Accueil Démat-Ged Identité numérique européenne : l’eIDAS 2 et le portefeuille EUDI

Identité numérique européenne : l’eIDAS 2 et le portefeuille EUDI

authentification numérique
Identité numérique
Siliva Bertolotti

AVIS D’EXPERT – Création du portefeuille européen d’identité numérique (EUDI), un outil d’identification et d’authentification biométrique sécurisé : le point avec Silivia Bertolotti, responsable des relations avec l’UE, GlobalSign.

La proposition présentée par la Commission européenne en juin 2021 vise à réviser l’actuelle directive no 910/2014,  appelée règlement eIDAS, avec l’introduction de nouvelles modifications au schéma d’identification électronique, d’authentification et de services de confiance (eIDAS 2). Les changements proposés établissent un nouveau cadre juridique pour l’identité numérique européenne et le règlement eIDAS afin d’accélérer la transformation numérique des services publics et privés dans un contexte transfrontalier.

L’actuelle directive ne donnant aucune indication précise sur les outils « d’identification électronique », chaque État a donc mis en œuvre une ou plusieurs solutions sans règles précises sur les questions d’interopérabilité ou de reconnaissance mutuelle.

Selon cette proposition de révision, toujours attendue, ce nouvel identifiant européen devra être mis à la disposition de chaque citoyen (ou résident) européen et de chaque entreprise dans l’UE. Il servira pour l’utilisation de services en ligne et hors ligne à travers l’Europe, et pour stocker des données personnelles sensibles (comme les informations de santé) dans un document.

Aujourd’hui, seuls 60 % des citoyens européens peuvent utiliser leur carte d’identité électronique nationale dans les États membres de l’UE. Le nombre moyen d’authentifications transfrontalières qui aboutissent est très limité. Et pour cause, les prestataires de services publics ne sont qu’une poignée à autoriser l’utilisation d’un système d’identité électronique pour s’authentifier dans un autre pays.

Face à cela, la Commission européenne (CE) a appelé à la création du portefeuille européen d’identité numérique (EUDI), un outil d’identification et d’authentification biométrique sécurisé. L’idée ? Faire de ce portefeuille un levier d’accélération pour l’authentification dans une démarche allant vers l’interopérabilité totale des principaux services publics et privés européens. Le portefeuille d’identité numérique doit aussi contribuer à la création d’un écosystème plus collaboratif afin d’unifier des organismes très hétérogènes.

Que contient un portefeuille EUDI ?

Le portefeuille européen d’identité numérique contiendra des données d’identification personnelle – données qui stockeront les données d’identification et les documents officiels liés à l’identité de la personne. Ce portefeuille permettra aux utilisateurs de prouver leur identité et de communiquer leurs informations dans toute l’Europe.

S’inscrire à l’université, remplir une déclaration d’impôts, ouvrir un compte bancaire, demander un certificat de naissance, accéder à plusieurs systèmes médicaux… Cet outil simplifiera et unifiera certainement les procédures d’identification en Europe chaque fois qu’un citoyen aura besoin d’utiliser un service de l’administration publique.

Il existe déjà un certain nombre de portefeuilles d’identité numérique, mais la Commission européenne devra, à un moment donné, réglementer l’offre du marché. 

Pour la plupart de leurs services, il semblerait qu’une majorité de citoyens, et que de nombreuses entreprises privées, soient prêts à adopter l’identification numérique dans l’ensemble des États membres de l’UE.

L’architecture et le cadre de référence du portefeuille EUDI

Le 22 février 2023, la Commission européenne a également publié le schéma directeur de sa boîte à outils : « Architecture et cadre de référence de l’identité numérique européenne (eIDARF) ». Ce document marque certainement une étape importante pour l’écosystème européen de l’identité numérique. Ce nouveau règlement obligera en effet les États membres à préparer leur version des portefeuilles numériques afin de répondre aux nouvelles normes communes d’ici 2024. Même s’il ne s’agit que d’une ébauche, ce texte présente les principaux concepts du portefeuille EUDI : ses objectifs, le rôle des acteurs de l’écosystème, les exigences principales et ses potentiels éléments constitutifs.

Le schéma ci-dessous représente la base de référence préliminaire pour la construction fonctionnelle de l’EUDI. Il est évident que les fonctionnalités clés du portefeuille doivent être élaborées et mises à disposition des parties utilisatrices sous la forme d’un code source ouvert.

Source : Architecture et framework de référence de l’identité numérique européenne — Schéma directeur — février 2022

 

Comme le montre ce schéma, les nouveaux rôles ont été définis comme suit :

  1. Utilisateurs finaux : personnes physiques ou morales utilisant le portefeuille EUDI.
  2. Émetteurs de portefeuilles : États membres ou organisations mandatées ou reconnues par les États membres mettant le portefeuille EUDI à la disposition des utilisateurs finaux.
  3. Fournisseurs de données d’identification personnelles : entités capables de vérifier l’identité de l’utilisateur du portefeuille EUDI, de maintenir l’interface permettant de transférer les données d’identification personnelle au portefeuille EUDI de manière sécurisée et de mettre des informations à disposition des parties utilisatrices afin de vérifier la validité des données d’identification personnelle (« données PI », Personal Identification Data).
  4. Fournisseurs de listes de confiance : émetteurs de portefeuilles EUDI, fournisseurs de certificats d’attestation électronique qualifiée d’attributs (QEAA), fournisseurs de certificats de signatures électroniques qualifiées (QES), parties faisant appel à des fournisseurs de certificats d’attestation électronique d’attributs (EAA), etc.
  5. Fournisseurs d’attestation électronique qualifiée d’attributs [d’identité] (Qualified Electronic Attestation of Attributes, QEAA) : ces fournisseurs QEAA maintiendraient l’interface permettant de demander et de fournir les attestations QEAA, y compris l’interface d’authentification mutuelle avec les portefeuilles EUDI)
  6. Fournisseurs d’attestation électronique non qualifiée d’attributs [d’identité] (Non-qualified Electronic Attestation of Attributes) : les attestations électroniques non qualifiées peuvent être fournies par n’importe quel prestataire de services de confiance.
  7. Fournisseurs de certificats qualifiés et non qualifiés pour signatures électroniques : le portefeuille EUDI peut aussi permettre à l’utilisateur de signer à l’aide de signatures ou de cachets non qualifiés.
  8. Fournisseurs d’autres services de confiance : les spécificités de ce rôle ou de ces rôles dans l’écosystème du portefeuille EUDI feront l’objet de discussions plus approfondies.
  9. Sources authentiques : référentiels ou systèmes publics/privés reconnus ou tenus par la loi d’être reconnus par les parties utilisatrices pour pouvoir contenir les attributs d’une personne physique ou morale.
  10. Parties utilisatrices : personnes physiques ou morales utilisant un service d’identification électronique ou de confiance.
  11. Organismes d’évaluation de la conformité (OEC) : les prestataires de services de confiance qualifiés (PSCQ) doivent être régulièrement contrôlés par des organismes d’évaluation de la conformité (OEC) désignés par les États membres.
  12. Organes de surveillance : entités que les États membres doivent notifier à la Commission.
  13. Fabricants de dispositifs et entités apparentées : des dispositifs ou services spécifiques doivent être fournis par les fournisseurs pour le stockage sécurisé de matériel cryptographique.
  14. Fournisseurs de schémas d’attestations électroniques qualifiées et non qualifiées d’attributs [d’identité] : les fournisseurs d’attestation électronique qualifiée ou non qualifiée d’attributs peuvent publier des informations pertinentes sur les attestations qu’ils fournissent dans un ou plusieurs catalogues

En pratique, l’utilisateur interagira, par l’intermédiaire de l’outil de portefeuille, avec les organismes qualifiés et de confiance qui délivrent les données PI ou avec les fournisseurs d’attestations électroniques d’attributs (EAA) qui sont qualifiés en vertu des règles applicables aux prestataires de services de confiance qualifiés (PSCQ) visées au règlement 910/2014 actuel.

Note : conformément à l’ensemble des bonnes pratiques pour ce type de projet, certaines expérimentations sont actuellement menées à grande échelle. Cette étape préliminaire illustre clairement la volonté de l’Union européenne d’accélérer l’adoption d’un règlement définitif.

Le portefeuille EUDI est, à l’évidence, un projet complexe et ambitieux dont le calendrier actuellement présenté dans le projet de règlement eIDAS pourrait être perturbé pas de nombreux facteurs externes.

Pour faire de cette transformation de l’identité numérique européenne une priorité, les réglementations et les outils actuellement en place aux niveaux nationaux doivent converger en douceur vers le portefeuille européen. Or, cela ne sera possible qu’avec un soutien politique fort.

Il va donc falloir que le programme politique de la Commission et des États membres considère l’identité numérique comme la marque d’un changement profond. Cette identité numérique sera également le moteur d’une Europe inclusive qui permettra aux citoyens d’être autonomes dans leur vie numérique. Autrement dit, ce sera également l’une des étapes vers une citoyenneté européenne active et participative.

 

Siliva Bertolotti