Comme indiqué dans notre article paru en novembre 2023, la Human Technology Foundation a lancé un projet de réflexion pour cibler les meilleures pratiques concernant les systèmes d'identité numérique.
Nous voulons comprendre les principaux points de défiance des utilisateurs lorsqu’un nouveau système d’identité numérique leur est proposé mais aussi identifier les leviers de confiance pour que les bénéfices promis à la conception se concrétisent dans l’usage quotidien.
Nous donnons aujourd'hui la parole à plusieurs membres de notre groupe de travail pour qu'ils nous expliquent davantage pourquoi l'identité numérique est aujourd'hui un sujet capital qui nous concerne tous. Nous avons la chance d'avoir le point de vue :
Claire Godron - Les systèmes d’identité numérique sont un enjeu majeur de nos sociétés du XXIème siècle pour deux raisons. D’abord parce qu’ils sont, ou sont en passe de devenir, centraux dans notre quotidien en tant que citoyen: on les utilise pour se connecter à des sites en ligne, pour prouver notre identité dans la vie réelle ou sur internet, pour prouver qu’on détient un permis de conduire ou une assurance maladie. Ensuite parce qu’ils gèrent des données précieuses : les attributs d’identité de chacun d’entre nous.
Régis Chatellier - La question de l’identité des personnes est centrale dans l’organisation de toute société, dès lors qu’elle permet d’attribuer un rôle ou un statut aux individus dans une organisation collective. L’identité est multiple et ne se résume pas à l’identité qui figure sur les registres de l’état civil et sur nos cartes d’identité. Nous avons plusieurs identités selon les contextes, qui nous permettent de nous identifier auprès de services numériques, jeux, réseaux sociaux, ou dans l’espace, et bien sûr la numérisation de l’Etat civil.
Charles Morgan - Les solutions d’identité numérique peuvent être exploitées pour promouvoir l’agentivité et l’autonomie. Si l’on considère que 1,1 milliard de personnes dans le monde ont du mal à accéder aux services de base en raison d’une preuve d’identité insuffisante, les systèmes d’identification numérique ont le potentiel de permettre à tous de participer à notre société et de faciliter l’accès aux services des secteurs public et privé. L’adoption du potentiel de minimisation des données de l’identité numérique encourage davantage l’agentivité et l’autonomie, permettant aux individus de décider quelles informations ils partagent avec qui et quand. La consultation publique permettra de s’assurer que la conception des systèmes d’identification numérique est fondée sur des principes qui répondent aux besoins individuels et institutionnels, maximisant ainsi les avantages pour les utilisateurs et favorisant l’acceptabilité sociale.
Marie Garnier - Les systèmes d’identité numérique répondent à un enjeu sociétal majeur à savoir l’instauration d’un numérique de confiance. Dans un contexte où tout est dématérialisé, il apparaît donc plus que nécessaire de protéger les citoyens et ce qu’ils ont de plus précieux, leurs données personnelles.
Dans un monde où toutes les informations sur nous deviennent numériques (nos résultats scolaires dès le CP, nos données de santé, nos connexions internet), leur protection et leur préservation sont au cœur du débat public.
Il faut pouvoir proposer aux citoyens un moyen d’authentification aussi sûr mais également aussi simple à utiliser que la carte d’identité dans la vie quotidienne.
Charles Morgan - Du point de vue de la démocratie en ligne, les système de vote électronique de l’Inde et de l’Estonie ont fourni des enseignements qui méritent d’être pris en compte :
Dans le contexte de la vérification de l’âge et du contenu en ligne, nous assistons à un afflux de changements législatifs. Le Canada a récemment proposé une loi restreignant l’accès en ligne au matériel sexuellement explicite, tandis que l’Utah et l’Arkansas ont adopté des lois qui exigeraient une vérification de l’âge des mineurs utilisant les médias sociaux.
Marie Garnier – Je voudrais faire un éclairage sur la vérification d’âge. Nous avons lancé chez Docaposte un dispositif sécurisé qui permet à un utilisateur de prouver sa majorité civile (+ 18 ans) ou sa majorité numérique (+ 15 ans) tout en garantissant son anonymat grâce à l’association de composants applicatifs différents. Cette expérience fut riche d’enseignements.
Dans le cas de la protection des mineurs, il faut penser à la dimension complexe de s’adresser à une population qu’on va écarter justement avec notre solution, donc qui va de fait susciter l’envie d’être contournée. Dans ce cas c’est plutôt au niveau sociétal qu’il faut envisager et encourager l’acceptabilité. Pour qu’un système d’identité numérique fonctionne, il doit avant tout être compris et adopté par la population. Le deuxième enjeu concerne l’importance de la confidentialité et de la traçabilité. La confiance est un point clé que nous mettons au centre de toutes nos solutions. C’est pourquoi nous avons développé un système de double anonymat. Enfin, les enjeux économiques restent importants également et il faut bien les prendre en compte.
Claire Godron - D’abord, je souhaite saluer le choix de ces verticales, qui illustrent parfaitement la double exigence à laquelle les systèmes d’identité numérique font face : être un outil utilisé au quotidien, tout en apportant la meilleure des protections à nos données personnelles et une garantie de l’authenticité de la donnée partagée.
Nous sommes encore au début du déploiement de ces systèmes, et les inconnues restent nombreuses. On peut citer par exemple la manière dont les écosystèmes d’usage des identités numériques vont se créer et évoluer : quels sont les cas d’usage qui vont favoriser l’adoption des citoyens ? Comment les documents d’identité numérique seront-ils effectivement utilisés par les citoyens ? etc.
Néanmoins, les premiers projets de ce type nous ont amené des enseignements. Sur l’usage d’abord, et par exemple pour les systèmes d’identité numérique pour la santé, il est devenu clair que le « cercle de confiance » ayant accès à ces systèmes doit être assez étendu et inclure notamment médecins, pharmaciens, assurance maladie. Concernant la sécurité des données, les toutes dernières réglementations, comme par exemple eIDAS 2.0, ont renforcé les exigences sécuritaires, en définissant un niveau d’assurance « élevé », qui pourra s’appliquer aux verticales étudiées.
Régis Chatellier - Dans le dossier sur les identités numériques, la CNIL rappelle notamment les enjeux pour la sécurité et le respect des droits fondamentaux. Chacun devrait pouvoir utiliser différentes identités numériques selon les contextes, il s’agit en effet d’éviter la mise en place d’un moyen d’identification unique pour tous les usages en ligne.
Les niveaux d’identification et d’authentification devraient être choisis selon le niveau de confiance nécessaire et suffisant pour chaque service en ligne. La pluralité de solutions évite les risques de concentration des risques, notamment en cas d’attaque et laisse à chacun la possibilité d’avoir plusieurs identités, plus ou moins complètes, par contexte d’usage, et non reliées entre elles.
Quand aux acteurs qui proposent des solutions, celles-ci doivent permettre de divulguer le minimum d’information, et donc intégrer la protection de la vie privée dès la conception (ou privacy by design en anglais), une obligation prévue par le RGPD.
Charles Morgan - Trois grands principes sont essentiels : elle doit être centrée sur les personnes, responsabilisant et digne de confiance.
Il est possible de favoriser l’autonomisation en fondant le système sur la notion de consentement éclairé, c’est-à-dire en veillant à ce que l’utilisateur soit suffisamment informé de la manière dont son identité numérique est utilisée et du moment où elle l’utilise. Une autre considération à cet égard est la portabilité des données, qui permet aux utilisateurs de contrôler leurs données à des fins de partage ou de transfert. Enfin, l’acceptation du public ne se fera que par la confiance. Assurer la transparence, la responsabilité et la sécurité sont essentiels pour obtenir une adhésion massive.
Marie Garnier- Une des réussites de ces dernières années en Europe en matière d’identité numérique centralisée, c’est incontestablement SPID ID en Italie. En moins de 3 ans, plus de 70% de la population en est équipée. Un des points clés de ce déploiement réside dans le volontarisme politique et un partenariat public-privé pour en favoriser l’adoption par le plus grand nombre. L’expérience utilisateurs, qui nous apparait clé dans l’adoption : une identité numérique ne sera utilisée et acceptée que si elle est facile et pratique et n’alourdit pas les process sous prétexte de renforcer la sécurité. Et on en revient à la confiance : l’identité c’est ce qui nous constitue ; on ne peut pas le laisser aux mains de n’importe qui.
Claire Godron - Nous pouvons citer les solutions d’authentification mobile de certains pays d’Europe (BankID Norway, BankID Sweden, Itsme, etc.).Ces solutions sont utilisées par plus de 90% des citoyens adultes des pays en question, et permettent de s’identifier et de s’authentifier à un très grand nombre de services en ligne (plusieurs centaines par pays).
Il y a plusieurs enseignements à en tirer. Tout d’abord, ces systèmes sont de bonnes illustrations d’un choix de cas d’usage réussi. En effet, ils ont été lancés par des fédérations d’acteurs de la sphère privée, et notamment des banques, qui cherchaient à mutualiser une solution d’authentification pour leurs sites en ligne. Ces systèmes se sont donc montés autour d’un cas d’usage fréquemment utilisé : l’authentification à son espace personnel de sa banque en ligne, ce qui a largement facilité leur adoption. Ce sont aussi de bons exemples d’un effet vertueux d’écosystème : plus le nombre de citoyens connectés est important, plus cela attire les fournisseurs de services en ligne – et vice versa.
En revanche, ces systèmes sont des systèmes nationaux, qui n’offrent pas de possibilité d’interopérabilité internationale. De plus, s’ils sont des solutions d’authentification très abouties, ils ne permettent pas le partage d’attributs, que ce soit des attributs provenant d’autres documents d’identité (permis de conduire, carte de santé, certificat de naissance, etc.) ou alors d’un attribut unique comme la preuve d’âge. Il faut noter aussi que la qualification sécuritaire de ces différents systèmes s’est faite au niveau national.
Charles Morgan - Aadhaar en Inde et le système d’identification numérique de l’Estonie pour le vote électronique ont réussi au vu du taux d’adoption par la population. Les Philippines, le Ghana, la Suède et la Chine sont tous des pays dont les populations ont également largement adopté les solutions d’identification numérique. Leurs approches respectives de l’identité numérique peuvent varier en nature, mais les leçons générales restent similaires. D’une part, il est essentiel d’adopter une approche équilibrée qui exploite l’innovation technologique tout en tenant compte des préoccupations en matière de confidentialité et de sécurité. Deuxièmement, il est impératif de mettre en place un système d’identification numérique inclusif, accessible à tous et équitable.
Charles Morgan - Bien que l’acceptation et la confiance du public restent primordiales, les solutions d'identité numérique ne feront que gagner en pertinence à l’avenir. Plus important encore, les solutions d'identité numérique répondent à l’intérêt public et à la nécessité d’agir. De récents sondages canadiens et européens ont montré un appui important en faveur du développement des justificatifs d’identité numérique. Dans un monde de plus en plus numérisé, le déploiement des services sociaux et des retombées économiques repose sur l’utilisation de justificatifs d’identité numérique fiables et sécurisés. Les acteurs publics et privés qui n’avancent pas sur cette voie risquent de perdre leur positionnement stratégique mondial et leur potentiel de croissance économique. L’adoption de solutions d'identité numérique continuera de jouer un rôle important de moteur d’engagement économique, social et citoyen.
Claire Godron - Beaucoup de choses vont se jouer dans les 5 à 10 prochaines années ! Tout d’abord, nous allons assister vraisemblablement à une multiplication des solutions d’identité numérique. Nous pouvons aussi nous attendre à une poursuite des réflexions et des débats autour de la centralisation et de la décentralisation des identités numériques – et peut-être verront nous apparaître que certains cas d’usage se prêtent mieux à un schéma centralisé ou décentralisé. Nous verrons aussi probablement se préciser les réglementations et recommandations autour de la sécurité des systèmes d’identité numérique, et de la protection de la donnée personnelle. Ces deux derniers points nous tiennent particulièrement à cœur chez Thales !
MarieGarnier - Les solutions d’identité numérique sont en train de se transformer poussées par l’évolution de la réglementation. En 2014,le règlement eIDAS v1, toujours en vigueur, a dessiné les contours de l’identification électronique en posant les fondements d’un espace numérique sécurisé commun aux pays de l’Union Européenne.
Pour s’adapter aux nouveaux usages en matière d’interaction électronique et développer les opérations transfrontalières, le règlement va évoluer dans les prochains mois.
eIDAS V2 crée un portefeuille d’identité numérique, appelé Wallet. Il permet aux citoyens européens de stocker des données personnelles d’identification en toute sécurité pour réaliser des opérations partout sur le continent. Il s’agit de généraliser l’identité numérique mais aussi limiter la divulgation des informations personnelles et surtout de redonner la main aux citoyens qui pourront choisir les attributs qu'ils souhaitent partager ou non avec qui et quand et de travailler sur l’interconnexion pour définir un système à l’échelle de l’Europe.
Human Technology Foundation, 12 février 2024