Partout dans le monde, les projets d’identité numérique prennent de l’ampleur. Des papiers d’identité au permis de conduire ou au passeport électronique… les documents physiques se numérisent à une vitesse fulgurante. Ces nouvelles formes d’identité numérique nous permettent l’accès en ligne à des services publics essentiels, des dossiers médicaux, nos documents de voyages ou d’affaires, de traiter avec de nouveaux fournisseurs de service et de protéger notre identité dans tous les aspects de notre vie quotidienne.
Au cours des 15 dernières années, plusieurs tentatives ont été menées par le gouvernement pour développer un écosystème d’identité numérique en France avant FranceConnect. Contrairement à d’autres pays européens, aucune des grandes institutions financières françaises ou des opérateurs de téléphonie mobile n’a choisi d’investir dans le développement d’un service d’identité numérique.
La France : à la traîne
La France s’est doté en mars 2021 d’une carte d’identité électronique (CNIe). La date butoir imposée par la Commission européenne, relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union, imposait la mise en place de documents d’identité biométriques à compter du 2 août 2021.
Les pays de l’UE ont basculé dans l’univers de l’identité numérique (biométrie : reconnaissance faciale, digitale), soit via une carte physique (généralement d’identité), soit par l’intermédiaire d’un service numérique généralement sur smartphone (23 pays ont lancé une identité numérique) : l’Estonie (98% de la population couverte par une carte d’identité numérique), la Belgique (100% de la population), la Finlande (87% de taux de pénétration), Portugal, Pays-Bas, etc. Dans l’ensemble des autres pays l’identité numérique sécurisée a été coproduite par l’Etat et des grands groupes bancaires et de télécommunication.
Tout portait la France à devenir un leader précoce dans ce domaine : l’hexagone est une puissance technologique de premier plan, évoluant dans une Union qui dispose d’un cadre juridique de protection des données personnelles le plus complet du monde (RGPD) et dispose d’entreprises spécialisées de taille mondiale en matière de titres sécurisés (Thalès Gemalto, Idemia et Atos).
Une guerre juridique en France
En 1973, l’informatisation du répertoire des numéros détenus par l’INSEE (Institut national de la statistique et des études économiques) , le projet « SAFARI » (Système automatisé pour les fichiers administratifs et le répertoire des individus) fait scandale. On lui reproche de chercher pour le compte des pouvoirs publics à « ficher » l’ensemble de la population française. En réaction est adoptée la loi informatique et liberté du 6 janvier 1978 qui crée la CNIL (commission nationale informatique et liberté) dotée de pouvoirs d’investigation étendus afin de faire respecter la protection des données personnelles et donc la vie privée.
A partir des années 2000 et devant l’importance de la fraude à l’identité « pas moins de cinq projets de modernisation de la carte d’identité ont été lancés ». Parmi eux deux se détachent :
- le programme INES en 2005 (Identité nationale électronique sécurisée)
- le projet Idénum en 2010
Le programme INES (2005)
A compter du lancement par le ministère de l’Intérieur du programme INES entre 1999 et 2005, la nouvelle carte d’identité électronique devait voir le jour en 2006 comme le second volet du passeport biométrique imposé à la suite des attentats du 11 septembre 2001. Elle avait pour but de « mieux garantir l’identité contre les risques d’usurpation et de détournement, de lutter contre le terrorisme, d’autoriser l’authentification du porteur en vue de l’utilisation de téléservices dans les relations avec les administrations ou autres et la signature électronique pour les services commerciaux et de consommation sur l’internet » mais aussi de simplifier les demandes de documents d’identité électronique et leur renouvellement… face à une opposition idéologique mais aussi face au risque de censure technique de la CNIL – à cause d’une centralisation des données nominatives jugée trop importante – la réforme est abandonnée.
Le projet Idénum (2010)
Le sujet est relancé en 2010 avec ambition d’introduire dans la carte d’identité nationale deux puces électroniques, l’une dite « régalienne », lisible uniquement par les agents de l’Etat habilités, l’autre facultative dite « vie quotidienne » qui incluait des services plus courants. Mais la loi est censurée sur ce dernier point par le Conseil Constitutionnel. Cela offrait la possibilité d’intégrer à la carte nationale d’identité des fonctions de signature électronique dans un cadre plus large de e-services. En outre, la création d’un fichier centralisé des identités et l’accès à cette base aux forces de sécurité intérieure (police/gendarmerie) posaient problèmes. Ce fichier ne verra le jour qu’en 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité.
Fusion du projet IdeNum et du projet FranceConnect (2018)
Pour contourner cette difficulté, le projet pilote IdeNum développé en partenariat avec la Caisse des dépôts, SFR, la Poste, le Crédit Mutuel-CIC et les PagesJaunes lancé parallèlement à la loi de protection de l’identité de 2010 afin de créer un portail unique d’identification numérique. Ce projet est relancé à compter de 2013 mais est à nouveau abandonné en 2015 pour « se fondre » avec l’actuel projet en cours de développement FranceConnect piloté à l’époque par le SGMAP[1] (Secrétariat Général pour la Modernisation de l’Action Publique). Il s’agit d’une opération de recentralisation, les partenaires privés étant exclus du dispositif qui devient porté exclusivement par l’Etat. En septembre 2018, FranceConnect « revendiquait 6 millions d’utilisateurs inscrits et 350 fournisseurs de services partenaires. »
Le développement de FranceConnect évolue donc séparément par rapport à celui de la CNIe (carte nationale d’identité électronique). Au contraire des exemples étrangers où le développement des deux ensembles sont allés de pair, voire permettant à la CNIe elle-même de jouer ce rôle (Estonie, Portugal). Le développement de la CNIe ressurgit en France à compter de l’adoption du règlement européen du 20 juin 2019 qui stabilise ainsi la situation juridique. Il n’y a plus d’échappatoire possible puisque la sécurisation biométrique devient un standard obligatoire européen à compter du 2 août 2021.
FranceConnect est présenté à tort comme une identité numérique, mais en réalité il s’agit d’un « simple agrégateur d’identifiants normalisés » et son déploiement a sans doute retardé encore l’arrivée en France d’une véritable identité numérique unique. Avec l’expulsion des autres parties prenantes entre IdeNum et FranceConnect, La Poste est la seule entreprise à proposer « une véritable identité numérique avec le label France Cybersécurité. » Ce qui montre que l’absence de développement avec des partenaires commerciaux majeurs comme en Estonie ou au Portugal, a plutôt ralenti le processus qu’il ne l’a accéléré.
Des difficultés inhérentes à la France
Il apparaît donc que pour le moment, notamment à cause des obstacles posés par la CNIL, le déploiement de l’identité numérique se fasse en ordre dispersé et en silos, ce qui conduit à multiplier les chantiers et les coûts : dématérialisation de la carte vitale avec possibilité de déploiement postérieur de la biométrie, travail sur le numéro d’identification nationale en santé.
Mais bien d’autres restent en dehors du dispositif : mise en place d’une nouvelle carte de permis de conduire, à compter du 16 septembre 2013 et toujours valable 15 ans, tandis que les cartes électorales sont toujours délivrées sans biométrie et sans recoupement avec les coordonnées réelles des titulaires.
Enfin les interfaçages avec les administrations locales restent encore un chantier à mener. Visiblement ils n’entrent pas encore dans le programme mis en place dans le cadre de transformation numérique des territoires (TNT), où ils ne figurent pas explicitement.
Des exemples européens
L’Estonie
L’Estonie a fait le choix de déployer son ID-Kaart (carte nationale d’identité et carte de résident) en 2002. Cette identité régalienne unique est distribuée dès la naissance. L’ID-Kaart est obligatoire pour tout citoyen estonien de plus de 15 ans. Elle est utilisée par 98% de la population, qu’il s’agisse de la carte elle-même ou de son équivalent sur application smartphone (mobil-ID et smart-ID) développé en 2007. La carte contient une puce sécurisée au sein de laquelle sont insérés deux certificats (un pour l’authentification en ligne, l’autre pour la signature électronique). Elle permet d’accomplir l’ensemble des démarches administratives qui sont désormais dématérialisées hors les actes de mariage et de divorce.
Dans le cadre estonien, l’ID-Kaart tend à voir son utilisation baisser tandis que monte en puissance sa version dématérialisée, la Smart-ID. L’E-identité permet de dématérialiser de nouveaux services tels que le vote en ligne, le stationnement, les services bancaires en ligne, les transports publics, les services de sécurité sociale et de santé (e-santé : ordonnances médicales en ligne), les programmes de fidélité des commerçants, etc.
Les données sont échangées par le biais d’un système de bases de données interconnectées. Il s’agit d’une infrastructure décentralisée, sécurisée et administrée par l’Etat, basée sur une solution open source. Avec des conséquences importantes en matière de sécurité publique, « le policier estonien qui contrôle un automobiliste peut vérifier l’identité numérique de la personne contrôlée, si celle-ci dispose d’un permis de conduire valide, s’il est bien assuré, etc. »
Enfin, un « grand registre » (« portail citoyen ») informe chaque citoyen de toute consultation de ses données personnelles par un tiers. Ce dispositif est une garantie de confiance supplémentaire (qui permet de vérifier éventuellement les risques d’usurpation d’identité numérique).
La Belgique
La Belgique en 2002 a choisi d’asseoir « sa solution d’identité numérique sur un support physique régalien » se qui s’est traduit par la livraison d’une carte d’identité électronique obligatoire à chaque citoyen. Le déploiement a pris 5 ans lui permettant ainsi de couvrir 100% de la population, via une puce intégrant comme en Estonie deux certificats (authentification en ligne et apposition d’une signature électronique de son propriétaire).
La carte eID belge comprend l’équivalent de la carte vitale française depuis 2017. Désormais la seule carte « vitale » en circulation est la carte ISI+ pour les assurés sociaux ne disposant pas de eID belge (non-résidents, étrangers, etc.). Pour le moment via la carte eID, seuls les belges vivant à l’étranger peuvent voter à distance, alors que théoriquement la carte le permet depuis 2005. L’eID est utilisée pour voter sur des projets expérimentaux de « votations citoyennes ».
L’échange des données électroniques est assuré par le dispositif « Itsme » (pour identité mobile de Belgique) animé par un consortium privé composé de 4 banques et de 3 opérateurs de réseaux télécoms mobiles. Il est articulé sous l’autorité du FAS (Service Fédéral d’Authentification du Gouvernement belge). Le projet est lancé après la généralisation de la carte d’identité électronique belge en 2017.
Le Portugal
Dans le cadre de la réforme de l’Etat et de la simplification des procédures administratives, le Portugal a mis en place sa première eCNI, appelée Cartão de Cidadão (carte de citoyenneté) en 2007 via une expérimentation dans la région des Açores. L’extension du dispositif a ensuite été initié à compter de 2008. Jusqu’alors au Portugal différentes cartes permettaient l’accès en silo aux différentes administrations publiques. La carte de citoyenneté portugaise permet dans ce cadre la fusion de la carte d’identité, de la carte fiscale (taxation card), de la carte d’électeur, de la carte de sécurité sociale et de la carte de santé (qui au Portugal étaient disjointes). Depuis 2019 les étrangers résidents comme les portugais vivant à l’étranger, peuvent demander l’octroi d’une carte de citoyenneté.
Par ailleurs la carte d’identité portugaise dispose d’une contrepartie en ligne via une application dédiée depuis 2014. La carte génère une signature numérique permettant de sécuriser les déclarations administratives en ligne via un portail unique gouvernemental dédié : la Chavel Movel Digital. Ce dispositif permet de respecter la Constitution portugaise qui interdit la mise en place d’une base de données unique centralisée regroupant l’ensemble des données personnelles administratives des citoyens. Désormais via la Chavel Movel Digital il est possible d’avoir accès aux extraits d’état civil, aux certificats de naissance, aux déclarations de sécurité sociale, etc.
Depuis 2020 s’y ajoute un système de reconnaissance biométrique utilisant le téléphone portable afin de remplacer les seconds facteurs d’identification. Ainsi se trouvent reliés, le numéro de la carte d’identité, le numéro de portable, le numéro de passeport et/ou de carte de séjour pour les étrangers. Si la carte de citoyen (d’identité) est obligatoire, la Chavel Movel Digital reste facultative. Depuis 2019 les citoyens peuvent également télécharger leur permis de conduire, ainsi que d’autres documents sur une application de portefeuille d’identité numérique disponible sur le téléphone portable.
En France, que faire ? Dématérialiser l’ensemble des dispositifs ?
Il est facile de comprendre, lorsqu’on regarde les exemples étrangers et leurs bonnes pratiques, le décalage qui existe en France.
La migration de la carte d’électeur et de l’eCNI devrait être acté prioritairement, tout comme celui de la carte vitale, voire du permis de conduire (dont l’édition semble d’ailleurs connaître quelques ratés récents). Par ailleurs l’interfaçage avec des moyens de paiement pourrait permettre avec l’aide de la Fédération bancaire française et de la fédération des assurances voire des groupes mutualistes, d’aller encore un cran plus loin afin de permettre le paiement en ligne, le remboursement de prestations, et une articulation plus simple entre sécurité sociale et complémentaires santé.
Par ailleurs la périodicité de renouvellement des documents est importante et doit rester courte (5 ans) et non 10 comme actuellement pour la CNI. Elle doit permettre là encore de mieux lutter contre les fraudes (notamment sociales aux prestations ou médicales) et les usurpations d’identité. Rendre obligatoire la détention de la carte d’identité électronique pourrait permettre de limiter la circulation des titres d’identité et concourir à cet objectif, tout comme la constitution d’une véritable identité numérique unique en France.
Afin de bien se rendre compte du retard de la France en matière d’identité numérique, il est possible de comparer les développements fournis plus haut aux meilleures pratiques déployées chez nos voisins européens. Cette analyse peut se porter sur deux briques essentielles du dispositif de création d’une identité numérique : on peut se focaliser sur la CNIe elle-même et son interfaçage en tant que brique centrale d’identification ; on peut se focaliser sur le dispositif d’interfaçage et de portage dématérialisé de l’identité numérique (qui en France reste en devenir avec France Connect).
[1] Le SGMAP (Secrétariat Général pour la Modernisation de l’action Publique) a été remplacé en 2017 par la Direction interministérielle de la transformation publique (DITP) et la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC).
