Le recours aux moyens d’identification numérique s’ouvre au secteur privé
Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd'hui, Pascal Agosti expose la question de l'identité numérique.
Identité et responsabilité
S’il y a bien un sujet qui est essentiel sur les réseaux, c’est celui de l’identité numérique. En effet, l’un des reproches récurrents à l’encontre de l’usage de l’Internet concerne l’anonymat – certes de plus en plus relatif (par exemple, pour le domaine financier)– des auteurs d’une action (ex : accéder à un système d’information, un hotspot...), d’un acte (ex : une commande conclue sur un site de commerce électronique...) ou encore d’un message (ex : tweet, message sur un mur Facebook ou le traditionnel courrier électronique), l’objectif du Droit étant de pouvoir l’imputer à une personne déterminée et ainsi lui faire porter la responsabilité (civile, pénale, administrative...) qui en découle.
Qu’est-ce que l’identité numérique ?
Vaste débat. Elle est protéiforme et peut être constituée de traces volontaires (actes positifs de la part de l’auteur d’un contrat qui l’aura signé électroniquement) ou involontaires (les cookies, par exemple). Mais l’objet de cet article n’est pas d’exposer les contours de l’identité au sens de la Loi Informatique et Libertés. Il faudrait plusieurs dizaines de pages pour n’en faire – ne serait-ce – que l’esquisse !
Une définition de l’identification numérique
Le Règlement eIDAS définit l’identification comme "le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale" (article 3-1 du règlement eIDAS). Un Chapitre II lui est même consacré mais il s’agit de l’identification étatique, régalienne (ex : carte d’identité électronique).
Il organise les modalités de reconnaissance mutuelle et d’interopérabilité dans l’Union Européenne des identités (régaliennes) notifiées par les Etats membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d'identification (identité numérique) relevant du pouvoir souverain de chaque État membre. Les différents actes d’exécution ont été publiés et on peut escompter recourir à ce type de moyen d’identification (s’il est notifié à la Commission européenne) dans une optique paneuropéenne pour septembre 2018.
France Connect
En France, c’est le téléservice France Connect qui entend ouvrir la porte du Marché unique. Il permet aux usagers, s’ils le souhaitent, de fédérer leurs comptes créés auprès des différents services publics (sécurité sociale, impôts, TVA, Net-Entreprises, etc.) afin de disposer d’un compte national. Lorsqu’un usager aura fait la démarche d’authentification auprès d’une autorité administrative et qu’un login/mot de passe lui aura été attribué, ce couple d’identifiants pourra être utilisé pour accéder à des services d’autres autorités administratives. Trois niveaux de sécurité sont prévus : faible (login/mot de passe et copies de pièces justificatives), substantiel (deux facteurs d’identification dont un non rejouable/RGS**) et élevé/fort (face-à-face RGS***). Le système repose sur six données pivots détenus par France Connect : nom, prénom, sexe, date de naissance, lieu de naissance et pays de naissance.
Mais voilà, tout comme le Règlement eIDAS, ce moyen d’identification ne concerne pas a priori les identités numériques délivrées dans un cadre privé (ex : codes, identifiants, certificats électroniques, etc. des banques, des assurances et des commerçants en ligne).
Une avancée dans la Loi pour la République numérique
Or, cette absence d’équivalence entre le secteur public (qui peut donc s’appuyer sur des moyens d’identification) et le secteur privé entrainait une certaine défiance pour les acteurs du domaine. Comment être sûr que mon interlocuteur est bien celui qu’il prétend être ?
L’article L. 136 du Code des Postes et Communications Electroniques vient répondre à cette crainte en indiquant :
"La preuve de l'identité aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique.
Ce moyen d'identification électronique est présumé fiable jusqu'à preuve du contraire lorsqu'il répond aux prescriptions du cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information, fixé par décret en Conseil d'Etat.
Cette autorité certifie la conformité des moyens d'identification électronique aux exigences de ce cahier des charges".
L’ANSSI est donc centrale dans ce débat et on peut supposer que le cahier des charges évoqué par le texte s’inspirera des différents textes existants pour le domaine public.
Les entreprises – et les établissements bancaires et financiers au premier plan (soumises au « Know Your Customer » réglementaire) – pourraient s’emparer de cette opportunité et ainsi assurer la quadrature du cercle...
Pascal AGOSTI, Avocat associé, Docteur en droit
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
