Le gouvernement a annoncé vouloir accélérer la mise en place de l’identité numérique régalienne. Récemment, la Cnil faisait le point sur un dossier qui recouvre la carte nationale d’identité électronique, FranceConnect, l’application France Identité et la carte vitale dématérialisée.
Lancé il y a plus de dix ans, l’identité numérique régalienne est un chantier qui a connu bien des aléas. L’année 2023 devrait cependant être marquée par le passage à l’échelle de plusieurs projets visant à accroître sensiblement la sécurité de l’identification en ligne. C’est sans doute pour cette raison que la généralisation de l’identité régalienne a été inscrite dans le programme gouvernemental des 100 jours (voir notre article du 26 avril 2023).
Identification et authentification
Dans une note publiée fin mars 2023, la Cnil dresse un panorama des enjeux de ce dossier sensible et complexe. La commission commence par rappeler ce qu’est une identité numérique. Elle correspond « à un ensemble d’attributs associés à une personne physique qui permet de la relier à d’autres données ». Des attributs stables dans le temps tels que nom, prénom, adresse ou des caractéristiques biométriques (empreintes digitales, voix, iris, forme de la main…). L’identité numérique permet de distinguer une personne d’une autre – on parle alors d’identification – et de prouver que l’on est bien la personne que l’on prétend être (via un mot de passe associé à un identifiant par exemple), il s’agit alors d’une authentification. Enfin une identité numérique peut servir à prouver un âge ou un statut, comme le fait d’être étudiant ou résident.
Trois niveaux de garantie
L’identité numérique est encadrée par le règlement européen eIDAS de 2014. Ce règlement définit trois niveaux de garantie ( « faible », « substantiel » et « élevé ») pour les identités régaliennes en fonction du niveau de vérification de l’état civil et du niveau d’authentification mis en œuvre. Un niveau « faible » pourra suffire pour déclarer ses impôts ou inscrire un enfant à la cantine, un niveau « substantiel » sera nécessaire pour ouvrir un compte en banque en ligne, tandis qu’un niveau « élevé » sera requis pour la déclaration de naissance d’un enfant ou le dépôt d’un permis de construire. Le niveau substantiel exige, lors de la délivrance du titre, une vérification de l’identité en face à face par une personne habilitée, telle qu’un officier d’état civil. Le type d’identité numérique utilisé dépend du besoin de confiance du service cible. La Cnil appelle à « retenir l’utilisation du plus faible niveau d’identification et d’authentification répondant [à ce besoin de confiance] » afin de « minimiser les données traitées » et de « limiter les conséquences pour les personnes qui seraient victime d’une usurpation d’identité de haut niveau ». Les identités numériques ne sont cependant pas l’apanage exclusif de l’État, des acteurs privés, comme Facebook, Google ou la Poste proposant des identités numériques plus ou moins robustes. L’identité numérique de la Poste atteint ainsi le « niveau substantiel » décrit par eIDAS.
Le rôle pivot de la carte d’identité électronique
La carte nationale d’identité électronique (CNie), déployée depuis août 2021, joue un rôle clef dans le déploiement de l’identité régalienne. Ce titre au format carte bancaire comporte une puce contenant les attributs d’état civil et des données biométriques : photo du titulaire et empreintes digitales numérisées. C’est avec l’application France Identité, qui utilise le sans contact ou NFC pour lire les informations de la puce, qu’elle devient cependant « numérique ». Dès lors le détenteur d’une CNIe peut s’authentifier en ligne sur des services sécurisés tels que la réalisation de procuration, prouver un attribut (âge) et générer facilement des justificatifs d’identité à usage unique en lieu et place d’une photocopie de son titre d’identité. Si la Cnil a validé France Identité – qui remplace l’application très contestée Alicem basée sur la reconnaissance faciale – elle a demandé que ce moyen d’identification reste facultatif. En test depuis mai 2022, l’application France Identité doit être généralisée en 2023. En 2024, elle sera rendue compatible avec les passeports et les titres de séjour dotés d’une puce.
Sécurité renforcée pour FranceConnect
France Identité a notamment vocation à renforcer la sécurité de FranceConnect. Créé en 2016, ce connecteur évite déjà à 40 millions de Français de mémoriser de multiples identifiants et mots de passe selon un principe de fédération d’identité. Il permet d’accéder à 1.400 services publics nationaux, portails de téléservices locaux et à certains services privés. Couplé à des API sécurisées (connecteurs d’application), FranceConnect autorise le pré-remplissage de formulaires en évitant à l’usager d’avoir à saisir certaines données détenues par les administrations (revenu fiscal de référence, statut de boursier, quotient familial …). Depuis novembre 2022, France Identité est devenu l’un des services fournisseur d’identité de FranceConnect. Avec ce nouveau service « FranceConnect+ », également accessible avec l’identité numérique de la Poste, des formalités administratives plus sensibles vont pouvoir être dématérialisées.
E-carte vitale toujours en test
Enfin, pour être complet sur les projets d’identité numérique pilotés par l’État, on mentionnera aussi la carte vitale électronique ou e-carte vitale, portée par l’Assurance maladie, dont la généralisation est annoncée pour 2025. Cette application mobile autorise une identification du titulaire de la carte et des ayants-droits rattachés, physique ou en ligne. Elle offre aux utilisateurs la possibilité de suivre leurs remboursements ou de télécharger les documents nécessaires à leur prise en charge en cas d’hospitalisation. La Cnil a estimé en septembre 2022 que les expérimentations en cours (10 départements concernés) devaient être « approfondies », un nouveau bilan étant annoncé en juin 2023. La Cnil préconise notamment qu’elle s’appuie sur France Identité pour réaliser la procédure d’authentification et non pas sur des données biométriques comme l’envisage le projet. Elle souhaite également que la carte vitale physique subsiste pour ne pas accroître la facture numérique.
.