Protéger la « racine de confiance » assurée par l’État pour une identité numérique sécurisée
Le portefeuille d’identité numérique de l’UE est un ambitieux projet d’identité numérique lancé par la Commission européenne dans le but de stimuler le marché unique et de créer des champions européens en facilitant la vérification des identités par-delà les frontières. Des projets pilotes ont été lancés pour tester l’infrastructure et travailler sur les caractéristiques techniques du portefeuille numérique, ainsi que sur ses aspects juridiques. Le règlement devrait être approuvé d’ici la fin de l’année 2023, de même que le calendrier pour son application : le portefeuille d’identité numérique de l’UE devrait être disponible d’ici deux à trois ans.
Le portefeuille d’identité numérique de l’UE vise à faciliter et à sécuriser un large éventail de services publics en ligne destinés aux citoyens de l’UE, tels que les demandes d’actes de naissance et de certificats médicaux, les déclarations de changement d’adresse et les déclarations fiscales. Il devrait également profiter au secteur privé chaque fois qu’une vérification d’identité est nécessaire : ouverture d’un compte bancaire, location d’une voiture, réservation d’un hôtel, etc.
Voici quelques éléments de réponse et de quoi mieux comprendre le portefeuille d’identité numérique de l’UE.
Aujourd’hui, seule 60 % de la population de l’UE, répartie dans 14 États membres, est en mesure d’utiliser son identité électronique nationale au-delà des frontières.1 La nouvelle version du règlement eIDAS (Electronic IDentification Authentication and trust Services) mettra le portefeuille d’identité numérique de l’UE à la disposition de tout citoyen, résident ou entreprise de l’UE souhaitant l’utiliser. À la différence du règlement eIDAS I, qui définissait un cadre préliminaire pour le déploiement et l’utilisation de l’identité numérique dans l’UE, le règlement eIDAS II imposera la mise en œuvre du portefeuille EUDI (EU Digital Identity wallet) dans tous les États membres, en mettant fortement l’accent sur l’interopérabilité. Le règlement eIDAS II rendra également le portefeuille accessible aux acteurs du secteur privé. L’objectif est que d’ici 2025/2026, chaque citoyen européen puisse avoir accès à une identité numérique conforme aux normes de l’UE et dont la validité sera reconnue par les autorités et les fournisseurs de services, dans tous les États membres.
Le portefeuille d’identité numérique de l’UE permettra de disposer d’une version numérique des documents d’identité et d’autres documents personnels : cartes d’identité, permis de conduire, passeports, cartes de paiement, cartes et titres de transport, etc. L’un des principaux avantages du portefeuille de l’UE est qu’il facilitera la vérification de l’identité en ligne. Parce qu’il sera normalisé au niveau de l’UE et reconnu par tous les États membres, le portefeuille d’identité numérique de l’UE ouvrira de nouvelles possibilités d’utilisation transfrontalière, comme l’ouverture d’un compte bancaire, une demande d’inscription à l’université ou le fait de se faire délivrer une ordonnance médicale dans un autre État membre. Il permettra également aux citoyens de l’UE de voyager dans toute l’Europe sans leurs documents d’identité physiques. Les autorités chargées des contrôles aux frontières n’auront besoin que d’un smartphone ou d’une tablette équipés d’une application spécifique pour vérifier l’identité du titulaire du portefeuille.
Mais pour l’heure, le portefeuille d’identité numérique de l’UE est destiné à venir en complément des documents d’identité physiques existants, et non à les remplacer totalement. Les deux pourront être utilisés de la même manière et auront la même valeur. Les documents d’identité physiques et numériques coexisteront, non seulement parce que le smartphone contenant le portefeuille EUDI est toujours susceptible de tomber en panne ou de manquer de batterie, mais aussi parce que le document d’identité physique est appelé à jouer un rôle clé dans la sécurisation du portefeuille d’identité numérique de l’UE dans un certain nombre de pays (nous aborderons ce sujet plus en détail dans la suite de cet article).
Les réglementations et les normes techniques viendront de Bruxelles, mais la mise en œuvre se fera au niveau national. Il n’existe pas encore de portefeuille européen à proprement parler, mais certains États membres ont déjà développé des applications d’identité numérique présentant des fonctionnalités similaires, notamment la France, le Portugal et l’Autriche. Ces applications ne sont pas encore interopérables mais l’objectif est de les faire évoluer pour qu’elles intègrent les protocoles et les normes eIDAS.
La norme européenne définira l’interopérabilité à assurer au niveau national pour le portefeuille d’identité numérique de l’UE, mais chaque État membre sera libre de le développer comme il l’entend. Cela signifie que chaque État membre sera libre de concevoir l’interface et les fonctionnalités du portefeuille selon ses propres critères, mais que tous les portefeuilles développés au sein de l’UE partageront certaines fonctionnalités de façon à les rendre interopérables dans l’ensemble de l’Union européenne. Outre la conformité aux normes d’interopérabilité de l’UE, chaque portefeuille EUDI devra également satisfaire aux certifications de sécurité qui seront mises en vigueur au niveau national.
Les États membres pourront créer eux-mêmes le portefeuille ou mandater un fournisseur du secteur privé (le plus vraisemblablement un acteur du secteur bancaire, des télécommunications ou des services de distribution d’eau ou d’électricité). Toutefois, ces acteurs privés ne seront pas autorisés à monnayer le portefeuille car celui-ci doit rester gratuit pour les citoyens.
Différentes approches ont été retenues dans les groupes de travail en cours. La France utilise des accords-cadres avec le secteur privé, tandis que la Belgique s’appuie sur un consortium de banques et d’opérateurs de réseaux mobiles. Quoi qu’il en soit, si le portefeuille d’identité numérique de l’UE est avant tout une initiative du secteur public, le secteur privé y sera plus ou moins impliqué.
Et, contrairement à sa première version, le règlement eIDAS II mettra fortement l’accent sur l’utilisation du portefeuille par le secteur privé. Tous les fournisseurs et les grandes plateformes de services auront l’obligation d’accepter le portefeuille pour la vérification de l’identité, en particulier dans les secteurs réglementés tels que la finance et les télécommunications.
Le portefeuille d’identité de l’UE étant une solution nativement numérique, il sera mieux adapté aux vérifications numériques et à distance. Il contribuera ainsi à prévenir la fraude dans ce type de situation. Les vérifications d’identité seront rapides et faciles : il suffira aux utilisateurs de scanner un code QR, de taper leur code PIN et/ou d’approcher leur carte d’identité électronique de leur smartphone pour s’authentifier.
Le nouveau règlement européen devrait définir deux niveaux de sécurité pour les portefeuilles de l’UE : un niveau de sécurité « élevé » et un niveau de sécurité « substantiel ». Chaque pays devra déployer au moins un portefeuille avec un niveau de sécurité élevé. Toutefois, d’autres portefeuilles pourront être créés dans le même pays, soit par des acteurs privés, soit par d’autres acteurs publics. Le niveau de sécurité de ces portefeuilles d’identité numérique européens dépendra des cas d’usage. Par exemple, un ministère de la santé pourrait mettre en place un portefeuille EUDI spécifique afin d’offrir des fonctionnalités particulières pour simplifier la prise en charge des patients et ce type de portefeuille nécessitera vraisemblablement un niveau de sécurité élevé. D’autres portefeuilles offrant des niveaux de sécurité un peu moins « élévés », mais néanmoins « substantiels », pourront être envisagés afin d’offrir une expérience plus ergonomique pour des cas d’usage moins critiques.
Le niveau de sécurité (élevé ou substantiel) dépendra directement de la certification de l’élément sécurisé hébergeant les clés du portefeuille d’identité numérique de l’UE. Ces clés empêcheront l’accès non autorisé aux données personnelles sensibles grâce à un système de chiffrement. L’idéal serait d’utiliser un élément sécurisé déjà présent dans les smartphones, mais il n’est pas garanti que tous les smartphones soient compatibles. Cela pourrait également poser des problèmes de souveraineté si les fabricants de téléphones conservent le contrôle de la technologie et sont en mesure d’empêcher les gouvernements d’y accéder à un moment ou à un autre. D’où les discussions actuelles entre les géants de la technologie et l’Union européenne.
Pour résoudre ces problèmes de souveraineté et de certification de sécurité, la solution la plus simple consiste actuellement à utiliser l’élément sécurisé déjà intégré dans les cartes d’identité électroniques nationales, comme c’est le cas en France. La puce de la carte d’identité est émise par le gouvernement et ne pose donc aucun problème en termes de souveraineté ou de sécurité. Le titulaire du portefeuille aura besoin d’un smartphone compatible NFC pour déverrouiller le portefeuille avec sa carte d’identité électronique et autoriser le partage de toute donnée personnelle sensible.
Pour les États membres qui préfèrent utiliser un élément sécurisé déjà intégré dans le téléphone pour plus d’ergonomie, une autre solution pourrait consister à utiliser la carte SIM. Dans tous les cas, le niveau de sécurité du portefeuille d’identité numérique de l’UE ne sera considéré comme « élevé » que dans la mesure où l’élément sécurisé aura été certifié par le gouvernement et garantira sa souveraineté sur les clés du portefeuille européen d’identité numérique. Cela étant, si l’élément sécurisé intégré au smartphone ou la SIM ne sont pas certifiés, ils peuvent tout de même être utilisés pour des applications plus ergonomiques et moins sensibles du portefeuille de l’UE.
Au final, le portefeuille européen d’identité numérique renforcera la protection de la vie privée et la sécurité des citoyens et des consommateurs lorsqu’ils sont amenés à prouver leur identité, que ce soit en ligne ou en personne. Le portefeuille permettra à l’utilisateur de ne partager que les attributs d’identité et les données personnelles qui seront pertinents pour une transaction particulière et aucune copie ne pourra en être faite à son insu.
Concrètement, l’utilisateur recevra une demande de validation sur son smartphone pour partager l’attribut d’identité demandé. Finies les copies papier des documents d’identité aux comptoirs d’enregistrement des hôtels ou des sociétés de location de voitures, finis les scans de cartes d’identité, de passeports ou de permis de conduire envoyés par courrier électronique. Par exemple, le titulaire d’un portefeuille pourra prouver que son permis de conduire est valide sans avoir à montrer son adresse. En termes de protection de la vie privée, les utilisateurs pourraient même pouvoir avoir accès à des services réservés aux adultes sans avoir à révéler leur identité (pour autant que les réglementations nationales l’autorisent).
Par ailleurs, il n’y aura pas de système de données centralisé. Le portefeuille EUDI de chaque citoyen stockera ses données personnelles. Autrement dit, il ne sera pas possible de lancer des attaques à grande échelle contre les portefeuilles d’identité numérique européens.
Un identifiant unique est un numéro unique associé à une personne et qui ne peut être modifié au cours de la vie d’un utilisateur. La création de différents pseudonymes qui peuvent, par exemple, être sectoriels ou même liés à des services en particulier (banque, soins de santé, assurance, etc.) est un moyen de prévenir le risque d’utilisation de ce numéro pour établir des recoupements entre différentes bases de données et pour suivre les utilisateurs à la trace. Le règlement européen devrait laisser à chaque pays membre le soin d’évaluer si l’utilisation d’un identifiant unique est un sujet de préoccupation à l’échelle nationale ou pas. Dans tous les cas, un identifiant unique ou des pseudonymes doivent rester indépendants du portefeuille d’identité numérique car les utilisateurs devront pouvoir les conserver s’ils changent de téléphone et ont besoin de réinstaller leur portefeuille sur le nouveau.
En ce qui concerne les numéros à utiliser pour l’identifiant unique ou pour les pseudonymes, il est probable qu’ils diffèrent d’un pays à l’autre. L’Italie pourrait utiliser le numéro d’identification fiscale comme identifiant unique, tandis que la France ou les Pays-Bas préféreront probablement utiliser des pseudonymes sectoriels, tels que le numéro de sécurité sociale en France pour les applications liées à la santé.
Dernières actualités
Contenus associés