Carte d'identité, Vitale, permis de conduire : où est-on de l'identité numérique ?

Vos papiers dématérialisés s'il-vous-plaît
00
Droit 13 min
Carte d'identité, Vitale, permis de conduire : où est-on de l'identité numérique ?
Crédits : gael_f/iStock
Vincent Hermann
Par Le vendredi 19 mai 2023 à 07:33
Signaler une erreur
Mise à jour :

Nous avons mis à jour l'actualité avec les informations récemment révélées par le gouvernement au sujet du permis de conduire, dont il sera possible de créer une « copie certifiée conforme » numérique en début d'année prochaine.

La CNIL vient de faire paraître un vaste récapitulatif sur l’identité numérique. L’occasion de revenir sur cette thématique, ses notions, ce qu’elle recoupe et les problèmes rencontrés, ainsi que de faire le point sur la dématérialisation de la carte nationale d’identité, la carte Vitale ou encore le permis de conduire.

La Commission nationale informatique et libertés a publié un récapitulatif bienvenu sur l’ensemble du sujet. De nombreux points y sont abordés, comme la différence entre les notions d’identité et d’identité régalienne, entre l’identification et l’authentification, la chaine d’authentification sur un service ou une application, la biométrie, et surtout l’identité numérique, qui nous intéresse aujourd’hui.

Les liens entre mondes physique et numérique ne sont pas toujours évidents. Par exemple, l’Union européenne impose depuis 2019 que des techniques biométriques soient utilisées sur la carte nationale d’identité. Une photo du visage et deux empreintes digitales sont ainsi stockées de manière sécurisée dans le document. Cela n’en fait pas en revanche une carte numérique pour autant : elle ne peut être utilisée que dans le monde physique.

En France, c'était du moins vrai jusqu'à il y a peu.

CNIE, la seule identité numérique officielle pour l’instant

En France, jusqu’à très récemment, la seule preuve d’identité numérique était la CNIE, ou carte nationale d’identité électronique. Il s’agit simplement de la dernière version de la CNI, au format « carte bancaire ». Elle contient une puce électronique pour stocker les données précédemment citées, en plus d’afficher les informations habituelles : nom, prénom, sexe, date et lieu de naissance, nationalité, nom d’usage, numéro de la carte, date d’expiration et code de lecture automatique. À l’arrière se trouvent la taille, la date de délivrance, l’adresse postale, un code datamatrix (et non QR), la puce électronique, ainsi que la zone de lecture automatique comprenant nombre de ces informations.

Depuis quelques mois, cette CNIE peut servir à la création d’une identité numérique (et donc totalement dématérialisée) sur l’application France Identité, disponible en bêta sur Android et iOS (nombre maximal de testeurs déjà atteint). Elle permet aux personnes possédant une CNIE de s’identifier et s’authentifier auprès d’organismes publics ou privés liés par convention à FranceConnect ou au ministère de l’Intérieur.

CNIE

L’application représente un pas important, puisqu’elle permet diverses opérations supplémentaires, comme la possibilité de prouver certains attributs liés à son identité (dont le plus évident est l’âge), l’exploration des données contenues dans la CNIE, ainsi que la création de justificatifs d’identité, plutôt que de recourir aux sempiternelles photocopies. Une évolution jugée très favorablement par la CNIL, qui y voyait un outil efficace de lutte contre la fraude documentaire, une hausse de la sécurité en réduisant la circulation des photocopies et un renforcement de la vie privée, l’application permettant de ne partager que les données strictement nécessaires.

Les prochaines étapes pour l'application France Identité sont :

  • 22 mai : augmentation de la jauge de la version bêta à 10 000 bêta-testeurs
  • D’ici à la fin de l’été : ouverture d’une jauge en version stable à 100 000 personnes
  • Avant la fin d’année : ouverture généralisée de l’application

Le point négatif, cependant, est qu'il faut obligatoirement cette nouvelle carte d'identité numérique pour se servir de France Identité. L'application prendra en compte les passeports et titres de séjour début 2024, mais rien n'est prévu pour les anciennes cartes d'identité, qui constituent l'écrasante majorité actuellement.

La France n’a en outre rien d’une pionnière dans ce domaine. En Europe, l’Estonie avait ouvert la voie en 2002 avec une carte d’identité électronique. Il y a plus de 20 ans, la puce contenait déjà deux certificats, l’un pour l’authentification en ligne, l’autre pour la signature électronique. Cette carte a été complétée en 2007 par une application. Toutes deux sont conformes au règlement eIDAS, qui s’applique en Europe à l’identification électronique, aux services de confiance et aux documents électroniques. En Belgique, la carte électronique est apparue en 2004 et la totalité de la population en a été dotée en cinq ans. En Allemagne, elle est arrivée en 2010.

L’identité numérique face à ses enjeux

Lorsque l’on parle d’identité numérique, de quoi parle-t-on ? La notion recouvre plusieurs aspects, et apporter la preuve que l’on est bien qui l’on prétend être n’est que l’une d’elles. Puisque la CNIE et l’application peuvent servir de clé d’accès à des services, on pourrait craindre par exemple un suivi à la trace des actions numériques d’une personne. C’est notamment la crainte derrière la preuve de la majorité pour l’accès aux sites pornographiques, adoptée récemment par le Parlement, et sa possible extension à l’ensemble des services en ligne réclamant d’avoir au moins 18 ans.

En d’autres termes, il faut qu’un même usager puisse à la fois se servir d’une identité numérique régalienne pour des opérations « officielles » comme l’inscription sur les listes électorales, et des identités numériques alternatives pour d’autres services en ligne, comme l’inscription sur les réseaux sociaux.

Le pseudonyme et le nom d’usage sont inscrits dans les textes. Dans son avis du 12 juin 2009, le Comité européen de la protection des données (regroupement des CNIL européennes, anciennement G29) prévoit ainsi que toute personne puisse utiliser un pseudonyme sur les réseaux sociaux. Le règlement eIDAS le prévoit également pour l’ensemble des transactions électroniques.

La CNIL rappelle, en outre, que la « pluralité des identités est aussi un moyen que chacun peut utiliser pour séparer les différents aspects de sa vie. Ce n’est plus seulement une question de sécurité des données, face par exemple aux risques d’usurpation, il s’agit aussi d’une question de possibilité laissée à chacun d’avoir plusieurs identités, plus ou moins complètes, par contexte d’usage, et non reliées entre elles ».

Si la Commission rappelle que l’anonymat en ligne est davantage un pseudonymat, elle pointe qu’une « obligation de déclaration d’identité pour naviguer pourrait avoir des effets néfastes sur la liberté d’expression ». Pour preuve, la Corée du Sud s’était dotée en 2007 d’une loi obligeant ses citoyens à fournir une preuve de leur identité régalienne avant de s’inscrire aux principales plateformes locales et de pouvoir choisir un pseudonyme. Elle avait été retoquée en 2022 par la Cour Constitutionnelle à cause de ses effets délétères sur la liberté d’expression, principalement l’auto-censure et l’exode vers les plateformes étrangères.

Elle milite donc pour la pluralité des solutions d’identité numérique pour éviter tout risque de centralisation de l’information et de « concentration des risques par le biais d’un canal exclusif ». En plus des risques immenses que ferait courir une compromission d’une telle architecture, la CNIL ne veut pas non plus entendre parler de suivi des individus. Un tel service irait dans le sens d’un fichier de population et entrainerait le suivi de ses activités en ligne.

Précisons tout de même qu’il existe bien un fichier contenant les identifiants techniques de la population française, composés à l’aide de leur état civil. Il a été rendu nécessaire pour établir ce lien dans FranceConnect. Son usage est strictement encadré, le fichier ne devant pas sortir de FranceConnect. Il ne peut par exemple pas être utilisé par les ministères pour lier d’autres informations, de la même manière que le numéro fiscal ne peut pas être utilisé pour accéder aux services de la sécurité sociale. Du moins pas directement, puisque c’est FranceConnect qui assure le passage de relai.

Minimisation des informations et RGPD

Pour la CNIL, il n’y a qu’une manière de penser correctement un service en ligne : en minimisant les informations que l’on doit lui fournir. Un élément-clé du privacy by design, d’ailleurs rendu obligatoire par le Règlement général sur la protection des données.

Idéalement, un service en ligne ne réclame que les informations strictement nécessaires à son bon fonctionnement. La CNIE est par exemple capable d’assurer la divulgation sélective d’attributs et la preuve à divulgation nulle de connaissance. La première permet de ne fournir que la ou les données nécessaires, la seconde à fournir une preuve sans révéler les informations proprement dites, par exemple pour justifier de sa majorité.

Sur ce point, rappelons que la CNIL s’est estimée « satisfaite » que ses recommandations aient été suivies dans l’élaboration du mécanisme de contrôle pour la vérification de l’âge à l’entrée des sites pornographiques. Ces recommandations s’articulaient autour de trois axes :

  • Que le contrôle soit effectué par un tiers, et non par le site visité lui-même
  • Que ce tiers puisse certifier de l’âge requis, mais sans avoir connaissance des sites visités
  • Que le site visité reçoive la preuve de l’âge, mais sans connaître l’identité

Elle ne pourra pas juger de l’effectivité des solutions d’interdiction aux mineurs, mais elle contrôlera leur conformité au RGPD, ce dernier n’empêchant pas le contrôle de l’âge. Cependant, la Commission se serait parfaitement contentée d’une vérification par carte bancaire. En outre, dans un avis rendu en juillet 2022, elle recommandait de ne pas utiliser d’informations identifiantes supplémentaires. Peine perdue.

Sur le thème de la minimisation, la CNIL donne en exemple l’application TousAntiCovid. Malgré des couacs, ce passe sanitaire électronique a été créé en tenant compte des recommandations de la Commission. Ainsi, le code QR affiché était lisible dans certains cas, comme dans les restaurants ainsi que durant les contrôles aux frontières, mais n’affichait pas les mêmes informations. Selon les cas, les personnes en charge des contrôles n’avaient pas la même version de TousAntiCovid Verif, permettant de n’afficher que les informations strictement nécessaires.

Centraliser ou ne pas centraliser ?

Dans son dossier thématique, la CNIL pose la question : faut-il centraliser ou décentraliser les données ? Après tout, les deux solutions ont leurs forces et faiblesses.

Dans le cas de la centralisation, la base de données est toujours à jour, offrant de multiples bénéfices. Le plus important est de pouvoir bloquer très rapidement un moyen d’identification révoqué. Les contreparties sont connues : le serveur a accès à toutes les informations (qui accède à quoi et quand) et est une cible de choix pour les attaques.

La décentralisation atténue grandement ces deux problèmes, aucune entité n’étant en mesure de réunir l’ensemble des données. En revanche, la « gestion de moyens d’identification volés, perdus ou périmés, et donc leur révocation, doit être réalisée par un mécanisme dédié ». En d’autres termes, si les bases se partagent une liste de révocation (comme c’est souvent le cas dans ce type d’architecture), il peut s’écouler un délai allant jusqu’à plusieurs jours, selon la fréquence de mise à jour et de partage de cette liste. Ce qui permettrait à une identité révoquée d’être quand même utilisée pendant ce délai.

Dans ce domaine, la recommandation de la CNIL est simple : il faut décentraliser. La Commission prend pour exemple FranceConnect, qui fournit des API « FranceConnectées ». Ces interfaces autorisent le partage de certaines informations dans des conditions précises, des attributs tels que le statut étudiant ou le revenu fiscal de référence. Toute entité qui aurait besoin de ces informations doit en faire la demande et n’obtiendra, en cas d’accord, que les informations minimales pour garantir le fonctionnement d’un service.

La CNIL note le cas particulier de la Belgique, où cette logique est devenue réglementaire. Des « sources de données authentiques » ont ainsi été définies et sont les seules habilitées à produire et fournir certaines données. En outre, les administrations se servant de ces données ont l’interdiction d’en produire des copies intégrales.

C’est probablement ce concept qui a donné l’idée à la DINUM de lancer l’expérience « Mon FranceConnect », dont la mission est de « générer, de manière décentralisée, des informations attachées à une identité FranceConnect ». La CNIL estime cependant que ce type d’initiative devrait se développer au niveau européen, dans le cadre du portefeuille d’identité numérique (PEIN).

Carte Vitale : où en est-on ?

On parle depuis longtemps de l’arrivée de la carte Vitale électronique, aussi appelée « e-carte Vitale ». Elle a globalement pris du retard, mais sera proposée à l’ensemble des assurés sociaux d’ici la fin 2025, selon le calendrier établi par chaque caisse nationale d’assurance maladie.

De quoi s’agit-il ? Du pendant France Identité de la carte Vitale. Il s’agit d’une version dématérialisée, qui sera disponible à travers une application dédiée, Carte Vitale. Les avantages attendus sont les mêmes, au-delà de l’aspect pratique de ne pas avoir besoin d’avoir sa carte sur soi, puisque les informations seront stockées dans l’application sur le téléphone.

Comme France Identité, l’assuré(e) aura sous la main l’ensemble des capacités de la carte, comme lorsqu’on la donne à son médecin ou en pharmacie, avant de régler une ordonnance. Il sera également possible de consulter ses droits, de suivre les remboursements en cours et de télécharger les documents nécessaires à sa prise en charge. Sur les services de santé, elle pourra être utilisée comme une alternative à FranceConnect.

Dans un point d’étape publié le 22 février, la CNIL indiquait que le gouvernement avait tenu compte de ses demandes et avait, en conséquence, largement modifié le projet de décret sur les questions de déploiement progressif, les risques d’élargissement de la fracture numérique, les conditions de mise en œuvre du traitement des informations biométriques ou encore les conditions dans lesquelles les services numériques pourront utiliser cette carte dématérialisée comme moyen d’identification électronique.

Permis de conduire : le printemps 2024 en ligne de mire

Le permis de conduire ne semblait pas être une priorité, jusqu’à récemment sur le site de France Identité. On y apprend qu’une expérimentation débutera au troisième trimestre dans trois départements : Rhône, Hauts-de-Seine et Eure-et-Loir, avant une généralisation à l'ensemble des citoyens début 2024. Des « territoires représentatifs du pays avec un mix urbain et rural », selon explique Anne-Gaëlle Baudouin-Clerc, directrice de l'Agence nationale des titres sécurisés (ANTS), citée par Le Parisien.

L’expérimentation permettra de numériser le permis de conduire dans France Identité, quel que soit son âge s’il est encore valide. Il y aura deux manières d’importer le permis dans l’application : scanner le code QR présent sur le relevé d’information restreint (RIR), récupérable depuis le site Télépoints, ou importer directement ses droits à conduire depuis France Identité, qui interrogera alors la base de données de la Délégation à la sécurité routière.

France Identité permis de conduire

Attention cependant, car même si cette capacité sera offerte à tous, il faudra avoir numérisé avant sa carte nationale d’identité électronique (CNIe). Comme dit précédemment, cette carte n’est arrivée qu’en 2021 et n’est donc que peu répandue. Autre point important, cette version numérique ne remplacera pas le permis physique, qui devra être gardé précieusement.

Le permis de conduire numérisé sera, pour reprendre l’explication du ministre de l’Intérieur, Gérard Darmanin, « une copie certifiée conforme d'un document administratif qui sera à la fois utile dans la lutte contre le fléau des usurpations d'identité mais aussi pour faciliter l'obtention, par exemple, d'une procuration ».

Deux utilisations sont prévues. D’une part, la possibilité de présenter ses « droits à conduire » directement depuis l’application lors d’un contrôle routier. Les smartphones NEO de la police et de la gendarmerie en tiendront compte. D’autre part, la génération d’un justificatif pouvant attester de sa capacité à conduire. Le processus demandera la cible de cette attestation, dont le contenu variera légèrement selon le contexte (employeur, loueur de véhicule, etc.). Cette génération pourra également servir lors des démarches administratives, comme la demande de procuration.

Enfin, l'ANTS pilote un consortium, nommé POTENTIAL, réunissant 148 participants issus de 19 Etats membres et de l'Ukraine. Objectif : « tester le déploiement d’un portefeuille d’identité numérique permettant de simplifier et de sécuriser les démarches en ligne des citoyens européens au travers des six cas d’usages dont le permis de conduire ».

Signaler une erreur
Ce contenu est désormais en accès libre

Il a été produit grâce au soutien de nos abonnés, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
0,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7275

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires