L’identification électronique, sésame du Marché Unique Numérique

Les moyens d’identification constituent le prérequis incontournable au déploiement du Marché Unique Numérique. En effet, sans identification, il est impossible d’imputer de manière précise une action à une personne ou de mettre en place les procédés d’authentification pour accéder à un compte en ligne. Dès lors, les régulateurs tant européens que nationaux se sont emparés de cette question pour s’assurer du respect de cette exigence.

Le Règlement eIDAS, socle de la confiance numérique

Le Règlement eIDAS définit l’identification électronique comme "le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale" (article 3-1).

Mais ce qu’il faut bien comprendre, c’est que le Chapitre II du Règlement eIDAS a trait à l’identification électronique régalienne. En effet, l’article 6 organise les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union Européenne des identités (régaliennes) notifiées par les Etats membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d'identification (identité numérique) relevant du pouvoir souverain de chaque État membre.

Depuis la publication du Règlement eIDAS, la Commission européenne et les instances de normalisation européennes en ont complété le cadre réglementaire et technique. Dès lors, la reconnaissance mutuelle des moyens d’identification pour un téléservice donné devrait donc être effectivement applicable à compter du mois de septembre 2018. Pour l’heure, l’Allemagne a d’ores et déjà notifié à la Commission un Schéma d’identification. Rien n’est encore indiqué officiellement pour la France même si on peut l’espérer.

L’interopérabilité de tels moyens d’identification utilisés dans le cadre de plateformes est également à l’étude au niveau de la Commission européenne.

De plus, le Règlement eIDAS constitue la référence d’identification dans d’autres réglementations sectorielles comme dans le domaine financier et bancaire.

Enfin, le Règlement eIDAS laisse une opportunité ouverte à chaque Etat membre pour que ces moyens d’identification électronique soient également utilisés dans le secteur privé.

L’ouverture nationale de l’identification électronique au secteur privé : la Loi pour une République numérique

La Loi pour une République numérique a intégré dans le Code des Postes et Communications Electroniques des dispositions relatives à l’identification électronique, renumérotées par la suite par l’Ordonnance n° 2017-1426 du 4 octobre 2017 relative à l'identification électronique et aux services de confiance pour les transactions électroniques .

L’article L. 102-I reprend la définition de l’identification électronique figurant dans le Règlement eIDAS. Il dispose également :

• " II. – La preuve de l'identité aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique.
• III. – Ce moyen d'identification électronique est présumé fiable jusqu'à preuve du contraire lorsqu'il répond aux prescriptions du cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information, fixé par décret en Conseil d'Etat.
  Cette autorité certifie la conformité des moyens d'identification électronique aux exigences de ce cahier des charges.
• […]."

Le moyen d’identification en question sera celui prévu dans le chapitre II du Règlement eIDAS puisque le projet de décret fixant le cahier des charges, soumis à consultation, renvoie en visa au Règlement eIDAS et au Règlement d’exécution (UE) 2015/1502 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique.

Le projet de décret énonce les conditions entourant la présomption de fiabilité des moyens d’identification électronique, à savoir avant tout le respect des exigences figurant dans le cahier des charges en annexe. En outre, les moyens d’identification électronique présumés fiables devront avoir fait l’objet d’une qualification par l’ANSSI attestant de leur conformité au niveau renforcé du Référentiel Général de Sécurité (art. 8 al.2).

Il faut aussi penser à la conformité au RGPD par projet

Qui dit identification renvoie invariablement à la notion de données à caractère personnel. En ce sens, le déploiement d’un moyen d’identification électronique (par exemple, le recours à une empreinte digitale sur son smartphone pour accéder à une application donnée) doit s’inscrire dans le respect du Règlement Général de Protection des Données. (RG

Or, actuellement, tout se juge à l’aune du RGPD. Certains s’activent à convertir leur entreprise à ces nouveaux enjeux. Mais avant d’effectuer cette mue globale, la prise en compte du RGPD s’impose aussi (voire tout particulièrement) à l’ensemble des projets numériques de l’organisme. Il est donc conseillé de penser au cas par cas à l’application du RGPD, et pour chaque projet de veiller à sa conformité au règlement, d’en tirer une conclusion et d’en faire une charpente pour les autres projets.

A cette fin, il conviendra pour tout promoteur d’une solution d’identification électronique d’analyser en amont la licéité de cette pratique dans le cadre d’une Etude d’impact Vie privée ou PIA et de concevoir sa solution en mode privacy by design. Certaines solutions tentent déjà de redonner la maîtrise des données à leur propre titulaire comme AEVATAR. Un exemple à suivre pour un outil qui se veut à la croisée des mondes…

Pascal AGOSTI et Isabelle CANTERO, Avocats associés Caprioli & Associés, société d’avocats
Membres de JURISDEFI

Les avis d'experts et les points de vue sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Sélectionné pour vous

Le site Pornhub change de main

Au moins 200 livres créés avec ChatGPT ont été publiés sur la boutique Kindle d’Amazon

Le gouvernement veut consacrer un "droit au très haut débit"