Archive

eIDAS, DSP2, RGPD

Identité numérique : les enjeux pour les banques et les entreprises

Créé le

30.01.2020

Pour favoriser la confiance dans les échanges électroniques, banques et entreprises n’ont aujourd’hui d’autre choix que de s’approprier et de respecter certaines règles juridiques, du règlement eIDAS à la DSP 2, dans le respect des principes édictés par le Règlement général sur la protection des données personnelles (RGPD).

Identité numérique : les enjeux pour les banques et les entreprises
Identité numérique : les enjeux pour les banques et les entreprises
Eric Caprioli
  • Avocat à la Cour Docteur en droit Membre du CESIN
  • Avocat à la Cour, Docteur en droit, Vice-Président de la FNTC, membre de la délégation française aux Nations Unies, Équipe méditerranéenne de recherche juridique EA n°7311 Caprioli & Associés

L’identité numérique se situe au centre du projet européen du Marché unique numérique [1] porté notamment par le Parlement européen, lequel affirmait dès l’année 2012 que « l'Union doit instaurer un cadre juridique clair et cohérent sur la reconnaissance mutuelle de l'authentification, de l'identification et de la signature électronique » [2] et ce, afin de garantir la fiabilité et la confiance des échanges dans les transactions électroniques au sein du marché intérieur.

En pratique, l’« identité numérique » existe depuis plusieurs années à travers les différents « identifiants numériques » et concerne principalement les rapports entre les utilisateurs, les entreprises et les administrations. En effet, de nombreux internautes disposent d’une pléthore de comptes personnels sur les services de messageries électroniques, les réseaux sociaux, les sites de e-commerce ou encore les administrations publiques à travers lesquels il leur est demandé de s’identifier au moyen d’un nom d’utilisateur (identifiant, login ou adresse mail) et d’un mot de passe. L’objectif de ces plateformes étant de répondre à la question suivante : est-ce que l’utilisateur est bien la personne qu’il prétend être ? Mais cela peut aussi être : a-t-elle les droits requis pour accéder au compte ou au service ?

L’identité numérique : qu’est-ce que c’est ?

L’identité est une notion à géométrie variable, selon l’approche retenue et « elle se trouve dans le paradigme de la complexité » [3] . De son côté, l’identité numérique n’a à ce jour fait l’objet d’aucune définition législative dans notre système juridique [4] . En revanche, les termes d’« identification électronique », de « moyen d’identification électronique » ou de « données d’identification personnelle » renvoient à des définitions que l’on trouve dans le Règlement eIDAS (Electronic IDentification Authentication and trust Services) [5] (article 3) ou dans le Code monétaire et financier [6] . La notion d’identité numérique a toutefois été qualifiée par la doctrine comme protéiforme [7] et peut désigner au sens large l'image que l'individu se façonne sur l’Internet et au sens régalien un « moyen numérique de preuve de l'identité » [8] .

En somme, la notion d’identité numérique recouvre toutes les informations (assimilables à des « données personnelles ») susceptibles d'identifier directement ou indirectement une personne physique (telles que par exemple l’état civil, le numéro de matricule, les données biométriques, l’identité bancaire, les certificats électroniques d'identification et d'authentification) mais également tous les éléments qui permettent une identification indirecte de l'individu, à travers ses traces numériques et notamment ses traces « navigationnelles » (cookies, historique de navigation, données de géolocalisation) et ses traces dites « profilaires » (les contenus que l’internaute fournit intentionnellement ou non sur la toile, et notamment sur les réseaux sociaux, blogs, forums, etc.) [9] .

L’identité numérique : pour quoi faire ?

L’identité d’un individu sur les réseaux numériques est souvent parcellaire étant donné qu’elle est dispersée sur plusieurs comptes associés à plusieurs identifiants. En effet, chaque Français dispose en moyenne de plusieurs dizaines d’identifiants numériques. La multiplicité des identifiants numériques expose les individus à des risques d’usurpation d’identité [10] , car les garanties de sécurité et de fiabilité fluctuent d’un service à l’autre.

Par facilité mais au prix d’une sécurité réduite ou faible, certains services utilisent un système d’identifiant unique baptisé « OpenID » qui utilise des comptes déjà créés sur Google ou Facebook [11] . Ces derniers sont censés garantir l’identité de leurs utilisateurs et réduire les risques cyber, alors que traditionnellement ce sont les services de l’État qui fournissent les documents d’identité (carte d’identité, passeport…) dits régaliens et plus sécurisé comportant une photographie. Malheureusement, la France ne dispose toujours pas de carte d’identité électronique après le raté de mars 2012 [12] contrairement à plus de la moitié des États membres.

Or l’utilisation de moyens d’identifications conformes au règlement (UE) n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) [13] peut être très variée, tant pour les acteurs publics (administrations fiscales et sociales, etc.) que pour les acteurs privés (banques, assurances, plateformes de commerce en ligne, etc.). Ces moyens permettent notamment de donner la garantie de l’identité de l’utilisateur sur l’Internet dans le but de favoriser la souscription de services en ligne (ouverture d’un compte bancaire à distance…), de faciliter l’accès en ligne à des informations confidentielles (par exemple accès aux comptes bancaires en ligne) ou encore de pouvoir imputer des actes juridiques à l’individu (signature électronique de contrat).

Afin de prendre la juste mesure des enjeux de l’identité numérique, nous envisagerons successivement le cadre juridique de l’identité numérique (I.), puis les applications et usages de l’identité électronique (II.), avant d'envisager quelques perspectives (III.).

I. Le cadre juridique de l'identité numérique

Pour favoriser la confiance dans les échanges électroniques, les acteurs du marché (banques et entreprises) n’ont aujourd’hui d’autre choix que de s’approprier et de respecter certaines règles juridiques, à l’image du règlement eIDAS (1.), de la DSP 2 applicable au secteur bancaire (2.), et ce dans le respect des principes édictés par le Règlement général sur la protection des données personnelles (RGPD) (3.).

1. Le règlement eIDAS, socle de l’identité numérique

Le règlement eIDAS pose le cadre juridique de l’identification électronique dans l’Union européenne, aussi bien pour le secteur public que pour le secteur privé.

1.1. Le Règlement eIDAS ou la reconnaissance mutuelle des moyens d’identification entre États membres

Le règlement eIDAS introduit un cadre juridique européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance. Le règlement eIDAS a trait à l’identité « numérique » régalienne. En effet, le Chapitre II – et plus particulièrement l’article 6 du règlement – organise les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union européenne des identités notifiées par les Etats membres à la Commission et publiées au Journal officiel de l’Union européenne. Au demeurant, le système retenu dans le règlement ne régit pas pour autant les systèmes d'identification relevant du pouvoir souverain de chaque État membre [14] .

L’identification électronique est à cet égard définie au sein du règlement comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (art. 3-1). L’identification doit ainsi être effectuée par l’administration ou par un fournisseur de service qu’elle a reconnu. Un certain nombre de conditions impératives sont nécessaires (art. 6). Selon l’article 8 du règlement il existe trois niveaux de garantie des schémas d’identification électronique : faible, substantiel et élevé. Pour être notifié à la commission européenne, le niveau de garantie doit être a minima substantiel ou élevé (même si d’autres schémas peuvent être notifiés à un niveau de garantie faible).

1.2. Élargissement du règlement eIDAS aux acteurs privés

Le moyen d’identification électronique est délivré conformément aux exigences du Règlement d’exécution 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du Règlement eIDAS à des fins régaliennes [15] . Il ne concerne pas a priori les moyens d’identification délivrés dans un cadre privé (ex : codes, identifiants, certificats électroniques) [16] . Le règlement procède toutefois « d’un agenda économique et industriel dont la supposition est que l’utilisation accrue de ces systèmes dans le secteur public, dont il est le moteur, va également augmenter l’adoption dans le secteur privé » [17] .

Le règlement eIDAS encourage ainsi les États membres à inciter le secteur privé à utiliser l'authentification électronique transfrontalière (article 7, f)) [18] . Le règlement eIDAS précise à l’article 3-5 qu’il faut entendre par le terme authentification : « un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique ».

Cet élargissement aux acteurs du secteur privé est primordial afin de sécuriser les échanges commerciaux, de recourir dans les rapports B to C et B to B à un système fiable d'identification électronique et ainsi d’éviter la contestation et la répudiation des transactions électroniques réalisées.

1.3. Le rôle du tiers de confiance

Le tiers de confiance est appelé à jouer un rôle fondamental dans l’économie numérique [19] . Le règlement eIDAS en donne une illustration : la vérification d'identité (c’est-à-dire assurer un lien entre l’identité numérique et l’identité réelle) lors de la délivrance d'un certificat qualifié par un prestataire de services de confiance pourra se faire grâce à un moyen d'identification électronique présentant un niveau de garantie substantiel ou élevé, ce qui évitera la nécessité d'un face-à-face à cette occasion. Cela sera particulièrement utile aux banques et aux entreprises pour enregistrer leurs clients et cocontractants afin de signer électroniquement dans le cadre de leurs échanges numériques. En effet, le fait de disposer d’un moyen d’identification avec un niveau de garantie substantiel ou élevé permet au sens de l’article 24-1-b du règlement eIDAS d’assurer la phase d’identification nécessaire à la délivrance d’un certificat qualifié, et ce dans le cadre d’une relation à distance.

1.4. L’identification entre personnes privées

Dans le cadre national, la Loi pour une République numérique a intégré dans le Code des postes et communications électroniques des dispositions relatives à l’identification électronique. L’identité numérique peut être « présumée fiable » au sens de l’article L. 102 III du Code des Postes et des Communications électroniques (CPCE) et ce, jusqu’à preuve du contraire si elle répond aux prescriptions du cahier des charges établi par l’ANSSI, et fixé par décret en Conseil d'État. L’ANSSI certifie la conformité des moyens d'identification électronique aux exigences de ce cahier des charges.

2. L’authentification forte au cœur de la DSP 2

En raison de la progression constante des usages de l’Internet pour effectuer des opérations de paiement à distance et des risques importants de fraude en découlant, sécuriser l’identité numérique des individus est devenu un enjeu majeur.

Dans ce contexte, la 2e Directive 2015/2366 du 25 novembre 2015 [20] sur les services de paiement (DSP 2) transposée en droit national par l’ordonnance n° 2017-1252 du 9 août 2017, elle-même ratifiée par la loi n° 2018-700 du 3 août 2018, a pour objectif « l’intégration de l’innovation par la reconnaissance de nouveaux services de paiement et de nouveaux acteurs en charge de les assurer, au sein d’un cadre plus sécurisé » [21] . La DSP 2 procède ainsi à un renforcement généralisé des mesures de sécurité à travers 3 axes principaux : (i) une communication sécurisée entre les banques et les « Third Party Provider » (TPP), (ii) l’amélioration de la sécurité technique des paiements sur l’Internet fondée sur une authentification forte et (iii) un renforcement des droits des consommateurs et notamment de leur droit à l’information [22] .

La DSP 2 place donc l’authentification (c’est-à-dire la vérification de l’identité numérique avec l’identité de la personne physique ou morale) au cœur de la sécurité des transactions électroniques. Plus l’authentification sera « forte », et plus la sécurité sera grande. Or, pour garantir cette sécurité, l’authentification devra répondre aux critères d’exigence de la DSP 2.

Après de longues discussions entre l’Autorité Bancaire Européenne (ABE) et la Commission Européenne, un Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 intégrant des standards techniques (RTS) concernant l’authentification forte du client a été publié. Il précise entre autres l’importance de l’examen des mesures de sécurité (art. 3) [23] .

3. L’identité numérique à l’aune du RGPD [24]

Deux questions majeures apparaissent dès lors que l’on aborde le RGPD : l’identité numérique du règlement eIDAS (3.1.) et la connaissance client (3.2.).

3.1. L’identité numérique du règlement eIDAS et le respect du RGPD

Si la question de l’identité numérique est au cœur du Règlement eIDAS, elle l’est aussi vis-à-vis du règlement n° 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD). Toutefois, les notions d’identité numérique, d’identification et d’authentification renvoient en tout état de cause à la notion de données à caractère personnel que ce soit directement ou indirectement. En ce sens, le déploiement d’un moyen d’identification ou d’authentification électronique (par exemple, le recours à une donnée biométrique pour accéder à un service) doit nécessairement s’inscrire dans le respect du RGPD.

À cet égard, on peut relever que le règlement d’exécution sur le cadre d’interopérabilité du 8 septembre 2015 [25] précise dans son article 6 : « 1. Le respect de la vie privée, la confidentialité des données échangées et le maintien de l'intégrité des données entre les nœuds sont assurés au moyen des meilleures solutions techniques et pratiques de protection disponibles. 2. Les nœuds ne peuvent stocker aucune donnée personnelle, excepté aux fins de l'article 9, paragraphe 3. »

Ainsi la mise en place d’une identité numérique au sens du règlement eIDAS doit nécessairement s’articuler avec les principes édictés par le RGPD [26] .

3.2. La connaissance client (KYC) et le RGPD

Par ailleurs, les différentes réformes et règles encadrant le secteur bancaire et notamment le principe du « Know Your Customer » (KYC) impliquent une collecte des données personnelles des clients toujours plus importante et qui a parfois du mal s’articuler avec les règles issues du RGPD. En effet, les acteurs bancaires sont amenés à collecter de nombreuses données personnelles très variées comme : l’identité stricto sensu des clients (et leur pièce d’identité), mais encore des données d’ordre patrimonial, familial, etc. [27]

Toute la difficulté pour les acteurs du secteur bancaire réside dans l’articulation des textes et des obligations qui leur sont imposées (eIDAS, DSP 2, RGPD, directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme [28] ainsi que les directives 2009/138/CE et 2013/36/UE) mais aussi à l’élargissement de leur responsabilité en cas de non-respect des obligations – parfois contradictoires – leur incombant.

II. Applications et usages de l'identité électronique

Au-delà de l’identité numérique dite régalienne dans le cadre des services des différentes administrations publiques, l’identité numérique peut par conséquent constituer un moyen fiable permettant l’identification en ligne auprès de l’ensemble des acteurs privés, spécialement ceux qui proposent des biens et services marchands, s’appuyant sur une identification sécurisée (ou pas) pour leurs transactions électroniques.

À ce titre, l’identité numérique viendrait en alternative des dispositifs d’identification et/ou d’authentification déjà existants mais fragmentés entre chaque acteur privé (identifiants propres à chaque site, services en ligne) et notamment en matière d’entrée à relation, à distance, d’accès à son espace sécurisé, de paiement électronique ou de souscription de nouveaux services ou contrats.

1. Applications relatives à l’entrée en relation contractuelle

Il existe de nombreuses applications bancaires relatives à l’entrée en relation à distance (1.1.), que l’on se situe dans le cadre de la connaissance client ou non. Les FinTechs y contribuent grandement. Plusieurs expériences européennes méritent que l’on s’y penche brièvement : Allemagne (1.2.), Belgique (1.3.) et France (1.4.) (1.5.).

1.1. Entrée en relation à distance

L’entrée en relation d’affaires à distance devient courante avec le développement de la numérisation des opérations et la multiplication des organismes opérant à distance sans oublier des FinTechs [29] . Elle présente, au regard des recommandations du GAFI comme de la 5e directive européenne Antiblanchiment, des risques plus élevés de LAB-FT et cela nécessite la mise en place de garanties suffisantes en matière d’identification [30] .

En France, le CMF ne reconnaît, comme équivalent au face-à-face lors de l’entrée en relation, que le recours à l’identité électronique de niveau élevé (1° du R. 561-5-1 du CMF), au sens du règlement européen eIDAS ou à un moyen d’identification électronique présumé fiable au sens de l’article L. 102 du CPCE (2° du R. 561-5-1 du CMF). À défaut, il exige l’utilisation de deux mesures de vigilances complémentaires parmi six disponibles, dont deux mesures de vigilance s’appuyant sur le règlement eIDAS [31] .

Des projets sont en cours pour offrir ces dispositifs d’identification électroniques équivalents au face-à-face en France, mais aucun dispositif de ce type n’est pour le moment disponible. Or, il apparaît que les solutions d’identité numérique de niveau élevé au sens du règlement eIDAS – dont la mise en place n’est aujourd’hui atteignable que pour des administrations publiques – ne sont pas encore disponibles et ne sont pas susceptibles d’être utilisées à grande échelle par les acteurs privés comme les banques à court ou moyen terme [32] .

1.2. Reconnaissance de la visio-identification en Allemagne

En Allemagne, la circulaire 1/2014 (GW) du 5/03/2014 de l’Office fédéral de surveillance des prestations financières (BaFin), reconnaît un processus de vidéo-identification comme équivalent au face-à-face, à condition de respecter les exigences énoncées dans cette circulaire. Une seconde circulaire 3/2017 (GW) du 10/04/2017 de la BaFin est intervenue afin de prévoir des obligations renforcées des prestataires et des banques sur les dispositifs de reconnaissance faciale. Toutefois, la BaFin a, à l’occasion d’un communiqué du 26 mars 2019 [33] , attiré l’attention sur le risque de fraude dans les procédés d’identification par vidéo.

1.3. Le système d’identité numérique « Itsme » de Belgique

En Belgique, quatre grandes banques [34] et trois opérateurs de réseaux mobiles [35] se sont fédérés pour lancer le programme Itsme, une application servant d’identité numérique qui permet de s’identifier sur l’Internet avec un identifiant unique (sites marchands, banques, services publics). Les autorités fédérales ont également pris part à ce projet. Ce programme permet aux internautes de se connecter de manière sûre à des sites internet, d’introduire une demande de document auprès des autorités, de confirmer des transactions en ligne et même de signer des documents officiels.

Ce programme a fait suite à l’échec de la mise en œuvre de la carte d’identité électronique belge (e-ID) [36] , qui a pâti d’une faible utilisation du fait d’un usage trop contraignant. Elle obligeait, en effet, notamment chaque citoyen à s’équiper d’un lecteur payant pour pouvoir l’utiliser en ligne.

1.4. Validation d’un système de reconnaissance faciale

Aux termes d’une délibération n° 2018-051 du 15 février 2018 la CNIL a autorisé la banque en ligne Boursorama à utiliser la reconnaissance faciale dans le cadre de son offre bancaire [37] . Boursorama a souhaité proposer un « parcours flash » pour souscrire un compte à distance sous un délai de 24 heures, via une application téléchargeable dédiée et à usage unique reposant sur un système d’identification par reconnaissance faciale des prospects.

La méthodologie proposée par Boursorama est la suivante : première étape : la communication des justificatifs nécessaires (titre d’identité, coordonnées, résidence fiscale) ; deuxième étape : l’identification du prospect qui s’appuie sur une comparaison opérée par l’application entre la photographie officielle de la pièce d’identité qu’il a fournie et l’autoportrait qu’il réalise sur son terminal au moment de l’entrée en relation [38] , l’objectif étant de produire un score de ressemblance entre 0 et 1. En cas de réussite, le compte bancaire est ouvert dès le lendemain.

Il convient toutefois de relever que la CNIL a rappelé que ce service ne peut pas être utilisé sans le consentement des clients et qu’il convenait de proposer une autre méthode d’identification parallèle aux clients. Ces deux exigences demeurent somme toute classiques de la part de la CNIL [39] .

1.5. France Connect : ouverture d’un compte bancaire

Lancé en 2016, FranceConnect est un téléservice qui permet une identification simplifiée des internautes lors de leur connexion à des services administratifs publics en ligne. Le projet a pris forme avec l’arrêté du 24 juillet 2015, abrogé et remplacé par l’Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d'information et de communication de l'État [40] . Le téléservice a pour but d’associer les comptes des utilisateurs de plusieurs services publics fournisseurs d’identité (DGFIP, Alicem du ministère de l’intérieur, Sécurité sociale, La Poste, MyMobile Connect, MSA…) afin que l’utilisateur ne dispose plus à sa convenance que d’un seul compte national. L’authentification et l’attribution d’un identifiant et d’un mot de passe par un des fournisseurs d’identité partenaires permet à celui-ci d’accéder aux services d’une autre administration s’il le souhaite.

Depuis novembre 2018, FranceConnect s’est ouvert à la sphère privée, et plus particulièrement aux acteurs réglementés qui ont l’obligation légale de vérifier l’identité de leurs usagers : « les personnes morales de droit privé qui proposent des services en ligne dont l'usage nécessite, conformément à des dispositions législatives ou règlementaires, la vérification de l'identité de leurs utilisateurs ou de celle de certains de leurs attributs et uniquement pour les services qui nécessitent cette vérification » (art. 4 de l’arrêté). Les banques en font partie au même titre, par exemple, que les assureurs ou les fournisseurs d’énergie. Les premiers acteurs privés à offrir cette possibilité sont Generali, Harmonie Mutuelle, Humanis et Boursorama Banque [41] .

Concrètement, le futur client de la banque a le choix entre 5 « fournisseurs d’identité » : les Impôts, Ameli, La Poste, Mobile Connect et moi (l’identité numérique d’Orange) et la MSA. En se connectant au service de son choix, l’internaute permet à la banque de récupérer automatiquement les informations relatives à l’« identité pivot » (nom, prénom, date et lieu de naissance, etc.) [42] .

2. Accès au compte personnel et au paiement électronique

L’authentification forte est directement liée à l’identification étant donné qu’elle sert à vérifier l’identité. Son importance n’est plus à démontrer dans les échanges numériques entre les banques et leurs clients. Ceci explique pourquoi, il est nécessaire de faire évoluer les exigences de sécurité et les obligations y afférentes (ex : DSP 2).

2.1. L’authentification forte pour accéder à son espace sécurisé ou effectuer un paiement à distance

La « DSP 2 » impose au secteur bancaire la mise en œuvre de « l’authentification forte » pour la réalisation de certaines opérations listées en son article 97 dont font notamment partie l’accès au compte personnel de l’utilisateur (espace sécurisé pour consulter ses comptes, ses documents, effectuer un virement, etc.) ou l’opération de paiement électronique.

L’ordonnance du n° 2017-1252 du 9 août 2017 intègre la DSP 2 dans le Code monétaire et financier français en insérant ainsi un article L. 133-4, f) [43] qui précise notamment que l’authentification forte repose sur l'utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît comme un code confidentiel ou un mot de passe), « possession » (quelque chose que seul l'utilisateur possède par exemple une carte bancaire, un ordinateur ou un smartphone) et « inhérence » (quelque chose que l'utilisateur est, par exemple une donnée biométrique comme une empreinte digitale) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification. Ainsi, la simple composition d’un code confidentiel ou l’utilisation d’un mot de passe ne sont plus des mesures de sécurité suffisantes.

2.2. La fin programmée de l’OTP SMS

La principale solution d'authentification utilisée en France, notamment pour les paiements à distance, repose sur l'envoi d’un One Time Password (OPT) à savoir un mot de passe aléatoire à usage unique transmis par SMS sur un téléphone portable et à saisir en complément de la saisie des données de la carte bancaire à débiter. Ce mécanisme permet de s’assurer deux fonctionnalités : (i) l’identification de la personne qui s’engage à payer et (ii) la manifestation du consentement au paiement ou à l’acte.

Or, l'Autorité bancaire européenne (ABE) a, dans son opinion sur les RTS publiée le 13 juin 2018 [44] , considéré que ce mécanisme ne reposait que sur un seul facteur, à savoir la « possession » du mobile et de la carte, et qu'il ne permettait pas de répondre aux exigences d'authentification forte de la DSP 2 [45] . L'OTP SMS n’est toutefois pas exclu des modes d'authentification forte, son utilisation devra cependant être couplée à un autre élément d'authentification de la catégorie « connaissance » ou un élément de la catégorie « inhérence ».

2.3. Plan de migration français sur les dispositifs d’authentification

Les dispositions de sécurité en matière d’authentification prévues dans la DSP 2 devaient s’appliquer à partir du 14 septembre 2019. Conformément à l’opinion que l’ABE a émis le 21 juin 2019, la migration vers l’authentification forte est cependant reportée selon des plans établis par chaque État membre.

Le plan de migration français comprend deux volets (i) le premier a trait au remplacement progressif du recours à l’OTP SMS pour les paiements en ligne par des solutions plus avancées (biométrie…) et ce d’ici décembre 2020 ; (ii) le second est à l’attention des acteurs professionnels de la chaîne des paiements et prévoit la migration du socle technique 3D-Secure pour les paiements par carte en vue de permettre une gestion des responsabilités et des exemptions conforme aux requis réglementaires. D’ici mars 2021, les acteurs se connecteront à cette infrastructure [46] .

3. Souscription de nouveaux services bancaires

L’identification du client est également obligatoire pour la signature des contrats bancaires ou d’assurance. En effet, la phase d’authentification du client constitue le préalable indispensable à tous les processus de contractualisation sous forme électronique que peuvent mettre en œuvre les acteurs privés et notamment les organismes financiers, bancaires ou assurantiels [47] . La digitalisation des services financiers impose de nouvelles obligations [48] .

Comme le rappelle l’article 1366 du Code civil, l’identification du signataire est le prérequis de la reconnaissance juridique de l’écrit sous forme électronique. L'article 1367, al. 2, du Code civil poursuit en précisant qu'une signature électronique consiste en un procédé fiable d'identification qui doit garantir le lien de ce procédé avec l'acte auquel elle s'attache. Ce lien est un lien logique qui prend corps avec une empreinte numérique du document (le hash de ce dernier) et un certificat électronique d'identification. Ces éléments permettent de vérifier l'identité du signataire et l'intégrité du document et par conséquent de disposer d'un écrit électronique au sens de l'article 1366 du Code civil [49] . Il est donc impératif que les acteurs privés (banques, entreprises) prêtent une attention accrue dans le cadre de la délivrance de certificats électroniques. Pour mémoire, les certificats de signature électronique se définissent comme « une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne » [50] . À ce titre, il est important de souligner que les contentieux en matière de signatures électroniques sont en augmentation constante depuis 2011, spécialement en matière de crédit à la consommation [51] .

Ainsi, la délivrance du certificat suppose l’identification préalable du client. La fiabilité de la signature électronique repose donc en grande partie sur les moyens mis en place pour authentifier le client avant la délivrance du certificat lui permettant réellement de signer ou d’utiliser les services de la plate-forme. Cette identification peut être effectuée à distance (en recourant à des pièces justificatives transmises par voie postale ou électronique) ou en face-à-face. C’est spécialement le cas lorsque la signature du contrat s’effectue sur le point de vente, agence bancaire ou concessionnaire auto par exemple, et où l’identification du client est réalisée en face-à-face avec examen de la pièce d’identité comme dans la procédure où la souscription s’opère avec une signature manuscrite sur support papier. À défaut d’identification fiable, le contrat pourra être considéré comme nul ou comme un simple commencement de preuve.

D’où l’intérêt pour les acteurs bancaires de disposer d’une identité numérique fiable au sens du règlement eIDAS étendue au secteur privé.

III. Les défis en matière d'identité numérique

Le marché des banques et des entreprises est en attente de moyens d’identification électronique fiables, répondant aux critères figurant dans le règlement eIDAS pour leurs échanges numériques et agir en sécurité.

1. En attente du Schéma d’identification français…

De nombreux États ont d’ores et déjà notifié (comme l’Allemagne, l’Italie, la Croatie ou encore l’Estonie) leur schéma d’identification conformément aux articles 7, 8 et 9 du règlement eIDAS. La France n’a pour le moment notifié aucun schéma d’identification. Toutefois, la France a développé deux projets (avec un niveau de garantie élevé ou substantiel) pour lesquels une notification est attendue : FRANCE CONNECT et ALICEM [52] (application mobile de reconnaissance faciale permettra d'avoir accès à l'ensemble des services partenaires de FranceConnect), actuellement en phase de test, qui devront pouvoir s’interfacer ensemble afin de permettre un accès à des plateformes publiques ou privées. Malgré le bémol émis par la CNIL au niveau du traitement des données personnelles, ALICEM pourrait garantir des transactions plus sûres si le gouvernement entend soutenir le projet.

2. …et de la Carte nationale d’identité électronique française

En termes d’authentification, aux fins notamment de contractualisation à distance, la solution la plus efficace consisterait au déploiement d’une carte nationale d’identité électronique. Or, pour ce qui est de la carte nationale d’identité numérique française, un grand point d’interrogation perdure. Les premières cartes d’identité à sécurité renforcée devront être délivrées d’ici deux ans selon le règlement UE 2019/1157 du 20 juin 2019. Une fonction eID intégrée à la nouvelle carte nationale d’identité, bien que facultative, pourrait être un bon moyen de respecter les exigences de ce règlement et du règlement eIDAS.

Finalement, on peut constater que l’identité numérique constitue un enjeu fondamental pour le développement de la banque digitale tant avec les particuliers qu’avec les entreprises ainsi que pour les transactions de ces dernières.

 

 

 

1 Éric A. Caprioli et Pascal Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Comm. Com Electr. N°2 février 2013, étude 3.
2 Résolution du Parlement européen du 20 avril 2012 sur un marché unique du numérique concurrentiel – L'administration en ligne comme fer de lance (2011/2178(INI)).
3 Eric A. Caprioli, Signature électronique et dématérialisation, préf. Jérôme Huet, Paris, Lexisnexis, 2014, v. n°27. V. égal. : Jacqueline Pousson-Petit (sous la dir.), L’identité de la personne. Etude de droit français et de droit comparé, Bruxelles, éd. Bruylant, 2002.
4 V. en principauté de Monaco : « l’identité numérique d’une personne est constituée de données d ’identification personnelle sous la forme d’un identifiant numérique représentant de manière univoque une personne physique ou une personne morale. », article 2, al.1, de la loi n°1483 du 17 décembre 2019 relative à l’identité numérique, Journal de Monaco n°8466 du 27 décembre 2019.
5 Didier Gobert, « Le règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance (eIDAS) : analyse approfondie », juin 2015, article disponible sur le site www.caprioli-avocats.com.
6 Dispositions introduites par l’ordonnance n° 2017-1252 du 9 août 2017, JO du 10 août 2017, portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 »), JOUE n°L337, 23 déc. 2015
7 J. Giusti et A. Ndiaye, « L’identité numérique, monnaie d’aujourd’hui et rente de demain... », Revue Lamy Droit de l'Immatériel nº 140, 1er août 2017, p.56.
8 Entretiens avec E. A. Caprioli, F. Mattatia et S. Vulliet-Tavernier, « L'identité numérique », Cahiers de droit de l'entreprise n° 3, mai 2011, entretien n°3.
9 O. Ertzcheid, « Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologies », Encyclopédie numérique, 2013, pp. 13-27.
10 Eric A. Caprioli, « Usurpation d'identité par création d'adresses mails et de faux profils Facebook », Comm. Com. électr. n° 1, Décembre 2015, comm. 9.
11 David Forest, « Quel nouveau paysage pour les données personnelles, les libertés et la vie privée ? », in Vie privée à l’horizon 2020 - Paroles d’experts, Cahiers IP - Innovation & prospective n° 1, CNIL, p.38.
12 Thierry Piette-Coudol, « L’identité numérique et les certificats électroniques », Revue Lamy Droit de l'Immatériel n° 95, 1er juillet 2013, étude 3170, p. 58. Cependant, la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité promulguée a été partiellement censurée par le Conseil constitutionnel, spécialement ce qui concernait la carte nationale d’identité électronique : Décision n° 2012-652 DC du 22 mars 2012, disponible sur http://www.conseil-constitutionnel.fr/decision/2012/2012-652-dc/decision-n-2012-652-dc-du-22-mars-2012.105165.html.
13 JOUE du 29 août 2014, L.257/73.
14 Pascal Agosti et Isabelle Cantero ; « L’identification électronique, sésame du Marché Unique Numérique », Usine Digitale, initialement publié en ligne le 13 novembre 2017 : https://www.usine-digitale.fr/article/l-identification-electronique-sesame-du-marche-unique-numerique.N612908.
15 JOUE du 9 septembre 2015, L 235/7.
16 Eric A. Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri, Banque et assurances digitales, Banque, mai 2017, v. p. 223, § 518.
17 A. Khatchatouroy, « La question des identités numériques à l’ère du RGPD : privacy ou protection des données ? », Revue I2D – Information, données & documents, 2019, Cairn, p.34.
18 Thibaut Douville, « Le règlement européen sur l’identification électronique et les services de confiance (eIDAS) », JCP E, n°1, 5 janvier 2017, p.31.
19 C. Carely et E. Michelez, « “Ubérisation” » et numérisation ne réussiront pas sans confiance », Droit et Patrimoine, n° 254, 1er janvier 2016, p. 18.
20 JOUE n° L 337, 23 déc. 2015, p. 35.
21 K. Magnier-Merran, « La “DSP 2” et les nouveaux services de paiement : chronique d’une “démonopolisation” bancaire annoncée », RDBF n° 2-2018, mars-avril, p.64.
22 J.L Capdeville, « Les exceptions à la future obligation d’authentification forte », JCP E, n° 36, 5 septembre 2019, p. 39.
23 JOUE du 13 mars 2018, L. 69/23. Myriam Roussille, « La DSP 2 bientôt pleinement applicable : les normes techniques enfin publiées », Banque et Droit n° 179, mai-juin 2018, p. 47.
24 Emmanuel Jouffin et Xavier Lemarteleur, « Un nouvel état de l’art pour les banques en matière de gestion de la relation clients/prospects ? », Banque et Droit n°146, nov.-déc. 2012, p. 16 et s. ; Emmanuel Jouffin, « Présentation du Règlement général sur la protection des données », Hors-Série Banque & Droit, mars 2017, p. 9.
25 Règlement d’exécution (UE) 2015/1501 de la commission du 8 septembre 2015 sur le cadre d'interopérabilité visé à l'article 12, paragraphe 8, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
26 Eric A. Caprioli et Isabelle Cantero, « Nouveaux concepts du RGPD : quels enjeux juridiques ? », Banque et Stratégie n°360, p. 25 ; N. Martial-Braz, « Présentation de la loi française et articulation des textes français et européens », in N. Martial-Braz et J. Rochfeld (dir.), Droit des données personnelles – Les spécificités du droit français au regard du RGPD, Dalloz Décryptage, 2019, p.11-27 ; Guillaume Desgens-Pasanau, La protection des données personnelles, LexisNexis, 3e éd., 2018 ? v. n° 21.
27 J. Morel-Maroger, « L’apport des FinTechs au droit bancaire : les nouveaux risques ; La protection de la vie privée et des données personnelles de l’usager du secteur bancaire », RDBF, janvier-février 2017, dossier 8.
28 JOUE du 19 juin 2018, L 156/43.
29 G. Parléani et A.C. Rouaud, « Impact de la digitalisation sur la relation contractuelle - L’entrée en relation », RDBF, n°6-2019, novembre-décembre, dossier 51.
30 J. Morel-Maroger, « L’apport des FinTechs au droit bancaire : les nouveaux risques La protection de la vie privée et des données personnelles de l’usager du secteur bancaire », RDBF, janvier-février 2017, dossier 8 ; Pierre Storrer, « Lutte anti blanchiment : l’avènement de la vérification d’identité au moyen de l’identification électronique », Banque et Droit n° 179, mai-juin 2018, p. 45.
31 L’article R 561-20 du CMF, point 5 prévoit notamment le recours à un moyen d’identification électronique délivré dans le cadre d’un schéma d’identification électronique, français ou d’un autre Etat membre de Union européenne, notifié à la Commission européenne et qui présente un niveau de garantie substantiel au sens du règlement « eIDAS » ; Le point 6 du même article prévoit en outre le recueil d’une signature électronique avancée ou qualifiée ou d’un cachet électronique avancé ou qualifié valide reposant sur un certificat qualifié comportant l’identité du signataire (à savoir, les nom et prénoms pour une personne physique) ou du créateur de cachet (pour une personne morale) et délivré par un prestataire de service de confiance (PSCo) qualifié reconnu comme tel par l’ANSSI ou par toute autre autorité nationale compétente dans un autre Etat membre de l’Union européenne.
32 Forum Fintech-AMF compte rendu des travaux du groupe de travail sur la vérification d'identité à distance des personnes physiques, publié le 20 septembre 2019essible via : https://acpr.banque-france.fr/pole-fintech-innovation-publication-du-rapport-du-groupe-de-travail-sur-la-verification-didentite.
33 Communiqué de la BAFIN du 23 mars 2019, en allemand : https://www.bafin.de/SharedDocs/FAQs/DE/Verbraucher/Bank/Allgemeines/01_Video_Ident_Betrug.html?nn=7846988.
34 À savoir les banques ING, BNP Paribas Fortis, Belfius et KBC.
35 À savoir les opérateurs mobiles Proximus, Base/Telenet et Orange.
36 Cette carte d’identité existe depuis 2002 ; elle a le format d’une carte bancaire avec une puce qui contient trois certificats, dont une pour l’authentification auprès des administrations.
37 G. Parleani et A.C. Rouaud, « Impact de la digitalisation sur la relation contractuelle – L'entrée en relation », RDBF n°6-2019, novembre-décembre, dossier 51.
38 I. Cantero ; « Reconnaissance faciale : la Cnil valide le système d’identification de Boursorama » ; Usine Digitale, initialement publié le 9 avril 2018 : https://www.usine-digitale.fr/article/validation-du-systeme-d-identification-par-reconnaissance-faciale-de-boursorama-par-la-cnil.N677574 ; Délibération n° 2018-051 du 15 février 2018 autorisant Boursorama à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance (demande d’autorisation n° 2076148) : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000036659672 .
39 « Biométrie à destination des particuliers : la CNIL rappelle les principes à respecter », JCP G n° 16, 16 avril 2018, 449, p. 761.
40 JO du 15 novembre 2018.
41 « Boursorama, première banque à proposer France Connect pour simplifier toujours plus l’expérience digitale des clients » : https://groupe.boursorama.fr/actualites/ ; « FranceConnect : une opportunité pour la banque en ligne ? » : https://www.culturebanque.com/banques/banques-en-ligne/ouvrir-un-compte/franceconnect-banque-compte/ ; « Boursorama innove et facilite l’ouverture de compte avec FranceConnect » : https://selectra.info/finance/actualites/banque/boursorama-france-connect
42 « L'identité pivot fait partie des données usagers fournies par les Fournisseurs d'Identité aux Fournisseurs de Service, via FranceConnect. Elle permet d'identifier un utilisateur particulier » : https://partenaires.franceconnect.gouv.fr/fcp/fournisseur-service.
43 Ordonnance n° 2017-1252 du 9 août 2017, JO du 10 août 2017, portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 »), JOUE n°L337, 23 déc. 2015 ; N. Kilgus, « L'évolution des procédures de contestation des paiements », RDBF n°2, mars 2018, dossier 11 ; J. Lasserre Capdeville, « Nouvelle réforme des services de paiement : la “DSP 2” est transposée - À propos de l'ordonnance n° 2017-1252 du 9 août 2017 », JCP G, n°37, 11 septembre 2017, 923, p. 1574.
44 Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC, 13 juin 2018 : https://eba.europa.eu/.
45 Aurélie Banck, « Entrée en application des RTS sur l'authentification forte le 14 septembre 2019, quel Big Bang ? 1/2 », RDBF n°3, mai 2019, prat. 3.
46 Eric A Caprioli, « Paiements électroniques : plan de migration vers une authentification forte », Comm. Com. Electr. n° 11, novembre 2019, comm. 74.
47 Eric A Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri, Banque et assurances digitales, Revue Banque édition, mai 2017, p. 825, § 702.
48 Eric A Caprioli et Pascal Agosti, « Digitalisation des services financiers : quels changements ? », Revue Banque n° 814, décembre 2017, p. 52 et s.
49 « L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. » Éric A. Caprioli et Pascal Agosti, « Principales évolutions du régime de la signature, du cachet et de la copie numérique », AJ Contrats, octobre 2016.
50 Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, article 3, 14).
51 V. notamment en matière de crédit à la consommation : CA Nancy 14 février 2013, JCP éd G, 497, note Eric A. Caprioli ; CA Chambéry, 2e ch., 25 janv. 2018, n° 17/01050, X. c/ Y, Comm. Com. électr. n° 5, mai 2018, comm. 39, note Éric A. Caprioli.
52 Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » (ALICEM), JO du 16 mai 2019. Un recours a toutefois été introduit le 15 juillet 2019 aux fins d’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM » par l’association La quadrature du net dont la requête introductive d’instance est accessible en ligne : https://www.laquadrature.net/wp-content/uploads/sites/8/2019/07/1084951458_DECR_ALICEM_REQ.pdf.

À retrouver dans la revue
Banque et Stratégie Nº388
Notes :
null null
44 Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC, 13 juin 2018 : https://eba.europa.eu/.
45 Aurélie Banck, « Entrée en application des RTS sur l'authentification forte le 14 septembre 2019, quel Big Bang ? 1/2 », RDBF n°3, mai 2019, prat. 3.
46 Eric A Caprioli, « Paiements électroniques : plan de migration vers une authentification forte », Comm. Com. Electr. n° 11, novembre 2019, comm. 74.
47 Eric A Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri, Banque et assurances digitales, Revue Banque édition, mai 2017, p. 825, § 702.
48 Eric A Caprioli et Pascal Agosti, « Digitalisation des services financiers : quels changements ? », Revue Banque n° 814, décembre 2017, p. 52 et s.
49 « L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. » Éric A. Caprioli et Pascal Agosti, « Principales évolutions du régime de la signature, du cachet et de la copie numérique », AJ Contrats, octobre 2016.
50 Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, article 3, 14).
51 V. notamment en matière de crédit à la consommation : CA Nancy 14 février 2013, JCP éd G, 497, note Eric A. Caprioli ; CA Chambéry, 2e ch., 25 janv. 2018, n° 17/01050, X. c/ Y, Comm. Com. électr. n° 5, mai 2018, comm. 39, note Éric A. Caprioli.
52 Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » (ALICEM), JO du 16 mai 2019. Un recours a toutefois été introduit le 15 juillet 2019 aux fins d’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM » par l’association La quadrature du net dont la requête introductive d’instance est accessible en ligne : https://www.laquadrature.net/wp-content/uploads/sites/8/2019/07/1084951458_DECR_ALICEM_REQ.pdf.
10 Eric A. Caprioli, « Usurpation d'identité par création d'adresses mails et de faux profils Facebook », Comm. Com. électr. n° 1, Décembre 2015, comm. 9.
11 David Forest, « Quel nouveau paysage pour les données personnelles, les libertés et la vie privée ? », in Vie privée à l’horizon 2020 - Paroles d’experts, Cahiers IP - Innovation & prospective n° 1, CNIL, p.38.
12 Thierry Piette-Coudol, « L’identité numérique et les certificats électroniques », Revue Lamy Droit de l'Immatériel n° 95, 1er juillet 2013, étude 3170, p. 58. Cependant, la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité promulguée a été partiellement censurée par le Conseil constitutionnel, spécialement ce qui concernait la carte nationale d’identité électronique : Décision n° 2012-652 DC du 22 mars 2012, disponible sur http://www.conseil-constitutionnel.fr/decision/2012/2012-652-dc/decision-n-2012-652-dc-du-22-mars-2012.105165.html.
13 JOUE du 29 août 2014, L.257/73.
14 Pascal Agosti et Isabelle Cantero ; « L’identification électronique, sésame du Marché Unique Numérique »,
15 JOUE du 9 septembre 2015, L 235/7.
16 Eric A. Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri, Banque et assurances digitales, Banque, mai 2017, v. p. 223, § 518.
17 A. Khatchatouroy, « La question des identités numériques à l’ère du RGPD : privacy ou protection des données ? », Revue I2D – Information, données & documents, 2019, Cairn, p.34.
18 Thibaut Douville, « Le règlement européen sur l’identification électronique et les services de confiance (eIDAS) », JCP E, n°1, 5 janvier 2017, p.31.
19 C. Carely et E. Michelez, « “Ubérisation” » et numérisation ne réussiront pas sans confiance », Droit et Patrimoine, n° 254, 1er janvier 2016, p. 18.
1 Éric A. Caprioli et Pascal Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Comm. Com Electr. N°2 février 2013, étude 3.
2 Résolution du Parlement européen du 20 avril 2012 sur un marché unique du numérique concurrentiel – L'administration en ligne comme fer de lance (2011/2178(INI)).
3 Eric A. Caprioli, Signature électronique et dématérialisation, préf. Jérôme Huet, Paris, Lexisnexis, 2014, v. n°27. V. égal. : Jacqueline Pousson-Petit (sous la dir.), L’identité de la personne. Etude de droit français et de droit comparé, Bruxelles, éd. Bruylant, 2002.
4 V. en principauté de Monaco : « l’identité numérique d’une personne est constituée de données d ’identification personnelle sous la forme d’un identifiant numérique représentant de manière univoque une personne physique ou une personne morale. », article 2, al.1, de la loi n°1483 du 17 décembre 2019 relative à l’identité numérique, Journal de Monaco n°8466 du 27 décembre 2019.
5 Didier Gobert, « Le règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance (eIDAS) : analyse approfondie », juin 2015, article disponible sur le site www.caprioli-avocats.com.
6 Dispositions introduites par
7 J. Giusti et A. Ndiaye, « L’identité numérique, monnaie d’aujourd’hui et rente de demain... », Revue Lamy Droit de l'Immatériel N- 140, 1er août 2017, p.56.
8 Entretiens avec E. A. Caprioli, F. Mattatia et S. Vulliet-Tavernier, « L'identité numérique », Cahiers de droit de l'entreprise n° 3, mai 2011, entretien n°3.
9 O. Ertzcheid, « Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologies », Encyclopédie numérique, 2013, pp. 13-27.
20 JOUE n° L 337, 23 déc. 2015, p. 35.
21 K. Magnier-Merran, « La “DSP 2” et les nouveaux services de paiement : chronique d’une “démonopolisation” bancaire annoncée », RDBF n° 2-2018, mars-avril, p.64.
22 J.L Capdeville, « Les exceptions à la future obligation d’authentification forte », JCP E, n° 36, 5 septembre 2019, p. 39.
23 JOUE du 13 mars 2018, L. 69/23. Myriam Roussille, « La DSP 2 bientôt pleinement applicable : les normes techniques enfin publiées », Banque et Droit n° 179, mai-juin 2018, p. 47.
24 Emmanuel Jouffin et Xavier Lemarteleur, « Un nouvel état de l’art pour les banques en matière de gestion de la relation clients/prospects ? », Banque et Droit n°146, nov.-déc. 2012, p. 16 et s. ; Emmanuel Jouffin, « Présentation du Règlement général sur la protection des données », Hors-Série Banque et Droit, mars 2017, p. 9.
25 Règlement d’exécution (UE) 2015/1501 de la commission du 8 septembre 2015 sur le cadre d'interopérabilité visé à l'article 12, paragraphe 8, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
26 Eric A. Caprioli et Isabelle Cantero, « Nouveaux concepts du RGPD : quels enjeux juridiques ? », Banque et Stratégie n°360, p. 25 ; N. Martial-Braz, « Présentation de la loi française et articulation des textes français et européens », in N. Martial-Braz et J. Rochfeld (dir.), Droit des données personnelles – Les spécificités du droit français au regard du RGPD, Dalloz Décryptage, 2019, p.11-27 ; Guillaume Desgens-Pasanau, La protection des données personnelles, LexisNexis, 3e éd., 2018 ? v. n° 21.
27 J. Morel-Maroger, « L’apport des FinTechs au droit bancaire : les nouveaux risques ;
28 JOUE du 19 juin 2018, L 156/43.
29 G. Parléani et A.C. Rouaud, « Impact de la digitalisation sur la relation contractuelle - L’entrée en relation », RDBF, n°6-2019, novembre-décembre, dossier 51.
30 J. Morel-Maroger, « L’apport des FinTechs au droit bancaire : les nouveaux risques La protection de la vie privée et des données personnelles de l’usager du secteur bancaire », RDBF, janvier-février 2017, dossier 8 ; Pierre Storrer, « Lutte anti blanchiment : l’avènement de la vérification d’identité au moyen de l’identification électronique », Banque et Droit n° 179, mai-juin 2018, p. 45.
31 L’article R 561-20 du CMF, point 5 prévoit notamment le recours à un moyen d’identification électronique délivré dans le cadre d’un schéma d’identification électronique, français ou d’un autre Etat membre de Union européenne, notifié à la Commission européenne et qui présente un niveau de garantie substantiel au sens du règlement « eIDAS » ; Le point 6 du même article prévoit en outre le recueil d’une signature électronique avancée ou qualifiée ou d’un cachet électronique avancé ou qualifié valide reposant sur un certificat qualifié comportant l’identité du signataire (à savoir, les nom et prénoms pour une personne physique) ou du créateur de cachet (pour une personne morale) et délivré par un prestataire de service de confiance (PSCo) qualifié reconnu comme tel par l’ANSSI ou par toute autre autorité nationale compétente dans un autre Etat membre de l’Union européenne.
32 Forum Fintech-AMF compte rendu des travaux du groupe de travail sur la vérification d'identité à distance des personnes physiques, publié le 20 septembre 2019essible via : https://acpr.banque-france.fr/pole-fintech-innovation-publication-du-rapport-du-groupe-de-travail-sur-la-verification-didentite.
33 Communiqué de la BAFIN du 23 mars 2019, en allemand : https://www.bafin.de/SharedDocs/FAQs/DE/Verbraucher/Bank/Allgemeines/01_Video_Ident_Betrug.html?nn=7846988.
34 À savoir les banques ING, BNP Paribas Fortis, Belfius et KBC.
35 À savoir les opérateurs mobiles Proximus, Base/Telenet et Orange.
36 Cette carte d’identité existe depuis 2002 ; elle a le format d’une carte bancaire avec une puce qui contient trois certificats, dont une pour l’authentification auprès des administrations.
37 G. Parleani et A.C. Rouaud, « Impact de la digitalisation sur la relation contractuelle – L'entrée en relation », RDBF n°6-2019, novembre-décembre, dossier 51.
38 I. Cantero ; « Reconnaissance faciale : la Cnil valide le système d’identification de Boursorama » ; Usine Digitale, initialement publié le 9 avril 2018 : https://www.usine-digitale.fr/article/validation-du-systeme-d-identification-par-reconnaissance-faciale-de-boursorama-par-la-cnil.N677574 ; Délibération n° 2018-051 du 15 février 2018 autorisant Boursorama à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance (demande d’autorisation n° 2076148) : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000036659672 .
39 « Biométrie à destination des particuliers : la CNIL rappelle les principes à respecter », JCP G n° 16, 16 avril 2018, 449, p. 761.
40 JO du 15 novembre 2018.
41 « Boursorama, première banque à proposer France Connect pour simplifier toujours plus l’expérience digitale des clients » : https://groupe.boursorama.fr/actualites/ ; « FranceConnect : une opportunité pour la banque en ligne ? » : https://www.culturebanque.com/banques/banques-en-ligne/ouvrir-un-compte/franceconnect-banque-compte/ ; « Boursorama innove et facilite l’ouverture de compte avec FranceConnect » : https://selectra.info/finance/actualites/banque/boursorama-france-connect
42 « L'identité pivot fait partie des données usagers fournies par les Fournisseurs d'Identité aux Fournisseurs de Service, via FranceConnect. Elle permet d'identifier un utilisateur particulier » : https://partenaires.franceconnect.gouv.fr/fcp/fournisseur-service.
43 Ordonnance n° 2017-1252 du 9 août 2017, JO du 10 août 2017, portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (la « DSP 2 »), JOUE n°L337, 23 déc. 2015 ; N. Kilgus, « L'évolution des procédures de contestation des paiements », RDBF n°2, mars 2018, dossier 11 ; J. Lasserre Capdeville, « Nouvelle réforme des services de paiement : la “DSP 2” est transposée - À propos de l'ordonnance n° 2017-1252 du 9 août 2017 », JCP G, n°37, 11 septembre 2017, 923, p. 1574.