Catherine Kherian, Auteur

Identité numérique : quel état des lieux aujourd’hui en France ?

Catherine Kherian — Thu, 24 Oct 2013 13:47:28 +0000

Serpent de mer en France depuis le début des années 2000, l’identité numérique est depuis quelques années une réalité dans plusieurs pays, en Europe et dans le monde, comme nous vous le présentions dans un précédent article. Des initiatives existent pourtant aussi en France, permettant d’entrevoir des contours d’une future identité numérique.

Des tentatives infructueuses

La carte d’identité nationale électronique sécurisée est un projet d’identité numérique français datant de 2003. Cette carte d’identité devait contenir des informations biométriques. Ces données devaient également être conservées dans un fichier centralisé, solution perçue comme une atteinte aux libertés individuelles par nombre d’associations. Le projet a été arrêté puis relancé à de nombreuses reprises jusqu’en 2012. Le Conseil constitutionnel donna alors un coup d’arrêt définitif au projet en le censurant.

En parallèle, certains citoyens français ont pu expérimenter l’utilisation d’un certificat électronique « pour un usage unique » dans le cadre de leur déclaration d’impôts en ligne. L’expérimentation a finalement été abandonnée en raison de processus jugés trop complexes pour les utilisateurs (notamment lors d’un changement d’ordinateur) et trop coûteux pour le fournisseur (notamment en matière de support aux utilisateurs).

En 2010, un nouveau projet d’identité numérique, baptisé IDéNum est lancé. Deux ans plus tard, peu d’avancées concrètes à constater, sans qu’aucune raison officielle ne soit donnée.

L’échec des précédents projets gouvernementaux n’a cependant pas découragé les initiatives privées. Ainsi, La Poste propose un service de courrier recommandé en ligne, via une identité numérique baptisée « IDN ». Les informations personnelles sont vérifiées via plusieurs mécanismes, notamment la présentation d’une pièce d’identité à domicile à un facteur. Son utilisation reste cependant limitée à cet usage très ciblé.

2013 : un nouvel envol ?

Le gouvernement tente de relancer le projet IDéNum depuis début 2013. Le projet, financé par un partenariat public-privé, doit permettre de « préserver notre souveraineté nationale face aux alternatives étrangères et non sécurisées ».

Le projet adopte une approche innovante : garantir la fiabilité des Identités émises sans imposer l’État comme autorité de confiance. Ainsi, IDéNum devrait proposer un ou plusieurs « labels » reprenant des critères de qualité, de confidentialité, d’interopérabilité ou encore de contrôle fixés par l’État. Charge aux fournisseurs d’Identités privés de répondre à ces critères pour être labélisés et ainsi pouvoir émettre des Identités numériques fiables et reconnues.

Cette identité numérique devrait permettre d’accéder aux services administratifs de l’État, et plus largement à n’importe quel service privé qui y aura souscrit. C’est donc bien le « label » qui porte le niveau de fiabilité associé à l’identité numérique. D’où, peut-être, la possibilité de promouvoir plusieurs labels, correspondant à des critères de qualité différents, et adaptés à différents usages. Le « label » devrait aussi définir les « droits et devoirs » des fournisseurs de services souhaitant utiliser IDéNum. Ainsi, il permettrait d’encadrer l’usage et la diffusion des données recueillies.

Caractère universel, maîtrise de ses informations personnelles et fiabilité : 3 conditions de succès

Quels que soient les choix retenus, trois points cristallisent la relation à l’objet « identité numérique », et donc son futur niveau d’adoption : le caractère universel de son usage, la confiance de l’utilisateur dans le système – matérialisée par la maîtrise de ses informations personnelles -, et la confiance des fournisseurs de services utilisant ce même système, matérialisée par la fiabilité des informations.

Le caractère quasi universel d’une identité numérique – c’est-à-dire la possibilité de l’utiliser pour tout, tout le temps sans limite ni contrainte – est une condition sine qua non à une adoption de masse. Aussi, la question de l’interopérabilité, avec fournisseurs de services et entre pays, est primordiale. Le projet se doit donc d’emporter l’adhésion de nombreux acteurs publics comme privés. Pour cela il doit notamment offrir une prise en main et une utilisation des plus simples, pour les utilisateurs et également pour les fournisseurs de services. Par ailleurs, les initiatives de chaque pays européen doivent être compatibles et offrir un unique standard d’interopérabilité. En 2012, la Commission européenne a d’ailleurs publié un projet de règlement visant à définir un cadre européen pour l’identité numérique.

De plus, les utilisateurs doivent avoir confiance dans la maîtrise de leurs informations personnelles. La multiplication des comptes en ligne a conduit les internautes à diffuser massivement des informations personnelles, qui sont parfois monnayées à des tiers. L’identité numérique, qui fournit des informations qualifiées, ne doit pas devenir une source d’information à tout-va. L’utilisateur devra pouvoir choisir quelles informations il souhaite communiquer en fonction du service accédé et donc contrôler la diffusion de ses informations personnelles.

Aujourd’hui, un site de poker en ligne qui souhaite vérifier que vous êtes majeur vous demande de fournir une photocopie de votre carte d’identité. Cette dernière contient bien plus d’informations que la simple réponse à la question « Êtes-vous majeur ? ». Une identité numérique pourrait autoriser une granularité bien plus fine dans la diffusion des informations personnelles. De la même manière, un site de vente en ligne a besoin de connaître votre adresse postale, mais non votre date de naissance ou votre statut marital. Autre point d’attention : les adhérences entre les sphères privées, publiques ou professionnelles. Un fournisseur de services (par exemple de la sphère professionnelle) ne devrait a priori pas avoir connaissance des autres usages associés à une identité. L’identité numérique doit donc garantir souplesse, transparence et confidentialité sur les informations diffusées.

Enfin, l’adoption par les fournisseurs de services passe par un niveau de confiance élevé dans la fiabilité des informations recueillies. Par exemple, pour les services les plus critiques, permettre d’interroger le fournisseur d’Identités numériques pour garantir la validité de l’information fournie. À l’instar des cartes d’Identité physique, le vol ou la falsification seront autant de menaces pesant sur l’identité numérique. D’où la nécessité de définir un cadre légal, autant pour protéger les utilisateurs que les fournisseurs de services.

Alors, l’identité numérique, un levier pour de nouveaux usages ?

IDéNum doit permettre de dématérialiser encore plus de procédures, avec un niveau de confiance adapté, et accélérer ainsi l’émergence de nouveaux services sur internet (B2C notamment). Les entreprises vont en particulier y trouver un levier pour faciliter la relation client. L’identité numérique devrait simplifier des processus de souscription, et améliorer la confiance mutuelle : l’utilisateur dans l’usage de ses données personnelles et les fournisseurs de services dans la qualité des informations recueillies.

Mais soyons pragmatiques et n’attendons pas IDéNum pour avancer. Les Identités numériques existent déjà, même si elles ne sont pas qualifiées ou réputées fiables. Et pour certains usages, c’est déjà bien suffisant. Quels risques à permettre à un prospect de sauvegarder un devis et de s’authentifier avec son compte Google ? Si vous employez des étudiants saisonniers durant les congés estivaux, est-ce plus risqué d’utiliser des comptes génériques avec un mot de passe trivial, ou de leur permettre de s’authentifier avec leur compte Facebook ou LinkedIn ? Cette tendance est d’ailleurs déjà associée à un acronyme : « BYOID » pour Bring Your Own IDentity.

Au-delà des concepts, les fondamentaux « traditionnels » de l’identité doivent rester au cœur des réflexions : comment proposer une Identité unique et pérenne ? Comment garantir le lien avec le cycle de vie des utilisateurs dans l’entreprise ? Ou encore comment garantir un niveau d’authentification en cohérence avec les services offerts et les risques associés ? Autant de questions qui devront servir de guide à la définition de l’identité numérique de demain.

Cet article Identité numérique : quel état des lieux aujourd’hui en France ? est apparu en premier sur RiskInsight.

Identité numérique : de nombreuses initiatives à travers le monde

Catherine Kherian — Thu, 17 Oct 2013 07:59:26 +0000

Simplification des procédures administratives, uniformisation des procédures de vérification des identités, lutte contre les fraudes : c’est pour répondre à ces problématiques qu’apparaît en France… la carte nationale d’identité, en 1921. Aujourd’hui l’Histoire se répète : la confiance envers les identités dans le monde numérique pose des problématiques similaires, ainsi que nous vous le présentions dans un précédent article. Tour d’horizon des initiatives existantes.

Des principes de bases partagés mais des divergences dans leur application

De nombreux pays tentent, à leur échelle, de répondre aux enjeux de l’identité numérique. Ces initiatives partagent les mêmes principes de base, calqués sur ceux de l’identité réelle. En revanche, elles divergent sur la mise en application de ces principes : acteurs autorisés à émettre des identités numériques, stockage des données personnelles, caractère universel ou non, etc. Ces spécificités ont pour objectif de façonner une identité numérique au plus près de la culture de chaque pays.

L’émission des identités numériques : par l’État, mais pas uniquement

Contrairement au monde réel, ce sont les acteurs privés qui ont été force d’initiative sur Internet. Par exemple Yahoo, Facebook, Google ou d’autres sites proposent d’ores et déjà de vous authentifier sur des sites tiers. Mais attention, si ce mode de fonctionnement apporte un réel confort aux utilisateurs, ces identités restent déclaratives, sans réellement améliorer le niveau de confiance associé. En effet, personne n’a vérifié que vous êtes bien la personne que vous prétendez être.

Comment alors vérifier les informations fournies et améliorer la fiabilité des identités ?

C’est souvent l’État qui se charge de vérifier et délivrer les Identités numériques de confiance. Toutefois, et principalement pour des raisons culturelles, cette responsabilité peut être déléguée à des entreprises privées, parfois sous contrôle de l’État. C’est notamment le cas au Royaume-Uni, où il n’existe pas de carte d’identité. La dernière tentative du gouvernement pour introduire une carte d’identité en 2010 n’a pas survécu à son impopularité. Le gouvernement s’est alors tourné vers les modèles américains et canadiens, en choisissant de confier la délivrance d’Identités numériques à des acteurs privés. Ainsi, il est possible de se connecter certains sites administratifs de l’État avec une Identité numérique fournie par Paypal ou The Post Office.

Des données personnelles stockées de manière centralisée ou portées par chacun

Autre point structurant de divergence entre les initiatives : le stockage des données d’identité.

Le plus souvent, les informations d’Identité numérique se présentent sous la forme d’une carte à puce. Celle-ci contient peu ou prou les mêmes informations qu’une carte d’identité traditionnelle, ainsi que des certificats électroniques protégés par un code PIN. Elle peut être intégrée à la carte d’identité physique, ou être contenue dans un support dédié (carte à puce, clé USB, carte SIM du téléphone portable…).

À contrario, l’Inde a pris le parti de centraliser les données biométriques de ses citoyens dans une base de données unique. D’ici 2015, le gouvernement espère enregistrer dans un fichier centralisé les empreintes digitales et rétiniennes de la moitié de la population. Avec un terminal biométrique, toute administration ou commerçant affilié peut alors identifier une personne. Notons que, en l’état actuel, un tel dispositif ne pourrait être transposable en France, la CNIL interdisant l’utilisation d’une base de données biométrique centralisée, sauf pour « fort impératif de sécurité »¹.

Déployer l’identité numérique : l’exemple Estonien

L’initiative de l’Estonie se démarque cependant par son niveau d’adoption et le caractère universel de l’usage de l’identité numérique, tant dans le monde numérique que dans le monde réel. Grâce à un badge remis à tout citoyen (ou à la carte SIM de leur mobile), les estoniens sont en mesure depuis 2002 de certifier dans le monde numérique leur identité, et toute information personnelle qui s’y rattache (âge, sexe, domicile, etc.). Plus qu’une carte d’identité dématérialisée, cette identité numérique est pleinement intégrée à leur quotidien. Moyens de transport, transactions bancaires, déclarations fiscales, inscriptions à l’université, créations d’entreprise, etc. Elle permet même de voter aux élections nationales.

L’Estonie fait figure d’exception, les niveaux d’adoption restant généralement faibles et les déploiements limités à des usages ciblés. L’Identité numérique existe malgré tout aujourd’hui dans plusieurs pays, et notamment en Europe. Qu’en est-il de la France ? Des initiatives sont-elles à y souligner ? La réponse est oui.

À suivre au 3^ème épisode…

¹ cnil.fr

Cet article Identité numérique : de nombreuses initiatives à travers le monde est apparu en premier sur RiskInsight.

L’identité numérique, vecteur de confiance

Catherine Kherian — Fri, 04 Oct 2013 13:52:58 +0000

Facebook, le service des impôts, La Poste, votre banque, etc. : tous connaissent une partie de votre identité, sans cohérence, sans relation. Cette profusion de comptes en ligne n’est pas sans inconvénient : multiplication des mots de passe, diffusion massive d’informations personnelles, risque d’usurpation d’identité, etc. Utilisateurs, entreprises et législateurs partagent aujourd’hui le même constat : la gestion des identités grand public dans l’ère numérique doit se réinventer.

Internet : à chaque usage son avatar

Des réseaux sociaux à votre banque en ligne, en passant par votre messagerie électronique, tous ces comptes, ou « avatars », vous représentent dans la sphère numérique. Mais le développement libre et tous azimuts d’internet pose d’évidents problèmes de confiance. Se pose notamment la question du lien entre une personne physique, ses avatars numériques, et le sujet de droit qui la représente dans le cadre juridique. L’ère numérique se caractérise par la constante augmentation de la dématérialisation des usages : achats, déclaration d’impôts, signature de contrats, etc. Autant d’activités qui nécessitent de fournir des informations d’identification fiables.

Une confiance « réciproque », nécessaire aussi bien aux fournisseurs de services qu’aux utilisateurs

Est-il raisonnable de faire confiance à une personne sur la base d’un avatar ? Cette personne qui vous contacte par e-mail, ou discute avec vous sur les réseaux sociaux, est-elle bien celle qu’elle prétend être ? Pouvez-vous sans risque partager des informations personnelles avec vos fournisseurs de services ? En maîtrisez-vous ensuite l’usage, la diffusion ?

L’actualité apporte un début de réponse : les piratages ou vols de comptes sont fréquents, allant parfois jusqu’à l’usurpation d’identité de personnes physiques ou morales. L’Associated Press, une agence de presse réputée aux États-Unis, en a récemment fait l’expérience : un vol de mot de passe a permis de publier sur Twitter un message annonçant un attentat à la Maison Blanche. S’en est suivi un véritable mouvement de panique à Wall Street : une fausse information dans le monde virtuel, des conséquences matérielles dans le monde réel.

Mais les particuliers restent les premières cibles. En France, plus de 400 000 cas d’usurpation sont dénombrés chaque année^[1], avec un coût unitaire moyen estimé à environ 2 200€^[2] (détournement d’argent, démarches administratives pour reprendre possession d’un compte, etc.), hors préjudice moral.

Par rebond, la qualité des informations fournies pâtit de cette perte de confiance profonde : 47% des internautes français donnent volontairement de fausses informations, principalement pour des raisons d’anonymat^[3]. Dans ce contexte, comment offrir des services qui nécessitent par essence la fourniture d’informations exactes et opposables, comme l’ouverture d’un compte bancaire en ligne ? Les entreprises ont souvent recours à des processus complexes pour valider les données clients : vérification de l’adresse postale via l’envoi de courrier ou appel d’une messagerie pour l’enregistrement de signature vocale, sans toujours atteindre le résultat souhaité.

Cette absence de confiance dans l’identité des utilisateurs est un frein au développement et à l’adoption de nouveaux services dématérialisés. Dans le monde réel, la confiance est portée par les cartes d’identité ou encore les passeports, qui font la preuve de notre identité. Dans le monde numérique, l’identité numérique doit offrir des garanties similaires, en certifiant notre identité et les informations qui s’y rapportent.

Imaginez : depuis votre salon, vous déclarez vos impôts, vous signez un contrat d’assurance habitation, vous réalisez un acte notarié et vous votez aux élections municipales. Le tout sans multiplier les mots de passe, sans semer vos informations personnelles aux quatre vents, et en vous préservant des risques d’usurpation d’identité. Un rêve ? Détrompez-vous : cela existe déjà… en Estonie.

À suivre au 2^ème épisode…

^[1]Source : étude du groupe CSA, 2012

^[2]Source : axa.fr

^[3]Source : cnil.fr, 2013

Cet article L’identité numérique, vecteur de confiance est apparu en premier sur RiskInsight.