Vendredi 05 Octobre 2018
Pascal Agosti, avocat au sein du cabinet Caprioli & Associés, revient sur le 29 septembre 2018, une date passée inaperçue et pourtant très importante pour le Marché de l’Identité Numérique : la reconnaissance par les autres Etats membres.des schémas d’identification électronique notifiés par un Etat membre auprès de la Commission européenne.
Le 29 septembre 2018 fait partie de ces dates passées inaperçues et qui pourtant symbolise une révolution essentielle pour le Marché Unique du Numérique. Les schémas d’identification électronique notifiés par un Etat membre auprès de la Commission européenne sont désormais reconnus par les autres Etats membres.
Reconnaissance mutuelle des moyens d’identification
En effet, depuis cette date, lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée en vertu du droit national ou de pratiques administratives nationales pour accéder à un service en ligne fourni par un organisme du secteur public dans un État membre, le moyen d’identification électronique délivré dans un autre État membre est reconnu dans le premier État membre aux fins de l’authentification transfrontalière pour ce service en ligne sous réserve d’avoir été préalablement notifié et accepté au niveau européen (art. 6).
Qu’est-ce que cela signifie dans la "vraie" vie ?
Imaginons un téléservice français requérant un niveau de garantie d’identité élevé pour y accéder. Désormais, TOUS les moyens d’identification électronique notifiés disposant d’un niveau de garantie élevé dans chaque Etat membre peuvent être utilisés comme moyens d’accès ; ils seront de facto reconnus par l’organisme en charge du téléservice cible. Ainsi, un citoyen allemand disposant d’un moyen d’identification disposant d’un niveau de garantie adéquat par rapport à un téléservice français pourra ainsi en bénéficier sans démarche complémentaire auprès d’une entité française.
Et d’un point de vue juridique ?
Un schéma d’identification électronique permet de délivrer des moyens d’identification électronique à des personnes physiques ou morales. Le Chapitre II du Règlement eIDAS a trait à l’identification électronique régalienne. En effet, l’article 6 organise les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union Européenne des identités (régaliennes) notifiées par les Etats membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d'identification (identité numérique) relevant du pouvoir souverain de chaque État membre.
Trois niveaux de schémas d’identification sont prévus par le Règlement eIDAS : faible, substantiel et élevé : seuls les deux derniers niveaux peuvent être notifiés à la Commission. Divers actes d’exécution disponibles sur le site de l’ANSSI sont venus préciser les modalités propres à l’identification électronique régalienne comme les modalités de collaboration entre Etats membres en matière d’identification électronique (art. 12-7 Règlement eIDAS), les Spécifications techniques minimums et procédures pour les niveaux d’assurance pour l’identification électronique (art. 8-3 Règlement eIDAS) ou le cadre d’interopérabilité (art. 12-8 Règlement eIDAS).
Où en est-on en Europe ?
De nombreux Etats ont d’ores et déjà notifié (comme l’Allemagne ou l’Italie) leur schéma d’identification, l’ont pré-notifié (comme la Grande Bretagne, le Portugal, la Belgique…) ou sont en cours d’examen (comme la Croatie, l’Estonie, le Luxembourg…).
Qu’en est-il pour la France ?
La France avance lentement mais sûrement. La majeure partie de la stratégie nationale en matière d’identité numérique s’articule autour de France Connect, qui doit être perçu comme un "hub" sur lequel les projets d’identification électronique viennent se poser et qui, selon les exigences requises, pourront être notifiés comme schéma d’identification pour un niveau substantiel ou élevé.
Pour l’heure, France Connect est ouvert aux seuls téléservices publics mais devrait prochainement s’ouvrir sur les relations privées. Un Arrêté devrait en indiquer ainsi les modalités. Il est attendu par tout un marché soucieux de respecter les exigences tant en termes de conformité eIDAS que de conformité RGPD.
Mais France Connect n’est pas tout
En effet, dès le moment où une entreprise, une entité, un groupe d’entreprises entendra mettre en place un moyen d’identification électronique pour le seul cadre national, l’article L. 102 du Code des Postes et Communications Electroniques (CPCE) énonce :
"I. – L'identification électronique est un processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale.
Un moyen d'identification électronique est un élément matériel ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier pour un service en ligne.
II. – La preuve de l'identité aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique.
III. – Ce moyen d'identification électronique est présumé fiable jusqu'à preuve du contraire lorsqu'il répond aux prescriptions du cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information, fixé par décret en Conseil d'Etat.
Cette autorité certifie la conformité des moyens d'identification électronique aux exigences de ce cahier des charges.
IV. – Le prestataire fournissant un moyen d'identification électronique autre que celui mentionné au III et qui en fait la demande peut se voir délivrer par l'autorité nationale de sécurité des systèmes d'information une certification attestant du niveau de garantie associé à ce moyen d'identification électronique.
L'autorité nationale de sécurité des systèmes d'information établit à cette fin, après avis de la Commission nationale de l'informatique et des libertés, les référentiels définissant les exigences de sécurité associées au moyen d'identification électronique. Ces exigences précisent notamment les critères retenus pour la délivrance du moyen d'identification électronique, pour la gestion de ce moyen, pour l'authentification, ainsi que pour la gestion et l'organisation des prestataires. Ces référentiels sont mis à disposition du public par voie électronique.
Les modalités de cette certification sont définies par décret en Conseil d'Etat."
Ici, pas besoin de passer par France Connect. Par contre, ce sera à l’ANSSI de déterminer la fiabilité du moyen d’identification électronique utilisé au cours d’un audit.
Quelle morale pour l’histoire ?
Avant de se lancer dans un Projet d’identité numérique comme son instigateur ou comme un simple participant, il faut savoir à quel public s’adresser, quel niveau de sécurité atteindre et surtout quelle ergonomie attendre. Toute une stratégie d’identification dont dépendent les parts de marché dans le commerce électronique européen de demain. Nos partenaires européens ne s’y sont pas trompés…
Pascal Agosti, Avocat associé, Docteur en droit, Membre de Jurisdefi
Rechercher une autre publication
- Ajouté : 05-10-2018
- Modifié : 22-02-2019
- Visiteurs : 2 824
