Identité numérique sécurisée - Les 5 forces qui façonnent notre présent.

L'identité numérique s'impose comme l'une des tendances technologiques les plus répandues mondialement.

Pour un grand nombre d'acteurs publics et de citoyens, elle fait déjà partie de leur quotidien, et elle révolutionne la manière dont nous échangeons avec les institutions.

C'est maintenant au tour du secteur privé de se lancer dans l'aventure.

Dans cette étude, nous mettrons en évidence les cinq principales tendances qui vont façonner le paysage de l'identité numérique pour 2022 et au delà.

Mais tout d'abord, examinons les faits marquants de la période 2016-2021 et commençons par une définition.

Qu'est-ce que l'identité numérique?

Une identité numérique est un ensemble d'attributs numériques (identifiants) et d'informations d'identification pour le monde digital, similaires à l'identité d'une personne pour le monde réel.

Habituellement émise ou réglementée par un système d'identification national, une identité numérique sert à identifier une personne en ligne ou hors ligne de manière formelle.

Elle peut inclure des attributs (identifiants) tels qu'un numéro, un nom, un lieu et une date de naissance, une citoyenneté, des données biométriques, etc., tels que définis par la législation nationale.

Avec des informations d'identification spécifiques (un numéro d'identification unique comme en Inde, un identifiant mobile comme en Finlande ou en Estonie, ou une carte eID comme en Allemagne, Belgique, Italie, Espagne ou Portugal), elle peut être utilisée pour authentifier son propriétaire et donc garantir son identité.

Ces informations d'identification peuvent également inclure un certificat électronique pour signer avec un code PIN par exemple (donner son consentement), sceller (protéger l'intégrité d’un message ou un contrat) et horodater (associer une heure à un acte).

On parle aussi d’identité numérique pour définir, plus largement, toutes les traces que nous laissons sur l’Internet et qui nous sont rattachées. Elles peuvent constituer un «portrait numérique» ou une représentation ou encore une identité sociale numérique qui nous caractériserait: nos intérêts, notre entourage, nos habitudes.

Identité numérique: les dynamiques sont enclenchées

Avant de se tourner vers le futur, repassons les années précédentes en revue. Nous aurons de bonnes pistes pour nous projeter sur 2022 - et au-delà.

1. Des programmes d'identité nationale électronique toujours plus nombreux 

• Lors de la conférence ID2020 Summit en mai 2016 à New York, les Nations Unies lancent des discussions sur l'identité numérique, la technologie blockchain, les technologies de chiffrement et ses avantages pour les populations les plus démunies. 400 experts y partagent les meilleures pratiques et de nombreuses idées pour fournir une identité universelle à chacun.
• De nombreux programmes nationaux d'identité électroniques (basés sur des cartes et/ou des solutions mobiles) ont été lancés ou initiés. C'est, par exemple, déjà le cas en Algérie, en Belgique (Identité sur mobile istme), au Cameroun, en Ecuador, en Jordanie, en Italie, Philippines, Kyrgyzstan, Iran, Japon, Ukraine, au Sénégal, en Thaïlande, en Turquie et des annonces ont été faites dans ce sens aux Pays-Bas, en Bulgarie, en Norvège, au Liberia, en Pologne, en Jamaïque, au Sri Lanka.
• La plupart de ces programmes intègrent désormais la biométrie, majoritairement sous forme d'empreintes digitales.
• Des projets tels que​​ l'initiative  Gov.UK Verify a été introduit en 2016. En aout 2021, le gouvernement britannique a publié sa nouvelle version d'architecture de confiance.
• L'Australie a annoncé que la première phase de son programme d'identité numérique sera lancée d'ici le mois d'Août 2017. Plus de 6 millions d'australiens et un million d'entreprises utilisent myGovID à fin 2021.
• En France, tout début janvier 2020, Docaposte, filiale numérique du Groupe La Poste a annoncé l'Identité Numérique La Poste, la première identité électronique française conforme au règlement eIDAS. Le service public d'identité numérique, France identité numérique, sera lancé début 2022. Cette application sur smartphone sera disponible pour les possesseurs de la nouvelle carte d'identité française.
• L'Allemagne a dévoilé son plan d'identité numérique national durant l'été 2020. Tous les citoyens pourront avoir une identité électronique sur mobile dérivée de leurs cartes d'identité nationale dès septembre 2021. L'authentification se fera avec un code PIN.
• ​Le Canada progresse également avec son programme d'identité numérique fédéral appelé Cadre de la fiducie pan-canadienne piloté par le Conseil canadien de l'identification numérique et de l'authentification, un organisme à but non lucratif (DIACC​). Un projet fédéral de validation de principe pour un service d'authentification unifiée par connexion appelé Sign In Canada doit démarrer à l'automne 2018.
• En Inde, lLe programme Aadhaar a franchi la barre du milliard d'utilisateurs en 2016. Au total, 1,3 milliard de résidents indiens ont obtenu leur identifiant Aadhaar​ fin 2021. Cette identité numérique peut être obtenue sur la base des données biométriques et démographiques.​ L'appllication mobile mAadhaar est disponible en 13 langues.

Exemple d'identité numérique: la vision du Canada (Septembre 2018)

2. Technologies et réglementations: la normalisation de l'identification numérique en marche

• Le programme d'identification pour le développement (ID4D) des Nations Unies et de la Banque mondiale a pour objectif d'offrir à chacun des habitants de la planète une identité légale d'ici 2030.
• Les projets de permis de conduire numérique (ou permis de conduire sur mobile) se multiplient dans des pays comme les États-Unis, le Royaume-Uni, l'Australie et les Pays-Bas.
• Des essais préliminaires de la Blockchain, une technologie de stockage et de transmission d'informations, transparente, sécurisée, et fonctionnant sans contrôle centralisé, se sont déroulés en Estonie, afin d'appuyer le développement d'un programme transnational novateur d'e​-résidence, et au Royaume-Uni, afin d'étudier comment améliorer l'efficacité des versements des prestations sociales aux citoyens.
• Les passages aux frontières et les aéroports intelligents apparaissent à un rythme soutenu. Avec plus d'un milliard​​ de passeports électroniques actuellement en circulation, et la poussée inexorable de la biométrie (notamment la reconnaissance faciale), ils offrent aux voyageurs sécurité, rapidité et transparence, lors de leurs déplacements à l'étranger.

• L'industrie de la sécurité a beaucoup travaillé pour améliorer les solutions IAM (Identity and Access Management) et de vérification d'identité. En particulier, les progrès de la reconnaissance faciale sont visiblement impressionnants. Grâce à l'intelligence artificielle, la précision des meilleurs algorithmes de reconnaissance faciale a été multipliée par 50 en moins de 6 ans.

• Le règlement eIDAS, sur l'identification et la signature électronique, est entré en vigueur en juillet 2016, et rend obligatoires l'interopérabilité des identités numériques des échanges électroniques depuis le 29 septembre 2018. Cela dit, il n'impose pas la mise en place d'un programme national d'identité numérique pour les 28 Etats membres.

• De nouvelles solutions de portefeuille d'identité sont sur le point de donner une forte impulsion aux systèmes d'identification numérique dans le monde entier. Cette technologie récente définit une application mobile sécurisée pour stocker des versions numérisées et cryptées de documents d'identité (carte d'identité, permis de conduire, carte de santé, etc.).

  En d'autres termes, les citoyens peuvent avoir toutes leurs informations d'identification à portée de main. De tels portefeuilles permettent aux citoyens de prouver leur identité et leurs droits en ligne et en face à face.  Surtout, le portefeuille permet au détenteur de partager ce qui est nécessaire pour vérifier une transaction et rien de plus. En effet, dans de nombreux cas d'utilisation, un attribut ou un droit particulier est juste nécessaire – l'âge, l'adresse, le droit de vote (citoyenneté) ou le bénéfice d'un programme d'aide sociale.

• A fin 2020, 19 schémas d'identité numérique sont interopérables en Europe dans 15 pays: Allemagne, Belgique, Croatie, Danemark, Estonie, Italie, Espagne, Lettonie, Lithuanie, Luxembourg, Pays-Bas, Portugal, République Tchèque, Slovaquie, Royaume-Uni.

• En juin 2021, la Commission européenne a suggéré de créer un portefeuille numérique personnel (ID wallet) pouvant être utilisé dans toute l'UE par plus de 80 % de la population de l'UE d'ici 2030. En savoir plus sur ce projet ci-dessous.

3. Émergence de nouvelles normes pour assurer compatibilité et interopérabilité

• Un nouveau groupe de travail de l'OACI sur les certificats de voyage numériques a été créé, piloté par l'Australie.
• Le sous-groupe Logical Data Structure 2 du Groupe de travail Nouvelles technologies de l'OACI a entamé la phase de conception de la norme LDS2, « l'avenir du passeport électronique ».
• Le comité technique n°14 de l'ISO SC17 WG10 a débuté ses travaux sur les normes de vérification pour le permis de conduire mobile et a défini le périmètre de la vérification hors ligne. Nous avons vu en 2018/2019 des ébauches de spécifications de vérification hors ligne et en ligne (ISO/IEC 18013-5).​​
• Les tests d'interopérabilité de cette norme ISO/IEC 18013-5 entre 2018 et 2021 ont permis de la finaliser en septembre 2021. Cette norme ISO devient une référence pour toutes les initiatives de modernisation des documents.
• Le groupe de travail sur l'identité mobile de l'IATA a été constitué en 2016 et a débuté ses travaux en 2017. En décembre 2020, l'IATA a lancé son Travel Pass.
• L'organisme américain de normalisation, le National Institute of Standards and Technology (NIST)  a précisé ses recommandations (NIST SP 800-63-3) en aout 2021.

• En outre, des alliances industrielles ont défini et standardisé la cryptographie et les protocoles dans des cadres et des technologies tels que OpenID connect, l'authentification Web W3C (FIDO2) et les JWT. Ces briques techniques peuvent aider à initier des écosystèmes d'identité numérique robustes.

​

Identité numérique: les 5 tendances à suivre 

Toujours dans la même dynamique de ces dernières années, les changements s'accélèrent grâce aux acteurs publics et leurs partenaires.

ABI research prévoit que 850 millions de citoyens disposeront d'une identité numérique mobile d'ici 2026.

Nous pensons que ces changements sont essentiels pour les autorités qui veulent faire de l'identité numérique (et des services en ligne de confiance - en particulier des services mobiles) une des clés de la transformation numérique.

Pour synthétiser, nous nous attendons à :

1. Davantage de mobilité et d'accès à l'Internet 
2. Une accélération de l'usage de l'identité numérique favorisée par l'explosion des services en ligne due à la Covid19
3. Le besoin accru de sécurité et de confiance 
4. Une demande croissante pour une gouvernance publique des systèmes d'identification numérique 
5. Une augmentation des programmes d'identité numérique régalienne

Examinons ces cinq forces.

1. Première force: la mobilité prévaut en termes de communication

Les identités seront de plus en plus mobiles.

Inutile d'être un expert pour remarquer que nous sommes désormais passés à l'ère de la connectivité mobile.

Cette tendance n'est pas sur le point de fléchir.

Et les conséquences sur l'identité numérique sont considérables. 

Voici quelques faits à retenir :

• Plus de 5 milliards de personnes ont accès à Internet en 2021.
• 50% du trafic internet est mobile à fin 2020 selon Statista. 
• 65% de la population sub-saharienne aura un smartphone en 2025.
• Google, qui s'est toujours intéressé aux avancées technologiques, est en train de miser sur un modèle entièrement mobile.

2. Deuxième force:  une accélération vers les services numériques

La pandémie a accéléré la tendance vers le numérique et booster l’usage de l’identité numérique en particulier.

Prenons deux exemples :

• Italie. En un an et demi, le nombre d'identités numériques délivrées par le dispositif national italien a explosé à 27 millions en décembre 2021 - contre 8 en juin 2020 - selon AGID (Agence pour le numérique en Italie.)
• France. Plus de 32 millions d'utilisateurs (contre 14 millions mi-2020) utilisent régulièrement FranceConnect pour s'authentifier et accéder à plus de 900 services en ligne en décembre 2021.

Non seulement de plus en plus de gouvernements peuvent délivrer à leurs citoyens un identifiant mobile de confiance, mais, ils peuvent aussi accélérer la dématérialisation des services publics.

Gartner prévoit d'ailleurs que, d'ici 2023, plus de 60 % des gouvernements auront triplé les services numériques aux citoyens.

• Au Danemark, NemID (bientôt appelé MitID), le système national d'identification numérique, atteint désormais 100 % d'adoption. Il est devenu obligatoire pour accéder aux services d’e-gouvernement du pays. Bien entendu, le dispositif a été conçu pour être inclusif en premier lieu et, à ce titre, offre des moyens d'authentification spécifiques aux personnes âgées, par exemple.

La pandémie offre donc une opportunité de changement systémique.

Dans son rapport de mars 2021, Gartner déclare que l'identité numérique régalienne est l'une des principales tendances qui peuvent transformer les services publics dans les mois à venir. Gartner prévoit que des normes émergeront d'ici 2024 et faciliteront l'exploitation de la technologie.

La pandémie mondiale a fait passer l'identité numérique de «pratique» à « indispensable » pour les gouvernements.

3. Troisième force: la garantie de sécurité reste un impératif pour tous

L'identité est, par essence, le trait d'union qui réunit l'individu et le collectif.

Pour les pouvoirs publics, le principal défi à relever sera d'harmoniser les liens numériques qui sécurisent les relations entre les nouvelles identités régaliennes et la société au sens large.

La seule manière d'atteindre cet objectif est d'instaurer un cadre de confiance, garantissant la protection est la sécurité des données personnelles.

La période 2016-2021 a confirmé, une fois de plus, que les exigences de sécurité accrue et de lutte contre la fraude, la protection des données et de l'identité des citoyens, sont généralement bien acceptées par les citoyens.

Ce sont bien sûr des sujets régaliens par excellence.

Pour répondre à ces nouveaux besoins en matière de confidentialité, la prochaine génération d'identification mobile arrive sur le marché sous la forme d'un portefeuille d'identification numérique.

Soulignant l'importance de ce changement, Gartner a positionné les « Portefeuilles d'identité pour les citoyens » au sommet de sa vague de technologies pour l’eGouvernement en 2021.

Qu'est-ce qu'un portefeuille d'identité numérique exactement ?

Il s'agit tout simplement d'une solution mobile qui permet aux citoyens de stocker, gérer et divulguer de manière sélective des données liées à l'identité provenant de différentes sources et à d'autres fins.

Par exemple, la norme ISO 18013-5, qui définit les spécifications des documents mobiles, repose sur des principes de confidentialité dès la conception et donne aux citoyens le pouvoir de sélectionner l'attribut d'identité qu'ils souhaitent partager sans divulguer leur identité complète.

Les schémas d'identité décentralisés et les normes d'informations d'identification vérifiables du W3C tentent également d'atteindre le même objectif, en donnant plus de contrôle aux citoyens sur leurs données.

Les derniers mois ont vu une avalanche de nouvelles réglementations concernant la protection de la vie privée dans le monde entier.

C'est à la lumière de ces attentes qu'il faut aussi comprendre la force du RGPD (Règlement Général de Protection des Données), le texte de référence en matière de protection des données de l'Union européenne.

Oui, une seule loi protège près de 500 millions de personnes depuis mai 2018.

Et cette tendance est confirmée de part le monde.

• En Inde, la Cour suprême a confirmé en août 2017, que la protection des données est un droit fondamental.
• Le Brésil a, depuis août 2020, une loi cadre regroupant plus de 40 textes, la LGPD (pour « Lei Geral de Proteção de Dados »)
• La Californie vient de se doter d'un cadre juridique proche du RGPD avec deux lois  (CCPA et CPRA) : l'une en vigueur depuis le 1 janvier 2020 et l'autre à partir de Juillet 2023. Ces textes serviront sans doute de modèles pour une loi fédérale (2021). Ils ont potentiellement une importance aussi grande que le RGPD européen.
• La Chine a validé son nouveau cadre de protection des données personnelles. Largement inspiré du RGPD, selon Le Monde, il est entré en application le 1er novembre 2021.

Pour en savoir plus, voir notre dossier sur la protection des données (en anglais).

Nous assistons depuis 2018 à l'émergence d'un consensus global.

Son principe est simple: la mauvaise gestion des informations personnelles ne sera pas tolérée.  Les entreprises ou organisations privées et publiques qui ne protègent pas correctement les données pourront se voir infliger de lourdes amendes.

Points importants à retenir :

• Les citoyens sont non seulement prêts à accepter, mais souhaitent et exigent une sécurité accrue.
• La période actuelle offre une occasion unique aux pouvoirs publics de revitaliser le lien fondamental qui les unit aux citoyens. Ils prouveront ainsi que la confiance collective n'est pas une relique du passé, mais un symbole identitaire puissant.

4. Quatrième force: la gouvernance publique est essentielle pour soutenir la croissance de l'économie numérique

Confrontés à une situation économique et sociale parfois tendue, les gouvernements sont inévitablement à la recherche de nouvelles opportunités pour une croissance harmonieuse et durable.

Avec la mise en place d'un environnement réglementé, une collaboration étroite entre le monde de la finance, les pouvoirs publics, à l'échelle nationale et locale, et les opérateurs de communication numérique permettra la création de solutions efficaces et la mise en œuvre des meilleures pratiques.

Bien entendu, ces nouveaux débouchés ne sont PAS une conséquence directe de l'identité numérique, mais de la multitude d'applications qui en découleront.

C'est une des conclusions du rapport d'information sur l'identité numérique en France présenté en juillet 2020 à l'Assemblée Nationale.

Il préconise aussi : "Une identité numérique gratuite pour les citoyens et les fournisseurs de services publics mais payante pour les acteurs privés."

C'est là où les banques, les assurances, et autres opérateurs pourront constater un retour sur investissement.

Comme nous l'avons déjà souligné, l'identité numérique sécurisée est désormais une réalité technique.

L'accent sera donc mis sur l'adoption de nouvelles structures et réglementations indispensables pour régir les services et transactions associés.

Qu'est-ce que cela signifie en pratique ?

Le rôle des pouvoirs publics consistera à :

1. Créer une dynamique nationale 
2. Soutenir et coordonner les investissements publics, sans lesquels les transformations des collectivités locales ne pourraient opérer efficacement 
3. S'assurer que ces multiples initiatives locales déboucheront sur une large palette de solutions cohérentes et interopérables: où qu'ils se trouvent, les citoyens mobiles auront besoin de se référer à des modes de services similaires.

5. Cinquième force: Plus d'initiatives nationales et de lancements

Au cours de ces années, le marché suivra ces initiatives.

Comment pouvons-nous en avoir la certitude ?

En raison des preuves de plus en plus nombreuses de l'adhésion à l'identité numérique forte et aux services associés.

Elles nous signalent clairement, depuis l'introduction de ce concept il y a une quinzaine d'années, que nous sommes arrivés à une étape charnière.

Une identité numérique pour tous les Européens

Dans sa proposition de juin 2021, la Commission européenne a spécifiquement suggéré de créer un portefeuille d'identité numérique, en anglais « digital id wallet ».

Selon ce rapport, les identités numériques basées sur des portefeuilles numériques stockées en toute sécurité sur des appareils mobiles sont clairement identifiées comme un élément majeur pour une solution pérenne.

Cette nouvelle pièce d'identité permettrait aux 450 millions d'habitants de l'UE d'accéder aux services publics et privés.

Pourquoi une nouvelle proposition ?

Le règlement eIDAS actuel « ne répond pas » aux nouvelles demandes du marché, selon la Commission.

Il y a plus.

L'ancienne réglementation était limitée au secteur public, complexe pour les tiers et manquait de flexibilité.

En d'autres termes, eIDAS n'a pas atteint son potentiel. Seuls 60% des résidents de l'UE ont accès à des systèmes d'identification de confiance et seulement sept systèmes d’identité sont entièrement mobiles.

En revanche, avec ce nouveau système d'identité numérique, au moins 80% devraient utiliser des identifiants numériques d'ici 2030.

Le portefeuille d'identité de l'UE pourrait fonctionner dans toute l'UE et inclure des attestations électroniques d'attributs tels que des pièces d'identité, des permis de conduire, des diplômes ou des certificats de santé et accéder à un large éventail de services. Ce portefeuille ne sera pas obligatoire pour les résidents.

Les portefeuilles harmonisés émis par les États membres se présenteraient sous la forme d'une application pour smartphone.

Les plateformes privées comme Facebook ou Google seraient « obligées » d'accepter le portefeuille européen d’identité numérique.

Les citoyens utiliseraient alors leur portefeuille d'identité de l'UE à la place, comme le dit Margrethe Vestager, la commissaire européenne à l'Europe numérique.

La suite?

Le projet devra être discuté avec les membres de l'UE.

Un accord sur les détails techniques est attendu d'ici l'automne 2022. Pour devenir une loi, le plan proposé devra être validé par les législateurs européens du Parlement européen.

 Les États-Unis et l’identité numérique

Comme le souligne le parlementaire Bill Foster en juin 2021 : « Il est temps que les États-Unis rattrapent le reste du monde en matière d'identité numérique ».

La stratégie nationale (américaine) pour les identités de confiance dans le cyber-espace avait pourtant exploré un système plus global de fournisseurs de services d'identité interopérables (publics et privés).

Les directives normatives d'identité numérique du NIST (Institut national des normes et de la technologie), connues sous le nom de NIST SP 800-63-3 ont même été publiées dès juin 2017 avec une édition étendue en 2020 et une nouvelle version est en cours de finalisation pour 2022.

Le pays manque clairement d'une stratégie globale d'identification numérique, comme l'a déclaré CSO Online (17 septembre 2020.)

Selon le site POLITICO, la loi sur l'identité numérique de 2020 revient en 2022 (Loi sur l'amélioration de l'identité numérique.)

En résumé, la conception d'un système d'identification américain cohérent devra s'attaquer aux aspects uniques de l’organisation fédérale, au rôle du secteur privé et aux problèmes de confidentialité et de sécurité.

Pour le moment, plusieurs États américains ont pris les devants et ont lancé ou envisagent de lancer des permis de conduire numériques (alias permis de conduire mobiles) avec la possibilité d'utiliser les identifiants en ligne.

En savoir plus et lire notre dossier web dédié au permis de conduire mobile (en anglais mobile driver’s license).

En savoir plus sur l'identité numérique dans le monde

• L'expression des identités numériques dans le monde (en français- étude collective de mars 2021) de la Secure Identity Alliance
• How governments can deliver on the promise of digital ID (en anglais) McKinsey -  (aout 2020)
• Digital identity is a national security issue (anglais) – Forbes August 2021  
• Europe wants to go its way on digital identity (anglais) -Tech crunch- June 2021
• Giving voice to digital identities worldwide (en anglais - février 2021) - The Secure Identity Alliance
• A technical deep dive into digital credentials (anglais) - Verifiable Credentials and ISO/IEC 18013-5 Based Credentials – UL Whitepaper

Maintenant, c'est à vous

Les prochaines années annoncent de nombreux changements.

Nous ne pouvons évidemment pas prétendre prévoir l'avenir et savoir quels seront les enjeux majeurs qui émergeront tout au long de cette nouvelle année.

Mais, peut-être avez-vous des idées à ce sujet ?

Si vous avez des remarques, une question à poser sur l'identité numérique ou l'identification ou si vous avez trouvé cet article utile, laissez nous votre commentaire dans l'encadré ci-dessous. Nous apprécions également toutes les suggestions pour l'améliorer.

N'hésitez pas à prendre contact avec nous.​