Identité numérique européenne, une mise œuvre active

2022, année charnière : cette année marque un temps fort dans la constitution de l’identité numérique européenne, appelée à facilite et sécuriser les actes quotidiens de centaines de millions de personnes et d’entreprises. En coopération avec leurs partenaires industriels, la Commission européenne et les 27 États-membres de l’Union définissent la toolbox technique et le cadre réglementaire permettant de déployer la nouvelle identité numérique d’ici 2025.

Identité numérique européenne

Le socle réglementaire

Le premier socle consiste à faire évoluer la réglementation eIDAS vers une révision eIDAS v2 avec ses 26 actes délégués ou d’exécution pour permettre une harmonisation européenne.

Le règlement 2014 sur les services d'identification électronique eIDAS a été la première législation d'identité introduisant des normes communes pour l’identité électronique en Europe permettant ainsi une reconnaissance mutuelle de cette identité dans l’ensemble des pays de l’Union. Pour autant, l'application de l'eIDAS a été mitigée, avec de nettes différences entre les pays. L’évaluation de la Commission européenne a mis en évidence le besoin de modifier le règlement eIDAS.

Le 3 juin 2021, la Commission a présenté une proposition de révision du cadre eIDAS, dans le but de donner au moins à 80 % des citoyens, la possibilité d'utiliser une identité numérique pour accéder à des services publics et privés d'ici 2030 et de le faire entre les frontières de l'UE.

Les évolutions apportées à eIDAS 2 sont conséquentes, et complémentaires des schémas d’identifications électroniques développés par les États-membres. Ceci leur permet de capitaliser sur les investissements déjà réalisés.

Le règlement eIDAS est central pour l’identité numérique mais est également intimement lié à la législation sur les services et marchés numériques et la cybersécurité (DSA, DMA, SRI 2). En effet, celles-ci vont permettre d’assurer la possibilité de créer des services numériques fondés sur l’identité numérique dans un environnement sûr et dans des conditions de concurrence équitables. Par exemple, ces législations permettront à l’application mobile du portefeuille électronique « EU ID Wallet » d’accéder à des moyens d’identification externe sans contact, tels que la carte d’identité nationale électronique française.

Le cadre d’eIDAS 2 s’ouvre à tous les pays de l’Union ainsi qu’aux entreprises, en y ajoutant la possibilité d’accès depuis des téléphones mobiles et des apps. Au terme de ce nouveau règlement, les personnes physiques et morales seront en mesure d’établir un lien entre leur identité numérique nationale et la preuve d’autres attributs ou certificats. Les portefeuilles intégrant cette identité proviendront d’autorités publiques ou d’organisations privées reconnues par les États-membres.

Identité numérique européenne

Trois conditions-clés ont été définies par la Commission européenne à destination des parties-prenantes de la future identité numérique (les directions générales de la Commission européenne, les États-membres et leurs conseillers).

  1. Rendre plus efficace la reconnaissance mutuelle des schémas nationaux d’identité numérique, sous l’égide d’eIDAS, et de partager les notifications entre tous les États-membres.
  2. Imposer que les personnes, physiques ou morales, soient les seules à pouvoir contrôler le stockage et l’utilisation de leur identité numérique, via leur téléphone ou une application, sur la base de standards communs liés aux données d’identité.
  3. Autoriser les prestataires privés à proposer des services associés à l’identité numérique, à condition qu’ils appliquent les règles de « services de confiances » propres à chaque pays de l’Union dans lesquels ils opèreront.

La nouvelle proposition eIDAS obligera chaque nation de définir au moins un schéma d'identification numérique élevé dans les douze mois suivant l’application de la législation.

Le socle technique

Le second socle fondamental est la définition d’une « toolbox » technique assurant le déploiement de solutions viables, pérennes et respectueuses des valeurs fondamentales européennes : des données personnelles mieux protégées, des solutions interopérables selon des standards internationaux, un accès pour tous les citoyens. Cette boîte à outils soutient le cadre réglementaire de manière à éviter la fragmentation et les obstacles dus à des normes divergentes.

Le calendrier prévu est le suivant :

  • Depuis septembre 2021, la Commission européenne à travers DG CONNECT, coordonne les travaux de définition du cadre technique ARF (Architecture and Reference Framework) entre les directions générales de la Commission (DG Move, DG Home, DG Santé, ENISA…), et les groupes d’experts des États-membres (eIDAS Expert Group) avec le support de la communauté du secteur privé.
  • Début 2022, l’architecture générale, les standards privilégiés ainsi que les exigences sécuritaires principales seront définis afin de permettre à la commission de lancer en avril un appel à projet pour créer une implémentation de référence qui servira de base technique et fonctionnelle pour les futurs portefeuilles d’identité digitale des États-membres. En parallèle, la définition et l’expérimentation de cas d’usages débuteront.
  • Mi-2022, s’ensuivra la finalisation des spécificités, des standards, des guides et des meilleures pratiques, en particulier sur quatre aspects :

  1. L’activation et l’échange d’attributs d’identité entre les États-membres et des opérateurs de services, dûment sélectionnés et habilités.
  2. Les fonctionnalités et la sécurisation du portefeuille d’identité numérique.
  3. La fiabilité du système, notamment en termes de concordance d’identité entre pays et autorités publiques.
  4. La gouvernance et les schémas de certification sécuritaire.

  • Fin 2022, une boite à outils et un cadre de développement complets auront été arrêtés par les pays de l’Union et la Commission européenne. Chaque État de l’Union européenne sera alors libre de développer des projets, en utilisant le cadre et les outils définis par l’ARF et eIDAS 2.
  • En 2023, débuteront les définitions des actes d’exécution et des actes délégués de l’eIDAS V2. Ces actes préciseront les cadres réglementaires et techniques pour les spécificités sectorielles ou techniques : par exemples, les services de confiances dans les secteurs de la santé, des transports, les permis de conduire, le contrôle des frontières, les moyens de paiement et les transactions financières, des diplômes, certifications ou attestations liées à l’éducation ou à la formation…

L'appel à projets du 15 février 2022

Afin de faciliter la mise en œuvre de ce cadre européen de l’identité numérique, la Commission européenne a publié le 15 février un appel à projets subventionné « DIGITAL-2022-DEPLOY-02-ELECTRONIC-ID ». L'objectif est de développer, de mettre en œuvre des solutions interopérables en mode pré-production, à travers des expérimentations de cas d’usages transnationaux et de préparer les déploiements des « Wallets EU ID » des États-membres, impliquant les services publics et privés, ainsi que les échanges des attributs qualifiés. L’appel à projet comprend aussi un volet standardisation et services de la première blockchain publique européenne « DIGITAL-2022-DEPLOY-02-EBSI-SERVICES ».

L’identité numérique européenne va donc se concrétiser dans les mois qui viennent pour de nombreux citoyens européens.

La future identité numérique européenne :

  • Pose les bases d’un portefeuille d’identité digitale pour tous les citoyens, les résidents et les entreprises de l’Union.
  • Se fonde sur les caractéristiques d’identité légale définies par les États-membres.
  • Couvre les usages d’identification (dans les secteurs public et privé) et d’activation d’attestations numériques (valides à l’échelle de l’Europe, sur la base d’un ensemble minimal et indispensable d’attributs vérifiés).
  • Étend la liste des services de confiance eIDAS à trois nouveaux domaines : l’archivage électronique, les registres électroniques, la gestion des signatures électroniques à distance et des systèmes de création de sceaux.
  • Fait évoluer des schémas d’identification difficilement interopérables vers des schémas standardisés à l’échelle européenne.
  • Fournit une boîte à outils et un cadre de développement d’identité communs en termes de standards, de niveaux de sécurité élevés et de respect de la vie privée.

Le rôle d’IN Groupe

Spécialiste mondial de l’identité et des services numériques sécurisés, IN Groupe accompagne les institutions européennes et les différents services de l’État français impliqués dans la future identité numérique européenne. Membre de l’Alliance pour la Confiance Numérique, IN Groupe conseille à la fois sur les questions d’architecture technique, de choix technologiques, d’interopérabilité avec les systèmes d’identification et d’authentification numériques. Membre de l’association Eurosmart, IN Groupe participe aux débats européens concernant la sécurité numérique.

Notifications