En France, les modalités de certification des moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens ont été fixés par le décret n° 2022-1004 du 15 juillet 2022. Ce décret confie à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) la mission d’élaborer un référentiel d’exigences de sécurité pour les moyens d’identification électronique, de mettre en place la procédure de certification desdits moyens et de contrôler le respect de l’ensemble.
2022 est également l’année de mise en œuvre de la certification de Prestataire de vérification d’identité à distance (PVID), pilotée par l’ANSSI, émettrice du référentiel de ce statut.
Cette réglementation nationale se double d’un cadre légal européen, le règlement eIDAS (Electronic Identification and Trust Service), dont le principal avantage consiste à conférer à l’ensemble des pays membres de l’Union européenne un référentiel et des exigences communs pour la vérification de l’identité numérique.
Force est de constater cependant que la vérification d’identité numérique obéit à des critères encore aujourd’hui fort disparates d’un pays membre de l’UE à l’autre et le règlement eIDAS est actuellement en cours de refonte.
A l’heure d’une harmonisation souhaitée et souhaitable, quel sens peut revêtir le double cadre juridique dont bénéficie la France ?
En l’état actuel de la réglementation, cette situation est susceptible de générer “des externalités négatives en créant des situations d’arbitrage réglementaire”, comme le signale Stéphane Mouy, consultant, conseiller identité numérique DG FISMA, (SGM Consulting). Elle pose également la question d’une efficacité du système européen, dès lors que le référentiel français introduit un niveau d’exigences plus élevé.
Enfin, c’est un signal quelque peu troublant, à une période où les discours affirment tendre vers une harmonisation européenne, que de produire un cadre réglementaire valable uniquement au niveau national.
Mais il est également possible de voir dans cette mise en œuvre réglementaire au niveau national une démarche “précurseur”, selon le terme utilisé par Rayissa Armata, directrice des affaires réglementaires (IDnow), et Marc Norlain, directeur général (ARIADNEXT), destinée à “inspirer” le législateur européen. La France jouerait ainsi un “rôle moteur” dans l’élaboration de ces normes communes européennes liées à la vérification de l’identité numérique.
