Introduction à l’identité numérique : définition, usages et ambitions

beyond Technology

Introduction à l’identité numérique : définition, usages et ambitions

Elle est de plus en plus fréquemment évoquée, à l’échelle nationale ou européenne, mais cerne-t-on réellement ce que signifie l’identité numérique ? Dans ce dossier, nous tentons d’exposer de manière simple et synthétique ce dont il s’agit.

C’est l’un des grands enjeux — et chantier — de cette décennie : comment permettre aux citoyens d’accéder à un nombre grandissant de services publics dématérialisés en leur garantissant une sécurité élevée ? Avec la pandémie de Covid-19, la question s’affiche désormais en gras, alors qu’on tente de réduire les filles d’attentes, de désemplir les bureaux, de passer de moins en moins d’objets de main en main. Évidemment, d’autres objectifs s’y ajoutent, comme le besoin de renforcer la souveraineté numérique française et européenne, et de s’installer sur un marché qui devrait peser déjà 1 milliard d’euros en 2029.

L’identité numérique, plus qu’un prolongement de l’identité civile

Avant de parler d’identité numérique, il convient de faire un retour sur l’identité hors d’un cadre numérique : elle est propre à chaque individu, mais aussi en perpétuelle évolution. Comment définir l’identité d’une personne ? L’identité, telle qu’on l’évoque couramment, correspond à son identification officielle, garantie aujourd’hui par l’État (depuis le début du XIXe siècle). L’identité, c’est un prénom, un nom, une date de naissance, une photographie, permettant de reconnaître une personne par le biais de papiers d’identité officiels. La définition officielle est d’ailleurs la suivante : “Ensemble des éléments qui, aux termes de la loi, concourent à l’identification d’une personne physique (dans la société, au regard de l’état civil) : nom, prénom, date de naissance, filiation, etc.”

Cela correspond à l’état civil d’une personne, sa situation dans la famille et la société, résultat d’une procédure écrite d’identification administrative. Avec le temps, et les avancées technologiques, on a multiplié les éléments d’identification des individus. Les empreintes digitales, les tests ADN, et maintenant la reconnaissance faciale ou rétinienne, sont autant d’éléments qui permettent d’identifier un individu. Cette identification peut s’inscrire dans le cadre d’enquêtes policières et judiciaires, et rentre peu à peu dans l’usage courant, par exemple pour éviter l’usurpation d’identité.

Pour définir une identité numérique, c’est un peu plus compliqué. L’approche visant à décliner l’identité physique en identité numérique est une approche récente, retenue dans le cadre de projets d’identité numérique régaliens. Avant cela, l’identité numérique est vue comme l’ensemble des identifiants détenus par les utilisateurs. Il peut par exemple s’agir des identifiants d’accès à ses comptes Google et Facebook ou aux services en ligne d’une banque ou d’un office notarial. Et si certains services demandent l’utilisation d’une identité analogue à l’identité réelle, elle n’est pas toujours obligatoire. L’utilisation de pseudonymes est très répandue sur les réseaux sociaux, les jeux en ligne, les forums de discussion, etc. On peut aussi définir l’identité numérique, plus largement, comme la somme des traces que nous laissons sur Internet.

Pour quels usages ?

Quand on parle d’identité numérique, et qu’on la lie à l’actualité, difficile de ne pas penser à différents projets gouvernementaux — comme la loi visant à protéger les victimes de violences conjugales — visant à l’identification des majeures sur les sites pornographiques. Concernant cet exemple précis, aujourd’hui, il suffit pour l’utilisateur de cliquer sur “oui, j’ai plus de 18 ans”, sans avoir à apporter une preuve supplémentaire de son âge. L’État souhaite faire évoluer cette démarche, et l’idée d’utiliser FranceConnect a même été un temps évoquée. Finalement, cela pourrait passer par un dispositif tiers d’authentification, français ou étranger, et pas forcément régalien.

FranceConnect, c’est justement l’outil le plus proche de ce que l’on entend aujourd’hui par citoyenneté numérique. Il faut dire que c’est le seul actuellement en service en France. Cette plateforme permet d’accéder à différents services étatiques, tels que impots.gouv, ou le site de l’Assurance-maladie, afin d’y effectuer diverses démarches (peut-être votre déclaration d’impôt dernièrement ?). Les opérations aujourd’hui effectuées avec FranceConnect ne nécessitent pas un niveau de sécurité très élevé.

Un rapport de la mission d’information de l’Assemblée nationale évoque de nombreux usages possibles : des services publics délivrés par l’État ou par les collectivités territoriales, comme les demandes de procuration de vote, d’aides sociales, d’inscription sur les listes électorales, de dépôt de plainte, mais aussi la téléconsultation médicale, les demandes de passeport, etc. Ils pourraient aussi concerner des services privés : ouverture d’un compte bancaire, demande de crédit, services relatifs aux assurances.

“Une solution d’identité numérique régalienne serait très utile, par exemple, dans le cadre du déploiement du dossier médical partagé (DMP)”, indique le rapport. “Elle offrirait en effet à son utilisateur un outil souple et sûr pour accéder à ses informations personnelles. Les acteurs auditionnés par la mission en attendent notamment une plus grande fiabilité et un recours accru des Français aux outils du numérique en santé.”

Et quid du vote ? La mission d’information considère que le vote en ligne ne peut pas être réalisé pour toutes les élections et qu’il importe d’écarter un tel recours pour les autres élections.

La sécurité des données, nerf de la citoyenneté numérique

“Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques.” Ce règlement européen vise à établir un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres de l’Union européenne, afin de “promouvoir le développement d’un marché de la confiance numérique”.

Le règlement eIDAS fait apparaître plusieurs niveaux de sécurité : le niveau faible, le niveau substantiel, et enfin le niveau élevé. Les choix technologiques effectués conditionnent le niveau de sécurité d’une identité numérique régalienne, et les services aujourd’hui disponibles en ligne en France ne sont que de faible niveau.

Les différents niveaux établis par le règlement eIDAS sont :

  • Faible : à ce niveau, l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité
  • Substantiel : à ce niveau, l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité
  • Élevé : à ce niveau, l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité

Le marché de l’identité numérique devrait représenter 250 millions d’euros d’ici 2024 et plus de 1 milliard d’euros d’ici 2029. D’où l’importance d’une solution régalienne pour l’État, qui ne souhaite pas voir les entreprises privées étrangères — en particulier les Gafam — accaparer ce marché. “En France, ce secteur, pris dans sa globalité, comprend environ 500 entreprises, pour un chiffre d’affaires de 1,4 milliard d’euros en 2018, indique le rapport précédemment cité. La France est très bien dotée dans ce domaine et dispose d’un certain nombre de champions industriels, parmi lesquels Thales, IN Groupe, IDEMIA ou encore Atos.”

Et quand on évoque la crainte que la vérification de l’identité échappe aux outils de l’État, le sujet est très actuel. Lors de sa conférence WWDC 2021, le géant du smartphone Apple a présenté plusieurs nouveautés à venir sur Apple Wallet, dont le stockage des papiers d’identité à présenter directement depuis son iPhone. À une heure où les questions de souveraineté numérique sont particulièrement prégnantes, il est clair que les États vont devoir vite agir pour ne pas voir des multinationales privées imposer leurs solutions.

La nouvelle carte nationale d’identité électronique (CNIe), une première étape

L’une des étapes importantes de l’identité numérique régalienne, c’est le renouvellement de la carte nationale d’identité des Français. La nouvelle carte nationale d’identité, dite électronique en raison de la puce infalsifiable qu’elle embarque, promet d’être plus sécurisée que la carte actuellement en circulation, et de mieux contrer l’usurpation d’identité. Cette puce pourra stocker la photo du visage et les empreintes digitales de son détenteur.

Ce nouveau document d’identité est destiné à servir de support pour accéder à des services publics ou privés exigeant une identification solide en ligne. Il est le premier volet vers une identité numérique régalienne, projet du ministère de l’Intérieur depuis 2018. La mission d’information de l’Assemblée nationale indique qu’utiliser son identité numérique régalienne “nécessitera, dans le cadre d’une dérivation de la CNIe, de recourir soit au smartphone et à ce titre d’identité (authentification de niveau élevé), soit au seul terminal de l’utilisateur, pour des usages ne requérant qu’un niveau de sécurité simple ou substantiel”. Car la carte nationale d’identité électronique (CNIe) a bien vocation à être dématérialisée sur smartphone, à travers une application mobile.

Justement, l’autre récent projet qui a fait couler beaucoup d’encre n’est autre qu’Alicem. Alicem est une application pour smartphone développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS), qui permet à tout particulier qui décide de l’utiliser de prouver son identité sur Internet de manière sécurisée, à l’aide de son smartphone et de son passeport ou de son titre de séjour. Comprenant un volet lié à la reconnaissance faciale, le projet a certes été validé par le Conseil d’État, mais a été mis sur pause pour le moment.

Des ambitions européennes

Le besoin d’établir et encadrer une identité numérique des citoyens n’est pas qu’une affaire française, et concerne aussi l’Europe. Le 3 juin dernier, la Commission européenne a ainsi proposé un cadre européen relatif à une identité numérique qui sera accessible à tous les citoyens, résidents et entreprises de l’Union européenne.

Ce cadre européen entend reposer sur trois grands principes : être accessible à toute personne souhaitant l’utiliser, offrir de multiples possibilités d’utilisation, offrant un moyen soit d’identifier un utilisateur, soit de prouver certains attributs personnels, aux fins d’accès à des services numériques publics et privés dans l’ensemble de l’Union, et enfin, les utilisateurs devront avoir la maîtrise de leurs données, c’est-à-dire laisser les utilisateurs déterminer quels éléments de leur d’identité, de leurs données et de leurs certificats ils partagent avec des tiers, et de garder la trace de ce partage.

Un début de calendrier a aussi pris forme. La Commission invite ainsi les États membres, par cette annonce officielle, à mettre en place une boîte à outils commune d’ici à septembre 2022 et à entamer immédiatement les travaux préparatoires nécessaires. Une boîte à outils qui devra comprendre “l’architecture technique, des normes et des lignes directrices relatives aux bonnes pratiques”. Nous devrions donc rapidement entendre à nouveau parler de l’identité numérique, avant que cette notion finisse par devenir beaucoup plus concrète dans nos vies.

Retrouvez la publication originale par Romain Challand sur Les Numériques.com.