Je suis actuellement
Animateur numérique aux Centres Sociaux Fidésiens (Sainte Foy 69110)
Pour en savoir plus vous pouvez consulter mon cv/portfolio
Ou me suivre sur linkedin

Mon portrait souriant

Les identités numériques

Un article publié le

par



Accéder à des services, s’identifier en ligne ou via son smartphone, c’est une tendance mondiale, mais elle prend de nombreuses formes. A commencer par un verrou nommé France Connect afin d’accéder aux services de différentes administrations pour faire nos démarches avec une relative facilité.

Comme toujours cette facilité dépend à la fois de la connaissance qu’en ont les utilisateurs et ceux qui doivent les accompagner. Mais les chiffres sont en ce sens plutôt importants puisqu’en octobre 2021, plus de 30 millions de connexions via cet api avaient été effectuées (source https://www.numerique.gouv.fr/actualites/30-millions-utilisateurs-conquis-par-franceconnect/)

Ce système n’est utile que pour les sites qui ont implémenté cette solution parce que les données auxquelles nous devons avoir accès sont liées à l’administration.

En France, pas une, mais deux solutions d’identités numériques…

Comme on aime faire simple, nous avons actuellement… Deux systèmes d’identité numérique. L’une d’entre elles est demandée pour accéder à certaines demandes (le compte CPF par exemple) et nécessite un système plus complexe dans son utilisation : c’est l’identité numérique de la poste

Une vidéo qui vous explique tout ça : 

L’autre est un projet en cours de déploiement qui se base sur les nouveaux formats de cartes d’identité avec un système appelé France identité qui va récupérer les données présentes dans les cartes d’identité nouvelle génération associée encore une fois à une application.

Cette “identité numérique” doit donner « la capacité à utiliser de façon sécurisée les attributs de son identité pour accéder à un ensemble de ressources ». En gros valider que vous êtes qui vous déclarez être sur un site de l’administration car « les citoyens utilisent de plus en plus Internet pour réaliser les tâches de leur vie quotidienne, qu’il s’agisse d’inscrire leurs enfants à l’école, d’acheter des biens et des services, ou encore d’accéder à des services publics de plus en plus dématérialisés ». Ou bien encore pour vérifier si vous êtes en âge de mater du porno. Si on se réfère à l’idée d’utiliser France Connect pour justifier de sa majorité, même si le projet semble plus ou moins oublié.

J’imagine déjà la tronche des médiations quand on devra créer ces identités numériques pour aller sur youporn, pardon, sur impots.gouv…

Et l’idée du député et rapporteur du projet de loi dite SREN (sécuriser et réguler l’espace numérique), Paul Midy c’est que d’ici 2030, 100% des français en disposent. Il a déposés en ce sens des amendements afin de contraindre l’état à respecter ce calendrier.

Bref, vous n’avez pas de smartphone… Vous ne savez l’utiliser… Vous êtes mal partit dans le futur (déjà qu’aujourd’hui…)

Si vous avez une carte d’identité nouvelle génération et que l’aventure vous tente : https://france-identite.gouv.fr/

Que fait on ailleurs dans le monde?

Le principe de l’identification numérique est présent dans de très nombreux pays avec plus ou moins de bonheur, en ligne et hors ligne. C’est un choix généralement fait au niveau des États pour assurer une identité légale, mais les entreprises technologiques imposent aussi cette utilisation.

Au niveau de l’état : On estime qu’environ 1,1 milliard de personnes ne disposent pas d’une identité légale, et peuvent être exclues des bénéfices de son action. L’ONU cite cette question dans ses objectifs de développement durable appelant à « garantir à tous une identité juridique » d’ici 2030. Identité légale étant compris comme une identification numérique (et biométrique) pour des raisons qui tiennent à la fois à une vision technologiste de la question, mais aussi à des impératifs de simplicité de gestion (ou perçus comme tels).

Car une identité numérique réunit souvent plusieurs données (adresse, état civil, photo) mais peut aussi comporter des données financières, biométriques (empreintes digitales) qui vont servir à la fois au suivi de santé, au paiement des impôts et taxes, aux informations concernant les déplacements, à l’octroi d’aides. Détourné de leur usage “originel” ces systèmes peuvent permettre à la fois une surveillance de masse, mais aussi l’exploitation de données personnelles par des entreprises privées.

Ou bien encore présenter des risques de sécurité :

  • La fuite de ces données suite à des piratages ou de leur transmission à des tiers par erreur (par exemple la caf qui “perd” les informations de 10 000 personnes)
  • La sécurité pour les personnes concernées quand ces informations sont incorrectes et peuvent leur porter préjudice (impossibilité d’accéder aux services, aux aides)
 

Il y a plusieurs exemples d’utilisation des données issues des systèmes d’identification dans le monde. Citons l’Inde, la Chine, le Kenya et l’Estonie.

En Inde le système utilisé s’appelle Aadhaar et son utilisation est une condition pour accéder aux services publics (santé, aide alimentaires) ou à l’enseignement. Des erreurs techniques ont empêché des citoyens indiens de bénéficier de ces services de base et des millions de données privées de titulaires de cartes Aadhaar ont fuité sur internet. Malgré les démarches entreprises par la société civile et des experts en sécurité, le système continue d’être utilisé.

Pour en savoir plus : https://la-rem.eu/2018/08/aadhaar-lidentification-biometrique-indienne-connait-des-rates/


En Chine, l’identité numérique est la base du “crédit social” est associé à une surveillance permanente, structurée et invasive de la vie des gens. Réseau social, 200 millions de caméras de surveillance, intelligence artificielle, ce crédit social se base sur les actions telles que perçues par les algorithmes de l’État et ce crédit est le sésame pour se déplacer ou bénéficier des services publics. Ainsi une note “algorithmique” est affectée à chacun et les données fiscales, financières, juridiques, médicales, sont reliées à ce profil. L’identité numérique est ici à la fois la condition d’un accès et le levier d’une contrainte dictatoriale des comportements.

Depuis le 12 décembre, le BNS ou Blockchain-based Service Network chinois gère un nouveau programme nommé RealDID. Il s’agit d’une identité numérique basée sur la blockchain, croisement entre une infrastructure publique blockchain et CTID, une infrastructure d’identité numérique déjà ancienne de quelques années

Selon ses promoteurs, les utilisateurs de cette RealDID pourraient contrôler l’utilisation de leur identité numérique et améliorer l’anonymat dans les transactions commerciales, le partage d’informations, en plus de son utilisation pour la vérification d’identité. On peut se permettre de douter du fait qu’il ne s’agisse pas d’une brique supplémentaire dans le contrôle de la population. On ignore encore la date de déploiement de cette identité numérique.


Au Kenya, le gouvernement a été poursuivi en justice pour son projet de système national intégré de gestion de l’identité (NIIMS), qui devait conserver les données génétiques, la position GPS des citoyens… Entre autres choses. Le programme a été suspendu par la Haute Cour de justice suite aux demandes de la société civile.


A l’opposé, le programme de citoyenneté numérique de l’Estonie mondialement reconnu, est de par son accessibilité et sa sécurité (même si pas totale) ses solides protections de sécurité (mais non sans faille) un exemple réussit. Le système a commencé avec la carte d’identité électronique et la déclaration des impôts en ligne en se basant sur un système appelé X-Road.

X-Road est une couche d’échange de données (Data Exchange Layer) entre des systèmes d’information. Les organisations peuvent échanger des informations par Internet à l’aide de X-Road pour garantir la confidentialité, l’intégrité et l’interopérabilité entre les parties prenantes de l’échange de données. X-Road est administrée de manière centralisée mais distribuée. Les organisations peuvent échanger des informations sur Internet en utilisant X-Road pour assurer la confidentialité, l’intégrité et l’interopérabilité entre les parties à l’échange de données.
Source wikipedia : 
https://fr.wikipedia.org/wiki/X-Road

Il a ensuite intégrés d’autres services publics : l’éducation, la santé, les transports, le vote, les banques et aujourd’hui ce sont 99% des services administratifs qui peuvent être utilisés en ligne. Ce développement s’est accompagnée d’un déploiement de la fibre optique sur tout le territoire. Conçu pour confier le contrôle aux citoyens plutôt qu’à l’autorité d’identification, ce système a aussi bénéficié d’une vision politique née aux lendemains de son indépendance en 1991, il a été choisi de se différencier en misant sur les nouvelles technologies et internet. Si X-Road est un système sécurisé (au sens qu’il est aussi sous le contrôle du citoyen) c’est parce que les données sont dans un système blockchain et que le transfert de données est décentralisé. Concrètement les données d’un Estonien ne sont jamais détenues dans un seul et même endroit et que les citoyens ont la possibilité de chiffrer leurs données afin de les rendre invisibles auprès de certaines administrations.

Pour en savoir plus : https://e-estonia.com/solutions/interoperability-services/x-road/


Au delà de ces quelques exemples, de nombreux pays ont développés eux aussi des programmes nationaux d’identités numériques intégrant des informations biométriques comme par exemple en Algérie, en Allemagne, en Australie, en Belgique, au Cameroun, au Canada, en Jordanie, en Italie, aux Philippines, au Kyrgyzstan, en Iran, au Japon, en Ukraine, au Sénégal, en Thaïlande, en Turquie et la liste ne va pas cesser de s’allonger.

En Europe depuis juin 2021, la Commission européenne a imaginé un portefeuille numérique personnel pour des utilisations publiques (démarches administratives) comme privées (location de services par exemple). Ce portefeuille d’identité pourrait inclure des attestations tels que des pièces d’identité, des permis de conduire, des diplômes ou des certificats de santé mais ne sera pas obligatoire.

C’est une tendance mondiale que la pandémie à beaucoup accélérée et pas seulement en France.

Pour que l’identité numérique soit valorisante dans certains contextes, les contraintes technologiques, juridiques et politiques le cadre doivent être construits sur une base de choix des utilisateurs, de consentement éclairé, de la reconnaissance des multiples formes d’identité, d’un espace pour l’anonymat et le respect de la vie privée. (…) En fait, certains soutiennent que la politique gouvernementale devrait se concentrer sur l’encouragement du développement d’une variété de systèmes d’identification et d’accréditation, et au lieu d’insister sur sa propre identité nationale particulière, les gouvernements devraient accepter toute carte ou dispositif apportant une preuve suffisante des informations requises pour une transaction. Source : https://www.accessnow.org/wp-content/uploads/2019/11/Digital-Identity-Paper-Nov-2019.pdf

L’accès à ces données est en France garantit par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. et la CNIL, l’accès aux informations vous concernant.


A terme donc quelle(s) solution(s) ?

L’identité numérique fait face à un double défi : celui d’un accès simplifié aux droits et services publics pour les publics fragiles ou pour qui cet accès est compliqué et sécuriser cet accès face des une évolution constante de la criminalité informatique. Tout en garantissant un accès à tous.

Sur le principe un certain nombre de cadres existent déjà qui pourraient permettre une utilisation “positive” telle que la norme ISO 18013-5, qui définit les spécifications des documents mobiles, repose sur des principes de confidentialité dès la conception et donne aux citoyens le pouvoir de sélectionner l’attribut d’identité qu’ils souhaitent partager sans divulguer leur identité complète.

Les nouvelles réglementations qui permettent une meilleure protection de la vie privée comme le RGPD (Règlement Général de Protection des Données), qui au delà d’être le cadre de référence dans la protection des données de l’Union européenne a inspiré d’autres législations :

  • Le Brésil qui depuis août 2020, a promulgué la LGPD (pour « Lei Geral de Proteção de Dados »)
  • La Californie qui s’est dotée d’un cadre juridique proche du RGPD avec les lois CCPA et CPRA depuis le 1 janvier 2020 (et à partir de Juillet 2023 pour la seconde).

Si la pandémie a accéléré la “construction” des systèmes d’identités numériques, elle a aussi apportée une autre fonctionnalité pertinente : l’anonymisation.

Concrètement, cette fonctionnalité permet de bénéficier de droits et d’accès à des services auxquels on a droit sans présenter son identité réelle, légale. L’utilisation qui en a été fait tenait plus de l’effacement automatique des données personnelles après l’authentification. Cela permet à la fois de garantir l’accès mais de le faire sans transmettre ses données personnelles si on le souhaite. C’est probablement l’une des pistes pour une utilisation plus protectrice des libertés individuelles de ces systèmes d’identification. J’y reviendrais dans le prochain article sur la question.

Pour conclure je vous cite une phrase de l’avis de la CNIL dans son très intéressant dossier thématique sur cette question :

La CNIL insiste cependant sur la nécessité de ne pas rendre ce moyen d’identification électronique obligatoire. Source : https://www.cnil.fr/fr/la-cnil-publie-son-premier-dossier-thematique-dedie-lidentite-numerique

Parce que bien sûr… on n’aura jamais l’idée de le rendre obligatoire…


Quelques liens pour poursuivre la réfléxion :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

RSS
Follow by Email
LinkedIn
Share
WhatsApp