Laurent Roussel (Ariadnext): « Il est probable que le ‘Wallet’ prenne une place prépondérante dans la vie quotidienne des Européens »

 

Après les entretiens avec Guy de Felcourt et Pierre Grasset, Laurent Roussel, Chef de projet Identité numérique d’Ariadnext, qui fait partie des leaders européens dans le secteur de l’identification digitale, répond à nos questions sur l’identité numérique, sa naissance, son évolution, et ses perspectives, notamment avec le projet d’eIDAS 2.0.

 

Comment est née l’identité numérique ? Avant d’en expliquer l’origine, il est nécessaire de bien définir ce que l’on entend par « identité numérique » car cette notion est polysémique. Dans notre écosystème, l’identité numérique se définit comme la déclinaison numérique de l’identité civile, c’est-à-dire de l’“ensemble des éléments qui, aux termes de la loi, concourent à l’identification d’une personne physique”[1]. Ceci étant dit, revenons à la question initiale. Le besoin d’identification d’un tiers n’est pas récent. Il est même légitime de penser que cette problématique suit l’histoire de l’humanité. Ce processus est, en effet, incontournable pour établir la confiance nécessaire pour autoriser la réalisation d’une opération spécifique, la réalisation d’une transaction ou l’accès à certains lieux. Initialement, l’identité d’un individu se basait sur ses relations interpersonnelles. Par étapes successives, avec la structuration progressive des nations, l’émergence de grandes administrations étatiques, la délivrance de l’identité est progressivement devenue une compétence régalienne. Aujourd’hui, dans la plupart des situations du quotidien, la présentation d’un titre d’identité émis par un Etat, et le contrôle en face à face de son porteur, permet de légitimer un accès, une opération ou une transaction. L’explosion des nouvelles technologies du numérique dans les années 2000 a profondément bouleversé nos usages à tel point qu’une existence numérique se juxtapose dorénavant à notre existence physique. Mais les problématiques rencontrées dans le monde réel se sont transposées dans le monde virtuel. Organisations criminelles ou terroristes, et Etats voyous ont adapté leurs activités; résultat: la cybercriminalité a explosé. Ainsi, les risques inhérents à l’identité, aux fraudes documentaires et à l’usurpation d’identité, ont naturellement suivi le mouvement vers le monde numérique.  L’absence de mesures de sécurité fortes conduirait à l’instauration d’un climat de défiance généralisé, préjudiciable aux usagers et à notre économie. Les solutions d’identité numérique ont été imaginées pour contrer cette menace croissante et instaurer la sécurité nécessaire à la confiance numérique, c’est-à-dire apporter sur internet une garantie équivalente au face à face physique et à la présentation d’un titre.

 

ARIADNEXT a lancé en 2017 une solution d’identité numérique, qu’est-ce qui vous motivait ?

Depuis son origine, ARIADNEXT conçoit des solutions permettant de faire du contrôle documentaire dématérialisé et plus spécifiquement de la vérification d’identité. La toute première solution commercialisée en 2010, le S-Cube, permettait de sécuriser la relation avec les usagers en contrôlant l’authenticité des titres présentés et de dématérialiser les actes réalisés dans les points de ventes de nos clients. Cette offre a progressivement évolué vers une solution de type SAAS moins contraignante et offrant plus de possibilités, telle qu’une intégration simplifiée. Elle est connue sous le nom d’IDCheck.io et est aujourd’hui le produit phare d’ARIADNEXT.

La décision stratégique d’ARIADNEXT de lancer une solution d’identité numérique relève de plusieurs points. Tout d’abord, la conception des titres d’identité a évolué. Aujourd’hui, la quasi-totalité des documents d’identité émis par les Etats disposent d’un composant électronique (puce NFC), utilisé comme support de stockage sécurisé des données d’état civil, ainsi que de la photographie du détenteur du titre. L’accès aux données, ainsi que la vérification de leur intégrité et de leur authenticité, s’en trouve facilité. Il n’est plus nécessaire de posséder dans sa solution un algorithme de reconnaissance optique de caractères (OCR) efficace, ou de demander la lecture des données du titre par un opérateur tiers pour pouvoir en extraire les informations. Cette évolution aura un impact évident sur le marché et les coûts dans le secteur de la vérification d’identité. Il nous fallait donc anticiper cette transition.

Le deuxième point relève des évolutions réglementaires françaises et européennes. Le règlement eIDAS sorti en 2014 avait pour ambition d‘accroître la confiance dans les transactions électroniques au sein du marché intérieur en instaurant un cadre européen en matière d’identification électronique et de services de confiance. Il a été précisé en 2015 par le règlement d’exécution EU 2015/1502 qui fixe les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique.

Côté français, la mise en place en 2016 du portail FranceConnect pour sécuriser et simplifier la connexion aux services de l’Etat nous confirmait la volonté du législateur de faire émerger une offre française et européenne de solutions d’identité numérique. Pour rappel, FranceConnect assurera la fonction de nœud technique eIDAS pour la France, garantissant l’interopérabilité avec les identifications électroniques et les fournisseurs de services des autres Etats membres. Enfin, d’un point de vue purement utilisateur, le processus de vérification d’identité à distance, s’il est indispensable pour réaliser des démarches sensibles, est un peu long à réaliser et constitue un point de friction. L’association des attributs d’identité issus de cette vérification à un moyen d’authentification nous permettait de transmettre les attributs d’identité vérifiés après une simple authentification de l’usager. De fait, une fois initialisée, le moyen d’identification électronique facilite l’identification du porteur et accélère ses parcours tout en maintenant le niveau de sécurité et de confiance.

Quelles sont les solutions d’identité numérique de votre entreprise ?

En 2017, en collaboration avec Orange Application For Business (OAB) et l’opérateur Orange, ARIADNEXT a lancé sa solution d’identité numérique MobileConnect et Moi (MCEM). Cette solution est intégrée en tant que fournisseur d’identité au sein de FranceConnect et permet à près de 315 000 usagers français et étrangers d’accéder à leurs démarches en ligne et aux portails des organismes publics et privés raccordés. La création de l’identité MobileConnect et Moi s’effectue en moins de 5 minutes par l’intermédiaire d’une application mobile IOS ou Android et l’authentification se fait par la saisie d’un code confidentiel à 4 chiffres sur le smartphone.

Fin Mai, nous lançons en production, une toute nouvelle solution baptisée YRIS et entièrement portée par ARIADNEXT. Pour l’utilisateur final, il s’agit d’une version complètement revue de MCEM, avec une nouvelle interface, une ergonomie retravaillée et un niveau de sécurité visé supérieur. YRIS s’appuie sur MobileID Authenticator, notre solution d’authentification dont les SDK ont obtenu une CSPN en septembre 2021, et le service IDCheck.io Identity Proofing Service, en cours de certification PVID pour la vérification d’identité à distance. Grâce à YRIS, nous avons pour ambition de délivrer des identités de niveau substantiel. Dès l’obtention de la qualification, YRIS sera intégrée à FranceConnect+ pour permettre aux français et étrangers résidant en France, d’ouvrir un compte bancaire, d’accéder à leur dossier médical ou de recevoir des lettres recommandées électronique. YRIS sera aussi présent sur le portail FranceConnect pour permettre aux ressortissants français de l’étranger de s’identifier aux services en ligne de l’état.

Enfin nous travaillons conjointement avec nos collègues allemands d’IDnow sur un wallet. Les contraintes d’implémentation et les exigences fonctionnelles que nous nous sommes fixées suivent au plus près les travaux résultant du futur règlement eIDAS 2.0 de la Commission européenne sur le Wallet européen et la mise en place de la Toolbox.

Quels sont les freins actuels pour une mise en place globale de l’identité numérique ?

Le règlement eIDAS n’a pas imposé aux Etats membres de délivrer des identités numériques, constituant un des principaux freins actuels à la mise en place globale de l’identité numérique. En 2021, 5 ans après la mise en application du règlement, 17 états sur 27 disposaient d’une eID notifiée par la Commission européenne et ces schémas n’étaient pas tous d’un niveau de garantie élevé. De même, tous les Etats membres ne disposent pas de nœud eIDAS permettant d’assurer l’interconnexion des schémas d’identification électronique entre Etats membres. Par ailleurs, lorsqu’elle est possible, cette interconnexion faisant intervenir de multiples redirections, peut apparaître lourde et complexe aux citoyens européens.

Un autre frein important tient au fait, qu’à l’heure actuelle, seules les institutions et sociétés soumises à des obligations règlementaires intègrent des solutions d’identité numérique. Cela limite de facto les cas d’utilisation dans lesquels les usagers pourraient être amenés à créer et utiliser une identité numérique dérivée de l’identité régalienne pour s’identifier. Les sites à forte audience tels que les réseaux sociaux, les sites de vente en ligne, les sites de streaming audio/vidéo ne sont pas soumis à des obligations réglementaires et s’appuient sur les solutions des GAFAM pour faciliter l’inscription et l’authentification des usagers. Au final, un citoyen lambda utilise presque tous les jours son compte Google, Apple, Facebook pour s’authentifier et n’utilise son identité numérique, lorsqu’il en a une, que dans des cas contraints, quelques fois par mois.

Entre RGPD, eIDAS et KYC, l’identité numérique se retrouve au carrefour de plusieurs réglementations : la compréhension du cadre juridique est-elle une partie importante dans la mise en œuvre de l’identité numérique ?

La compréhension du cadre juridique est un élément fondamental dans notre activité. Ces textes règlementaires découlent généralement des politiques industrielles des Etats ou de l’Union et permettent de dresser un cadre en définissant les objectifs, les notions, les modalités d’application et les exigences à satisfaire par les différentes parties prenantes du secteur. Ils ont naturellement pour vocation de faire émerger une offre industrielle cohérente, de qualité et sûre sur les marchés. De ce fait, dans de nombreux cas, les solutions que nous sommes amenés à développer ne peuvent être éligibles que si elles ont été qualifiés/certifiés par les organismes d’état et conformes aux règlements. Cette conformité apporte d’ailleurs une valeur ajoutée à nos solutions.

Nous maitrisons par ailleurs le cadre réglementaire de nos clients. Le secteur bancaire et les institutions financières sont aussi soumis à une règlementation drastique : la 6ème directive anti-blanchiment d’argent et contre le financement du terrorisme (LCB-FT ou AML/CFT), la 2ème version de la Directive sur les services de paiement, le code monétaire et financier… Il convient de parfaitement connaître ces textes afin d’offrir les solutions adaptées aux exigences règlementaires.

Comment, à votre avis, convaincre les réfractaires qui associent identité numérique et surveillance de masse ?

Cette crainte pourrait avoir du sens dans des pays autoritaires où les pouvoirs publics peuvent mettre en place de gigantesques systèmes de surveillance numérique. Je pense notamment à la Chine et son système de crédit social et pour lequel d’autres états ont témoigné de l’intérêt. Cependant, les Etats de l’union européenne sont des démocraties où l’Etat de droit s’applique.

Le secteur étant très régulé, les acteurs proposant des solutions d’identité numérique qualifiées sont régulièrement audités et la conformité au RGPD est bien évidemment passée en revue. Ainsi, les solutions informent les usagers en toute transparence des traitements réalisés sur les données recueillies. Lorsqu’un partage doit être réalisé avec une tierce partie, un consentement est systématiquement affiché au citoyen. L’usager peut à tout moment révoquer ce consentement : cette transparence contrôlée doit lever une partie des doutes du grand public.

Ajoutons qu’en France, FranceConnect garantit, du fait de sa construction, une forme d’étanchéité entre les fournisseurs de service et les fournisseurs d’identité qui lui sont raccordés. Cela signifie que les fournisseurs d’identité ne savent pas à quel fournisseur de service un usager essaie d’accéder lorsque ce dernier s’authentifie, et la réciproque est vraie pour les fournisseurs de service.

Enfin, les travaux réalisés sur le Wallet Européen montrent que la Commission européenne s’oriente vers une architecture de type SSI (Self-sovereign identity) tout en continuant de s’appuyer sur la signature qualifiée pour instaurer la confiance. Dans ce type de solution, les données sont directement sous le contrôle des usagers : ils sélectionnent les informations qu’ils choisissent de partager avec la tierce partie avec laquelle ils interagissent. Le canal de communication pour l’échange de données s’établit directement entre le terminal de l’usager et la tierce partie, le fournisseur de Wallet n’intervenant plus dans la transaction. Il est même très vraisemblable que certaines solutions permettent l’envoi de preuves, comme par exemple la preuve de majorité, sans divulgation d’informations, telle que la date de naissance. Des solutions sont en train d’émerger pour empêcher techniquement, et non plus uniquement règlementairement, le traçage des citoyens.

Ariadnext est présent dans plusieurs pays européens. Y a-t-il des différences de sensibilité sur l’identité numérique selon les nationalités ?

Il y a en effet des différences, et cela amène des discussions passionnées entre Etats. Prenons un exemple : le futur règlement eIDAS 2.0 indique actuellement dans sa version DRAFT que pour garantir l’identification des personnes physiques, “les états membres seront tenus d’inclure un identifiant univoque et constant dans l’ensemble minimal de données d’identification personnelle”.

Dans des états tels que l’Estonie, la Lituanie, les Pays-Bas, les citoyens disposent déjà d’un identifiant unique sur leur titre d’identité. La mise en place d’une telle mesure au niveau européen ne les choquera donc probablement pas. En France, par contre, le tollé provoqué par le projet SAFARI est encore bien présent, notamment au sein des organismes étatiques. Pour mémoire, SAFARI était un projet d’interconnexion des fichiers nominatifs de l’administration française notamment par le biais du numéro INSEE, identifiant unique dans ce cas. Lorsque le projet a été révélé par la presse en 1974, cela a provoqué un vif débat dans la société française, rappelant les heures sombres de la collaboration française. Cette affaire avait d’ailleurs abouti à la création de la CNIL en 1978. Il est donc plus que probable que les agences d’état françaises demandent une modification du DRAFT sur ce point. La mise en place de cet identifiant unique est un sujet sensible qui fera débat entre Etats Membres et certains diront qu’il fait partie des lignes rouges à ne pas dépasser.

Le wallet prévu par eIDAS 2 va-t-il révolutionner le secteur de l’identité numérique selon vous ?

La version 2.0 du règlement eIDAS apporte des changements importants notamment en actant la mise en place d’un wallet d’identité numérique assortie d’une obligation pour chaque Etat Membre d’en délivrer un, toutes les solutions devant bien évidemment être interopérables entre elles. Le wallet délivré par un Etat Membre sera donc utilisable partout dans l’UE. L’autre axe primordial sur lequel travaille la Commission européenne porte sur les différents cas d’utilisations qui devront être supportés par ces Wallets. Parmi ceux-ci, on retrouve : l’identification, la signature électronique mais aussi le stockage et la présentation d’un permis de conduire européen, des données de santé, des diplômes et certifications, l’authentification pour le paiement et bien d’autres cas puisque la solution pourra intégrer toutes sortes d’attributs qualifiés et non qualifiés.

Il est fort probable que la mise en place et la diffusion de ces wallets européens s’accompagnera d’obligations règlementaires d’intégration de ces solutions pour les fournisseurs de service parties prenantes de ces cas d’usage.

L’ambition du wallet est de se positionner comme un outil central dans la sécurisation de nos opérations, transactions, accès et dans la confiance à apporter aux données échangées, bref dans nos vies.

Comment imaginez-vous le marché de l’identité numérique dans quelques années ?

La crise sanitaire a accéléré la numérisation de 7 ans au niveau mondial. Lors de cette crise, la commission européenne a été particulièrement active et directive en instaurant le certificat COVID numérique au sein de l’UE. Elle poursuit sur cette dynamique en changeant de braquet avec le règlement eIDAS 2.0, le wallet et la mise en place de son écosystème. Elle impose un rythme soutenu aux Etats pour faire émerger le cadre et l’offre rapidement, qui vont profondément structurer le marché dans les prochaines années. De nombreux acteurs européens de l’identité numérique vont se positionner en tant que fournisseur de Wallet. Le nouveau cadre européen va également faire évoluer le métier des QTSP et TSP qui émettront des attestions électroniques qualifiées ou non pour les fournisseurs d’attributs. Il permettra aux fournisseurs de services de s’appuyer sur des données authentiques, réduisant ainsi la fraude et favorisant la confiance nécessaire aux transactions. Il est aussi probable que ce Wallet prenne une place prépondérante dans la vie quotidienne des Européens, ce qui devrait pousser les services numériques ayant une large audience à utiliser ce type de solutions pour identifier/authentifier leurs usagers, mais aussi à proposer de nouveaux cas d’usages et de nouvelles possibilités.

[1] Gérard Cornu. « identité » dans Vocabulaire juridique, 10e édition, Ed Quadridge/Presses universitaires de France., janvier 2014.