Si la confiance que l'on porte à un titre d'identité numérique peut dépendre de la sophistication avec laquelle il est élaboré et sécurisé, en matière de certificat qualifié elle dépend avant toute chose de la confiance accordée aux entités qui ont notamment la responsabilité de leur délivrance. C'est pourquoi le règlement eIDAS institue une autorité de contrôle
(Sous-section I)
pour chapeauter les prestataires de services de confiance qualifiés
(Sous-section II)
.
L'encadrement des certificats numériques qualifiés
L'encadrement des certificats numériques qualifiés
L'autorité de contrôle
L'autorité de contrôle est l'organe qui a la responsabilité in fine, au nom de l'État, de la délivrance des certificats numériques qualifiés, c'est-à-dire les certificats numériques du plus haut niveau de sécurité. Au-delà de cette mission technique, elle assure le rôle d'organe de contrôle pour les services de confiance.
– Agence nationale de la sécurité des systèmes d'information (ANSSI). – En France, c'est l'ANSSI, créée par décret du 7 juillet 2009
D. 7 juill. 2009, no 2009-834.
, service dépendant directement du Premier ministre, qui assure le rôle d'autorité de contrôle. Selon la note des autorités françaises auprès de l'Union européenne la désignant comme telle
www.ssi.gouv.fr/uploads/2016/06/eidas_delivrance-certificats-qualifies_v1.1_anssi.pdf">Lien
, elle a la charge de contrôler le respect des exigences du règlement par les prestataires de services de confiance qualifiés et la conformité des services de confiance qualifiés qu'ils fournissent.
– Qualification des produits et des services. – L'ANSSI est en charge de la qualification des produits
www.ssi.gouv.fr/uploads/2014/11/qual_prod_process-processus-de-qualification-d-un-produit.pdf">Lien
et services
www.ssi.gouv.fr/uploads/2014/11/qual_serv_process-processus-de-qualification-d-un-service.pdf">Lien
, en application des modalités fixées par le décret du 18 avril 2002
D. 18 avr. 2002, no 2002-535, mod. en dernier lieu par D. 7 nov. 2019, no 2019-1139.
modifié pour la dernière fois le 7 novembre 2019. Elle collecte les demandes de qualification et se prononce sur les qualifications demandées. Elle joue ainsi un rôle prépondérant dans l'identification numérique à l'échelle de la nation.
– Qualification des prestataires de services de confiance. – Le registre des prestataires de services de confiance qualifiés, dont la consultation est le seul moyen de s'assurer de la capacité d'une entreprise à fournir des certificats qualifiés, est disponible sur le site internet de l'ANSSI
www.ssi.gouv.fr">Lien
. En complément, et de manière plus pragmatique, l'ANSSI publie également une liste des produits et services qu'elle a qualifiés.
– Objet de la qualification du CSN. – Le Conseil supérieur du notariat est le seul organe représentatif des professionnels du droit à être habilité comme prestataire de services de confiance qualifié. À ce titre il peut délivrer à chaque notaire et chaque collaborateur du notariat un outil d'identification et de signature qualifié, la clé Real. Le processus de délivrance est particulièrement strict et tient expressément compte du statut du notariat puisqu'il prévoit un dépôt de pièces annuel au rang des minutes de chaque mandataire de certification.
Cette qualification est strictement limitée à la délivrance d'outils professionnels et ne peut en aucun cas permettre la délivrance d'un tel outil à la clientèle des offices.
– Schéma d'identification électronique. – Enfin l'ANSSI a la responsabilité de l'élaboration de la procédure dite « schéma d'identification électronique » définie par le règlement eIDAS comme « un système pour l'identification électronique en vertu duquel des moyens d'identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales ».
– Coopération européenne et interopérabilité. – Ainsi qu'il résulte de l'article 12 du règlement eIDAS, et afin de permettre la reconnaissance des certificats qualifiés français au niveau européen, l'ANSSI a la charge vis-à-vis de la Commission européenne de la tenue des registres des certificats qualifiés et de la communication des schémas d'identification électronique établis en France selon un cadre d'interopérabilité dont les critères sont définis au même article.
Les prestataires de services de confiance qualifiés
– Rôles. – L'émission d'un titre d'identité numérique s'effectue selon un « schéma d'identification électronique » élaboré par l'État, via l'autorité nationale de contrôle, l'ANSSI en France. Lors de l'élaboration du schéma d'identification électronique, cette autorité détermine les conditions précises de l'intervention du tiers de confiance, dénommé « prestataire de services de confiance qualifié » par le règlement eIDAS, tiers qui assure le rôle d'émetteur des titres d'identité. Son périmètre d'intervention et de responsabilité est défini par le chapitre 3 du règlement eIDAS. C'est le prestataire de services de confiance qualifié qui a seul compétence pour délivrer un titre d'identité numérique sécurisé et fournir les services qui lui sont liés (courrier recommandé électronique, signature électronique, identification sécurisée sur telle ou telle plateforme…).
En termes de missions, le rôle du prestataire de services de confiance qualifié pourrait être résumé ainsi : dans le cadre de la délivrance d'une identité numérique sécurisée, le prestataire de services de confiance qualifié a la charge et la responsabilité de délivrer un titre d'identité numérique à l'utilisateur après contrôle de son identité, de permettre à l'utilisateur de s'identifier par un processus d'authentification sécurisé, de fournir les certificats numériques liés à l'activité pour laquelle l'utilisateur s'est identifié, de conserver les éléments techniques permettant de contrôler l'intégrité des certificats délivrés. Il est soumis à des audits réguliers.
– Périmètre de la qualification. – Ces tiers de confiance ne bénéficient pas d'un agrément général pour l'ensemble de leurs activités. Ce sont les produits et services qu'ils proposent qui font l'objet, un à un, d'une qualification par l'autorité de délivrance.
– Trois niveaux de garantie des moyens d'identification électronique. – Selon l'article 8 du règlement eIDAS : « Un schéma d'identification électronique notifié en vertu de l'article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d'identification électronique délivrés dans le cadre dudit schéma ».
Pour aller plus loin : Processus général d'identification électronique
L'annexe du règlement d'exécution du 8 septembre 2015, pris en application du règlement eIDAS par la Commission européenne, a défini les spécifications techniques et procédures de chacun de ces niveaux de garantie. Selon le niveau de garantie du titre d'identité numérique délivré, chacune des étapes suivantes du processus général suivi par l'autorité de certification devra répondre à des exigences particulières :
1 – Inscription
a) Demande et enregistrement
b) Preuve et vérification d'identité (personne physique)
c) Preuve et vérification d'identité (personne morale)
d) Lien établi entre les moyens d'identification électroniques de personnes physiques et morales (le cas échéant)
2 – Gestion des moyens d'identification électronique
a) Caractéristiques et conception des moyens d'identification électronique
b) Délivrance, mise à disposition et activation
c) Suspension, révocation et réactivation
d) Renouvellement et remplacement
3 – Authentification
a) Mécanisme d'authentification
4 – Gestion et organisation
a) Dispositions générales
b) Avis publiés et informations des utilisateurs
c) Gestion de la sécurité de l'information
d) Conservation d'informations
e) Installations et personnels
f) Contrôles techniques
g) Conformité et audit
– Modalités techniques de vérification de l'identité. – L'enjeu de l'identification numérique étant principalement la certitude de l'identité réelle de la personne à l'origine d'une action numérique, le paragraphe 2.1.2 de l'annexe du règlement d'exécution du 8 septembre 2015, pris en application du règlement eIDAS par la Commission européenne, a un intérêt particulier. Il détermine les modalités techniques de l'identification de la personne lors de la création de son titre d'identité numérique.
– La question du face à face. – Le règlement d'exécution no 2015/1502 ne précise pas les moyens techniques de contrôle de l'identité de la personne, mais simplement la nature des vérifications devant être faites en fonction du niveau de garantie attaché au titre délivré. En conséquence de quoi, le face à face, c'est-à-dire la rencontre physique entre le tiers de confiance et le client, n'est pas imposée et la rencontre en visioconférence peut-être envisagée dès lors qu'elle fournit une garantie équivalente en termes de fiabilité à la présence en personne. Lorsque l'ANSSI, en sa qualité d'autorité de contrôle, se prononce sur la qualification d'un processus d'identification qualifié, elle se prononce de facto sur les modalités de vérification de l'identité. Il lui revient donc de valider cette équivalence.
Selon la « foire aux questions » mise à disposition sur le site de l'ANSSI, sa position en la matière est la suivante : « (…) une solution de face à face “à distance”, où le demandeur fait la preuve de son identité en présentant un document officiel d'identité par le biais d'un système de visioconférence, pourrait être reconnue comme apportant une équivalence à la présence en personne, sous réserve qu'il soit démontré la mise en place de mesures techniques et organisationnelles permettant de lutter contre les risques de fraude avec une efficacité au moins égale à la présentation physique d'un document d'identité. Ces mesures devraient notamment couvrir les risques liés à la présentation de documents d'identité falsifiés ou contrefaits, ainsi que les risques liés à la manipulation des dispositifs de capture d'images ou des canaux de communication ».
– L'identification des clients par le notaire. – Appliquée au notariat, cette position explique pourquoi, dans le cadre tant de la délivrance des clés Real que dans le cadre de l'identification à distance d'un client devant procéder à une signature qualifiée (méthode de signature obligatoire dans le cadre de la signature de procurations notariées à distance)
V. infra, no
, nos
et s.
, le face à face réalisé par un notaire ne peut se faire qu'en présentiel.
En effet, la crainte de l'ANSSI sur l'identification à distance ne provient en aucun cas de la qualité intrinsèque du tiers de confiance (en l'espèce le notaire certifiant l'identité), mais des moyens techniques de contrôle à distance des documents d'identité et des moyens techniques d'échange des flux. Gageons que le notariat proposera prochainement à l'ANSSI un processus d'identification à distance dans lequel le tiers de confiance est le notaire (et non la société IDnow), lequel disposera alors d'outils technologiques répondant à ces prescriptions, et dont il ne disposait pas, faute de nécessité antérieure et compte tenu de leur complexité à développer, en avril 2020 lors de l'expérimentation de l'acte authentique avec comparution à distance, ni en novembre 2020 lors de l'institution de la procuration notariée à distance.
Identification à distance
Compte tenu des risques d'usurpation d'identité ou de falsification d'informations liés à la nature même d'internet, l'identification à distance d'une personne avec certitude requiert l'usage d'outils numériques spécifiques ayant notamment la faculté de lier dans un flux commun les données échangées au titre de la visioconférence et les données structurées des documents transmis.
En attendant la mise à disposition par la profession d'un tel outil aux notaires, le recours au service de la société IDnow est obligatoire pour identifier à distance un client à qui le notaire adresse un document à signer avec une signature qualifiée.