eIDAS 2.0, vers un virage décisif pour l’identité numérique ?

Après un succès en demi-teinte en 2014, le règlement eIDAS fait peau neuve afin de répondre aux demandes actuelles du marché et des citoyens européens. La Commission souhaite donner naissance à un marché unique entièrement digitalisé dont le portefeuille européen d’identité numérique sera la pierre angulaire. Si des questions restent irrésolues, il semble déjà que le modèle européen suscite un vif intérêt au sein des instances internationales.

Par Andréas Ley

Un faux départ ?

En 2014, le règlement eIDAS portant sur les « Services d’identification, d’authentification et de confiance électroniques » avait pour objectifs initiaux d’assurer la continuité d’activité des entreprises européennes au sein des environnements numériques, de faciliter l’accès aux services publics sur internet et lutter contre la fraude.¹ Son adoption a posé les fondations de la signature digitale, en accordant une valeur légale aux documents dématérialisés et en garantissant la véracité de l’information partagée. Ce règlement joue un rôle essentiel en matière de sécurité juridique, de disponibilité et de recours aux « tiers de confiance », ayant connu une forte croissance depuis sa mise en application. Au sein du réseau eIDAS, l’accès aux services publics sur internet s’ouvre aux titulaires d’un système d’identification numérique conforme à son cadre réglementaire. L’essor des prestataires de confiance a donc accéléré la modernisation des administrations publiques sur le continent, en engendrant la réduction de tâches répétitives à faible valeur ajoutée et en garantissant les transferts de preuve en ligne avec les citoyens.

Pourtant, ce projet n’a suscité que de faibles taux d’adoption et d’utilisation parmi les Etats-membres et les prestataires privés. La couverture des citoyens en termes d’identité numérique n’a touché que 59% de la population tandis que les nœuds du réseau eIDAS ne sont pas totalement opérationnels.² L’absence d’archivage électronique et d’interopérabilité entre les différentes infrastructures nationales d’identification digitale, au nombre de 14 en 2021, ont fortement impacté la valeur ajoutée de cette dernière. L’augmentation des transactions par voie électronique a poussé les mandataires européens à réinventer leur solution afin de répondre aux demandes actuelles du marché et de concurrencer les fournisseurs privés de portefeuilles d’identité numérique, à l’image d’Apple, Samsung ou encore Google. « En matière d’identité, les identifications online transfrontalières sures et certaines (légalement) étaient impossibles avant l’adoption du règlement eIDAS (v1). Et bien que ce dernier prévît cette identification online transfrontalières, le succès était limité à la suite des différentes implémentations nationales et la complexité des échanges et fonctionnalités limitées. eIDAS v2 représente un pas nécessaire vers de nouvelles règles du jeu, engendrant un meilleur niveau d’interopérabilité accompagné de plus de possibilités/fonctionnalités supportées par un degré de maturité collective plus élevé et la reconnaissance des services de confiance spécifique dans le contexte de l’identité numérique » affirme Erik van Zuuren, fondateur de Trustcore.EU.

Digital wallet

Actuellement au cœur des débats, la révision du règlement eIDAS a entraîné la création d’un portefeuille européen d’identité numérique.³ La proposition de la Commission et les amendements des comités parlementaires visent à améliorer l’efficacité, la cohérence et la pertinence de cette première brique posée dix ans plus tôt. « La révision du règlement prévoit la création de ce portefeuille ainsi que l’obligation pour les Etats-membres de les délivrer dans un court délai après son entrée en vigueur. Ce portefeuille permet à chacun de s’identifier en ligne et hors ligne sur le territoire de l’UE pour des services publics ou privés. Il doit aussi permettre de signer électroniquement et de valider des attestations d’attributs (en cas d’un accès limité à certains services en fonction de la qualité de la personne – un avocat ou un médecin, par exemple). Cette initiative représente un pas important en termes d’identification électronique. Elle contribue également à renforcer la protection des citoyens européens, en évitant notamment que leurs données personnelles ne finissent entre les mains d’acteurs malveillants » précise Hervé Jacquemin, professeur à l’Université de Namur et avocat chez Lime Law. Et de prolonger : « Si on vise la dématérialisation totale de certains procédés, il faut aller au bout du raisonnement. En ce sens, la prise en compte de l’archivage électronique est importante même si le texte de juin 2021 n’est pas encore suffisamment clair au niveau des effets juridiques (et de l’assimilation éventuelle à un archivage papier). La révision intègre également le registre électronique, qui constitue un nouveau service de confiance (dont les caractéristiques rappellent la logique de la blockchain). Ce dernier est donc censé garantir l’authenticité et l’intégrité des données, ainsi que l’horodatage et leur classement chronologique. Avant de promouvoir ce type de procédé, une réflexion devrait toutefois être menée sur le rôle éventuel d’une autorité centrale (qui s’écarte de la logique des blockchains publiques), et sur l’impact environnemental qui peut en résulter ».

Cependant, les lignes de tensions sont profondes entre les divergences d’interprétation du règlement, les différentes pratiques étatiques d’identification numérique, la difficile collaboration entre les organismes de surveillance, la représentation des personnes morales et les besoins de conformité juridique. En juillet 2022, la Commission a abandonné l’idée controversée d’un « identifiant électronique unique et persistant », un principe jugé inconstitutionnel en Allemagne mais appliqué quotidiennement en Belgique.⁴ Les récents amendements de la révision envisagent plutôt des identifiants uniques par service faisant office de compromis. La Commission a assuré que seules les données minimum pour s’identifier en ligne seront nécessaires.

« Avant d’établir des solutions techniques, la régulation doit être adaptée aux usages réels de l’identité numérique (ouvrir un compte bancaire, souscrire une assurance, présenter une prescription en pharmacie ou son identité lors de la phase d’enregistrement à l’aéroport, etc.) Dans ces cas d’usages, certaines discussions peuvent porter sur la coexistence possible entre plusieurs portefeuilles, le E-wallet n’ayant pas vocation à remplacer toutes les applications et portefeuilles existants. Il incarne la racine de la confiance numérique transfrontalière et la régulation se doit donc de clarifier les limites de ce portefeuille numérique afin pouvoir supporter ces cas d’usages et être capable d’apporter une valeur ajoutée aux citoyens » remarque Erik van Zuuren.

En attendant Godot

Prévue en octobre 2022, l’échéance de la révision d’eIDAS semble de plus en plus incertaine au vu de l’état actuel des discussions. Au travers de son amendement 5, le Comité ITRE du Parlement européen insiste sur les bienfaits économiques pour les grandes entreprises et les PME, en valorisant la réduction des coûts opérationnels liés aux procédures d’identification et aux dommages des cyberattaques. La volonté du secteur privé d’adopter les outils par eIDAS déterminera largement la réussite de la révision. Cette dernière prévoit également de mettre en place des barrières à l’entrée du marché européen via la portabilité des données. Si les géants numériques possédant des portefeuilles digitaux veulent y avoir accès, ils devront impérativement les rendre interopérables avec le « digital wallet » européen.

Le déploiement massif de ce dernier en août dernier devrait permettre un retour d’expérience et d’assurer la correction des premiers problèmes techniques. Mais certaines inquiétudes voient déjà le jour sur le plan de la cybersécurité. « Ce qui est complètement nouveau est la présence du portefeuille européen en combinaison avec ces « attestations » placées sous la contrôle du citoyen (sur son smartphone). Dans ce contexte, il est indispensable d’assurer que mon identité soit bien rattachée à mon smartphone et que ce dernier soit sécurisé ! Nous avons également besoin de standards. Plusieurs pistes de réflexion existent pour assurer ces garanties. La première serait la collaboration/interaction entre les cartes d’identité nationale et les téléphones. Une autre pourrait être l’utilisation des prévisions de sécurité dans les smartphone, à condition qu’ils soient conformes aux standards de sécurité européens. Une autre option serait d’arriver à une collaboration avec les opérateurs de téléphonie mobile afin que la carte SIM devienne un espace de stockage de preuves d’identité » précise Erik Van Zuuren.

« Depuis plusieurs mois, la Commission des Nations Unies pour le droit commercial international (CNUDCI) porte une réflexion similaire à celle de l’Union sur l’identité numérique et les services de confiance. Un projet de loi-type est ainsi en discussion. Une occasion d’exporter tout ou partie du modèle européen au-delà de ses frontières et de partager de nouveaux standards communs en matière de commerce international » conclut Hervé Jacquemin.

1^Commission européenne, EIDAS Regulation | Shaping Europe’s digital future, https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation.

2^Commission européenne, Report from the Commission to the European parliament and the Council, on the evaluation of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market (eIDAS), Bruxelles, 2021.

3^« Regulation of the European parliament and of the Council, amending Regulation (EU) N°910/2014 as regards establishing a framework for a European Digital Identity ».

4^Laura Kabelka, « Réforme eIDAS : la Commission estime qu’un identifiant unique n’est « pas nécessaire » », EURACTIV.fr, 11 juill. 2022p.