Nl

TECH

L'identité numérique... plus réelle que virtuelle, par Agnès Maqua & Hannah Tacheny (Adastone)

Jeudi 9 Novembre 2023

L'identité numérique... plus réelle que virtuelle, par Agnès Maqua & Hannah Tacheny (Adastone)

Agnès Maqua a participé au MM Tech Club du 3 octobre dernier en compagnie de Nicolas Lierman (MultiMinds) sur la thématique ‘’ Unmasking the Future of Identity - From SSI to Web 3 & Beyond !’’ .

L’évolution réglementaire des identités numériques étant largement en cours; notamment au sein de l’Union Européenne, nous avons demandé à Agnès Maqua, co-fondatrice du cabinet d'avocat Adastone, et son associée Hannah Tacheny de nous en détailler le contenu, les objectifs et les ambitions.


On parle de plus en plus d’identité(s) numérique(s) au singulier ou au pluriel, est-ce une notion juridique, économique ou technique ? Est-ce qu’elle concerne les individus ou les entreprises ? Que vise-t-on exactement ?

Tout individu a une identité dans le monde réel et une identité dans le monde numérique, ne fut-ce que par la détention de sa carte d’identité électronique. C’est ce qu’on appelle l’identité régalienne ou l’identité pivot ; c’est-à-dire, celle liée à l’état civil d’un individu (nom, prénoms, date et lieu de naissance, nationalité, état civil, sexe, numéro de registre national…) que nous utilisons par exemple dans nos démarches administratives. Mais nous avons ou pouvons aussi avoir d’autres identités numériques reliées à d’autres paramètres que les attributs régaliens tels qu’un pseudonyme, une reconnaissance vocale ou faciale qui nous permettent d’accéder à des produits ou services numériques.

S’agissant de données à caractère personnel qui identifient un individu et donc un consommateur potentiel, cette notion doit être appréhendée sous les trois angles : juridique (protection des données) ; technique (sécurité des données et confiance du consommateur dans les outils numériques) et économique (exploitation des données par les entreprises et accès au portefeuille numérique).
La Commission Européenne travaille sur la mise en place d’un Portefeuille Européen d’Identité Numérique (PEIN).  Dans quel contexte régulatoire s’inscrit ce projet ?

Le PEIN ou EU Digital Identity Wallet (EUDIW) s’inscrit dans le cadre de l'initiative visant à établir un marché unique numérique européen, notamment en alignement avec la stratégie digitale ‘’Digital Decade’’ de l’Union Européenne. Dans cette perspective, la Commission a publié de nombreux documents :  recommandations, décisions, et autres analyses d’impact, à l’attention des Etats membres, des entreprises publiques et privées et des citoyens. 

L’EUDIW n’est qu’une des composantes, certes importante et sans doute la plus importante, de cette politique européenne visant à assurer et à atteindre quatre objectifs majeurs d’ici 2030 :  une population qualifiée sur le plan numérique et des professionnels du numérique hautement qualifiés;
  1. des infrastructures numériques sûres et durables;
  2. la transformation numérique des entreprises;
  3. la numérisation des services publics. 
Digital Decade Policy program : targets for 2030
L'EUDIW repose sur les principes et les normes établis par le Règlement eIDAS (Electronic Identification And Trust Services), visant précisément à favoriser la création d'un marché intérieur européen des services de confiance. L’EUDIW vise ainsi à établir un système d'identité numérique européen à la fois interopérable et sécurisé, ce qui devrait contribuer à la mise en œuvre de l'eIDAS et à la promotion de la confiance numérique au sein de l'Union européenne.

La réalisation de ce programme doit aussi se faire en tenant compte des législations existantes et, en particulier, de la réglementation en matière de protection des données à caractère personnel (RGPD) et du Règlement sur la cybersécurité.   

C’est donc un programme très ambitieux qui prendra du temps avant d’être mis en œuvre dans les 27 Etats Membres, l’objectif étant 2030 !
Quelles sont les caractéristiques principales de ce Wallet ?

Tous les attributs, régaliens ou non, d’un individu pourront être stockés dans l’EUDIW.  Le Wallet pourra aussi héberger les attributs de l’identité tels que les diplômes, le permis de conduire, le titre de séjour, toute prescription médicale…

Ses principales caractéristiques sont :
  • Son adoption facultative et gratuite
  • Sa divulgation sélective d’attributs (minimisation des données)
  • Sa souveraineté (liberté du porteur et contrôle)
  • Son Interopérabilité au niveau EU
  • Sa sécurité (privacy by design)
Les applications pratiques au quotidien du Wallet sont très attractives en termes de facilité pour tout citoyen (location de voitures, check in dans un hôtel, à l’aéroport, ouverture d’un compte, inscription dans une université européenne…).

Où en sommes-nous aujourd’hui en termes de régulation ?

A ce jour, le Règlement en vigueur est le eIDAS, 1ère version, à savoir celle du 23 juillet 2014 portant sur l’identification électronique et les services de confiance dans les transactions électroniques au sein du marché intérieur. 

Si la Commission a opté en 2014 pour un Règlement, c’est précisément parce que, à l’inverse d’une directive qui doit être transposée en droit national pour entrer en vigueur, un Règlement est directement applicable sans transposition par une norme nationale différenciée.  Un Règlement s’applique donc dans son intégralité sans originalité locale, ce qui permet une harmonisation de la règle à l’échelle européenne.

Le RGPD, qui est aujourd’hui bien connu de toutes les entreprises, est précisément et pour ces mêmes raisons un Règlement.

Sans entrer dans les détails, le Règlement eIDAS de 2014 visait et vise toujours à rendre les systèmes nationaux d’identification électroniques interopérables dans toute l’Europe afin de faciliter l’accès aux services en ligne.  A son actif principal, figure la signature électronique dont nous avons pleinement profité pendant les premières vagues de la COVID et qui reste aujourd’hui un outil de notre quotidien tant pour les actes authentiques que pour les contrats commerciaux. L’eIDAS régit également les cachets électroniques, l’horodatage électronique, les services d’envoi recommandé électronique, l’authentification de sites internet.

L’eIDAS de 2014 prévoyait que la Commission ferait un réexamen de l’application du Règlement en juillet 2020 ; ce à quoi elle a procédé en émettant directement une proposition de modification du Règlement en vigueur afin d’en améliorer l’efficacité et d’en étendre l’application au secteur privé et d’en assurer la promotion.

L’eIDAS a fait ses preuves et a permis de belles avancées notamment en matière de transaction électronique mais le texte date et doit évoluer pour tenir compte des besoins des citoyens et des entreprises tout autant que des évolutions technologiques.

Qu’est-ce que l’eIDAS 2.0 ? Que nous apporte ce nouveau Règlement ?

Comme son nom l’indique, l’eIDAS 2.0 n’est pas un nouveau Règlement mais une nouvelle version « augmentée ». Grâce à cette évolution du Règlement, les citoyens et les entreprises se verront proposer des portefeuilles numériques reliant leur identité nationale à des preuves d’attributs telles que les diplômes, les permis de conduire, les comptes bancaires, les données médicales, etc. Les utilisateurs pourront prouver leur identité et partager les documents électroniquement à partir de leur portefeuille numérique en utilisant leur téléphone portable.

Avec ces nouvelles dispositions, la Commission souhaite que d’ici 2030 :
  • tous les services publics soient disponibles en ligne,
  • tous les citoyens aient accès à leur dossier médical numérique ;
  • 80% des citoyens de l’UE disposent d’une Carte d’identité numérique d’ici 2030 
Cette nouvelle mouture a donc pour objectif de renforcer la confiance des citoyens et des utilisateurs au sens large dans les interactions digitales au sein de l’UE. Les maitres mots de cette proposition sont : SECURITE et CONTRÔLE !
✅ L’objectif du EUDI Wallet sera donc de mettre en commun les titres d’identité des citoyens européens et à les rendre valables dans n’importe quel Etat Membre.
✅ L’objectif sera donc aussi de restreindre le nombre d’informations partagées au strict nécessaire avec une confidentialité maximale.

Quelle est la différence entre le SSI et le EUDIW ?

Ces deux concepts partagent l'objectif commun de simplifier la gestion des identités numériques et de redonner au citoyen la maîtrise de son identité, mais ils diffèrent dans leur approche ; l’une étant par nature d’initiative privée (SSI) sans intervention de tiers de confiance ; l’autre relevant de l’autorité publique et faisant appel à des prestataires de services de confiance qualifiés.  Ils peuvent donc coexister au choix du citoyen.

Le SSI, ou Self-Sovereign Identity, place la souveraineté de l'individu au cœur de son modèle. Il permet aux utilisateurs de posséder, contrôler et partager leurs informations d'identité de manière décentralisée, éliminant ainsi la nécessité de faire appel à des tiers de confiance. Cette approche s'appuie souvent sur des technologies de registre distribué, telles que la blockchain, pour garantir la sécurité et la confidentialité des données d'identité. Le SSI vise à redonner le contrôle total de l'identité numérique à l'individu, à réduire la dépendance envers les grandes entités centralisées pour la vérification d'identité et à renforcer la sécurité. En résumé, le SSI met en avant la souveraineté individuelle et la décentralisation de l'identité numérique

À l'inverse du SSI, le Wallet européen, tout en accordant autant d’autonomie et de pouvoir de décision à son détenteur, vise à offrir des garanties de haut niveau de sécurité et de contrôle quant à la gestion des données. L’eIDAS a donc pour but de réglementer la fourniture d’un portefeuille d’identité numérique personnel et hautement sécurisé délivré par les Etats membres. L’objectif du Wallet européen est donc nécessairement plus ambitieux puisqu’il vise à permettre aux citoyens européens d’accéder à des services publics ou privés dans toute l’UE, en utilisant une seule identité numérique, tout en conservant un contrôle total sur les données qu’ils partagent sans devoir recourir à des méthodes d’identification privées (ex. Apple, Google, …) ou de partager des quantités inutiles d’informations personnelles pour un service qui ne le requiert pas.

Avoir un seul portefeuille numérique utilisable tant pour les services publics que pour les services offerts par les entreprises privées, et ce, à l’échelle de l’UE, est évidemment un atout majeur.  Ajoutez à cela, une sécurité maximale, un service et un label de de confiance, des responsabilités attribuées, un parfait contrôle de ses données personnelles et la gratuité pour le citoyen du Wallet, nul doute que nombreux citoyens seront séduits par ce portefeuille européen.

Quels sont les enjeux ?

Les enjeux restent importants puisque le Wallet sera notre jumeau numérique !

Le premier enjeu est donc la sécurité.  Le Conseil et le Parlement européen demandant un niveau de sécurité élevé quitte à alourdir le fonctionnement du Wallet et à le rendre moins user friendly.

Son coût est également un frein. Les 30M€ de dépenses au budget de la Commission ne sont rien par rapport au 3,2 Mds € que coûtera la mise en place du Wallet et son utilisation aux Etats Membres, aux prestataires qualifiés, aux prestataires de services en ligne de confiance ainsi qu’aux entreprises ; sachant que ce Wallet sera gratuit pour les citoyens.

La Commission insiste cependant dans son analyse d’impact sur les retombées positives attendues qu’elle évalue entre 3,9Mds€ et 9,6Mds € (innovation, commerce international, compétitivité, croissance économique, …) et entre 5.000 et 27.000 d’emplois nouveaux.  

Les changements technologiques pour les entreprises qui ont déjà investi dans des applications d’Identité Numérique (ex. : les banques avec ITSME). Avec le risque d’incompatibilité. Or, certains services seront tenus d’accepter les Wallets, banques, services de télécommunications, énergie, sécurité sociale, services postaux, éducation, etc.  Il en est de même des grandes plateformes (Google, Meta, Amazon, …) qui devraient aussi être contraintes d’accepter les Wallets, sans toutefois devoir exclure toute autre mode d’accès laissé au choix du consommateur.

Quand le Règlement eIDAS 2.0 entrera-t-il en vigueur ?

Le nouveau Règlement est en cours de discussions et de négociations au sein du Parlement et du Conseil (dites « discussions en en trilogue »). Au terme des négociations, le texte sera soumis au COREPER, le comité des représentants permanents des différents Etats Membres, sous la houlette de l’ambassadeur du pays qui assume la présidence du Conseil et enfin soumis en séance plénière au Parlement. Certaines avancées observées au cours du printemps dernier laissent à penser de manière raisonnable que ce Règlement pourrait entrer en vigueur d'ici la fin de l'année 2024.

La présidence belge qui débutera le 1er janvier 2024 pourrait donc faire de ce Règlement eIDAS 2.0 un point clef à l’agenda, même si la Présidence ne donne pas plus de pouvoir de décision mais sans doute plus de pouvoir de conviction.

A noter cependant que vu les élections européennes de juin 2024, l’action de la présidence belge sera de plus courte durée.

Dans l’intervalle, la Belgique travaille déjà à la mise en place d’un portefeuille numérique qui prendra la forme d’une application sécurisée disponible sur smartphone dont la première version est attendue d’ici la fin de cette année.

Archive / TECH