A quoi va servir FranceConnect+, et surtout qui va payer pour l'identité numérique sécurisée ?

FranceConnect, l'agrégateur d'identités numériques créé par l'État qui permet aux internautes de s'identifier en ligne sur plus de 1000 services publics et un certain nombre de services privés à l'aide des identifiants d'un seul compte (Impots.gouv.fr, Ameli, Identité Numérique La Poste...), vient de passer la barre des 30 millions d'utilisateurs. Le nombre d'entre eux utilisant la plateforme quatre fois par an ou plus est par ailleurs passé de 8 millions fin 2020 à 12 millions fin septembre 2021.

La plateforme entame désormais une autre étape de son développement avec le déploiement de FranceConnect+, lancé discrètement cet été. FranceConnect+ fédère, sur le même principe que sa grande soeur, des identités numériques – c'est-à-dire, concrètement, un moyen de connexion universel relié à l'état civil de la personne, apportant la preuve de son identité – encore plus sécurisées, correspondant au niveau de sécurité "substantiel" de la réglementation européenne eIDAS.

comment ça marche
Pourquoi plus sécurisées ? Parce que la création de ce type d'identité numérique nécessite soit un face à face, pour l'instant dans un bureau de Poste ou à domicile lors de la visite du facteur, soit a minima des éléments biométriques (vidéo du visage et photo de la pièce d'identité).

FranceConnect+ permettra ainsi de prouver son identité pour des démarches plus sensibles : ouvrir un compte bancaire ou un compte à la Française des Jeux, accéder au futur "Mon espace santé" disponible à partir de début 2022 (le carnet de santé numérique qui a remplacé le Dossier Médical Partagé), recevoir un recommandé électronique, ou encore signer avec une signature électronique "qualifiée" (le plus haut degré des trois niveaux de sécurité reconnus par l'UE, soit l'équivalent d'une signature manuscrite).

Pour s'identifier sur un service, la procédure ressemble à la double authentification mise en œuvre pour les paiements en ligne : après avoir cliqué sur FranceConnect+, l'utilisateur renseigne son numéro de portable et reçoit une notification sur son smartphone qui l'invite à se connecter à l'application de son fournisseur d'identité numérique. Il s'identifie grâce à son code d'accès ou au capteur biométrique pour valider l'opération.

deux fournisseurs, en attendant le ministère de l'intérieur
A l'heure actuelle, un seul fournisseur d'identité et un seul service en ligne sont intégrés à FranceConnect+ : l'identité numérique de La Poste et le recommandé électronique. La démarche de pré-hospitalisation de l'AP-HP devrait être raccordée fin octobre. Un deuxième fournisseur d'identité, Ariadnext, devrait être certifié par l'Anssi fin 2021 ou début 2022. Et on attend l'activation de la partie identité numérique de la carte d'identité électronique (CNIe) courant 2022, à partir de laquelle le ministère de l’Intérieur dérivera une identité numérique.

La CNIe, qui est une carte à puce (comme une carte bancaire ou une carte Vitale), est ce que l'on appelle une "'identité numérique régalienne", comme Alicem. Logiquement, tout citoyen en possession d'une CNIe pourra s'en servir pour s'authentifier en ligne, en synergie avec FranceConnect. Mais cela ne veut pas dire que les anciennes identités numériques disparaitront ! "Notre promesse, c'est de laisser le choix à l'utilisateur de l'identité numérique qu'il préfère. C'est le principe de la fédération d'identités", indique Christine Balian, directrice du programme FranceConnect et cheffe de la mission IDNUM du programme Tech.Gouv conduit par la Direction interministérielle du Numérique (DiNum).

Le modèle économique, pour les fournisseurs, est toujours aussi flou
Le flou demeure, en revanche, sur la façon dont sera facturée aux services privés – ou non – l'identité reliée à la CNIe. Ce point n'est pas encore clarifié. Or, si le service est gratuit pour les entreprises utilisatrices, quel intérêt d'investir dans le développement d'une identité numérique de niveau substantiel pour les acteurs privés ? "L'État est en train de développer une application qui va concurrencer Docaposte et Ariadnext", résume assez directement Marc Norlain, directeur général d'Ariadnext.

Ceci pourrait expliquer pourquoi il n'y a pas plus de fournisseurs candidats à la certification substantielle à l'heure actuelle. De son côté, Christine Balian attribue cette timidité au petit nombre de "cas d'usage de niveau substantiel" pour le moment, qui "se développeront progressivement avec l’arrivée des identités numériques sécurisées". Mais il semble que les choses soient plus compliquées.

"Le modèle de l'Identité numérique n'a jamais été très clair, ce qui empêche la France d'avancer vite. Il n'existe pas une stratégie unique, car les administrations ont des façons de voir très différentes. Il y a ainsi plusieurs initiatives : celle du ministère de l'Intérieur, qui estime que l'identité est son métier, et celle de la DiNum qui est plus favorable à des stratégies d'écosystème. Je pense qu'il y aura de la place pour tout le monde, car eIDAS laisse une grande place aux acteurs privés. La révision du règlement européen, dont les travaux techniques ont débuté en septembre, devrait régler le problème", estime Marc Norlain.

Une question de souveraineté numérique
Tant Docaposte qu'Ariadnext avaient de bonnes raisons de développer leur solution, malgré tout. La Poste au moins pour ses propres services, et Ariadnext, dont la vérification d'identité à distance est le cœur de métier, pour ses clients dans la banque et l'assurance, un secteur où la simplification du parcours client est un facteur clé d'optimisation des performances. Une bonne moitié des clients de la société devrait ainsi basculer sur son identité numérique de niveau substantiel, nous indique son dirigeant.

En outre, le marché européen de l'identité numérique, qui pèserait plusieurs milliards d'euros, a besoin d'acteurs continentaux pour constituer une alternative à la menace des Big Tech. C'est pour cela qu'Ariadnext a fusionné cet été avec l'allemand IDnow. "Aux États-Unis, Apple et Google se préparent à dématérialiser les permis de conduire. Samsung, Visa et Mastercard investissent dans l'identité numérique. Les éléphants sont en train de bouger, le risque est de perdre notre souveraineté numérique", prévient Marc Norlain.

prochaine étape pour franceconnect : onboarder les entreprises
FranceConnect+ compte à ce jour 450 000 utilisateurs. Son défi principal, à l'avenir, sera de "faire migrer progressivement les 30 millions d'utilisateurs de FranceConnect vers des niveaux plus sécurisés, avec des fournisseurs qui ne seront pas les mêmes", déclare Christine Balian.

La plateforme, qui a atteint ses objectifs grand public avec plus d'un an d'avance grâce au coup d'accélérateur donné par le Covid-19 (FranceConnect permet de récupérer son attestation vaccinale sur le site de l’Assurance maladie, ce qui a permis d'engranger plus de 3 millions de nouveaux utilisateurs entre juin et août 2021), a pris du retard en revanche sur l'adoption de FranceConnect par les entreprises privées. Pour l'instant les banques et Enedis en sont les plus gros utilisateurs.

Christine Balian encourage les entreprises à rejoindre le système. "La balle est dans le camp des fournisseurs de services. Je ne vois pas de véritable frein. Pour les entreprises, le service est gratuit, facile à intégrer, et FranceConnect est leur point d'entrée unique. L’ouverture du service au secteur privé manque en revanche de notoriété. Mais nous maintenons nos objectifs, et avons commencé à élargir le service à d'autres secteurs d'activité cet été : transport, location immobilière, location de voiture, enseignement supérieur, éducation… Aujourd’hui, même si les demandes sont timides, nous appelons les entreprises privées de ces secteurs à nous contacter afin que nous puissions les accompagner dans cette expérimentation".

Sélectionné pour vous

L'auteur du Trône de fer George R. R. Martin poursuit OpenAI pour violation du copyright

L'acteur indien Anil Kapoor remporte une bataille judiciaire décisive contre l'IA générative

Voici le plan d'action de la Cnil pour encadrer l'intelligence artificielle