La révision en cours du Règlement eIDAS met en œuvre les conditions d’une identité numérique harmonisée au sein de l’Union européenne. Le règlement adopté en juillet 2014 comportait une lacune majeure sur ce point.
Un wallet d’identité numérique européen
Ce nouveau règlement n’en est actuellement qu’à la phase du « trilogue » de son processus d’adoption. Mais le projet comporte de très nombreux éléments extrêmement intéressants quant à une future identité numérique harmonisée et européenne. Le Conseil de l’Union européenne a formalisé sa position sur l’identité numérique européenne lors de la réunion du Conseil « Télécommunications » le 6 décembre 2022.
Parmi ces éléments figure la promotion d’un portefeuille d’identité numérique :
- utilisable par les personnes physiques mais aussi les personnes morales
- résidentes et installées sur le territoire de l’Union européenne.
Ce portefeuille contiendrait les éléments de cette identité, vérifiée au moyen d’un schéma d’identification :
- notifié à des organismes publics ou privés accrédités et désignés par les Etats membres ;
- fondé sur des normes techniques communes et évalué obligatoirement par ces organismes.
Ainsi, la délivrance d’attestations d’attributs électroniques attesterait l’identité numérique. Ces attestations auraient une validité sur l’ensemble du territoire de l’union. Ces attestations vont permettre, par exemple, de relier des identités numériques nationales à des preuves d’autres attributs personnels comme un permis de conduire ou un compte bancaire.
Les usages de ce portefeuille sont évidemment très nombreux et visent, notamment, la fourniture et l’utilisation des services publics et privés transfrontaliers, avec la garantie pour les fournisseurs de ces services de pouvoir s’appuyer sur des solutions d’identité numérique fiables et sécurisées.
Les utilisateurs, quant à eux, pourraient facilement garder le contrôle de leurs données personnelles. Les informations liées à cette identité numérique seraient en effet conservées dans le wallet, qu’ils gardent sous leur contrôle.
En cas de stockage des données personnelles d’authentification à des fins de partage dans des services cloud, ce stockage et ce partage ne seraient autorisés que si l’utilisateur y a donné son consentement.
Une identité numérique soumise à haut niveau de sécurité
Les questions liées à l’identification des personnes lors de transactions électroniques sont une question évidemment ancienne et les solutions techniques déployées depuis quelques années sont nombreuses. Mais elles sont aussi diverses et peu, voire pas, techniquement interopérables, souvent parce que leur niveau de sécurité est hétérogène.
En obligeant les futurs fournisseurs de services d’identité numérique à déployer un niveau élevé de sécurité et de confiance, la proposition de règlement pourrait mettre en échec l’utilisation de moyens nationaux d’identification électronique déjà déployés et utilisés.
Or, le projet prévoit que les moyens d’identification électronique nationaux déjà délivrés et d’un niveau de garantie « substantiel » puissent s’utiliser en combinaison avec les nouvelles procédures européennes.
S’agissant des contenus protégés dans les wallets au moyen de dispositifs cryptographiques, ceux-ci devront, par ailleurs, répondre aux dispositions en vigueur en matière de cybersécurité.
Entrée en vigueur de cette nouvelle identité numérique
Les nouvelles dispositions de ce projet de règlement s’appliqueraient dans les 24 mois de l’adoption de ses actes d’exécution.
Ce projet viendra apporter une pierre supplémentaire à la construction d’une législation européenne de plus en plus présente et « couvrante » sur l’ensemble de la sphère des services numériques, notamment en vue de réprimer les comportements les plus critiquables (voir en cela les règlement dits DMA et DSA), d’augmenter les niveaux de sécurité informatique et matérielle (voir les dispositions relatives à la sécurité des objets connectés ou à la cybersécurité, par exemple) et d’accompagner le mouvement de dématérialisation des relations personnelles ou professionnelles.
Il conviendra donc de suivre attentivement les évolutions de ce projet. Le besoin de pouvoir disposer d’une identité numérique fiable, sécurisée et reconnue sur le territoire de l’Union européenne constitue aujourd’hui un élément clé du développement transnational de services numériques, publics ou privés.
Frédéric Forster
Lexing Télécoms