Identité numérique, quel est le cadre juridique ?
5 mars 2021.
Nouveau référentiel de l’ANSSI sur l’identification électronique – Quel est le cadre juridique ?
Depuis les débuts du numérique, les modalités l’identification numérique jouent un rôle majeur dans le cadre de l’utilisation des systèmes d’information : accès aux services, traçabilité, sécurité, fiabilité, etc.
Actuellement, nous observons que l’enjeu des modalités d’identification numérique grandit de manière exponentielle au fur et à mesure que les systèmes d’interconnectent et qu’une dématérialisation massive des échanges et services est mise en œuvre.
Existe-t-il un cadre légal ?
Oui, depuis quelques années un cadre légal se construit en la matière.
Ainsi, la notion d’ « identification électronique » est définie :
- à l’article 3 du Règlement européen couramment appelé « e-IDAS » du 23 juillet 2014[1] (ci-après « Règlement eIDAS ») comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale»
- à l’article L 102 du Code des postes et des communications électroniques comme suit « I. – L’identification électronique est un processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale. Un moyen d’identification électronique est un élément matériel ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne. »
Cette notion d’identification électronique ne doit pas être confondue avec la notion d’authentification qui se définie comme « un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique »[2]
La preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique.
Un moyen d’identification électronique se définit comme « un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne »[3]. Cette définition est large et n’impose pas de conditions techniques spécifiques ou précises pour un moyen d’identification électronique.
Il est intéressant de noter que le droit français prévoit une présomption de fiabilité pour les moyens d’identification dans l’hypothèse suivante[4] :
- III. – Ce moyen d’identification électronique est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information, fixé par décret en Conseil d’Etat.
Cette autorité certifie la conformité des moyens d’identification électronique aux exigences de ce cahier des charges.
- IV– Le prestataire fournissant un moyen d’identification électronique autre que celui mentionné au III et qui en fait la demande peut se voir délivrer par l’autorité nationale de sécurité des systèmes d’information une certification attestant du niveau de garantie associé à ce moyen d’identification électronique.
L’autorité nationale de sécurité des systèmes d’information établit à cette fin, après avis de la Commission nationale de l’informatique et des libertés, les référentiels définissant les exigences de sécurité associées au moyen d’identification électronique. Ces exigences précisent notamment les critères retenus pour la délivrance du moyen d’identification électronique, pour la gestion de ce moyen, pour l’authentification, ainsi que pour la gestion et l’organisation des prestataires. Ces référentiels sont mis à disposition du public par voie électronique.
Les modalités de cette certification sont définies par décret en Conseil d’Etat. »
Pour bénéficier de la présomption de fiabilité, il est donc nécessaire de se conformer :
- soit à un cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information, fixé par décret en Conseil d’Etat,
- soit à un référentiel de certification définis par décret en Conseil d’Etat.
Or, ni l’un ni l’autre de ces référentiels n’existaient jusqu’au 1er mars 2021. Il était donc impossible pour un moyen d’identification électronique de bénéficier de la présomption de fiabilité précitée.
Le 1er mars 2021, l’ANSSI a publié un référentiel d’exigences applicables aux prestataires de vérification d’identité à distance.
Ce référentiel a pour vocation de permettre :
- « la certification au titre du décret n° 2020-118 des services d’entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
- la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;
- la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance. »
Cette publication marque donc une avancée majeure dans la construction d’un cadre légal abouti en matière d’identification électronique.
Enfin, dernier point d’attention, il ne faut pas oublier de prendre en compte dans les projets les droits spécifiques existants dans de nombreux domaines en matière d’identification.
Claudia Weber, Avocat fondateur du Cabinet ITLAWAvocats
et Marine Hardy, Avocat responsable du Pôle Innovation et Sécurité.
Besoin d’aide pour vos projets d’identification numérique ?
ITLAW Avocat mobilise ses talents et son expertise en matière de sécurité, de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT pour vous accompagner.
[1] RÈGLEMENT (UE) N o 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
[2] Article 3 du Règlement eIDAS
[3] Article 3 du Règlement eIDAS
[4] Article L 102 du code des postes et des télécommunications.
Nous contacter