Qui suis-je ? Mon identité de “citoyen électronique”

Transmettre son identité (identification), la faire reconnaître (authentification), en assurer le suivi d’un opérateur à un autre… Autour de l’identité numérique se cristallise une série de questions, dont le nombre ne cesse d’augmenter proportionnellement aux innovations de la technologie numérique et des échanges d’information sur Internet qui forment notre réputation.

Après avoir sensibilisé les élus locaux lors d’un cycle de 6 “Assises Territoriales de l’Identité Numérique du Citoyen” entre 2015, année du lancement du programme “ France Connect”  et 2017 (voir la video ), Villes Internet propose de revenir sur certaines interrogations liées aux changements règlementaires et technologiques en cours de déploiement (Chapitre 1). Mais comment parler d’identité sans parler des traces que nous devons laisser sur « la toile » pour nous informer, débattre, et accéder aux services, et notamment aux services publics fondamentaux pour l’égalité sociale. Nous verrons comment notre réputation est elle aussi une dimension de cette identité numérique à protéger (Chapitre 2).

Repères – Dernières dates clés de l’identité numérique^[1]

•     23 juillet 2014 : règlement européen n° 910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS »

•     Article 86 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, complété par l’ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques, a créé en droit français la notion de « moyen d’identification électronique présumé fiable »

•     2019 : expérimentation de Alicem pour une ouverture au grand public avant la fin de l’année

•     À partir de 2021, déploiement de la carte nationale d’identité électronique (CNIe) pour une généralisation en 2022

Repères – Définitions^[2]

• La personnalisation consiste à adapter le service rendu à chaque usager.
• L’identification consiste, pour l’usager, à indiquer qui il est avant d’accéder à une information ou un service. Ce « qui il est » n’est pas nécessairement son identité civile mais l’identifiant qui lui a été attribué.
• NIR est l’identifiant unique des personnes inscrites au répertoire national d’identification des personnes physiques géré par l’Insee (numéro de sécurité sociale)
• L’authentification consiste, pour l’usager, à prouver son identité, ce qui lui permet éventuellement de signer des transactions ou des actes. Il convient de bien distinguer identification et authentification.

Chapitre 1 : L’identité civile à l’épreuve des technologies numériques

Avec la multiplication des interactions en ligne et des échanges numériques personnalisés, nous sommes sommés plusieurs fois par jour de décliner nos identifiants et mots de passe.

Cette multiplication d’identités et d’identifiants soulève quatre types de problèmes^[3]. Comment mémoriser les différents identités et identifiants (ainsi que les « droits » ou les « préférences » associés) ? Comment rendre interopérables entre elles les coordonnées associées aux différents appareils (ordinateur et téléphone mobile), à différents fournisseurs ou réseaux ? Comment faire en sorte que l’on puisse effectuer ces opérations (et donc transporter ses identités avec soi) dans des contextes différents : au travail, à domicile, en déplacement ? Comment maîtriser la circulation des données personnelles associées à l’une ou l’autre des identités ? 

À cette série de problèmes s’ajoutent des inquiétudes sur la lutte contre les usurpations d’identité ou la garantie de l’anonymat dans certaines situations, et la douloureuse question du croisement des fichiers de données. Les responsables politiques tentent depuis près de vingt ans d’apporter des solutions et de faire en sorte que l’État reste le garant de la mission régalienne de certification de l’identité dans un monde digital complémentaire du « monde physique ».

Entre les innovations numériques et les obligations d’identification, les tentatives de régulations

Avec l’accélération de l’apparition des plateformes connectées, de la création des services privés et publics qui nécessitent des identifications, l’État tente depuis plusieurs années de reprendre la tête de la création des outils à destination des citoyens, entreprises ou associations.

Lors des auditions réalisées au nom de la commission d’enquête sur la souveraineté numérique du Sénat, Mme Claire Landais, secrétaire générale de la défense et de la sécurité nationale rappelait au sujet de l’identité numérique, que la loi du 7 octobre 2016 pour une République numérique prévoit « d’encadrer la fourniture d’identité numérique par le secteur privé, une identité numérique étant présumée fiable uniquement si elle répond à un cahier des charges établi par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ».

Elle ajoute que « sont également développés, d’une part, un service d’authentification national — la plateforme FranceConnect conçue par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) —, et d’autre part une identité numérique souveraine — via le projet ALICEM (Authentification en ligne certifiée sur mobile) du ministère de l’Intérieur —, en cours d’évaluation par l’ANSSI ».

Enfin, elle précise qu’au niveau européen a été introduit un cadre juridique commun, avec le règlement adopté en 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « eIDAS », qui prévoit la reconnaissance entre les États membres et l’interopérabilité des méthodes nationales d’identifications numériques. »

Alors que le bilan de l’utilisation de la plateforme FranceConnect est plutôt décevant en nombre d’utilisateurs, le gouvernement lance l’étape d’après, l’application Alicem, une application pour smartphone, uniquement disponible pour les Androïd à ce stade, ce qui n’est pas sans poser la question de la relation de l’Etat avec le G des Gafam, (Google, propriétaire d’Android qui représente 85% de part du marché mondial des nouveaux smartphones ).

Alicem est développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS) et doit permettre à tout particulier qui décide de l’utiliser de prouver son identité sur Internet de manière sécurisée. Elle donnera accès à l’ensemble des services partenaires de FranceConnect.

Les agents territoriaux particulièrement concernés par la question de l’identification

La problématique de la gestion des identifiants et des mots de passe pour accéder aux services publics en ligne n’est pas la panacée de l’internaute particulier. Elle concerne également les agents des services publics. En l’occurrence tous ceux qui doivent s’authentifier dans le cadre de leur mission auprès de multiples applications dont la gestion ne relève pas de leur administration d’appartenance. Or la gestion de ces différentes identités numériques complexifie considérablement le parcours numérique des agents.

C’est dans ce contexte que la DINSIC et le Ministère de l’Intérieur ont souhaité développer un outil dédié aux agents du service public, FranceConnect Agent (Villes Internet y consacrait un article le 24 mai 2017). Avec cette plateforme, les agents doivent pouvoir naviguer sur l’ensemble des applications et services administratifs par un mode d’accès unique et leurs habilitations sont sécurisées.

 Des inquiétudes s’expriment quant au respect des droits et libertés des citoyens

La mise en place de tels dispositifs ne peut laisser la société civile indifférente. L’application Alicem fonctionne par la reconnaissance faciale et le stockage de ces données d’identification biométriques génère de nombreuses inquiétudes. [ Lire l’article de Villes Internet sur la reconnaissance faciale] C’est ainsi que l’association La Quadrature du net a formé un recours en Conseil d’État contre le décret  autorisant Alicem. Elle lui reproche en effet d’imposer la reconnaissance faciale aux utilisateurs. Or, l’association rappelle qu’au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ».

Dans le cadre de la Commission d’enquête précitée, le ministre de l’Intérieur répondait à ces inquiétudes en déclarant le 2 septembre 2019 que « dans le dispositif d’authentification en ligne certifiée sur mobile (Alicem) […], aucune donnée biométrique ne peut être partagée. La photo extraite de la puce reste stockée sur le téléphone portable de l’utilisateur. La vidéo de reconnaissance faciale créée au moment de l’identification est effacée après vérification. Les données ne font l’objet d’aucun traitement et ne sont bien sûr pas transmises à des tiers. »

Le locataire de la place Beauvau certifiait que « grâce à de tels outils, l’État assurerait mieux sa mission régalienne de certification des identités dans le monde digital, préfigurant un service numérique plus large ». Pour le ministre, cette démarche répondait à deux objectifs : proposer des systèmes d’identités sécurisés à tous les acteurs publics ou privés et de simplifier les démarches administratives. Dès lors, il s’en remetait à la décision du Conseil d’État suite au recours de La Quadrature du Net.

Notons que la question fondamentale est de savoir comment les citoyens (en action groupée par exemple) pourraient garder la maîtrise de leurs données et éventuellement d’en faire bloquer techniquement l’utilisation par un Etat qui deviendrait totalitaire ?

Vincent Thomas, doyen de la faculté de droit de Bourgogne, avait alerté lors des Etats Généraux de la Protection des Données personnelles organisés en mai 2019 par Villes Internet : « choisir entre propriété et maîtrise est un choix philosophique », et les choix philosophiques fondent les décisions politiques. Chaque élu au numérique doit donc construire son avis pour structurer son projet numérique local et créer une exemplarité, voire une spécificité française..

L’e-Estonie, un modèle d’administration électronique ou la bureaucratie numérique ? 

L’Estonie, 1,3 million d’habitants pour 47 villes, ancien membre du bloc soviétique, est une démocratie parlementaire, membre de l’Union européenne depuis 2004. Et un modèle européen de start-up nation !  « La réalité estonienne, c’est l’objectif français en matière d’e-administration d’ici 2022 », déclarait Édouard Philippe en déplacement à Tallinn (juin 2017).

C’est fort de l’urgence de structurer son économie suite à son détachement de l’Union soviétique en 1991 que ce petit État a ouvert… une banque en ligne opérationnelle depuis 1996. Les deux principales banques du pays ont travaillé avec les opérateurs téléphoniques et ouvert un centre d’authentification unique pour le paiement en ligne. Cette technologie de carte à puce a permis de répondre à une autre urgence : le renouvellement des cartes nationales d’identité et l’ouverture en 2000 d’une plateforme pour les démarches administratives. Dès lors, l’Estonie a rempli un vide en devenant le premier pays européen maître de son administration électronique basé sur le concept de « citoyenneté électronique », une dynamique qui l’a singularisé pour entrer dans l’Europe et dans la nouvelle économie mondiale. De nombreux services publics connectés ont ensuite vu le jour, permettant aujourd’hui aux Estoniens de réaliser la plupart de leurs démarches en ligne avec une signature électronique, à l’exception des mariages, divorces et ventes immobilières. Ce changement radical dans un délai court (moins de 10 ans) a été propulsé par la seule volonté de l’État, sans concertation sur les choix techniques et leurs incidences sur l’avenir des libertés personnelles. La régulation, comme la politique de Très Haut Débit, a été mise en place après la politique d’usages et de services, avec la création d’une autorité des systèmes d’information en 2011. En parallèle, pour lutter contre la fracture numérique l’Estonie privilégie la stratégie du « Design thinking », conception collaborative entre l’entreprise « numérique » et l’usager, pour rendre les interfaces de services publics intuitives. L’Estonie confirme son avance avec une première mondiale le premier décembre 2014 : la loi sur les pièces d’identité ajoute un article qui permet la délivrance de cartes d’identité numériques aux étrangers qui ne sont pas enregistrés en tant que résidents permanents ou citoyens en Estonie. Ce nouveau titre d’identité ne leur donne pas tous les droits accessibles aux Estoniens, mais leur permet de créer leur entreprise puis de la gérer à distance, à l’autre bout du monde, tout en bénéficiant localement d’une fiscalité avantageuse. Un pavé dans la mare des politiques migratoires européennes.

Les promoteurs de ce modèle de start-up-nation doivent raison garder, car les premières failles d’un tel système apparaissent déjà. En 2017, le pays a dû suspendre les 760 000 cartes d’identité électroniques nationales en circulation pour cause de « puce défectueuse ». À cette occasion, la mesure des usurpations d’identité et autre cyber attaques affolent les observateurs : le sujet de la cybersécurité arrive en tête des préoccupations.

Depuis, la start-up nation française est en marche, avec ses entreprises leaders de la cyber sécurité, et la fierté que le modèle estonien doit sa technologie de la carte d’identité à une entreprise française (Gemalto). Le « marché public de la confiance » est grand ouvert pour la France de l’Europe à l’Afrique.

Souhaitons que les élus français prennent en compte la demande de citoyens de plus en plus attentifs à leur capacité de maîtrise de leurs données personnelles. Une compétence citoyenne à encourager pour défendre les libertés fondamentales et ne pas confondre modèle économique avec modèle démocratique.

Lire le chapitre 2

[1] Source : Rapport sur l’état de la menace liée au numérique en 2019, la réponse du ministère de l’intérieur

[2] Source : Administration électronique et protection des données personnelles – Livre blanc – 2001

[3] Source : Administration électronique et protection des données personnelles –  Livre blanc – 2001