Dix ans après l’adoption du règlement dit « eIDAS » sur « l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur », l’identité numérique dans les Vingt-sept se met en place pour être disponible pour tous les Européens d’ici fin 2026.
« Les portefeuilles numériques pourront être utilisés pour ouvrir un compte bancaire, prouver son âge, renouveler des ordonnances médicales, louer une voiture ou encore afficher ses billets d’avion », promet la Commission européen, qui a adopté le 28 novembre quatre règlements d’application qui sont publiés au Journal Officiel de l’Union européenne (JOUE) pour entrer en vigueur vingt jour après, soit d’ici la fin de l’année. Il s’agit d’un cadre établissant normes, spécifications et procédures uniformes pour les fonctionnalités techniques des portefeuilles d’identité numérique européens – appelés aussi eID.
Pas de tracking ni de profiling
Cette harmonisation technique des portefeuilles d’identité numérique européens (en anglais European Digital Identity Wallets) va permettre à chacun des vingt-sept Etat membres de développer – certains l’on déjà fait – ses propres « eID » pour sa population nationale, avec l’objectifs que ces portefeuilles numériques soient disponibles pour tous les citoyens européens d’ici fin 2026. L’objectif du programme politique de la décennie numérique, initié par la Commission européenne présidée par Ursula von der Leyen (photo), laquelle a entamé son deuxième mandat le 1er décembre (lire p. 4), est que 100 % des citoyens des Vingt-sept aient accès à une identité numérique. (suite)
Grâce à ces quatre règlements d’application, ces wallets seront interopérables et acceptés dans l’ensemble de l’UE, avec la garantie de protéger les données personnelles et la vie privée des Européens qui seront invités à se les procurer. Ce sont potentiellement les 449,2 millions d’habitants (1) des Vingt-sept, ou du moins ceux en âge de l’utiliser, qui pourraient se doter d’un eID. « Chacun aura droit à un portefeuille d’identité numérique de l’UE reconnu dans tous les Etats membres. Cependant, il n’y aura aucune obligation d’utiliser un portefeuille d’identité numérique de l’UE », précise la Commission européenne (2). Mais surtout : « Les données sont stockées localement sur le portefeuille, avec les utilisateurs qui auront le contrôle sur les informations qu’ils partageront, sans suivi [zero tracking] ni profilage [no profiling] dans la conception de ces portefeuilles. Un tableau de bord sur la protection des renseignements personnels [privacy dashboard] sera également intégré, ce qui donnera une transparence complète sur la façon dont les données du portefeuille sont partagées et avec qui ». Les utilisateurs et les entreprises auront ainsi « un moyen universel, fiable et sécurisé de s’identifier » lorsqu’ils accèderont, où qu’ils soient en Europe, à des services publics ou privés. Ainsi, les Européens pourront avec leur eID – faisant office de carte d’identité nationale numérique reconnue partout dans l’UE mais aussi de portefeuille numérique – et à partir de leur smartphone ou autre terminal : de s’identifier en ligne et hors ligne, de conserver et d’échanger des informations ou documents fournis par des autorités publiques (nom, prénom, date de naissance, nationalité, etc.), de conserver et d’échanger des informations fournies par des acteurs privés dignes de confiance, ou encore d’utiliser ces informations pour attester le droit de résider, de travailler ou d’étudier dans un Etat membre donné. Concrètement, dans la vie quotidienne, le détenteur d’un wallet eID pourra auprès de services publics demander un acte de naissance, un certificat médical ou signaler un changement d’adresse, ouvrir un compte bancaire ou demander un prêt auprès d’une banque, remplir une déclaration fiscale, s’inscrire dans une université dans son pays d’origine ou dans un autre Etat membre, conserver une prescription médicale utilisable partout en Europe, prouver son âge, louer une voiture au moyen d’un permis de conduire numérique, s’enregistrer au début d’un séjour à l’hôtel, louer un appartement, signer un contrat, et bien d’autres choses encore (3). Pour l’UE, l’eID est un enjeu de souveraineté face aux Gafam qui, en tant que « très grandes plateformes » soumises aux obligations du règlement européen sur les services numérique (DSA), devront reconnaître ces wallets européens lorsqu’ils existent. C’est aussi pour le Vieux Continent de concurrencer les systèmes d’identification mis en place par les Google, Amazon, Facebook et autres Apple. Par exemple, les réseaux sociaux seront tenus de vérifier l’âge des adolescents sur présentation de leur eID européen afin d’empêcher ceux de moins de 13ans de s’y inscrire pour avoir un compte (4).
Données et documents personnels
Cette authentification numérique sécurisée pourrait être imposée à l’avenir pour l’accès aux sites web à caractère pornographique, sans avoir à révéler son identité. Dans le cadre du règlement européen sur l’identité numérique (eIDAS), adopté il y a dix ans (5) et applicable depuis juillet 2016, les informations contenues dans le wallet personnel permet à la personne détentrice de prouver son identité et ses déclarations sur elles-mêmes et sur ses relations (familiales par exemple, à la manière d’un livret de famille). Et ce, avec l’anonymat – c’est-à-dire sans révéler de données d’identification. Bien plus qu’une simple carte d’identité numérique, l’eID européen est un portefeuille numérique dans la mesure où il permet non seulement de s’identifier numériquement, mais aussi de stocker et de gérer les données d’identité et les documents officiels sous format électronique : permis de conduire, prescriptions médicales ou diplômes et qualifications d’études.
Déjà 31 notifications de systèmes eID
Le règlement eIDAS – cadre juridique transfrontalier – ne prévoit pas pour autant d’obligations. Il y a aucune obligation pour les Etats membres de fournir à leurs citoyens et à leurs entreprises un système d’identification numérique permettant un accès sécurisé aux services publics ou de garantir leur utilisation au-delà des frontières de l’UE. Il n’y a pas non plus d’obligation d’utiliser une telle identification. «Cela conduit à des divergences entre les pays. Certains pays proposent un système d’identification à leurs citoyens alors que d’autres ne le font pas et, lorsqu’ils le font, tous ces systèmes ne peuvent pas être utilisés au-delà des frontières », souligne la Commission européenne. En outre, elle ne prévoit pas d’instaurer une identité numérique européenne unique pour remplacer les identités numériques nationales. « Ce n’est pas l’objectif du règlement. Les Etats membres continueront de fournir des identités numériques. Les portefeuilles d’identité numérique de l’UE s’appuieront sur des systèmes nationaux qui existent déjà dans certains Etats membres », assure-t-on à Bruxelles. Chacun des Vingt-sept a le choix de notifier à Bruxelles ou pas son « schéma d’identification électronique » (6). Mais dès lors, par exemple, qu’un portefeuille d’identité numérique est notifié par un Etat membre et aux prestataires de services de confiance établis dans l’UE, le règlement eIDAS s’applique. Une fois notifié et approuvé officiellement, les Vingt-sept sont invités à « coopérer » afin que les schémas nationaux d’identification électronique notifiés soient « interopérables » (7). Pour cela, un « réseau de coopération » entre les pays européens a été créé – appelé en anglais Cooperation Network (CN), conformément à la décision d’exécution du 24 février 2015 de la Commission européenne sur « les modalités de coopération entre les Etats membres en matière d’identification électronique » (8).
En revanche, il «ne s’applique pas à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants » (9). Selon les constatations de Edition Multimédi@, 31 notifications pour un système eID ont été faites auprès de la Commission européenne et publiées au JOUE, sachant qu’un même pays peut faire plusieurs notifications sur des schémas d’identification électronique différents. A cela, s’ajoutent 2 prénotifications (Finlande et Portugal) et 1 en cours d’examen (peer reviewed) par les autres Etats membre (France). Ainsi, la France a procédé à deux notifications de systèmes eID : la première déposée en février 2021 et publiée au JOUEdu 28 décembre 2021 porte sur FranceConnect+, la version renforcée de la sécurité des démarches en ligne via l’identité numérique de l’administré (10) ; la seconde déposée en avril 2024, mais non encore publiée au JOUE, concerne France Identité, utilisant simultanément la carte d’identité française (carte à puce avec code Pin) et l’application mobile France Identité afin d’être authentifié en ligne avec FranceConnect+ ou directement auprès d’un fournisseur de services électroniques tel que eProxyVoting (11). L’Etat français s’était fixé l’objectif que 100 % des Français puissent, au 1er janvier 2027, avoir accès à une identité numérique gratuite. L’Allemagne, elle, a été le premier pays de l’UE à notifier, en septembre 2017, un système eID concernant la carte d’identité nationale, le permis de séjour électronique, et la carte d’identité électronique pour les citoyens de l’UE et les ressortissants de l’Espace économique européen (EEE) (12). Dans d’autres pays européens, des eID existent (13) tels que par exemple MitID au Danemark, Spid en Italie, Evrotrust en Bulgarie, DNIe en Espagne, DigiD aux Pays-Bas, eID.li au Liechtenstein, ou encore plus simplement Citizen Certificate en Finlande.
Toutes ces solutions nationales eID, puisqu’elles ont été notifiées, approuvées à l’échelon européen et publiées au JOUE, garantissent non seulement leur interopérabilité dans les Vingt-sept, mais aussi un niveau élevé de sécurité de leurs schémas d’identification électronique. La Commission européenne a publié l’architecture et le cadre de référence sur GitHub (14). Les portefeuilles d’identité numérique de l’UE sont développés en open source pour atteindre une plus grande interopérabilité.
Quatre projets pilotes jusqu’en 2025
« En mai 2023, quatre projets pilotes à grande échelle ont été lancés dans le but de tester le portefeuille d’identité numérique de l’UE et d’assurer son déploiement sûr et sans heurts. Ces projets pilotes concernent environ 360 entités, dont des entreprises privées et des autorités publiques de 26 Etats membres, de Norvège, d’Islande et d’Ukraine », signale la Commission européenne (15). Ces projets pilotes – que sont EU Digital Identity Wallet Consortium (EWC (16)), Potential (17), Nobid (18) et DC4EU (19) – devraient se poursuivront jusqu’en 2025. Ces quatre projets pilotes « à grande échelle » font un retour d’expérience pour les Etats membres intéressés et contribuent au développement d’une « boîte à outils commune » pour garantir un déploiement sécurisé (20). @
Charles de Laubier