EUDI : comment le portefeuille d'identité numérique européen peut devenir indispensable
Le portefeuille d’identité numérique européen sait se faire attendre. En juin 2021, la Commission européenne présentait l'EU digital ID Wallet (EUDI) comme un coffre-fort électronique ultrasécurisé permettant aux citoyens de l'Union européenne de stocker leurs documents d'identité et autres titres sécurisés tels qu'une carte d'identité, un diplôme ou un certificat médical.
Selon Bruxelles, ce service d’identification universel devait simplifier la vie quotidienne des Européens au moment de renouveler un passeport, de demander un prêt bancaire, de souscrire un abonnement téléphonique, de louer un appartement, de remplir une déclaration fiscale ou de s'inscrire dans une université située dans un autre Etat membre que le sien.
Quelque cinq ans plus tard, ce fameux EUDI, introduit par le règlement européen eIDAS 2.0, est enfin en approche. Avant le 31 décembre 2026, chaque Etat membre devra mettre à disposition de ses citoyens, résidents et entreprises au moins un portefeuille d’identité numérique de l’UE.
Puis, un an plus tard, fin 2027, ce portefeuille pourra être utilisé comme service d’authentification forte pour les services privés et publics nécessitant un niveau de sécurisation élevé. Les entreprises des secteurs réglementés, comme ceux de la bancassurance, et les très grandes plateformes désignées par le Digital Services Act (DSA) telles Amazon, Booking ou LinkedIn, devront d'accepter les portefeuilles EUDI comme moyen d’authentification.
Premier cas d’usage : un service d’authentification forte
Depuis 2022, des projets pilotes de grande envergure, associant entreprises et autorités publiques, testent l’interopérabilité et la sécurité de ce portefeuille d’identité numérique selon différents cas d’usage. Un cadre technique de référence, Architecture Reference Framework (ARF), définit un ensemble de normes communes et de spécifications techniques afin d’assurer son intégration uniforme au sein de l’UE. La Commission européenne a, par ailleurs, mis en ligne la liste des prestataires de services fiduciaires qualifiés, répondant conformément à ce cadre. Pour la France, on retrouve l’Agende nationale des titres sécurisés (ANTS), BPCE, Cegedim ou Docaposte.
En commençant par l’identité, EUDI ne sera, à son lancement, que l’embryon du sésame universel qu’il est appelé à devenir. Comme son nom l’indique, France Identité assure déjà ce service d’identification à l’échelon national. Deux ans après son lancement, cette application a atteint le cap des 4 millions d'utilisateurs. Elle permet de se connecter aux services publics via FranceConnect, sans identifiant ni mot de passe, mais aussi de dématérialiser la carte d'identité, le permis de conduire, la carte grise ou la carte vitale.
Ce service d’identification limite les risques de fraude ou de piratage. Actuellement, le réceptionniste à l’accueil d’un hôtel exige, lors du check-in, votre carte d’identité dont le scan sera souvent stocké localement sans garanties qu’il soit protégé puis supprimé après le délai légal.
Renforcer le principe de minimisation du RGPD
A l’avenir, l’EUDI s’enrichira de verifiable credentials, des attestations numériques, comme un justificatif de domicile ou un RIB, émises par des tiers de confiance comme une administration, une banque ou un établissement scolaire.
Le détenteur de ce wallet amélioré permettra de justifier de nouveaux attributs comme une adresse ou l’obtention d’un diplôme. Un individu ou une organisation pourra ainsi prouver une information sans avoir à divulguer plus que nécessaire. Cette divulgation sélective (selective disclosure) répond pleinement au principe de minimisation cher au règlement européen sur la protection de données personnelles (RGPD).
Pour Matthieu de Montvallon, directeur technique de Kipmi Digital Trust Continuity, une plateforme de confiance numérique du groupe BeYs, "l’EUDI redonne au citoyen la maîtrise de ses données. Il exerce un contrôle total sur les informations qu’il accepte de divulguer tout en pouvant révoquer son consentement à tout moment. Il n’a plus à solliciter le responsable de traitement pour exercer son droit de rectification ou son droit à l’oubli."
"Du côté des entreprises, la mise en conformité au RGPD sera facilitée puisqu'elles n'auront plus accès à des informations non essentielles au but poursuivi par le traitement", poursuit Matthieu de Montvallon. Alors que se pose la question d’interdire l'accès aux mineurs à certains sites pour adultes ou de jeux d’argent et demain aux réseaux sociaux, l’EUDI permettra de partager uniquement l’élément requis, à savoir une attestation de majorité, sans avoir à donner sa date de naissance, son nom ou son lieu de domicile.
Fluidifier les parcours de souscription
L’EUDI simplifiera surtout grandement les parcours de souscription. En se présentant à l’agence de location de voitures, le conducteur aura déjà dans son smartphone toutes les pièces constitutives de son dossier : passeport, permis de conduire, carte bancaire et même le taux de bonus-malus de son contrat d’assurance afin de bénéficier d’un tarif préférentiel. Les prestataires de services qualifiés viendront enrichir le wallet en permettant le stockage de documents dans un coffre-fort électronique sécurisé tout en apportant la signature électronique.
Au regard des bénéfices pour l’utilisateur, le concept a tout pour séduire. En France, l’assureur Generali a expérimenté le portefeuille d’identité numérique Kipmi de BeYs pour fluidifier l’expérience client. Les parcours liés à la souscription d’un contrat d’assurance ou à la gestion d’un sinistre sont parsemés d’irritants quand il s’agit de ressembler et de transmettre un grand nombre de justificatifs. Le test de trois mois s’est révélé concluant. 78% des clients ont accepté d’utiliser l’alternative au parcours traditionnel.
Pour Michaël Lakhal, chief product officer de Signaturit, la clé du succès du wallet porte justement sur son adoption massive. "S’il n’est utilisé que par quelques initiés, cela ne présentera pas d’intérêt." En faisant un parallèle avec la télédéclaration des impôts sur les revenus, initiée il y a vingt ans, il espère que l’incitation de l’Etat et la médiatisation du service favoriseront son essor.
La France peut aussi s’inspirer de ses voisins. En Belgique, l’application mobile istme (prononcez "It’s me") a séduit huit millions d’utilisateurs. Comprenant la signature électronique, elle permet de réaliser près de 600 millions d’opérations par an auprès de partenaires comme BNP Paribas, Orange, AXA ou Engie. Depuis un smartphone, Istme s’active via une empreinte digitale ou la reconnaissance faciale.
Lutter contre la fraude à l’emploi
Selon Michaël Lakhal, la généralisation de la facturation électronique qui débutera le 1er septembre prochain sera un autre facteur incitateur mais cette fois-ci côté entreprises. "Une personne physique, un dirigeant ou un mandataire qui détient les pouvoirs de signature, ou une personne morale doit prouver qu’elle est habilitée à réaliser une opération spécifique." Le wallet répondra au nécessaire enrichissement du processus de KYB (Know Your Business) qui permet à une entreprise de vérifier que l’entreprise avec qui elle est en relation commerciale est réelle, légitime et sûre.
Autre cas d’usage plus surprenant : la lutte contre la fraude à l’emploi qui sévit dans les secteurs du BTP et de l’intérim. "Avec la dématérialisation des processus de recrutement depuis la crise Covid, la personne qui se présente lors de l’entretien en visio n’est pas toujours celle qui se rend sur le chantier", explique Michaël Lakhal. Muni d’un wallet, la recrue devra s’authentifier, via la reconnaissance faciale ou la présentation d’un QR code, pour accéder aux locaux de son nouvel employeur et activer son poste de travail.