Rencontre avec Didier Trutt, PDG d’IN Groupe
Regarder avec lucidité la crise de la COVID
La crise sanitaire sans précédent que le monde a connue a eu de nombreuses conséquences dont certaines ne nous sont pas encore connues en termes sociaux, sociétaux et économiques. Mon sentiment est que la crise de la COVID est venue accélérer et amplifier des mutations qui étaient déjà à l’œuvre dans le cadre de la transformation numérique de nos sociétés : la manière dont nous travaillons par exemple avec l’accélération du télétravail dans les entreprises ou l’acceptabilité des outils numériques comme outils performants de gestion des crises.
Pour autant, les Européens doivent regarder avec lucidité l’éclairage cru que la crise du COVID a projeté sur une dépendance technologique vis-à-vis d’acteurs non-européens. Je pense tout d’abord à la dépendance aux semi-conducteurs. Les difficultés actuelles d’approvisionnement qui impactent tous les secteurs de l’économie ont rappelé que des pans entiers de l’économie européenne dépendaient intégralement de quelques fournisseurs installés en Asie. Alors même que l’Europe dispose des compétences industrielles et technologiques pour maîtriser la chaine de fabrication et de distribution de ces composants. Je constate avec satisfaction que cette prise de conscience a permis une mobilisation des Etats membres à travers la Commission européenne pour initier un plan ambitieux de maitrise stratégique des semi-conducteurs en Europe.
Le deuxième enseignement que je retire vient une nouvelle fois, et malheureusement, confirmer le désintérêt voire l’abandon de certains Etats membres auprès d’acteurs du numérique non-européens. En mettant en place leurs pass sanitaires, je constate que certains Etats ont préféré s’appuyer sur de grands groupes internationaux dont le modèle économique repose en grande partie sur la monétisation de la donnée personnelle.
A contrario, je constate que la France a fait un choix politique fort et assumé en rassemblant des acteurs nationaux publics et privés pour construire l’écosystème Tous AntiCovid. A ce titre IN Groupe a été honoré d’y contribuer avec l’application Tous AntiCovid Verif, utilisée pour la vérification des pass sanitaires. L’application a été téléchargée plus de 2 millions de fois, et nous la maintenons et l’opérons depuis nos serveurs sécurisés IN Groupe, tout en assurant la liaison avec l’écosystème du Digital Covid Certificate (DCC) européen.
Cette décision s’appuie sur un constat partagé depuis de nombreuses années par quelques acteurs au premier rang desquels IN Groupe se place, qui considèrent qu’en matière numérique, la donnée personnelle n’est pas une donnée comme les autres. L’identité n’est pas et ne doit pas être un service. Elle est un droit fondamental et les données qui font cette identité doivent être protégées. Ma conviction : c’est sur ce socle de confiance autour de la protection de la donnée personnelle que l’Europe peut et doit construire l’un des piliers de sa souveraineté numérique. Cela nécessite un volet légal et réglementaire que nous avons déjà (RGPD) mais également de faire croître un écosystème d’acteurs industriels et technologiques. Et je ne pense pas que ce modèle doive se limiter à la seule Europe, bien au contraire ! Je suis persuadé que nombre de pays veulent pouvoir bénéficier de ce modèle numérique alternatif européen.
L’identité, le socle de la confiance
L’identité est le socle de la confiance dans la société et l’économie numériques. Je regrette que cette évidence ait été perdue de vue ces dernières années mais les choses changent !
Donner les moyens aux 67 millions de Français et aux 447 millions d’habitants au sein de l’Union européenne de s’authentifier dans le monde numérique avec des solutions respectueuses de leurs données et permettant de se protéger du fléau de l’usurpation d’identité est un impératif politique et économique.
En tant qu’imprimerie nationale d’Etat, IN Groupe est un acteur engagé dans les schémas d’identité numérique les plus protecteurs et les plus sécurisants. La protection de la donnée d’identité est au cœur de la nouvelle CNIe lancée en mars 2021. C’est le sens de notre mission historique pour l’Etat et les citoyens français.
C’est aussi le sens des investissements technologiques de l’IN qui nous permettent d’avoir des infrastructures résilientes, capables de tenir la charge. Nous le démontrons au quotidien notamment avec l’identité numérique des professionnels de santé (e-CPS et Pro Santé Connect) utilisée pour se connecter aux SI vaccinaux COVID. Au mois d’août, ce sont 9M de connexions que notre plateforme, développée pour l’Agence du numérique en Santé, a gérée, soit 50 000 connexions par heure.
Le sujet de l’identité numérique ne se limite toutefois pas à la simple fourniture d’une identité via des solutions technologiques émanant de l’Etat ou d’acteurs privés. Une identité numérique ne se conçoit que dans un écosystème plus large d’accès à des services numériques. C’est ce que notre collaboration à l’étranger démontre comme à Monaco par exemple où nous avons déployé une infrastructure complète d’identité légale, physique et numérique avec un wallet sur smartphone, en intégrant dès le départ la plateforme d’interconnexion avec les fournisseurs de services.
Les Etats qui avaient perdu de vue ce point, en mettant en place des identités numériques sans travailler sur l’organisation de l’écosystème des services associés, n’ont pu que constater leur relatif échec. Mais c’est aussi vrai au niveau européen. Nous ne pouvons que nous réjouir d’avoir eu très tôt un règlement e-IDAS organisant l’interopérabilité des identités numériques en Europe. Mais en se limitant à ce seul volet, il n’est pas incorrect de dire qu’e-IDAS n’a pas atteint tous ses objectifs.
A contrario, la récente initiative autour du projet de révision du règlement européen, et la mise en place d’un « wallet européen » me semble aller dans le bon sens puisque cette fois-ci le texte aborde la question de l’interopérabilité des services accessibles via ces identités. IN Groupe contribue aux travaux sur ce texte, que ce soit au niveau européen ou en France puisque nous co-pilotons le chantier stratégique Identité Numérique du CSF Industries de Sécurité.
C’est une formidable opportunité dont la France pourrait être le fer de lance, en s’appuyant sur la richesse de son écosystème public et privé. En tant qu’opérateur public garant de la sécurité des titres d’identité, l’IN est prête à s’engager dans cette voie. Ainsi, aux côtés de La Poste, nous avons confirmé au Gouvernement que nous étions prêts, ensemble, à déployer, dès accord de l’Etat, une solution d’identité numérique, basée sur la CNIe.
La mise en place du Wallet, c’est aussi la possibilité de nouveaux services protecteurs de l’identité des Français. Ces portefeuilles numériques sont à même de gérer des attributs anonymisés comme une preuve de majorité.
Le pass sanitaire aurait pu être un de ces éléments anonymisés contenus dans le wallet d’identité numérique de l’usager.
Un wallet pourrait également simplifier la vie au quotidien : qui n’a jamais oublié un mot de passe ? Qui se souvient toujours des « questions secrètes » pour réinitialiser le mot de passe en question ? Un wallet permettrait de remettre de la simplicité dans l’expérience des usagers.
Ma conviction est que nous disposons en France de tous les atouts pour être un pays pionnier du projet européen d’identité numérique : le souci de la protection des données, une CNIe moderne et conçue pour l’identité numérique, France Connect et un écosystème d’acteurs prêts à s’engager comme La Poste et IN Groupe.
Vers une certification éthique des algorithmes
La France est un modèle en Europe en matière de protection des données et elle a démontré sa capacité à faire des choix technologiques souverains. Je souhaite que sa présidence de l’Union Européenne soit aussi inspirante pour les autres Etats membres !
Ce serait également l’occasion d’adresser l’un des volets de la souveraineté numérique que je n’ai pas abordé : celui de notre capacité à peser sur la scène internationale en matière de standardisation. Aujourd’hui, trop de standards s’imposent sur lesquels les Européens ont peu, voire pas de prises. Laissez-moi vous donner un exemple : IN Groupe déploie des équipements et des systèmes utilisant des algorithmes biométriques en France et en Europe. Ces algorithmes sont évalués au regard de critères techniques définis par une agence fédérale américaine. Ne pourrait-on pas imaginer que l’Europe se dote de sa propre capacité à certifier ses algorithmes, en profitant de l’occasion pour rajouter le volet éthique qui manque, à mon sens, à l’évaluation de ces derniers ?