eIDAS 2.0 : vers une identité phygitale
Dans un monde de plus en plus connecté, où la vie quotidienne se numérise à un rythme effréné dans les domaines de la santé, de l’éducation, des finances, ou des déplacements, faciliter la vie des citoyens, des entreprises et des instances étatiques est désormais / devenu une priorité.
L'identité numérique apparaît comme une solution prometteuse pour relever les défis de notre époque, mais il est essentiel d'en comprendre les enjeux et d'adopter une approche pragmatique qui combine à la fois les aspects numériques et physiques. Ainsi, l'ère du phygital ouvre de nouvelles perspectives pour l'identité et la confiance numérique.
L'identité phygitale, contraction des termes "physique" et "digital", vise à associer les avantages du monde numérique (rapidité, efficacité, accessibilité) à ceux du monde physique (sécurité, confiance, authenticité). Cette approche hybride permet de répondre aux besoins des utilisateurs en matière d'identité et de confiance numériques, tout en tenant compte des contraintes réglementaires et des préoccupations en matière de protection des données personnelles.
Le règlement eIDAS (Electronic Identification, Authentication and Trust Services) dans sa version 2.0 et l'avènement de l'identité phygitale marquent une étape importante dans la construction d'un espace numérique européen sécurisé, interopérable et respectueux des droits fondamentaux des citoyens, des entreprises et des instances étatiques.
L’eIDAS dote les européens d’un portefeuille électronique e-Wallet
Le règlement eIDAS, offre aux citoyens européens la possibilité de bénéficier d'un portefeuille électronique, dénommé e-Wallet, dans le cadre de la mise en œuvre de la réglementation eIDAS 2.0. Ce portefeuille d'identité numérique européen (EUDI, European Union Digital Identity Wallet) se présente comme la version numérique de votre portefeuille contenant vos titres d'identité physiques et vos attributs personnels. Les utilisateurs pourront y stocker diverses accréditations tels que la carte d'identité, le passeport, le permis de conduire, la carte personnelle de santé ..., sous forme de justificatifs vérifiables, également dénommées "Verifiable Credentials" (VC), conformes aux standards du World Wide Web Consortium (W3C).
Selon la Commission européenne, cette initiative vise à créer un espace numérique commun et sécurisé pour l'ensemble des pays états membres, facilitant ainsi les intéractions et les transactions sécurisées entre les citoyens, les administrations et les entreprises.
Le e-Wallet permettra aux utilisateurs de contrôler leurs données personnelles et de les partager de manière sélective (le porteur détenteur des données contrôle ce qu’il souhaite divulguer), tout en garantissant leur authenticité et leur intégrité.
Grâce au e-Wallet, les utilisateurs pourront s'authentifier et s'enregistrer auprès de services publics et privés en ligne (par exemple, ouvrir un compte bancaire, remplir une déclaration, ou s'inscrire dans une université) et signer électroniquement tous les documents émis par les prestataires de services de confiance enregistrés. Cette solution numérique devrait contribuer à simplifier les démarches administratives et à renforcer la confiance dans les transactions en ligne, tout en respectant les exigences du règlement général sur la protection des données (RGPD).
L’eIDAS élargit l’éventail de services de confiance électroniques
Afin de créer un environnement numérique unifié et sécurisé au sein de l'Union européenne, le règlement eIDAS établit des normes d'identification et d'authentification électronique. Ce cadre réglementaire repose sur deux piliers fondamentaux :
- La délivrance de certificats de confiance qualifiés pour la signature électronique, le cachet électronique et l'authentification de site internet. Ces certificats garantissent l'intégrité et l'authenticité des transactions numériques, renforçant ainsi la confiance entre les parties prenantes.
- La liste des prestataires de services de confiance numérique reconnus au sein de l'Europe. Ces prestataires, soigneusement sélectionnés et certifiés, assurent la fourniture de services numériques sécurisés et conformes aux exigences réglementaires.
Les signatures électroniques et les services numériques connaissent un essor rapide dans toute l'Europe et nécessitent une authentification de niveau élevé pour garantir la sécurité et la fiabilité des transactions. Trois domaines d'application clés illustrent cette tendance :
- Les démarches d'enregistrement et de transfert de propriétés auprès des notaires exigent une authentification forte pour prévenir les fraudes et assurer l'exactitude des transactions. Cette exigence renforce la protection des intérêts des parties prenantes et contribue à la fluidité des processus.
- La mise en place de la facturation électronique vise à réduire les fraudes, les erreurs de saisie et à renforcer la conformité fiscale à l'échelle internationale. L'authentification forte joue un rôle crucial dans la sécurisation de ces échanges et la préservation de l'intégrité des données.
- Le respect de la directive sur les services de paiement 2 (DSP2) impose une authentification forte du client pour toutes les transactions de commerce électronique en Europe. Cette mesure vise à protéger les consommateurs et à lutter contre la fraude en ligne.
Pour se conformer aux exigences du règlement eIDAS, les certificats de confiance doivent être conformes à la réglementation en vigueur. Celle-ci stipule que "la personne physique ou le représentant autorisé de la personne morale doit présenter un document officiel d'identité avec photographie (carte nationale d'identité, passeport, titre de séjour ou autre document relatif au séjour)" pour se voir délivrer une signature numérique.
Cette disposition garantit l'identification fiable des utilisateurs et la sécurité des transactions numériques au sein du marché unique européen.
L’eIDAS réaffirme l’importance de la fourniture de sources authentiques pour la génération de cette identité numérique
L'identité numérique, pour être reconnue et acceptée par toutes les parties prenantes, doit être garantie et approuvée par un tiers de confiance, tel que l'état. Ce lien de confiance s'appuie sur l'identité régalienne, c'est-à-dire que la création de l'identité numérique se base sur le titre physique régalien (carte nationale d'identité, titre de séjour, carte de résident, passeport, etc.). L'état attribue ainsi à chaque individu un PID (Person Identification Data), fondé sur un registre d'état civil ou une carte d'identité électronique.
Cette identité numérique régalienne repose sur un élément de très haute sécurité embarqué sur le titre lui-même : le "secure element". Toutes les cartes d'identité européennes conformes aux dernières réglementations disposent de ce "secure element" sur la puce du titre d'identité, garantissant ainsi une protection accrue des données d'identité du citoyen grâce à des systèmes de sécurité et des processus cryptographiques performants (biométrie et champs régaliens biographiques, par exemple).
Agissant en tant qu'Imprimerie Nationale au service des états, nous œuvrons à assurer aux citoyens le même niveau de garantie d'identité dans le monde numérique que dans le monde physique, en cohérence avec une stratégie phygitale.
La protection des droits et de la vie privée : un enjeu majeur de l'identité numérique
La protection des droits et de la vie privée revêt une importance capitale dans la mise en place de l'identité numérique. Celle-ci doit permettre à chaque individu de contrôler l'accès à ses informations personnelles en ligne et de garantir un usage consenti de ses données.
Le règlement eIDAS 2.0 met en avant le principe de contrôle total par l'utilisateur de ses données personnelles. Les utilisateurs bénéficient d'un accès à leurs informations et certificats, qu'ils peuvent utiliser et révoquer à leur convenance. Le portefeuille numérique encadre le partage des données aux informations strictement nécessaires à la fourniture du service de confiance pour lequel la signature numérique est requise.
L'identité numérique, vecteur d'inclusion sociale et économique
L'identité est un droit universel que les états doivent délivrer à leurs citoyens dès leur naissance. Offrir à chaque citoyen une identité numérique renforce à la fois l'inclusion sociale et économique, en facilitant l'accès aux services en ligne proposés par les gouvernements, les entreprises et les organisations, la participation à la vie démocratique, l'accès aux services financiers et l'accès à l'emploi et à l'éducation.
A ce titre elle permet :
- L’accès sécurisé aux services en ligne proposés par les gouvernements et les entreprises
- La participation à la vie démocratique en donnant accès à des plateformes en ligne pour voter, s’exprimer, participer à des débats publics
- L’accès aux services financiers en permettant l'ouverture de comptes bancaires en ligne, l'accès à des services de paiement numériques, l’obtention d’un prêt bancaire en ligne
- L’accès à l'emploi et à l'éducation pour vérifier les qualifications. Faciliter les processus de candidature en ligne et permettre l'accès à des programmes de formation et d'apprentissage.
Une complémentarité entre identité physique et identité numérique
A l'échelle mondiale, seuls 55 % de la population sont équipés d'un smartphone et près de la moitié de la population mondiale n’ont pas accès à internet ce qui implique que les citoyens ont encore besoin d'une identité physique. Disposer d'un portefeuille électronique nécessite de posséder un appareil fonctionnel et de dernière génération, et en cas de casse, de perte, de vol, de piratage ou de ransomware du téléphone, le titre physique reste indispensable pour prouver son identité.
Le titre d'identité physique est toujours requis dans certaines situations, comme les voyages internationaux ou les interactions en face à face avec les autorités publiques. De plus, certains pays européens confirment la nécessité de disposer d'un titre d'identité physique pour créer son jumeau numérique et impose des éléments de sécurité dans le titre physique pour assurer l'intégrité de la chaîne de confiance. En cas de cyberattaque en masse, une solution entièrement numérique reste vulnérable.
Identité numérique et identité physique doivent donc cohabiter pour garantir la sécurité, la souveraineté et le droit d'accès pour chaque citoyen aux services publics et privés. IN Groupe, conscient des enjeux, travaille sur les deux aspects de l'identité et promeut une identité phygitale qui contribue à l'émergence d'une administration numérique efficace, d'une économie innovante et d'une société connectée, sécurisée et inclusive.
Massin Marie-Aude - Directrice Business Line Système & Identité numérique