A Vision of European e.ID in 2040
One Identity- Across Many Nations
C’est ainsi qu’introduit Jon Shamah le sujet de l’identité numérique dont il reste à l’Union Européenne la lourde charge d’établir une gouvernance et une politique de sécurité.
Il est essentiel d’apporter à l’Union Européenne une contribution dans ce domaine en activant le « Think Tank » proposé par Jon Shamah, de manière à proposer des solutions en adéquation avec le marché, avec une efficacité certaine pour diminuer les risques de fraude, et pour faciliter l’interopérabilité entre les acteurs du marché.
Pour contribuer à la recherche d’une solution globale pour l’économie numérique, notre analyse n’a pas l’ambition de traiter tous les problèmes soulevés par l’identité numérique, mais seulement d’évoquer quelques unes des questions essentielles, incontournables, qui devraient nous faciliter la recherche de solutions claires et constructives auxquelles adhèreront sans réticences les citoyens, les entreprises, et les administrations.
L’identité numérique est au cœur de toutes les transactions. L’informatisation globale de la société, avec l’économie numérique, pose le problème de l’identification des personnes connectées à distance, avant même d’engager pour leur compte, les opérations sur leur état civil, sur leurs droits, et sur les transactions commerciales et financières qu’elles concluent avec leurs partenaires ou leurs contreparties.
1. Le Rôle primordial de l’identité numérique
L’identité numérique n’engageait pas un processus de vérification aussi rigoureux tant qu’il s’agissait d’opérations informatiques dont la valeur juridique certaine était établie à partir du fichier transmis à l’imprimante pour établir, signer , poster et archiver l’original papier.
Mais en s’affranchissant du papier et en manifestant son consentement par une signature électronique, la dématérialisation du document est établie de bout en bout entre le signataire et son destinataire. Avec la signature électronique, on peut en effet prouver l’intégrité du document et l’intégralité des éléments dont il est composé pour établir sa valeur probante : identité numérique, mentions légales, horodatage, référence de la convention inter change, référence au dépositaire légal des archives….
Mais les pratiques commerciales et financières montrent que la signature électronique n’est pas d’un usage courant ni obligatoire. Il existe même une pratique très rependue qui consiste à s’identifier avec une carte à puce, et à confier au prestataire de services ainsi sollicité, le soin de « sceller » l’opération après l’étape de validation. En donnant une procuration de scellement à son prestataire de services, l’identité numérique est ainsi isolée du système de scellement et de cryptage documentaire. Cette pratique est facile à déployer dans la mesure où le prestataire de services maîtrise parfaitement le processus d’enregistrement de l’état civil de son client ou adhérent, et peut donc contrôler par lui-même l’exactitude de son identité numérique. Cette pratique simplifie également le contrôle de la validité du certificat d’identité numérique utilisé dans la signature électronique puisque le prestataire de services a l’habitude de la faire valider régulièrement par son autorité de certification qualifiée.
L’identité numérique dans sa mise en œuvre ne peut ignorer les usages sans se heurter à une courbe d’apprentissage qui risque de différer sa mise en application pratique sur des dizaines d’années.
On constate que pour la simplicité d’utilisation et pour réduire les coûts de maintenance informatique, il est plus adapté de proposer au Citoyen une carte d’identité numérique qui garantit son état civil en fonction des critères de sécurité retenus par le bureau d’enregistrement qui officie. La politique d’enregistrement va de pair avec une politique de sécurité qui n’est pas la même selon les communautés professionnelles et les usages réservés à la carte d’identité numérique.
On constate aussi que les citoyens recherchent une solution facile et sont prêt à se confier à un tiers de confiance qui leur assurent justement la dématérialisation à valeur probante de leurs opérations et de leurs transactions finales. C’est dans ce cadre de confiance qu’une procuration de scellement peut être confiée au prestataire de services, ainsi que d’autres fonctions documentaires, telles qu’assurer la transmission sécurisée aux contreparties, et conserver en dépôt légal les documents originaux et leurs preuves de correspondance.
L’identité numérique dans son application simple et pratique ne se pose pas seulement à l’émetteur d’un document électronique, mais aussi à son destinataire. Et dans la vie courante, où le mode collaboratif est très répandu, où les pouvoirs sont si fréquents, la dématérialisation du document, de sa correspondance entre les parties, et de son archivage électronique de part et d’autre, peut engager plusieurs personnes et identités numériques. Il faut au travers de ces pratiques courantes, trouver des solutions sécurisées sans empêcher les personnes d’agir, sans compliquer leurs opérations, et sans augmenter leurs charges.
C’est sans doute pour régler cette équation difficile que les tiers de confiance de correspondance et de transaction électronique peuvent agir vite et dans l’intérêt des utilisateurs.
Cette question du moyen d’identification numérique n’est pas innocente quand on découvre par exemple les projets de carte d’identité numérique citoyenne. Est-il nécessaire par exemple d’envisager une carte nationale d’identité numérique portant à la fois le certificat de l’état civil nécessaire à la police des frontières et une signature électronique personnelle ? Dans la mesure où les communautés et les places de marché enregistrent elles-mêmes leurs clients ou leurs adhérents, et leur proposent un support de lecture de leur identité qui est toujours actualisé avec les évolutions technologiques, on peut se demander si une carte nationale d’identité numérique simple et sans signature électronique ne suffit pas.
On peut aussi croire que la carte nationale d’identité numérique intégrant une signature personnelle soit le gage ou l’assurance d’une très grande interopérabilité. C’est effectivement vrai tant que les tiers de confiance n’établissent pas entre eux un organisme d’interopérabilité pour faciliter les transferts de documents certifiés à valeur probante de part et d’autre.
Et donc en suivant ce raisonnement, on perçoit mieux les enjeux de la carte d’identité numérique qui, pour garantir la dématérialisation des transactions en ligne, suppose, pour tous les citoyens ou personnes morales démunis de signature électronique personnelle, le recours à un ou plusieurs tiers de confiance de correspondance et de transactions électroniques interopérables entre eux. Voilà sans doute où mène une première réflexion sur l’avenir de la gestion des identités numériques.
2. L’Identité numérique et les Opérateurs de réseaux sécurisés
En admettant qu’on ait déjà compris ces problèmes, on doit se pencher ensuite sur l’avenir de la dématérialisation des transactions électroniques en fonction du rôle primordial que joueront les Réseaux à valeur ajoutée qui servent bien souvent de chambre d’enregistrement pour les identités numériques, notamment celles utilisées par les employés des entreprises, celles utilisées par les fonctionnaires des administrations, celles utilisées par les entreprises multinationales dans l’espace européen ou international.
En soulevant ces questions, généralement, l’opinion des personnes interrogées serait de différer la réponse ou la solution sachant que le problème est déjà assez compliqué en soi en se limitant à la définition de l’identité personnelle.
Mais comme l’a souligné l’Union Européenne dans son rapport sur les factures électroniques, E.Invoicing Juillet 2007, la dématérialisation des transactions légales représente une économie supérieure à 243 Milliards € par an en Europe, et on peut ajouter que 12% de ces transactions sont déjà transfrontalières.
Mais alors, comment dématérialiser légalement sans définir une identité numérique et les conditions de son obtention et de son authentification ?
Comment dématérialiser avec une valeur probante si le principe de l’identification à distance n’est pas fiable, n’est pas inscrit dans un mode collaboratif, et n’est pas interopérable entre les entreprises et leurs pays respectifs ?
On peut évacuer la question en disant que l’on cherchera une solution plus tard mais c’est prendre le risque ensuite d’être dans une situation d’insécurité ou d’incertitude dans le développement électronique les transactions export-imports.
C’est aussi une manière d’exposer l’économie numérique à un risque d’efficacité qui lui retire tous les atouts de la compétitivité et de la réduction des couts administratifs.
L’identité numérique n’est pas étrangère à la politique de sécurité européenne des signatures électroniques, ni étrangère à la promotion des bureaux d’enregistrement et des prestataires de services de confiance.
Et plus précisément, l’identité numérique est dans son organisation indissociable de l’avenir et du rôle des Opérateurs de réseaux, et des fonctions confiées aux Prestataires de services de confiance, qualifiés de tiers de confiance.
En réalité, l’avenir de l’identité numérique et de son fonctionnement se définit exactement en fonction des rôles joués par les opérateurs de réseaux et par les prestataires de services de confiance.
L’identité numérique peut en effet se gérer simplement dès lors qu’on sait établir les relations nécessaires entre d’une part, les personnes morales ou physiques, et d’autre part, les communautés ou places de marché, les opérateurs de correspondance documentaire, les opérateurs de réseaux de communication, et les prestataires des services de confiance :
1. Les Communautés enregistrent les attributs de confiance pour effectuer les opérations professionnelles ou administratives en ligne.
2. Les Opérateurs de correspondance assurent la dématérialisation des échanges documentaires à valeur probante et l’archivage légal des preuves électroniques.
3. Les Opérateurs de Réseaux effectuent les transmissions avec des protocoles sécurisés, et garantissent leur interopérabilité nationale et internationale.
4. Les Prestataires de services de confiance numérique garantissent l’authenticité et la validité des certificats d’identité numérique, d’horodatage, et d’archivage pour vérifier la domiciliation effective des documents originaux en dépôt légal ou fiscal avec une valeur probante.
Si de telles précautions sont prises, c’est bien pour engager la responsabilité de ceux qui manipulent si facilement des données informatiques de l’identité numérique, soit pour s’approprier une identité (usurpation d’identité) dans l’intention de détourner un bien, soit pour apparaitre sous une fausse identité (anonymat) afin de dénaturer une opération sans aucun risque de poursuite.
La crise bancaire (1 consulter l’article du Monde en bas de page) a démontré dans quelle mesure l’informatique, non sécurisée, et démunie de signature électronique et d’autorités indépendantes pour certifier les identités numériques, les marques de temps, et les archives déposées, pouvait se prêter facilement à des transferts de propriétés frauduleux, à des manipulations de bénéfices ou à de pertes occultes, ou encore à des falsifications de dossiers dénaturant à postériori la réalité des opérations.
Il est vraisemblable que cette informatique mal sécurisée est utilisée à mauvais escient par les professionnels indélicats qui connaissent les lacunes de l’informatique ou les trous dans la sécurité, et qui savent en profiter pour effacer les preuves informatiques de leurs forfaits.
Dans cette situation précise et véridique, l’enjeu de la dématérialisation des documents dématérialisés, et de l’usage des identités numériques, n’est pas seulement de 243 milliards d’économies annuelles pour dématérialiser les factures et les instruments financiers, mais de plusieurs centaines de milliards € de pertes frauduleuses.
Ces pertes établies dans un univers informatique ont fait plonger l’économie mondiale dans une crise de confiance sans qu’on ait trouvé depuis la solution pour sécuriser les chaines de gestion informatique.
Les chaines de gestion informatique ont besoin de réseaux capables d’assurer l’interopérabilité entre d’une part, les citoyens, les entreprises, les banques et les administrations, et d’autre part, les opérateurs de correspondance dématérialisée, et les prestataires de services de confiance qui certifient en toute indépendance l’identité numérique, l’horodatage et l’archivage légal. Sans sécurité et sans certification, il ne peut exister dans l’économie numérique ni confiance ni interopérabilité entre les personnes et dans leurs opérations électroniques.
La question des « Security Bridge » est ainsi et encore une fois posée. Tant que l’Europe n’aura pas une réponse claire dans ce domaine, la criminalité financière continuera sans risque, et en toute impunité, à s’étendre comme un cancer dans les organes vitaux des entreprises et des administrations, créant des hémorragies financières dépassant largement les provisions pour risques que sont capables d’assumer financièrement les entreprises et les budgets publics.
Eric Blot-Lefevre