Vers une identité numérique de confiance

Mercredi 8 juillet, avec mes collègues députées Christine Hennion et Marietta Karamanli, nous avons présenté les conclusions des travaux de la mission d’information commune sur l’identité numérique, à l’Assemblée nationale, devant les membres des commissions des lois et des affaires économiques.

Ma participation au rapport du CNNum, Identités numériques : Clés de voûte de la citoyenneté numérique, publié il y a quelques semaine m’a permis d’avoir une approche globale et technique de ce que représente la mise en place d’une identité numérique en France.

La part croissante que prend le numérique dans notre société et notre vie quotidienne n’est plus à prouver. Nous sommes souvent amenés à devoir prouver notre identité pour accéder à certains services en ligne.

Les initiatives d’identité numérique progressent, comme le soulignent la mise en place de FranceConnect en 2016 et l’expérimentation d’Alicem en 2019.

Le programme France Identité numérique porté par Valérie Peneau doit mettre au point, d’ici 2021, une solution d’identité régalienne, avec le déploiement de la carte nationale d’identité électronique.

bien aborder l’identité numérique

La première leçon des travaux que nous avons conduits réside dans la nécessité de faire preuve du maximum de pédagogie sur ce sujet complexe.

La notion d’identité numérique est en effet très complexe, puisqu’elle peut à la fois renvoyer à l’ensemble des traces que nous laissons dans l’espace numérique (applications, réseaux sociaux etc.), mais aussi plus spécifiquement à la déclinaison du titre d’identité physique dans le monde numérique.

Ce sont donc deux définitions de l’identité numérique qui cohabitent :

Une première définition, subjective, renvoie cette notion à l’ensemble des traces numériques laissées par un individu dans l’espace numérique.

Une seconde définition, objective, correspond tout simplement à la déclinaison du titre d’identité physique dans le monde numérique. Il s’agit alors de permettre au citoyen de disposer dans l’espace numérique du moyen de justifier de son identité pour sécuriser ses interactions avec les administrations et les fournisseurs de services.

C’est cette dernière approche, qui permet au citoyen de justifier de son identité pour sécuriser ses interactions avec les administrations et les fournisseurs de services que nous traitons dans le rapport.

Du point de vue de l’utilisateur, par contre, l’identité numérique comprend, en vérité, deux grandes phases : l’enrôlement, c’est-à-dire la création initiale de son identité numérique, dérivée de son titre d’identité physique, puis son utilisation, qui nécessite de s’authentifier pour accéder au service souhaité.

Lors de l’enrôlement, le futur utilisateur doit créer son identité numérique via un parcours comprenant plusieurs étapes permettant de s’assurer qu’il est bien la personne qu’il prétend être. Cette phase est critique en termes de sécurité : elle constitue le moment où l’identité numérique est délivrée pour être utilisée ensuite librement.

Dans le cadre du projet actuel porté le Gouvernement, qui ferait dériver l’identité numérique régalienne de la carte nationale d’identité électronique, cette vérification prend appui sur un processus impliquant le titre physique (la CNIe), le téléphone mobile du futur utilisateur et enfin une phase de vérification visuelle opérée soit par une personne physique en mairie, soit via le recours à la reconnaissance faciale.

Sur ce dernier sujet, il convient d’écarter les fantasmes : il ne s’agit que d’une comparaison faciale facultative, qui offre la souplesse de créer son identité en quelques minutes, et dont les données ne sont pas conservées. La reconnaissance faciale apparaît donc ici comme un moyen supplémentaire non exclusif mis au service de l’utilisateur, conformément à l’avis que la CNIL avait formulé au sujet de l’expérimentation AliceM.

Une fois enrôlée, la personne peut utiliser librement son identité numérique, qui lui permet de s’authentifier auprès des fournisseurs de services, avec un degré d’exigence variable en fonction du niveau de sécurité requis.

Pour rappel, il existe plusieurs niveaux de sécurité pour s’authentifier, définis par le règlement européen eIDAS de 2014, en fonction notamment du nombre de facteurs d’authentification utilisés.

On distingue ainsi le niveau faible, qui nécessite le recours à un seul facteur d’authentification (« ce que je sais ») du niveau subtantiel (deux facteurs au moins, par exemple « ce que je sais » et « ce que je possède ») et du niveau élevé (deux facteurs minimum ainsi que des moyens pour protéger le schéma d’identification électronique contre la duplication et la falsification).

Dans le projet d’identité numérique régalienne dérivée de la CNIe, s’authentifier pour un service de niveau faible ou substantiel passera uniquement par le seul smartphone de l’utilisateur, qui a été associé au titre physique d’identité numérique lors de l’enrôlement.

En revanche, lorsque le citoyen souhaitera réaliser une démarche nécessitant un niveau de garantie élevé (déclarer ses impôts par exemple), il lui faudra combiner son smartphone avec son titre d’identité physique, pour revérifier son identité.

Force est de constater qu’il existe, la crise l’a montrée, une forme de défiance sur les sujets numériques. Notre rapport constitue un premier effort de pédagogie pour expliquer les enjeux de l’identité numérique.

La blockchain, solution de création d’une identité numérique décentralisée transparente et sécurisée

Dans le cadre de ce rapport, j’ai également souhaité mettre en avant l’utilisation de la blockchain comme solution de création d’une identité numérique décentralisée transparente et sécurisée.

En effet, cette technologie de rupture permettrait aux citoyens d’accéder directement à leurs données et de savoir lorsqu’elles sont réutilisées par des services tiers, répondant à un fort besoin de transparence de la part de l’opinion publique.

En l’associant à des technologies de chiffrement comme la preuve à divulgation nulle de connaissance (zero knowledge proof), les échanges pourraient se faire en toute sécurité, sans que les utilisateurs n’aient à transmettre des informations associées à la transaction.

Un rapport résumé en 5 points

▶️  Déployer rapidement et massivement l’identité numérique : déployer la carte nationale d’identité numérique d’ici 4 et 5 ans pour massifier rapidement son usage en s’appuyant sur FranceConnect, qui compte déjà plus de 15 millions d’utilisateurs aujourd’hui.

▶️ Créer une identité numérique de confiance : face à la défiance numérique croissante, mettre en place une confiance avec les citoyens, appuyée sur un effort de pédagogie et de transparence :

– réaffirmer le principe de l’interdiction de l’utilisation des données personnelles traitées par les solutions d’identité numérique régaliennes à des fins commerciales, publicitaires et sécuritaires et d’inscrire, plus généralement, la mention de la protection des données personnelles au sein de l’article 34 de la Constitution.

– proposer une alternative à la reconnaissance faciale lors de la phase d’enrôlement.

– communiquer autour de FranceConnect pour développer la visibilité autour des sujets d’identité numérique.

Le succès de l’identité numérique dépend fortement du niveau de confiance de nos concitoyens.

▶️ Définir un modèle économique de l’identité propice à l’innovation : la gratuité doit être la règle pour les particuliers et les acteurs publics pour envisager un déploiement rapide. Elle doit être payante pour les acteurs privés afin de ne pas concurrencer de façon excessive les autres fournisseurs d’identité privés.

▶️ Donner une vraie place aux collectivités locales : soutenir la mise en œuvre d’expérimentations locales, conformément à la demande de certaines collectivités et renforcer leur association au projet d’identité numérique en mettant en place une feuille de route du déploiement de l’identité numérique. Un comité de pilotage, au niveau national doit être créé pour faciliter les échanges avec l’Etat. Au niveau local, la mise en place d’équipes-projets serait utile pour territorialiser l’identité numérique et faire remonter, le cas échéant, les difficultés rencontrées.

▶️ Mettre la formation et l’inclusion au cœur de l’identité numérique

Nos recommandations dans ce domaine concernent d’une part, la formation, et d’autre part l’inclusion, même si ces deux domaines vont évidemment de pair.

Pour la formation, nous proposons de déployer des formateurs en cas de besoin sur l’ensemble du territoire, notamment dans les lieux de délivrance de l’identité numérique et plus généralement renforcer la formation aux outils numérique.

Pour l’inclusion : extension du Pass numérique, dispositif sous forme de chèque permettant de bénéficier des services de médiation numérique est souhaitable pour faciliter l’accompagnement des publics en difficulté avec le numérique et généraliser la solution AidantsConnect (solution permettant à un aidant de réaliser des démarches pour une personne de façon sécurisée juridiquement)

L’esprit du numérique est en effet d’offrir des solutions plus efficaces et efficientes pour tous, sans exclure néanmoins les personnes ayant des difficultés dans ce domaine.

 

✅  La présentation du rapport en commission en vidéo.

✅ Le Rapport MIC sur l’identité numérique

✅ La Synthèse MIC identité numérique


La Presse en parle

 


Le Figaro, édition du 10 juillet 2020 


Acteurs publics, 9 juillet 2020

Les députés veulent accélérer le déploiement d’une solution régalienne d’identité numérique _ À la une _ Acteurs Publics

 


Dépéche AEF Sécurité Globale N°631307 rédigée par Marie Desrumaux Identité numérique le développement d’une solution régalienne enjeu de souveraineté technologique (rapport)

« Dépêche n° 631307, par Marie Desrumaux, reproduite avec l’aimable autorisation de l’Agence de Presse AEF info ».