Révision eIDAS, pour une identité numérique pan-européenne accessible à tous
LES FAITS
Lors de son premier discours sur l’état de l’Union Européenne, la nouvelle Présidente Ursula von der Leyen a fait le vœux d’une nouvelle identité électronique européenne sécurisée :
« Une identité fiable, que tout citoyen pourra utiliser partout en Europe pour n'importe quel usage, comme payer ses impôts ou louer un vélo."
"Une technologie qui nous permettra de contrôler quelles données nous partageons et l'usage qui pourra en être fait. »
Concordance des planètes, le jour de ce discours, le 16 septembre, est la journée internationale consacrée à l’identité par différentes organisations internationales (Unicef, UNDP, World Bank Group, ID Africa, World Food Programme …). L'idée est de promouvoir l’importance de l’identité juridique pour tous, y compris l’acte de naissance d’ici 2030. L’identité légale est en effet un prérequis dans des pays en voie de développement pour permettre l’autonomie de certaines populations ; car l’accès à des services publics (aides sanitaires, aides alimentaires…) ou privés (accès à une carte SIM, ouverture d’un compte bancaire) est indispensable pour l’inclusion dans la vie économique.
Dans nos pays développés, l’inclusion doit franchir une nouvelle étape : l’accès à une identité numérique pour tous (personne physique et morale) dans le marché unique numérique européen. Ce besoin est devenu vital dans le contexte de relations à distance imposées par la crise sanitaire COVID-19.
L’Europe dispose déjà d’un règlement pour encadrer l’identification électronique d’une personne physique ou morale pour l’accès en ligne gratuit aux services publics : le règlement dit eIDAS. Ce règlement, adopté dès juillet 2014, permet d’assurer une interopérabilité et une reconnaissance mutuelle des schémas nationaux d’identité NeID au niveau européen. Et ce quel que soit le (ou les) moyen d’identification électronique (une carte d’identité électronique ou une application mobile par exemple) notifié librement par chaque Etat membre.
A ce jour, seulement 15 des 27 pays membres ont notifié un schéma avec un ou plusieurs moyens d’identification électronique (la France n'en fait pas partie). Et la plupart uniquement pour l’identité numérique d’une personne physique, conséquence de quoi 42 % de la population européenne en est dépourvue. Par ailleurs, peu de pays donnent la possibilité d’utiliser cette identité numérique légale pour l’accès à des services privés.
Face à ce semi-échec, une révision du règlement eIDAS est envisagée au début de l’année 2021. Une consultation publique lancée cet été présente les 3 options envisagées :
-
Option 1 : Un règlement eIDAS renforcé avec des actes d’implémentation, des guides et des standards pour homogénéiser les pratiques. Il s'agit en particulier de viser les critères des niveaux de confiance (substantiel ou élevé) et les exigences de vérification d’identité pour les certificats qualifiés. L’ouverture de l’usage au secteur privé serait davantage promue, avec des guides sur les principes économiques, de responsabilité juridique et d’interopérabilité.
-
Option 2 : Une extension du règlement eIDAS au secteur privé. Il s'agirait d'introduire des nouveaux services de confiance d’identification, d’authentification, de fourniture d’attributs, de « credentials » et d’attestations, voire même des services permettant l’identification d'équipements. Tous ces fournisseurs de service devront satisfaire les exigences du RGPD et, en particulier, gérer les consentements des utilisateurs pour stocker et échanger les données.
-
Option 3 : Un règlement eIDAS vers une identité numérique pan-européenne (EUid) pour l’usage à des services publics et privés requérant une identification vérifiée (légale). EUid serait complémentaire aux schémas d’identification électronique nationaux (NeID) ; chaque Européen aurait la liberté d’utiliser cette identité universelle. Cette option 3 envisagerait également d’exiger de chaque Etat de donner accès à leur citoyen à une eID (légale) et de faire notifier leurs schémas NeID nationaux.
NOTRE DECRYPTAGE
Les 53 premiers feed-back publiés révèlent l’accord de tous les acteurs pour compléter le règlement par des standards et des guides pour harmoniser les pratiques (option 1). L’option 2 et l’option 3 ne font pas l’objet d’une approbation aussi unanime :
-
L’option 3 fait ainsi l’objet de scepticisme du fait d'imprécisions de sa description, voire d’une opposition très marquée par défiance de la perte de souveraineté nationale. Pourtant la volonté stratégique de la Commission Européenne d’une solution Single Sign On semble être prédominante.
-
L'option 2 est quant à elle plébiscitée par la majorité des feed-back car le besoin d'ouverture au privé (aussi bien côté fournisseur d'identité que fournisseur de service) est forte pour de nombreux cas d'usages, tels que le KYC pour la conformité AMLD. Une cadre juridique et économique pour cette ouverture au privé est cependant requis pour la contrainte de gratuité d'accès aux services publics. Mais certains acteurs de l’écosystème actuel font part d’une réticence certaine pour l’extension au privé telle que décrite dans l'option 2 : ils sont en particulier opposés à la création de nouveaux services de confiance, dont des solutions déclinées du concept du W3C de « verifiable Claims » d’architectures DLT/Bblockchain Self Sovereign IDentity (SSID). Cette réticence est notable chez certains contributeurs français (premiers contributeurs en nombre durant cette période de feed-back) qui seraient plus enclins à une ouverture au secteur privé élargie, mais uniquement sur la base de moyens eID notifiés par les Etats tels qu’actuellement légiféré par le règlement.
Quoi qu’il en soit, les institutions européennes souhaitent s’orienter vers une mixité de ces 3 options pour aller progressivement vers une nouvelle vision de l’identité numérique sous le contrôle des utilisateurs, sur la base d’une architecture privacy by design, par exemple à base de technologies DLT/Blockchain. Preuve en est le démarrage du pilote ESSIF (voir image ci-dessous et cliquer pour accéder à la vidéo), qui comme pour le projet STORK, avant-garde de l’implémentation CEF du règlement eIDAS actuel, pourrait devenir la nouvelle architecture du futur règlement eIDAS.