Stéphane Mavel, en charge de la stratégie Identité Numérique d’IDnow, met en lumière la nouvelle réglementation à venir entourant le wallet d’identité numérique européen (EUDIW), avec une attention particulière sur le niveau élevé de sécurité exigé par la Commission européenne à ce sujet. Une exigence qui risque de restreindre fortement l’utilisation du wallet et pourrait favoriser les projets similaires développés par les GAFAM.

Alors que le cadre réglementaire pour développer le wallet d’identité numérique européen (EUDIW) n’est pas encore achevé, la CE préconise un niveau de sécurité élevé. Une situation qui complexifierait l’usage du wallet et conduirait les utilisateurs à privilégier les wallets des grandes entreprises de la Tech et qui fragmenterait le marché numérique tant au sein de la France que de l’Europe. Développer un système basé sur un niveau de sécurité substantiel est suffisant pour satisfaire les conditions de sécurité de la grande majorité des cas d’usage du quotidien (ouvrir un compte bancaire, souscrire et signer un contrat d’assurance, s’inscrire à une formation, donner son consentement, accéder à son dossier médical, voter, …)

A lire aussi : Eudiw : l’Europe planche sur la création d’un wallet numérique

En faisant le choix d’un wallet d’identité numérique de niveau de sécurité élevé, la Commission européenne (CE) risque de restreindre fortement l’utilisation de ce portefeuille électronique. Les Gafam pourraient être, une fois encore, les grands gagnants de cette réglementation européenne.

Idée initiale : création d’un wallet d’identité numérique européen

En 2021, la CE lance le projet Digital Identity Wallet, ou portefeuille d’identité numérique. Objectif : sécuriser les démarches administratives et/ou commerciales des citoyens européens (signer un contrat de travail ou de location, contracter un prêt bancaire, remplir un document fiscal, etc) en obligeant les pays membres à développer des Digital ID Wallet. Portefeuilles électroniques accessibles sur les terminaux mobiles, ces wallets doivent permettre à tous les européens de gérer et stocker leurs données d’identités numériques ainsi que d’autres attributs personnels (permis de conduire, diplômes, …).

Pour développer ce portefeuille électronique, la CE a choisi de s’appuyer sur le règlement européen eIDAS*, dont le but est de définir le cadre juridique de l’identité numérique au niveau européen. Entrée en vigueur en 2016, la première version du règlement doit évoluer pour intégrer les nouveaux usages, nouvelles technologies et exigences en matière d’authentification et d’identification. Toujours en cours de discussion au sein de la commission européenne, eIDAS 2.0 semble toutefois prendre le chemin d’une réglementation orientée vers un niveau de sécurité élevé, là où les premiers travaux avaient plutôt opté pour un niveau substantiel. Un choix peu avisé.

Quelles différences entre un niveau de sécurité substantiel et un niveau élevé ?

En France, un niveau de sécurité substantiel a pour objectif de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité, que ce soit lors de sa création ou de son utilisation. Dans le cadre de ce niveau de sécurité, la création de l’identité impose un face à face ou un dispositif de vérification à distance, de même niveau de garantie (vidéo de reconnaissance du vivant). Pour son utilisation, une authentification forte doit être réalisée via, par exemple, une application mobile et une saisie de code secret personnalisé lors de la création initiale de l’identité.

Le niveau de sécurité élevé est quant à lui plus complexe. Contraint de réprimer toute utilisation abusive ou altération d’identité, le niveau élevé requiert en plus du procédé substantiel pour la création de l’identité (face/face ou face/face via vidéo de reconnaissance du vivant), une lecture de la puce du document d’identité et la saisie du code pin de la puce. L’usage nécessite également une authentification forte avec lecture de la puce.

En outre, l’interprétation des méthodes de vérification d’identité qualifiées de niveau substantiel ou élevé varie grandement selon les Etats membres, menant de facto à des dissensions d’interprétation à l’échelle EU.

Imposer un niveau élevé constitue un frein aux usages 

Le niveau élevé soulève, en France, une problématique légale. En effet, seules les autorités régaliennes sont autorisées à lire le compartiment identité numérique de la puce de la carte d’identité. Une restriction qui exclut, de fait, toute entreprise privée de la création d’un Digital ID wallet européen. Seul l’État peut émettre ce portefeuille électronique.

Le niveau élevé est par ailleurs un frein aux usages dans la grande majorité des utilisations envisagées, car il nécessite de lire la puce de son titre d’identité à chaque opération. Une manipulation qui peut s’avérer complexe dans des situations de mobilité par exemple.

La question soulevée tient aussi à la pertinence d’imposer un niveau élevé à toutes les situations. En d’autres termes, a-t-on besoin d’un niveau élevé de sécurité dans le cadre de la contractualisation d’une location de voitures ? d’un appartement ? d’une embauche ? d’un paiement en ligne ? Dans ces cas d’usage du quotidien, un niveau substantiel est largement suffisant. Le Code Monétaire et Financier a d’ailleurs introduit en France la notion d’identité numérique de niveau substantiel pour une ouverture de compte bancaire, crypto-actif, assurance ou jeu en ligne.

Pourquoi alors une telle décision de la part de la CE ? Est-ce pour maintenir des niveaux de sécurité extrêmement élevés ? Est-ce pour que ces wallets restent entre les mains des Etats ?

S’il est difficile de comprendre les motivations, les conséquences sont en revanche prévisibles : une expérience utilisateur complexe qui empêcherait au final l’adoption du Wallet. Ainsi il y a fort à parier que les citoyens français utiliseront les wallets des Gafam dans leurs usages du quotidien, intuitifs et efficaces alors qu’il s’agirait de trouver le bon équilibre entre la sécurité et l’expérience utilisateur pour les différents cas d’utilisation.

En faisant le choix d’un wallet d’identité de niveau de garantie élevé, la commission européenne fragilise le marché numérique européen plutôt que de le renforcer. Alors pour éviter une telle situation, le niveau substantiel devrait être autorisé voire plébiscité par le wallet européen, afin d’en promouvoir son utilisation partout et tout le temps. A bon entendeur !

eIDAS* Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques