— 1 —
N° 3190
——
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
QUINZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 8 juillet 2020
RAPPORT D’INFORMATION
DÉPOSÉ
en application de l’article 145 du Règlement
PAR LA MISSION D’INFORMATION COMMUNE ([1]),
sur l’identité numérique
et présenté par
Mme Marietta KARAMANLI,
Présidente,
Mme Christine HENNION et M. Jean-Michel MIS,
Rapporteurs,
Députés
La mission d’information sur l’identité numérique est composée de Mme Marietta Karamanli, présidente, et de Mme Christine Hennion et M. Jean‑Michel Mis, rapporteurs.
— 1 —
SOMMAIRE
___
Pages
I. L’IDENTITÉ NUMÉRIQUE : DE QUOI PARLE-T-ON ?
A. Qu’est-ce que l’identité numérique ?
1. L’identité : une pluralité de définitions
b. Une définition « objective » : l’ensemble des identifiants pour prouver son identité
i. Une identité numérique « objective » publique
ii. Une identité numérique « objective » privée
2. La construction de l’identification
3. La délivrance de l’identité va de pair avec le risque d’usurpation
B. Le fonctionnement de l’identité numérique
1. Le trinôme « utilisateur – fournisseur de services – tiers de confiance »
c. Le fournisseur d’identité - tiers de confiance
2. Les trois phases de la vie d’une identité numérique : enrôlement – authentification – utilisation
a. L’interopérabilité dans le cadre de l’UE
b. L’interopérabilité en fonction du système d’exploitation des smartphones
4. L’authentification biométrique : une garantie de sécurité au service de l’utilisateur
a. L’authentification n’est pas une identification
b. Un outil au service de la simplicité d’usage et de la sécurité de l’utilisateur
C. Les acteurs de l’identité numérique
2. Les régulateurs de l’identité numérique
a. La Commission nationale de l’informatique et des libertés (CNIL)
b. Le comité européen de la protection des données (CEPD)
a. Les acteurs industriels et fournisseurs de briques de solution
b. Les fournisseurs d’identité numérique
c. Les acteurs « non spécialistes »
D. Les enjeux de l’identité numérique
1. Un prérequis : créer la confiance
a. Une nécessaire transparence sur la gestion des données personnelles collectées
b. Une définition claire des rôles de l’État et du secteur privé
d. Le maintien de l’anonymat sur internet
2. Faciliter l’accès à un ensemble de services pour les citoyens
a. Améliorer l’accès aux services en ligne déjà existant
b. Engager une réflexion sur de nouveaux usages
c. Proposer une solution pratique et facile d’accès
3. Une opportunité économique pour un grand nombre d’acteurs privés
a. Un attrait fort des acteurs privés pour une identité numérique régalienne
b. Un moyen de réduire les coûts de vérification d’identité pour les fournisseurs de services
c. Une simplicité d’usage qui fluidifie la relation client
d. Un vecteur de concurrence et d’innovation pour le marché
4. Garantir un niveau de sécurité élevé et protéger la souveraineté européenne
II. l’identité numérique en France : tirer les leçons du passé, s’inspirer des succès présents
A. Des expériences nationales passées au succès variable, pour des raisons techniques et politiques
1. La France, pionnière en matière d’identité numérique, a été confrontée à plusieurs échecs
a. Le projet SAFARI et la création de la CNIL
c. Une nouvelle tentative de généralisation des cartes nationales d’identité électroniques en 2010
2. Les conditions semblent néanmoins réunies pour mener à bien ce projet aujourd’hui
1. Un projet de fédérateur d’identité qui a permis d’offrir un accès simplifié aux services publics
2. Un fonctionnement simple d’interfaçage entre fournisseur d’identité et fournisseur de services.
3. Un dispositif protecteur pour les données personnelles
a. FranceConnect : une paroi étanche entre fournisseurs d’identité et fournisseurs de services
b. Des engagements stricts pris par les fournisseurs de services et d’identité
c. Un fonctionnement protecteur des données personnelles
d. Une conservation des traces techniques à des fins d’audit ou en cas de saisine judiciaire
1. Identité numérique et reconnaissance faciale : les craintes soulevées par Alicem
a. Une technologie qui manque encore de maturité
b. L’existence de potentiels biais discriminatoires
c. Deux inquiétudes limitées pour ce qui concerne Alicem
3. Le risque d’exclusion d’une partie de la population
a. La détention d’un smartphone
b. La détention d’un passeport biométrique
4. Une suspicion de faillibilité technique
a. Le consentement au traitement des données personnelles ne serait pas libre
b. Un enjeu particulier en matière de traitement de données biométriques
a. De nouvelles modalités d’enrôlement sont possibles
b. Une solution plus inclusive à terme
c. Un bilan public d’Alicem est souhaitable
i. Les trois niveaux d’assurance eIDAS
ii. Un principe fondamental : la neutralité technologique
d. Un cadre européen de protection des données personnelles qui s’applique à l’identité numérique
i. RGPD et e-Privacy: le cadre global de la protection des données personnelles
ii. La directive Police-Justice : un cadre pour les fichiers de police et de justice
2. Plusieurs exemples étrangers pourraient inspirer les pouvoirs publics français
a. Des dispositifs d’identité numérique ont été mis en place dans plusieurs États européens
c. Le recours à la reconnaissance faciale : une exception à la règle
i. En Allemagne, en Belgique et en Suisse, des solutions qui peinent à attirer les usages
ii. Au Royaume-Uni, un usage insatisfaisant du dispositif conduit à sa refondation
III. La France à l’heure des choix : construire ensemble une identité numérique inclusive
A. Moderniser et sécuriser l’identité numérique des Français
b. Un haut niveau d’exigence et de sécurité doit néanmoins être maintenu
c. Une identité numérique qui doit bénéficier aux publics les plus en difficulté
2. Proposer une solution souple, sécurisée et de confiance, dérivant de la CNIe
a. La CNIe sera le support de l’identité numérique régalienne des citoyens français
b. Un fonctionnement simple et intuitif pour l’usager
c. Trois conditions de succès de la CNIe : confiance – simplicité d’usage –déploiement rapide
iii. Un déploiement rapide de la CNIe
3. Associer pleinement les collectivités locales à l’identité numérique
a. Des avantages importants pour les collectivités
b. Une meilleure association indispensable pour le succès de l’identité numérique
B. Définir un modèle économique pertinent de l’identité numérique
1. Garantir un large choix de services et de fournisseurs d’identité aux citoyens
3. La valorisation des données : une question qui doit être tranchée
1. Donner à chaque Français les moyens de comprendre et maîtriser son identité numérique
a. Spécifier les enjeux liés à l’identité numérique dans les enseignements scolaires
b. Un enjeu de formation continue
c. Instaurer un parcours citoyen d’identité numérique
i. L’identité numérique des personnes mineures
ii. Une identité numérique qui pourrait être délivrée à tous les moments clés de la vie
iii. L’identité numérique des personnes décédées
2. Réaffirmer des évidences pour garantir la confiance
i. Le maintien de l’anonymat sur internet
ii. La pertinence des principes du RGPD en matière de protection des données personnelles
b. Une réflexion nouvelle sur la protection des droits numériques
c. Tirer les leçons d’Alicem : prévoir une alternative physique à la reconnaissance faciale
3. Donner à la CNIL les moyens de mieux assurer ses missions
4. Mettre en œuvre un écosystème inclusif et responsabilisant
a. Faire de l’identité numérique de demain un facteur d’inclusion
i. Des solutions qui doivent être accessibles
ii. Le Pass Numérique, un dispositif innovant dont la montée en charge doit être poursuivie
b. Accompagner la transformation des services publics
i. Permettre aux utilisateurs de mieux visualiser le cheminement de leurs données personnelles
ii. L’identité numérique auto-souveraine et la blockchain
d. Mettre en place une gouvernance transparente
5. Instaurer un cadre législatif protecteur
LISTE DES PERSONNES ENTENDUES et des contributions écrites reçues
I. Liste des personnes entendues
II. Liste des contributions écrites reçues
— 1 —
L’identité numérique, c’est-à-dire la capacité à utiliser de façon sécurisée les attributs de son identité pour accéder à un ensemble de ressources, est un projet décisif pour la France et les Français. Dans notre ère résolument numérique, les citoyens utilisent en effet de plus en plus l’internet pour réaliser les tâches de leur vie quotidienne, qu’il s’agisse d’inscrire leurs enfants à l’école, d’acheter des biens et des services, ou encore d’accéder à des services publics de plus en plus dématérialisés. Ils ont donc besoin d’un moyen simple et sécurisé de prouver leur identité en ligne, tout comme, dans l’espace physique, ils peuvent recourir à leur titre d’identité physique (carte nationale d’identité, passeport) afin de prouver leur identité dans les situations où cela s’avère nécessaire.
Le projet d’identité numérique porté par le programme France Identité Numérique, dirigé par Mme Valérie Peneau, vise à répondre à ce besoin. Après la mise en place de FranceConnect, en 2016, fédérateur d’identité, et l’expérimentation d’Alicem en 2019, le déploiement de la carte nationale d’identité électronique (CNIe), à partir de 2021, devrait permettre de proposer une solution d’identité numérique régalienne à l’ensemble des Français. Dérivée de ce titre d’identité, l’activation de cette identité numérique serait proposée à l’utilisateur au moment du retrait de la CNIe. Cette identité numérique fonctionnerait en lien avec le fédérateur d’identité FranceConnect et constituerait un moyen d’atteindre un niveau de sécurité élevé pour ses utilisateurs, conformément aux exigences du droit européen en la matière.
Dans le cadre de ses travaux, la mission d’information a souhaité approfondir les avantages de ce projet pour les citoyens et les gardes-fous à mettre en œuvre le cas échéant. Trois axes de constat se dégagent des travaux menés.
D’abord, la France possède incontestablement une histoire singulière avec l’identité numérique. Chacun se souvient, par exemple, du projet SAFARI et de la polémique qu’il avait déclenchée, qui est en partie à l’origine de la création de la commission nationale de l’informatique et des libertés (CNIL). À sa suite, plusieurs autres initiatives de modernisation numérique ont échoué dans notre pays, pour des raisons diverses tenant principalement à une défiance des citoyens vis‑à‑vis de leurs conséquences supposées sur la protection de la vie privée. La protection des données des utilisateurs, en particulier lorsqu’il est fait usage de la technologie de reconnaissance faciale est donc un sujet essentiel, que la mission s’est attelée à traiter en profondeur, consciente de la sensibilité de nos concitoyens sur ce point. L’avis rendu en 2019 par la CNIL sur l’expérimentation Alicem, qui estime que l’absence d’alternative à la reconnaissance faciale constitue une violation du principe de consentement de l’utilisateur, en a confirmé toute la pertinence sur un plan juridique.
Des questions importantes se posent également sur le modèle économique de l’identité numérique, et donc sur la place laissée à l’initiative privée dans ce domaine. Le positionnement de l’État comme fournisseur d’identité et la possibilité pour les acteurs privés d’utiliser les solutions qu’il élabore auront en effet un impact important sur le développement de ce marché. Il en va de même de l’éventuelle gratuité de la solution régalienne, qui pourrait décourager l’investissement des fournisseurs d’identité privés sur ce segment d’activité, réduisant en conséquence, de facto, la faculté pour l’utilisateur de choisir son fournisseur d’identité. La question de la valorisation économique des données échangées a elle aussi été étudiée dans le cadre de la présente mission.
Enfin, la mission d’information s’est concentrée sur un dernier sujet très concret : les conditions de succès du déploiement rapide de l’identité numérique en France. Les membres de la mission ont, à cette fin, interrogé les différents acteurs sur leurs attentes. Trois éléments importants ressortent des échanges conduits : la capacité de faire connaître l’identité numérique, l’explication pédagogique de son fonctionnnement et des protections offertes à l’utilisateur, et enfin la nécessaire mobilisation des collectivités locales, partenaires de terrain dans la délivrance puis l’utilisation de l’identité numérique. Les acteurs économiques insistent, de leur côté, sur leur besoin de visibilité vis-à-vis du modèle économique choisi et sur la possibilité d’utiliser cette solution à titre expérimental pour mieux l’appréhender. Enfin, la dimension inclusive de la solution technologique ne saurait être ignorée, à l’heure où près de 13 millions de personnes continuent de souffrir d’illectronisme dans notre pays.
Face à ces éléments de constat, les rapporteurs de la mission formulent 43 recommandations visant à permettre le déploiement rapide d’une identité numérique régalienne en France. Celles-ci s’articulent autour d’un fil rouge unique : le citoyen. La prise en compte de ses attentes, de ses besoins et de ses craintes conditionnera en effet le succès ou l’échec du développement en France d’une identité numérique massivement utilisée.
I. L’IDENTITÉ NUMÉRIQUE : DE QUOI PARLE-T-ON ?
L’identité numérique est une notion à la fois sociologique et technique qu’il n’est pas simple de définir. De l’utilisateur final au fournisseur de services, son fonctionnement mobilise plusieurs acteurs et soulève de nombreuses interrogations relatives à la fois à la confiance et à la transparence des dispositifs, à leur simplicité d’usage, à leur modèle économique, à la sécurité des utilisateurs et à la souveraineté des États.
A. Qu’est-ce que l’identité numérique ?
1. L’identité : une pluralité de définitions
a. Une définition « subjective » centrée sur l’utilisateur et l’ensemble des traces laissées dans le monde numérique
L’identité numérique peut être perçue comme une identité « comportementale », se rapprochant de la notion philosophique de l’identité‑ipse du philosophe Paul Ricœur ([2]), qui renvoie à l’individu tel qu’il se rapporte à lui‑même, dans ses interactions sociales aux autres. Toutefois, cette identité numérique « comportementale » sur internet peut aussi être construite à l’insu de l’individu, et donc en pleine « inconscience ».
Pour la chercheuse Fanny Georges ([3]), l’identité numérique regroupe l’ensemble des données qui se rattachent à une personne lors d’une requête dans le moteur de recherche, c’est‑à‑dire à la fois ses identifiants, les traces de navigation qu’elle laisse derrière elle et les documents qu’elle partage sur internet. L’identité numérique ne comprend donc pas seulement des informations descriptives mais se réfère aussi aux activités en ligne. L’ensemble de ces informations sont saisies par le sujet lui-même (l’identité déclarative), sont des informations renseignées par ses proches et le système informatique (l’identité agissante) ou peuvent être des informations valorisées par le web 2.0 (l’identité calculée).
Source : Fanny Georges, Réseaux, 2009
En somme, pour la chercheuse Danièle Bourcier ([4]), l’identité numérique est constituée de l’ensemble des traces numériques qui se rapportent à un individu, qu’il s’agisse des traces profilaires (ce que je dis de moi), des traces navigationnelles (ce que je consulte) et des traces inscriptives ou déclaratives (ce que je pense et partage sur les réseaux).
Cette identité n’est pas finalisée, mais elle est au contraire en constante construction. La chercheuse Valérie Schafer ([5]) constate que la sauvegarde de ces traces rend l’identité numérique de plus en plus volumineuse dans le temps, alors qu’elle évolue sous l’effet des nouveaux réseaux sociaux et des nouvelles formes d’interactions et d’engagements.
Cette identité n’est pas davantage monolithique puisqu’elle diffère en fonction des contextes sociaux. Selon M. François Pellegrini, qui préfère parler d’« apparences numériques » plutôt que d’identité numérique, « chacun d’entre nous se montre aux autres sous différentes apparences, qui dépendent de son environnement : on n’agit pas de la même manière dans son cercle familial, ses cercles d’amis et professionnels, associatifs, etc. L’identité est ce qui relie de façon unique une personne à ses différentes apparences. Elle est ce qui nous distingue les uns des autres. » ([6])
L’emploi du pluriel pour qualifier « les identités numériques » a également été utilisé par plusieurs contributeurs de la consultation en ligne de l’Assemblée nationale sur le sujet de la mission d’information ([7]), qui considèrent que chaque individu en possède plusieurs.
b. Une définition « objective » : l’ensemble des identifiants pour prouver son identité
L’identité numérique peut également être perçue comme un ensemble d’attributs stables et finis.
i. Une identité numérique « objective » publique
L’identité numérique peut se confondre avec l’identité civile, définie comme l’« ensemble des éléments qui, aux termes de la loi, concourent à l’identification d’une personne physique (dans la société, au regard de l’état civil) : nom, prénom, date de naissance, filiation, etc. » ([8]).
Pour le chercheur Michaël Bardin ([9]), l’identité numérique est un prolongement de l’identité légale et le droit français n’établit pas de distinction entre les deux notions. Cette identité est composée d’« éléments fixes » – à l’instar du nom, prénom, âge et lieu de naissance de la personne –, c’est-à-dire de données qui ne peuvent a priori pas faire l’objet de modification et qui ne relèvent pas du comportement, mais aussi d’ « éléments fluctuants » tels que l’activité professionnelle.
Le développement de l’administration en ligne a conduit les services de l’État à recourir à cette définition pratique de l’identité numérique pour permettre aux internautes de prouver leur « identité pivot », c’est-à-dire leur identité au sens de l’état civil. Cette « identité pivot » est constituée d’un nombre restreint de données tels que les nom, prénom, date, lieu de naissance et sexe de l’individu. L’identité numérique comme déclinaison de l’identité physique est une approche récente, retenue dans le cadre du projet d’identité numérique régalien.
Comme l’a indiqué Mme Valérie Peneau, directrice du programme interministériel sur l’identité numérique, dans sa contribution écrite aux travaux de la mission d’information, l’identité numérique « constitue le prolongement dans le monde numérique de l’un des plus anciens services publics fournis par la puissance publique dans le monde physique à ses citoyens : assurer leur droit à l’identité par l’inscription et la tenue de l’état civil et le certifier par la délivrance de titres d’identité ». Les données d’ « identité pivot » collectées dans ce cadre « sont au demeurant les seules données à la disposition de l’État qui, à la différence des grands acteurs privés du Net, ne trace ni ne recoupe les comportements, habitudes ou préférences numériques des usagers ».
ii. Une identité numérique « objective » privée
L’identité numérique « objective » se compose également de l’ensemble des identifiants détenus par les utilisateurs. Il peut par exemple s’agir des identifiants d’accès à ses comptes Google et Facebook ou aux services en ligne d’une banque ou d’un office notarial. Dans sa contribution écrite aux travaux de la mission d’information, la direction générale des réseaux de communication, du contenu et des technologies (DG CONNECT) observe d’ailleurs que « l’identité numérique demeure parcellaire et dispersée entre de nombreux comptes et identifiants ».
Ces différents identifiants ne se ressemblent pas. Le chercheur François Perea ([10]) distingue les identifiants transparents – par exemple, le couple « prenom.nom » – des identifiants complexes – comme une adresse email « pseudonymisée ». Selon les représentants de l’entreprise CISCO auditionnés par la mission d’information ([11]), les identifiants sont d’ailleurs souvent liés à la technologie d’accès, qu’il s’agisse du login pour les mails, de la carte SIM pour les téléphones ou de la prise « box » pour recevoir internet à domicile.
Pour la chercheure Primavera De Filippi ([12]), l’identifiant doit remplir deux conditions :
- il doit être unique : deux personnes ne doivent pas avoir le même ;
- il doit être singulier : il ne doit exister qu’un seul identifiant par personne au sein d’un même domaine, par exemple un seul numéro de passeport dans un pays donné.
Le recours à une autorité centralisée est souvent nécessaire pour vérifier ces deux caractéristiques. Cette autorité peut être l’État ou une entreprise privée comme un réseau social ou une banque.
iii. Les attributs
L’identité numérique « objective » est constituée de nombreux attributs sur lesquels reposent les identifiants. Ces attributs servent à décrire une facette de cette identité, sans être propre à un individu – genre, hauteur, âge – et peuvent changer au cours du temps – profession, nationalité. L’Alliance pour la confiance numérique, qui propose également de les distinguer selon qu’ils sont biométriques – photo, empreinte digitale, oculaire, etc. – ou alphanumériques – nom, adresse, etc. – les distingue du support qui les exploite, qui peut par exemple être une carte d’identité, un token physique ou un support logiciel. Pour l’Alliance, c’est « la combinaison des attributs requis et du support utilisé [qui] définit une solution unique d’identification » ([13]).
Ainsi qu’en conclut la Fondation internet nouvelle génération dans sa contribution écrite aux travaux de la mission, « l’identité est donc mouvante, plurielle, en construction permanente, et marie des objets subjectifs et objectifs » nombreux.
2. La construction de l’identification
La façon dont les individus s’identifient et sont identifiés par les autres a beaucoup varié dans l’histoire de l’humanité. Prenant pour cadre l’Europe depuis l’an mil, les historiens Ilsen About et Vincent Denis identifient cinq grandes périodes :
– du XIème au milieu du XVème siècle, l’identification est « caractérisée par la place importante du face-à-face, la mise en place de multiples signes d’identité ([14]), les débuts de l’identification à distance sous la tutelle des formes d’autorité publique qui s’imposent alors » ;
– à partir du XVème siècle et pendant l’époque moderne, « le rôle de l’identification écrite se renforce considérablement alors que se multiplient registres et documents d’identité, qui coexistent avec des manières d’identifier liées au face-à-face et à l’interconnaissance » ;
– à la fin du XVIIIème et le début du XIXème siècles sont marqués par « l’avènement d’une nouvelle structure politique en Europe, l’État-nation, qui a pour conséquences l’étatisation et la nationalisation de l’identification, [tandis que] les grandes mutations de l’âge industriel (migrations, urbanisation, démocratisation, révolutions des transports) obligent à un investissement administratif et technologique en la matière » ;
– à l’issue de la première guerre mondiale, « l’attribution à tous les individus d’une identité certaine » devient un enjeu pour les États européens, tandis qu’une « définition exclusive des identités et des mesures coercitives d’identification caractérise en outre les régimes totalitaires » ;
– enfin, les auteurs considèrent la période contemporaine comme marquée par « l’avènement d’une "identification de masse" » et par « la question d’un nouveau "seuil" représenté par l’informatisation des données et la diffusion des techniques de surveillance à la fin du XXème siècle » ([15]).
L’histoire de l’identification est donc celle du passage d’une identité interpersonnelle à une identité délivrée par l’État, consignée dans les registres de l’état civil, et dont les modalités de vérification ont évolué dans le temps.
3. La délivrance de l’identité va de pair avec le risque d’usurpation
Au Moyen Âge, l’identification était donc un processus faillible reposant essentiellement sur le face-à-face, la mémoire du groupe et le port de signes et d’insignes. L’usurpation d’identité, c’est-à-dire le fait d’utiliser, sans l’accord d’une personne, des informations permettant de l’identifier, était donc particulièrement facile, ainsi qu’en témoigne l’affaire Martin Guerre à Toulouse, en 1560, du nom d’un paysan du comté de Foix qui avait quitté sa famille pendant une décennie, avant qu’un individu se faisant passer pour lui ne la rejoigne ensuite, jusqu’à ce qu’un ancien compagnon d’arme de Martin Guerre ne dénonce l’imposteur ([16]).
Les progrès de la période contemporaine auraient dû mettre un terme au phénomène d’usurpation d’identité. Comme le relève Mme Marine Monteuil, « l’anthropométrie, la biométrie et par la suite la biologie, avec l’ADN, permettent d’identifier les individus avec une quasi-certitude, [tandis que] les puces, insérées aux documents d’identité, contiennent des empreintes digitales de plusieurs doigts, infalsifiables et numérisées » ([17]). Toutefois, le développement de l’espace internet a renouvelé le phénomène de l’usurpation d’identité, renforcé par le recours à ce qu’elle appelle une « identité d’emprunt ».
Alors qu’en 2018, la France a enregistré plus de 1,5 milliard de transactions en ligne ([18]) et que 65 % des Français utilisaient internet pour réaliser des démarches en ligne ([19]), 40 % de la population considérait la protection des données personnelles comme le principal frein à l’utilisation d’internet ([20]).
À défaut de l’existence de statistiques consolidées en la matière ([21]), un sondage du CSA réalisé en 2012 indiquait que 8 % des Français ont été victimes, dans la décennie qui précédait, d’une usurpation d’identité en ligne ([22]). Bien que la détention et l’usage de faux documents délivrés par une administration soit un délit ([23]), la fraude identitaire et la revente de documents d’identité sur le darkweb ([24]) se développent. Ces faits concernent tant les vrais documents d’identité volés – par exemple, en réutilisant des photocopies de documents d’identité ou en dérobant des documents d’identité – que les faux papiers fabriqués, qui représentent une activité lucrative. Environ 25 000 faux documents sont saisis chaque année en France ([25]).
B. Le fonctionnement de l’identité numérique
L’identité numérique peut donc recouvrir des définitions différentes, ce qui peut induire des incompréhensions et des appréhensions légitimes, d’autant plus que son fonctionnement concret n’est pas, à première vue, évident. Dans une perspective pédagogique, la mission d’information a souhaité revenir de façon simplifiée sur celui‑ci, afin de dissiper tout malentendu et de donner à voir l’ensemble des opportunités que l’identité numérique peut offrir à ses utilisateurs, au premier rang desquelles une gestion frugale des données, particulièrement respectueuse de la vie privée de ces derniers.
1. Le trinôme « utilisateur – fournisseur de services – tiers de confiance »
L’utilisateur est la personne physique souhaitant accéder à un ensemble de services aussi bien publics (effectuer une déclaration de revenus en ligne, par exemple), que privés (achats de biens et services). Il recherche en général la facilité d’accès au service et la protection de ses données personnelles, afin de se prémunir de toute tentative d’usurpation d’identité.
Le fournisseur de services est l’opérateur public ou privé qui met à la disposition de l’utilisateur un ensemble de services en ligne. L’accès à ces derniers est en général conditionné à une authentification de l’utilisateur. Cette phase passe, le plus souvent, par la création d’un compte utilisateur unique, propre à ce service et à ce fournisseur, ce qui a pour conséquence de multiplier les identités numériques des utilisateurs ([26]).
Cette authentification voit son niveau de sécurité varier en fonction de la nature du service proposé. Elle reste néanmoins, à l’heure actuelle, une authentification faiblement sécurisée pour la plupart des sites internet des fournisseurs de services. Le fournisseur de services dispose assez rarement des moyens de vérifier la véracité des attributs présentés par l’utilisateur dans sa phase de création d’accès et de connexion à distance au service proposé ([27]).
c. Le fournisseur d’identité - tiers de confiance
Le fournisseur d’identité, qui est un tiers de confiance, va permettre de faire le lien entre le fournisseur de services et l’utilisateur. Sa fonction est de s’assurer de la correspondance entre les attributs présentés par l’utilisateur et leur véracité.
Il existe en France des acteurs économiques spécialisés dans le domaine de la vérification de l’identité électronique. Ces derniers appartiennent au secteur économique dit « de la confiance numérique », et sont représentés au sein de l’Alliance pour la confiance numérique.
Le tiers de confiance peut assurer les trois fonctions différentes, distinctes ou cumulées suivantes :
– autorité de délivrance (ou fournisseur d’identité originelle) : le tiers de confiance fait alors le lien initial entre la personne physique ou morale et son identité numérique. Il attribue l’identité numérique originelle. À titre d’exemple, l’autorité de délivrance de la carte nationale d’identité électronique (CNIe) est l’État, et plus spécifiquement l’Agence nationale des titres sécurisés (ANTS), placée sous la tutelle du ministère de l’intérieur. La délivrance en mairie, qui intervient après la validation du dossier au niveau de la préfecture (centre d’expertise et de ressources titres) permet ainsi de faire le lien initial entre l’identité physique de la personne et son identité numérique ;
– fournisseur d’identité authentifiée : le tiers de confiance assure alors la gestion au quotidien de cette identité et procède à sa confirmation auprès du fournisseur de services. Le fournisseur d’identité confirme donc auprès du fournisseur de services, les attributs « de base » que prétend détenir l’utilisateur du service. L’identité donnée au fournisseur de services dérive nécessairement d’une identité originelle ;
– fournisseur(s) d’attributs : le tiers de confiance fournit alors des attributs supplémentaires concernant l’utilisateur, afin de garantir un niveau d’authentification plus fortement sécurisé. Ce peut être, par exemple, l’exercice d’une profession, ou la valeur d’un revenu fiscal.
Le schéma suivant, proposé par Armen Kahtchatourof et Claire Levallois-Barth décrit le processus de mise en oeuvre de la carte nationale d’identité électronique, en reprenant ces différents concepts.
LES ÉTAPES DE L’USAGE de la carte nationale d’identité électronique :
de l’enrôlement à l’utilisation
Source : Chaire Valeurs et Politiques des Information Personnelles, Cahier n° 1, Identités numériques, coordonné par Claire Levallois-Barth, mars 2016.
2. Les trois phases de la vie d’une identité numérique : enrôlement – authentification – utilisation
a. L’enrôlement
L’utilisation d’une solution d’identité numérique passe par une première phase dite d’enrôlement (de l’anglicisme enrolment) qui correspond de facto à l’inscription. C’est le moment où l’autorité de délivrance, qui peut également être le fournisseur d’identité, établit de façon certaine le lien entre l’utilisateur et son identité numérique (c’est-à-dire la somme de ses attributs).
Le niveau de sécurité requis fait logiquement varier les conditions encadrant cette phase d’inscription (voir infra). L’enrôlement peut ainsi simplement comprendre la fourniture d’un identifiant, d’un mot de passe, d’un numéro de téléphone et d’une adresse mail (Facebook), ou comporter des éléments plus complets pour assurer un niveau de sécurité plus élevé, tels que l’usage d’un titre d’identité, certifié par exemple (Alicem ([28])).
La phase d’enrôlement est donc une étape essentielle pour garantir la sécurité de l’identité numérique délivrée ([29]), mais aussi son déploiement à grande échelle. Le processus d’enregistrement doit en effet être suffisamment fluide et robuste pour que l’utilisateur souhaite aller jusqu’à son terme. Cela implique notamment un nombre limité d’étapes. Au-delà de 4 à 5 étapes, les courbes d’abandon deviennent importantes et une partie conséquente des utilisateurs potentiels abandonnent le processus .
La procédure d’enrôlement au sein de l’identité numérique DE La Poste
Source : La Poste
Une fois enregistrée, la personne est en capacité de s’authentifier et donc d’accéder aux services via l’usage de son identité numérique. L’authentification désigne le fait de produire la preuve de l’identité présentée a priori, en vue d’accéder à un service. Elle est donc un processus qui permet de confirmer l’identité d’une personne, qui ne doit pas être confondu avec l’identification, qui permet de déterminer l’identité de quelqu’un à partir d’un ensemble d’attributs.
Cette phase d’authentification, moins lourde que celle d’enrôlement, varie elle aussi en fonction de la nature du service demandé et donc de l’utilisation de l’identité numérique. Dans le cadre envisagé de la dérivation d’une identité numérique à partir de la carte nationale d’identité électronique (CNIe), l’utilisation de ce titre d’identité serait par exemple nécessaire uniquement pour des usages d’un niveau de sécurité élevé. Pour les usages d’un niveau faible ou subtantiel, le smartphone seul suffirait.
L’utilisation de l’identité numérique consiste à s’appuyer sur son identité numérique pour accéder à un ensemble de services, une fois l’authentification réussie. L’avantage d’une identité régalienne réside dans la robustesse des données utilisées pour créer l’identité numérique (l’État faisant office en l’espèce d’autorité de délivrance et de fournisseur d’identité) et dans la confiance que peuvent lui accorder les citoyens au regard de son rôle de garant de l’intérêt général.
L’utilisation d’une identité numérique régalienne passerait par l’utilisation du fédérateur d’identité FranceConnect (infra). On désigne, par le terme de fédérateur d’identité, un environnement organisé utilisant des systèmes d’identités numériques, sous forme de plateforme, permettant de gérer un ou plusieurs schémas d’identités.
Très concrètement, utiliser son identité numérique régalienne nécessitera, dans le cadre d’une dérivation de la CNIe, de recourir soit au smartphone et à ce titre d’identité (authentification de niveau élevé), soit au seul terminal de l’utilisateur, pour des usages ne requérant qu’un niveau de sécurité simple ou subtantiel (voir infra).
Il peut être mis fin à cette utilisation par simple déconnexion du service concerné. En cas de perte ou de vol du smartphone, l’utilisateur doit se créer une nouvelle identité numérique afin de faire expirer son identité numérique précédente.
3. L’interopérabilité de l’identité numérique : une exigence importante dans le cadre de l’Union européenne (UE)
a. L’interopérabilité dans le cadre de l’UE
L’interopérabilité désigne la possibilité, pour l’utilisateur de l’identité numérique, d’utiliser sa solution d’identité numérique quel que soit son support d’usage ([30]). Concrètement, cela signifie que l’accès à des services en ligne via une authentification fournie par l’identité numérique ne doit être limité pour l’utilisateur ni en raison du modèle de téléphone qu’il possède, ni en raison du pays dans lequel il se trouve.
Le règlement eIDAS du 23 juillet 2014 ([31]), fixe ce cadre d’interopérabilité. Il prévoit ainsi que les États membres reconnaissent, pour s’identifier sur leurs propres services en ligne, les moyens d’authentification qui leur ont été notifiés ainsi que ceux qui auront été notifiés aux autres États membres. Ce règlement contient en conséquence un ensemble de spécifications techniques. Il prévoit également un ensemble de règles visant à faciliter le recours à la signature électronique au sein des États membres.
b. L’interopérabilité en fonction du système d’exploitation des smartphones
L’interopérabilité renvoie également, d’une façon plus prosaïque, à la compatibilité de la solution d’identité numérique avec les caractéristiques techniques des smartphones des utilisateurs.
Cette question s’est d’ailleurs posée, de façon récente, dans le cadre du débat autour de l’application Stop Covid, l’efficacité de la technologie Bluetooth pouvant varier en fonction notamment du système d’exploitation utilisé (IOS ou Android) et de la version de la technologie Bluetooth employée.
En matière d’identité numérique, certains fournisseurs d’identité vont recourir, par exemple, à la technologie NFC. Il apparaît de facto que la majorité du parc de smartphones (90 %) est déjà équipée de cette technologie. L’impératif d’interopérabilité a par ailleurs été intégré par ces différents acteurs économiques dans le cadre du développement de leurs solutions d’identité numérique.
4. L’authentification biométrique : une garantie de sécurité au service de l’utilisateur
a. L’authentification n’est pas une identification
L’authentification s’effectue selon la combinaison de plusieurs facteurs qui déterminent le niveau de sécurité concerné. Ces différents facteurs sont les suivants : « qui je suis » (identifiant) ; « ce que je sais » (mot de passe), « ce que je possède » (élément physique, un téléphone par exemple), « ce que je suis » (élément biométrique).
L’identité numérique, dans son processus d’enrôlement, peut nécessiter de recourir à l’authentification biométrique, c’est-à-dire au fait de comparer l’image de la personne avec l’image du titre d’identité utilisé, pour s’assurer de la correspondance. Pour rappel, l’authentification biométrique est d’ores et déjà utilisée lors de la réalisation de titres d’identité, par exemple lorsqu’il s’agit de récupérer les empreintes digitales d’un citoyen dans le cadre de la production de son passeport.
Comme le rappelle la note publiée par l’Office parlementaire d’évaluation des choix scientifiques et technologiques en juillet 2019 ([32]), il est important de distinguer cette authentification biométrique, forme de comparaison faciale, de l’identification biométrique. La procédure d’enrôlement de l’identité numérique n’a en effet pas vocation à procéder à l’identification de la personne, c’est-à-dire à comparer son image à une banque d’images dans le but de la singulariser. Si ces deux techniques procèdent bien d’une forme de reconnaissance faciale, leur objectif est différent, et les risques de la première, bien plus faibles, selon la CNIL ([33]).
b. Un outil au service de la simplicité d’usage et de la sécurité de l’utilisateur
Le recours à l’authentification biométrique, qui constitue un moyen parmi d’autres d’atteindre un niveau de sécurité élevé, s’explique par la commodité de cette technique pour l’utilisateur, d’une part, et le haut niveau de sécurité qu’elle lui assure, d’autre part.
Il convient d’observer, d’abord, que l’authentification biométrique est d’ores et déjà proposée par la plupart des constructeurs d’équipements mobiles pour protéger son terminal (verrouillage/déverouillage par reconnaissance faciale ou empreinte digitale, par exemple). Il ne s’agit donc pas, stricto sensu, d’une pratique nouvelle.
En outre, cette pratique, qui offre une réelle sécurité pour l’identité numérique de l’utilisateur, n’intervient que ponctuellement, lors de la phase d’enrôlement. Les données recueillies à cet égard ne font pas l’objet d’une conservation. Il s’agit en effet uniquement de disposer d’une preuve de vivant ([34]), et de vérifier la correspondance entre la personne en train de créer son identité numérique et le titre d’identité utilisé à cette fin.
L’authentification biométrique offre incontestablement une rapidité d’exécution particulièrement appréciable pour l’utilisateur. Elle lui permet en effet de créer son identité numérique sans se déplacer, en quelques minutes seulement. Elle renforce donc le caractère inclusif de l’identité numérique.
Enfin, il convient de rappeler que le recours à cette technique ne s’imposera pas, de facto, aux utilisateurs. En effet, la création d’une identité numérique régalienne viendra compléter les offres privées déjà disponibles, et qui proposent des alternatives, pour un niveau de sécurité substantiel par exemple ([35]). En outre, le projet d’identité numérique régalienne proposera une alternative à l’authentification biométrique, afin de tirer les leçons des recommandations de la CNIL sur Alicem ([36]), en capitalisant sur le moment de la délivrance du titre ([37]).
L’authentification biométrique n’a vocation, au fond, qu’à proposer à l’utilisateur un parcours d’enrôlement plus simple, qui ne nécessite pas de se déplacer pour réaliser le face à face de contrôle en phase d’enrôlement, prévu dans le cadre du référentiel eIDAS pour permettre la création d’une identité numérique, en écartant tout risque d’usurpation d’identité.
Elle fera par ailleurs l’objet d’un travail attentif de veille juridique et technologique. En effet, comme l’indique Mme Valérie Peneau dans sa contribution écrite ([38]), il convient d’être attentif, « outre le sujet de protection des données personnelles […] au fait que cette technologie de reconnaissance repose sur une probabilité, et non une certitude absolue ([39]), de correspondance, qu’elle est très évolutive, et que nous ne pouvons dépendre en l’état des seuls algorithmes développés par des acteurs étrangers, paramétrés au regard de bases de populations de référence plus ou moins éloignées de la population française. Cette technologie emporte des enjeux de souveraineté et de risques cyber auxquels il faut prêter une attention particulière et qui suppose une capacité d’évolution constante dans le temps pour pouvoir offrir un service de qualité et sécurisé ».
C. Les acteurs de l’identité numérique
L’identité numérique est une solution technique qui mobilise plusieurs acteurs publics et privés chargés d’en assurer le fonctionnement et la régulation.
a. L’État
L’État est un acteur central en matière d’identité numérique, à plusieurs titres.
Il dispose d’abord d’une légitimité historique liée à son rôle clef dans la tenue des registres d’état civil, qui constitue l’une de ses fonctions essentielles. Comme une identité numérique de niveau élevé nécessite de recourir à la dérivation de titres d’identité physiques, dont il est le seul à assurer la délivrance, l’État constitue un fournisseur d’identité et une autorité de délivrance naturels pour déployer des projets de ce type.
L’État dispose ensuite d’une relation de confiance avec les citoyens, en tant que puissance publique en charge de l’intérêt général. En matière numérique, les citoyens font ainsi davantage confiance à l’État pour gérer leurs données qu’aux acteurs privés ([40]).
En matière d’identité numérique, l’État s’appuie sur les acteurs suivants :
– la direction interministérielle du numérique (DINUM), qui accompagne, sous la responsabilité du Premier ministre, les ministères dans leur transformation numérique, conseille le Gouvernement et développe des services et ressources partagées (réseau interministériel de l’État, FranceConnect, data.gouv.fr, etc) ;
– le ministère de l’intérieur, autorité de tutelle de l’Agence nationale des titres sécurisés (ANTS) ;
– l’Agence nationale de la sécurité des systèmes d’information (ANSSI), placée sous la tutelle du secrétariat général de la défense et de la sécurité nationale (SGDSN).
C’est le programme interministériel France identité numérique, dirigé par Mme Valérie Peneau, et placé sous l’autorité des ministères de l’intérieur et de la justice, et du secrétariat d’État chargé du numérique, qui a pour mission de développer une identité numérique régalienne.
Deux agences techniques interviennent principalement sur le sujet de l’identité numérique en France : l’Agence nationale des titres sécurisés et l’Agence nationale de la sécurité des systèmes d’information. Au niveau européen, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) devrait également être amenée à jouer un rôle croissant.
L’Agence nationale des titres sécurisés (ANTS) est un établissement public administratif créé en 2007. Elle compte près de 130 personnes collaborateurs, pour un budget annuel de 240 millions d’euros.
Cette agence remplit principalement trois missions suivantes :
– la conception des démarches en ligne (CNI, passeports, cartes grises, permis de conduire) en tant que maître d’œuvre des systèmes d’information ;
– l’accompagnement des usagers et partenaires institutionnels dans le cadre de la réalisation de leurs démarches en ligne ;
– la production et l’acheminement des titres sécurisés demandés.
Cette agence apporte également une expertise technique dans le cadre des innovations en matière de titres sécurisés, qu’il s’agisse d’expérimentations portées par le Gouvernement (maîtrise d’œuvre du projet Alicem) ou qui s’inscrivent, d’une façon plus générale, dans le cadre de l’Union européenne (carte nationale d’identité électronique).
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est un service à compétence nationale rattaché au secrétariat général de la défense et de la sécurité nationale, qui fournit une expertise au Gouvernement sur les questions relatives à la sécurité des systèmes d’information. Elle comprenait environ 610 agents au 31 décembre 2019.
Cette agence remplit principalement les trois missions suivantes :
– la défense des systèmes d’information face aux cyberattaques : elle intervient comme « pompier informatique » auprès des victimes de ce type d’attaques, pour arrêter ces dernières le plus rapidement possible et reconstruire ensuite le système d’information de façon sécurisée. Cette mission peut prendre la forme d’une assistance à distance ou de l’envoi d’experts sur place ;
– une action de prévention des cyberattaques, en travaillant à élever le niveau de cybersécurité des infrastructures informatiques en France et à améliorer l’efficacité de leur détection. Cette mission se traduit, par exemple, par la qualification et la certification de prestataires de confiance, la protection des systèmes des bénéficiaires et enfin une activité de cyber-recherche ;
– une action d’information et de sensibilisation auprès de différents publics vis-à-vis des risques numériques (production de guides, formations en ligne etc).
Dans le domaine de l’identité numérique, l’ANSSI accompagne le programme interministériel France identité numérique et garantit la sécurité des moyens d’identification électronique prévus par le règlement européen n° 910/2014 dit « eIDAS ». À ce titre, elle établit le référentiel des exigences de sécurité applicables à chaque niveau de garantie des moyens d’identification électronique et elle évalue le bon respect de ces exigences par les organismes fournissant les moyens d’identification électronique. Elle est également chargée de l’évaluation d’Alicem et participe, d’une façon plus générale, aux instances de coopération européenne sur le sujet de l’identité numérique.
Sur les projets Alicem et CNIe, l’ANSSI apporte donc une double expertise à l’ANTS, à la fois en phase de réalisation de projet et lors de l’évaluation, en aval, de leur conformité aux exigences de sécurité définies par le règlement eIDAS.
Enfin, au niveau européen, l’Agence européenne chargée de la sécurité des réseaux et de l’information, joue un rôle secondaire en matière d’identité numérique, qui pourrait être amené néanmoins à se renforcer, comme l’ont indiqué plusieurs acteurs auditionnés par la mission. Le règlement (UE)2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications prévoit actuellement qu’elle peut contribuer à l’élaboration et à la mise en œuvre de la politique et du droit de l’Union en ce qui concerne « l’identification électronique et [l]es services de confiance, en particulier en fournissant des conseils et en délivrant des lignes directrices techniques, ainsi qu’en facilitant l’échange de meilleures pratiques entre les autorités compétentes ».
2. Les régulateurs de l’identité numérique
Plusieurs institutions jouent un rôle important de régulation de l’identité numérique, en posant le cas échéant les garde-fous nécessaires au respect strict des libertés publiques et des droits individuels des citoyens.
a. La Commission nationale de l’informatique et des libertés (CNIL)
La CNIL, autorité administrative indépendante instaurée en 1978 par la loi « Informatique et libertés », constitue, dans l’écosystème de l’identité numérique, l’un des principaux régulateurs d’une solution d’identité numérique régalienne. Elle rend en effet des avis sur des projets de loi ou de décret concernant la protection des données personnelles et procède à des contrôles pour vérifier la bonne application du cadre juridique afférent ([41]).
Dans le cadre de sa mission de conseil, la CNIL a ainsi rendu un avis sur l’arrêté du 24 juillet 2015, qui crée FranceConnect, fédérateur d’identité permettant à tout utilisateur d’utiliser les identifiants de son choix pour accéder à un certain nombre de services publics et privés. Les échanges avec cette autorité ont eu un impact sur la forme de cette plateforme. Le recours à un identifiant unique a ainsi été écarté, et le principe de minimisation des données transmises renforcé.
La CNIL a également rendu un avis le 18 octobre 2018 sur le projet de décret autorisant la création d’un traitement automatisé permettant de délivrer une identité numérique dénommée « Application de lecture de l’identité d’un citoyen en mobilité » (Alicem). Dans ce cadre, elle a ainsi notamment rappelé que le consentement de l’individu au traitement de ses données biométriques n’est valable que dans l’hypothèse où la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou encore de la possibilité de les refuser sans subir de préjudice.
Dans ces deux cas, la CNIL a fait preuve d’une grande vigilance vis-à-vis du respect du règlement général sur la protection des données RGPD ([42]).
b. Le comité européen de la protection des données (CEPD)
Au niveau européen, le comité européen de la protection des données (CEPD), créé par l’article 68 du RGPD, assure la cohérence de la mise en œuvre du RGPD entre les différents États membres, et pourrait donc être amené à se saisir de sujets relatifs à l’identité numérique.
La juridiction administrative joue également un rôle de régulation sur le sujet de l’identité numérique, à la fois ex-ante et ex-post.
Le Conseil d’État s’assure d’abord, en amont, dans son rôle de conseiller du Gouvernement, que les projets de texte réglementaire envisagés par le Gouvernement respectent bien le cadre juridique national et européen. Pour prendre l’exemple du projet de décret Alicem, le Conseil avait ainsi estimé, après analyse, que le décret respecte le principe de consentement de l’utilisateur, tel que prévu par le RGPD, au regard, notamment, de la possibilité de désinstaller l’application à tout moment, de la suppression des données biométriques dès l’enrôlement terminé ou encore de l’information délivrée à l’usager par l’ANTS au moment de la demande d’ouverture du compte. Cet avis avait donc certes pris le contrepied de l’analyse de la CNIL, mais constituait surtout un deuxième regard critique sur le dispositif proposé.
Le Conseil d’État constitue également la voie de recours naturelle contre les textes réglementaires, en référé et au fond. En matière d’identité numérique, la Quadrature du Net a par exemple déposé devant lui, pendant l’été 2019, un recours en illégalité contre le décret du 13 mai 2019 de création d’Alicem, au motif que le maintien du dispositif de reconnaissance faciale comme unique moyen d’activation du compte Alicem, qui est contraire à l’avis de la CNIL, entâcherait le décret d’illégalité.
d. Le Parlement
Le Parlement, enfin, assure un contrôle vigilant vis-à-vis du déploiement d’une identité numérique régalienne, conformément à sa mission de contrôle de l’action du Gouvernement (article 24 de la Constitution). La définition des règles concernant « les droits civiques et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » appartient en outre au domaine de la loi (article 34 de la Constitution).
La société civile a enfin pleinement un rôle à jouer dans la régulation de l’identité numérique. Les associations dont l’objet vise la protection des utilisateurs sur internet assurent un suivi vigilant et utile des solutions mises à la disposition des citoyens/consommateurs. Les citoyens doivent également faire preuve de vigilance dans ce domaine.
a. Les acteurs industriels et fournisseurs de briques de solution
L’identité numérique est un secteur d’activité rassemblant un ensemble d’entreprises spécialisées dans le domaine de la confiance numérique. En France, ce secteur, pris dans sa globalité, comprend environ 500 entreprises, pour un chiffre d’affaires de 1,4 milliard d’euros en 2018. La France est très bien dotée dans ce domaine et dispose d’un certain nombre de champions industriels, parmi lesquels Thales, IN Groupe, IDEMIA ou encore Atos.
La brochure capacitaire produite par l’Alliance pour la confiance numérique en 2019, distingue quatre grands types d’offres au sein du processus d’identité numérique, qui sont assurées ou non par ces mêmes acteurs économiques :
– les offres relatives à la création de l’identité numérique et à la souscription à un service de confiance. Elles correspondent aux activités d’interfaçage de l’identité numérique, d’enrôlement, de dérivation et de certification de cette identité ;
– les offres relatives aux supports de l’identité numérique, qu’il s’agisse de supports physiques (puces, cartes, jetons) ou dématérialisés (logiciels, etc.) ;
– les offres portant sur l’utilisation, en propre, de l’identité numérique et des services de confiance. Elles sont proposées par des acteurs à la pointe de la gestion de logiciels d’authentification numérique et de signature électronique. On y retrouve également des services de validation d’identité et des fournisseurs d’attributs ;
– enfin, des offres relatives à l’administration du système d’identité numérique, qui renvoient à des solutions et services Public Key Infrastructure (PKI) et à des activités de fournisseurs d’identité ou de service de confiance.
Au total, on compte plus de 15 entreprises spécialisées dans le secteur de l’identification électronique en France. Un contrat de filière signé le 29 janvier 2020 unit par ailleurs les entreprises membres du comité de filière Industries de sécurité, et encadre le déploiement de l’identité numérique en France.
b. Les fournisseurs d’identité numérique
À l’heure actuelle, plusieurs acteurs économiques français se positionnent comme fournisseurs d’identité numérique. C’est le cas notamment du groupe La Poste, via sa branche numérique Docaposte, qui propose une solution d’identité numérique de niveau substantiel certifiée par l’ANSSI, ou du groupe Imprimerie Nationale, qui propose lui aussi une solution d’identité numérique (IN Wallet).
Un exemple d’identité numérique de niveau substantiel : La Poste
La Poste a lancé, le 26 mai dernier, la première identité numérique certifiée de niveau substantiel par l’ANSSI. Cette solution permet, en 4 étapes, de créer son identité numérique en ligne, grâce à l’utilisation d’un titre d’identité (carte d’identité ou passeport) et d’un smartphone. Elle offre un accès à près de 700 sites de services publics ou privés via FranceConnect. Le modèle économique de l’identité numérique de La Poste repose sur une stratégie d’acquisition adossée aux usages publics – justifiant sa gratuité – et une monétisation auprès du secteur privé. Le service est et restera gratuit pour les utilisateurs finaux.
c. Les acteurs « non spécialistes »
Aujourd’hui, la fourniture d’identité numérique est réalisée par des acteurs non spécialistes, qui dérivent cette identité à partir des données qu’ils recueillent et valorisent (Google, Facebook, etc.) ou proposent tout simplement la création d’une identité numérique « basique » composée d’un identifiant et d’un mot de passe, pour l’usage de leur service (e-commerce).
Google et Facebook proposent en effet, outre une identité numérique subjective, une identité numérique dérivée à partir du compte Gmail ou Facebook de l’utilisateur. Il s’agit des solutions Facebook Connect et Google sign‑in. Très concrètement, cela consiste, pour l’utilisateur du réseau social Facebook, à réutiliser ses identifiants pour se connecter à un fournisseur de services partenaire. Il peut ainsi procéder à des transactions facilement, sans avoir besoin de se créer un compte. Ce service, gratuit repose néanmoins sur la valorisation des données personnelles.
En dehors de Google et Facebook, de nombreux autres acteurs existent sur ce marché en forte croissance, qu’il s’agisse, par exemple, de Digits (Twitter), d’Apple Pay ou encore de l’identification par Paypal. La souveraineté des données constitue évidemment une problématique importante lorsqu’il s’agit de solutions non européennes (pas d’obligation de stockage des données en Europe notamment).
schéma d’ensemble de l’identité numérique
Source : Assemblée nationale
D. Les enjeux de l’identité numérique
L’identité numérique soulève un nombre important d’interrogations. La confiance dans les dispositifs mis en place, leur accessibilité au plus grand nombre, l’association du monde économique, ainsi que des problématiques liées à la sécurisation des données et à la souveraineté numérique des États ont été abordés dans les nombreuses auditions que la mission d’information a menées.
1. Un prérequis : créer la confiance
a. Une nécessaire transparence sur la gestion des données personnelles collectées
Actuellement, le dispositif d’identité numérique mis en place par FranceConnect nécessite la collecte d’un socle minimal de données, dites « données pivot » : le sexe, les prénoms, le nom de naissance, la date, le lieu et le pays de naissance. Il s’agit actuellement de seules données collectées par FranceConnect. D’autres données pourraient néanmoins être collectées et valorisées par les fournisseurs d’identité, avec le consentement de l’utilisateur.
D’une manière générale, il existe trois traitements distincts des données personnelles relatives à l’identité numérique :
– l’identification, qui « relève du traitement de toutes les données relatives à l’identité d’un individu » ;
– le consentement, c’est-à-dire le « mécanisme par lequel l’individu va consentir à l’accès à ses données et ses attributs d’identité à un fournisseur de service qui les lui réclamera » ;
– le flux des données personnelles, c’est-à-dire la « manière dont ces données, ainsi que les données d’usages, vont circuler, être utilisées et associées ([43]) ».
Pour chacun de ces opérations et traitements, des règles claires et compréhensibles de tous sont en effet un prérequis indispensable à la création de la confiance. Comme le constate la Fondation internet nouvelle génération dans sa contribution écrite, « amener du sens, de la transparence et du contrôle en matière d’exploitation des données personnelles n’est plus une option, c’est aujourd’hui une nécessité ».
Ainsi que le résume Mme Valérie Peneau dans sa contribution écrite, « l’identité numérique sécurisée doit contribuer à la confiance de l’écosystème numérique et précisément contribuer à lutter contre les mésusages qui affectent sa crédibilité. Elle ne doit pas être un facteur de doute ou d’inquiétude injustifiée ».
b. Une définition claire des rôles de l’État et du secteur privé
Le rôle de l’État et celui des entreprises privées associées au développement des solutions d’identité numérique doivent être clairement définis et transparents.
L’établissement et la garantie de l’identité sont une prérogative régalienne depuis l’état civil et il est essentiel qu’ils le demeurent à l’avenir. Pour M. Cédric O, secrétaire chargé du Numérique ([44]), « l’enjeu pour l’État est de faire en sorte que, demain, il continue de garantir l’identité et que, lorsque le citoyen a une démarche en ligne à effectuer, c’est l’identité certifiée par l’État ». Dans le cadre de la consultation en ligne de l’Assemblée nationale sur l’identité numérique, de nombreux internautes ont également insisté sur le caractère régalien que doit, selon eux, revêtir l’identité numérique.
Toutefois, l’État ne devrait pas assumer seul la mise en place de ces solutions, sauf à susciter la méfiance et l’inquiétude des utilisateurs, qui pourraient se détourner des solutions mises en place. Selon le think tank Renaissance numérique, il doit plutôt « pleinement jouer sa fonction d’État plateforme, c’est-à-dire non pas un État qui centralise, mais qui structure, fédère, ouvre, sécurise les dispositifs d’identité numérique. Il en va d’un enjeu d’acceptabilité pour les citoyens ([45]) ».
Comme le relève Mme Valérie Peneau dans sa contribution écrite, « l’écosystème numérique national a pleinement intérêt au déploiement large de solutions d’identité numérique sécurisées, qui en conditionne largement la confiance d’ensemble, sous réserve que les données d’identité soient garanties par l’État ».
L’association de partenaires privés à la construction et au fonctionnement de l’architecture des solutions d’identité numérique régalienne devrait donc être possible, sous réserve qu’elle soit strictement encadrée, par exemple en la conditionnant à l’obtention d’une certification exigeante de la part de l’Agence nationale de la sécurité des systèmes d’information.
Le législateur pourrait s’inspirer du partage des tâches prévu en Suisse depuis l’adoption de la loi fédérale sur les services d’identification électronique à l’automne 2019 ([46]). Ce projet est néanmoins contesté par une partie de la population, qui redoute une exploitation illégale des données personnelles collectées par les entreprises privées associées au dispositif ([47]), et qui s’est mobilisée pour obtenir l’organisation d’un référendum à l’occasion duquel les Suisses se prononceront sur ce projet dans les prochains mois.
Cette situation souligne avec acuité la nécessité absolue de faire preuve, en matière d’identité numérique, et plus largement, d’innovations numériques, de pédagogie et de transparence. Cette démarche suppose aussi d’associer l’ensemble des acteurs, y compris en mobilisant l’expertise citoyenne et associative.
L’identité numérique est un sujet mal compris et parfois sources d’inquiétudes que vos rapporteurs ont perçues au cours de leurs auditions et dans certains commentaires de la consultation citoyenne organisée par l’Assemblée nationale dans le cadre de la mission d’information.
Comme le relève le Conseil national du numérique, ces inquiétudes sont nourries par une « appréhension de l’identité numérique [par les citoyens] difficile, en raison de la technicité du sujet. Celui-ci est également perçu comme très anxiogène, ce qui implique d’initier une démarche volontaire visant à créer les conditions de la confiance de la part des citoyens » ([48]).
Faire preuve de pédagogie semble indispensable pour dissiper les inquiétudes et instaurer un débat apaisé sur ce sujet.
d. Le maintien de l’anonymat sur internet
La confiance dans les dispositifs en cours de développement impose que l’anonymat demeure la solution par défaut.
La mise en place d’une solution d’identité numérique régalienne est un service proposé à la population. Elle doit lui permettre de simplifier l’accès sécurisé à l’ouverture d’un droit ou à une prestation qui nécessite de prouver son identité, comme cela est actuellement le cas en présentiel. En aucun cas, l’identité numérique ne doit conduire à une authentification obligatoire des internautes.
Comme le relèvent les chercheurs Armen Khatchatourov, Pierre-Antoine Chardel et Claire Levallois-Barth, « l’absence d’identification immédiate peut dans certains cas être perçue comme une difficulté, par exemple lorsque l’identification s’avère nécessaire pour réaliser une transaction bancaire ou pour lutter contre des contenus illicites », mais « elle constitue [également] un formidable gage de liberté, à la fois en termes de liberté d’information, d’action et d’expression dans le cadre des débats favorisés techniquement par ce nouvel espace public qu’est le web » ([49]) à laquelle vos rapporteurs sont attachés.
La mission d’information relève que cette préoccupation est partagée par le Gouvernement. Durant son audition, M. Cédric O a affirmé qu’il n’est « pas imaginable que l’on mette fin, par la contrainte, à l’anonymat en ligne » et qu’il s’agit d’un « combat non seulement vain mais dangereux » ([50]).
2. Faciliter l’accès à un ensemble de services pour les citoyens
a. Améliorer l’accès aux services en ligne déjà existant
La mise en place d’une identité numérique sécurisée doit permettre de garantir l’accès à des services en ligne de manière sécurisée, qu’il s’agisse de services publics tels que l’assurance maladie et les impôts, ou des services privés tels que les assurances ou les services bancaires dématérialisés.
Comme l’a souligné M. Sauvage de Saint Marc, directeur de l’innovation de l’entreprise Cisco ([51]), l’accès à ces services nécessite un degré de sécurisation du processus d’authentification de plus en plus élevé. Cette tendance croissante au renforcement du niveau de sécurité exigé pour bénéficier de ces services amène au développement de solutions qui vont au-delà du simple couple « login-mot de passe », qui caractérise les modèles d’authentification les moins sécurisés.
Cette exigence de sécurisation se constate également à l’étranger. Comme l’a relevé Mme Valérie Peneau dans sa contribution écrite, « sur la plateforme publique belge, la quasi-totalité des connexions aux 700 services en ligne (impôts, assurance maladie…) se font déjà au moins au niveau substantiel, ce qui semble montrer qu’une grande partie des services publics devront à court ou moyen terme passer à un niveau sécurisé (au moins substantiel) et encourage [l’action de la mission interministérielle sur l’identité numérique] en ce sens ».
b. Engager une réflexion sur de nouveaux usages
Alors que certaines opérations nécessitant une authentification sûre ne sont actuellement pas accessibles par la voie dématérialisée, le développement de solutions d’identité numérique sécurisée doit permettre, selon M. Cédric O, « d’ouvrir en ligne des services qui nécessitent l’identification élevée des personnes sans contact physique, en les protégeant contre les risques croissants d’usurpation d’identité en ligne et en conservant la maîtrise des données d’identité » ([52]).
Cette ouverture pourrait concerner des services publics délivrés par l’État ou par les collectivités territoriales, à l’exemple des demandes de procuration de vote, d’aides sociales, d’inscription sur les listes électorales, de dépôt de plainte, la téléconsultation médicale, de demande de passeport, etc. Mais ces nouveaux usages pourraient également s’étendre aux services privés, comme les services bancaires (ouverture d’un compte bancaire, demande de crédit, virement d’un montant élevé, etc.) ou assurantiels, lorsque ces services nécessitent une authentification préalable de leurs clients.
La mission souhaite relever le potentiel fort de l’identité numérique dans le domaine de la santé. Le rapport « Usages de l’identité numérique sécurisée » de la DITP de juillet 2019 en fait l’un des quatre secteurs les plus porteurs (fort potentiel en termes de volumétrie, de niveau de pénibilité, et niveau de sécurité important requis), avec ceux des prestations sociales, de la fiscalité et des services bancaires.
Une solution d’identité numérique régalienne serait très utile, par exemple, dans le cadre du déploiement du dossier médical partagé (DMP). Elle offrirait en effet à son utilisateur un outil souple et sûr pour accéder à ses informations personnelles. Les acteurs auditionnés par la mission en attendent notamment une plus grande fiabilité et un recours accru des Français aux outils du numérique en santé.
Cet intérêt est d’ailleurs confirmé par l’expérience d’autres pays comme l’Australie. Dans ce dernier, la solution Digital ID, lancée en 2016, service d’identification développée par Australia Post, permis déjà aux Australiens de gérer leur dossier de santé et leurs remboursements de frais de santé. MyGovID, service d’identification en cours de développement par l’Etat australien, leur permettra à l’avenir d’accéder également à un résumé en ligne de leurs données de santé (My Health Record).
Au-delà de ces usages, le think tank Renaissance numérique considère que l’identité numérique sécurisée permettrait également de redynamiser la vie publique. Ainsi, « son périmètre a également vocation à s’élargir aux pratiques citoyennes, à l’instar du champ de la concertation. En assurant l’identité des participants, et donc l’intégrité du vote, à l’échelle locale ou nationale, elle pourrait permettre de garantir et de généraliser le recours aux dispositifs participatifs en ligne » ([53]).
La mission d’information considère néanmoins que le vote en ligne ne peut pas être réalisé pour toutes les élections. Il peut par exemple l’être pour les élections professionnelles ou associatives, et peut être expérimenté pour les élections consulaires, les Français de l’étranger rencontrant davantage de difficultés à se déplacer dans les bureaux de vote. Il importe néanmoins d’écarter un tel recours pour les autres élections.
c. Proposer une solution pratique et facile d’accès
Les solutions d’identité numérique doivent faire preuve d’ergonomie et de simplicité en développant l’expérience utilisateur. Comme l’ont relevé les représentants d’IN Group auditionnés par la mission d’information ([54]), une solution nécessitant des procédures d’enrôlement trop compliquées ou trop nombreuses découragerait les utilisateurs.
Afin de séduire les entreprises privées et leurs clients, et de ne pas cantonner les solutions développées aux seules relations entre les administrés et les services publics, ces solutions doivent garantir la fluidité des usages. Dans le cas contraire, les utilisateurs se détourneront des solutions étatiques au bénéfice de solutions d’authentification privées moins vertueuses en termes de protection de la vie privée. L’Association des départements de France (ADF) relève à cet égard que « l’expérience utilisateur, l’ergonomie et la simplicité d’usage sont, dans un marché globalisé, largement mieux illustrés par les services [proposés par les] GAFAM ([55]), et partant engendrent une forte appétence pour les formes d’identité numérique que ces derniers développent ».
Pourtant, les attentes des Français en la matière sont très fortes. Selon deux enquêtes qualitatives publiées dans un récent rapport de la direction interministérielle de la transformation publique (DITP) ([56]), 46 % des Français considèrent les difficultés qu’ils rencontrent pour s’identifier ou s’authentifier comme des facteurs dissuasifs à la réalisation de telles opérations.
les facteurs dissuasifs dans la manière de s’identifier
Source : Direction interministérielle de la transformation publique, Usages de l’identité numérique sécurisée, juillet 2019, p. 79.
3. Une opportunité économique pour un grand nombre d’acteurs privés
a. Un attrait fort des acteurs privés pour une identité numérique régalienne
Le marché de l’identité numérique devrait représenter 250 millions d’euros d’ici 2024 et plus d’1 milliard d’euros d’ici 2029.
Les nombreuses auditions conduites par la mission d’information font apparaître, comme l’envisageait l’étude EY réalisée à la demande de la direction générale des entreprises (DGE) sur le « modèle économique de l’identité numérique » ([57]), qu’un très grand nombre d’acteurs économiques sont intéressés par le développement d’une solution d’identité numérique régalienne.
Ces acteurs privés appartiennent aussi bien au secteur de la banque, que des jeux en ligne, des assurances, de la mobilité, de la santé, des plateformes en ligne, sans évoquer les usages transverses pouvant intéresser la plupart des acteurs économiques, quel que soit leur secteur d’activité (pour recruter à distance, par exemple, en s’assurant de l’identité de la personne).
Les entreprises françaises technologiques, spécialistes du secteur, y sont également bien positionnées (Idemia, IN Groupe, Atos). Il faut donc saisir cette opportunité de développer l’écosystème industriel français dans ce domaine afin d’éviter la préemption de ce marché par des grands groupes internationaux étrangers.
Enfin, un certain nombre de professions réglementées soutiennent également le déploiement d’une solution régalienne. Elles ont parfois d’ailleurs déjà mis en œuvre leurs propres solutions dans un cadre professionnel (greffiers des tribunaux de commerce, notaires).
L’identité numérique des personnes morales
Dans les textes européens, l’identité numérique concerne les personnes physiques, mais également les personnes physiques représentant des personnes morales.
Le traitement de cette question spécifique a néanmoins , pour des raisons d’efficacité et d’expertise, été pris en charge par le secrétariat général du ministère de l’économie et non par la mission dirigée par Mme Valérie Peneau. Cette dernière a toutefois indiqué à la mission que des « travaux conjoints [étaient] conduits en étroite articulation, l’identité numérique des personnes physiques représentant la personne morale étant indispensable à la plupart des procédures concernant les personnes morales en ligne ».
Dans le cadre de ses travaux, la mission d’information a pu observer que certains acteurs s’étaient d’ores et déjà saisis de la question de l’identité numérique « professionnelle », en développant leur propre solution.
C’est le cas des notaires et de leur solution d’identité numérique ID.not, lancée en 2015. Cette identité numérique certifiée, massivement adoptée (83 % des études ont un compte actif), leur permet d’accéder à un ensemble de services propres à la profession de façon sécurisée. Cet outil se distingue de la clé réal mise à leur disposition par le Conseil supérieur du notariat (CSN) afin de leur permettre de signer de façon sécurisée un ensemble de documents en ligne.
C’est le cas également du Conseil national des greffiers des tribunaux de commerce et d’Infogreffe, qui ont lancé en 2019 MonIdenum, solution d’identité numérique à destination des chefs d’entreprises. Le service « Tribunal digital », qui s’appuie sur MonIdenum leur permet désormais d’ester en justice à raison de leur qualité de représentant d’une personne morale donnée. On compte actuellement près de 64 000 comptes MonIdenum actifs. Cette identité numérique « professionnelle » se fonde sur les données enregistrées au sein du registre du commerce et des sociétés (RCS). À terme, MonIdenum a vocation à permettre aux chefs d’entreprise et à leurs représentants légaux de s’identifier sur des plateformes tierces, et d’accéder ainsi à panel élargi de services en ligne.
Source : auditions conduites par la mission d’information
b. Un moyen de réduire les coûts de vérification d’identité pour les fournisseurs de services
Cette appétence des acteurs privés pour une identité numérique s’explique d’abord par le surcroît de sécurité qu’elle leur offrirait en étant largement déployée. Cette solution, même payante, leur permettrait de réduire leur coût de vérification d’identité de leurs clients qui est assez élevé. Chaque fournisseur doit en effet collecter un certain nombre d’informations, les stocker, les gérer et assurer leur protection. L’externalisation de cette activité réduirait donc leurs investissements dans les processus KYC (Know Your Customer).
En outre, la valeur croissante des données au sein de notre économie, en particulier dans certains secteurs d’activités, renforce l’intérêt d’une solution de cette nature. C’est le cas par exemple pour les acteurs de l’assurance, dont les services s’appuient de plus en plus sur des concepts de selfdata, nécessitant de s’assurer de l’identité de la personne utilisatrice.
c. Une simplicité d’usage qui fluidifie la relation client
La fluidité de l’identité numérique offre également des perspectives de croissance pour ces acteurs. La relation client à distance est en effet très fortement dépendante de la facilité d’enrôlement et d’achat sur internet. Au-delà du secteur du e-commerce, celui des jeux en ligne, fortement réglementé, en tirerait un profit intéressant. À titre d’illustration, chez un acteur comme Betclic, près de 50 % des tentatives de création de compte utilisateur sont abandonnées avant leur terme, en raison des contraintes spécifiques qu’elles comportent. La fluidité du processus d’enrôlement, puis d’usage de l’identité numérique pourrait être bénéfique pour ce type d’acteurs économiques.
L’identité numérique offre, au surplus, un second atout en termes de confiance pour l’utilisateur et le fournisseur de données : elle promeut une gestion frugale de ces dernières, à la main de l’utilisateur. Lors de la phase d’authentification, l’interrogation par le fournisseur de services du tiers de confiance conduit à produire une réponse à la question qui est protectrice de la vie privée (réponse binaire oui-non, absence de transmission d’information non nécessaire). Très concrètement, à terme, un utilisateur X souhaitant accéder à un service pour lequel il est nécessaire d’être majeur ou de disposer d’un attribut particulier (absence de surdenttement par exemple), pourra transmettre cette information de façon binaire (absence ou non de majorité, d’endettement), sans avoir à dévoiler l’ensemble de ses informations personnelles (âge de l’utilisateur ou détail de ses comptes bancaires). Le fédérateur d’identité apporte ici une vraie plus-value en centralisant l’information, de manière à ce que ni le fournisseur de services, ni le fournisseur d’identité n’aient connaissance respectivement du service utilisé et du contenu précis de l’information demandée.
d. Un vecteur de concurrence et d’innovation pour le marché
Enfin, ce projet permettrait également de valoriser en France le secteur de l’identité numérique, en lui donnant une visibilité nouvelle, au-delà des usages professionnels de cette technologique qui existaient jusqu’alors. L’usage d’une solution d’identité numérique régalienne par les particuliers et les professionnels aurait pour conséquence de renforcer l’utilisation de ce type de solutions, et serait donc également bénéfique pour les fournisseurs d’identité privés présents sur le marché. Cette démocratisation s’appuierait sur le niveau de confiance plus élevé que suscite une solution régalienne, par rapport en particulier aux solutions moins sécurisées et axées sur la valorisation des données que proposent Google ou Facebook ([58]). De surcroît, l’arrivée d’une solution régalienne sur le marché de l’identité numérique pourrait stimuler la concurrence et l’innovation, au profit des acteurs français, particulièrement performants dans ce domaine.
Il apparaît nécessaire, en revanche, d’encourager les utilisations à titre expérimental pour permettre aux acteurs privés de s’approprier cette nouvelle solution. Il s’agit là d’une demande forte des acteurs économiques intéressés.
Recommandation n° 1 : Encourager les utilisations à titre expérimental de l’identité numérique régalienne par les acteurs privés, afin de leur permettre de s’approprier cette nouvelle solution.
4. Garantir un niveau de sécurité élevé et protéger la souveraineté européenne
À l’heure actuelle, la majorité des solutions d’identité numérique utilisées par les particuliers possèdent un niveau de sécurité relativement faible. Les fournisseurs de service proposent en effet la plupart du temps à l’utilisateur de créer un compte avec un simple login et un mot de passe. Seule la phase de paiement fait l’objet d’une sécurisation renforcée, grâce aux technologies proposées par les principaux acteurs du paiement en ligne.
Le développement d’une solution d’identité numérique régalienne, dans le cadre d’eIDAS, permettrait donc de rehausser le niveau de sécurité dans les usages quotidiens par les citoyens de services publics et privés. Le règlement eIDAS définit en ce sens trois niveaux de sécurité pour les solutions d’identification électronique : le niveau faible, le niveau substantiel et enfin le niveau élevé (voir infra). Les choix technologiques effectués conditionnent le niveau de sécurité d’une identité numérique régalienne.
Il s’agit enfin également d’un enjeu de souveraineté technologique. Le positionnement très favorable des entreprises françaises dans ce domaine à l’international doit être soutenu par un marché intérieur dynamique.
Le stockage des données comme enjeu de souveraineté : le projet GAIA-X
Le projet GAIA-X a été créé à l’initiative des gouvernements allemand et français. L’idée a d’abord vu le jour en Allemagne, intégrée à la « stratégie industrielle nationale pour 2030 », puis dans un manifeste franco-allemand pour une politique industrielle européenne début 2019. L’objectif est d’instaurer un écosystème européen souverain de données, reposant sur la promotion de la souveraineté digitale et de l’innovation.
Le développement de cet écosystème numérique a été annoncé en mai 2020 par les ministres de l’économie français et allemand, MM. Bruno Le Maire et Peter Altmaier. En janvier 2020, la Présidente de la Commission européenne, Mme Ursula von der Leyen, avait déclaré que « pour être un acteur géopolitique, il faut pouvoir être garant de sa souveraineté technologique ».
GAIA-X a été décrit par M. Bruno Le Maire comme une « place de marché avec différents services et offres interopérables ». Le projet sera développé par 22 entreprises, dont la moitié sont allemandes et l’autre moitié françaises. Parmi les entreprises françaises, on trouve Orange, EDF ou Dassault Systèmes. Du côté allemand, ce sont par exemple Deutsche Telekom, Siemens et Bosch qui ont rejoint le projet.
Ce réseau de partage de données devrait rassembler, à travers l’Europe, des entreprises, des administrations publiques, des acteurs de la santé, des institutions scientifiques et des citoyens. Les premiers services hébergés par le cloud devraient voir le jour début 2021. Une réflexion sur le rôle que ce cloud pourrait jouer en matière d’identité numérique devrait être engagée.
— 1 —
II. l’identité numérique en France : tirer les leçons du passé, s’inspirer des succès présents
D’abord en avance sur ses voisins, la France a désormais un retard conséquent que les dernières solutions mises en service ou en cours de développement visent à rattraper. Le cadre juridique européen facilite aujourd’hui le développement d’une identité numérique régalienne sécurisée, tandis que les expériences des États européens précurseurs peuvent servir de guide à l’action des pouvoirs publics en la matière.
A. Des expériences nationales passées au succès variable, pour des raisons techniques et politiques
a. Le projet SAFARI et la création de la CNIL
Plusieurs projets français plus ou moins liés à l’identité numérique ont été menés au cours des quarante dernières années.
En 1974, le projet de système automatisé pour les fichiers administratifs et le répertoire des individus (SAFARI) prévoit d’identifier chaque Français par un numéro unique – le numéro INSEE de sécurité sociale – et d’interconnecter sur la base de cet identifiant tous les fichiers administratifs afin de favoriser les échanges avec les administrations. Cette initiative fait néanmoins l’objet de nombreuses interrogations et remises en cause, illustrées par la Une du journal Le Monde du 21 mars 1974, intitulée « ̏ Safari ̋ ou la chasse aux Français ».
L’opposition à ce projet, considéré comme liberticide, contraint le Premier ministre de l’époque, M. Pierre Messmer, à le retirer et à créer une commission spécialisée, la Commission nationale de l’informatique et des libertés (CNIL) dont l’existence est consacrée par la loi « informatique et libertés » du 6 janvier 1978 ([59]).
Cette loi, dont l’article 1er dispose que « l’informatique doit être au service de chaque citoyen », pose les bases juridiques du traitement des données à caractère personnel tels que les droits d’information, d’opposition, d’accès et de rectification. Elle interdit notamment tout numéro d’identification unique en France, à la différence d’autres pays européens. La Commission qu’elle met en place est « chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l’informatique aux traitements des informations nominatives ». Elle dispose « à cet effet d’un pouvoir réglementaire, dans les cas prévus par la présente loi » ([60]).
Cette loi a eu un effet durable sur la conception des politiques liées à l’identité numérique. Pour Mme Valérie Peneau, « la situation française actuelle en matière d’administration électronique est très largement l’héritage de ce projet et de son abandon : pas d’identifiant unique, mais de multiples identifiants sectoriels (fiscal, santé...), pas de registre unique de population, pas d’interconnexion de fichiers » ([61]).
Au début des années 2000, une réflexion s’engage au sujet des difficultés rencontrées par l’administration pour certifier l’identité d’une personne, cette certification ayant lieu par l’intermédiaire d’un acte de naissance aisément falsifiable, pouvant donc permettre à un individu d’obtenir des documents d’identité à partir d’une fraude à l’état civil. En 2003, le Gouvernement développe le programme public Identité Nationale Electronique Sécurisée (INES) qui prévoit notamment, outre la mise en place du passeport biométrique, la mise en circulation de cartes d’identité électroniques offrant un accès à des services en ligne, et contenant les données biométriques du porteur ainsi que des certificats d’authentification et de signature.
Ce deuxième volet fait l’objet de vives réticences à la fois liées à la crainte encore vive d’un fichage généralisé, au caractère obligatoire et payant de ce nouveau titre, ainsi qu’au refus d’usages commerciaux envisagés, notamment de paiement ([62]). Les pouvoirs publics renoncent au projet en juin 2005.
Malgré ces échecs, les premières cartes nationales d’identité électroniques sont distribuées dès la fin des années 1990, mais elles concernent uniquement certains professionnels dans le cadre de leur emploi. C’est notamment le cas des cartes de professionnels de santé (CPS), qui contiennent les données d’identificateur du porteur et permettent à leur titulaire de s’authentifier, bénéficier de certificats d’authentification, signer électroniquement et fluidifier ses relations avec l’Assurance maladie.
c. Une nouvelle tentative de généralisation des cartes nationales d’identité électroniques en 2010
Les travaux relatifs à la mise en place d’une identité numérique régalienne sont relancés en 2010, à l’occasion de l’examen de la proposition de loi relative à la protection de l’identité ([63]), qui prévoit l’introduction dans la carte nationale d’identité de deux puces électroniques. La première, la « puce régalienne » obligatoire, permet d’y stocker des données d’identité et biométriques ([64]). Facultative, la seconde puce ouvre l’accès à certains services en ligne, en permettant aux utilisateurs de certains services publics ou privés de s’authentifier et d’apposer leur signature électronique.
La loi issue de cette proposition est adoptée par le Parlement, mais elle est ensuite censurée partiellement par le Conseil constitutionnel en 2012, notamment les dispositions concernant la seconde puce facultative, le Conseil estimant que le législateur n’a pas défini avec suffisamment de précision le régime juridique de cette puce ainsi que la nature et le traitement des données collectées ([65]).
Au début des années 2010, le projet pilote Idénum, pensé sur le modèle du groupement d’intérêt économique ([66]), doit permettre la mise en place d’un titre électronique support d’une identité numérique sécurisée, pouvant être utilisé à distance. En 2013, la société Idénum est créée, rassemblant le Crédit Mutuel, le CIC, Pages Jaunes, SFR et le Groupe La Poste, ainsi que l’État par l’entremise de la Caisse des dépôts et consignations. Il est alors prévu d’habiliter cette société à mettre en place des standards s’appliquant à tous les fournisseurs d’identité, rémunérés par les fournisseurs de services.
Toutefois, en 2014, ce projet d’une identité unique, corrélée à un titre électronique, est abandonné par le Gouvernement, qui préfère laisser à l’utilisateur le choix entre plusieurs fournisseurs d’identité en fonction des services auxquels il souhaite accéder. C’est cette nouvelle approche qui conduit, en 2015, à la création du fédérateur d’identité FranceConnect, qui permet à l’usager d’utiliser l’identité numérique d’un fournisseur d’identité partenaire ([67]) pour s’authentifier directement auprès des fournisseurs de services.
2. Les conditions semblent néanmoins réunies pour mener à bien ce projet aujourd’hui
Les échecs des projets passés ont fait perdre un temps important à la France dans la mise en œuvre d’une identité numérique sécurisée, mais ils permettent néanmoins aux travaux actuels d’éviter certains écueils.
Ainsi, le projet d’identité numérique régalienne sur lequel travaille le programme France identité numérique ne cherche pas à créer un identifiant unique, mais au contraire à poursuivre le développement d’un écosystème comprenant de nombreux fournisseurs d’identité différents, en fonction des usages souhaités par l’utilisateur. Il ne s’accompagne pas de la création d’un fichier central, mais permet à l’inverse à chaque individu de maîtriser le processus de création de son identité numérique, et de lui proposer une solution gratuite et facultative.
Le cadre juridique national et européen a évolué depuis une dizaine d’années, devenant plus protecteur et rassurant. À la suite de l’adoption du règlement général sur la protection des données du 27 avril 2016 et de la directive Police-Justice ([68]), le législateur français a adopté la loi du 20 juin 2018 relative à la protection des données personnelles ([69]) modifiant la loi Informatique et libertés afin de mettre en conformité le droit français avec le cadre européen.
En outre, la société française semble aujourd’hui plus mature et prête à adopter ces nouvelles solutions. Selon un sondage IPSOS d’avril 2018, cité par Mme Valérie Peneau dans sa contribution écrite, 74 % des français interrogés sont favorables au principe d’une carte d’identité numérique, 70 % estimant qu’elle serait source de simplification. L’étude de mai 2019 de la direction interministérielle de la transformation publique concernant les usages de l’identité numérique ([70]) montre de résultats similaires : deux usagers sur trois estiment la gestion de l’identité numérique par l’État pertinente car elle constitue une garantie contre le risque de commercialisation des données et assure aux citoyens la gratuité des dispositifs mis en place ainsi que la protection de leurs données personnelles.
Cette préoccupation a également été largement partagée par les contributeurs de la consultation en ligne de l’Assemblée nationale sur l’identité numérique, pour lesquels l’État doit s’engager à ce que les données personnelles liées à l’identité numérique ne soient ni exploitées à d’autres fins que l’authentification, ni revendues.
La mise en place d’un écosystème déjà fonctionnel, depuis le développement de FranceConnect en 2016, permet également d’encourager ces usages.
B. Un point d’appui solide : le dispositif FranceConnect, qui a facilité l’accès des citoyens à un certain nombre de services publics et privés
1. Un projet de fédérateur d’identité qui a permis d’offrir un accès simplifié aux services publics
FranceConnect est un système d’identification et d’authentification développé par l’État et permettant aux citoyens d’utiliser un compte, un identifiant et un mot de passe uniques pour accéder de façon sécurisée à un ensemble de services publics et privés.
Le développement de FranceConnect a débuté au sein de la direction interministérielle à la transformation publique (DITP) en 2014. Ce dispositif a d’abord fait l’objet d’une phase d’expérimentation en 2015, avant d’être déployé auprès de toutes les autorités administratives à partir de juin 2016. Il a enfin été ouvert au secteur privé à partir de 2018 dans certaines conditions (voir infra).
L’utilisation de ce service public d’authentification numérique aux services en ligne est gratuite pour les fournisseurs de services, les fournisseurs d’identité et les utilisateurs. Son budget de fonctionnement, qui correspond à 4 millions d’euros par an depuis 2019, est pris en charge par la DINUM.
Le recours à ce service a connu un véritable engouement. Le nombre d’utilisateurs uniques de FranceConnect est ainsi passé de 1 million en 2017 à près de 15 millions à la fin du mois de mars 2020, avec un rythme de croissance actuel important (+ 485 000 utilisateurs par mois en moyenne en 2019). Cette forte croissance est alimentée par l’augmentation du nombre de services en ligne disponibles via cet outil, qui est de 700 environ aujourd’hui.
Principaux fournisseurs de services via FranceConnect
– Agence nationale des titres sécurisées. – Assurance Retraite. – MSA – Info Retraite. – Impôts.gouv.fr – Ameli. – Démarches liées au permis de conduire |
– Retraites et Solidarités (Caisse des dépôts) – Le compter personnel d’activité – Mesdroitssociaux.gouv.fr – ministère de l’éducation nationale. – Agirc-Arrco. – Service-public.fr |
2. Un fonctionnement simple d’interfaçage entre fournisseur d’identité et fournisseur de services.
FranceConnect est un fédérateur d’identité, c’est-à-dire un dispositif qui s’appuie sur les informations communiquées par le fournisseur d’identité de l’utilisateur, pour garantir un accès sécurisé à tous les services des fournisseurs connectés à l’interface.
Le fonctionnement de ce dispositif peut être décomposé en cinq étapes :
– le fournisseur de services demande à FranceConnect de lui renvoyer l’identité pivot de l’usager ;
– l’usager sélectionne le fournisseur d’identité de son choix et s’identifie en utilisant les identifiants de son compte chez le fournisseur d’identité ;
– le fournisseur d’identité renvoie l’identité pivot de l’usager à FranceConnect ;
– FranceConnect demande validation de l’identité auprès de l’INSEE ([71]), et génère un identifiant unique de l’usager, spécifique au fournisseur de services ;
– FranceConnect retourne l’identité pivot et l’identifiant unique au fournisseur de services. L’usager est connecté au service et informé par mail.
Source : DINUM
3. Un dispositif protecteur pour les données personnelles
a. FranceConnect : une paroi étanche entre fournisseurs d’identité et fournisseurs de services
Le positionnement de FranceConnect par rapport aux fournisseurs d’identité et de services constitue une première garantie de protection des données personnelles. FranceConnect assure en effet une couche d’étanchéité en se positionnant entre le fournisseur d’identité et le fournisseur de services. Ceux-ci ne peuvent donc en aucune façon dialoguer entre eux. Cela signifie que le fournisseur d’identité ne sait pas pour quel service il est sollicité et inversement, le fournisseur de services ne connaît pas le fournisseur d’identité utilisé. Il s’agit d’une garantie importante pour s’assurer de la protection de la vie privée des utilisateurs.
b. Des engagements stricts pris par les fournisseurs de services et d’identité
Les fournisseurs de services doivent également s’engager à ne pas commercialiser les données recueillies pour intégrer FranceConnect. Cet engagement figure explicitement dans les conditions générales d’utilisation ([72]) de ce dispositif. Selon les éléments fournis à la mission par la DINUM, aucun cas de commercialisation de données d’identité fournies par FranceConnect n’a été signalé à ce jour.
Les fournisseurs d’identité doivent pour leur part remplir les conditions générales d’utilisation de la plateforme FranceConnect ([73]) et respecter les critères suivants :
– être responsables des traitements qu’ils opèrent et respecter le RGPD ;
– ne pas commercialiser les données et ne pas les communiquer à des tiers ;
– pouvoir retracer l’ensemble des transactions en rapport avec le service et l’utilisateur ;
– être en capacité de collecter les données d’identité de leurs utilisateurs, de les vérifier et de les stocker.
c. Un fonctionnement protecteur des données personnelles
Le fonctionnement même de FranceConnect apporte des garanties complémentaires dans ce domaine. En effet, FranceConnect ne stocke aucune donnée signifiante : il assure simplement l’échange des données entre fournisseurs d’identité et de services uniquement pendant la durée de session technique. En conséquence, dès la fin de session, soit par une déconnexion volontaire de l’utilisateur, soit après un délai de 30 minutes sans activité de l’utilisateur, toutes les données d’identité sont supprimées.
FranceConnect s’est construit en outre sur un besoin primordial d’identifier formellement un utilisateur avec la contrainte forte de ne pas gérer un identifiant unique pour tous ses usages. Pour un fournisseur de services donné, FranceConnect définit donc par algorithme un identifiant unique non signifiant avec les six données pivots et le transmet au fournisseur de services. L’utilisateur sera identifié de manière distincte pour chaque service en ligne auquel il accède. Cette précaution évite qu’un fraudeur puisse reconstituer l’ensemble des parcours de l’utilisateur.
En outre, depuis décembre 2019, un contrôle de cohérence entre les données demandées par le fournisseur de services et celles réellement consommées par la requête du service en ligne est systématiquement réalisé. L’accès à FranceConnect est bloqué en cas d’incohérence constatée.
Enfin, l’utilisateur est informé, lors de l’utilisation du service FranceConnect, de la nature des données utilisées dans le cadre du processus d’identification et d’authentification. Son consentement devrait d’ailleurs être explicitement sollicité via une nouvelle fonctionnalité, à la demande de la CNIL et du fonctionnaire de sécurité des systèmes d’information des services du Premier ministre (FSSI), pour le transfert des données nécessaires à l’utilisation des services en ligne pour les fournisseurs de services privés ([74]).
d. Une conservation des traces techniques à des fins d’audit ou en cas de saisine judiciaire
Néanmoins, il convient de noter qu’un certain nombre d’informations, dites « traces techniques » sont conservées pendant sept ans par FranceConnect à des fins d’audit ou pour répondre à un besoin de saisine judiciaire ([75]). Celles-ci comprennent des identifiants techniques non signifiants, ainsi que les actions réalisées avec les date et heure. Un accès frauduleux à ces traces ne permet pas de reconstituer les données de l’identité des utilisateurs.
C. Alicem : une expérimentation utile mais CONTESTéE, qui a permis de pOURSUIVRE LES TRAVAUX SUR l’identité numérique.
Le développement d’Alicem s’est accompagné de vives inquiétudes portant essentiellement sur le recours à la technologie de la reconnaissance faciale. Même si la généralisation de cette application encore en phase d’expérimentation, prévue initialement avant la fin de l’année 2020, ne semblerait pas confirmée, Alicem aura permis de développer des technologies innovantes – également appelées « briques technologiques » – qui pourront à l’avenir être réutilisées dans les futures solutions d’identité numérique régalienne, pourvu que les pouvoirs publics tirent pleinement les leçons de cette expérimentation.
1. Identité numérique et reconnaissance faciale : les craintes soulevées par Alicem
La technologie de la reconnaissance faciale utilisée par Alicem est contestée sur plusieurs points.
a. Une technologie qui manque encore de maturité
La reconnaissance faciale serait encore insuffisamment mûre. Selon le député Didier Baichère, auteur d’une note de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur la reconnaissance faciale ([76]), « malgré les progrès réalisés au cours des dernières années, les dispositifs de reconnaissance faciale ne sont pas encore parfaitement efficaces. Les conditions d’utilisation ont un véritable impact sur le taux de succès de ces dispositifs. Dans des conditions contrôlées (éclairage, angle de prise de vue, immobilité), comme cela est le cas par exemple pour le dispositif Parafe, le taux de fiabilité peut atteindre des valeurs supérieures à 99,5 %. La situation est toute autre dans des environnements non contrôlés ».
Lors de son audition par la mission d’information, Mme Sophie Kwasny, directrice de l’unité de protection des données du Conseil de l’Europe ([77]), a insisté sur le caractère probabiliste par nature de cette technologie. Des associations comme la Quadrature du Net et GenerationLibre ont elles aussi fait part des mêmes craintes durant leur audition ([78]), soulignant que le développement des deepfakes ([79]) pourrait à l’avenir accroître les possibilités de tromper cette technologie.
Authentification et identification faciales
La technologie de la reconnaissance faciale repose sur la vision par ordinateur, qui est un domaine de l’intelligence artificielle consistant à analyser des images de façon automatique. Elle repose sur des techniques dites d’apprentissage profond (deep learning).
À partir de la photographie d’un individu, un algorithme en extrait un gabarit, c’est-à-dire une signature propre à chaque visage, et donc à chaque individu, comparée ensuite à partir d’une base de données comprenant plusieurs gabarits.
Lors d’une authentification faciale, on cherche à vérifier si le gabarit en question correspond bien à celui de la personne que l’individu prétend être. Ce gabarit sera donc comparé à celui de cette personne. Il s’agit d’une comparaison dite « 1/1 ».
Lors d’une identification faciale, c’est-à-dire d’une comparaison « 1/n », le gabarit est comparé à l’ensemble de ceux enregistrés dans la base de données afin de déterminer l’identité à laquelle il correspond.
Dans les deux cas, les résultats sont ensuite exprimés en un pourcentage de correspondance, les résultats n’étant jamais complètement sûrs.
Alicem n’a pas recours à l’identification faciale, mais uniquement à l’authentification faciale : l’utilisateur doit uniquement démontrer qu’il est bien celui qu’il prétend être.
b. L’existence de potentiels biais discriminatoires
La reconnaissance faciale peut également être confrontée à l’existence de biais discriminatoires, qui entraînent des résultats paradoxaux. Selon le think tank Renaissance numérique, auditionné par la mission d’information ([80]), « certaines technologies peuvent induire des biais pouvant provoquer des discriminations racistes, sexistes ou âgistes » ([81]). Les bases de données utilisées peuvent en effet sous-représenter certains groupes, par exemple lorsqu’elles contiennent plus d’hommes que de femmes ou plus d’individus à la peau claire. L’étude du projet Gender shades de la chercheuse Joy Buolamwini du Massachusetts Institute of Technology, cité par Renaissance numérique, démontre que, pour les trois systèmes de reconnaissance faciale d’IBM, Face++ et Microsoft, le taux d’erreur est de moins de 1 % pour les hommes à peau claire, mais de plus de 20 % pour les femmes à peau sombre ([82]).
Source : Renaissance numérique, à partir des données consolidées du projet Gender shades
c. Deux inquiétudes limitées pour ce qui concerne Alicem
Les auditions de MM. Cédric O et Jérôme Letier, directeur de l’Agence nationale des titres sécurisés ([83]), ainsi que celle de Mme Valérie Peneau, ont permis à la mission de constater que l’emploi de la reconnaissance faciale est restreint à une étape du processus d’enrôlement. Comme l’a souligné M. Jérôme Letier, seule la photographie du titre d’identité est comparée aux vidéos « challenge » tournées par l’utilisateur, avant qu’elles ne soient immédiatement supprimées.
Par ailleurs, Alicem n’a pas recours à l’identification faciale, or cette opération est plus « à risque » que l’authentification faciale. Comme l’observe la CNIL, « d’un point de vue strictement mathématique, les dispositifs reposant sur l’authentification des personnes sont nécessairement plus fiables que ceux visant à identifier les personnes : une comparaison 1/1 est toujours plus aisée et fiable qu’une comparaison 1/n » ([84]).
La mission d’information considère que la technologie de la reconnaissance faciale, utilisée dans un cadre d’authentification biométrique, ne pose pas de difficulté particulière. Elle rappelle en outre que le RGPD pose un principe d’interdiction du traitement des données biométriques, sauf exceptions strictes ([85]). Ces exceptions doivent être strictement contrôlées par la CNIL dans le cadre d’expérimentations.
2. Les inquiétudes liées au traitement des données personnelles collectées ne semblent pas fondées à ce stade
Au fil de ses auditions, la mission d’information a constaté, auprès de plusieurs personnes et structures auditionnées, une inquiétude vis-à-vis de la protection des données personnelles collectées.
Pourtant, un nombre très restreint de données sont envoyées sur le serveur sécurisé du ministère de l’intérieur lors du processus d’enrôlement. Ces données concernent, dans l’ordre d’envoi :
– un numéro de téléphone communiqué par l’utilisateur afin de servir d’identifiant lors la connexion à un service via FranceConnect ;
– une adresse électronique également transmise par l’utilisateur, afin d’y recevoir une confirmation après chaque demande d’accès auprès de FranceConnect, ainsi qu’un lien pour la suppression de son compte si l’utilisateur en fait la demande via le portail internet ;
– le numéro du titre – passeport ou titre de séjour – afin de vérifier dans la base DOCVERIF ([86]) l’authenticité et la validité du titre ;
– la photographie de l’utilisateur, extraite de la puce du titre lors de la lecture NFC ;
– la vidéo des « challenges » réalisée par l’utilisateur.
Ces deux derniers éléments sont comparés entre eux pour vérifier que l’utilisateur est bien le détenteur du titre, puis effacés quel que soit le résultat de la vérification.
Les autres données extraites de la puce du titre lors de la lecture NFC ([87]) restent stockées uniquement sur le smartphone de l’utilisateur, sous son contrôle exclusif et protégées par chiffrement. Elles ne sont pas transmises au serveur central sécurisé du ministère de l’intérieur, conformément aux bonnes pratiques de minimisation des données stockées sur des serveurs centraux.
D’autres inquiétudes portent sur la collecte de données par les entreprises privées pouvant être associées au service d’authentification en ligne. C’est notamment le cas de l’association None of your business, dont les représentants craignent que ces entreprises puissent exploiter les données personnelles récoltées dans le cadre de l’utilisation d’Alicem, occasionnant une confusion sur les finalités de traitement de ces données.
La mission d’information relève que le décret du 13 mai 2019 autorisant la création d’Alicem encadre strictement les modalités d’association des entreprises privées à ce dispositif. Ainsi, les données à caractère personnel et les informations susceptibles d’être enregistrées dans le cadre de son utilisation sont strictement limitées ([88]). Seul un nombre restreint de données peut être transmis à des entreprises privées, sous réserve qu’elles soient fournisseurs de téléservices liés par convention à FranceConnect ou à l’ANTS ([89]). En outre, les entreprises ne peuvent pas commercialiser les données collectées.
3. Le risque d’exclusion d’une partie de la population
À l’occasion d’une table ronde organisée par la mission d’information ([90]), l’association Emmaüs Connect, la Croix-Rouge française et la Fondation Petits frères des pauvres ont souligné que les solutions d’identité numérique, si elles sont pratiques et faciles d’accès, peuvent contribuer à faciliter l’accès aux droits des citoyens, et donc être un véritable facteur d’inclusion sociale.
Toutefois, dans le cadre d’échanges spécifiques concernant l’application Alicem, elles ont également soulevé les risques d’exclusion d’une partie significative de la population, encore coupée du numérique.
Selon la Mission Société Numérique, dont le directeur, M. Pierre-Louis Rolle, a été auditionné par la mission d’information ([91]), 13 millions de personnes demeurent éloignées du numérique, c’est-à-dire n’utilisent jamais internet – 6,7 millions de personnes sont dans ce cas – ou l’utilisent peu, ou rencontrent des difficultés dans leur navigation. Cette statistique mériterait néanmoins d’être affinée : un adolescent qui consulte une vidéo sur une plateforme de streaming, mais qui ne sait pas rédiger ou envoyer un e-mail, serait par exemple considéré comme une personne éloignée du numérique, ce qui conduit la mission d’information à s’interroger sur la pertinence des critères utilisés.
a. La détention d’un smartphone
L’un des obstacles que pourraient rencontrer les publics les plus précaires dans l’utilisation quotidienne d’Alicem concerne le recours à un smartphone. La moitié du public pris en charge par Emmaüs Connect gagne moins de 500 euros par mois, selon Mme Charlotte Bougenaux et M. Tom-Louis Teboul, qui représentaient l’association durant son audition par la mission d’information.
Le coût d’acquisition d’un smartphone, mais aussi celui d’un forfait téléphonique et de l’électricité nécessaire à son fonctionnement peuvent constituer un frein à l’utilisation du dispositif en l’état.
La mission d’information observe néanmoins que le nombre de Français détenteurs d’un téléphone portable continue de croître. Près de 42 millions d’entre eux disposaient d’un terminal mobile en 2018 – contre 38,5 millions en 2017 – et 88 % d’entre eux utilisent internet tous les jours sur leur téléphone ([92]).
b. La détention d’un passeport biométrique
Une autre difficulté spécifique a trait à la nécessité de détenir un passeport biométrique afin d’utiliser Alicem. À la différence de la carte nationale d’identité, ce titre d’identité est payant et son coût est assez élevé ([93]), ce qui explique le fait qu’une partie de la population n’en soit pas dotée.
À cet égard, vos rapporteurs relèvent que la future carte nationale d’identité numérique, qui devrait être déployée à partir de l’été 2021, permettra aux utilisateurs d’Alicem de s’enrôler par le biais de ce titre, dont l’obtention sera gratuite.
Des interrogations portant sur l’accompagnement des personnes les plus éloignées du numérique se sont également posées, les associations redoutant que ces publics ne bénéficient pas de telles solutions et soient, in fine, victimes de la dématérialisation des services publics.
Comme l’a résumé Mme Elsa Hajman, responsable du pôle « inclusion et accès aux droits fondamentaux » de la Croix-Rouge française, ces publics sont donc confrontés à la fois à un frein à l’accès à ces technologies et à un frein à leur utilisation.
Même si ces préoccupations sont légitimes, la mission d’information tient à rappeler que l’application Alicem a été conçue pour être un fournisseur d’identité parmi d’autres à la disposition des utilisateurs de FranceConnect, et ne représente qu’une modalité d’accès au service public. Le recours à cette solution n’est donc nullement obligatoire.
4. Une suspicion de faillibilité technique
La mission d’information a constaté l’existence de débats relatifs à la sécurisation de l’application. Alors qu’Alicem était encore en phase de préproduction, l’informaticien Baptiste Robert a affirmé, lors de son audition par la mission d’information ([94]), être parvenu à y accéder à partir des traces publiques laissées par l’expérimentation de l’application, par le biais d’un lien hypertexte accessible par erreur sur un site public. Le site test contenait également une vidéo tutoriel, anonymisée de façon incomplète, ainsi qu’un ensemble d’informations sur Alicem. Il se serait également introduit dans l’application et y aurait découvert l’existence de failles techniques, parmi lesquelles le fait qu’Android, seul système permettant l’exploitation d’Alicem à ce jour, permette de rooter un téléphone ([95]).
Ces éléments ont toutefois été contredits par M. Jérôme Letier, qui a assuré à la mission d’information que rien, ni dans les traces systèmes ou applicatifs, ni dans les publications de M. Baptiste Robert sur son site, n’indique que ce dernier aurait réussi à tromper l’application.
Pour mettre un terme à ces interrogations, le ministère de l’Intérieur et l’ANTS prévoient de recourir à des hackers éthiques, c’est-à-dire à des informaticiens rémunérés pour rechercher les failles de sécurités éventuelles de l’application, afin de vérifier la sécurité de son dispositif. Dans l’hypothèse d’une généralisation, Alicem devrait également faire l’objet d’une certification par l’ANSSI afin d’évaluer la conformité de la solution aux exigences réglementaires applicables. Ces garanties de sécurité doivent être mises en œuvre pour toutes les solutions d’identité numérique qui seront développées.
5. Le recours à la biométrie pourrait poser une difficulté à l’avenir si la solution ambitionne d’atteindre un niveau de sécurité élevé
Deux avis récents du réseau de coopération eIDAS ont examiné le recours aux technologies biométriques lors de la phase d’authentification des systèmes letton (eParaksts) et belge (Itsme) ([96]).
Dans les deux cas, ces avis excluent explicitement les applications d’identité numérique ayant recours à la biométrie pour une authentification de niveau élevé. Dans sa contribution écrite, la Commission européenne relève ainsi que ces deux pays se sont engagés, « afin de répondre aux exigences du niveau d’assurance eIDAS élevé, à désactiver l’utilisation de l’authentification biométrique ».
Alors qu’Alicem ou la solution qui la remplacera ambitionne précisément d’offrir un niveau de sécurité substantiel et élevé à l’avenir, cette difficulté supplémentaire devrait être prise en compte par le Gouvernement.
6. Des difficultés relatives au consentement et à l’utilisation de données biométriques selon la CNIL
Dans son avis du 18 octobre 2018 sur le projet de décret autorisant la création d’Alicem ([97]), la CNIL a soulevé deux difficultés liées au traitement des données biométriques et au consentement des utilisateurs d’Alicem, que les pouvoirs publics doivent prendre en compte.
a. Le consentement au traitement des données personnelles ne serait pas libre
La CNIL observe que le ministère de l’intérieur ne propose aujourd’hui aucune alternative à l’utilisation de la reconnaissance faciale lors de l’enrôlement.
Après avoir rappelé que l’article 9.1 du RGPD pose un principe d’interdiction du traitement de certaines données sensibles, dont les données biométriques, elle précise que cette interdiction peut être écartée au titre de l’article 9.2, notamment lorsque :
– la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques ;
– le traitement est nécessaire pour des motifs d’intérêt public importants.
La CNIL relève que le consentement au traitement de ses données personnelles, pour être valable, doit être « libre, spécifique, éclairé et univoque, conformément à l’article 4-11 du RGPD », ce qui implique que l’utilisateur dispose « d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou encore de la possibilité de les refuser sans subir de préjudice ».
Se référant aux lignes directrices sur le consentement du Comité européen de la protection des données ([98]), la Commission rappelle que « ce consentement n’est libre que si le traitement de ces données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée ».
En l’espèce, la CNIL estime que « le refus du traitement des données biométriques [lors de l’étape de l’enrôlement à Alicem] fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du compte. Or, la nécessité de recourir à un dispositif biométrique pour vérifier l’identité d’une personne dans le but d’atteindre le niveau de garantie élevé de l’identité numérique, au sens du règlement e-IDAS, n’a pas été établie, compte tenu notamment de la possibilité de recourir à des dispositifs alternatifs de vérification ».
b. Un enjeu particulier en matière de traitement de données biométriques
En plus de l’examen des conditions liées à la validité du consentement, la CNIL rappelle également que le traitement de données biométriques doit en tout état de cause reposer sur « des motifs d’intérêt public important [..] », que le ministère de l’intérieur n’aurait ni invoqués, ni démontrés. La commission estime en effet que « la caractérisation d’un tel motif, tout comme l’appréciation de la nécessité mentionnée au (g) de l’article 9.2. supposeraient en tout état de cause de la part du ministère des éléments de démonstration complémentaires ».
7. Alors qu’Alicem fait actuellement l’objet d’un recours auprès du Conseil d’État, plusieurs améliorations sont à l’étude pour faire de la solution d’identité numérique de demain une réussite
Alors que l’association la Quadrature du Net a déposé, à l’été 2019, un recours auprès du Conseil d’État contre le décret autorisant la création d’Alicem ([99]), la généralisation d’Alicem pourrait ne pas avoir lieu. Les « briques technologiques » qui auront fait l’objet d’une certification par l’ANSSI, pourraient alors être réutilisées dans un nouveau dispositif, notamment dans le cadre de la mise en service de la carte nationale d’identité électronique à l’été 2021.
La mise en place de nouvelles modalités d’enrôlement pour une solution plus inclusive à terme doit également demeurer au cœur des réflexions des pouvoirs publics.
a. De nouvelles modalités d’enrôlement sont possibles
Dans son avis sur le projet de décret autorisant la création d’Alicem, la CNIL cite plusieurs alternatives à l’enrôlement par reconnaissance faciale, estimant qu’elles « pourraient notamment prendre la forme d’un face à face (tel qu’un déplacement en préfecture, en mairie, ou auprès d’un autre service public accueillant directement le public), d’une vérification manuelle de la vidéo et de la photographie sur le titre (telle qu’un envoi de la vidéo au serveur de l’ANTS et vérification de l’identité opérée par un agent) ou d’un appel vidéo en direct avec un agent de l’ANTS ».
Qu’il s’agisse d’Alicem ou d’une autre solution déployée ultérieurement, le futur dispositif comporterait, selon Mme Valérie Peneau, plusieurs modalités d’enrôlement. La reconnaissance faciale demeurerait possible puisqu’elle constitue un gage de simplicité et de rapidité strictement encadré par les droits européen et français. Toutefois, une modalité alternative d’enrôlement devrait être proposée aux usagers lors de la récupération de leur future carte nationale d’identité électronique en mairie, voire a posteriori, auprès des maisons France‑Services dont le réseau est en cours de déploiement.
b. Une solution plus inclusive à terme
La future solution d’identité numérique devrait également être plus inclusive que ne l’est Alicem à ce stade. Selon Mme Valérie Peneau, elle serait :
– « multititre » : elle fonctionnerait tant avec un passeport biométrique qu’avec un titre de séjour, comme c’est déjà le cas d’Alicem, mais serait également compatible avec la future carte nationale d’identité électronique ;
– « multisupport » : il serait possible d’utiliser cette solution à la fois sur smartphone puis, à terme, sur ordinateur ;
– « multisystème d’exploitation » : alors qu’Alicem n’est aujourd’hui compatible qu’avec le système d’exploitation Android, des négociations sont en cours avec Apple pour que la future solution d’identité numérique puisse également être compatible avec le système iOS.
c. Un bilan public d’Alicem est souhaitable
Face aux inquiétudes, il est nécessaire de réaliser un bilan public d’Alicem, pour en tirer toutes les leçons. Les citoyens et les parlementaires doivent disposer du maximum d’information pour garantir la confiance dans le développement de la solution d’identité numérique portée par le Gouvernement.
Recommandation n° 2 : Réaliser un bilan public d’Alicem afin de garantir la confiance dans les solutions d’identité numérique développées par le Gouvernement.
D. Un cadre européen qui a favorisé le déploiement d’identités numériques interopérables au sein des États membres, suivant des modèles différents
a. Le règlement eIDAS a permis de donner « un coup d’accélérateur » au déploiement dans l’Union européenne de systèmes interopérables d’identité numérique
i. Un effort d’harmonisation important dans un contexte de développement du marché de l’identité numérique
Comme le relève la direction générale des réseaux de communication, du contenu et des technologies (DG Connect) dans sa contribution écrite adressée à la mission, l’identité numérique devient, dans une économie hyper connectée, de plus en plus « un catalyseur essentiel des transactions numériques » car « la nécessité de pouvoir établir des identités individuelles de manière unique, précise, rapide et sécurisée s’étend désormais aux personnes, aux entités juridiques, aux machines et aux appareils connectés. Dans le même temps, la fourniture d’une identité numérique subit des changements fondamentaux, puisque des entités telles que les banques, les fournisseurs de services de communications électroniques ou les principales plateformes en ligne agissent de plus en plus comme fournisseurs d’identité ».
Face à ce constat, l’Europe a innové en 2014 en adoptant le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, qui abroge la directive 1999/93/CE. Ce règlement, entré en vigueur le 17 septembre 2014, est applicable depuis le 1er juillet 2016 pour la majeure partie de ses dispositions. La reconnaissance mutuelle par les États membres des moyens d’identification électronique est obligatoire depuis le 29 septembre 2018.
Le règlement eIDAS a trois objectifs principaux :
– assurer l’interopérabilité de l’identité numérique sur le marché unique ;
– renforcer le niveau de sécurité des transactions numériques ;
– garantir la fourniture d’une identité numérique à l’ensemble des citoyens européens.
ii. Des définitions et un cadre d’interopérabilité communs aux pays de l’UE
Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques.
En l’absence d’une définition unique de l’identité numérique en Europe, il vise à proposer un cadre commun, notamment via des définitions communes relatives à l’identification et l’authentification électroniques. Il établit également un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres (on parle de « nœud eIDAS »), afin de promouvoir le développement d’un marché de la confiance numérique.
Enfin, ce règlement a également pour objectif d’instaurer un cadre juridique pour l’utilisation des services de confiance. Il prévoit des exigences pour les services de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet.
i. Les trois niveaux d’assurance eIDAS
L’article 8 du règlement eIDAS introduit ainsi plusieurs niveaux d’assurance (faible, substantiel, élevé), qui sont précisés dans l’acte d’exécution correspondant, à savoir le règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 définissant les spécifications et procédures techniques minimales pour les trois niveaux d’assurance considérés à l’art. 8 du règlement eIDAS (« faible », « substantiel », « élevé »). Ces niveaux d’assurance déterminent les spécifications techniques, normes et procédures minimales pour garantir l’interopérabilité, la fiabilité et la qualité des éléments composant un système d’identité numérique.
Ces trois niveaux d’assurance sont les suivants :
– le niveau « faible » nécessite que le schéma d’identification électronique utilise au moins un facteur d’authentification, par exemple le nom d’utilisateur et le mot de passe ;
– le niveau « substantiel » exige que le système d’identification électronique utilise au moins deux facteurs d’authentification. Pour rappel, il existe au total trois facteurs différents pour l’authentification, à savoir « quelque chose que vous êtes », « quelque chose que vous avez » et « quelque chose que vous savez ». L’authentification à deux facteurs nécessite donc deux facteurs d’authentification distincts tels que « quelque chose que vous avez » (par exemple, un appareil mobile) et « quelque chose que vous savez » (par exemple, un code PIN). Un exemple de mécanisme d’authentification fournissant un niveau d’assurance substantiel est un mot de passe à usage unique ;
– le niveau « élevé », enfin, nécessite des moyens pour protéger le schéma d’identification électronique contre la duplication et la falsification, soit une authentification multi-facteurs, le stockage des données ou des clés privées sur des jetons matériels inviolables et une protection cryptographique des informations d’identification personnelle. Un exemple de mécanisme de niveau d’assurance élevé est un schéma d’authentification basé sur PKI (infrastructure à clé publique) avec une carte à puce et un code PIN.
Lorsque les moyens d’identification électronique délivrés dans le cadre d’un schéma d’identification électronique notifié répondent à une exigence énoncée pour un niveau de garantie plus élevé, ils sont réputés respecter l’exigence équivalente d’un niveau de garantie inférieur.
Les différents niveaux de garantie du règlement eidas
Garantie |
Fiabilité |
Objectif |
Faible |
Accorde un degré limité de fiabilité de l’identité revendiquée ou prétendue d’une personne |
Réduire le risque d’utilisation abusive ou d’altération de l’identité |
Substantielle |
Accorde un degré substantiel de fiabilité de l’identité revendiquée ou prétendue d’une personne |
Réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité |
Élevée |
Accorde un degré de fiabilité plus élevé |
Empêcher l’utilisation abusive ou l’altération de l’identité |
Source : Chaire Valeurs et Politiques des Information Personnelles, Cahier n° 1 Identités numériques coordonné par Claire Levallois-Barth, mars 2016.
ii. Un principe fondamental : la neutralité technologique
Le règlement eIDAS est technologiquement neutre, c’est-à-dire qu’il ne prend pas position sur les choix technologiques opérés par les États pour mettre en place un parcours d’identité numérique.
Historiquement, les États membres ont principalement choisi des systèmes d’identité électronique basés sur des cartes exigeant des lecteurs de cartes afin de donner accès aux services publics à leurs citoyens. Cependant, soucieux d’améliorer le confort d’utilisation et de sécuriser davantage l’identification, les États membres et les fournisseurs d’identité ont plutôt tendance désormais à se tourner vers des solutions basées sur le mobile pour refléter la pénétration croissante du mobile et l’augmentation des transactions mobiles en Europe ([100]). Ces moyens d’identification peuvent s’appuyer sur des applications logicielles mais également sur des composants matériels intégrés tels que les cartes SIM, les éléments sécurisés (Secure Element) et sur l’environnement d’exécution fiable (Trusted Execution Environment) afin d’accroître la protection assurée à l’utilisateur.
b. Le règlement du 20 juin 2019 relatif à la sécurité des cartes nationales d’identité des citoyens de l’UE a accru l’exigence de robustesse des titres d’identité dans l’UE
Ce règlement a pour objectif de renforcer les normes de sécurité applicables aux cartes d’identité délivrées par les États membres à leurs ressortissants et aux documents de séjour délivrés par les États membres aux citoyens de l’Union et aux membres de leur famille lorsqu’ils exercent leur droit à la libre circulation (article 1er du règlement).
Il prévoit que les États membres de l’UE ont jusqu’au 2 août 2021 pour intégrer une puce conforme à la norme ICAO dans leur carte d’identité. À cette occasion, en France, un volet « identité numérique » répondant aux mêmes exigences sera intégré dans la CNIe. Tout citoyen pourra alors, à sa demande, utiliser sa carte d’identité électronique en tant que moyen d’authentification électronique fiable et sécurisé.
Ce règlement indique enfin que « les cartes d’identité intègrent un support de stockage hautement sécurisé qui contient une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables » (article 3 du règlement). Il intègre néanmoins fortement la question de la protection des données personnelles, dans ses articles 10 (Recueil d’éléments d’identification biométriques) et 11 (Protection des données personnelles). Au surplus, le considérant 40 du règlement rappelle que le RGPD (voir infra) s’applique dans le cadre du présent règlement.
Il ressort donc des articles cités ci-dessus que le règlement 2019/1157 prévoit de solides garanties de protection des données, à savoir :
– le stockage des données biométriques sur le support de stockage de la carte d’identité. Le règlement ne sert donc pas de base juridique pour l’introduction et l’exploitation des bases de données biométriques ;
– l’application du RGPD au traitement des données personnelles aux fins du présent règlement ;
– des règles strictes concernant la collecte d’identifiants biométriques ;
– une protection forte des données biométriques sur le support de stockage selon les dernières normes techniques, similaires à la protection des passeports biométriques.
c. La révision envisagée d’eIDAS devrait conduire à compléter le cadre juridique européen relatif à l’identité numérique et promouvoir peut-être un modèle d’identité numérique publique universelle (eID).
i. Une opportunité pour intégrer les grandes évolutions récentes en matière d’identité numérique et combler les lacunes du texte
Dans sa communication sur l’avenir numérique de l’Europe en date du 19 février dernier, la Commission a annoncé la révision du règlement eIDAS en vue d’en améliorer l’efficacité, d’étendre ses avantages au secteur privé et de promouvoir une identité numérique fiable pour tous les Européens.
Cette révision est portée par le constat selon lequel, malgré les avancées incontestables consécutives à eIDAS, l’identité numérique reste encore parcellaire et dispersée entre de nombreux comptes et identifiants. La DG Connect estime, en outre, que « les lacunes réglementaires dans cet espace compliquent la protection des données personnelles et rendent les menaces de fraude et de cyber-sécurité difficiles à atténuer ». Elle souhaite également qu’eIDAS joue à l’avenir un rôle essentiel dans la fourniture de services publics numériques focalisés sur l’utilisateur, en particulier à la lumière de la mise en œuvre imminente du règlement sur le portail numérique unique ([101]) et de l’application du principe « dites-le nous une seule fois » ([102]) dans les administrations nationales. Une reconnaissance transfrontalière accrue et la notification plus rapide des eID publiques par les autres États membres apparaissent donc nécessaires.
ii. Des axes de réflexion en faveur, notamment, d’un système universel d’identité numérique au profit de tous les citoyens de l’Union européenne.
La DG Connect propose donc de fonder les évolutions réglementaires à venir dans le domaine de l’identité numérique européenne sur les principes directeurs suivants :
– habiliter les citoyens européens à utiliser les identités numériques de confiance de leur choix dans toutes les transactions en ligne et à contrôler la divulgation de leurs données d’identité;
– faciliter la conformité au RGPD en permettant la limitation de l’objectif, la minimisation de la collecte et de la divulgation des données et l’expression du consentement;
– étendre la surveillance réglementaire à la fourniture d’identité par les acteurs du secteur privé, tels que les plateformes en ligne;
– assurer des conditions équitables pour les fournisseurs d’identité numérique en créant des incitations réglementaires et en mettant en place des exigences de reconnaissance des moyens privés de l’identité numérique;
– étendre la fourniture d’identités numériques fiables à de nouveaux acteurs tels que les appareils de l’Internet des objets (IdO) et des agents d’intelligence artificielle ;
– évaluer les possibilités d’introduire un système universel d’identité numérique au profit de tous les citoyens de l’Union européenne ;
– mettre en place un projet d’identité électronique publique universelle acceptée (eID).
En outre, la Commission a également annoncé dans sa communication sur la stratégie pour une Europe numérique qu’elle envisage d’étendre le cadre eIDAS afin d’introduire de nouveaux services d’identification numérique et de soutenir une identité électronique publique (eID) universellement acceptée, protégeant les données personnelles et applicable à toutes les interactions numériques ([103]). Elle estime en effet que « les citoyens devraient aussi avoir la maîtrise de leur identité en ligne, lorsque l’accès à certains services en ligne nécessite une authentification. Une identité électronique publique (eID) universellement reconnue est indispensable pour que les consommateurs puissent accéder à leurs données et utiliser en toute sécurité les produits et services qu’ils recherchent sans devoir recourir pour ce faire à des plateformes tierces et partager inutilement des données personnelles avec celles-ci ».
d. Un cadre européen de protection des données personnelles qui s’applique à l’identité numérique
La mise en place d’identités numériques régaliennes en Europe est soumise au respect du droit européen, particulièrement protecteur pour les données personnelles des citoyens.
Les règles de l’UE en matière de protection des données établissent un cadre de protection élevé des données à caractère personnel, y compris pour le traitement des données biométriques. Ces règles sont édictées respectivement dans le règlement général sur la protection des données 2016/679 (RGPD), la directive (UE) 2016/680, et le Règlement (UE) 2018/1725.
i. RGPD et e-Privacy: le cadre global de la protection des données personnelles
Le règlement général sur la protection des données (RGDP), entré en vigueur le 25 mai 2018, établit un cadre de protection renforcé des données à caractère personnel directement applicable dans l’ensemble des États membres de l’Union européenne. Son article 9 interdit, en principe, le traitement de données biométriques aux fins d’identifier une personne physique de manière unique, sauf dans des conditions très strictes. En vertu du RGPD, un tel traitement ne peut ainsi avoir lieu qu’au titre d’un nombre limité de motifs, et notamment lorsqu’il est nécessaire pour des raisons d’intérêt public important. Dans ce cas, il doit avoir lieu sur la base du droit de l’Union ou du droit d’un État membre, sous réserve des exigences en matière de proportionnalité, de respect du contenu essentiel du droit à la protection des données et de garanties adéquates.
La directive e-Privacy ([104]) relative au « traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques » complète ce cadre juridique. Une proposition de règlement « e‑Privacy », qui vise à renforcer la protection de la vie privée en ligne des citoyens en détaillant le RGPD (lex specialis) est par ailleurs en cours de discussion depuis avril 2016.
ii. La directive Police-Justice : un cadre pour les fichiers de police et de justice
En ce qui concerne le traitement des données à caractère personnel dans les fichiers de police et de justice, le régime applicable à ces fichiers est fixé par la directive (UE) 2016/680. De manière similaire au RGPD, cette directive prévoit, en son article 10, une interdiction de principe des traitements portant sur des catégories particulières de données à caractère personnel, dont les traitements de données biométriques aux fins d’identifier une personne de manière unique. Ces traitements ne sont autorisés qu’en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un État membre, pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique, ou encore lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée.
iii. La charte des droits fondamentaux et un règlement spécifique pour le traitement des données personnelles des personnes physiques complètent ce cadre juridique
Les articles 7 et 8 de la charte des droits fondamentaux de l’UE font du respect de la vie privée et de la protection des données à caractère personnel des droits fondamentaux. En outre, les institutions, organes et organismes de l’Union sont soumis à des règles similaires au RGPD pour le traitement de données biométriques, édictées à l’article 10 du règlement (UE) 2018/1725.
2. Plusieurs exemples étrangers pourraient inspirer les pouvoirs publics français
La mission d’information a souhaité solliciter les pays les plus avancés sur la question de l’identité numérique en Europe. Elle a donc adressé un questionnaire à une dizaine de pays européens, par l’intermédiaire du centre européen de recherche documentaire parlementaire (CERDP), réseau documentaire cogéré par l’Union européenne et le Conseil de l’Europe, qui permet un partage d’informations entre les Parlements.
Les éléments ci-après s’inspirent des réponses communiquées par les Parlements étrangers, ainsi que du benchmark de l’étude de mai 2019 de la direction interministérielle de la transformation publique concernant les usages de l’identité numérique ([105]) et des propos tenus lors de la table ronde de représentants d’ambassades étrangères en France organisée en mars 2020 par la mission d’information ([106]).
a. Des dispositifs d’identité numérique ont été mis en place dans plusieurs États européens
En Allemagne, il est possible de s’authentifier en ligne à partir d’une carte d’identité électronique, déployée depuis 2010. Si l’utilisation de cette carte est obligatoire, la fonction e-ID qu’elle offre aux ressortissants allemands était facultative et activée seulement à la demande du citoyen jusqu’en 2017. Elle est désormais systématique, sauf pour les mineurs de moins de seize ans qui peuvent bénéficier d’un titre ne disposant pas de cette fonctionnalité. La solution a fait l’objet d’une notification dans le cadre du règlement eIDAS en 2017, pour un niveau de sécurité élevé.
La Belgique a également choisi d’asseoir sa solution d’identité numérique sur un support physique régalien. Dès 2004, une carte d’identité électronique obligatoire a été délivrée à chaque citoyen. En cinq ans, la Belgique est parvenue à doter 100 % de sa population de ce nouvel outil, qui contient une puce intégrant deux certificats : l’un permettant l’authentification en ligne, l’autre permettant l’apposition de la signature électronique de son détenteur. Ce dispositif a lui aussi été notifié dans le cadre du règlement eIDAS l’an dernier pour un niveau de sécurité élevé.
Le Danemark a développé un système différent, reposant depuis 2010 sur un dispositif, NemID, fruit d’une coopération entre l’IT-og Telestyrelsen (l’agence nationale des technologies de l’information et des télécoms) et le secteur bancaire, qui consiste en une carte contenant une série de codes à usage unique. Un nouveau dispositif, MitID, va remplacer NemID à partir de 2021 afin de faciliter les usages privés – qui sont aujourd’hui distincts des usages publics dans l’infrastructure de NemID. À l’instar d’Alicem en France, cette solution serait accessible uniquement par l’intermédiaire d’un smartphone – ce qui est déjà une modalité d’utilisation de NemID. NemID a fait l’objet d’une notification dans le cadre du règlement eIDAS en avril 2020, pour un niveau de sécurité modéré.
Le Royaume-Uni a développé un système semblable à celui de FranceConnect, qui n’est pas assis sur un support physique, mais repose depuis 2016 sur l’inscription de l’utilisateur sur la e-plateforme Gov.UK Verify, développée par les services du Gouvernement. Pour s’authentifier en ligne, l’utilisateur inscrit sur la plateforme a le choix entre cinq fournisseurs d’identité privés. En fonction du fournisseur qu’il choisit, il devra donner des éléments différents – numéro de permis de conduire, de passeport, facture téléphonique… Gov.UK Verify a été notifié dans le cadre du règlement eIDAS et permet de s’authentifier avec un niveau de sécurité similaire à celui de la solution allemande.
En Suisse, il existait déjà, en 2019, une pluralité d’offres privées d’identité numérique aux modalités d’enrôlement et d’utilisation différentes – via un ordinateur ou sur mobile, par le biais d’une offre gratuite ou payante. Depuis l’adoption de la loi fédérale sur les services d’identification électronique, l’État est chargé de la mise en place et du respect du cadre légal de l’identité numérique, tandis que les acteurs privés sont responsables de la mise à disposition des solutions techniques d’authentification. Le dispositif Swiss ID, principale solution d’identité numérique à ce jour avec 500 000 utilisateurs en 2019 – mais 4 millions anticipés en fin d’année – ambitionne de proposer à terme une identité numérique certifiée par l’État.
En Estonie, une identité numérique certifiée existe également depuis 2002 et la mise en service de la carte nationale d’identité électronique estonienne, qui est un document d’identité obligatoire. Comme en Belgique, cette carte contient une puce sécurisée au sein de laquelle sont insérés deux certificats, l’un pour l’authentification en ligne, l’autre pour la signature électronique. À partir de 2007, une solution sur mobile a également été développée par l’État avec les opérateurs de télécom. Ces deux solutions réalisées en partenariat avec les pouvoirs publics et les acteurs privés, ont fait l’objet d’une notification dans le cadre du règlement eIDAS et permettent une authentification de niveaux substantiel à élevé.
b. Des processus d’enrôlement différents, qui expliquent pour partie les succès ou les échecs des solutions étrangères
La procédure d’enrôlement allemande est particulièrement longue, mais elle garantit ainsi une sécurité élevée lors de l’authentification. L’utilisateur doit d’abord faire une demande de carte d’identité électronique. Sa réception s’accompagne de l’envoi d’un courrier contenant un code PIN à cinq chiffres. Si le téléphone de l’utilisateur n’est pas équipé de la technologie NFC, l’installation d’un lecteur de carte fonctionnant avec son ordinateur est nécessaire. Un programme spécifique doit également être installé sur l’ordinateur ou sur le smartphone de l’utilisateur. Lors de l’authentification en ligne, l’utilisateur doit ouvrir ce programme et insérer son code PIN à cinq chiffres, qui est alors converti en un code PIN à six chiffres. Il sélectionne ensuite le fournisseur de services auprès duquel il souhaite s’authentifier – lequel a été en amont approuvé par le programme – et renseigne à cette fin son code PIN à six chiffres. C’est uniquement après cette étape que l’utilisateur peut s’authentifier par le biais de sa carte d’identité.
À l’inverse, l’enrôlement et l’utilisation du dispositif danois NemID sont plus simples. Le compte NemID consiste en un nom d’utilisateur et un mot de passe définis par l’utilisateur lors de sa première connexion, ainsi qu’une carte contenant des codes à usage unique – ou, depuis récemment, une application mobile générant des codes aléatoires. Lorsque l’utilisateur se connecte sur le portail de NemID – ou, depuis 2018, lorsqu’il utilise l’application en ligne –, il entre d’abord son nom d’utilisateur puis son mot de passe, et inscrit ensuite un code. Cette simplicité traduit toutefois une sécurité moindre de l’authentification.
Au Royaume-Uni, l’enrôlement pour utiliser la plateforme Gov.UK Verify se singularise par sa pluralité, l’utilisateur disposant de cinq fournisseurs d’identité différents proposant chacun des modalités d’enrôlement distinctes. Pour s’inscrire, il doit d’abord répondre à plusieurs questions censées l’orienter vers l’un des fournisseurs d’identité – a-t-il plus de 20 ans ? A-t-il vécu au Royaume-Uni durant les 12 derniers mois ? Dispose-t-il d’un permis de conduire ou d’un passeport britannique ? Peut-il installer Verify sur son téléphone ? En fonction de ses réponses, un ou plusieurs fournisseurs d’identité lui sont proposés.
La solution suisse Swiss ID propose un enrôlement très simple. Le dispositif prend la forme d’une clé numérique personnelle, par le biais d’un login unique permettant une authentification univoque lors de transactions en ligne. L’utilisateur doit se créer un compte SwissID – une procédure qui ne prend que quelques minutes – par le biais d’un e-mail, voire d’un numéro de téléphone portable s’il souhaite bénéficier d’une authentification à double facteur.
Une fois son compte créé, l’utilisateur peut renseigner davantage de données personnelles le concernant – comme son adresse et sa langue de correspondance et décider de créer ou non son identité certifiée ([107]). Les utilisateurs choisissent à quels services en ligne ils donnent l’accès à leurs données et peuvent révoquer cet accès à tout moment via leur espace personnel SwissID. Les données personnelles recueillies pour procéder à l’authentification en ligne sont cryptées, hébergées en Suisse et ne sont pas utilisées à des fins commerciales.
c. Le recours à la reconnaissance faciale : une exception à la règle
Dans le cadre des réponses des parlements européens au questionnaire de la mission d’information, aucun pays n’a fait part du recours à la technologie de la reconnaissance faciale pour permettre l’authentification en ligne, dans le cadre du règlement eIDAS.
Dans sa contribution écrite aux travaux de la mission d’information, la Commission européenne relève d’ailleurs qu’« aucun dispositif notifié à ce jour dans le cadre du règlement eIDAS ne fait recours à la reconnaissance faciale automatique lors de la phase de l’enrôlement ». Toutefois, « le recours à la reconnaissance faciale automatique était envisagé au Royaume-Uni où un des fournisseurs d’identité, SecureIdentity, déploie cette technologie pour d’autres applications. Ce système n’a pourtant pas été notifié ».
La solution estonienne Smart-ID, alternative à la carte d’identité électronique estonienne et à Mobile-ID créée en 2017 par le secteur privé, peut néanmoins être comparée à Alicem puisqu’elle a également recours à l’authentification faciale lors du processus d’enrôlement. Smart-ID compare ainsi le visage de l’utilisateur depuis son smartphone ou sa tablette avec la photographie de son passeport, seul titre d’identité pouvant à ce jour fonctionner avec cette solution. Smart-ID n’a néanmoins pas fait l’objet d’une certification dans le cadre du règlement eIDAS à ce jour.
La solution allemande a un coût tant pour les particuliers que pour les fournisseurs de services. Les premiers doivent s’acquitter des frais d’acquisition de la carte d’identité, qu’ils utilisent ou non la fonction e-ID permise par ce support ([108]). L’utilisateur doit en outre supporter des coûts d’acquisition d’un lecteur de carte à puce, même si les derniers smartphones équipés d’une puce NFC permettent désormais de se passer de ce dispositif. Les fournisseurs de services doivent s’acquitter d’un certificat d’autorisation pour utiliser la fonction d’authentification en ligne, dont les coûts s’élèvent entre 80 et 115 euros.
Le coût de la CNIe en Belgique est plus raisonnable puisqu’il s’élève à une vingtaine d’euros pour les adultes, voire à 10 euros pour les cartes à destination des enfants de moins de douze ans.
En Suisse, alors que la solution SwissID est gratuite, SuisseID était un dispositif payant, ce qui a sûrement contribué à en réduire l’usage. Il ne comptait que 30 000 utilisateurs fin 2019, date à laquelle le dispositif a été mis à l’arrêt. La même année, l’alternative gratuite SwissID comptait 500 000 utilisateurs, ce qui reste néanmoins assez peu pour un pays de 8,4 millions d’habitants.
i. En Allemagne, en Belgique et en Suisse, des solutions qui peinent à attirer les usages
La procédure d’enrôlement allemande, ainsi que le coût de la solution, n’encouragent pas à un usage massif du service d’authentification en ligne. Les fournisseurs privés et publics de services peuvent utiliser l’identité numérique fournie par l’État, mais elle est principalement sollicitée par les usagers dans leurs relations avec l’administration. En 2017, 220 services étaient fournis par 110 fournisseurs, dont 40 % de fournisseurs publics et 60 % de fournisseurs privés. Seulement 17 millions de cartes disposaient d’une fonction e-ID active, contre 51 millions de titres d’identité en circulation la même année.
Toutefois, la procédure par laquelle les prestataires de services – entreprises et autorités publiques – sont autorisés à lire les données de l’e-ID a été simplifiée récemment et depuis 2017, les pouvoirs publics ambitionnent de dématérialiser l’ensemble des services administratifs en 2022, ce qui devrait inciter davantage les citoyens allemands à utiliser ce dispositif.
En Belgique, la solution d’identité numérique régalienne permet d’utiliser 22 services en ligne, dont trois sont particulièrement plébiscités :
– le service d’impôt en ligne, Tax-on-web, qui comptabilisait 6 millions d’utilisateurs en 2018 (pour 11,4 millions d’habitants) ;
– le portail de suivi des dossiers de pension, Mypension ;
– E-Birth, qui permet à un prestataire de soin de notifier électroniquement une naissance à l’état civil de la commune concernée.
Certains services en ligne s’adressent aux personnes morales, à l’instar de E-greffe qui permet de déposer un dossier de création d’entreprise ou d’association en ligne, et Finprof qui permet de transmettre à l’administration concernée les déclarations du précompte professionnel.
Au Danemark, où la solution NemID est très utilisée, il est possible d’accéder à la quasi-totalité des services de l’administration, mais également à des services privés tels que les banques et les assurances. Au total, plus de 700 services sont accessibles par cette solution, utilisée par plus de 5 millions de Danois – pour une population de 5,75 millions d’habitants.
En Suisse, dans le cadre du développement d’une identité numérique certifiée par l’État d’ici la fin de l’année 2020, plusieurs usages à fort potentiel ont été identifiés. Ils concernent la cyberdémocratie, l’accès aux services publics dématérialisés et aux ressources scolaires, ainsi que les usages privés – e‑commerce, accès sécurisé au cloud – et la signature électronique certifiée.
ii. Au Royaume-Uni, un usage insatisfaisant du dispositif conduit à sa refondation
Au Royaume-Uni, Gov.UK Verify ne compte que 5,4 millions d’utilisateurs pour une population de plus de 66 millions d’habitants. Seuls 19 services publics sont accessibles par l’intermédiaire de ce dispositif, alors que le Gouvernement en annonçait 46 en 2018. Parmi ces 19 services, huit peuvent être sollicités uniquement par l’intermédiaire de la plateforme, dont l’obtention d’une pension d’État ou d’un crédit universel, ou la signature d’une dette hypothécaire.
Cet échec relatif a contraint le Gouvernement britannique à lancer un appel à contributions sur le sujet de l’identité numérique en juillet 2019. Cet appel à contributions, rédigé par le département en charge du numérique, de la culture, des médias et des sports du Bureau du Cabinet, précise notamment que le Gouvernement « s’engage à mettre en place un système d’identité numérique qui corresponde aux besoins de l’économie digitale du pays sans avoir besoin de recourir aux cartes d’identité, en travaillant en partenariat avec les services privés et les secteurs associatif, académique et la société civile ».
À l’issue de cette consultation, le Gouvernement a choisi de laisser la gestion de ce dispositif aux partenaires privés à partir de mars 2020.
iii. Dans plusieurs pays européens, des dispositifs privés, plus ergonomiques, font concurrence aux solutions régaliennes
L’une des raisons pouvant expliquer les difficultés rencontrées par la solution régalienne allemande, outre le lancement tardif de son dispositif, est la concurrence qu’elle rencontre de la part d’autres fournisseurs d’identité publics et privés qui ont développé leur propre solution. C’est notamment le cas, depuis 2017, de Verimi, une solution alternative privée développée par un consortium d’entreprises exclusivement pour une utilisation sur mobile, plébiscitée pour son ergonomie et sa simplicité – mais qui n’a pas été notifiée dans le cadre du règlement eIDAS.
En Belgique, le dispositif régalien est concurrencé par une alternative privée, Itsme, développée par un consortium composé de banques et d’opérateurs télécoms et offerte au public depuis 2017. Cette solution fonctionne uniquement par par le biais d’une application mobile en permettant de lier l’identité de son utilisateur à son smartphone. Entre mai 2018 et février 2019, elle a enregistré une augmentation du nombre de ses utilisateurs de 114 %. Itsme peut être utilisé pour accéder aux services publics en ligne ainsi qu’à certains services privés, comme les services bancaires ou les services notariaux. La solution bénéficie d’une certification dans le cadre du règlement européen eIDAS, pour un niveau de sécurité élevé.
Depuis 2018, le Danemark a également choisi de rendre accessible sa solution NemID sur mobile.
En Suisse, la solution MobileID, très populaire, fonctionne également grâce à un smartphone. Initiée par les trois plus grands opérateurs télécoms suisses (Swisscom, Sunrise et Salt), elle offre une alternative gratuite adoptée par de nombreuses grandes entreprises et services. Elle est également compatible avec SwissID depuis 2019. Elle peut être utilisée tant pour signer électroniquement un document que pour transmettre de manière sécurisée des données sensibles. Elle permet également à ses utilisateurs de bénéficier d’une identité numérique certifiée.
Disponible directement auprès des opérateurs téléphoniques, la solution estonienne Mobile-ID, également accessible en Lituanie et en Azerbaidjan, permet à l’utilisateur d’accéder à des services du secteur public comme du secteur privé, de manière sécurisée, simple et rapide, en utilisant un identifiant personnel et deux codes PIN. Cette solution certifiée de niveau élevé permet, comme la carte d’identité électronique estonienne, d’accéder à des services bancaires en ligne, de voter électroniquement, de réaliser des démarches administratives numérisées, de naviguer de façon sécurisée sur différents portails numériques, et de signer des documents numériquement et directement depuis un téléphone portable.
Dans sa contribution écrite aux travaux de la mission d’information, la Commission européenne constate d’ailleurs que les derniers systèmes qui lui ont été notifiés dans le cadre du règlement eIDAS concernent essentiellement des solutions fonctionnant sur mobile, ce qui reflète la pénétration croissante de l’utilisation des smartphones et des transactions en ligne utilisant ce type de terminal dans l’Union européenne. Selon la Commission, « les témoignages des acteurs du marché (fournisseurs de services, usagers) ainsi que l’expérience des différents États membres indiquent que l’on s’attend à l’avenir à ce qu’il y ait davantage de systèmes d’identification basés sur les technologies mobiles » ([109]). C’est d’ailleurs ce constat qui explique que la mission interministérielle française sur l’identité numérique fait du développement d’une solution fonctionnant sur mobile sa priorité.
f. Des conclusions à tirer pour la France : le besoin de solutions ergonomiques, simples et pratiques, utilisables pour de nombreux services
L’étude de ces différents pays souligne tout d’abord que les utilisateurs plébiscitent les solutions d’identité numérique les plus ergonomiques et les plus simples d’usage. L’enrôlement et l’utilisation quotidienne de ces solutions doivent demeurer les plus rapides possibles, tout en assurant leur sécurité.
L’association de services publics et privés paraît également une condition de la réussite des dispositifs. À l’inverse, un nombre trop limité de services accessibles par l’identité numérique, surtout lorsque ces services sont uniquement du domaine administratif, n’encourage pas le recours massif à ces solutions.
En outre, adjoindre une fonction de signature électronique certifiée semble être un gage de succès. Il convient donc d’ajouter cette possibilité dans le cadre du projet d’identité numérique actuellement en cours de développement.
Recommandation n° 3 : Adjoindre une fonction de signature électronique certifiée au dispositif d’identité numérique en cours de développement.
— 1 —
III. La France à l’heure des choix : construire ensemble une identité numérique inclusive
L’identité numérique des Français devra être à la fois moderne, ergonomique, sécurisée, responsabilisante, transparente et rassurante. Pour être acceptée, elle devra s’accompagner d’un effort éducatif important, d’une offre de solutions alternatives pour tous ceux qui ne peuvent ou ne souhaitent pas l’utiliser, et devra s’inscrire dans un modèle économique pertinent qui définisse précisément les rôles de l’État et des acteurs privés.
A. Moderniser et sécuriser l’identité numérique des Français
1. Exploiter pleinement les potentialités du programme FranceConnect, tout en maintenant un haut niveau de sécurité et de transparence
a. FranceConnect doit continuer à intégrer de nouveaux services pour faire croître son nombre d’utilisateurs et faciliter le déploiement d’une identité numérique régalienne
FranceConnect s’est construit sur la fédération d’identité permettant d’accéder à un nombre croissant de services publics mais aussi privés. Dans cette logique, le premier comité interministériel de la transformation publique (1er février 2018) avait prévu que, dans un premier temps, FranceConnect intégrerait l’ensemble des services publics lancés en ligne (au 1er avril 2018) avant de s’étendre à l’ensemble des services publics disponibles en ligne (au 31 décembre 2020). En outre, depuis novembre 2018, FranceConnect permet d’accéder à une trentaine de services privés parmi lesquels des banques (BNP Paribas, Boursorama, LCL), des assurances (Generali), des mutuelles (Humanis, Harmonie mutuelle), et des grands facturiers (Enedis, Engie). Enfin, depuis 2019, les ministères sont également encouragés à intégrer FranceConnect sur l’ensemble des démarches les plus utilisées en ligne par les Français ([110]).
Cette stratégie de déploiement a porté ses fruits, au regard du nombre croissant d’utilisateurs de FranceConnect. On dénombre ainsi désormais plus de 15 millions d’utilisateurs uniques, selon un rythme de croissance très élevé, comme le donne à voir le graphique ci-dessous, fourni par la DINUM.