L’identité numérique est devenue le socle de la transformation numérique des Etats et de l’instauration de relations en ligne entre les administrations et les citoyens.
Les stratégies de dématérialisation des démarches administratives et des transactions commerciales posent une nouvelle problématique aux Etats régaliens et aux entreprises : comment s’assurer de la fiabilité de l’identité numérique des administrés et des clients ? Focus sur le cadre juridique de l’identité numérique en Europe et en Afrique.
Qu’est-ce que l’identité numérique ?
L’identité numérique (IDN) d’une personne est l’ensemble des traces numériques qu’elle laisse sur Internet. Elle est plus complexe que l’identité civile à laquelle elle ajoute des attributs. Elle peut être constituée par le nom d’état civil, mais aussi le nom usuel, un pseudonyme, des images, des vidéos, des adresses IP, des favoris, des commentaires sur la personne.
L’identité numérique est devenue le socle de la transformation numérique des Etats et de l’instauration de relations en ligne entre les administrations et les citoyens. Elle est aussi le levier du développement de l’économie numérique dans tous les secteurs (e-commerce, e-banque…).
L’essor des relations numériques a mis à jour deux risques :
- Un risque de défaillance de la solution technique en place qui doit garantir sécurité, confiance et confort d’utilisation.
- Un risque humain de fraude. Ce dernier a fait émerger deux concepts dont l’objectif est de garantir que le service numérique est bien délivré à la bonne personne : l’identification numérique (comment établir l’identité d’un usager en ligne ?) puis l’authentification numérique (quels moyens mettre en œuvre pour que l’utilisateur prouve son identité déclarée en ligne ?).
Au plan juridique, l’identité numérique est donc une notion transversale. Elle interroge à la fois le droit administratif (protection des données personnelles), le droit commercial (transactions électroniques) et le droit pénal (cybersécurité).
Pourquoi la problématique de l’identification numérique s’est-elle substituée à celle de l’authentification numérique ?
Nous disposons désormais d’outils d’authentification très robustes qui permettent de dire qu’une personne est bien qui elle déclare être. Cependant ces dispositifs n’empêchent ni les piratages ni les violations de données. La personne peut être de mauvaise foi et son authentification reposer sur une identité numérique qui n’a pas été suffisamment contrôlée en amont. Il y a dix ans en France, le projet de Carte Nationale d’Identité intégrait deux puces, l’une dédiée à l’identité biométrique du citoyen, l’autre contenant un certificat pour les signatures électroniques. La loi française n°2012-410 du 27 mars 2012 relative à la protection de l'identité qui l’organisait a échoué devant le Conseil Constitutionnel parce que les experts interrogés ont montré que le dispositif ne garantissait pas la bonne identification des personnes, avant toute authentification, même forte.
Cette problématique rencontre le concept d’identité numérique. La plus efficiente, l’identité numérique souveraine, permet à un individu de gérer et de contrôler facilement son IDN sans intervention d’un tiers. Cette approche s’inspire du monde réel dans lequel chacun dispose d’une identité représentée envers les autres par le biais d’une série de documents : certains sont communs à tous (carte d’identité), d’autres sont distribués à des personnes spécifiques (par exemple, autorisation d’exercer professionnellement). Tous sont attestés par des acteurs externes garants de la fiabilité de l’identité (Etat, autorités de régulation, ordres professionnels).
Comment la sécurité de l’identité numérique est-elle encadrée juridiquement dans les Etats ?
En France, il n’existe aucun texte légal spécifiquement consacré à l’identité numérique. Le cadre juridique susceptible de s’appliquer est un des concepts issus du Sommet Mondial sur la Société de l’Information (SMSI), un forum lancé en 2003 à Genève par l’Union Internationale des Télécommunication (UIT). Il s’agit de quatre textes de lois caractéristiques de la Société de l’Information que le juriste peut appliquer au cas particulier de l’IDN. Ce cadre général a été repris largement dans le monde : par tous les Etats des pays de l’Union Européenne et les pays de l’Union Africaine.
Les quatre lois du SMSI servant de cadre juridique à l’IDN
- Une loi générale sur les nouveaux droits que la société de l’information crée pour les personnes. Application : chacun dans un Etat a droit à une identité numérique.
- Une loi sur la protection des données à caractère personnel. Application : attention, tout n’est pas permis !
- Une loi sur l’organisation juridique des transactions électroniques. Application : comment faire du commerce électronique ? Comment échanger avec les administrations ? Comment utiliser la signature électronique avec des certificats électroniques ? Comment faire du contrôle d’accès ?
- Une loi sur la cybersécurité/cyberdélinquance. Application : quelle sanction appliquer à un pirate qui s’empare de l’identité numérique d’une autre personne ?
Au niveau européen, le Règlement eIDAS n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur commençait à baliser le secteur. Mais en pratique, le règlement s’est limité à un système d’agrément mutuel entre les pays membres (accords de reconnaissance mutuelle), dans lequel chacun reste libre d’établir ses propres schémas d’identification d’IDN. La révision du texte est en cours pour modéliser quelques schémas-types d’identité électronique, sans limiter les marges de liberté correspondant à la souveraineté des Etats.
Des réglementations européennes plus récentes sont venues compléter le cadre : la directive européenne (UE 2015/2366) relative aux services de paiement DSP2, qui instaure des normes de sécurité plus strictes pour les paiements en ligne, et le Règlement Général sur la Protection des données personnelles (UE 2016/679), le RGPD.
En France, des textes isolés assurent la sécurité de certains secteurs (Identité Nationale de Santé) ou de certaines applications (vérification de l’identité à distance).
Aujourd’hui, à peu près tous les pays du monde ont adopté le cadre juridique de la Société de l’Information avec des lois sur les transactions électroniques mentionnant l’identité électronique. C’est le cas du continent africain où l’Union Africaine a établi un cadre d’Harmonisation des Politiques en matière de TIC en Afrique subsaharienne (Programme HIPSSA). Ce cadre a souvent servi à la rédaction des lois, cependant les décrets d’application qui doivent gérer la coopération du droit et de la sécurité, tardent à être publiés. De même, beaucoup de pays africains ont déjà intégré la protection des données personnelles dans leur législation, ce qui leur permet de créer une autorité de régulation qui gère les divers traitements appliqués aux identités en ligne, sans en définir l’essence-même.
Dans quels systèmes d’identité numérique de référence les Etats ont-ils investi au sein de l’Union Européenne ?
En France, la solution FranceConnect, lancée en 2021, s’inscrit dans le programme de transformation numérique de l’Etat français (1 milliard d’euros). Elle sécurise et simplifie la connexion de 40 millions d’utilisateurs français à plus de 1 400 services en ligne, via un identifiant numérique unique. Le dispositif fonctionne correctement et devrait avoir un impact important sur les services publics français.
En France toujours, L’Identité Numérique La Poste donne accès à 1 300 services en ligne via FranceConnect et La Poste avec un seul identifiant. Quant à l’Identité Nationale de Santé (INS), basée sur la déclinaison du numéro de sécurité sociale, elle permet de référencer en un lieu unique l’ensemble des données de santé d’un patient partagées par les professionnels de santé.
En Europe, d’ici 2024, tous États membres devront offrir aux citoyens qui en exprimeront le souhait un portefeuille numérique unique regroupant l’ensemble leurs documents d’identité. Ce Digital Identity Wallet simplifiera les relations avec les usagers, améliorera la qualité, le coût et l’efficacité des services publics.
Quelles sont les priorités en matière d’IDN sur le continent africain ?
Un besoin prioritaire des pays africains où les frontières restent mal définies et les événements d’état civil (enregistrement des naissances, mariages et décès) peu fiables, est de maîtriser la gestion de leur population. Beaucoup d’entre eux entreprennent, avec le soutien financier de la Banque Africaine de Développement (BAD), des études de déploiement d’une stratégie d’identité digitale nationale leur permettant de recenser la population et de refonder l’état civil. Ces études comportent toujours un volet juridique pour redéployer l’état civil grâce à l’utilisation des TIC, de la protection des données à caractère personnel, des certificats et signatures électroniques. Cette étape fondatrice permet ensuite aux Etats d’émettre, sur demande des administrés, des titres d’identité sécurisés (carte d’identité, passeport, carte d’électeur) via une autorité spécialisée.
Au total, les Etats doivent créer des schémas d’identification numérique nationaux et privilégier une identité nationale souveraine. Ce qui permettra ensuite, au niveau de la région ou de la sous-région, d’établir des systèmes de reconnaissance mutuelle entre Etats afin d’interconnecter leurs modèles ainsi que les ressortissants de leurs pays.
