative de la transaction. Ce mode opératoire a l’avantage de permettre des contrôles d’identité fiables et sécurisées depuis n’importe où, même depuis des zones géographiques plus reculées et avec peu de réseau.

ID Forum : Quels sont les principaux défis pour la sécurité et la vie privée ?

Kristel Teyras : Tandis que les possibilités offertes par une identité numérique sont innombrables, il est important d’établir quelques principes de base — notamment lorsque la sécurité et la protection des données à caractère personnel sont en jeu. L’environnement du téléphone mobile est par nature vulnérable, c’est la raison pour laquelle l’identité numérique du citoyen ou tout autre document officiel embarqué sur un téléphone doit impérativement reposer sur des briques sécuritaires maitresses permettant à l’application mobile de se défendre contre les attaques cybercriminelles. La sécurité et la protection des données sensibles sont au cœur de nos métiers depuis toujours et chez Thales nous adoptons une approche sécuritaire multicouche reposant sur une grande diversité de protections. C’est la multitude de ces couches, imbriquées les unes aux autres, qui fait la force de nos solutions, avec une chaine sécuritaire et un chiffrement des données de bout-en-bout.

Nos solutions sont également fondées sur les principes de respect et de protection des données à caractère personnel, et permettent aux citoyens de contrôler pleinement leurs données et de décider de ce qu’ils souhaitent partager et avec qui. Le consentement des utilisateurs est au cœur du système et permet à ces derniers de n’avoir à partager que les données qui sont propres à une transaction spécifique. Les données personnelles qui ne sont pas nécessaires à la transaction restent quant à elles protégées, selon le principe de minimisation des données.

ID Forum : Quels rapprochement peut-on faire entre le permis de conduire mobile tel que prévu par la norme ISO18013-5 et le développement d’autres titres d’identité dérivés sur mobile ? Quels sont les impacts sur les « portefeuilles d’identités » (ID wallets) et les « passeports sur mobile » (DTC) ?

Kristel Teyras : Le monde va loin lorsqu’il s’accorde, et la standardisation est une étape essentielle à l’interopérabilité de ces nouvelles formes de documents dématérialisés pour que ces derniers puissent être reconnus, acceptés et vérifiables partout dans le monde, surtout si nous parlons de permis de conduire ou encore de passeports, qui sont tous deux des incontournables de nos déplacements à l’étranger. Les groupes de travail ISO et ICAO sont à l’œuvre pour définir les normes/standards internationaux.

La dématérialisation des documents d’identité tels que la carte d’identité, la carte santé, le permis de conduire ou encore le passeport est en marche avec une extension vers des compagnons mobiles. Pour répondre à cette tendance, Thales a développé son Digital ID Wallet, qui peut agréger et de façon sécurisée différents documents dématérialisés, tels que le permis de conduire mobile, le permis de voyage numérique (aussi appelé Digital Travel Credential) et autres. Pour les gouvernements comme pour les citoyens, le nouveau portefeuille crée un environnement dédié dans lequel les identités et les titres sécurisés numériques peuvent se développer.

ID Forum : Ce type de solution ouvre-t-elle de nouvelles possibilités d’attestation et de monétisation des données pour les Etats émetteurs des titres ou pour les fournisseurs de données certifiées ?

Kristel Teyras : La proposition de valeur de ce type de solutions est claire et offre des bénéfices tangibles à tous les acteurs de l’écosystème. En premier lieu, le citoyen qui se voit protégé contre toutes formes d’usurpation d’identité. En deuxième lieu, l’administration publique qui lutte contre la fraude, sécurise l’accès à ses portails de services publics et facilite la vérification d’identité et d’attributs pour les acteurs économiques privés. Enfin, les fournisseurs de services en ligne et les tiers de confiance, qui se doivent de vérifier l’identité de leurs nouveaux clients, et qui valorisent tous services d’identification et de vérification d’attributs, leur permettant de satisfaire aux exigences réglementaires et procédures KYC (Know your Customer ou Connaissance du client) qui pèsent sur eux. Face à ce constat, un certain nombre de gouvernements monétisent ou seraient prêts à monétiser ces services d’identification et d’authentification auprès du secteur privé. C’est notamment le cas en Australie, en Amérique latine, etc.