C’est un double numérique de vous-même, un passe, un identifiant ou une clé, sécurisés, qui va prouver que c’est bien vous. Et qui vous permet de signer des contrats dématérialisés, d’accéder à des services en ligne, bancaires ou autres, sans refaire des démarches de vérification à chaque fois…
La Poste bat campagne depuis 1 an et demi pour inciter les Français à adopter l’ “Identité Numérique La Poste”, « la 1ère identité électronique attestée conforme au niveau de garantie substantiel qui simplifie les démarches administratives ». Car le développement de la dématérialisation des échanges et des démarches administratives pose la question de la vérification de l’identité numérique des citoyens, mais aussi de la fluidification des parcours, de la garantie de la sécurité et de la protection des données personnelles. Avec cette solution d’identification et d’authentification numérique attestée, qui s’adresse aux particuliers comme aux entreprises (hors personnes morales), La Poste a ainsi déjà séduit 400 000 utilisateurs finaux, nous indique Candice Dauge, directrice du programme Identité Numérique Le Groupe La Poste.
L’identité numérique, une clé qui ouvre toutes les portes
L’identité numérique évite de refaire les mêmes opérations d’identification lorsque l’on se connecte à un site. C’est une clé qui permet de rentrer dans toutes les maisons. Réserver en ligne un voyage, prendre une assurance, louer une maison entre particuliers…, l’identité numérique évite à l’utilisateur de devoir remplir à chaque fois tout un tas de paperasse, de scanner sa carte d’identité, de l’envoyer, etc. pour prouver son identité. « L’identité numérique sécurisée de la Poste, c’est l’équivalent d’une pièce d’identité dans le digital », résume la responsable.
Cette identité numérique conçue par Docaposte, la filiale numérique de La Poste, est conforme en France au niveau de garantie “substantiel” du règlement eIDAS par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Son infrastructure ainsi que son hébergement sont également Docaposte. Ce niveau de sécurité substantiel, entre un niveau faible (présomptions fortes de l’identité d’une personne que l’on peut par exemple utiliser pour consulter son solde de sécurité sociale. Elle n’est pas qualifiée par l’ANSSI) et un niveau élevé (qui nécessite un moyen cryptographique complémentaire, comme la carte d’identité électronique), demande un contrôle renforcé de l’identité ainsi qu’un contrôle de l’authentification à chaque utilisation, le couple « ying et yang de l’identité numérique ». Sur la partie identification, c’est-à-dire la vérification initiale, il faut réunir trois opérations : le contrôle de l’authenticité de la pièce d’identité, celui de sa possession (la pièce est-elle bien détenue par la bonne personne) et l’association d’un moyen d’authentification avec la personne physique. La Poste propose trois voies pour cette identification. La première peut se faire 100 % en ligne, qui utilise un système vidéo et de détection du vivant pour l’authentification avec la personne physique, développé par la société AR24 que La Poste a rachetée. La deuxième peut être réalisée avec un facteur qui se déplace à domicile et effectue tous les contrôles. Le troisième, depuis le mois de juin, directement dans un bureau de poste (7 500 en tout en métropole et territoires Outre-mer). Soit 70 000 facteurs et 25 000 chargés de clientèle environ qui assument cette tâche. La Poste réalise aujourd’hui 60 000 identités numériques par mois en moyenne, soit au total 400 000 actuellement, et espère équiper une très grande partie des Français d’ici à 2030.
FranceConnect, un fédérateur
Et FranceConnect, quelle différence alors ? FranceConnect, portail d’accès pour les services publics français, est un dispositif permettant de garantir l’identité d’un utilisateur en s’appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée. C’est donc un fédérateur : l’utilisateur peut y choisir l’identité numérique qu’il préfère, celle de La Poste y étant proposée, avec Alicem ou Mobile Connect et moi notamment. 20 millions de personnes y disposent désormais d’un compte (chiffre mars 2021). Il se murmure que FranceConnect va d’ailleurs proposer un niveau sécurisé, qui pourrait être utilisé en particulier pour des services bancaires, des envois de recommandé électronique ou bien des services de santé, comme le dossier médical partagé. Et alors que le projet de portefeuille électronique de l’UE devrait voir le jour dès septembre 2022 (lire encadré) – l’objectif étant d’offrir aux citoyens européens un moyen sûr d’accéder aux services publics et privés en ligne via un identifiant unique, de conserver des données de paiement associées à des mots de passe, ainsi que de regrouper des documents officiels – il parait évident que FranceConnect et La Poste trouveront une place dans ce dispositif. Avec Digiposte, son coffre-fort numérique, La Poste offre ainsi le minimum vital aux Français pour leur vie numérique.
Ces innovations relancent les discussions sur la sécurité des données, et notamment sur l’uniformisation des règles en Europe.
Identité numérique et sécurité
Le projet de portefeuille électronique de l’UE devrait voir le jour dès septembre 2022. Son objectif est d’offrir aux citoyens européens un moyen sûr d’accéder aux services publics et privés en ligne via un identifiant unique, de conserver des données de paiement associées à des mots de passe, ainsi que de regrouper des documents officiels comme le permis de conduire, le passeport ou la carte nationale d’identité, comme nous l’avons indiqué plus haut. Le portefeuille électronique de l’UE concernera donc en majorité des informations personnellement identifiables (PII), des informations très sensibles. Selon Pierre-Louis Lussan, Country Manager France et Directeur Souh-West Europe chez Netwrix, « bien que les préoccupations en matière de sécurité et de confidentialité concernant le nouveau portefeuille numérique de l’UE ne soient pas infondées, ce projet portera un écosystème qui sera toujours dépendant des services numériques et permettra de se détacher de l’hégémonie des Gafam en termes de collecte et de gestion des données personnelles. En éliminant les vecteurs d’attaque les plus courants, et en intégrant la confidentialité ainsi que la sécurité des données, ces portefeuilles électroniques devraient donc assurer un avenir davantage sécurisé pour les citoyens »
Pour Julien Stern, fondateur et PDG d’Universign, « si les pays européens désirent élever la sécurité en priorité, ils doivent alors aligner leur application de la réglementation eIDAS. La sécurité numérique des citoyens ne doit pas être un argument de concurrence, mais bien la base de toutes offres des Prestataires de Services de Confiance européens. Il ne peut en effet y avoir de compromis sur la sécurité du citoyen ou sur leur équité de traitement par les acteurs de la confiance numérique. Cette uniformisation de la sécurité par le haut représente une formidable opportunité pour les citoyens européens et pour la concurrence. Si un tel niveau d’uniformisation du marché peut rendre la concurrence encore plus ardue, les acteurs du marché sauront alors apporter des solutions encore plus novatrices pour se différencier. »
« L’ANSSI a publié un référentiel au 1er mars 2021 qui peut servir d’exemple aux autres autorités nationales de contrôle. Cet usage est voué à se démocratiser et ira de pair avec de fortes exigences de qualité pour éviter les fraudes et usurpations d’identité. Nous avons besoin de règles solides et uniformes pour qu’une identification à distance soit synonyme de sécurité pour les citoyens. Par ailleurs, ce socle de confiance numérique ne doit pas occulter l’ergonomie de la solution de signature et sa rapidité, deux aspects fondamentaux pour les entreprises. »
Sécurité et enrôlement du client simplifiés
Alexandre Lebourgeois, Sr. Sales Account Executive chez Kofax, qui propose le dispositif Mobile ID framework pour vérifier instantanément l’identité d’un client, soutient que l’on peut tout à la fois prévenir la fraude et accélérer l’onboarding des clients grâce aux contrôles d’identité automatisés. « Dans le cadre de la digitalisation des parcours clients, qui visent à rendre ces derniers autonomes, il faut non seulement permettre de numériser les documents nécessaires mais également renforcer le contrôle de conformité des documents et justificatifs remis. Toute la difficulté repose donc sur l’équilibre entre une expérience client simple et rapide, et la nécessité de trouver un moyen de contrôler en permanence les pièces justificatives et valider l’identité des clients – tout en garantissant la fluidité du parcours client », explique-t-il.
Pour les responsables de la gestion des risques, de la sécurité des données, de la transformation numérique, de la conformité et du marketing, fluidifier l’onboarding numérique, tout en préservant l’organisation des risques de fraude est un véritable challenge, qu’il est possible de relever dans le cadre de contrôles d’identités automatisés et intelligents, soutient-il. Il évoque différents processus qui peuvent être mise en place. A commencer par le contrôle des pièces d’identité sur mobile ou encore de la technologie de reconnaissance faciale. « La technologie de reconnaissance faciale associe la technologie de détection de la présence à la capture automatique pour confirmer qu’un candidat est bien en train de se prendre en photo. Une technologie d’automatisation intelligente compare en parallèle la vidéo et l’image du candidat à la photo figurant sur sa carte d’identité. Le profil de la personne n’est validé que si la correspondance est confirmée ».
Des technologies multiples qu’il faut rendre transparentes
Face à de multiples solutions proposées par les gouvernements et les sociétés privées, multiforme et multitechnologie, l’entreprise Connective est, elle, capable de lire ces technologies diverses et variées : clés RGS, cartes à puce ou identités digitales, ces dernières pouvant être d’ailleurs une application mobile ou un système de log-in… La force de Connective est donc de permettre à ses clients de ne pas se soucier de la forme ni de la technologie.
« Nous sommes la multiprise de l’identité numérique des citoyens », résume Nicolas Metivier, le CEO de Connective. L’entreprise n’a pas besoin de se soucier de l’identité mise en œuvre dans chaque pays. « Nous sommes capables de nous adapter. » Une solution globale pour des enjeux locaux.