Après le Digital Markets Act et le Digital Services Act, l’Europe poursuit sa feuille de route avec en ligne de mire, la création d’un « wallet » unique européen, appelé Eudiw (EU Digital Identity Wallet). Mais les limites de ce système pourraient bien être le manque de sécurisation des données utilisateurs…

Dans un contexte marqué par la volonté de souveraineté numérique de la France et de l’Europe, le souhait de poser des bases communes pour le contrôle des données des citoyens, face à une concurrence internationale féroce, s’avère capital. Si les premiers travaux – prévus pour mai 2023 – permettront de poser les briques de ce grand projet européen de « portefeuille numérique », les ambitions poursuivies par la Commission européenne, notamment l’ouverture d’un compte bancaire ou l’obtention d’un crédit immobilier en ligne via son « wallet », n’est pas sans poser un certain nombre de questions quant à la sécurisation des données citoyens. Ce projet toutefois, toujours en discussion, promet une solution interopérable permettant de s’authentifier ou de mener des transactions à caractère bancaires.

Lutter contre la fraude et l’usurpation d’identité

Ce futur portefeuille numérique sera composé de cartes d’identités, passeports, RIB, relevés bancaires… et se positionne déjà comme un levier de la lutte contre la fraude et l’usurpation d’identité. « La fraude à l’identité se multiplie et c’est une opportunité pour l’Europe de montrer qu’elle se préoccupe de la sécurité digitale de ses citoyens », indique Candice Dauge, directrice de la Business Unit Digital Identity and Services chez Docaposte.

Ce nouveau wallet permettrait en outre aux entreprises et organisations publiques de réduire leurs coûts de KYC (Know Your Customer ou connaissance du client) via un processus de vérification d’identité en amont, dès la création du wallet. Mais la sécurisation des données financières, notamment pour l’obtention d’un prêt en ligne ou l’ouverture d’un compte bancaire, demeure trop fragile à l’heure actuelle.

A titre d’exemple, pour l’ouverture d’un nouveau compte, le citoyen aura la possibilité de « pousser les attributs » demandés par son nouvel établissement bancaire, à partir de son wallet (ses données d’identité, son adresse certifiée, ses revenus mensuels ou encore un spécimen de signature). Puis, une fois faite l’ouverture de son nouveau compte, il pourra l’enrichir de nouvelles données. Toutefois, rien ne garantit que celles-ci ne soient pas récupérées, ni utilisées par des tiers. « Il ne faut surtout ne pas donner l’illusion d’un système à 100 % sécurisé car les citoyens ne sont pas dupes, il faut l’expliquer de manière claire, en posant les faits et en ouvrant le débat », indique André Loesekrug-Pietri, président et directeur scientifique de l’organisation Joint European Disruptive Initiative (Jedi).

Un consortium créé pour la phase 1 du processus

Pour tester les nouveaux prototypes de ce wallet, sous plusieurs configurations, la Commission a constitué un consortium composé de 144 participants, issus de 19 Etats membres de l’EU. Objectif : tester l’usage pour les services publics en ligne, l’enregistrement de cartes SIM ou encore l’exploitation de prescriptions médicales électroniques.

Ces tests seront réalisés par les participants sur la période glissante de 2024 à 2025, sur des opérations nationales et transfrontières. L’Etat français, via l’Agence Nationale de Sécurité des Titres (ANTS) a souhaité prendre part à ce test à grande échelle, en appui des Etats membres et des entreprises sélectionnées. Parmi elles se trouvent notamment Docaposte, qui intervient déjà au titre de solutions numériques de confiance (signature électroniques certifiées, identité numérique La Poste ou solution d’archivage de coffres-forts) ou encore Thales Digital Identity and Security, Orange, LuxTrust, Universign, Archipels, Inria, CEA, IMT, Samsung, Institut Mines-Télécom Business School ; mais aussi des acteurs du secteur bancaire tels que BNP Paribas, la Banque Postale, BPCE, ou le Crédit Agricole.

Lire aussi :  Pour les entreprises, la principale menace cyber reste la fraude par usurpation d’identité et compromission d’email professionnel

Vers la création d’un marché unique pour les innovations de rupture ?

Et si l’enjeu central de cette mesure était de faire émerger des champions européens et de créer un marché unique en Europe sur des innovations de rupture, porteuses d’avenir ? « Non car beaucoup de briques prévues existent déjà. On devrait d’ailleurs en profiter pour développer le « coup d’après », et créer les standards de demain. Par exemple, la sécurisation PQC (crypto post-quantique) ou encore l’utilisation de l’IA pour créer de la valeur et des services, sans avoir accès aux données individuelles », précise André Loesekrug-Pietri, président de JEDI.

« Aujourd’hui, c’est le domaine de la cryptologie homomorphe qui nous semble être une technologie clé à maitriser pour l’Europe » indique-t-il. Une divergence avec Candice Dauge, directrice chez Docaposte, pour qui il s’agit avant tout de « ruptures d’usages qui s’appuient sur des réelles avancées technologiques, notamment les preuves à divulgation nulle de connaissance (ou zero-knowledge proof, ZKP), développées dans le monde des cryptomonnaies pour anonymiser certaines transactions ; et la divulgation d’un attribut en toute transparence pour remplacer la constitution de bases de données non maitrisées. » précise-t-elle.

Là encore, le manque de consensus, associé à un manque de concertation des citoyens, pourrait bien mettre à mal ce projet européen. Affaire à suivre…

• Termes de références de l’EU

• Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity COM/2021/281 final