L’exercice de funambule de l’identité numérique européenne

Longtemps resté à l’état embryonnaire, le projet d’identité numérique européenne a connu une concrétisation fulgurante en 2022. La pandémie et les plans de relance régionaux ont impulsé une série de travaux herculéens afin de pallier les besoins des Etats-membres en matière de nœuds d’interopérabilité, de services de confiance et de standards européens de vérification de l’identité à distance. L’Union européenne aspire à devenir le berceau du numérique de confiance, souhaitant imposer une transition inspirée par les valeurs communautaires.

Par Geoffrey Comte

Great Expectations

Au sein des instances de l’Union européenne, le sujet de l’identité numérique est sur toutes les lèvres. Ses retombées économiques de l’ordre de 6% de la valeur du PIB des économies en développement et de 3% pour les économies développées, selon l’institut McKinsey, portent l’enthousiasme général.¹ La numérisation des services en ligne pourrait faire économiser quelque 110 milliards d’heures aux administrations publiques, incluant les organismes de protection sociale et les transferts de prestations. Au niveau mondial, l’amélioration des services d’enregistrement des clients pourrait diminuer les frais d’accueil de 90% et préserver près de 1 600 milliards de dollars happés par les fraudes. L’écosystème des « tiers de confiance » européens, reconnus par le règlement eIDAS de 2014, va donc connaître une croissance importante. En 2018, le marché de l’authentification représentait 2 milliards d’euros pour les solutions de fraude et 10 milliards en termes de solutions d’authentification des autorités. En 2023, leurs valeurs atteindront 4 milliards d’euros pour les premières et près de 24 milliards pour les secondes.

« Nous voulons un ensemble de règles qui placent les personnes au centre. […] Cela inclut le contrôle de nos données personnelles, dont nous disposons encore trop rarement aujourd’hui. Chaque fois qu’une App ou un site web nous demande de créer une nouvelle identité numérique ou de nous connecter facilement via une grande plateforme, nous n’avons aucune idée de ce qu’il advient de nos données. C’est pourquoi la Commission va proposer une identité électronique européenne sécurisée, en laquelle nous avons confiance et que tout citoyen pourrait utiliser partout en Europe, du paiement de ses impôts à la location d’un vélo. Une technologie où nous pouvons contrôler nous-mêmes quelles données sont utilisées et comment » déclarait Ursula von der Leyen, présidente de la Commission européenne, en septembre 2020.²

Cadavre exquis

Depuis l’adoption du règlement eIDAS, les systèmes d’identification numérique ont proliféré parmi les Etats-membres, sans nécessairement prendre en compte une dimension supranationale. Aujourd’hui, 19 systèmes distincts coexistent simultanément, répartis entre 14 pays, et couvrent environ 60% des ressortissants de l’Union.³ Ces projets n’ont globalement suscité qu’une faible adhésion de la part des usagers en raison d’une utilisation souvent contraignante et d’un potentiel commercial limité. En l’absence de standards clairement définis et de systèmes interopérables, l’hétérogénéité demeure la norme européenne et la fragmentation la prescription internationale. D’après une étude de Thales, 27% des Européens sondés utilisent déjà une identité numérique tandis que 45% ont recours à des moyens d’identification peu sécurisés. En France, 85% des interrogés se montrent désormais réceptifs à la perspective d’un portefeuille électronique. Une aubaine pour l’Union qui peut alors déployer son dispositif en s’appuyant sur des acquis nationaux.⁴

En France, 5 millions de citoyens possèdent une carte nationale d’identité électronique (CNIe) et l’application France identité est désormais capable de lire les puces NFC, présentes sur les cartes physiques afin d’authentifier la personne concernée. En phase de test, il s’agit d’une identité numérique régalienne à usage unique, permettant d’obtenir l’accès à 1 000 services publics en ligne via l’application France identité. Cette dernière intégrera France Connect, dont le processus d’identification repose sur une entité tierce à l’image de La Poste. Plus de 39 millions de Français l’emploient déjà. Son déploiement touche l’ensemble des régions françaises mais demeure inexistant dans un tiers des départements. En réaction, le programme Transformation numérique des territoires (TNT) prévoit le raccordement de la moitié des intercommunalités, des communes de plus de 3 500 habitants et 10% de celles de moins de 3 500 habitants d’ici fin 2022.⁵ Ces projets correspondent aux premières marches vers la généralisation de la numérisation des documents administratifs, attendue au début de l’année 2023.⁶ Le prochain cycle inclura le permis de conduire, le passeport des Français comme les transactions immobilières et les services de santé.

De la confiance à l’ère numérique

« Concernant la vérification de l’identité, la fragmentation mondiale s’explique principalement par la volonté des gouvernements d’imposer unilatéralement leurs niveaux et normes de sécurité. Le degré de contrôle du monde digital et des nouvelles technologies est bien supérieur à celui requis pour les démarches réalisées de façon analogique. L’autre dilemme est celui de l’acceptabilité de ces normes et standards internationaux par le secteur privé comme les peuples européens. Si nous mettons en place des niveaux de sécurité inaccessibles pour les industriels et les citoyens lors d’un enrôlement, alors le projet de l’identité numérique européenne sera un fiasco. Aussi, la Commission européenne accélère à grands pas l’harmonisation au travers de son règlement eIDAS et de sa révision. Chaque pays viendra y greffer ses propres normes de sécurité lors de la période de transposition » souligne Cyril Drianne, Country Manager France au sein d’Electronic Identification.

La création de standards européens et la définition des critères de sécurité fait l’objet d’intenses débats au cœur des instances européennes. « Il existe déjà une norme pleinement européenne applicable à l’ensemble des pays. Il s’agit de la création de certificats qualifiés à travers la vérification à distance, prévue dans le règlement eIDAS. L’option choisie est donc un portefeuille unique européen, lui-même une extension de cette technologie, mais son implémentation complique les discussions. Ces signatures électroniques qualifiées matérialisent un véritable compromis et assurent une bien meilleure homogénéisation du marché que les certifications nationales. Cette vérification à distance peut être réalisée par la vidéo identification en temps réel car les Etats-membres partagent le même système. Ce moyen est et demeurera le point d’ancrage de l’identification à distance aux niveaux européen et mondial dans les années à venir » pointe Cyril Drianne. Et de prolonger : « L’harmonisation réglementaire entraîne un phénomène de rachat des entreprises, dont les solutions de vérification de l’identité à distance sont conformes aux normes européennes existantes, par des entités plus importantes. Au cours de la prochaine décennie, cela pourrait amener à la création d’un oligopole sur ce marché. Une situation potentiellement dangereuse qui nécessiterait alors une nouvelle réglementation pour corriger les imperfections des marchés de l’identité numérique ».

Proof of work

Convaincre les peuples européens restent une épreuve aussi délicate que décisive. Les smartphones sont de facto placés au cœur du dispositif, augmentant ainsi la surface des cyberattaques. La sauvegarde des libertés individuelles reste la condition sine qua non de l’acceptabilité sociale de l’identité numérique. Concepts et technologies devront donc garantir le respect de la vie privée, le contrôle des usagers sur leurs données et l’émergence de nouveaux modèles économiques privés. La maturité technologique existante pourrait servir de support à une infrastructure décentralisée européenne, reposant sur la blockchain, et qui, encadrée par des règles communes, serait un atout indéniable pour maîtriser complètement les données des usagers. Cet écosystème assurerait l’essor des identités « auto souveraines », à même de fournir les preuves nécessaires pour chaque cas d’usage et répondra aux impératifs de confidentialité, d’interopérabilité et de confiance grâce au recours à un registre décentralisé. « La technologie de Zero Knowledge Proof (ZKP) permet d’imposer un degré de confidentialité durant les échanges de preuves d’identification. Cela pourrait rassurer les populations et répondre aux enjeux sociétaux derrière la mise en place de l’identité numérique. Cette dernière ne doit pas devenir un outil de surveillance de masse. Cette technologie représente un point fondamental pour la réussite des identités auto-souveraines de demain, pouvant être amenées à rejoindre les protocoles européens. Le ZKP dépasse le concept de divulgation sélective, consistant à partager le moins d’informations possible, et cherche à prouver quelque chose sans le montrer. La révision du règlement eIDAS n’introduit pas l’obligation de pratiquer le ZKP mais parle de divulgation sélective, ce qui correspond déjà à une première étape. Mais, son absence limite les cas d’usages de l’identité numérique dès lors que l’utilisateur ne souhaite pas dévoiler systématiquement des informations sur lui-même » précise Hervé Bonazzi, CEO d’Archipels.

Portée par ses valeurs communautaires, l’Europe a su accélérer la dynamique engagée autour de l’identité numérique. Le « digital wallet » européen devrait marquer un nouveau tournant à horizon 2024, et matérialiser la confiance et la transparence, autant que l’accès démultiplié à de nombreux services, attendus par les Européens et la promesse de la sécurité dans le marché unique numérique.

1^Olivia White et al., Digital ID: A key to inclusive growth | McKinsey, San Francisco, McKinsey Global Institute, 2019.

2^Ursula von der Leyen, State of the Union Address by President von der Leyen, https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_21_4701 , 16 septembre 2020.

3^Commission européenne, Report from the Commission to the European parliament and the Council, on the evaluation of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market (eIDAS), Bruxelles, 2021.

4^[Étude Thales ] 85% des Français interrogés sont prêts à utiliser le portefeuille d’identité numérique approuvé par l’Union Européenne, https://www.thalesgroup.com/fr/monde/securite/press_release/etude-thales-85-des-francais-interroges-sont-prets-utiliser-le , 6 juin 2022.

5^Alexandre Léchenet et Laura Fernandez Rodriguez, « Le gouvernement accélère le déploiement de France Connect », La Gazette des Communes, 8 mars 2022p.

6^Mathilde Saliou, « Demain, est-ce que tout le monde aura une identité numérique ? », 28 juin 2022p.