Normaliser l'identité numérique dans l'UE

“La section du règlement eIDAS concernant l’identification électronique établit un environnement réglementaire prévisible pour permettre des interactions électroniques sûres et transparentes entre les entreprises, les citoyens et les autorités publiques”. (Tendances en matière d’identification électronique)

D’un point de vue strictement juridique, le règlement eIDAS garantit l’accès transfrontalier aux services publics : les personnes et les organisations d’un État membre de l’UE doivent pouvoir utiliser leurs propres moyens d’identification électronique pour accéder aux services publics d’autres États membres de l’UE (à condition que ces services publics offrent à leurs citoyens la possibilité de se connecter de manière sécurisée à leurs services web).

Par exemple, une étudiante française qui souhaite s’inscrire à l’université en Suède ne sera pas empêchée d’accéder à la procédure d’inscription en ligne et de la mener à bien si elle n’a pas de BankID (le moyen d’identification électronique le plus utilisé en Suède) pour authentifier son identité. Dans le cadre d’eIDAS, son eID FrenchConnect sera tout aussi valable.

Deux points essentiels à noter :

• eIDAS n’impose pas l’utilisation de l’eID, mais permet et protège son utilisation.
• En fournissant un cadre juridique à l’échelle de l’UE, le règlement a des implications majeures pour l’utilisation de l’eID dans le secteur privé également.

À partir de 2023, l’UE est en train de réviser le règlement eIDAS et de participer à un projet ambitieux et à long terme – le portefeuille d’identité numérique de l’UE – pour soutenir l’utilisation des identités numériques dans l’ensemble de l’UE, que vous pouvez découvrir dans cet eBook téléchargeable.

Objectifs d’eIDAS pour les secteurs public et privé

Le règlement eIDAS aura un impact sur le secteur privé tout autant, voire plus, que sur le secteur public.

“La section du règlement eIDAS concernant l’identification électronique, qui entrera en vigueur en septembre 2018, établit un environnement réglementaire prévisible pour permettre des interactions électroniques sécurisées et transparentes entre les entreprises, les citoyens et les autorités publiques. L’un de ses objectifs fondamentaux est de veiller à ce que les personnes et les entreprises puissent utiliser leurs propres identifiants électroniques nationaux pour accéder aux services publics en ligne dans d’autres pays de l’UE, ce qui nécessite la mise en place d’un réseau mutuellement interopérable de systèmes d’identification électronique en Europe.” (4)

Faciliter le commerce du secteur privé à l’ère numérique est un autre objectif majeur du règlement eIDAS. À cette fin, la Commission européenne propose des ressources en ligne pour promouvoir les avantages de l’identification électronique et des services de confiance pour les entreprises, y compris un guide sur la manière d’adopter ces outils dans leurs activités. (5)

Des organisations publiques et privées (ainsi que des alliances mixtes public-privé) ont participé activement à l’élaboration de systèmes, de moyens et d’infrastructures d’identification électronique, en fonction de leurs différents mandats et motivations. Le secteur bancaire a été et continue d’être particulièrement actif. “Les banques dépensent aujourd’hui collectivement plus d’un milliard de dollars par an pour financer la recherche et le développement de solutions d’identité, ce qui fait d’elles les premiers investisseurs au monde, devant même les gouvernements nationaux et les services de police”. (6)

Niveaux d’assurance

Afin de garantir légalement l’interopérabilité entre les États membres, le règlement eIDAS définit clairement les normes auxquelles un système d’identification électronique doit satisfaire. Ces normes orientent à leur tour les spécifications techniques et de sécurité des moyens d’identification électronique, ainsi que leur utilisation et leur acceptation.

Pour illustrer l’intérêt de disposer d’un cadre juridique commun à l’échelle de l’UE, examinons l’une des principales spécifications : les niveaux d’assurance (LoA). (7) Chaque système d’identification électronique conforme à l’eIDAS est classé selon un ou plusieurs des trois niveaux d’assurance suivants : faible, substantiel et élevé : Faible, Substantiel et Élevé. “Les niveaux d’assurance caractérisent le degré de confiance dans le titre d’identification électronique utilisé pour établir l’identité d’une personne, en donnant l’assurance que la personne qui revendique une identité est bien celle à laquelle l’identité a été attribuée”. (8)

Les trois niveaux d’assurance de l’eIDAS sont basés sur la norme ISO/IEC 2915, qui constitue la base de nombreux cadres d’assurance dans le monde. (Faible, substantiel et élevé correspondent respectivement aux niveaux 2, 3 et 4 de la norme ISO/CEI 2915). Assurance de l’identité au moment de l’enregistrement : quelle a été la rigueur du processus d’identification de la personne ou de l’entité lorsqu’elle a demandé son eID ?

• Assurance de l’identité au moment de l’enregistrement : quelle a été la rigueur du processus d’identification de la personne ou de l’entité lorsqu’elle a demandé son eID ?
• Assurance de l’authentification : solidité des méthodes utilisées au moment de l’authentification.

Outre l’assurance de l’identité et l’assurance de l’authentification, d’autres facteurs importants comprennent “la fiabilité et la qualité” des procédures de délivrance des moyens d’identification électronique, de l’entité qui délivre les moyens d’identification électronique et de “tout autre organisme” qui pourrait être impliqué dans la demande de délivrance des moyens d’identification électronique. (9)

En utilisant ce cadre, les législateurs peuvent alors facilement spécifier le niveau d’assurance qu’un moyen d’identification électronique doit avoir pour un type de transaction donné. Les entreprises privées peuvent, à leur discrétion, exiger un niveau d’assurance encore plus élevé que celui exigé par la loi si elles décident que leur propre risque commercial le justifie. Les avantages d’une sécurité accrue doivent bien entendu être mis en balance avec la qualité de l’expérience du client et les coûts de transaction supplémentaires pour l’entreprise.

Formalisation et mise en œuvre des systèmes d’identification électronique : La notification et le réseau eIDAS

Pour permettre l’interopérabilité des systèmes d’identification électronique des différents États membres, il faut une méthode de gestion et d’authentification transfrontalière, ainsi qu’un processus de formalisation des systèmes d’identification électronique approuvés par le réseau eIDAS.

Le processus d’approbation formelle d’un système d’eID est connu sous le nom de “notification”. Chaque État membre est responsable de la notification de ses propres systèmes d’identification électronique, en veillant à ce qu’ils satisfassent à toutes les exigences de sécurité et de qualité d’eIDAS. (10) Le processus implique un examen par les pairs des États membres et, une fois que le système d’identification électronique a été officiellement ajouté au réseau eIDAS (voir ci-dessous), les États membres de l’UE sont tenus de le reconnaître “au plus tard 12 mois après la publication au Journal officiel de l’Union européenne”. (11)

L’infrastructure technique reliant les différents systèmes et moyens d’identification électronique est connue sous le nom de réseau eIDAS. Ce réseau repose sur une série de nœuds (nœuds eIDAS), qui sont mis en œuvre au niveau des États membres. Dans le cadre d’une transaction individuelle, chaque nœud peut à la fois demander et fournir une authentification transfrontalière.

Favoriser l’adoption de l’eID, faciliter le commerce

De nouveaux systèmes d’identification électronique sont progressivement développés et ajoutés au réseau eIDAS. Mais les entreprises ne doivent pas attendre la notification pour bénéficier des avantages de l’identification électronique, notamment le respect des exigences de conformité (au niveau national), la gestion des risques commerciaux et l’amélioration de l’expérience des clients.

L’impact de l’eIDAS sur le commerce devient évident si l’on considère les conséquences d’une définition juridique claire de l’identification électronique dans l’ensemble de l’UE. Le règlement eIDAS

• fournit aux législateurs des États membres un cadre juridique commun pour l’élaboration de lois régissant l’identité électronique…
• …ce qui, à son tour, crée une incitation plus forte au développement de systèmes et de moyens d’identification électronique dans chaque État membre, et
• fournit aux entreprises une base juridique reconnue pour offrir à leurs clients l’eID comme méthode de vérification de leur identité et d’authentification dans un environnement numérique et pour signer des documents qui répondent à la norme eIDAS pour les signatures électroniques avancées et qualifiées

Si la promotion de l’eIDAS par la Commission européenne met l’accent sur la coopération transfrontalière, il convient de noter que l’identification électronique offre une valeur considérable même pour les entreprises et les clients au sein d’un même État membre. La Suède, l’un des rares États membres où l’identification électronique a été largement adoptée bien avant eIDAS, en est un bon exemple.

Le BankID suédois, un système d’identification électronique mis au point par un groupe de grandes banques, a été émis pour la première fois en 2003. Reconnu par la loi suédoise et bénéficiant d’une grande confiance, BankID compte 7,5 millions d’utilisateurs réguliers (73 % de la population) qui l’utilisent régulièrement pour s’authentifier en ligne, autoriser des transactions et accéder à des services publics.

Le BankID est également utilisé pour identifier de manière unique le signataire lors de la signature d’accords. Bien que l’eID ne soit pas un élément obligatoire d’une signature électronique valide, si les signataires d’un contrat utilisent le BankID pour s’identifier de manière unique, le contrat est considéré comme ayant été signé avec une signature électronique de niveau avancé, qui a un effet juridique équivalent à celui d’une signature manuscrite en Suède (c’est-à-dire un effet juridique spécial). En raison de l’infrastructure de sécurité existante de BankID, aucun type de contrat ne nécessite l’utilisation d’une signature électronique qualifiée, qui ne peut être obtenue qu’à l’aide d’une solution de signature électronique répondant à des normes industrielles qui ne sont pas neutres sur le plan technologique.

Conformité et expérience client

Pour illustrer l’importance de l’eIDAS pour le commerce, prenons deux grands défis auxquels le secteur bancaire est aujourd’hui confronté :

• Des réglementations plus strictes en matière de conformité
• Le renforcement de la concurrence

La directive relative à la lutte contre le blanchiment d’argent (AMLD) est un acte de l’Union européenne qui affecte particulièrement le secteur bancaire et financier. Par exemple, les nouvelles exigences en matière de connaissance du client (KYC) imposent désormais aux banques des normes plus strictes en matière d’identification de leurs clients. La connaissance du client comprend la vérification de l’identité des nouveaux clients et l’authentification de l’identité des clients existants lorsqu’ils accèdent à certains services.

Dans le même temps, les banques traditionnelles sont confrontées à une nouvelle concurrence de la part d’acteurs émergents qui sont bien plus à même d’offrir l’expérience client que les consommateurs d’aujourd’hui attendent : une expérience numérique, avant tout.

L’AMLD reconnaît plusieurs méthodes qu’une banque peut utiliser pour vérifier l’identité de ses clients, chacune impliquant des compromis tels que le temps et les frais de mise en œuvre, d’une part, et l’impact sur l’expérience client et la marque, d’autre part. Le contrôle d’identité en personne et l’identification électronique sont tous deux des méthodes conformes à l’AMLD, mais en termes d’expérience client moderne, offrir l’identification électronique comme méthode de vérification est évidemment préférable à l’obligation pour les clients de se rendre dans une banque physique.

Quels sont donc les obstacles à la mise en œuvre de l’identification électronique ? L’inertie institutionnelle et l’aversion pour le risque sont probablement en tête de liste. Obtenir l’approbation du conseiller juridique interne pour les nouveaux outils numériques peut constituer un défi de taille. Mais ne pas numériser les opérations comporte des risques en soi, surtout dans un marché de plus en plus concurrentiel.

L’un des objectifs d’eIDAS est de contribuer à abaisser les barrières au commerce numérique, ce qu’il fait dans ce cas en fournissant des définitions et des catégories claires d’identification électronique. L’AMLD, à son tour, se réfère à ces définitions pour spécifier les exigences d’un contrôle KYC conforme utilisant l’eID. Ainsi, une banque qui souhaite proposer l’identification électronique n’a qu’à choisir un moyen d’identification électronique, avec le niveau d’assurance requis, dans le cadre d’un système conforme à l’eIDAS. Il n’est pas nécessaire de consacrer d’importantes ressources juridiques et informatiques pour garantir la conformité.

Conclusion

Le règlement eIDAS constitue une étape majeure vers la vision d’un marché numérique unique dans l’UE, en encourageant et en accélérant la transformation numérique dans les secteurs public et privé. Il est essentiel de comprendre que, contrairement aux lois qui imposent et restreignent des comportements, eIDAS vise à faciliter les choses, en établissant des normes reconnues par la loi pour le commerce numérique et les services publics. Avec un cadre juridique européen en place, les législateurs de l’UE et des États membres disposent d’une référence commune pour rédiger des lois, ce qui permet aux entreprises privées de déployer plus facilement de nouveaux outils et services numériques.