Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Identité numérique : Alicem c’est fini, bienvenue à la CNIe

J’ai crié Alicem pour qu’elle revienne
Droit 10 min
Identité numérique : Alicem c’est fini, bienvenue à la CNIe
Crédits : metamorworks/iStock

La mission d’information de l’Assemblée sur l’identité numérique a rendu cet après-midi son rapport. Celui-ci arrive alors que l'Agence nationale des titres sécurisés (ANTS) lance son marché public sur le futur système d’identité numérique et qu’un certain nombre de points doivent être tranchés rapidement. 

Tirant le bilan des nombreux échecs en la matière et des craintes entourant l’application Alicem, qui pourrait être abandonnée, les députés formulent une quarantaine de recommandations.

Un objectif : déployer massivement une solution d’identité numérique régalienne s’appuyant sur FranceConnect et la future carte nationale d’identité électronique. Avec un préalable : rassurer les citoyens. La mission, présidée par la députée socialiste Marietta Karamanli, avec comme rapporteurs les marcheurs Christine Hennion et Jean-Michel Mis, était conjointes aux commissions des affaires économiques et des Lois.

Elle rend ses conclusions quelques semaines après un autre rapport du CNNum sur le sujet, alors que des arbitrages gouvernementaux devront être rendus cet été. En introduction, les députés rappellent que l’identité numérique, vise à répondre au « besoin d’un moyen simple et sécurisé de prouver leur identité en ligne », tout comme, dans l’espace physique, la carte nationale d’identité permet de prouver son identité.

L’identité numérique doit garantir la confiance dans l’accès à certains services et lutter contre l’usurpation d’identité. Le rapport reprend d’ailleurs le chiffre de 200 000 victimes en France (en réalité issu d’un sondage 2015 pour Fellowes, une société qui commercialise des destructeurs de documents et des broyeuses à papier).

Pour le rapport, « la mise en place d’une solution d’identité numérique régalienne est un service proposé à la population […] En aucun cas, l’identité numérique ne doit conduire à une authentification obligatoire des internautes ». Les députés rejettent fermement l’idée de mettre fin à l’anonymat sur Internet.

L’identité numérique concernera des services publics comme les « demandes de procuration de vote, d’aides sociales, d’inscription sur les listes électorales, de dépôt de plainte, de téléconsultation médicale, de demande de passeport ». Des nouveaux usages qui « pourraient également s’étendre aux services privés, comme les services bancaires (ouverture d’un compte, demande de crédit, virement d’un montant élevé, …) ou assurantiels ».

Autre exemple : le déploiement du dossier médical partagé ou une signature électronique authentifiée. Une identité numérique également utile pour les élections professionnelles ou associatives, voire pour les élections consulaires des Français de l’étranger, mais que les députés souhaitent écarter pour les scrutins étatiques.

Alicem critiquée, abandonnée et recyclée ?

Le dernier exemple de tentative d’identité numérique est l’application Alicem. Elle a été contestée, notamment car basée sur de la reconnaissance faciale. Les députés tentent de rassurer : « l’emploi de la reconnaissance faciale est restreint à une étape du processus d’enrôlement » et « seule la photographie du titre d’identité est comparée aux vidéos « challenge » tournées par l’utilisateur, avant qu’elles ne soient immédiatement supprimées ». La reconnaissance faciale, utilisée dans un cadre d’authentification biométrique, « ne pose pas de difficulté particulière ».

Pour les députés, la généralisation d’Alicem, prévue avant fin 2020, pourrait ne pas avoir lieu. Elle est toujours en phase d'expérimentation. Toutefois « Alicem aura permis de développer des technologies innovantes – également appelées « briques technologiques » – qui pourront à l’avenir être réutilisées dans les futures solutions d’identité numérique régalienne, pourvu que les pouvoirs publics tirent pleinement les leçons de cette expérimentation ».

L’idée est de reprendre ces éléments, tout en suivant les recommandations de la CNIL : la reconnaissance faciale demeurerait donc possible « puisqu’elle constitue un gage de simplicité et de rapidité strictement encadré par les droits européen et français ». Mais, « une modalité alternative d’enrôlement devrait être proposée aux usagers lors de la récupération de leur future carte nationale d’identité électronique en mairie, voire a posteriori, auprès des maisons France-Services ».

D’autant que la Commission européenne, est rétive à l’utilisation des technologies biométriques lors de la phase d’authentification, comme l’indiquent des avis rendus par le réseau eIDAS sur les systèmes belge et letton.

Les députés reviennent aussi sur le débat concernant la sécurisation d’Alicem. Baptiste Robert (@fs0c131y) a affirmé aux députés être parvenu à accéder à Alicem en préproduction à partir des traces publiques laissées par l’expérimentation de l’application, via un lien accessible par erreur sur un site public. « Il se serait également introduit dans l’application et y aurait découvert l’existence de failles techniques, parmi lesquelles le fait qu’Android, seul système permettant l’exploitation d’Alicem à ce jour, permet de rooter un téléphone ».

Ces éléments ont toutefois été contredits par le directeur de l’ANTS « qui a assuré à la mission d’information que rien, ni dans les traces systèmes ou applicatifs, ni dans les publications de M. Baptiste Robert sur son site, n’indique que ce dernier aurait réussi à tromper l’application ». Pour mettre un terme à ces interrogations, le ministère de l’Intérieur et l’ANTS prévoient de recourir à des hackers éthiques, afin de vérifier la sécurité de son dispositif.

Dans l’hypothèse où elle ne serait pas abandonnée, Alicem devrait également faire l’objet d’une certification par l’ANSSI.

Rassurer en s’appuyant sur FranceConnect

Pour convaincre, il faudra créer de la confiance, faire preuve de pédagogie et « associer l’ensemble des acteurs, y compris en mobilisant l’expertise citoyenne et associative ». Les députés notent que le cadre juridique national et européen a évolué depuis une dizaine d’années, devenant plus protecteur et rassurant.

Autre changement : la France dispose maintenant d’un point d’appui solide avec FranceConnect. Le nombre d’utilisateurs uniques est passé de 1 million en 2017 à près de 15 millions en mars 2020, gagnant près de 500 000 utilisateurs par mois en moyenne en 2019. Une des clés de ce succès est la simplicité et le nombre de services en ligne (700).

Les députés ont interrogé d’autres pays ; les solutions d’identité numérique les plus ergonomiques, simples d’usage et rapides sont plébiscitées. Il faudra aussi prendre en compte la fracture numérique et s’appuyer sur les collectivités locales, gage de succès. Point important pour la confiance : les fournisseurs d’identité ne peuvent commercialiser les données ou les communiquer à des tiers, garantissant le respect des données.

Néanmoins, le rapport rappelle qu’un certain nombre d’informations, dites « traces techniques » (identifiants techniques non signifiants, actions réalisées avec les date et heure) sont conservées pendant sept ans par FranceConnect à des fins d’audit ou pour répondre à un besoin de saisine judiciaire.

Le déploiement de la carte nationale d’identité électronique

Ce rapport arrive alors qu'une « fenêtre d’opportunité » s'ouvre pour l’identité numérique : le déploiement pilote des premières cartes nationale d’identité électronique (CNIe), qui aura lieu à partir d’avril 2021.

Dans son rapport le CNNum en expliquait la raison : « en février 2020, quinze pays européens ont notifié leurs schémas d’identification électronique auprès de l’Union après un examen par les pairs des États membres. En plus d’aborder l’identité numérique par la reconnaissance mutuelle, l’Europe harmonise les différents titres d’identité à travers le règlement (UE) 2019/115729. C’est pour répondre à ce règlement que l’État français multiplie les efforts pour mettre en place un titre électronique répondant aux mêmes critères que le passeport d’ici août 2021. Ce titre apparaît comme un support possible de l’identité numérique régalienne ».

Le premier parcours d’activation et de gestion d’une identité numérique sera disponible sur mobile, d’abord sur Android (iOS arrivera fin 2021), avant qu’un parcours pour ordinateur soit mis à la disposition en 2022. « Le choix de la CNIe comme support de l’identité numérique régalienne s’explique, selon les responsables du programme France identité numérique, par le souhait de tirer profit du déploiement prochain de ce titre nouveau pour mutualiser les coûts de délivrance ».

Par ailleurs, « les caractéristiques matérielles de la future carte (composition en polycarbonate) et l’utilisation de procédés technologiques spécifiques rendent ce titre quasi infalsifiable ». Le coût du système de gestion de l’identité numérique (SGIN), en cours de conception, serait de l’ordre de 35 millions d’euros sur quatre ans, dont 13 millions d’euros sur les deux premières années. L’essentiel du financement serait supporté par l’agence nationale des titres sécurisés (ANTS).

Selon le site La Lettre A, le marché sera divisé en quatre lots, sur des prestations d'assistance à maîtrise d'ouvrage, de développement logiciel, d’infrastructure informatique, mais aussi un logiciel de comparaison de photos et d'authentification faciale. Cette carte inclura dans une même puce deux applications complémentaires, mais indépendantes. D’abord, une application « Voyage » stockant les données d’identité alphanumériques mentionnées sur la carte et les données biométriques (photo et empreintes digitales). Cette partie de la puce ne sera accessible qu’au personnel dûment autorisé des autorités nationales et européennes.

Ensuite, une application « Identité numérique » ne stockant que les seules données alphanumériques, accessible sur présentation d’un code PIN connu du seul usager, si ce dernier a téléchargé l’application correspondante et « volontairement finalisé la procédure de création de son identité numérique (ce qui suppose la vérification de son identité, soit en face à face au moment de la délivrance du titre, soit par reconnaissance faciale) ». Il ne s’agit donc pas de créer une base de données de reconnaissance faciale.

Une fois l’identité numérique créée, l’usager aura la capacité de s’authentifier en ligne pour accéder de façon sécurisée à un service via FranceConnect. Le plus couramment, il se contentera de saisir son code PIN sur le smartphone. Pour les démarches sensibles, « une lecture sans contact du titre d’identité, via la technologie NFC, permettra de vérifier le lien entre le détenteur du smartphone et le titre d’identité, via l’accès aux données d’identité pivot présentes au sein de la CNIe ».

La place des acteurs économiques

Dernier point sensible : la place des entreprises. Pour les députés, « le rôle de l’État et celui des entreprises privées associées au développement des solutions d’identité numérique doivent être clairement définis et transparents ». Plusieurs acteurs économiques français se positionnent d’ores et déjà comme fournisseurs d’identité numérique.

Il y a bien sûr des solutions de connexion des grandes plateformes. Mais La Poste, via sa branche Docaposte, a lancé le 26 mai une solution d’identité numérique de niveau substantiel certifiée par l’ANSSI. Grâce à l’utilisation d’un passeport/CNI et d’un smartphone, l’utilisateur crée son identité numérique en ligne, sans présentiel, qui lui donne un accès aux 700 sites reliés à FranceConnect. Auparavant, un facteur devait assurer le déplacement et la vérification. Le service, gratuit pour les utilisateurs finaux, est monétisé auprès du secteur privé qui utilise cette solution d'identification.

La mission conclut que des entreprises pourraient être associées à la construction et au fonctionnement de l’architecture des solutions d’identité numérique régalienne, sous réserve d’un encadrement strict, via par exemple une certification de l’ANSSI. Le « modèle économique doit permettre à l’utilisateur de conserver le choix entre un fournisseur d’identité public et des fournisseurs d’identité privés. Il s’agit là, en effet, d’un principe de confiance permettant de respecter les préférences de chacun. Afin de ne pas concurrencer l’offre privée, l’identité numérique régalienne doit être considérée comme une brique de niveau supérieur de FranceConnect ». L’authentification via la CNIe et de la solution étatique ne serait donc obligatoire que pour certains services sensibles.

Les députés se sont aussi interrogés sur la valorisation des données d’identité numérique, permettant aux fournisseurs d’identité de partager des données complémentaires (au-delà des six données pivot) avec des fournisseurs de services. Pour les députés, il faut que l’État tranche ce point et garantisse, dans tous les cas, le consentement de l’utilisateur.

S’il veut que les entreprises participent au projet, il va falloir clarifier les règles du jeu. Par ailleurs, la mission souhaite encourager les utilisations à titre expérimental de la solution développée « pour permettre aux acteurs privés de s’approprier cette nouvelle solution ». Il s’agit là d’une demande forte des acteurs économiques intéressés.

35 commentaires
Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 08/07/20 à 15:21:14

Identité pivot ? Kesako ?
Un nouveau concept Fouriériste ? :D

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 08/07/20 à 15:29:36

Les députés rejettent fermement l’idée de mettre fin à l’anonymat sur Internet.

Bisous Dupond-Moretti :smack:

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 08/07/20 à 15:32:35

Multipass.:)

Avatar de Arcy Abonné
Avatar de ArcyArcy- 08/07/20 à 15:47:36

L’identité numérique doit garantir la confiance dans l’accès à certains services et lutter contre l’usurpation d’identité. Le rapport reprend d’ailleurs le chiffre de 200 000 victimes en France (en réalité issu d’un sondage 2015 pour Fellowes, une société qui commercialise des destructeurs de documents et des broyeuses à papier).
Le même sondage qui a vu Fr2 se poser des questions sur la véracité des chiffres ...

Sinon cette fameuse carte, avec stockage sur la CNI, c'est pas celle qu'on plébiscite depuis le début ?

Édité par Arcy le 08/07/2020 à 15:50
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 08/07/20 à 16:24:45

fais chier, je refais ma carte cet été. j'aurais bien voulu attendre la nouvelle CNI mais un an de plus avec une carte périmée depuis 2015, ça va faire beaucoup.

Avatar de jpaul Abonné
Avatar de jpauljpaul- 08/07/20 à 17:13:24

Dis que tu l’as perdu et demande un nouveau permis :)
En plus ils sont petits.

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 08/07/20 à 17:16:52

Fait le composter à un animal.:transpi:

Avatar de choukky INpactien
Avatar de choukkychoukky- 09/07/20 à 05:27:30

Si tu ne perds pas ton emploi ou que tu ne compte pas sortir du pays, ça ne pose aucun problème particulier.

Avatar de RuMaRoCO Abonné
Avatar de RuMaRoCORuMaRoCO- 09/07/20 à 06:13:55

Bientôt le nouvel encart sur PronHub "veuillez rentrer vos identifiant CNIe pour vérifié votre age."...

Avatar de savory Abonné
Avatar de savorysavory- 09/07/20 à 06:59:30

Plus besoin ! il suffit que pr0nhub passe par France Connect !

Il n'est plus possible de commenter cette actualité.
Page 1 / 4