Demain, aurons-nous toutes et tous une identité numérique gérée par l’Etat ?

PIECE D'IDENTITE SVP Fin avril, un décret autorisait la création d'un service de garantie de l’identité numérique (SGIN) appuyé sur les nouvelles cartes d'identité à puce. Retour sur les questions que le projet soulève

Mathilde Saliou
— 
Grâce à l'application France Identité, actuellement en phase de test, il sera possible de s'authentifier en ligne aussi sûrement qu'avec une CNI.
Grâce à l'application France Identité, actuellement en phase de test, il sera possible de s'authentifier en ligne aussi sûrement qu'avec une CNI. — Ministère de l'Intérieur

Et si nos cartes d’identité étaient disponibles en ligne ? Et s’il existait un service susceptible d’éviter les innombrables photocopies, que l’on fournit, ici pour un dossier immobilier, là pour ouvrir un compte bancaire ? C'est le projet que porte l’État avec son service de garantie de l’identité numérique (SGIN). C’est aussi un serpent de mer dont les multiples itérations illustrent certaines réticences des Français en matière de gestion de l’identité.

De quoi on parle ?

L’identité numérique peut prendre plusieurs sens. Une première définition concerne l’éventail d’identifiants, pseudonymes, avatars que l’internaute se constitue en ligne et avec lesquels il ou elle publie, commente, interagit. Une autre, plus directement liée au monde de la communication, concerne sa réputation : l’identité numérique rassemble alors l’ensemble des articles, publications, activités diverses directement reliables à l’internaute et qui peuvent avoir un effet sur sa vie professionnelle ou personnelle.

Au sens de l’État, l’identité numérique répond à une troisième définition, au croisement de problématiques régaliennes - si c’est l’État qui vous affirme que l’individu face à vous est X, vous aurez plus de raisons de le croire que si c’est un tiers inconnu - et de cybersécurité, entre autres. Cette identité-là correspond à une série d’attributs qui vous sont attachés : nom, prénom, lieu date de naissance, adresse, etc, qui se trouvent être stockés dans le composant électronique des nouvelles cartes d’identité (Carte Nationale d’Identité électronique, CNIe). Le décret pris le 26 avril par le gouvernement autorise le traitement des données à caractère personnel présentes dans cette puce - hors image numérisée des empreintes digitales - pour permettre l’identification et l’authentification électronique.

Quelle différence avec France Connect ?

C’est un peu différent de France Connect dans la mesure où ce service-là ne fait que demander à une entité tierce (le service des impôts ou l’assurance maladie, par exemple), de vérifier que vous avez bien le couple identifiant / mot de passe que vous avez enregistré chez eux. C’est une plateforme de connexion centralisée, proche des services proposés par Facebook ou Google, qui permet d’accéder à plusieurs centaines de démarches. On parle dans ce cas d’authentification.

L’identité numérique régalienne elle, impliquera d’utiliser l’application France Identité, disponible en bêta test depuis le 12 mai auprès d'une poignée d’utilisateurs Android, pour lire le ou les éléments utiles à votre identification - votre âge pour accéder à un service limité, votre adresse si ce que vous cherchez correspond à une limite géographique, etc. C’est un identifiant très sécurisé, dans la mesure où il est certifié par l’État. Pour en faciliter l’adoption, France Identité sera proposée parmi les différents moyens d’authentification listés sur France Connect.

Quel accueil des citoyens ?

Créer une identité numérique régalienne est un sujet récurrent, mais aussi une vraie source de méfiance. En 2019, déjà, un décret avait validé la création d’une technique d’« Authentification en ligne certifiée sur mobile » (Alicem), qui autorisait la mise au point du système recourant à la reconnaissance faciale. L’émotion, à l’époque, avait été vive : elle avait suscité un premier débat sur l’usage de données biométriques, l’association de défense des droits numériques La Quadrature du Net avait déposé un recours (rejeté) devant le Conseil d’État… Parmi les questionnements éthiques que soulevait le projet, deux principales questions ont émergé : y a-t-il besoin de récupérer un nombre quasi exhaustif de données sur l’individu pour l’identifier ? Et qui contrôlera les informations récupérées, et comment ?

Pendant le Covid, rebelote, avec une solution un peu différente : TousAntiCovid visait à lier l’identité d’une personne (son nom et son prénom) à un statut viral (covidé ou non). Une initiative qui, pour utile qu’elle soit en période de pandémie, n’a pas simplifié le débat en mêlant données de santé et données d’identification. Pour les chercheuses Laura Draetta et Valérie Fernandez, le rejet de ce type de solution est d’ailleurs aussi bien symptôme d’un manque de confiance dans l’État que dans les technologies testées. Ceci explique peut-être que le nouveau SGIN se contente d’attributs plus classiques - prénom, nom, âge et tout autre élément d’information dont le citoyen aurait besoin pour accéder à telle ou telle autre entité. Et qu’elle soit facultative.

La France, en retard par rapport au reste de l’Europe ?

Quoi qu’il en soit, la France fait figure de tardillon dans l’espace européen : depuis 2014, le règlement eIDAS pousse les pays membres de l’Union Européenne à fournir aux citoyens des niveaux de garantie élevés pour leurs interactions en ligne (il existe trois niveaux de sécurité, faible, substantiel et élevé). En 2021, la Commission proposait la création d’un « portefeuille européen d’identité numérique » à l’horizon 2030, outil qui permettrait aux citoyens européens d’effectuer les mêmes démarches n’importe où dans l’Union. À l’échelle individuelle, toutes sortes d’initiatives existent en Europe. L’Estonie fait figure de tête de proue, avec l’adoption très large et déjà relativement ancienne de son identité numérique - celle-ci a même été suivie de la création d'un statut d’e-résident.

Si une identité numérique régalienne doit permettre de s’adapter à la transition numérique de tous les pans de nos vies, la CNIL a précisé dans un délibéré de décembre le besoin que l’outil soit simple d’utilisation, y compris pour les utilisateurs « les moins rompus au numérique ». En cela, elle prend en compte les inquiétudes exprimées en 2019 par le Défenseur des droits sur une transition numérique « à marche forcée » des services de l’État, qui risquerait d’accroître la fracture numérique.

Quelle protection technique des données d’identité ?

Le décret d’avril ne donne pas d’informations très précises sur la protection des données des utilisateurs du SGIN. Il y est tout de même question d’une sauvegarde des informations sur les serveurs du service pendant cinq ans (ce délai sera raccourci si l’utilisateur supprime son application, ce qui entraînera la suppression, ou que celle-ci reste inactive pendant deux ans), avec chiffrement. Dans son délibéré de décembre, la CNIL note aussi que l’utilisateur aura accès à la quasi-totalité des données traitées, ce qui lui assure une forme de contrôle. Elle incite par ailleurs le ministère à rendre publics certains traitements de données non mentionnés dans le décret - à commencer par la vérification du fichier national de contrôle de la validité des titres. Dans celui de février, elle pousse à limiter la durée de l’historique de transactions enregistrées dans l’application, et à donner à l’utilisateur la main sur le réglage de ce type d’information.