La variété des titres d'identité numérique

– Définition de l'identification numérique. – L'identification numérique est le processus qui, une fois achevé, permet à une personne réelle, physique ou morale, d'agir en son nom sur un service numérique. Le règlement eIDAS PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS). la définit comme étant « le processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (Règl. eIDAS, art. 3).

Projets gouvernementaux. Par extension, il peut également s'agir de l'usage fait par une personne d'un outil numérique pour prouver son identité dans la vie réelle. Ainsi le ministère de l'Intérieur, et plus précisément l'Agence nationale des titres sécurisés (https://ants.gouv.fr">Lien), travaille depuis plusieurs années sur différents projets d'identification numérique tels l'émission de cartes nationales d'identité numérique V. infra, n^o . , qui devrait commencer au plus tard le 2 août 2021 (projet à l'échelle européenne) ou encore le projet Alicem www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee">Lien. V. supra, Chapitre I, « Les éléments d'identification ». (« Authentification en ligne certifiée sur mobile »), application V. supra, n^o . permettant de créer un lien entre un passeport biométrique ou une carte de séjour biométrique et un compte FranceConnect par le biais de la reconnaissance faciale. Le décret du 13 mai 2019 instaurant Alicem D. n^o 2019-452, 13 mai 2019, autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ». a été attaqué en annulation pour excès de pouvoir devant le Conseil d'État quant à l'usage exclusif de la reconnaissance faciale comme moyen d'identification. Ce recours a été rejeté par un arrêt du Conseil d'État du 4 novembre 2020 CE, 10^e et 9^e ch. réunies, 4 nov. 2020, n^o 432656. V. supra, n^o . .

Les besoins des usagers de titres d'identité numérique diffèrent en fonction de la finalité de leur usage. Un équilibre doit ainsi être trouvé entre simplicité et sécurité. La variété des titres d'identité numérique permet de répondre à ce besoin d'équilibre. Cette variété se trouve dans la consistance du titre (Sous-section I) , dans le niveau de garantie apporté par le titre (Sous-section II) , ou encore dans la source de la délivrance du titre (Sous-section III) .

La consistance des titres d'identité numérique

– Moyen d'identification électronique. – Tout processus d'identification numérique suit le schéma suivant : une personne active un titre d'identité numérique au moyen d'une étape d'authentification. Le règlement eIDAS le nomme « moyen d'identification électronique » et le définit comme « un élément matériel et/ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier pour un service en ligne » (Règl. eIDAS, art. 3).

– Le titre d'identité numérique matériel. – D'une manière générale, le moyen d'identification électronique est dit « matériel » lorsqu'il prend la forme d'un objet électronique. Il s'agit d'un élément électronique avec un minimum de mémoire morte pour conserver toute sa durée de vie les données d'identification personnelle de son titulaire et une interface électronique avec ou sans contact permettant à un matériel tiers de lire les données qu'il contient.

– La clé Real. – L'outil d'identification principal des notaires et de leurs collaborateurs, permettant notamment une identification sécurisée dans le cadre de l'utilisation des services numériques professionnels, appelé « clé Real », est un titre d'identité numérique matériel. Il s'agit en pratique d'une puce électronique sur laquelle sont gravés les éléments d'identification personnels de son titulaire et qui, pour son usage, est insérée dans un lecteur électronique au format universel dit « USB ».

– Le titre d'identité numérique immatériel. – Le concept de moyen d'identification électronique immatériel est certainement plus difficile à appréhender ; pour autant, il est bien antérieur au règlement eIDAS. Historiquement il s'agit du système d'identification le plus commun pour les services en ligne, le système du login V. supra, n^o . .

Lors de son inscription, l'utilisateur renseigne des éléments d'identification personnels qui sont sauvegardés par le service numérique. Par la suite l'utilisateur accède à une page d'authentification qui lui permet, selon une procédure choisie par le service en ligne, de s'identifier.

Sa généralisation pour des usages autres que le simple accès à un service en ligne se développe en même temps que le déploiement des services d'hébergement et d'exécution d'applications en ligne communément appelés cloud.

– ID.NOT Authenticator. – En complément de la clé Real, dont le niveau de sécurité implique des contraintes importantes en termes d'usage (notamment un raccordement au réseau Real), le notariat a mis en place une seconde plateforme d'identité numérique entièrement dématérialisée. Il s'agit de la plateforme ID.NOT Authenticator, également ouverte aux collaborateurs, dont l'utilisation permet un accès sécurisé à des services numériques professionnels pour lesquels le protocole complexe de la clé Real ne se justifie pas. Cet outil permet notamment l'accès au store des applications notariales, le portail NotAccess présenté dans le rapport du 113^e Congrès des notaires de France Rapport du 113^e Congrès des notaires de France, Lille, sept. 2017, ≠Familles ≠Solidarités ≠Numérique, n^o 3407, p. 950. .

Les niveaux de garantie des titres d'identité numérique

Les modalités pratiques d'utilisation du titre numérique, plus ou moins simples, ont un impact direct sur son degré de sécurité (§ I) . Par ailleurs, en réglementant le sujet, l'Union européenne a permis un usage des titres d'identité numérique sécurisés au-delà des frontières nationales (§ II) .

L'équilibre entre simplicité et fiabilité

C'est par le biais de la procédure d'authentification que le détenteur d'une identité numérique active son titre d'identité numérique et se trouve ainsi identifié sur le service numérique convoité. De la sécurité recherchée dans l'usage de l'identité numérique dépend la facilité ou la complexité de la procédure d'authentification.

– Classement des moyens d'identification électroniques. – L'annexe du règlement d'exécution du 8 septembre 2015 pris en application du règlement eIDAS par la Commission européenne CE, règl. d'exécution, 8 sept. 2015, fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'art. 8, § 3, du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché́ intérieur. a classé les moyens d'identification électronique selon trois catégories en fonction du niveau de garantie qu'ils offrent à leurs utilisateurs dans le tableau suivant :

– Critères de distinction. – Il ressort de ce tableau deux critères de distinction des moyens d'identification électroniques : les facteurs d'authentification et l'usage du matériel.

La même annexe du règlement d'exécution du 8 septembre 2015 distingue trois catégories de facteurs d'authentification pour lesquels il est ici proposé quelques exemples d'utilisation :

a) « Facteur d'authentification basé sur la possession », un facteur d'authentification dont il revient au sujet de démontrer la possession.

Par exemple : le téléphone portable recevant un SMS de confirmation.

Ce facteur d'authentification est fréquemment utilisé par les banques ou établissements émetteurs de cartes de paiement : lors d'un achat en ligne, la plateforme de vente adresse une requête en paiement à l'établissement émetteur de la carte. Pour s'assurer de l'identité de l'acheteur, l'établissement bancaire demande à l'acheteur d'entrer sur son clavier téléphonique un code qu'il vient d'adresser par SMS au titulaire de l'instrument de paiement.

b) « Facteur d'authentification basé sur la connaissance », un facteur d'authentification dont il revient au sujet de démontrer la connaissance.

Par exemple : le login ou la réponse à une question personnelle.

Il s'agit du facteur d'authentification le plus fréquent ; il est utilisé par la quasi-totalité des services numériques. Pour s'identifier sur un service numérique, l'usager doit entrer un mot de passe.

c) « Facteur d'authentification inhérent », un facteur d'authentification qui est basé sur un attribut physique d'une personne physique, et dont il revient au sujet de démontrer qu'il possède cet attribut physique.

Par exemple : la reconnaissance faciale ou par empreinte digitale.

Le grand public retrouve ce facteur d'authentification dans la plupart des appareils connectés mobiles. Il sert, en premier lieu, d'authentification pour l'accès à l'appareil. Par un effet induit, si la machine a retenu certains facteurs d'authentification basés sur la connaissance de son propriétaire, alors, à l'usage, ce facteur d'authentification inhérent se substituera au facteur d'authentification basé sur la connaissance, en toute transparence pour le service.

L'incrémentation d'intelligence artificielle dans la gestion des facteurs d'authentification permet également la substitution factuelle du facteur d'authentification basé sur la connaissance : lorsque l'appareil pareillement équipé reçoit un SMS de confirmation, il va automatiquement faire le lien avec la demande d'entrée de code faite à l'utilisateur et proposer de l'insérer.

– Biométrie pour authentifier ou pour identifier. – Concernant ce dernier facteur, il s'agit en l'espèce de la biométrie prise comme méthode d'authentification. Ce cas doit être strictement distingué de la biométrie prise comme méthode d'identification. En cas d'authentification, l'utilisateur présente à un système un attribut physique que le système a précédemment enregistré et attend spécifiquement. En cas d'identification, le système d'information auquel est présenté un attribut physique le compare à sa base de données pour identifier la personne.

– Moyens d'identification matériels. – Enfin, l'exigence de détention du titre physique et une certaine facilité de révocation en cas de perte, de disparition ou de vol, pouvant être considérées en pratique comme une forme de sécurité, un titre d'identité numérique matériel peut exister sans qu'aucun des trois facteurs d'authentification précités ne soit nécessaire à son activation. Dans ce cas, l'authentification consiste en la simple présentation de l'objet. Loin d'être anodin, ce principe de fonctionnement est notamment retenu par les émetteurs de cartes bancaires dites « sans contact ».

Un usage encouragé à l'échelle européenne

Le quatrième paragraphe du préambule du règlement eIDAS précise que la Commission européenne avait soulevé dès 2010, dans son rapport sur la citoyenneté de l'Union, « la nécessité de résoudre les principaux problèmes empêchant les citoyens de l'Union de profiter des avantages d'un marché unique numérique et des services numériques transfrontaliers ». Cette volonté d'uniformiser au sein de l'Union les identifications numériques et les services y afférents est affirmée à d'autres reprises dans le préambule.

L'uniformisation des règles, étape nécessaire à l'usage transfrontalier, commence dès l'article 2, alinéa 1^er du règlement eIDAS : « Le présent règlement s'applique aux schémas d'identification électronique qui ont été notifiés par un État membre et aux prestataires de services de confiance établis dans l'Union ». C'est ainsi que les services d'identification numérique proposés par des services de confiance établis dans l'Union et agréés par un État membre peuvent être utilisés avec les mêmes garanties, notamment en matière de sécurité, dans toute l'Union.

– La carte d'identité électronique. – Le 20 juin 2019, le Parlement européen et le Conseil ont adopté le règlement n^o 2019/11587 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents délivrés aux citoyens de l'Union et aux membres de leur famille https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX :32019R1157">Lien . Ainsi l'Union européenne souhaite un déploiement des cartes d'identité numériques et biométriques sécurisées et interopérables à l'échelle de l'Union.

Ce règlement impose des contraintes techniques, notamment en matière de format, de sécurité, de contenu et d'interopérabilité (Règl. 20 juin 2019, art. 3) et un calendrier (Règl. 20 juin 2019, art. 5), tout en laissant à chaque État membre, pour des raisons évidentes de souveraineté, la tâche de la collecte des informations personnelles et de l'émission du titre.

Sommairement, ces cartes d'identité contiendront notamment une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables. Il est laissé la possibilité aux États émetteurs d'ajouter un dispositif numérique complémentaire et indépendant du dispositif commun pour offrir des services complémentaires (tel un certificat de signature). Les États membres, et donc la France V. supra, n^o . , ont jusqu'au 2 août 2021 pour émettre des cartes d'identité conformes à ce règlement. Les anciennes cartes d'identité cesseront d'être valides au plus tard le 3 août 2031.

La source de la délivrance du titre d'identité numérique

De facto, le titre d'identité numérique peut être délivré par toutes sortes d'entités sans qu'il y ait nécessairement besoin d'une régulation ou d'une législation. C'est ainsi que les Gafa proposent tous les cinq un titre d'identité numérique (§ I) . De jure, de la même manière que la technique employée influe sur la portée du titre délivré, l'émetteur, pris en la personne d'une administration, d'un employeur ou encore d'une banque, compte tenu de la réglementation à laquelle il est soumis et de la connaissance qu'il peut avoir du bénéficiaire du titre émis, va délivrer un titre d'identité numérique plus conventionnel (§ II) .

Les identités numériques délivrées par les Gafa

– Sign in with… – Google, Apple, Facebook, Amazon et également Microsoft proposent tous les cinq à leurs abonnés d'utiliser leur compte utilisateur pour s'identifier sur des services numériques (sites de commerce en ligne, de diffusion de vidéos…) fournis par des tiers.

Le mécanisme fonctionne ainsi : un futur usager d'un service numérique souhaite ouvrir un compte auprès de ce service ; afin d'accélérer et de simplifier sa démarche, il lui est proposé par le service en ligne de s'authentifier via sa page sur l'un des comptes qu'il possède déjà chez un Gafa, et ce au lieu d'entrer toutes ses données personnelles, de choisir un mot de passe, etc.

– Avantages pour les différents protagonistes. – L'usager gagne du temps en évitant la procédure fastidieuse de création de compte ; le service en ligne n'a pas perdu un éventuel client qui aurait été découragé par la nécessité de créer un tel compte ; la multinationale qui a fourni l'identité numérique profite de cette occasion et des conditions générales d'utilisation non lues par le client pour alimenter sa base de données gigantesque dont l'usage et l'analyse constituent a minima des éléments indispensables à l'amélioration des services offerts à ses clients et, pour Google et Facebook, leur principale source de revenus.

– Portée juridique et pratique. – S'il paraît difficilement envisageable d'utiliser une telle méthode pour procéder à la signature électronique d'un contrat d'une certaine importance, pour des raisons juridiques comme de sécurité informatique, cette méthode ne doit pas être méprisée pour autant. L'universalité de ces entreprises, leur capacité à fournir des solutions techniques de qualité et la confiance que leur accordent les utilisateurs leur donnent une légitimité certaine. Il est en conséquence envisageable de leur reconnaître la faculté de permettre aux usagers de services électroniques sans la moindre dimension régalienne de s'identifier par leur biais.

Enfin il ne fait aucun doute que dans les faits, et rapporté à l'ensemble de la population plutôt qu'à tel ou tel secteur d'activité, l'usage de ces services est nettement plus répandu que l'usage des titres d'identité numérique réglementés. Seule une délivrance systématique par l'État d'un titre d'identité numérique à usage universel pourrait s'imposer face à eux, elle devient même nécessaire B. Bévière-Boyer, L'identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens : LPA 2020, n^o 191, p. 9. .

Les identités numériques délivrées dans un cadre professionnel ou financier

À l'opposé des titres délivrés en ligne par des multinationales à des usagers-consommateurs, de nombreuses institutions publiques ou privées délivrent des titres d'identité numérique, le plus souvent à l'usage exclusif des services qu'elles proposent. C'est ainsi par exemple que les banques, entreprises à l'activité réglementée soumises à une obligation de vérification régulière de l'identité de leurs clients, délivrent régulièrement des outils d'identification et de signature électronique à leurs clients afin de leur permettre de procéder de chez eux à des transactions importantes ou à la signature de contrats. Cette délivrance peut également être réalisée dans un cadre strictement professionnel : une entreprise ou une administration délivre alors des outils d'identification à ses collaborateurs ou salariés ; il s'agit du modèle suivi par le notariat dans la cadre de la délivrance des clés Real.

Compte tenu de la portée des usages faits de ces titres, ils doivent être délivrés selon les prescriptions du règlement eIDAS, prescriptions qui diffèrent selon l'usage auquel ils sont destinés. Au plus haut niveau de sécurité, il sera question de certificat numérique qualifié.

Qualitativement les titres ainsi délivrés diffèrent en tous points de ceux délivrés par les Gafa.