Identité numérique : pourquoi un schéma national en plus du cadre européen eIDAS ?

On le sait, la réglementation relative aux moyens d’identification électronique est très largement européenne avec, en dispositif central, le règlement eIDAS de 2014 (eIDAS 1). Au-delà de réelles lacunes, le texte de 2014 a le mérite de définir un cadre de reconnaissance mutuelle et d’interopérabilité des services de confiance et des moyens d’identification électronique, auquel la France participe avec le schéma « L’identité Numérique/France Connect + » notifié début 2021 au niveau de garantie (fiabilité) substantiel.

Un projet de refonte du règlement eIDAS est aujourd’hui en chantier pour notamment intégrer le développement des applications sur smartphones et répondre à des exigences de privacy élevées. Ce projet eIDAS 2 est largement orienté vers la mise en place de wallets (portefeuilles) d’identité numérique à vocation généraliste, couvrant les usages des secteurs public et privé, et définis à partir de spécifications techniques communes (pour application en 2024). Si de nombreux aspects restent encore en discussion, cette initiative porte une ambition européenne forte, qui devrait d’ailleurs impacter de façon majeure le secteur bancaire, tant dans ses process d’entrée en relation à distance que pour les paiements.

Dans ce cadre, la France sera amenée à émettre ou valider un wallet d’identité numérique pouvant servir à la fois pour s’identifier à distance avec un niveau de garantie élevé mais aussi pour communiquer des attestations électroniques certifiées par des autorités de confiance (par exemple permis de conduire, certificats de vaccination, visas, etc.), dans le cadre d’usages relevant tant du secteur public que du privé.

Dès lors, est-il pertinent de construire, parallèlement au schéma « L’identité Numérique/France Connect + » et au futur wallet français eIDAS, un régime comparable mais à vocation uniquement domestique et non reconnu en dehors des frontières nationales ? Si la question pouvait éventuellement se poser avant le projet eIDAS 2, lui trouver une réponse positive est une gageure, tant on peine à voir l’utilité d’un schéma national d’identité numérique dupliquant celui mis en place au niveau européen – auquel la France sera d’ailleurs tenue de participer et qui s’appliquera tant dans les relations domestiques que transfrontalières.

C’est pourtant le choix que vient de faire le gouvernement avec un décret du 15 juillet 2022¹ visant à compléter l’article L. 102 du Code des postes et communications électroniques issu de la Loi pour une République numérique de 2016, qui annonçait un encadrement juridique des identités numériques françaises « présumées fiables » mais était resté sans effet faute de texte d’application. C’est maintenant chose faite avec le décret précité qui missionne l’Agence nationale de la sécurité des systèmes d’information (ANSSI) aux fins d’élaborer un référentiel d’exigences de sécurité pour les moyens d’identification électronique visant les niveaux faible, substantiel et élevé et mettant en place une procédure de certification desdits moyens sous le contrôle de l’ANSSI. De façon plus concrète, c’est le respect des prescriptions de l’ANSSI pour le niveau élevé qui détermine le statut de moyen d’identification électronique « présumé fiable » en application du décret, lequel statut n’est pas accordé aux identités numériques eIDAS de niveau élevé en provenance d’autres pays européens.

Une double architecture va donc se dessiner pour les identités numériques, fondée sur des spécifications techniques et des niveaux de fiabilité qui, au-delà de leur libellé commun (niveaux faible, substantiel et élevé), divergeront sur plusieurs aspects, à savoir :

– un schéma eIDAS européen organisant la reconnaissance mutuelle d’identités numériques dans chaque État membre et basé sur des principes généraux communs (eIDAS 1) et des wallets d’identité numérique basés sur des spécifications techniques communes (eIDAS 2) pleinement reconnus dans le cadre des règles LCB-FT, elles-mêmes en cours d’unification avec le futur règlement AML en préparation ;

– un schéma français construit autour des identités numériques présumées fiables, faisant double emploi avec le schéma eIDAS mais en partie déconnecté de celui-ci, car tout indique qu’il impliquera des exigences supplémentaires provenant de l’ANSSI non prévues par les textes européens.

Une illustration de ce décalage a été donnée par le référentiel ANSSI de mars 2021 définissant le statut de Prestataire de vérification d’identité à distance (PVID) et rehaussant de façon importante les niveaux d’exigence formulés – en termes assez génériques, certes – par le règlement européen d’application sur les niveaux eIDAS (règlement 2015/1502). Comment dès lors s’étonner qu’en France, seul un fournisseur d’identité numérique soit à ce jour reconnu au niveau substantiel par l’ANSSI et aucun au niveau élevé, alors que ce dernier niveau est de fait, avec 21 sur 23 schémas présentés, le niveau de référence des schémas notifiés par les États membres à l’Union européenne ? Rappelons que les schémas notifiés sont pleinement reconnus comme tels dans l’ordre juridique français, y compris par le Code monétaire et financier en matière d’entrée en relations des établissements assujettis aux règles LCB-FT.

On peut certes trouver les spécifications européennes insuffisantes sur certains aspects : cette critique peut et doit même être entendue. Toutefois, si elle est vraiment fondée, pourquoi reconnaître les identités numériques et services de confiance y faisant référence, notamment en matière bancaire et financière ?

De fait, un double référentiel européen et français génère des externalités négatives en créant des situations d’arbitrage réglementaire. Outre le fait qu’il pénalise les prestataires de services français confrontés à des exigences nationales renforcées, il crée un appel d’air en faveur des étrangers soumis à des règles moins contraignantes pour des schémas reposant sur des règles européennes reconnues en France à l’égal des solutions nationales, notamment dans la mise en œuvre du passeport européen des services bancaires.

De plus, il contribue à la fragmentation du paysage de l’identité numérique européen et au cloisonnement des marchés nationaux, et éloigne un peu plus de la mise en place du marché unique du numérique qui était pourtant un des objectifs majeurs de la présidence française de l’Union européenne. On peine en effet à voir en quoi la généralisation d’une approche où chaque pays développerait ses propres spécifications techniques apporterait un quelconque plus dans la mise en œuvre du marché unique numérique et dans un monde où la taille critique est un facteur déterminant de succès.

Ne nous y trompons pas : face à des GAFAM et BATX solidement implantés sur des technologies et en mesure d’imposer des standards techniques et alors que l’Europe elle-même est largement hors course dans les smartphones et les systèmes d’exploitation associés qui sont au cœur des identités numériques sur mobile, la mise en place de spécifications techniques en matière d’identité numérique n’est pertinente qu’au niveau européen. Même si cette dimension ne garantit évidemment pas, à elle seule, le succès.