Retour Actualité des adhérents
« LuxTrust a créé un écosystème quasi unique en Europe en matière d’identité numérique »
Alors que la révision de la réglementation européenne eIDAS va entraîner une révolution du secteur, Pierre Grasset, Chief Commercial Officer de LuxTrust répond à quelques questions sur l’identité numérique. Il explique cet « écosystème quasi unique en Europe »: 95 % des Luxembourgeois bénéficient aujourd’hui de l’identité numérique.
Comment est née l’identité numérique ?
L’identité numérique est née du besoin de prouver son identité sur internet, c’est-à-dire dans un monde où ne nous sommes pas physiquement présents. Pour illustrer, dans un monde physique, il suffit de se présenter en personne dans une agence et de montrer sa carte d’identité pour entamer des opérations bancaires. Sur internet, cette garantie apportée sur la présence en physique disparait et les fournisseurs de services en ligne doivent s’assurer que la personne qui accède à ses services et les utilisent soit bien la bonne personne, c’est-à-dire la personne qu’elle prétend être. C’est dans cette optique que l’identité numérique a vu le jour, afin d’apporter une garantie équivalente à la présence physique lors de la réalisation d’opérations sur internet.
Quelles sont les solutions de LuxTrust concernant l’identité numérique ?
LuxTrust est Autorité de Certification et Prestataire de Services de Confiance Qualifié depuis sa création en 2005. A ce titre, la société est autorisée à émettre des certificats électroniques, ou plus communément appelés des identités numériques. LuxTrust produit ses propres identités numériques ainsi que les identités numériques pour les cartes d’identité luxembourgeoises. Nous avons également établi un réseau d’Autorités d’enregistrement, afin de fournir la possibilité à des entités publiques ou privées d’emmètre des identités numériques pour le compte de LuxTrust. Cela permet à ces entités d’équiper plus aisément leurs clients et utilisateurs et ainsi accélérer leur processus de digitalisation.
LuxTrust a aussi développé des solutions digitales qui permettent d’exploiter non seulement ses propres identités numériques, mais aussi celles fournies par d’autres prestataires. Par exemple, notre plateforme de signature électronique COSI permet de signer des documents au moyen de plusieurs identités numériques (luxembourgeoises, françaises, belges…). L’utilisateur ne doit plus s’équiper avec un dispositif de création de signature spécifique, il peut signer avec ce qui est en sa possession. Nous intégrons les identités numériques dans notre solution COSI au fur et à mesure des projets clients que nous réalisons.
Nous avons également développé une solution, IDKEEP, qui permet de gérer, maîtriser et partager en toute sécurité l’ensemble des attributs de l’identité numérique. On définit comme attribut les données personnelles que l’on trouve sur les cartes d’identités, les permis, les diplômes etc., ainsi que les documents eux-mêmes. Avec cette solution, nous redonnons aux citoyens le contrôle exclusif de leurs données personnelles et permettons aux entités publiques et privées de fournir des services à ces mêmes citoyens en garantissant à toutes les parties prenantes une parfaite conformité avec le règlement RGPD. En effet, au-delà de la gestion et du partage des données personnelles, IDKEEP est une plateforme SaaS qui permet de collecter et stocker les consentements de manière spécifique pour chaque service fourni aux utilisateurs.
Pourquoi et comment votre entreprise s’est-elle intéressée au secteur de l’identité numérique ?
Les identités numériques font partie de notre ADN. A l’origine, LuxTrust est une société fondée à l’initiative des banques et du gouvernement luxembourgeois pour répondre aux besoins d’authentification et de signature électronique basés sur une identité numérique forte et multi-applicative. Dans sa vision, l’ambition était d’équiper les citoyens luxembourgeois avec une identité numérique unique qui leur permet d’accéder à tous les services en ligne, qu’ils soient privés ou publics. Désormais, 95% de citoyens luxembourgeois sont équipés d’une identité numérique LuxTrust qui leur permet d’effectuer quotidiennement toutes leurs démarches administratives, transactions bancaires et achats en ligne.
L’identité numérique est-elle plus utilisée au Luxembourg qu’en France ?
Le Luxembourg, au travers de LuxTrust, a créé un écosystème quasi unique en Europe en matière d’identité numérique. L’identité numérique fournie par LuxTrust est utilisée partout, aussi bien dans le secteur public que dans le secteur privé. Au Luxembourg, elle est d’ailleurs la solution unique utilisée dans le secteur bancaire pour s’authentifier et réaliser des transactions. En France, chaque banque a sa propre solution d’authentification et de signature et toutes ne sont pas basées sur des identités numériques. Cela dit, l’utilisation de services digitaux au moyen d’une identité numérique va progressivement augmenter dans la mesure où les citoyens français vont être progressivement équipés avec des cartes d’identité numériques.
LuxTrust intervient dans plusieurs pays. Y a-t-il une différence de sensibilité sur l’identité numérique selon les Etats ?
LuxTrust est actif sur le marché européen avec une présence plus notable sur des pays comme la France, la Belgique, le Luxembourg et Monaco. Il y a des différences entre les pays en matière d’identité numérique. Par exemple, en Belgique et au Luxembourg, les citoyens sont déjà équipés d’une carte d’identité électronique depuis plusieurs années alors qu’en France ce processus vient de démarrer. Mais en matière d’identification, d’authentification et de services de confiance, tous les états membres de l’Union européenne (UE) doivent respecter les mêmes réglementations, notamment eIDAS. Dans le contexte des identités numériques, eIDAS permet aux états membres d’émettre leurs identités afin qu’elles soient reconnues de manière interopérables et équivalentes par tous les Etats membres de l’UE.
Entre RGPD, eIDAS, et KYC, l’identité numérique se retrouve au carrefour de plusieurs réglementations : la compréhension du cadre juridique est-elle une partie importante dans la mise en œuvre de l’identité numérique ?
Le cadre juridique a un rôle fondamental dans la mise en œuvre et l’utilisation de l’identité numérique. A cet effet, les entreprises et les organisations gouvernementales se doivent de connaître les règlementations européennes en vigueur. Pour deux principales raisons : exercer leurs activités de manière conforme et exploiter les niveaux d’identité à leur juste valeur juridique en fonction des services dans lesquels elles sont utilisées. En effet, les identités numériques, suivant le processus de vérification de l’identité de son détenteur, peuvent être de différents niveaux et apporter une valeur juridique variable. Ainsi, en fonction du cas d’utilisation, les entreprises et organisations gouvernementales peuvent requérir les niveaux d’identité adaptés aux exigences qu’elles déterminent où auxquelles elles sont légalement et règlementairement tenues.
Par ailleurs, de par le cadre du règlement eIDAS, il y a une forte corrélation entre les niveaux de signature électronique et les niveaux d’identité numérique. Par exemple, les identités numériques de niveau substantiel ou élevé permettent dans une majorité des cas d’obtenir des signatures électroniques de niveau qualifié, les seules à avoir la même valeur légale que la signature manuscrite.
En synthèse, il est donc essentiel de maitriser le cadre juridique en matière d’identité numérique, tant sur le niveau légal qu’elles apportent en fonction de l’identification du détenteur que sur les niveaux de signature électronique qu’elles permettent d’obtenir.
Comment, à votre avis, peut-on convaincre de l’utilité de l’identité numérique ?
Afin d’augmenter l’utilisation des identités numériques et rassurer les utilisateurs, il faut fournir des garanties sur la robustesse du processus d’émission des identités et sur la manière dont les données personnelles sont collectées et traitées. Il faut aussi assurer et prouver la confidentialité et la sécurité des données à tout moment. En tant que Prestataire de Services de Confiance Qualifié, LuxTrust garantit à ses utilisateurs que l’identité de la personne physique ou morale à qui un certificat qualifié est délivré a été réellement identifiée et authentifiée selon les exigences du règlement eIDAS. A ce titre, LuxTrust est régulièrement auditée pour garantir la conformité aux standards stricts et exigeants auxquels la société est soumise. Cela permet de fournir l’assurance des plus hauts niveaux de sécurité et de conformité sur l’ensemble des services de confiance et des solutions qui sont proposés et fournis au marché.
Quels sont les freins actuels pour une mise en place globale de l’identité numérique ?
Un des freins induit par la règlementation eIDAS est qu’il n’est pas obligatoire pour un Etat membre d’émettre une identité numérique. eIDAS est entré en vigueur en juillet 2016 mais à peine plus d’un citoyen sur deux en Europe dispose d’une identité numérique notifiée. Le nouveau projet de règlement eIDAS v2 actuellement en révision va imposer plusieurs exigences aux Etats membres : tout d’abord l’obligation de notifier des schémas d’identité, ensuite de fournir à chaque citoyen une identité numérique ainsi qu’un wallet, accessible sur un smartphone, contenant toute une série d’attributs (données personnelles, documents, permis, etc.) dont l’authenticité sera reconnue partout en Europe. La règlementation va donc évoluer et va permettre de progresser en matière d’identité numérique dans toute l’Europe.
Le wallet prévu par eIDAS 2 va-t-il révolutionner le secteur de l’identité numérique selon vous ?
Le wallet prévu par eIDAS v2 va effectivement révolutionner l’identité numérique. Premièrement, il va permettre à chaque citoyen européen d’avoir une identité numérique interopérable, réglementée et reconnue partout dans l’UE. L’utilisateur aura à sa disposition une solution unique pour accéder à tous les services en ligne qu’il souhaite utiliser. L’identité numérique sera également enrichie par l’ajout de nouveaux attributs personnels (données personnelles, documents etc.) et accessible depuis un smartphone.
Deuxièmement, les organisations du secteur privé et public devront reconnaître l’identité numérique fournie par les Etats membres de l’UE et auront comme obligation d’accepter le wallet pour l’utilisation de leurs services en ligne.
En résumé, entre l’obligation à venir d’équiper des citoyens avec un wallet et celle de reconnaître ces dernier pour les entités publiques et privées, eIDAS v2 va accélérer les évolutions dans le numérique.
Comment imaginez-vous le marché de l’identité numérique dans quelques années ?
Nous assistons d’ores et déjà à une accélération de la digitalisation de la société en général. Suite à l’entrée en vigueur du règlement eIDAS v2, les identités numériques nationales émises par les états membres deviendront prépondérantes sur le marché et leur utilisation devrait logiquement se généraliser.
En parallèle, le niveau d’interopérabilité des systèmes qui permettent d’exploiter ces identités va également augmenter de manière significative, ce qui va ouvrir plus de possibilités aux acteurs des secteurs privés et publics pour digitaliser leur processus.
En synthèse, nous anticipons un marché européen dans lequel les identités numériques seront interopérables, largement diffusées et utilisées auprès de tous les acteurs de l’économie, qu’ils soient étatiques, publiques ou privées.