Recevez chaque jour toute l'actualité du numérique

x

Révision du Règlement eIDAS et identité numérique

Tribune La révision du Règlement eIDAS est en cours. Une proposition en date du 3 juin 2021 vient en préciser les principales pistes d’amélioration. Cette chronique du Cabinet Caprioli & Associés en décrypte une partie des enjeux en se concentrant sur la question centrale de l’identité numérique.
Twitter Facebook Linkedin Flipboard Email
×

Révision du Règlement eIDAS et identité numérique
Révision du Règlement eIDAS et identité numérique © Idemia

Dans sa  stratégie "Shaping Europe’s digital future", la Commission européenne s’est engagée à réviser le règlement eIDAS afin d’en améliorer l’efficacité, d’étendre son application au secteur privé et de promouvoir des identités numériques fiables pour tous les Européens.

En effet, l’identité numérique est perçue comme un catalyseur essentiel des transactions numériques que ce soit pour des individus ou des personnes morales ou des objets connectés. Aujourd’hui, la fourniture d’identité numérique subit une profonde révolution, car de nombreuses entités telles que les banques, les fournisseurs de services de communications électroniques ou les principales plateformes en ligne agissent de plus en plus en tant que fournisseurs d’identité, sans pour autant s’appuyer sur une quelconque réglementation.

Enfin, la crise de la COVID-19 a mis en évidence l’urgence de fournir rapidement à tous les citoyens et entreprises européens une identité numérique universellement acceptée et fiable pour permettre une continuité d’activité dans le cadre du Marché Unique Numérique, l’accès à des services publics en ligne cruciaux et sensibles tels que l’e-Santé, l’administration en ligne ou encore l’e-justice et atténuer la fraude à l’identité.

Un constat : une offre de moyens d’identification électronique hétérodoxe
Si le règlement eIDAS a introduit un premier cadre transfrontalier pour les identités numériques de confiance et les services de confiance dès 2014, seuls 15 des 27 États membres représentant environ 58 % de la population européenne offrent à leurs citoyens des services d’identité électronique transfrontaliers.

L’usage de tels moyens d’identification est particulièrement hétérogène d’un Etat à l’autre, certains ne permettant pas leur recours dans le secteur privé (ex : domaine bancaire). Des solutions sûres et fiables connaissent un certain succès national mais ne peuvent prospérer dans l’ensemble de l’UE, en absence d’une réglementation commune.

De même, les solutions d’identification des Twitter, Linkedin, Facebook ou autre plate-forme sociale permettent de s’authentifier auprès de sites Web tiers en utilisant les profils utilisateurs de leurs abonnés en contrepartie de la perte de contrôle sur les données personnelles ainsi divulguées.

De plus, ces solutions sont fréquemment déconnectées d’une identité physique vérifiée, ce qui rend la fraude (comme le vol ou l’usurpation d’identité) et les menaces de cybersécurité en augmentation constantes. En outre, cette pratique met en exergue l’intrusion des GAFAM dans les domaines régaliens et leur impact sur les conditions de concurrence équitables dans le cadre d’un marché européen concurrentiel des services d’identité numérique.

En conséquence, il n’est pas possible aujourd’hui de s’identifier en ligne avec une identité numérique unique, sécurisée, pratique et digne de confiance et de protéger les données personnelles autant qu’avec une carte d’identité ou un passeport dans le monde physique.

La solution prônée par la réforme du Règlement eIDAS
Le règlement eIDAS, dans son chapitre consacré à l’identification électronique, se caractérise par un système fédéré fondé sur la neutralité technologique et la reconnaissance mutuelle liant diverses solutions d’identité numérique déployées par les États membres pour une utilisation transfrontière. Or, les mécanismes de coordination volontaire existants entre les États membres ne sont pas susceptibles d’apporter des améliorations suffisantes pour une généralisation de l’identité numérique dans l’UE.

La nécessité d’assurer la reconnaissance transfrontière d’un système d’identité numérique dans tous les États membres ne peut être atteinte par des initiatives propres des États membres, dont la portée, l’ambition, l’architecture technique, les solutions retenues et les dispositions juridiques varient, y compris les questions de responsabilité et la disponibilité de l’utilisation par le secteur privé. Les solutions individuelles conduiraient à la fragmentation du marché unique et encourageraient le forum shopping pour les prestataires de services, conduisant à une offre inégale au détriment des opportunités commerciales, de l’offre de services et de l’expérience utilisateur.

L’European Digital Identity Wallet, principale innovation de la Proposition
La révision du Règlement eIDAS vient remplacer les dispositions actuelles du chapitre II relatif à l’identité régalienne en définissant "l’European Digital Identity Wallet" comme "a product and service that allows the user to store identity data, credentials and attributes linked to her/his identity, to provide them to relying parties on request and to use them for authentication, online and offline, for a service in accordance with Article 6a ; and to create qualified electronic signatures and seal". Dès lors, l’identité numérique est pensée dans sa multiplicité de supports et de sources (privées ou publiques).

En outre, le lien existant entre moyen d’identification et services de confiance qualifiés (signature ou cachet) est désormais express dès la définition du portefeuille d’identité. En effet, un tel moyen répondant aux exigences du Règlement eIDAS et figurant dans le portefeuille d’une personne facilitera la création d’une signature électronique qualifiée, une aubaine pour certains secteurs d’activité comme les banques. L’entrée en relation serait ainsi simplifiée.

Enfin, tout comme pour les services de confiance, les portefeuilles d’identité pourraient bénéficier d’un label de confiance (Trust Mark) s’ils répondent aux exigences formulées dans la Proposition de Règlement eIDAS.

L’attribut, nouvelle aubaine pour les entreprises
Un autre point de la définition mérite un intérêt accru : la notion "d’attribute" définie comme "feature, characteristic or quality of a natural or legal person or of an entity, in electronic form". Ces attributs servent à attester d'un rôle ou d'une qualité associée à une personne, tels que la capacité à exercer une profession ou la délégation de pouvoir au sein d'une organisation. Ces attributs pourront être intégrés dans des certificats qualifiés et seront inclus dans une signature numérique et protégés par cette dernière. L’attribut en question permettrait donc de simplifier la question des délégations de pouvoir en interne.

Il conviendra d’être vigilant sur les évolutions à venir dans la Proposition de Règlement, étant précisé ici que cette révision devrait produire ses effets à compter de 2022. Le texte à ce stade de proposition demeure relativement complexe et gagnera à être simplifié et clarifié. D’autres chroniques portant sur les autres aspects de la Proposition de Réglementation devraient intervenir dans les prochaines semaines.

Eric A. Caprioli et Pascal Agosti, avocats associés, docteurs en droit
Caprioli & Associés, société d’avocats membre du réseau JurisDéfi



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.