Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
[L’Analyse] La révision eIDAS v2 du règlement européen Electronic Identification And Trust Services de 2014, devrait contribuer à définir de nouveaux services de confiance autour du portefeuille d’identité numérique de l’Union européenne. Une opportunité majeure dont les acteurs de la filière doivent se saisir d’ici 2026.
Actuellement, 60 % de la population de l’Union européenne, répartie dans 14 États membres, est en mesure d’utiliser son identité électronique nationale au-delà des frontières. Un pourcentage qui pourrait bien s’envoler, une fois la nouvelle version d’eIDAS parachevée par le législateur européen. « Le portefeuille électronique (« wallet »en anglais) est une application mobile permettant aux citoyens européens de stocker/gérer leurs identités numériques et d’accéder à des services publics et privés dans toute l’Union européenne en utilisant une seule identité numérique. L’objectif est de mettre en commun les titres d’identité des citoyens européens et les rendre valables dans n’importe quel Etat membre. C’est la différence notable entre eIDAS v1 et eIDAS v2 », explique Clément Savoie, directeur de l’activité confiance numérique, chez Tessi, spécialiste français de l’externalisation des processus d’affaires.
Certains pays sont plus en avance que d’autres. Outre-Quiévrain, ITSME (pour « It’s Me », « C’est moi » en anglais) est une application d’identité mobile à la disposition des citoyens belges pour se connecter à des plateformes officielles, des banques, des assureurs et autres entreprises privées. Elle permet aussi de partager des données d’identité, de confirmer des paiements et de réaliser des signatures électroniques qualifiées au sens du règlement européen eIDAS v1.
En France, les pouvoirs publics accélèrent la cadence. Depuis le 14 février, l’application France Identité est disponible pour tous les Français possédant la carte d’identité au format carte bancaire. Le permis de conduire peut également y être déposé. L’app, développée par l’Agence nationale des titres sécurisés (ANTS), permet d’avoir accès à plus de 1800 services disponibles sur FranceConnect, service en ligne d’identification et d’authentification. Une évolution logique que le développement de la criminalité online rend par ailleurs inévitable. Ainsi, les achats de formation en lien avec le Compte personnel de formation (CPF), qui avaient fait l’objet de multiples fraudes après des usurpations d’identité, sont sécurisés depuis octobre 2022 avec la mise en œuvre conjointe de FranceConnect + et de l’identité numérique du groupe La Poste.
Qu’attendre d’eIDAS v2 ?
« Ce nouveau texte va apporter un cadre plus harmonisé concernant les exigences en matière de sécurité et d’interopérabilité de l’identité numérique, des services de confiance et des transactions transfrontières », déclare Romain Santini, directeur de programme eIDAS v2 au sein de la BU Digital identity & services chez Docaposte, filiale de la poste spécialisée dans la confiance numérique. Ouvrir un compte bancaire, s’inscrire dans une université ou se faire délivrer une ordonnance médicale dans un autre État membre que celui dont on est ressortissant devrait ainsi devenir plus facile pour les citoyens européens équipés de leur portefeuille EUDI. « L’idée est de permettre à un citoyen ou résident qui a besoin d’apporter une preuve à un tiers, dans un cadre public ou privé, de le faire de manière simple, facile et sécurisée, sans envoyer de photocopies par e-mail, ajoute-t-il. Le concept du wallet s’appuie ainsi sur un certain nombre de briques technologiques existantes dans le règlement afin de construire un outil à valeur ajoutée, simple d’utilisation et qui soit dans la main de tous les citoyens ».
Avantage de ce futur outil, les éléments de preuve (ex : état civil, âge, nationalité, sexe, domicile) pourront être partagés sans avoir à divulguer d’autres informations personnelles. « C’est ce qu’on appelle l’identité pivot, précise Clément Savoie. Les éléments constitutifs de cette identité vont pouvoir être partagés, tout en restreignant le nombre d’informations partagées au strict nécessaire, en respectant une confidentialité maximale »
De nouveaux débouchés applicatifs et commerciaux
Pour ne pas perdre de temps et être prêt quand l’Europe sonnera le début de l’ère du wallet, les acteurs font avancer ce qui peut l’être d’ores et déjà. Ainsi, Tessi travaille sur la mise en œuvre de sa future plateforme d’interconnexion d’identités, tout en répondant aux interrogations prospectives de leurs clients, notamment dans le domaine de la bancassurance sur l’on-boarding des nouveaux clients : comment s’assurer que c’est bien Monsieur ou Madame untel qui veut créer un compte à distance ? Comment se protéger contre les fuites d’informations ? Comment s’assurer que tout est supprimé quasiment dans la minute suivant l’utilisation de ces données ? A l’heure des deepfakes, ces questions sont devenues brûlantes, même si l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) a élaboré le référentiel Prestataire de Vérification d’Identité à Distance (PVID), justement pour garantir les identités même à distance.
Le futur texte réglementaire créera à coup sûr un terrain favorable à l’émergence d’acteurs européens de la confiance numérique dans un paysage en devenir (voir encadré). « Le wallet, c’est un outil de facilitation des échanges par voie dématérialisée. Cela peut constituer un super accélérateur d’entrée en relation à distance (commerce, recrutement, partage de documents administratifs divers) pour les entreprises aussi, se réjouit Romain Santini. La filiale du groupe La Poste entend bien se faire une place sur ce marché porteur avec une cible de 15% de chiffre d’affaires en Europe à horizon 2030. L’entreprise met toutes les chances de son côté en étant aussi membre du consortium européen Potential qui pilotera le nouveau prototype de portefeuille européen ainsi que de Vector, groupement plus orienté sur la gestion d’attributs complètement décentralisés dans la blockchain. Tessi est également confiant dans son plan de développement mais souligne l’importance pour les entreprises de s’assurer que les prestataires auxquels elles ont recours sont bien certifiés (Règlement Général de Sécurité (RGS) et eIDAS) et respectent la réglementation en vigueur.
Ailleurs en Europe, des prestataires de services de confiance dans les starting-blocks
- Exemple de prestataire offrant toute la gamme de services de confiance (identité numérique ; prestataire de vérification d’identité à distance (PVID) ; lettre recommandée électronique ; signature et cachet électroniques et les services associés de validation et conservation des signatures/cachets ; horodatage électronique) + identité numérique/KYC : Evrotrust (Bulgarie)
- Exemple de prestataire offrant toute la gamme de services de confiance mais pas d’identité numérique : ANF Autoridad de certification (Espagne)
- Exemple de prestataire offrant quasiment toute la gamme de services de confiance, et pas d’identité numérique : Asseco Data Systems (Pologne) ; Borica (Bulgarie) ; Disig (Slovaquie).
- Des autorités publiques sont aussi présentes dans ce domaine mais ne commercialisent pas leurs offres, comme en Slovaquie, la National Agency for Network and Electronic Services et la National Security Authority.
