Identité numérique forte au XXIe siècle, la France à l’heure des choix

Identité numérique forte au XXIe siècle, la France à l’heure des choix

L’identité sécurisée représente un enjeu économique et sécuritaire essentiel pour notre pays qui, en dépit ­d’atouts importants, accuse un retard préoccupant dans la mise en œuvre des politiques publiques devant garantir à chacun une identité sûre.

Quels sont les défis économiques, sécuritaires, numériques et géostratégiques auquels la France est aujourd’hui confrontée en matière d’identité ?

Quels sont les enjeux de première importance et le besoin d’une identité numérique forte ? Quelles sont les solutions industrielles, juridiques et politiques envisageables ?

Regards croisés et éléments de réponses avec les experts du Forum international des technologies et de la sécurité (FITS) et Guy de Felcourt, Digital Identity Strategic Adviser. 

Quels usages pour quelles identités ?

Poser pragmatiquement le concept de l’identité numérique, c’est évoquer la possibilité de prouver en ligne son identité pour accéder à des contenus dédiés, pouvoir signer en ligne un document. Aujourd’hui, alors que l’ensemble des flux deviennent massivement numériques, les enjeux sont multiples et les gouvernements se doivent d’adopter une stratégie ancrée dans les problématiques numériques du XXIe siècle, lesquelles lient étroitement sécurité et liberté. Sans remettre en cause le droit de l’internaute de naviguer de façon anonyme, de nombreuses opérations (accès aux contenus sécurisés, paiements, etc.) nécessitent une identité numérique forte, et/ou la mise en place de plusieurs moyens de vérification. Ces précautions sont essentielles pour agir dans un cadre de confiance !

Simplification des usages et modernisation

Le monde du numérique s’étend avec la volonté d’effectuer des opérations qui nécessitent un degré de confiance plus élevé (payer, signer des contrats, faire des démarches administratives, s’intégrer dans l’économie collaborative). L’identification numérique permet, d’une part, un processus continu (sans interruption) et, d’autre part, une reconnaissance de la personne malgré sa mobilité multiple (géographique, support numérique).

« La France est en retard dans cette phase de transition du monde physique vers le monde numérique, particulièrement dans l’usage de valeur (juridique, économique, citoyen, etc.) pour laquelle des réponses technologiques existent déjà. Elle est par exemple classée 16e sur 28 pays européens dans le classement DESI (Digital Economy & Society Index) publié par la Commission européenne en 2015 », explique Guy de Felcourt, Digital Identity Strategic Adviser.

Les enjeux géostratégiques s’accroissent et il est impératif que les États se saisissent de ces questions mettant en danger leur souveraineté, notamment face aux plateformes GAFA qui tendent aujourd’hui à améliorer leur sécurité tout en imposant leur conception commerciale de l’identité. « Si les États ne mettent pas en place des procédures permettant d’établir une identité forte, les GAFA (Google, Apple, Facebook, Amazon) s’en chargeront pour répondre à la demande des acteurs économiques. Ainsi, les acteurs de l’économie collaborative (prêter ou louer sa maison, sa voiture, organiser le co-voiturage, etc.) cherchent, pour des raisons évidentes, à s’assurer de l’identité des utilisateurs, et auront recours aux services d’identité numérique qu’on leur proposera », explique Guy de Felcourt, et de poursuivre : « L'identité numérique est au cœur des enjeux économiques par la capacité d'intermédiation et d’échanges, de captation des flux économiques. Laisser la place aux autres en ne prenant pas le virage de l'identité numérique signifierait une perte de souveraineté et donc un affaiblissement de la France ! »

Il est donc urgent de provoquer une prise de conscience. « La transition vers l’identité numérique, d’origine régalienne ou privée, doit être portée par une volonté politique forte, ancrée dans une stratégie long terme, et une réflexion intégrant l’ensemble des acteurs impactés par la digitalisation de l’économie. Il est nécessaire de mettre en place des institutions modernes capables de projeter les services publics français dans le XXIe siècle. On peut imaginer qu’une entité interministérielle forte, dotée d’une vision haute, pourrait prendre la tête de ce type de projet, notamment pour s’assurer qu’en plus des fonctions de sécurité apportées par un tel système, des services associés soient promus. »

Des enjeux privés et publics

Les usages de l’identité numérique touchent de nombreux domaines du secteur privé, attentif aux évolutions législatives sur ce sujet. Le monde bancaire, par exemple, a besoin de mettre en place des procédures d’identification numérique adaptées en fonction du niveau de sécurité requis par chaque opération afin de renforcer la confiance et favoriser les politiques KYC. En ce sens, l’identité numérique est à la fois une chance et une nécessité. Il faut par ailleurs distinguer l’identification de l’authentification. Pour la première, la qualité de l’émission de l’identité conditionne la fiabilité de la connaissance et la relation avec le client. Pour la seconde, la sécurité peut être adaptée au type d’usage ou de service. Les cartes à puce et smartphones offrent de nombreuses solutions, y compris aux entreprises qui souhaitent renforcer la sécurité de leur système.

Pour les services publics, chacun remarque qu’aujourd’hui le numérique doit devenir le mode d’accès de droit commun aux démarches administratives. Si la France a un nombre de services publics numériques dont elle n’a pas à rougir, en revanche, l’utilisation réelle reste limitée, freinant les potentialités d’économies et de simplification pour l’usager.

Autant de barrières qu’une identification numérique forte permettrait de lever, en s’inspirant de certains pays européens tout aussi respectueux des droits de l’homme que la France. « Disposer d’une identité numérique sécurisée permet des progrès significatifs dans la modernisation de l’administration et des services publics et autorise d’importantes économies pour les finances publiques. 2 milliards par an d’économies sont attendues au niveau de l’État au Royaume-Uni ! L’identité numérique est clairement positionnée comme un relai de croissance à la fois pour les administrations mais aussi le secteur privé autour de la KYC et de l’échange de données », ajoute Guy de Felcourt.

 

Déficiences de l’identité : un lourd impact dans le paysage de la fraude en France

L’impact des failles des identifications et authentifications sur la fraude est en effet édifiant. « Dans le domaine de la fraude sociale, des missions ont établi en 2011/2012, sur la base d’un échantillon représentatif, que sur un stock de 18 millions de numéros de sécurité sociale attribués à des personnes nées à l’étranger, près de 10 % étaient attribués sur la base de faux documents. Cet exemple illustre une dimension aiguë du problème d’identité dans la fraude documentaire, touchant les documents racine de l’identité. »

La première et la plus importante des fraudes est celle de l’identité numérique. Le problème d’usurpation ou de substitution d’identité est donc fondamental. « Si nous appliquions la sécurité numérique à la carte vitale, la fraude à la sécurité sociale (en France) n’en serait pas là », clame Alain Juillet, président du Club des directeurs de sécurité des entreprises (CDSE).

« Durant l’année 2015, dans le tissu bancaire, nous avons expertisé 2 250 000 documents d’identité, dont 90 000 ont fait l’objet d’une alerte ; soit 4 % des documents. Grâce à ces expertises, si nous estimons que le risque minimum de la fraude s’élève à 5 000 euros, les banques ont su économiser plus de 450 millions d’euros », explique Marie Azevedo, fondatrice et dirigeante de Reso Com.

La Direction des finances publiques a aussi développé des outils en matière de lutte contre la fraude et notamment dans le traitement des fichiers dans ce domaine fiscal et social. « Nous développons des techniques d’échanges directs de données entre administrations. En matière de fraude aux états civils, les titres d’identité étant de plus en plus sécurisés, la fraude se déporte en amont, d’où l’importance de sécuriser la délivrance des titres d’état civil. Ainsi, l’application COMEDEC (COMmunication Electronique des Données de l'État Civil) du ministère de l’Intérieur permet la transmission sécurisée et dématérialisée directement entre la mairie et la préfecture du titre d’état civil », souligne Jeanne-Marie Prost, déléguée nationale à la lutte contre la fraude. Une avancée certaine pour Guy de Felcourt qui appelle néanmoins à renforcer le travail de fiabilité sur les enregistrements des identités et d'ajouter : « L’importance de la fraude au Numéro d’Identification Répertoire (NIR) représenterait une valeur potentiellement de l’ordre du déficit de la sécurité sociale. »

D’autres conséquences néfastes des déficiences de l’identité se font par ailleurs sentir en termes migratoires (recrudescence de fausses identités allemandes), d’économie souterraine (problèmes de dissimulation) et de prévention du terrorisme (difficulté pour identifier les terroristes). « Malgré ce constat l'arsenal déployé par l'État pour lutter contre le terrorisme fait très peu référence à ces enjeux d'identification et d'authentification à l'ère du numérique », soulignent les experts.

 

Nouveau cadre européen et fort développement international

Le règlement eIDAS fournit un cadre d’interopérabilité aux administrations en matière d’identité numérique. Tous les États membres doivent l’intégrer au niveau national. Il s’attache à la simplicité, à la recherche de la sécurité et de la fiabilité mais n’impose pas une identification numérique harmonisée car l’identité est liée à la souveraineté et son exercice est du ressort de chaque État membre. L’Europe est la première région au monde à allier une législation globale, un cadre d’exécution et un mécanisme d’interopérabilité sur ce sujet. Le règlement eIDAS est également considéré par le secteur privé comme une formidable opportunité, totalement en phase avec la dématérialisation des services.

Sur le plan international, il y a plus de 120 pays dans le monde qui émettent un passeport électronique. Cette tendance gagne également les documents d’identité nationaux, sur les 47 pays d’Europe, 24 émettent une carte d’identité électronique. On estime enfin que 3,5 milliards de personnes auront une identité forte d’ici 2018 au niveau mondial.

L'éthique et la protection des données

La question de la protection de son identité personnelle se pose de plus en plus en Europe depuis l’adoption par la Commission européenne du règlement eIDAS. Et l'usage de la biométrie pose encore certains problèmes d’ordre bioéthique. C’est pourquoi, en France, toute installation biométrique doit recevoir au préalable une autorisation de la CNIL. Les données biométriques sont assujetties aux lois sur la protection des données personnelles. Les organisations doivent alors choisir les bonnes options qui s'offrent à elles : enregistrement de données résumées, stockage local et préférence pour la vérification à l'identification. Désormais, prouver sa capacité à sécuriser les informations et données est aussi important que la solution en elle-même. L'adoption du règlement européen de la protection des données personnelles (voir article dans le numéro précédent de S&D Magazine) ajoute des obligations de mise en conformité et de transparence permettant d'assurer la protection des données à caractère personnel. Enfin, au-delà de la réglementation, des normes et certifications sectorielles montrent une évolution significative dans la prise en compte de l'importance de la sécurité bien en amont des projets et de la conception des technologies pour s'adapter aux nouvelles réalités du numérique. Concilier innovation et vie privée deviendra ainsi une démarche non seulement plus responsable mais aussi plus rentable ! « Au-delà des contraintes imposées par ce règlement européen, la vision protectionniste pourrait bien se combiner intelligemment à une approche plus libérale pour que le sujet de l’économie des données personnelles allie business et éthique. En étant conforme by design, on parie pour une innovation durable, et cela constitue in fine une réelle valeur ajoutée », témoigne le CIGREF.

L'Europe prend le virage de l'identité numérique

L’Allemagne a démarré son programme d’identité forte dans les années 2010. L’Espagne possède 30 millions de cartes d’identité électroniques émises avec capacité de signature électronique et authentification forte. La Norvège a développé, avec un partenariat bancaire et un opérateur de téléphonie mobile, une solution qui permet l’accès aux services en ligne, l’ouverture de comptes, et la signature électronique.

 

Authentification forte des données personnelles

Le projet norvégien R&D SWAN (Secure Access Control over Wide Area Network) destiné à lutter contre la fraude à l’identité et le piratage des données personnelles a été lancé en 2015 par le RCN (Research Council of Norway). Il est destiné à assurer, via la biométrie, une authentification forte, totalement sécurisée, des données personnelles sur smartphone lors d'opérations en ligne.

Le projet SWAN consiste en le développement d'une plateforme de contrôle d'accès viable et rentable « par l'utilisation de l'authentification forte et de la biométrie pour sécuriser les transactions financières et par l'amélioration du processus de transmission des données. Le principe étant de crypter l'intégralité de chaque transaction de l'émission à la finalisation de la transaction. Ce projet de recherche stratégique pour l'économie numérique du pays fait appel à l'acquisition de l'iris, des empreintes digitales et du visage sur smartphone à la protection des templates biométriques et des transactions », souligne Safran Identity and Security porteur du concept dont 90 % du chiffre d'affaires se réalise hors de France...

Le Royaume-Uni avec le projet UK Verify (UK IdAP), qui repose sur un schéma fédéré de fournisseurs d’identité numérique privés, est d'autant plus intéressant et révélateur qu'il est construit pour un pays culturellement peu porté vers la carte d’identité ou le système central. « Le programme GOV.UK Verify vise à digitaliser l'accès aux services publics par le biais de nouvelles technologies d'authentification et d'identification. Celles-ci permettent aux citoyens et résidents du Royaume-Uni de disposer d'un accès plus simple et plus rapide à ces services, tout en protégeant la confidentialité de leurs données personnelles et en évitant les usurpations d'identité. Le stockage central d'informations et la divulgation de données personnelles ne seront possibles qu'avec l'autorisation explicite de l'utilisateur concerné », souligne Safran Identity and Security, développeur du programme.

Dès 2018, pour effectuer des démarches administratives, les citoyens britanniques devront passer par des fournisseurs d’identité (banques, telco, industriels) dont le métier est d’enrôler les gens sur des procédures très strictes, de vérifier leur identité et de leur donner des moyens d’authentification sûrs qui leur permettront ensuite d’accéder aux services en ligne.

 

Une étude macro menée conjointement par le BCG et la SIA évalue à 50 milliards par an les économies permises par la mise en place de plateformes d’administration en ligne d’ici 2020 dans le monde.

 

10 millions de cartes d’identité électroniques au Chili

 

57 % des Chiliens possèdent désormais une carte d’identité électronique qui protège leur identité et facilite l’accès aux services publics en ligne. D'ici à 2022, près de la totalité de la population chilienne (plus de 18 millions d'habitants à ce jour) devrait posséder une carte nationale d'identité sécurisée.

 

La carte d'identité électronique chilienne s'appuie sur un système multi-biométrique composé d'un système d'identification biométrique automatique (AFIS*) et d'un système de reconnaissance faciale. Le processus de validation des documents repose sur une authentification biométrique à deux facteurs : empreintes digitales et reconnaissance faciale. « Le Chili a placé la barre encore plus haut en matière de protection de l'identité en Amérique latine et a jeté des bases solides pour la création de services en ligne dont pourront bénéficier tous les Chiliens », souligne Jessica Westerouen van Meeteren, directrice de la division Government Identity Solutions de Safran Identity & Security.

 

*AFIS : Automated Fingerprint Identification System

 

Des enjeux pour la filière française et son positionnement à l’international

La France est un des pays européens le plus en retard malgré un tissu industriel remarquable et des success stories internationales nombreuses. Porteuse des fleurons de l’industrie de la cyber-sécurité, de la gestion des identités et des accès, des solutions de protection biométrique... la France a toutes les capacités pour rattraper son retard et se positionner comme un des leaders de cette transition. Il faut pour cela un projet volontariste au niveau gouvernemental !

« Grâce au Single Sign-On et à l’approche Global SSO proposée par Sign&go, les notaires n’ont plus besoin de retenir de multiples login/mot de passe. Ils s’authentifient une fois et accèdent comme ils le souhaitent à leurs applications métier, depuis leur PC, smartphone ou tablette et depuis n’importe quel endroit. À l’heure de la mobilité, la sécurité des accès depuis les périphériques mobiles était une condition sine qua non ! De plus, grâce à la fédération d’identités, le CSN se positionne comme un fournisseur d’identités et les utilisateurs pourront également accéder via leur compte ID.not à un bouquet d’applications partenaires (par exemple : agences immobilières, syndics de copropriété, etc.). Nous souhaitons réellement qu’ID.not devienne une vraie référence en termes d’identité numérique ! », témoigne la direction de projet au sein de PRATIC*. Une solution proposée par Ilex International.

 

* PRATIC est l’entité responsable de l’innovation, du développement et de l’exploitation de services applicatifs relevant du système d’information notarial qui a lancé le projet ID.not.

 

Quelle identité numérique forte pour les Français ?

Dans un rapport publié sur les services publics numériques, la Cour des comptes invite les pouvoirs publics à « réétudier l’opportunité de développer une carte nationale d’identité électronique ». Un projet stoppé net en 2012 par le Conseil constitutionnel qui avait jugé que deux dispositions inscrites dans la loi de mars de la même année relative à la protection de l’identité étaient contraires à la Constitution : la création d’une base de données contenant les informations détenues dans ces puces portant sur la quasi-totalité de la population et interrogeable notamment par les services de police et de gendarmerie, ainsi que la possibilité pour le titulaire de la carte d’y faire figurer des données permettant de s’identifier sur des réseaux de communication électronique et de mettre en œuvre sa signature électronique.

« Bien que le Conseil constitutionnel ait admis que l’atteinte au droit à la vie privée puisse être justifiée par des impératifs de sécurité et de lutte contre la fraude, il a considéré surtout que les mécanismes proposés ne permettaient pas de garantir la proportionnalité par rapport à l’objectif recherché. Cette décision n’est pas une condamnation de la biométrie en soi, mais une demande de garde-fous plus importants. La réflexion s’attache aujourd’hui à la conception de garanties qui satisfassent les organes politiques et les citoyens français. Des possibilités peuvent être légitimant explorées aussi vis à vis de la révision des critères et surtout de l’objet de la loi, dans un contexte où l’identité est devenue aujourd’hui plus importante pour la sécurité du pays, mais aussi nécessaire pour les usages numériques », explique Guy de Felcourt.

Relance du débat autour de la création d'une carte d'identité numérique 

La Cour des comptes explique que la relance de la CNIé pourrait faire partie des projets « structurants » dont la France a besoin rappelant que « l’identification électronique des usagers doit être à la fois simplifiée et sécurisée ».

Malgré le blocage, l'Agence nationale des titres sécurisés (ANTS) développe le projet ALICEM, prototype qui devrait être opérationnel à compter de l'été 2017.

ALICEM permet d’utiliser une pièce d’identité électronique (le passeport biométrique actuellement) pour s’identifier via son smartphone, de confronter la photo avec l’utilisateur par reconnaissance faciale et de créer ainsi un compte utilisable par de nombreux services partenaires. Le SGMAP a d’ailleurs signalé qu’il envisageait d’inclure ALICEM parmi les fournisseurs d’identité de FranceConnect, ce qui permettrait de proposer aux usagers une authentification d’un niveau de sécurité fort au sens du règlement e-IDAS. « Ce projet justifierait la relance d’un projet de carte nationale d’identité électronique », souligne la Cour des comptes.

L'application ALICEM ne générerait aucune base de données. À terme, elle pourrait également fonctionner à partir des titres de séjour ou d'une carte d'identité électronique...

Le Sénat s'empare de la question

Les sénateurs François Bonhomme (Les Républicains – Tarn-et-Garonne) et Jean-Yves Leconte (Socialiste républicain – Français établis hors de France) soutiennent l'ensemble de ces initiatives en cours de déploiement « dans la mesure où elles permettent de sécuriser l'identité des citoyens et qu'il est confirmé qu'elles constituent une première étape vers une identité numérique fiable ». À ce titre, dans leur rapport d’information publié en juillet dernier et intitulé “Biométrie : mettre la technologie au service des citoyens”, les deux sénateurs présentent 9 propositions, dont la première : « Poursuivre le développement de l'identité numérique utilisant des données biométriques (ALICEM), comme envisagé par l'ANTS, en valider la fiabilité et travailler à son indispensable encadrement juridique ; et coordonner cette démarche avec les autres initiatives européennes. » 

Si ces initiatives apparaissent positives, elles ne se substituent pas à la création d'une carte d'identité biométrique, que les deux sénateurs appellent de leurs vœux et proposent « pour permettre à l'État de garder l'initiative en matière d'identification et lutter contre les usurpations d'identité, de créer une carte nationale d'identité biométrique, conformément à la logique de la loi n° 2012-410 du 27 mars 2012, et présentant les caractéristiques suivantes : conservation de deux empreintes digitales et un lien avec un fichier comprenant des “liens faibles” avec une exclusion des usages commerciaux et notamment des possibilités d'achats en ligne. »

Objectif 2018 : il est urgent de réagir

La France a besoin d’une identité forte, mais cela n’implique pas forcément la mise en place d’un fichier centralisé. Une voie par exemple est le processus de dérivation de qualité, orienté vers un usage sectoriel qui minimise la quantité de données personnelles en jeu pour chaque usage.

Le récent travail du Sénat qui, sur le projet de loi pour une république numérique, a voté des amendements, permettant d’inscrire « l’utilisation du processus d’identification électronique » pour la facilitation des usages, de présumer de conditions de fiabilité et d’aménager le cadre législatif français par ordonnance pour le mettre en conformité avec le règlement européen eIDAS, est une autre avancée porteuse d'espoir. Le règlement européen en matière de protection des données basé sur la mise en conformité et la transparence se présente également comme un atout, un nouveau garde-fou apportant de nouvelles garanties. Les succès des déploiements de solutions dans les pays voisins de la France sont d'autres indicateurs encourageants...

Il n'en demeure pas moins que dès septembre 2018, les moyens d’identification électronique notifiés seront reconnus lors du passage aux frontières entre les États membres de l’Union européenne. Sauf à mettre en place au plus vite un régime incitatif et opérationnel d’identité numérique forte, la France ne pourra pas tenir les engagements qu’elle a pris au sein de l’Union européenne pour promouvoir une identité numérique forte et interopérable, élément essentiel du marché unique. Il y a donc urgence à ce que la France agisse et que le futur gouvernement de 2017 amorce un tournant politique sur la question ! 

Sources : FITS


PrécédentAccueilSuivantPartager