Les prestataires de services de confiance qualifiés

– Rôles. – L'émission d'un titre d'identité numérique s'effectue selon un « schéma d'identification électronique » élaboré par l'État, via l'autorité nationale de contrôle, l'ANSSI en France. Lors de l'élaboration du schéma d'identification électronique, cette autorité détermine les conditions précises de l'intervention du tiers de confiance, dénommé « prestataire de services de confiance qualifié » par le règlement eIDAS, tiers qui assure le rôle d'émetteur des titres d'identité. Son périmètre d'intervention et de responsabilité est défini par le chapitre 3 du règlement eIDAS. C'est le prestataire de services de confiance qualifié qui a seul compétence pour délivrer un titre d'identité numérique sécurisé et fournir les services qui lui sont liés (courrier recommandé électronique, signature électronique, identification sécurisée sur telle ou telle plateforme…).

En termes de missions, le rôle du prestataire de services de confiance qualifié pourrait être résumé ainsi : dans le cadre de la délivrance d'une identité numérique sécurisée, le prestataire de services de confiance qualifié a la charge et la responsabilité de délivrer un titre d'identité numérique à l'utilisateur après contrôle de son identité, de permettre à l'utilisateur de s'identifier par un processus d'authentification sécurisé, de fournir les certificats numériques liés à l'activité pour laquelle l'utilisateur s'est identifié, de conserver les éléments techniques permettant de contrôler l'intégrité des certificats délivrés. Il est soumis à des audits réguliers.

– Périmètre de la qualification. – Ces tiers de confiance ne bénéficient pas d'un agrément général pour l'ensemble de leurs activités. Ce sont les produits et services qu'ils proposent qui font l'objet, un à un, d'une qualification par l'autorité de délivrance.

– Trois niveaux de garantie des moyens d'identification électronique. – Selon l'article 8 du règlement eIDAS : « Un schéma d'identification électronique notifié en vertu de l'article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d'identification électronique délivrés dans le cadre dudit schéma ».

– Modalités techniques de vérification de l'identité. – L'enjeu de l'identification numérique étant principalement la certitude de l'identité réelle de la personne à l'origine d'une action numérique, le paragraphe 2.1.2 de l'annexe du règlement d'exécution du 8 septembre 2015, pris en application du règlement eIDAS par la Commission européenne, a un intérêt particulier. Il détermine les modalités techniques de l'identification de la personne lors de la création de son titre d'identité numérique.

– La question du face à face. – Le règlement d'exécution n^o 2015/1502 ne précise pas les moyens techniques de contrôle de l'identité de la personne, mais simplement la nature des vérifications devant être faites en fonction du niveau de garantie attaché au titre délivré. En conséquence de quoi, le face à face, c'est-à-dire la rencontre physique entre le tiers de confiance et le client, n'est pas imposée et la rencontre en visioconférence peut-être envisagée dès lors qu'elle fournit une garantie équivalente en termes de fiabilité à la présence en personne. Lorsque l'ANSSI, en sa qualité d'autorité de contrôle, se prononce sur la qualification d'un processus d'identification qualifié, elle se prononce de facto sur les modalités de vérification de l'identité. Il lui revient donc de valider cette équivalence.

Selon la « foire aux questions » mise à disposition sur le site de l'ANSSI, sa position en la matière est la suivante : « (…) une solution de face à face “à distance”, où le demandeur fait la preuve de son identité en présentant un document officiel d'identité par le biais d'un système de visioconférence, pourrait être reconnue comme apportant une équivalence à la présence en personne, sous réserve qu'il soit démontré la mise en place de mesures techniques et organisationnelles permettant de lutter contre les risques de fraude avec une efficacité au moins égale à la présentation physique d'un document d'identité. Ces mesures devraient notamment couvrir les risques liés à la présentation de documents d'identité falsifiés ou contrefaits, ainsi que les risques liés à la manipulation des dispositifs de capture d'images ou des canaux de communication ».

– L'identification des clients par le notaire. – Appliquée au notariat, cette position explique pourquoi, dans le cadre tant de la délivrance des clés Real que dans le cadre de l'identification à distance d'un client devant procéder à une signature qualifiée (méthode de signature obligatoire dans le cadre de la signature de procurations notariées à distance) V. infra, n^o , n^os et s. , le face à face réalisé par un notaire ne peut se faire qu'en présentiel.

En effet, la crainte de l'ANSSI sur l'identification à distance ne provient en aucun cas de la qualité intrinsèque du tiers de confiance (en l'espèce le notaire certifiant l'identité), mais des moyens techniques de contrôle à distance des documents d'identité et des moyens techniques d'échange des flux. Gageons que le notariat proposera prochainement à l'ANSSI un processus d'identification à distance dans lequel le tiers de confiance est le notaire (et non la société IDnow), lequel disposera alors d'outils technologiques répondant à ces prescriptions, et dont il ne disposait pas, faute de nécessité antérieure et compte tenu de leur complexité à développer, en avril 2020 lors de l'expérimentation de l'acte authentique avec comparution à distance, ni en novembre 2020 lors de l'institution de la procuration notariée à distance.