« Il n’est désormais plus possible d’ignorer la question des identités numériques »

 

 

Spécialiste des données et de la prévention des fraudes en entreprise, Guy de Felcourt a écrit « L’usurpation d’identité ou l’art de la fraude sur les données personnelles » (CNRS éditions). Conseil stratégique sur les identités numériques et le paiement il est également co-fondateur de l’ID Forum, l’événement annuel autour de l’identité numérique et du KYC qui se déroule en parallèle du FIC à Lille. Il raconte comment est née l’identité numérique, et ses prochaines évolutions.    Comment l’identité numérique est-elle apparue ? L’expression identité numérique est née au IVème siècle avant notre ère. Elle est utilisée par Aristote dans « l’Organon » pour désigner l’identité du nombre, c’est-à-dire l’identité que l’on ne peut résoudre autrement qu’en comptant le nombre d’exemplaires ou de copies.  Quant à l’identité numérique telle que nous la connaissons aujourd’hui nous pouvons dire qu’elle est un enfant de la cryptographie à clé publique permettant d’attribuer une paire de clés à toutes les entités de manière individuelle. Concrètement, elle s’affirme dix ans plus tard, à partir de 1990, avec trois mouvements presque concomitants : les certificats numériques de télécommunication (d’où nous vient le format X509), la gestion des identités et des accès dans les entreprises, et enfin le développement des protocoles de découverte d’identité sur la Toile.

 

 

Comment le concept d’identité s’exprime-t-il aujourd’hui, et quel est son lien avec l’identité numérique ?

Je qualifierai ce lien de fondamental. L’identité numérique n’est pas une technologie, même si elle en utilise un grand nombre : composants sécurisés, intelligence des données, couches applicatives, biométries, crypto, etc. Le concept d’identité renvoie à la manière dont nous établissons des relations, dont nous fonctionnons en société, dont nous organisons notre économie. Malheureusement, le terme d’identité est galvaudé et incompris. Pour prendre un seul exemple, nos hommes et femmes politiques l’utilisent au sens d’une communauté, alors que comme l’a bien relevé le sociologue danois Ferdinand Tönnies, il y maintenant plus d’un siècle, c’est au contraire plutôt l’individualisme sociologique qui est propulsé par l’identité !

 Toute entreprise aujourd’hui a besoin de l’identité pour structurer les relations qu’elle entend nouer à la fois au sein de son organisation interne et sur ses sphères externes d’influence. Ces relations doivent autant que possible être ergonomiques et de confiance. Il y a une belle citation de Platon qui dit « la relation d’identité est la relation harmonique lorsque celle-ci est possible ».

Pourquoi l’identité numérique prend-elle une place si importante aujourd’hui ?

 Les relations électroniques ou digitales sont ainsi faites qu’elles ont besoin de reposer sur un triptyque d’enrôlement (identification), d’authentification et d’autorisation. L’identité numérique sert à gérer les attributs des entités (ou personnes) concernées afin de pouvoir réaliser ces trois relations digitales de base, à les optimiser et à les consolider.

Il y a donc bien une notion de structuration des données, d’organisation des flux de données par des protocoles, de sécurisation des titres ou des supports qui rentre en jeu lorsque l’on parle d’identité numérique.

En mettant la relation à distance au centre de nos nouvelles sociétés, une conséquence désormais constatable par tous du fait de la situation sanitaire, il n’est désormais plus possible d’ignorer la question des identités numériques.

Comment, à votre avis, convaincre les réfractaires qui associent identité numérique et surveillance de masse ?

L’identité possède un pouvoir de détermination qui comme tout instrument peut être utilisée plus ou moins bien. La vocation de l’identité c’est le bien. J’en veux pour preuve que le droit à l’identité est reconnu par la convention des droits de l’enfant de 1989. J’ajouterai que l’ONU a fixé pour objectif que tous les habitants de la Terre soient dotés d’une identité officielle et légale en 2030 afin qu’ils puissent faire valoir leurs droits et bénéficier de l’inclusion dans la société pour la nourriture, la santé, le logement ou l’éducation. L’identité c’est d’abord le droit pour une personne d’être reconnue par les autres au sein de la société dans laquelle il vit.

Bien entendu, il existe aussi des risques avec la mise en place des identités numériques, qui peuvent être liés à l’exploitation des données, à la mise en place de technologies intrusives, ou à un régime de surdétermination. La France souffre encore dans son héritage culturel de la dernière guerre mondiale pendant laquelle les papiers d’identité et autres marqueurs d’identité ont été utilisés pour la surveillance des populations, voire leur éradication. L’épisode du pass sanitaire-vaccinal nous offre aujourd’hui un autre cas concret de la difficulté de trouver le bon équilibre en matière d’identification, entre risques pandémiques et restriction des libertés individuelles lors des confinements. Pour se prémunir des risques, il est important d’avoir un cadre juridique adapté, une gouvernance des écosystèmes de titres d’identités et la liberté de toujours pouvoir utiliser une pluralité de supports ou de titres pour les opérations d’identité.

Je voudrais terminer par une note plus optimiste. Avec l’identité numérique ce que nous évoquons aussi c’est la place de l’humain dans l’écosystème numérique. Avec la montée des règles automatiques de la blockchain, des prescriptions de l’intelligence artificielle, de l’autonomisation des objets connectés et des robots, quelle sera la place de l’humain ? L’identité numérique est ici l’oracle (au sens informatique et cryptologique du terme), c’est-à-dire l’intervention extra-systémique qui peut donner à l’humain la possibilité d’exprimer ses choix, des choix libres non déterminés ou prévus par le système.

Êtes-vous favorable à la mise en place d’une identité numérique régalienne ?

Tout dépend ce que l’on entend par là. Personnellement, je crois que la première mission d’un état est de pouvoir garantir la fiabilité des titres officiels ainsi que des données de l’état civil. Est-ce que l’état a besoin d’être émetteur de titres pour cela ? C’est possible et logique dans notre culture, mais cela n’est pas la seule réponse possible.

La seconde mission d’un état c’est de pouvoir structurer le cadre de l’identité numérique nationale. J’entends par là structurer les règles de fonctionnement, les services disponibles et les niveaux de confiance requis en fonction des usages et des situations. Chez nous, cela sera plus facile du fait du cadre unifié de l’identité numérique européen en cours d’adoption.

La troisième mission c’est de superviser le fonctionnement de l’écosystème national, de veiller aux exigences d’ergonomie, de diversité des usages et des titres, d’inclusion, d’interopérabilité, de sécurité et de protection des données, d’ajuster les règles de gouvernance et de modèle économique. Cette partie est encore selon moi balbutiante entre une vision uniquement centrée sur le secteur public et une autre construite sur la vision d’un écosystème national plus large en matière de périmètre et de souveraineté juridique.

Entre RGPD, eIDAS, et KYC, l’identité numérique se retrouve au carrefour de plusieurs réglementations : la compréhension du cadre juridique est-elle une partie importante dans la mise en œuvre de l’identité numérique ?

Oui, bien entendu le cadre légal et normatif est important pour sa mise en place. Mais insuffisant aussi : la grande critique adressée au règlement eIDAS est d’être un règlement trop juridique. On sent d’ailleurs dans les nouveaux textes présentés par la Commission en vue d’un cadre européen unifié de l’identité numérique, le souhait d’être plus pragmatique par exemple avec la proposition du portefeuille mobile (wallet).

La question de la convergence avec la KYC est fondamentale dans le cadre du nouveau package anti-blanchiment proposé par la Commission. L’extension des obligations de la connaissance client va s’étendre tant sur le périmètre des acteurs concernés (eg cryptoactifs) que sur la fréquence des contrôles et le recours aux attributs de la connaissance clients (FICOBA, registres de bénéficiaires effectifs, etc..). Il y a matière à une grande action concertée entre les deux projets, qui permettrait de vraies synergies vis-à-vis du secteur privé règlementé. Cela me parait important de consolider l’identité numérique européenne vis-à-vis des alternatives américaines et asiatiques qui se sont pour l’instant imposées auprès du grand public.

Le e-wallet prévu par eIDAS 2 va-t-il révolutionner le secteur de l’identité numérique selon vous ?

Il est assez probable que les portefeuilles mobiles deviennent les nouveaux supports des titres et des attributs. C’est une évolution assez générale : pour l’identité, pour le paiement, pour la monnaie électronique et numérique. De ce point de vue je pense qu’il y a un avant et un après « pass sanitaire » dans la phase d’adoption du mobile à ce rôle de support des e-wallets. Les portefeuilles mobiles d’identité numérique s’inscrivent donc dans cette évolution plus générale qui fait du téléphone mobile l’assistant personnel multitâches.

 Le portefeuille prévu par la Commission pour l’identité numérique (DIW « Digital Identity Wallet ») démontre des ambitions élevées quant au niveau de confiance des identités et à l’interopérabilité transfrontière. Il devrait aussi encourager l’usage des services de confiance numérique comme la signature, le vote en ligne ou l’archivage électronique. Il reste à voir quelles seront ses implémentations dans les différents états membres, leur degré d’adoption et surtout leurs usages réels dans les sphères publiques et privées.

Enfin j’ajouterai que la réussite de ce beau projet suppose de ne pas se laisser enfermer dans des discussions techniques ou éthiques interminables et de favoriser le cadre des usages et de son adoption par les citoyens européens. J’adhère là-dessus au célèbre proverbe estonien : « mieux vaut (au moins pour commencer) une chèvre qui donne du lait qu’une vache stérile ». 

Comment imaginez-vous le marché de l’identité numérique dans quelques années ?

C’est une question difficile étant donné les évolutions rapides que nous constatons.  Néanmoins, je crois que nous aurons quelques grands écosystèmes avec pour chacun d’entre eux une pluralité d’identités de niveaux substantiels ou élevés que nous pourrons choisir. Avec la montée des services de confiance numérique vis-à-vis du grand public (notifications, droits de consommation, vote électronique, dossier de santé en ligne, etc.) voire l’arrivée des monnaies numériques de banque centrale, comme c’est déjà le cas en Chine, notre vie professionnelle, sociale et personnelle reposera davantage sur ces écosystèmes d’identité et de données certifiées dans les prochaines décennies. Au moins jusqu’à la prochaine grande rupture technologique attendue qui sera sans doute celle de l’ère quantique !