Ce 6 décembre 2022, une réunion des ministres du Numérique de l’Union européenne a abouti à l’adoption d’un règlement pour le déploiement de l’identité numérique, via la mise en place de portefeuilles numériques sécurisées et interopérables au niveau de l’Union.
L’Union européenne a finalisé le cadre juridique de ses futurs portefeuilles d’identité numérique, des applications smartphone permettant de stocker divers papiers d’identité ou justificatifs (de naissance, de diplômes…), et ayant la même valeur légale que leurs versions physiques, qui seront déployés à partir de 2024.
Un règlement sur les portefeuilles d’identité numérique adopté par les ministres du Numérique
Outre une fluidification de la transformation numérique, l’UE veut, par ces portefeuilles, concurrencer les systèmes d’identification actuellement proposés par les géants du net, comme Amazon, Google et Facebook.
Le 6 décembre 2022, une réunion des ministres du Numérique des Vingt-Sept a permis de finaliser le règlement sur le déploiement de ces portefeuilles. Il répond à plusieurs problématiques clés de l’identité numérique.
Garantir la compatibilité des différents portefeuilles européens
Première question cruciale : garantir que les différentes applications et services seront compatibles entre eux, et que, par exemple, un portefeuille allemand permettra bien de s’authentifier au Portugal. Le principe de l’identifiant unique, très critiqué car vulnérable aux attaques cyber et présentant des risques de pistage (il est même illégal en Allemagne), a été finalement maintenu.
Mais il s’accompagne désormais d’un système de correspondance des données, fourni par les gouvernements et plus respectueux de la vie privée, et de la possibilité, sur simple demande des utilisateurs, de supprimer et remplacer cet identifiant unique.
Un niveau de sécurité maximum, via une certification définie par l’ENISA
Autre question-clé : le niveau de sécurité de ces portefeuilles numériques. Une écrasante majorité des ministres s’est prononcé pour un niveau élevé, qui a été adopté, en autorisant des procédures de mises à niveau pour les portefeuilles déjà déployés par des États membres, mais avec un niveau de sécurité inférieur, comme France Identité Numérique.
L’ENISA a été chargé d’établir un système de certification robuste et spécifique à ces futurs portefeuilles numériques ; en attendant sa mise en œuvre, les critères communs du Cybersecurity Act s’appliqueront. Les États membres devront de plus désigner des organismes publics et privés chargés de certifier les portefeuilles, dont la vérification sera effectué par les agences cyber nationales.
Privilégier le stockage et le chiffrement sur les appareils
Les portefeuilles devront, si une telle technologie est présente, s’appuyer sur un chiffrement et un stockage directement sur les appareils, notamment via le Secure Element, une puce conçue pour empêcher tout accès non autorisé aux données sensibles.
Mais, ces technologies étant encore peu développées, un stockage et un chiffrement dans un dispositif externe (une clé dédiée par exemple) sera autorisé jusqu’à la généralisation de ces techniques de stockage.
Le texte laisse par ailleurs aux autorités nationales le soin de déterminer si les organisations et personnes qui utilisent l’identité numérique doivent ou non notifier les États membre à chaque utilisation – tout en autorisant un régime spécifique si les données sont particulièrement sensibles, comme des données de santé.
Contraindre les géants du numérique à assurer l’interopérabilité avec leurs propres services d’identification
Enfin, en vertu du Digital Market Act récemment adopté, les entreprises technologiques déjà bien implantées (les géants américains essentiellement…) devront garantir aux opérateurs de ces portefeuilles numériques l’accès aux caractéristiques matérielles et logicielles de leurs propres service d’identification. Ils devront également assurer l’interopérabilité de leurs produits et services avec ces portefeuilles.
« Nous envisageons une avancée massive dans la manière dont les gens utilisent leur identité et leurs justificatifs d’identité dans leurs rapports quotidiens avec les entités tant publiques que privées, et dans la manière dont ils utilisent les services numériques », a commenté Ivan Bartos, vice-premier ministre tchèque chargé du Numérique.