Opinions
Vers un cadre européen de l’identité numérique
Par La rédaction, publié le 06 septembre 2013
Le projet de règlement, qui sera discuté au Parlement européen, vise à remplacer et à compléter la directive européenne de 1999 sur la signature électronique, qui constitue aujourd’hui le cadre juridique de l’Union sur ce sujet. En effet, la Commission considère que le manque de succès que l’on constate actuellement pour la signature électronique provient des différences nationales de transposition de cette directive.
Le projet de règlement créera donc des règles communes à tous les Etats membres pour l’authentification forte ainsi que pour la signature électronique des personnes physiques et (ce qui est nouveau) morales. En France, ce projet remplacera la loi de 2000 sur la signature électronique, qui transposait la directive de 1999.
Qu’est-ce que l’identité numérique ?
L’identité numérique (ou électronique) est ici entendue comme un moyen de prouver sur internet sa véritable identité. Une telle démarche n’a aucune raison d’être systématique : l’internaute a parfaitement le droit de naviguer de manière anonyme ou en adoptant des pseudonymes ; la preuve d’identité doit se limiter aux seuls services qui justifient cette exigence, comme par exemple l’accès à des dossiers personnels.
Cette preuve de l’identité dans le monde numérique (réseaux, internet) s’effectue techniquement en deux temps :
1. Dire son identité (identification proprement dite)
2. La prouver (authentification)
On distingue « authentification faible », lorsque la preuve apportée n’est pas très fiable (ex : mot de passe), et « authentification forte », lorsqu’elle s’appuie sur des éléments plus difficilement fraudables et demeurant sous le contrôle de leur titulaire (carte à puce, biométrie…).
Concrètement, de nombreux Etats européens ont émis ces identités électroniques sous forme de certificats contenus dans les puces de cartes d’identité électroniques : Finlande, Estonie, Belgique, Espagne, Portugal, Suède, Allemagne, etc. En France, une disposition adoptée par le Parlement a été censurée en mars 2012 par le Conseil constitutionnel, qui estimait que la rédaction de l’article concernant l’identité numérique était maladroite.
Notons que les mêmes outils techniques permettent souvent de réaliser des signatures électroniques, c’est-à-dire d’apposer électroniquement son approbation sur un document.
La création d’un cadre européen d’interopérabilité
Le projet de règlement vise à créer les conditions selon lesquelles chaque Etat pourrait reconnaître et accepter les identités numériques émises par un autre Etat. Ainsi, chaque Etat pourrait notifier à la Commission des systèmes d’identité numérique qui respectent les conditions suivantes :
a) Les identités numériques sont émises par cet Etat, pour son compte ou sous son contrôle ;
b) Elles servent au moins à accéder aux services d’administration électronique ;
c) L’Etat garantit l’identité du titulaire ;
d) L’Etat garantit la disponibilité en ligne, gratuite et 24/7 des éléments de vérification (comme les listes d’opposition).
Il n’impose aucune spécification technique particulière pour utiliser l’identité électronique.
Si ce projet est adopté, les Etats membres de l’Union devront reconnaître les identités électroniques émises par les autres Etats à partir du moment où elles sont inscrites sur la liste publiée par la Commission. Ils devront notamment les accepter pour leurs services d’administration électronique ou lorsque la loi nationale impose l’usage d’une identité numérique.
Par ailleurs, si l’outil d’identité numérique permet de générer des signatures électroniques avec un degré suffisant de sécurité, alors cette signature électronique aura une validité juridique équivalente à celle d’une signature manuscrite.
Il est important de souligner que ce texte ne crée aucune obligation pour un Etat de l’Union de délivrer ou de faire délivrer des identités numériques (avec ou sans outil de signature), ni de notifier à la Commission celles qu’il délivre ou fait délivrer.
On peut toutefois s’interroger sur la réalité du besoin, pour le grand public, de disposer d’une identité numérique reconnue dans un autre Etat membre. Les transactions électroniques avec notre propre administration nationale, nécessitant une authentification forte ou une signature électronique, sont déjà très rares (cf. l’abandon de la signature électronique pour la télédéclaration des revenus…) ; les occasions de traiter avec une administration étrangère le sont encore plus, sauf cas particuliers (travailleurs transfrontaliers ou expatriés, par exemple).
Ce projet de règlement est en cours de discussion et ne devrait pas être adopté (avec éventuellement des modifications) avant 2014.
Fabrice Mattatia, expert en confiance numérique
Fabrice Mattatia, expert en confiance numérique