Comment mieux encadrer l’identité numérique des citoyens européens ?

La gestion de l’identité numérique des citoyens en Europe souffre actuellement d’un manque d’encadrement tant juridique que technique.

L’identité numérique peut se définir comme un dispositif technique visant à fournir aux citoyens un moyen sécurisé et fiable de s’identifier en ligne (1).

S’identifier en ligne devient une pratique généralisée à presque tous les services de la vie courante comme par exemple :

accéder à son adresse mail,
consulter ses comptes bancaires,
commander en ligne, etc.

L’obligation de vérification de l’identité réelle des personnes est partout !

Or, l’identité numérique en Europe est actuellement encadrée par le Règlement Eidas de 2014 en cours de révision (2).

Le projet de règlement européen sur l’identité numérique

Consciente de ces enjeux, la Commission européenne a donc proposé, le 3 juin 2021, un règlement concernant un cadre européen relatif à une identité numérique. Ce Règlement a pour objectif de répondre aux besoins de créer une identité numérique accessible à tous les citoyens, résidents et entreprises de l’UE.

La Commission européenne est partie du constat que :

Actuellement, seuls 60 % des citoyens européens se voient proposer un service d’identité numérique ;
Les solutions d’identité numérique proposées par les différents états membres sont incomplètes et non opérables entres elles ;
Les solutions d’identité numérique actuelles utilisent énormément de données personnelles sur les personnes concernées ;
Les solutions d’identité numérique peuvent ne pas offrir les garanties de sécurité nécessaires pour les usagers.

L’objectif pour la Commission est de permettre à ce que « tous les Européens puissent accéder à des services en ligne sans devoir recourir à des méthodes d’identification privées ni à partager inutilement des données à caractère personnel ».

La création d’un portefeuille d’identité numérique

La Commission collaborera avec les États membres et le secteur privé sur les détails des aspects techniques qui viendront soutenir l’identité numérique européenne.

Concrètement, l’Union Européenne prévoit la création d’un « portefeuille d’identité numérique » mis à la disposition des personnes physiques ou morales installées sur le territoire de l’UE.

Ce portefeuille ou « wallet » contiendra les éléments des identités des personnes vérifiables au moyen de schéma d’identification qui reste à définir.

Les éléments des identités numériques des personnes s’entendent comme tout élément pouvant faire le lien entre :

l’identité réelle d’une personne (physique ou morale) et
la ou les entité(s) virtuelle(s).

On pense aux données biométriques : empreintes digitales, reconnaissance faciale, empreinte de l’iris, réseau veineux de la main ou même voix.

Ces schémas nécessitent une interopérabilité entre les différents Etats membres, régulièrement réévalués et parfaitement sécurisés par les Etats membres.

Assurer l’interopérabilité

L’interopérabilité consiste à fournir un moyen d’identité par un prestataire en Europe qui pourra par la suite être accepté indépendamment du lieu où il aura été délivré.

Cette identité numérique sera utilisable partout dans l’UE. Elle permettra de s’identifier et de s’authentifier en vue :

« d’accéder à des services du secteur public et du secteur privé, de sorte que les citoyens pourront exercer un contrôle sur les données communiquées et sur la manière dont elles sont utilisées ».

Les mesures de sécurité devront évidemment concerner les mesures applicables aux données d’identité hébergées dans une base de données.

Le texte de la Commission prévoit en effet la possibilité de stocker ce type de données dans des services cloud en vue d’un partage en ligne. L’utilisateur doit expressément donner son consentement à ce stockage.

Le traitement de données biométriques

Concernant les données biométriques, la Cnil a déjà formalisé dans une délibération du 10 janvier 2019 (3) une série de règles de sécurité physiques. Elles concernent le choix des modalités de détention des gabarits biométriques :

La délibération prévoit trois types de détention de gabarits biométriques, selon le degré de maîtrise exercé par les personnes concernées sur le support de conservation :

Type 1 : les gabarits sous maîtrise des personnes concernées sont ceux dont le seul support de stockage durable est détenu par la personne elle-même, par exemple sous forme de badge ou de carte à puce ;
Type 2 : les gabarits sous maîtrise partagée sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés, mais qui sont conservés sous une forme les rendant inexploitables sans l’utilisation d’un secret détenu par la personne concernée ;
Type 3 : les gabarits non maîtrisés par les personnes concernées sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés sous une forme exploitable ne nécessitant ni badge contenant le gabarit ni utilisation d’un secret maîtrisé par la personne concernée.

A voir comment la conciliation se fera avec les possibilités prévues par le texte européen d’héberger les données d’identification dans un cloud.

Les autres usages

Enfin, on pourrait envisager que ce texte s’applique également aux usages professionnels. En effet, la problématique de la sécurité touche les entreprises, notamment depuis la crise du Covid 19. Comment s’assurer que les personnes qui se connectent à distance à leur système d’information sont bien celles qui y ont autorisées ?

Actuellement, les entreprises utilisent des solutions d’identité et de gestion des accès dites solutions « IAM ».

Une solution IAM ou « Identity and Access Management » fournit aux entreprises les outils nécessaires pour gérer :

l’accès de ses collaborateurs à son système d’information ainsi que
leur droit d’accès aux différentes applications et systèmes.

Il s’agit principalement :

d’authentifier les utilisateurs sur le réseau informatique de l’entreprise et
de pouvoir assurer la traçabilité des droits octroyés à l’utilisateur.

Or, ces solutions permettent le plus souvent de gérer également les identités des utilisateurs sur le réseau professionnel.

Authentifier VS identifier… Espérons que le texte européen viendra enfin trancher l’éternel débat.

Anthony Sitbon
Lexing Technologies, Département sécurité

(1) Livre blanc Identité numérique 5.0, Philippe Morel, Bernard Hauzeur, Dinesh Ujoodah, Anthony Sitbon et Alain Bensoussan, Décembre 2021.
(2) Voir, Le post de Frédéric Forster du 17 02 2023.
(3) Délib. Cnil 2019-001 du 10 janvier 2019

Cookie	Durée	Description
cookielawinfo-checkbox-functional	12 mois	Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.
viewed_cookie_policy	12 mois	Enregistrement de l’ouverture de la politique cookies.