Les niveaux « de garantie » (comprendre « de fiabilité ») sont aujourd’hui installés dans le paysage des interactions digitales bancaires et prendront même une importance nouvelle avec l’entrée en vigueur, maintenant très prochaine, des règlements Electronic Identification, Authentication and Trust Services (eIDAS 2) et Anti-Money Laundering (AML), qui y font référence. Rien d’étonnant à cela, dans un monde où la clientèle bancaire agit aujourd’hui à distance de façon structurelle, ce qui implique de bien appréhender le niveau de fiabilité de ses interactions numériques et les risques associés. Mais de quoi parle-t-on et quel niveau de garantie est vraiment adapté aux usages bancaires ?
Petit rappel... Deux séries d’exigences distinctes ont longtemps structuré les activités bancaires dans leurs relations avec la clientèle :
– d’une part, les règles de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) relatives à la vérification d’identité lors de l’entrée en relation ;
– d’autre part, celles concernant l’authentification forte, posée par la directive sur les services de paiement DSP2 comme une exigence de base pour les paiements et d’autres actes clés d’intervention à distance du client.
Au départ indépendantes, car répondant à des motivations différentes – la vérification d’identité a pour but, lors de l’entrée en relation, de s’assurer que les données d’état civil présentées par le client sont fiables, alors que l’authentification vise, pour une personne agissant à distance, à confirmer qu’il s’agit bien de celle dont le profil a été préalablement enregistré, mais pas à revérifier ce profil –, ces règles se rapprochent progressivement, avec le déploiement des identités numériques. En diffusion croissante, ces dernières intègrent structurellement un volet de vérification d’identité et un volet d’authentification.
Dans ce contexte, la notion de niveau de garantie définie par le règlement eIDAS 1 pour les identités numériques s’est logiquement imposée, y compris pour les règles de vérification d’identité LCB-FT. Ainsi, le projet de règlement européen AML unifiant les règles de vigilance clientèle au sein de l’Union européenne, maintenant en phase finale d’adoption, fixe le seuil d’admissibilité des identités numériques au niveau eIDAS substantiel, étendant en ceci la règle déjà fixée en France par le Code monétaire et financier. Fait notable, c’est la première fois qu’un seuil minimum commun est défini pour l’Union européenne et, étant de fait le seul fixé pour les vérifications d’identité, gageons qu’il s’imposera au-delà même des identités numériques. Et ce seuil sera, par construction, le niveau de référence pour les interactions de paiement.
La notion de fiabilité présumée
Si en droit français la notion reconnue est celle d’identité numérique « présumée fiable », celle-ci fait référence au niveau de garantie élevé du règlement eIDAS tel qu’interprété par l’ANSSI, notamment au travers de son référentiel PVID. On touche là une difficulté d’application du règlement eIDAS définissant en des termes trop généraux les spécifications techniques des niveaux de garantie faible, substantiel et élevé et qui ne prennent pas en compte la vérification d’identité à distance – aujourd’hui massivement pratiquée.
À titre d’illustration, le niveau eIDAS substantiel n’implique pas nécessairement de vérification biométrique, à la différence de ce qu’a spécifié l’ANSSI dans son référentiel PVID pour le même niveau. Ces lacunes réglementaires européennes posent question, car si les niveaux de garantie sont définis en commun, la logique voudrait que leur corresponde un jeu si possible unique de spécifications techniques, et non des interprétations parfois discordantes des autorités nationales. Nous n’en sommes pas encore là pour le moment...
Mais si le niveau substantiel est bien le niveau de référence pour les usages bancaires et financiers, c’est le niveau élevé qui a été reconnu pour les futurs portefeuilles (wallets) d’identité numérique, en application du règlement eIDAS 2, qui vient d’être adopté. Cette différence de traitement risque de poser difficulté pour leur utilisation récurrente dans la sphère bancaire et financière et notamment pour les paiements.
On rappelle en effet que les wallets eIDAS 2 sont expressément tenus de satisfaire aux exigences du niveau de garantie eIDAS élevé, tant pour ce qui concerne la vérification d’identité que pour ce qui a trait à la gestion des moyens d’identification électronique et de l’authentification. De plus, les services de confiance qualifiés eIDAS seront désormais calés sur le niveau de garantie élevé, alors que le seuil de référence était jusqu’à présent le niveau substantiel – une évolution critiquée par les prestataires de services de confiance et qui risque, en France, d’être particulièrement contraignante au vu de la très faible diffusion des moyens d’identification électronique certifiés au niveau élevé.
Sécurité et contraintes
Et c’est bien là le nœud du problème. Si personne ne critique la protection qu’offre un schéma d’identité numérique au niveau de garantie élevé, celui-ci se paye par des contraintes de mise en place et d’utilisation qui peuvent être significatives, notamment en France au vu de l’interprétation qu’en a fait l’ANSSI et qui interrogent sur les cas susceptibles d’en faire usage. À titre d’illustration, aucun PVID n’est aujourd’hui certifié au niveau élevé et l’application France identité, qui vient justement de l’être et est annoncée comme la version française du futur portefeuille d’identité numérique eIDAS, suppose un passage spécifique en mairie et un appariement systématique avec la Carte nationale d’identité électronique (CNIe) pour offrir un niveau de garantie élevé, une exigence qui s’avérera sans doute trop contraignante pour les usages de masse, tout particulièrement pour les paiements.
Or, plus le cas d’usage est fréquent, plus il a tendance à structurer les pratiques des utilisateurs et à générer son propre écosystème – d’où l’immense attrait du cas d’usage paiement des wallets eIDAS 2, souvent vu comme un catalyseur d’adoption –, mais plus les contraintes d’utilisation sont pénalisantes. Un équilibre est donc à trouver et, pour les paiements, il y a d’autant moins de raison qu’il se situe au niveau eIDAS élevé que c’est le niveau substantiel qui est la référence pour les règles LCB-FT.
Sans doute conscient des difficultés que pourraient entraîner des spécifications trop contraignantes et soucieux d’assurer une diffusion suffisante des portefeuilles d’identité numérique européens, le législateur européen a finalement assoupli le dispositif en prévoyant une passerelle entre le niveau de garantie substantiel et le niveau de garantie élevé pour leur mise en place, moyennant des mesures supplémentaires de vérification d’identité. Précisons toutefois que ces mesures sont encore non définies à ce jour.
Mais, au-delà de la mise en place des portefeuilles d’identité numérique, c’est leur utilisation pratique qui est également impactée par le niveau de garantie élevée, car il faut assurer un niveau élevé de protection des données susceptibles d’être communiquées via les wallets à des tiers. Ce niveau peut soit être assuré par un dispositif externe protégé – c’est le cas de la CNIe pour l’application France Identité –, soit par une puce dédiée (secure element) intégrée au smartphone et répondant à des critères de certification définis. À la différence du premier cas, le second ne dégrade pas l’expérience client, mais est encore très loin d’être généralisé.
On objectera que les portefeuilles d’identité numérique qui seront nécessairement qualifiés pour le niveau élevé devraient pouvoir également fonctionner au niveau substantiel si celui-ci s’avère plus pertinent pour certains usages déterminés. Cet aspect n’est pas aujourd’hui certain ou validé, comme en témoignent les interrogations sur la disponibilité du niveau substantiel pour l’application France Identité (aujourd’hui déployée au niveau faible et, après certification de l’utilisateur, au niveau élevé), mais gagnerait certainement à l’être pour assurer la diffusion plus large et le succès des portefeuilles d’identité numérique. En effet, un usage exclusif du niveau élevé pourrait bien être trop contraignant pour susciter l’adoption du plus grand nombre autour de cas d’usage grand public, et par là même positionner les wallets d’identité numérique au cœur des interactions digitales des Européens.
