Six questions pour comprendre l'identité numérique
France identité, e-carte Vitale, FranceConnect... La numérisation croissante de la société, la dématérialisation des démarches administratives et du secteur privé présentent de nombreux enjeux. La protection et la fiabilité de l'identité numérique sont au centre des préoccupations. L'essentiel en six questions.
L'identité numérique a plusieurs formes. Une définition large désigne l'ensemble des traces laissées par une personne sur internet, notamment :
- l'identité civile (noms, prénom, date de naissance...) de la personne, renseignée lors de démarches administratives en ligne, par exemple ;
- les identifiants, avatars, pseudonymes pour accéder à un compte ou à un service en ligne ;
- les traces laissées en naviguant sur internet ("cookies") ;
- les commentaires, photos, vidéos publiés sur les réseaux sociaux ;
- l'adresse IP (numéro d'identification de l'ordinateur) ;
- la géolocalisation (GPS).
Une approche de l'identité numérique, au sens régalien, concerne les identifiants qui permettent à une personne de s'authentifier pour accéder à des services en ligne : l'état civil ou d'autres attributs (numéro de sécurité sociale, par exemple).
Qu'est-ce qu'un moyen d’identification électronique (ou MIE) ?
Une identité numérique repose sur un moyen d’identification électronique (ou MIE). Application sur un smartphone, carte à puce ou compte en ligne, le MIE est un élément contenant des données d’identification personnelle et utilisé pour s’authentifier en ligne. Le MIE utilise aussi la biométrie : identification faciale, digitale ou encore vocale. La Commission nationale de l'informatique et des libertés (CNIL) estime alors nécessaire de proposer d'autres alternatives à l'internaute.
Les traces laissées sur internet comprennent des risques liés à la protection des données personnelles et de la vie privée :
- usurpation d'identité : utilisation d’informations personnelles permettant d’identifier une personne sans son accord pour réaliser des actions frauduleuses ;
- vols de données personnelles ;
- fraude aux paiements en ligne, en particulier la fraude à la carte bancaire ;
- atteinte à la réputation en ligne (e-réputation)...
Le droit à l'oubli ou à l'effacement
L'article 17 du règlement général sur la protection des données (RGPD) prévoit le droit pour un internaute de demander l'effacement de données personnelles en cas de contenu gênant (photo, commentaire...) sur un réseau social ou encore la fermeture d'un compte de e-commerce, par exemple. Il doit alors suivre la procédure suivante : identifier l'organisme détenteur de l'information, demander l'effacement de contenus précis et conserver une copie de la demande.
Le cadre légal de l'identité numérique prévoit de protéger les internautes, particuliers et personnes morales. Il comprend essentiellement :
- le règlement général sur la protection des données (RGDP) pour protéger les données personnelles des citoyens de l’Union européenne (UE) : il prévoit par exemple l'obligation, pour les fournisseurs de services, de demander le consentement des personnes avant de recueillir et d'utiliser leurs données ;
- le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS) qui a pour objectif notamment de permettre aux citoyens d'utiliser leurs propres systèmes nationaux d'identification électronique pour l'accès aux services publics en ligne dans d'autres pays de l'UE ;
- la directive NIS qui prévoit de renforcer la cybersécurité des opérateurs de services essentiels au fonctionnement de l’économie et de la société : grandes entreprises, entreprises de taille intermédiaire et établissements publics ;
- le référentiel général de sécurité (RGS) pour protéger les échanges au sein de l’administration et avec les citoyens ;
- la norme de sécurisation DSP2 pour les paiements en ligne.
Qu'est-ce qu'un schéma d'identification numérique ?
Dans le cadre du règlement eIDAS, l'utilisation de l'identité numérique suit techniquement un schéma d’identification faisant intervenir trois acteurs :
- un utilisateur qui souhaite accéder à des services en ligne et hors ligne ;
- un fournisseur d’identité : tiers de confiance qui fournit un moyen d’identification électronique (MIE) ou garantit les attributs présentés par l’utilisateur ;
- un fournisseur de service (opérateur public ou privé) qui met à la disposition de l’utilisateur un ensemble de services dont l’accès est conditionné soit à une authentification soit à une preuve d’attribut(s).
Le dispositif comprend trois niveaux de garantie : faible, substantiel et élevé. Pour l'ouverture d'un compte bancaire, par exemple, le niveau "substantiel" est demandé.
Plusieurs institutions veillent à la régulation de l'identité numérique et au respect des droits et libertés, notamment :
- la CNIL rend des avis sur des projets de loi (ou décret) concernant la protection des données personnelles et contrôle la bonne application de la règlementation. Elle a, par exemple, sanctionné en 2021 Google et Facebook à hauteur respectivement de 150 millions d'euros et de 60 millions d'euros pour non-respect de la loi concernant la gestion des cookies ;
- le Conseil d'État conseille le gouvernement sur le respect des règles, notamment le RGPD, d'un projet de texte. Il est aussi compétent pour juger des recours contre les textes. Par exemple, il a été saisi en 2019 d'un recours en illégalité contre le décret de création d'Alicem (prototype d'application d'identité numérique de l'État sur mobile) qui prévoyait l'activation du compte par reconnaissance faciale (décision du Conseil d'État 432656 de novembre 2020) ;
- le Comité européen de la protection des données (CEPD) assure la cohérence de la mise en œuvre du RGPD entre les différents États membres.
Les positions de la CNIL
Dans son premier dossier sur l'identité numérique, paru le 23 mars 2023, la CNIL présente ses positions. Pour la sécurité et le respect des droits fondamentaux, l'institution préconise en particulier :
- la pluralité des identités (une identité régalienne pour s'inscrire sur les listes électorales et un pseudonyme pour les réseaux sociaux, par exemple) ;
- la protection de l’anonymat et le pseudonymat (liberté d'expression) ;
- la pluralité des solutions d’identité numérique pour éviter tout problème de centralisation de l’information et de concentration des risques ;
- la prise en compte de "la protection de la vie privée dès la conception de ces solutions" afin de limiter les risques pour les personnes et de donner le minimum d'informations (fournir uniquement la preuve de la majorité pour l'âge, par exemple) ;
- le choix d'une "architecture décentralisée" qui garantit la libre utilisation du moyen d’identification électronique sans surveillance systématique possible ;
- le "maintien d'alternatives physiques" (format papier, par exemple).