“Avec cette identification reconnue dans toute l’Union européenne, les entreprises pourront proposer un large éventail de nouveaux services.”
Après le pass sanitaire européen, entré en vigueur le 1er juillet, la Commission européenne prévoit de mettre en place dès l’année prochaine un portefeuille européen d’identité numérique pour les 27 États membres de l’Union européenne. Selon les premiers éléments dévoilés le 3 juin, ce portefeuille sera accessible à tous les citoyens ainsi qu’aux résidents et entreprises de l’Union.
Il permettra de décliner son identité et d’accéder de manière sécurisée à des services publics et privés en ligne nécessitant une authentification renforcée. Un citoyen situé dans un pays tiers de l’UE pourra plus facilement ouvrir un compte bancaire, louer un appartement (en présentant sa déclaration fiscale) ou s’inscrire dans une université.
Cette identification numérique sera fournie par le pays d’origine, avec la garantie qu’elle lui a été remise personnellement. Elle se présentera sous forme d’un portefeuille hébergé dans un téléphone mobile ou tout autre terminal personnel.
Dans ce coffre-fort électronique, le citoyen pourra télécharger, stocker et utiliser ses données à caractère personnel telles que son permis de conduire, un diplôme, une carte bancaire ou une prescription médicale.
Parmi les exemples cités par la Commission, le portefeuille permettra, à l’aéroport, non seulement de s’enregistrer plus facilement, mais aussi d’éviter la file d’attente au comptoir d’une société de location de voitures. En amont, le client fournira tous les éléments demandés : passeport, permis de conduire, carte bancaire. La clé l’attendra au parking où il pourra même utiliser son smartphone pour démarrer la voiture.
“Les citoyens auront la maîtrise de leurs données”
Avec cette identification reconnue dans toute l’Union européenne, les entreprises devraient, quant à elles, trouver de nouveaux débouchés commerciaux en proposant un large éventail de services inédits basés sur cette brique d’authentification, selon Thierry Breton, commissaire européen au marché intérieur.
Quant au respect de la vie privée, Bruxelles indique que “les citoyens auront la maîtrise de leurs données”. Ils pourront “déterminer quels éléments de leur identité, de leurs données et de leurs certificats ils souhaitent partager avec des tiers, et garder la trace de ce partage”. Le portefeuille pourra, par ailleurs, prouver un attribut personnel spécifique d’un individu, tel que son âge, sans révéler son identité ou d’autres données personnelles.
En termes de calendrier, la Commission invite les États membres à entamer immédiatement les travaux préparatoires afin de mettre en place “une boîte à outils” commune d’ici septembre 2022. Cette boîte à outils devrait comprendre l’architecture technique, des normes et des lignes directrices relatives aux bonnes pratiques.
La Commission proposera “les normes, les spécifications techniques et les aspects opérationnels à même de garantir que les portefeuilles d’identité numérique des États membres présentent les niveaux de sécurité les plus élevés”. Selon un article du “Financial Times”, l’application exigerait une vérification biométrique, comme une empreinte digitale ou le scan de la rétine. Une fois le cadre technique convenu, il pourra être testé dans des projets pilotes.
L’enjeu de l’interopérabilité
L’Union européenne ne part toutefois pas de zéro. Elle peut s’appuyer sur le cadre juridique et technique existant, à savoir le règlement eIDAS dédié à l’identification électronique, aux services de confiance et aux documents électroniques.
Adopté en 2014, ce règlement vise à établir “un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres afin de promouvoir le développement d’un marché de la confiance numérique”, comme le rappelle l’Agence nationale de la sécurité des systèmes d’information. Sur le plan technique, l’ANSSI a réuni les différents standards utilisés par le règlement dans un référentiel documentaire.
Le cadre de l’eIDAS permet notamment de délivrer des certificats qualifiés de signature électronique, de cachet électronique et d’authentification en ligne. Cependant, “rien n’oblige les États membres à créer une identification numérique nationale et à la rendre interopérable avec celle des autres États membres, ce qui entraîne de fortes disparités entre les pays”, déplore la Commission.
Le règlement ne contient pas non plus de dispositions relatives à l’utilisation d’une telle identification pour des services privés ou pour des terminaux mobiles. Il en résulte des divergences entre les pays.
Aujourd’hui, 19 systèmes d’identification électronique sont utilisés par 14 pays, couvrant près de 60 % de la population de l’Union européenne, “mais le taux d’adhésion à ces systèmes est faible, leur utilisation est contraignante et leur usage commercial est limité”.
En France, il s’agit de FranceConnect. Lancé en 2016, ce dispositif d’authentification en ligne garantit l’identité d’un utilisateur en s’appuyant sur des comptes existants (pour lesquels son identité a déjà été vérifiée). On peut citer le compte impots.gouv.fr, ameli.fr, l’Identité Numérique La Poste, MobileConnect et moi, la solution d’authentification d’Orange.
Si 26 millions de Français ont créé un compte FranceConnect leur permettant d’accéder à plus de 900 sites du service public, il serait boudé par les entreprises, selon “Les Echos”.
Boussole numérique
Le déploiement du futur portefeuille et le cursus législatif associé devraient harmoniser les pratiques et faciliter l’adoption d’une identité numérique universelle. La Commission espère ainsi répondre aux objectifs de sa boussole numérique qui prévoit que, d’ici 2030, tous les services publics clés seront disponibles en ligne, tous les citoyens auront accès à leurs dossiers médicaux électroniques et 80 % des citoyens utiliseront une solution d’identification électronique.
Avec cette initiative, la Commission cherche aussi à couper l’herbe sous les pieds des GAFA. Les géants du numérique proposent des modules de “social login”, comme Facebook Connect, pour s’enregistrer à un site depuis un compte abonné.
Avec Apple Wallet ou Google Pay, ils proposent aussi des portefeuilles virtuels pour stocker ses cartes bancaires, ses cartes de fidélité et tout autre document personnel avec le risque que les données associées soient utilisées à des fins commerciales ou de marketing.
Répondant à un enjeu de souveraineté, le portefeuille européen, forcément respectueux des exigences du RGPD, permettrait aux citoyens de remettre la main sur une partie de leurs données personnelles. Il pourrait toutefois faire l’objet de recours de la part de la société civile, à l’image de l’association La Quadrature du Net qui déposait en juin un référé contre le pass sanitaire français. Référé qui a, depuis, été rejeté par le Conseil d’État.
– La présentation par la Commission européenne du projet de portefeuille européen d’identité numérique
– Présentation du règlement eIDAS par l’ANSSI
– Référentiel documentaire du règlement eIDAS par l’ANSSI
– Article Hello Future sur la solution d’authentification Mobile Connect et moi d’Orange
– Article des Echos sur FranceConnect
– La “boussole numérique” de la Commission européenne
– Référé de La Quadrature du Net contre le passe sanitaire français