La question de l’intégration du wallet eIDAS 2 à l’écosystème des paiements reste entière

C’est (pratiquement) fait : l’annonce, le 8 novembre, d’un accord final du Conseil et du Parlement européen sur le nouveau règlement eIDAS laisse augurer une adoption définitive du texte au cours du premier trimestre 2024. Si les nombreux actes délégués et spécifications techniques ne seront finalisés qu’après l’adoption du texte, il s’agit bien d’une étape majeure dans la construction d’un espace unifié pour l’identité numérique en Europe.

Issu d’une longue réflexion démarrée dès 2020, ce texte vise à remédier aux insuffisances du règlement eIDAS 1 de 2014, qui n’a pas répondu aux attentes sur son volet identité numérique, mais aussi et surtout porte l’ambition de transformer les usages numériques des citoyens de l’Union européenne. Équipés d’un portefeuille (wallet) d’identité numérique, véritable couteau suisse des interactions digitales, ceux-ci auront la possibilité, avec leurs smartphones, de conserver et communiquer à des tiers des attributs certifiés d’identité et de statut, comme ceux d’une carte d’identité ou d’un permis de conduire mais aussi d’un certificat professionnel ou médical, de signer des documents avec la même valeur juridique qu’une signature manuscrite et, comme l’a rappelé la Commission le 8 novembre dernier, d’ouvrir un compte bancaire et de réaliser des paiements, le tout dans des conditions de sécurité et de privacy renforcées et de façon fluide. C’est donc peu dire que le projet est ambitieux.

Reste qu’intégrer au sein d’une même application numérique des cas d’usage aussi variés est un challenge majeur, compte tenu notamment des exigences légitimes de prévention des fraudes, notamment d’usurpation d’identité − si toute ma vie est dans mon portable, que se passera-t-il en cas de perte ou vol de celui-ci ? −, mais aussi des craintes de surveillance des interactions des citoyens par les pouvoirs publics, qui ont été récemment exprimées sur une disposition technique du règlement¹. C’est même une immense ambition, renforcée par le volet finance numérique des wallets eIDAS 2 qui vise à leur permettre d’autoriser des paiements mais aussi de gérer les futurs euros numériques, dans l’hypothèse, maintenant probable, où ceux-ci seraient émis². De fait, le cas d’usage paiement est de très loin le plus fréquent et le plus susceptible de générer un écosystème en synergie positive avec l’identité numérique mais il répond à des contraintes réglementaires spécifiques – on pense évidemment à la DSP2 et au futur règlement sur les services de paiement – aussi bien qu’opérationnelles liées aux rôles des prestataires de services de paiement et des schemes de paiement et de règlement.

Si le règlement eIDAS 1 reste, sur son volet identités numériques, dédié aux interactions avec les services publics et n’a pas réellement vocation à s’appliquer au secteur privé – une des raisons de son bilan décevant –, le règlement eIDAS 2 porte au contraire une ambition universelle, notamment affirmée par le cas d’usage finance digitale et l’obligation faite pour les prestataires de services de paiement d’accepter les wallets eIDAS 2 si leurs titulaires souhaitent les utiliser pour la mise en œuvre de l’authentification forte dans les paiements.

La généralité de ce cas d’usage, et plus généralement la volonté de promouvoir au travers du wallet eIDAS 2 un moyen d’identification sécurisé multitâches et couvrant une large gamme d’attributs électroniquement attestés, s’accommode pourtant mal de l’obligation par ailleurs faite à chaque partie agissant à titre professionnel et qui souhaite obtenir des données en provenance du wallet de s’enregistrer préalablement auprès de son État membre et de lui fournir à des informations sur les raisons de sa demande et l’utilisation qu’elle fera des données reçues.

Cette disposition fait double emploi avec l’authentification par le wallet eIDAS 2 de la partie à laquelle sont transmises des données prévue par le texte, ne vise que les wallets eIDAS 2 (les autres moyens d’identification électroniques eIDAS ne sont pas concernés) et ne s’applique évidemment pas aux justificatifs physiques correspondants. Que dirait-on si une telle obligation était mise à la charge de toute personne recevant à des fins professionnelles un justificatif d’identité, permis de conduire ou une quelconque attestation publique ou privée ? Il s’agit pourtant des mêmes données dont l’utilisation, supposée problématique, est indépendante de leur mode de communication. Certes, tout n’est pas dit sur le sujet et les textes d’application viendront peut-être – on l’espère – simplifier la mise en œuvre d’une telle disposition, qui traduit une certaine défiance à l’égard des wallets eIDAS 2 et donne prise aux critiques de contrôle étatique des interactions digitales.

À la différence du règlement eIDAS 1, le nouveau règlement aura un effet concret sur les pratiques des établissements bancaires dans leurs relations avec les clients, ne serait-ce que parce que les banques auront l’obligation, s’ils sont volontairement présentés par leurs clients, d’accepter les portefeuilles d’identité numérique dans le cadre de la mise en œuvre des règles de vigilance clientèle lors de l’entrée en relation.

C’est à vrai dire une situation logique, déjà partiellement mise en œuvre en France dans le cadre des règles actuelles du Code monétaire et financier. En effet, si les citoyens européens disposent d’un portefeuille d’identité numérique sécurisé et fiable et bien sûr reconnu par au moins un État membre de l’Union européenne, on voit mal comment on pourrait leur refuser de l’utiliser dans leurs relations avec les fournisseurs de services clés, dont les banques. Elles ne seront pas les seules puisque le texte évoque également les autres prestataires de services clés ainsi que les « opérateurs de très grandes plateformes en ligne » (comprendre les Gafam). Ceci dit, pour les banques, l’intérêt de cette disposition sera renforcé si les portefeuilles d’identité numérique permettent, outre les données d’identité, la communication d’une gamme élargie d’attributs requis pour la mise en œuvre du KYC (Know Your Customer).

Si cet aspect ne fait guère débat au sein du secteur bancaire, il n’en est pas allé de même pour le volet autorisation de paiement des wallets eIDAS 2, qui a fait l’objet de critiques comme de soutiens remarqués.

Tout part du constat que le wallet eIDAS 2, qui vise à offrir un niveau de garantie (comprendre « fiabilité ») élevé, intégrera nativement une fonctionnalité d’authentification forte, indispensable pour s’assurer que la personne en faisant utilisation est bien son titulaire légitime et non un tiers non habilité. Et puisque cette fonctionnalité est disponible et sécurisée, autant l’utiliser lorsque celle-ci est légalement ou contractuellement requise. C’est bien sûr le cas pour les paiements en application des règles de la DSP2 – et le restera avec le règlement sur les services de paiement en préparation.

Si l’intention est claire, on regrettera l’imprécision de la rédaction (les paiements de proximité en mode hors ligne et ceux en faveur de micro-entreprises et PME sont-ils également couverts ?) et on notera le délai de mise en œuvre d’une telle disposition, laquelle ne devrait pas intervenir avant 2028.

De fait, la mise en place d’une fonctionnalité d’authentification forte inhérente au wallet eIDAS 2 est cohérente avec la vision d’un portefeuille capable de stocker de façon sécurisée des attributs d’identité et de statut – d’ailleurs nécessaire pour son utilisation en mode hors ligne, également prévue par le texte eIDAS 2 –, mais pourrait s’avérer en décalage avec les règles actuelles de responsabilité issues de la DSP2, qui donnent sur ce point un rôle central à la banque du payeur, d’où la mise en place des procédures d’authentification forte « par redirection » renvoyant structurellement le payeur vers cette dernière. Comme on le sait, ces règles sont en cours de révision avec le projet de règlement sur les services de paiement mais ce dernier n’a pas vraiment intégré d’évolution de l’authentification forte vers un mécanisme autonome et indépendant du teneur de compte du payeur. Il serait logique et souhaitable que le cadre réglementaire en préparation évolue sur cet aspect et reconnaisse par exemple une authentification forte mise en œuvre par une signature électronique qualifiée du payeur portant sur une autorisation de paiement.

Affichant un principe de neutralité technologique, le règlement eIDAS n’a pas pour vocation de directement définir les normes et spécifications techniques applicables aux wallets eIDAS 2, mais prévoit néanmoins que ceux-ci devront répondre à des normes et spécifications communes devant servir de base au schéma d’accréditation des portefeuilles d’identité numérique. Des indications préliminaires ont été données sur celles-ci dans le cadre de la préparation du document Architecture & Reference Framework. Les spécifications mises en avant sont, pour les relations entre le wallet et la partie à laquelle sont communiquées des informations, pour l’essentiel celles dédiées au cas d’usage permis de conduire sur mobile ou mise en place par le World Wide Web Consortium (Verifiable Credentials) et leurs dérivés. Si ces spécifications sont pertinentes dans les contextes pour lesquels elles ont été conçues, leur déploiement pour des interactions de paiement, structurellement complexes – il faut notamment assurer l’irrévocabilité des instructions de paiement, mettre en place un dossier de preuve présentable devant les tribunaux et gérer les modes en ligne et hors ligne, le tout en conformité avec les schemes de paiement et les spécifications techniques des terminaux de paiement −, n’a pas été véritablement considéré à ce jour et risque de s’avérer très délicate.

La méthode choisie est celle de l’adoption initiale de spécifications adaptées à des cas d’usage plus simples que ceux du paiement, avec l’espoir que des ajustements graduels itératifs permettront d’embarquer au fur et à mesure des cas d’usage plus complexes. Au vu de la spécificité des paiements, notamment dans les interactions P2P, qui offrent le plus grand potentiel de développement, cette approche risque de buter sur de nombreuses contraintes et de ne pas aboutir, ou de façon trop limitée pour être considérée comme un succès. Certes, les deux projets pilotes abordant le cas d’usage paiement, portés par les consortiums NOBID et EWC, viendront fournir de précieuses indications sur ces questions, mais il serait vraiment dommage qu’un projet aussi visible que celui des portefeuilles d’identité numérique eIDAS 2, et dans lequel un important capital politique a été investi, vienne manquer son rendez-vous avec l’écosystème des paiements.

• eIDAS 2 complète et amende le règlement eIDAS actuel de 2014 etest, comme lui, directement applicable dans les droits des États membres

• Il introduit le portefeuille européen d’identité numérique (wallet eIDAS 2), un moyen d’identification électronique permettant à son titulaire, de valider, conserver et communiquer à des tiers de façon sécurisée des attributs d’identité ainsi que des attestations électroniquement attestées le concernant.

• Le wallet eIDAS 2 offrira également une fonctionnalité de signature électronique qualifiée juridiquement assimilable à une signature manuscrite.

• Comme pour les moyens d’identification électronique eIDAS actuels (dont fait partie, en France, l’Identité numérique de la Poste notifiée au niveau Substantiel et bientôt l’application France Identité), les wallets eIDAS 2 devront être notifiés par au moins un État membre mais, à la différence de ceux-ci, feront l’objet d’une certification attestant de leur conformité avec les spécifications et standards techniques communs définis au niveau européen. Ils devront également offrir un niveau de garantie Élevé. Par ailleurs chaque État membre sera tenu d’en mettre au moins un à disposition de ses citoyens.

• Les citoyens seront libres de les utiliser ou non. L’utilisation des wallets eIDAS 2 par des particuliers ne sera pas facturée, y compris pour la signature électronique.

• Ils devront par ailleurs être acceptés par tous les fournisseurs de services clés – dont les banques et prestataires de services financiers – mais également par les Gafam (opérateurs de très grandes plateformes numériques).

• Un nouveau service de confiance est créé : l’attestation électronique
d’attributs couvrant des domaines variés comme par exemple les diplômes, qualifications, licences ou permis mais aussi, pour les personnes morales, des données financières ou comptables. Lorsqu’elle est qualifiée, l’attestation électronique d’attributs a la même valeur juridique que le document papier correspondant.

• Les procédures de vérification d’identité liées aux services de confiance qualifiés – comme par exemple la signature électronique qualifiée – sont en principe établies sur les spécifications du niveau de garantie Élevé, également retenu pour les wallets eIDAS 2.