L’Europe veut suivre sa propre voie en matière d’identité numérique – TechCrunch

Dans sa dernière annonce ambitieuse de politique numérique, l’Union européenne a proposé de créer un cadre pour une « identité électronique européenne fiable et sécurisée » (alias identité numérique) – qu’elle dit aujourd’hui il veut être accessible à tous les citoyens, résidents et entreprises pour faciliter l’utilisation d’une identité numérique nationale pour prouver qui ils sont afin d’accéder aux services du secteur public ou commerciaux, quel que soit l’endroit où ils se trouvent dans le bloc.

L’UE dispose déjà d’un règlement sur les systèmes d’authentification électronique (eIDAS), qui est entré en vigueur en 2014, mais l’intention de la Commission avec la proposition d’identification électronique est d’étendre ce domaine en remédiant à certaines de ses limites et insuffisances (telles que la faible utilisation et un manque de support mobile).

Il souhaite également que le cadre e-ID intègre des portefeuilles numériques, ce qui signifie que l’utilisateur pourra choisir de télécharger une application de portefeuille sur un appareil mobile où il pourra stocker et partager de manière sélective des documents électroniques qui pourraient être nécessaires pour une transaction de vérification d’identité spécifique, comme lors de l’ouverture d’un compte bancaire ou d’une demande de prêt. D’autres fonctions (comme la signature électronique) sont également envisagées pour être prises en charge par ces portefeuilles numériques e-ID.

La Commission donne d’autres exemples où elle considère qu’une e-ID harmonisée s’avère utile, notamment la location d’une voiture ou l’enregistrement dans un hôtel. Les législateurs de l’UE suggèrent également que l’interopérabilité totale pour l’authentification des identifiants numériques nationaux pourrait être utile pour les citoyens devant soumettre une déclaration fiscale locale ou s’inscrire dans une université régionale.

Certains États membres proposent déjà des identifiants électroniques nationaux, mais il existe un problème d’interopérabilité transfrontalière, selon la Commission, qui a noté aujourd’hui que seulement 14% des principaux prestataires de services publics dans tous les États membres autorisent l’authentification transfrontalière avec un système d’identité électronique, bien qu’il ait également déclaré que les authentifications transfrontalières étaient en hausse.

Une « e-ID » universellement acceptée pourrait, en théorie, contribuer à graisser l’activité numérique dans l’ensemble du marché unique de l’UE en permettant aux Européens de vérifier plus facilement leur identité et d’accéder à des services commerciaux ou publics lorsqu’ils voyagent ou vivent en dehors de leur marché d’origine.

Les législateurs de l’UE semblent également croire qu’il existe une opportunité de « posséder » une pièce stratégique du puzzle numérique ici, s’ils peuvent créer un cadre unificateur pour toutes les cartes d’identité numériques nationales européennes – offrant aux consommateurs non seulement une alternative plus pratique que de transporter une version physique. de leur carte d’identité nationale (au moins dans certaines situations) et/ou d’autres documents qu’ils pourraient avoir besoin de montrer lors de la demande d’accès à des services spécifiques, mais ce que les commissaires ont facturé aujourd’hui comme un « choix européen » – c’est-à-dire par rapport à des systèmes d’identification numérique commerciaux qui peuvent ne pas offrir le même engagement de haut niveau d’un système d’identification « de confiance et sécurisé » qui permet à l’utilisateur de contrôler entièrement qui voit quels bits de ses données.

Un certain nombre de géants de la technologie offrent bien sûr déjà aux utilisateurs la possibilité de se connecter à des services numériques tiers en utilisant les mêmes informations d’identification pour accéder à leur propre service. Mais dans la plupart des cas, cela signifie que l’utilisateur ouvre un nouveau canal pour que ses données personnelles soient renvoyées au géant de la plate-forme d’exploration de données qui contrôle les informations d’identification, laissant Facebook (etc) préciser davantage ce qu’il sait de l’activité Internet de cet utilisateur.

« Les nouveaux portefeuilles européens d’identité numérique permettront à tous les Européens d’accéder à des services en ligne sans avoir à utiliser des méthodes d’identification privées ou à partager inutilement des données personnelles. Avec cette solution, ils auront un contrôle total sur les données qu’ils partagent », est la vision alternative de la Commission pour le cadre d’identification électronique proposé.

Il suggère également que le système pourrait créer un avantage substantiel pour les entreprises européennes – en les aidant à offrir «une large gamme de nouveaux services» en plus de la promesse associée d’un «service d’identification sécurisé et fiable». Et renforcer la confiance du public dans les services numériques est un élément clé de la façon dont la Commission aborde l’élaboration de la politique numérique, arguant qu’il s’agit d’un levier essentiel pour accroître l’adoption des services en ligne.

Cependant, dire que ce système d’identification électronique est « ambitieux » est un mot poli pour dire à quel point il semble viable.

Mis à part le problème délicat de l’adoption (c’est-à-dire amener les Européens à A) connaître l’e-ID, et B) l’utiliser réellement, en C) obtenir suffisamment de plates-formes pour la prendre en charge, ainsi que D) amener les fournisseurs à bord pour créer les portefeuilles nécessaires pour que les fonctionnalités envisagées se déroulent et soient aussi solidement sécurisées que promis), ils devront également – vraisemblablement – E) convaincre et/ou obliger les navigateurs Web à intégrer l’e-ID afin qu’il puisse être consulté de manière simplifiée .

L’alternative (ne pas être intégrée dans les interfaces utilisateur des navigateurs) rendrait sûrement les autres étapes d’adoption plus délicates.

Cependant, le communiqué de presse de la Commission est assez mince sur de tels détails – disant seulement que: « De très grandes plates-formes seront tenues d’accepter l’utilisation de portefeuilles d’identité numérique européens à la demande de l’utilisateur. »

Néanmoins, une grande partie de la proposition est consacrée à la discussion sur les « certificats qualifiés pour l’authentification de sites Web » – une prestation de services de confiance, qui s’étend également sur l’approche adoptée dans eIDAS, que la Commission souhaite vivement que l’e-ID intègre afin de renforcer davantage la confiance des utilisateurs en offrant une garantie certifiée de qui est derrière un site Web (bien que la proposition indique qu’il sera volontaire pour les sites Web d’être certifiés).

Le résultat de cette composante de la proposition est que les navigateurs Web devraient prendre en charge et afficher ces certificats, pour que la confiance envisagée circule – ce qui représente un grand nombre de travaux d’infrastructure Web très nuancés qui devaient être effectués par des tiers pour interopérer avec cette exigence de l’UE. (Travail que les fabricants de navigateurs semblent déjà avoir exprimé de sérieuses réserves à propos de.)

Les navigateurs Web seront forcés/obligés d’accepter les certificats d’authentification. Il s’agit de garantir la preuve de l’identité de l’exploitant du site. Quelles normes devraient être utilisées ici? Les navigateurs Web l’implémenteront-ils ? pic.twitter.com/sygngNHyQW

— Lukasz Olejnik (@lukOlejnik) 3 juin 2021

Un autre grand point d’interrogation soulevé par le plan d’identification électronique de la Commission est de savoir comment exactement les portefeuilles d’identité numérique certifiés envisagés stockeraient – et surtout protégeraient – les données des utilisateurs. Cela reste beaucoup à déterminer, à ce stade naissant.

Il est question, dans les considérants du règlement, par exemple, d’États membres encouragés à « mettre en place conjointement des bacs à sable pour tester des solutions innovantes dans un environnement contrôlé et sécurisé notamment pour améliorer la fonctionnalité, la protection des données personnelles, la sécurité et l’interopérabilité des solutions et pour informer les futures mises à jour des références techniques et des exigences légales ».

Et il semble que une série d’approches sont envisagées, le considérant 11 abordant l’utilisation de l’authentification biométrique pour accéder aux portefeuilles numériques (tout en notant également les risques potentiels pour les droits ainsi que la nécessité d’assurer une sécurité adéquate) :

Les portefeuilles d’identité numérique européens devraient garantir le plus haut niveau de sécurité pour les données personnelles utilisées pour l’authentification, que ces données soient stockées localement ou sur des solutions basées sur le cloud, en tenant compte des différents niveaux de risque. L’utilisation de la biométrie pour s’authentifier est l’une des méthodes d’identification offrant un haut niveau de confiance, notamment lorsqu’elle est utilisée en combinaison avec d’autres éléments d’authentification. La biométrie représentant une caractéristique unique d’une personne, l’utilisation de la biométrie nécessite des mesures d’organisation et de sécurité, proportionnées au risque que de tels traitements peuvent comporter pour les droits et libertés des personnes physiques et conformément au règlement 2016/679.

En bref, il est clair que sous-jacente à la grande et énorme idée de la Commission d’une identification électronique européenne unifiée (et unificatrice) se trouve une masse complexe d’exigences nécessaires pour concrétiser la vision d’une identification numérique européenne sécurisée et fiable qui ne fait pas que languir ignorés et inutilisés par la plupart des utilisateurs Web – certaines exigences hautement techniques, d’autres (comme atteindre l’adoption à grande échelle recherchée) non moins difficiles.

Les obstacles au succès ici semblent certainement intimidants.

Néanmoins, les législateurs vont de l’avant, affirmant que l’accélération de l’adoption des services numériques par la pandémie a montré le besoin urgent de combler les lacunes de l’eIDAS – et d’atteindre l’objectif de « services numériques efficaces et conviviaux dans toute l’UE ».

Parallèlement à la proposition réglementaire d’aujourd’hui, ils ont publié une recommandation, invitant les États membres à « établir une boîte à outils commune d’ici septembre 2022 et à commencer immédiatement les travaux préparatoires nécessaires » — dans le but de publier la boîte à outils convenue en octobre 2022 et de lancer des projets pilotes ( sur la base du cadre technique convenu) quelque temps après.

« Cette boîte à outils devrait inclure l’architecture technique, les normes et les lignes directrices pour les meilleures pratiques », ajoute la Commission, éliminant les grandes boîtes de vers fermement ouvertes.

Néanmoins, son calendrier d’adoption massive – d’environ une décennie – illustre mieux l’ampleur du défi, la Commission écrivant qu’elle souhaite que 80 % des citoyens utilisent une solution d’identification électronique d’ici 2030.

Le jeu encore plus long auquel le bloc joue est d’essayer d’atteindre la souveraineté numérique afin qu’il ne soit pas redevable aux géants de la technologie appartenant à des étrangers. Et une identité numérique européenne « de marque propre », gérée de manière autonome, correspond certainement à cet objectif stratégique.