19 Mai 2021 – Rapport du 117e congrès – Commission 1 – Chapitre I – Le titre d’identité numérique

Posté à 11:10h dans par Marc

0 Likes

PARTIE II – Les attributs numériques de la personne

Titre 1 – L’identité numérique

Sous-titre 2 – La reconnaissance de l’identité numérique

Chapitre I – Le titre d’identité numérique

1198 S’identifier numériquement est un acte répété quotidiennement par l’intégralité des usagers de services numériques. Que le processus d’identification soit fastidieux ou bien transparent, sa mécanique est dans toutes les hypothèses inconnue de ses utilisateurs. Au mieux, ils n’auront à l’esprit que la complexité de leur mot de passe ou bien penseront que le prix de leur smartphone leur offre une certaine sécurité.

1199 La mécanique de l’authentification d’un individu par un système numérique ne peut en aucun cas se résumer à la procédure d’authentification. Derrière chaque compte utilisateur de chaque système se trouve un titre d’identité numérique dont la nature est variable. Après avoir cartographié la variété des titres d’identité numérique (Section I), il conviendra d’approfondir la délivrance des certificats numériques qualifiés (Section II).

Section I – La variété des titres d’identité numérique

1200 – Définition de l’identification numérique. – L’identification numérique est le processus qui, une fois achevé, permet à une personne réelle, physique ou morale, d’agir en son nom sur un service numérique. Le règlement eIDAS⁴⁴¹ la définit comme étant « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (Règl. eIDAS, art. 3).

1201 Projets gouvernementaux. Par extension, il peut également s’agir de l’usage fait par une personne d’un outil numérique pour prouver son identité dans la vie réelle. Ainsi le ministère de l’Intérieur, et plus précisément l’Agence nationale des titres sécurisés (https://ants.gouv.fr), travaille depuis plusieurs années sur différents projets d’identification numérique tels l’émission de cartes nationales d’identité numérique⁴⁴², qui devrait commencer au plus tard le 2 août 2021 (projet à l’échelle européenne) ou encore le projet Alicem⁴⁴³ (« Authentification en ligne certifiée sur mobile »), application⁴⁴⁴ permettant de créer un lien entre un passeport biométrique ou une carte de séjour biométrique et un compte FranceConnect par le biais de la reconnaissance faciale. Le décret du 13 mai 2019 instaurant Alicem⁴⁴⁵ a été attaqué en annulation pour excès de pouvoir devant le Conseil d’État quant à l’usage exclusif de la reconnaissance faciale comme moyen d’identification. Ce recours a été rejeté par un arrêt du Conseil d’État du 4 novembre 2020⁴⁴⁶.

1202 Les besoins des usagers de titres d’identité numérique diffèrent en fonction de la finalité de leur usage. Un équilibre doit ainsi être trouvé entre simplicité et sécurité. La variété des titres d’identité numérique permet de répondre à ce besoin d’équilibre. Cette variété se trouve dans la consistance du titre (Sous-section I), dans le niveau de garantie apporté par le titre (Sous-section II), ou encore dans la source de la délivrance du titre (Sous-section III).

Sous-section I – La consistance des titres d’identité numérique

1203 – Moyen d’identification électronique. – Tout processus d’identification numérique suit le schéma suivant : une personne active un titre d’identité numérique au moyen d’une étape d’authentification. Le règlement eIDAS le nomme « moyen d’identification électronique » et le définit comme « un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne » (Règl. eIDAS, art. 3).

1204 – Le titre d’identité numérique matériel. – D’une manière générale, le moyen d’identification électronique est dit « matériel » lorsqu’il prend la forme d’un objet électronique. Il s’agit d’un élément électronique avec un minimum de mémoire morte pour conserver toute sa durée de vie les données d’identification personnelle de son titulaire et une interface électronique avec ou sans contact permettant à un matériel tiers de lire les données qu’il contient.

1205 – La clé Real. – L’outil d’identification principal des notaires et de leurs collaborateurs, permettant notamment une identification sécurisée dans le cadre de l’utilisation des services numériques professionnels, appelé « clé Real », est un titre d’identité numérique matériel. Il s’agit en pratique d’une puce électronique sur laquelle sont gravés les éléments d’identification personnels de son titulaire et qui, pour son usage, est insérée dans un lecteur électronique au format universel dit « USB ».

1206 – Le titre d’identité numérique immatériel. – Le concept de moyen d’identification électronique immatériel est certainement plus difficile à appréhender ; pour autant, il est bien antérieur au règlement eIDAS. Historiquement il s’agit du système d’identification le plus commun pour les services en ligne, le système du login⁴⁴⁷.

Lors de son inscription, l’utilisateur renseigne des éléments d’identification personnels qui sont sauvegardés par le service numérique. Par la suite l’utilisateur accède à une page d’authentification qui lui permet, selon une procédure choisie par le service en ligne, de s’identifier.

Sa généralisation pour des usages autres que le simple accès à un service en ligne se développe en même temps que le déploiement des services d’hébergement et d’exécution d’applications en ligne communément appelés cloud.

1207 – ID.NOT Authenticator. – En complément de la clé Real, dont le niveau de sécurité implique des contraintes importantes en termes d’usage (notamment un raccordement au réseau Real), le notariat a mis en place une seconde plateforme d’identité numérique entièrement dématérialisée. Il s’agit de la plateforme ID.NOT Authenticator, également ouverte aux collaborateurs, dont l’utilisation permet un accès sécurisé à des services numériques professionnels pour lesquels le protocole complexe de la clé Real ne se justifie pas. Cet outil permet notamment l’accès au store des applications notariales, le portail NotAccess présenté dans le rapport du 113^e Congrès des notaires de France⁴⁴⁸.

Sous-section II – Les niveaux de garantie des titres d’identité numérique

1208 Les modalités pratiques d’utilisation du titre numérique, plus ou moins simples, ont un impact direct sur son degré de sécurité (§ I). Par ailleurs, en réglementant le sujet, l’Union européenne a permis un usage des titres d’identité numérique sécurisés au-delà des frontières nationales (§ II).

§ I – L’équilibre entre simplicité et fiabilité

1209 C’est par le biais de la procédure d’authentification que le détenteur d’une identité numérique active son titre d’identité numérique et se trouve ainsi identifié sur le service numérique convoité. De la sécurité recherchée dans l’usage de l’identité numérique dépend la facilité ou la complexité de la procédure d’authentification.

1210 – Classement des moyens d’identification électroniques. – L’annexe du règlement d’exécution du 8 septembre 2015 pris en application du règlement eIDAS par la Commission européenne⁴⁴⁹ a classé les moyens d’identification électronique selon trois catégories en fonction du niveau de garantie qu’ils offrent à leurs utilisateurs dans le tableau suivant :

Niveau de garantie	Éléments nécessaires
Faible	1. Le moyen d’identification électronique utilise au moins un facteur d’authentification. 2. Le moyen d’identification électronique est conçu pour que l’émetteur prenne des mesures raisonnables afin de vérifier qu’il est utilisé uniquement sous le contrôle de la personne à laquelle il appartient ou en sa possession.
Substantiel	1. Le moyen d’identification électronique utilise au moins deux facteurs d’authentification de différentes catégories. 2. Le moyen d’identification électronique est conçu de sorte qu’on puisse présumer qu’il est utilisé uniquement sous le contrôle de la personne à laquelle il appartient ou en sa possession.
Élevé	Niveau substantiel, plus : 1. Le moyen d’identification électronique protège contre les doubles emplois et les manipulations ainsi que contre les attaquants à potentiel d’attaque élevé. 2. Le moyen d’identification électronique est conçu de sorte que la personne à laquelle il appartient puisse le protéger de façon fiable contre toute utilisation non autorisée.

1211 – Critères de distinction. – Il ressort de ce tableau deux critères de distinction des moyens d’identification électroniques : les facteurs d’authentification et l’usage du matériel.

La même annexe du règlement d’exécution du 8 septembre 2015 distingue trois catégories de facteurs d’authentification pour lesquels il est ici proposé quelques exemples d’utilisation :

a) « Facteur d’authentification basé sur la possession », un facteur d’authentification dont il revient au sujet de démontrer la possession.

Par exemple : le téléphone portable recevant un SMS de confirmation.

Ce facteur d’authentification est fréquemment utilisé par les banques ou établissements émetteurs de cartes de paiement : lors d’un achat en ligne, la plateforme de vente adresse une requête en paiement à l’établissement émetteur de la carte. Pour s’assurer de l’identité de l’acheteur, l’établissement bancaire demande à l’acheteur d’entrer sur son clavier téléphonique un code qu’il vient d’adresser par SMS au titulaire de l’instrument de paiement.

b) « Facteur d’authentification basé sur la connaissance », un facteur d’authentification dont il revient au sujet de démontrer la connaissance.

Par exemple : le login ou la réponse à une question personnelle.

Il s’agit du facteur d’authentification le plus fréquent ; il est utilisé par la quasi-totalité des services numériques. Pour s’identifier sur un service numérique, l’usager doit entrer un mot de passe.

c) « Facteur d’authentification inhérent », un facteur d’authentification qui est basé sur un attribut physique d’une personne physique, et dont il revient au sujet de démontrer qu’il possède cet attribut physique.

Par exemple : la reconnaissance faciale ou par empreinte digitale.

Le grand public retrouve ce facteur d’authentification dans la plupart des appareils connectés mobiles. Il sert, en premier lieu, d’authentification pour l’accès à l’appareil. Par un effet induit, si la machine a retenu certains facteurs d’authentification basés sur la connaissance de son propriétaire, alors, à l’usage, ce facteur d’authentification inhérent se substituera au facteur d’authentification basé sur la connaissance, en toute transparence pour le service.

L’incrémentation d’intelligence artificielle dans la gestion des facteurs d’authentification permet également la substitution factuelle du facteur d’authentification basé sur la connaissance : lorsque l’appareil pareillement équipé reçoit un SMS de confirmation, il va automatiquement faire le lien avec la demande d’entrée de code faite à l’utilisateur et proposer de l’insérer.

1212 – Biométrie pour authentifier ou pour identifier. – Concernant ce dernier facteur, il s’agit en l’espèce de la biométrie prise comme méthode d’authentification. Ce cas doit être strictement distingué de la biométrie prise comme méthode d’identification. En cas d’authentification, l’utilisateur présente à un système un attribut physique que le système a précédemment enregistré et attend spécifiquement. En cas d’identification, le système d’information auquel est présenté un attribut physique le compare à sa base de données pour identifier la personne.

1213 – Moyens d’identification matériels. – Enfin, l’exigence de détention du titre physique et une certaine facilité de révocation en cas de perte, de disparition ou de vol, pouvant être considérées en pratique comme une forme de sécurité, un titre d’identité numérique matériel peut exister sans qu’aucun des trois facteurs d’authentification précités ne soit nécessaire à son activation. Dans ce cas, l’authentification consiste en la simple présentation de l’objet. Loin d’être anodin, ce principe de fonctionnement est notamment retenu par les émetteurs de cartes bancaires dites « sans contact ».

§ II – Un usage encouragé à l’échelle européenne

1214 Le quatrième paragraphe du préambule du règlement eIDAS précise que la Commission européenne avait soulevé dès 2010, dans son rapport sur la citoyenneté de l’Union, « la nécessité de résoudre les principaux problèmes empêchant les citoyens de l’Union de profiter des avantages d’un marché unique numérique et des services numériques transfrontaliers ». Cette volonté d’uniformiser au sein de l’Union les identifications numériques et les services y afférents est affirmée à d’autres reprises dans le préambule.

L’uniformisation des règles, étape nécessaire à l’usage transfrontalier, commence dès l’article 2, alinéa 1^er du règlement eIDAS : « Le présent règlement s’applique aux schémas d’identification électronique qui ont été notifiés par un État membre et aux prestataires de services de confiance établis dans l’Union ». C’est ainsi que les services d’identification numérique proposés par des services de confiance établis dans l’Union et agréés par un État membre peuvent être utilisés avec les mêmes garanties, notamment en matière de sécurité, dans toute l’Union.

1215 – La carte d’identité électronique. – Le 20 juin 2019, le Parlement européen et le Conseil ont adopté le règlement n^o 2019/11587 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents délivrés aux citoyens de l’Union et aux membres de leur famille⁴⁵⁰. Ainsi l’Union européenne souhaite un déploiement des cartes d’identité numériques et biométriques sécurisées et interopérables à l’échelle de l’Union.

Ce règlement impose des contraintes techniques, notamment en matière de format, de sécurité, de contenu et d’interopérabilité (Règl. 20 juin 2019, art. 3) et un calendrier (Règl. 20 juin 2019, art. 5), tout en laissant à chaque État membre, pour des raisons évidentes de souveraineté, la tâche de la collecte des informations personnelles et de l’émission du titre.

Sommairement, ces cartes d’identité contiendront notamment une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables. Il est laissé la possibilité aux États émetteurs d’ajouter un dispositif numérique complémentaire et indépendant du dispositif commun pour offrir des services complémentaires (tel un certificat de signature). Les États membres, et donc la France⁴⁵¹, ont jusqu’au 2 août 2021 pour émettre des cartes d’identité conformes à ce règlement. Les anciennes cartes d’identité cesseront d’être valides au plus tard le 3 août 2031.

Sous-section III – La source de la délivrance du titre d’identité numérique

1216 De facto, le titre d’identité numérique peut être délivré par toutes sortes d’entités sans qu’il y ait nécessairement besoin d’une régulation ou d’une législation. C’est ainsi que les Gafa proposent tous les cinq un titre d’identité numérique (§ I). De jure, de la même manière que la technique employée influe sur la portée du titre délivré, l’émetteur, pris en la personne d’une administration, d’un employeur ou encore d’une banque, compte tenu de la réglementation à laquelle il est soumis et de la connaissance qu’il peut avoir du bénéficiaire du titre émis, va délivrer un titre d’identité numérique plus conventionnel (§ II).

§ I – Les identités numériques délivrées par les Gafa

1217 – Sign in with… – Google, Apple, Facebook, Amazon et également Microsoft proposent tous les cinq à leurs abonnés d’utiliser leur compte utilisateur pour s’identifier sur des services numériques (sites de commerce en ligne, de diffusion de vidéos…) fournis par des tiers.

Le mécanisme fonctionne ainsi : un futur usager d’un service numérique souhaite ouvrir un compte auprès de ce service ; afin d’accélérer et de simplifier sa démarche, il lui est proposé par le service en ligne de s’authentifier via sa page sur l’un des comptes qu’il possède déjà chez un Gafa, et ce au lieu d’entrer toutes ses données personnelles, de choisir un mot de passe, etc.

1218 – Avantages pour les différents protagonistes. – L’usager gagne du temps en évitant la procédure fastidieuse de création de compte ; le service en ligne n’a pas perdu un éventuel client qui aurait été découragé par la nécessité de créer un tel compte ; la multinationale qui a fourni l’identité numérique profite de cette occasion et des conditions générales d’utilisation non lues par le client pour alimenter sa base de données gigantesque dont l’usage et l’analyse constituent a minima des éléments indispensables à l’amélioration des services offerts à ses clients et, pour Google et Facebook, leur principale source de revenus.

1219 – Portée juridique et pratique. – S’il paraît difficilement envisageable d’utiliser une telle méthode pour procéder à la signature électronique d’un contrat d’une certaine importance, pour des raisons juridiques comme de sécurité informatique, cette méthode ne doit pas être méprisée pour autant. L’universalité de ces entreprises, leur capacité à fournir des solutions techniques de qualité et la confiance que leur accordent les utilisateurs leur donnent une légitimité certaine. Il est en conséquence envisageable de leur reconnaître la faculté de permettre aux usagers de services électroniques sans la moindre dimension régalienne de s’identifier par leur biais.

Enfin il ne fait aucun doute que dans les faits, et rapporté à l’ensemble de la population plutôt qu’à tel ou tel secteur d’activité, l’usage de ces services est nettement plus répandu que l’usage des titres d’identité numérique réglementés. Seule une délivrance systématique par l’État d’un titre d’identité numérique à usage universel pourrait s’imposer face à eux, elle devient même nécessaire⁴⁵².

§ II – Les identités numériques délivrées dans un cadre professionnel ou financier

1220 À l’opposé des titres délivrés en ligne par des multinationales à des usagers-consommateurs, de nombreuses institutions publiques ou privées délivrent des titres d’identité numérique, le plus souvent à l’usage exclusif des services qu’elles proposent. C’est ainsi par exemple que les banques, entreprises à l’activité réglementée soumises à une obligation de vérification régulière de l’identité de leurs clients, délivrent régulièrement des outils d’identification et de signature électronique à leurs clients afin de leur permettre de procéder de chez eux à des transactions importantes ou à la signature de contrats. Cette délivrance peut également être réalisée dans un cadre strictement professionnel : une entreprise ou une administration délivre alors des outils d’identification à ses collaborateurs ou salariés ; il s’agit du modèle suivi par le notariat dans la cadre de la délivrance des clés Real.

1221 Compte tenu de la portée des usages faits de ces titres, ils doivent être délivrés selon les prescriptions du règlement eIDAS, prescriptions qui diffèrent selon l’usage auquel ils sont destinés. Au plus haut niveau de sécurité, il sera question de certificat numérique qualifié.

Qualitativement les titres ainsi délivrés diffèrent en tous points de ceux délivrés par les Gafa.

Section II – L’encadrement des certificats numériques qualifiés

1222 Si la confiance que l’on porte à un titre d’identité numérique peut dépendre de la sophistication avec laquelle il est élaboré et sécurisé, en matière de certificat qualifié elle dépend avant toute chose de la confiance accordée aux entités qui ont notamment la responsabilité de leur délivrance. C’est pourquoi le règlement eIDAS institue une autorité de contrôle (Sous-section I) pour chapeauter les prestataires de services de confiance qualifiés (Sous-section II).

Sous-section I – L’autorité de contrôle

1223 L’autorité de contrôle est l’organe qui a la responsabilité in fine, au nom de l’État, de la délivrance des certificats numériques qualifiés, c’est-à-dire les certificats numériques du plus haut niveau de sécurité. Au-delà de cette mission technique, elle assure le rôle d’organe de contrôle pour les services de confiance.

1224 – Agence nationale de la sécurité des systèmes d’information (ANSSI). – En France, c’est l’ANSSI, créée par décret du 7 juillet 2009⁴⁵³, service dépendant directement du Premier ministre, qui assure le rôle d’autorité de contrôle. Selon la note des autorités françaises auprès de l’Union européenne la désignant comme telle⁴⁵⁴, elle a la charge de contrôler le respect des exigences du règlement par les prestataires de services de confiance qualifiés et la conformité des services de confiance qualifiés qu’ils fournissent.

1225 – Qualification des produits et des services. – L’ANSSI est en charge de la qualification des produits⁴⁵⁵ et services⁴⁵⁶, en application des modalités fixées par le décret du 18 avril 2002⁴⁵⁷ modifié pour la dernière fois le 7 novembre 2019. Elle collecte les demandes de qualification et se prononce sur les qualifications demandées. Elle joue ainsi un rôle prépondérant dans l’identification numérique à l’échelle de la nation.

1226 – Qualification des prestataires de services de confiance. – Le registre des prestataires de services de confiance qualifiés, dont la consultation est le seul moyen de s’assurer de la capacité d’une entreprise à fournir des certificats qualifiés, est disponible sur le site internet de l’ANSSI⁴⁵⁸. En complément, et de manière plus pragmatique, l’ANSSI publie également une liste des produits et services qu’elle a qualifiés.

1227 – Objet de la qualification du CSN. – Le Conseil supérieur du notariat est le seul organe représentatif des professionnels du droit à être habilité comme prestataire de services de confiance qualifié. À ce titre il peut délivrer à chaque notaire et chaque collaborateur du notariat un outil d’identification et de signature qualifié, la clé Real. Le processus de délivrance est particulièrement strict et tient expressément compte du statut du notariat puisqu’il prévoit un dépôt de pièces annuel au rang des minutes de chaque mandataire de certification.

1228 – Schéma d’identification électronique. – Enfin l’ANSSI a la responsabilité de l’élaboration de la procédure dite « schéma d’identification électronique » définie par le règlement eIDAS comme « un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales ».

1229 – Coopération européenne et interopérabilité. – Ainsi qu’il résulte de l’article 12 du règlement eIDAS, et afin de permettre la reconnaissance des certificats qualifiés français au niveau européen, l’ANSSI a la charge vis-à-vis de la Commission européenne de la tenue des registres des certificats qualifiés et de la communication des schémas d’identification électronique établis en France selon un cadre d’interopérabilité dont les critères sont définis au même article.

Sous-section II – Les prestataires de services de confiance qualifiés

1230 – Rôles. – L’émission d’un titre d’identité numérique s’effectue selon un « schéma d’identification électronique » élaboré par l’État, via l’autorité nationale de contrôle, l’ANSSI en France. Lors de l’élaboration du schéma d’identification électronique, cette autorité détermine les conditions précises de l’intervention du tiers de confiance, dénommé « prestataire de services de confiance qualifié » par le règlement eIDAS, tiers qui assure le rôle d’émetteur des titres d’identité. Son périmètre d’intervention et de responsabilité est défini par le chapitre 3 du règlement eIDAS. C’est le prestataire de services de confiance qualifié qui a seul compétence pour délivrer un titre d’identité numérique sécurisé et fournir les services qui lui sont liés (courrier recommandé électronique, signature électronique, identification sécurisée sur telle ou telle plateforme…).

En termes de missions, le rôle du prestataire de services de confiance qualifié pourrait être résumé ainsi : dans le cadre de la délivrance d’une identité numérique sécurisée, le prestataire de services de confiance qualifié a la charge et la responsabilité de délivrer un titre d’identité numérique à l’utilisateur après contrôle de son identité, de permettre à l’utilisateur de s’identifier par un processus d’authentification sécurisé, de fournir les certificats numériques liés à l’activité pour laquelle l’utilisateur s’est identifié, de conserver les éléments techniques permettant de contrôler l’intégrité des certificats délivrés. Il est soumis à des audits réguliers.

1231 – Périmètre de la qualification. – Ces tiers de confiance ne bénéficient pas d’un agrément général pour l’ensemble de leurs activités. Ce sont les produits et services qu’ils proposent qui font l’objet, un à un, d’une qualification par l’autorité de délivrance.

1232 – Trois niveaux de garantie des moyens d’identification électronique. – Selon l’article 8 du règlement eIDAS : « Un schéma d’identification électronique notifié en vertu de l’article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d’identification électronique délivrés dans le cadre dudit schéma ».

1233

Pour aller plus loin : Processus général d’identification électronique

L’annexe du règlement d’exécution du 8 septembre 2015, pris en application du règlement eIDAS par la Commission européenne⁴⁵⁹, a défini les spécifications techniques et procédures de chacun de ces niveaux de garantie. Selon le niveau de garantie du titre d’identité numérique délivré, chacune des étapes suivantes du processus général suivi par l’autorité de certification devra répondre à des exigences particulières :

1 – Inscription

a) Demande et enregistrement

b) Preuve et vérification d’identité (personne physique)

c) Preuve et vérification d’identité (personne morale)

d) Lien établi entre les moyens d’identification électroniques de personnes physiques et morales (le cas échéant)

2 – Gestion des moyens d’identification électronique

a) Caractéristiques et conception des moyens d’identification électronique

b) Délivrance, mise à disposition et activation

c) Suspension, révocation et réactivation

d) Renouvellement et remplacement

3 – Authentification

a) Mécanisme d’authentification

4 – Gestion et organisation

a) Dispositions générales

b) Avis publiés et informations des utilisateurs

c) Gestion de la sécurité de l’information

d) Conservation d’informations

e) Installations et personnels

f) Contrôles techniques

g) Conformité et audit

1234 – Modalités techniques de vérification de l’identité. – L’enjeu de l’identification numérique étant principalement la certitude de l’identité réelle de la personne à l’origine d’une action numérique, le paragraphe 2.1.2 de l’annexe du règlement d’exécution du 8 septembre 2015, pris en application du règlement eIDAS par la Commission européenne, a un intérêt particulier. Il détermine les modalités techniques de l’identification de la personne lors de la création de son titre d’identité numérique.

1235 – La question du face à face. – Le règlement d’exécution n^o 2015/1502 ne précise pas les moyens techniques de contrôle de l’identité de la personne, mais simplement la nature des vérifications devant être faites en fonction du niveau de garantie attaché au titre délivré. En conséquence de quoi, le face à face, c’est-à-dire la rencontre physique entre le tiers de confiance et le client, n’est pas imposée et la rencontre en visioconférence peut-être envisagée dès lors qu’elle fournit une garantie équivalente en termes de fiabilité à la présence en personne. Lorsque l’ANSSI, en sa qualité d’autorité de contrôle, se prononce sur la qualification d’un processus d’identification qualifié, elle se prononce de facto sur les modalités de vérification de l’identité. Il lui revient donc de valider cette équivalence.

Selon la « foire aux questions » mise à disposition sur le site de l’ANSSI, sa position en la matière est la suivante : « (…) une solution de face à face “à distance”, où le demandeur fait la preuve de son identité en présentant un document officiel d’identité par le biais d’un système de visioconférence, pourrait être reconnue comme apportant une équivalence à la présence en personne, sous réserve qu’il soit démontré la mise en place de mesures techniques et organisationnelles permettant de lutter contre les risques de fraude avec une efficacité au moins égale à la présentation physique d’un document d’identité. Ces mesures devraient notamment couvrir les risques liés à la présentation de documents d’identité falsifiés ou contrefaits, ainsi que les risques liés à la manipulation des dispositifs de capture d’images ou des canaux de communication ».

1236 – L’identification des clients par le notaire. – Appliquée au notariat, cette position explique pourquoi, dans le cadre tant de la délivrance des clés Real que dans le cadre de l’identification à distance d’un client devant procéder à une signature qualifiée (méthode de signature obligatoire dans le cadre de la signature de procurations notariées à distance)⁴⁶⁰, le face à face réalisé par un notaire ne peut se faire qu’en présentiel.

En effet, la crainte de l’ANSSI sur l’identification à distance ne provient en aucun cas de la qualité intrinsèque du tiers de confiance (en l’espèce le notaire certifiant l’identité), mais des moyens techniques de contrôle à distance des documents d’identité et des moyens techniques d’échange des flux. Gageons que le notariat proposera prochainement à l’ANSSI un processus d’identification à distance dans lequel le tiers de confiance est le notaire (et non la société IDnow), lequel disposera alors d’outils technologiques répondant à ces prescriptions, et dont il ne disposait pas, faute de nécessité antérieure et compte tenu de leur complexité à développer, en avril 2020 lors de l’expérimentation de l’acte authentique avec comparution à distance, ni en novembre 2020 lors de l’institution de la procuration notariée à distance.

441) PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS).

442) V. infra, n^o 1215.

443) www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee. V. supra, Chapitre I, « Les éléments d’identification ».

444) V. supra, n^o 1134.

445) D. n^o 2019-452, 13 mai 2019, autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile ».

446) CE, 10^e et 9^e ch. réunies, 4 nov. 2020, n^o 432656. V. supra, n^o 1134.

447) V. supra, n^o 1145.

448) Rapport du 113^e Congrès des notaires de France, Lille, sept. 2017, ≠Familles ≠Solidarités ≠Numérique, n^o 3407, p. 950.

449) CE, règl. d’exécution, 8 sept. 2015, fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’art. 8, § 3, du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché́ intérieur.

450) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R1157

451) V. supra, n^o 1125.

452) B. Bévière-Boyer, L’identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens : LPA 2020, n^o 191, p. 9.

453) D. 7 juill. 2009, n^o 2009-834.

454) https://www.ssi.gouv.fr/uploads/2017/01/eidas_delivrance-certificats-qualifies_v1.2.pdf

455) www.ssi.gouv.fr/uploads/2014/11/qual_prod_process-processus-de-qualification-d-un-produit.pdf

456) www.ssi.gouv.fr/uploads/2014/11/qual_serv_process-processus-de-qualification-d-un-service.pdf

457) D. 18 avr. 2002, n^o 2002-535, mod. en dernier lieu par D. 7 nov. 2019, n^o 2019-1139.

458) www.ssi.gouv.fr

459) CE, règl. d’exécution n^o 2015/1502, 8 sept. 2015, fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, § 3, du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché́ intérieur.

460) V. infra, n^o 1237, n^os 3603 et s.

CGV – CGU

Thème 1 : Protéger la personne et le citoyen dans le monde numérique

LES AUTEURS

PARTIE I :

Les droits fondamentaux de la personne face au numérique

Chapitre I : L'état des lieux de la dématérialisation de la vie sociale

Chapitre II : L'identification des risques pour les citoyens

Chapitre I : Les innovations technologiques et techniques au service des citoyens

Chapitre II : L'assistance humaine au service des citoyens

Chapitre I : La notion de données personnelles

Chapitre II : La protection des données personnelles et le notariat

PARTIE II :

Les attributs numériques de la personne

Chapitre I : Les éléments d'identification

Chapitre II : Les éléments de localisation

Chapitre I : Le titre d'identité numérique

Chapitre II : La signature dématérialisée

PARTIE III :

La mort dans le monde numérique

Chapitre INTRODUCTIF : Prolégomènes : La mort à l'aune du droit de la protection des données

Chapitre I : Les différentes restrictions au traitement des données personnelles

Chapitre II : La mise en œuvre des restrictions au traitement des données

Chapitre I : Le droit à l'effacement (ou « le droit à l'oubli »)

Chapitre II : Les règles d'effacement propres aux mineurs