CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°377
Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
L’ambition de créer une identité numérique commune à l’Europe n’est pas nouvelle. Le règlement n° 910/2014, connu sous le nom de "règlement eIDAS", adopté le 23 juillet 2014, visait déjà à encadrer l’identification électronique, l’authentification et les services de confiance pour les transactions électroniques.
Cependant, ce cadre a révélé des limites, notamment en raison des disparités entre les États membres quant au développement et à l’interopérabilité de leurs systèmes nationaux d’identification électronique.
Lire aussi : Identité numérique : l’Europe met la main au portefeuille
eIDAS 2.0 : encadrer l’identité numérique en Europe
Pour remédier à ces insuffisances, la Commission européenne a proposé une révision du règlement afin d’étendre son champ d’application. C’est dans cette optique qu’a été envisagée la mise en place d’un portefeuille européen d’identité numérique, une initiative centrale du nouveau règlement (UE) 2024/1183 du 11 avril 2024 : eIDAS 2.0.
Le règlement eIDAS 2.0 vise ainsi à instaurer un cadre juridique cohérent et renforcé pour l’identité numérique au sein de l’Union européenne (UE), en garantissant une interopérabilité et une sécurité accrues. Il marquera évidemment un tournant dans la sécurisation des transactions numériques dûment attendue dans l’UE. Entré en vigueur le 20 mai 2024, le règlement prévoit plusieurs mesures transitoires allant jusqu’au 21 mai 2026 et au plus tard au 21 mai 2027.
Lire aussi : Dossier : Le futur (proche) de l'identité numérique
Vers de nouveaux services de confiance qualifiés
Les principaux objectifs de ce nouveau règlement sont d’accroître la coopération entre les services numériques publics et privés en favorisant la sécurité et la fluidité des transactions numériques en Europe, ainsi que de définir et d’intégrer de nouveaux services de confiance qualifiés.
En effet, dans la première version d’eIDAS, la notion d’archivage électronique se limitait au stockage de signatures électroniques qualifiées. Avec eIDAS 2.0, l’archivage électronique sera entendu plus largement comme "un service assurant la réception, le stockage, la récupération et la suppression de données électroniques et de documents électroniques afin d’en garantir la durabilité et la lisibilité, ainsi que d’en préserver l’intégrité, la confidentialité et la preuve de l’origine pendant toute la période de préservation" (Règlement eIDAS 2, article 1er) (voir Archimag 375).
Lire aussi : Éclairage juridique : avec eIDAS 2.0, l’archivage électronique est enfin reconnu au plan européen !
Un portefeuille d’identité numérique européen
La plus grande nouveauté de ce règlement reste toutefois la création du portefeuille d’identité numérique européen (EU Digital Identity Wallet, ou EUDIW), valable dans toute l’Union européenne et qui permettra aux utilisateurs de collecter et de partager des données relatives à leur identité.
L’ambition étant de gérer l’ensemble de leurs activités, et comme le soutient Ursula von der Leyen, présidente de la Commission européenne, de disposer d’"une identité électronique européenne sécurisée (…) que tout citoyen en Europe peut utiliser (…), [à travers une] technologie qui nous permet de contrôler nous-mêmes quelles données sont utilisées et la façon dont elles sont utilisées".
Le portefeuille numérique sera hébergé sur smartphone sous forme d’application mobile pour tous les citoyens et entreprises qui le souhaitent. Il fonctionnera comme un véritable "portefeuille" en permettant de lier l’identité numérique nationale à divers attributs personnels et documents officiels tels que l’état civil, l’âge, la nationalité, le sexe, le domicile, le permis de conduire, les diplômes, ou encore les moyens de paiement.
Lire aussi : Identité numérique : ce que prévoit eIDAS version 2
De nombreux avantages pour les citoyens
Il pourra être émis par des autorités publiques nationales ou des prestataires privés reconnus et pourra notamment être utilisé pour de nombreuses démarches en ligne : accéder aux services publics (effectuer une demande de passeport, de permis de conduire, etc.), ouvrir un compte bancaire, s’inscrire dans une université européenne, présenter des informations dans le cadre d’un voyage, louer une voiture ou un vélo, présenter son permis de conduire lors d’un contrôle, etc.
Ces portefeuilles d’identité numérique de l’Union européenne offrent de nombreux avantages significatifs pour les citoyens, les gouvernements, les fournisseurs de services numériques et la société dans son ensemble.
Lire aussi : Vérification d'identité à distance : les technologies évoluent
Sous le capot de l’EUDIW
Un fournisseur de portefeuille européen d’identité numérique sera soumis à des obligations strictes de confidentialité des données à caractère personnel. Il lui sera interdit de collecter des informations qui ne sont pas nécessaires à la fourniture des services associés.
Il ne devra pas non plus combiner des données personnelles ou d’identification avec celles provenant d’autres services ou de tiers, sauf si l’utilisateur en fait expressément la demande (Règlement eIDAS 2, article 5 bis [14]).Plus généralement, les traitements de données à caractère personnel qui y sont associés devront respecter l’entièreté du RGPD, rappelle le règlement (Règlement eIDAS 2, article 5 bis [17]).
Lire aussi : eCNI : quand la carte d’identité se dématérialise
Transparence et sécurité
Les portefeuilles d’identité numérique de l’UE, sous licence open source, garantiront transparence et sécurité. Le fonctionnement de ces portefeuilles devra être transparent, notamment en permettant un traitement vérifiable des données personnelles.
À cet effet, les États membres devront rendre public le code source des composants logiciels de l’application utilisateur des portefeuilles, y compris ceux liés au traitement des données personnelles et des données des entités juridiques. La publication de ce code sous une licence open source permettra ainsi à la société, aux utilisateurs et aux développeurs de comprendre, d’auditer et d’examiner le fonctionnement du code (Règlement eIDAS 2, article 5 bis [3]).
En revanche, des lois nationales pourront prévoir que le code source de composants spécifiques autres que ceux installés sur les dispositifs utilisateurs ne soit pas divulgué (ibidem).
Lire aussi : Vérification d’identité à distance : quelles technologies ?
Des défis à relever
Même si ces mesures offrent un cadre solide pour une identité numérique européenne, il est important de noter que l’EUDIW ne remplacera probablement pas les documents d’identité que les citoyens de l’UE utilisent actuellement, mais en proposera une version numérique, plus pratique. Le règlement ne devrait pas opérer de distinction entre les données électroniques et les documents électroniques créés sous une forme électronique et les documents physiques qui ont été numérisés (Règlement eIDAS 2, considérant 66).
Pour être accueilli, l’EU Digital Identity Wallet doit encore franchir plusieurs étapes. Tout d’abord, le coût associé à sa mise en place pour les États membres est substantiel.
Par ailleurs, la nécessité d’informer et de sensibiliser les citoyens à l’utilisation de l’identité numérique représente un enjeu majeur. Du côté des acteurs, les enjeux de la sécurité et de la confidentialité des données contenues dans le l’EUDIW sont primordiaux.
Lire aussi : E-administration : les Français peuvent s’authentifier à FranceConnect+ en utilisant France Identité
Vers un cadre numérique plus sûr
Il est aussi à craindre que peu d’Européens n’adhèrent à son utilisation, notamment en fonction de la capacité des États membres à établir des systèmes offrant un niveau de sécurité suffisant et à rassurer le public sur ces questions.
En tout état de cause, ce règlement semble aspirer à établir un cadre numérique plus sûr, plus fiable et plus interopérable pour tous les citoyens et entreprises en Europe. Il s’agit également, au même titre que le RPGD, le Data Act ou l’AI Act, de garantir et d’affirmer la souveraineté numérique de l’Union européenne.