Retour aux articles

Pour une facilitation du processus d’identification électronique

Tech&droit - Start-up, Données
10/10/2017
Un rien pressé par le temps, juste avant le terme de l’habilitation, le gouvernement vient de faire paraître au Journal officiel une ordonnance relative à l’identification électronique et aux services de confiance pour les transactions électroniques.

L’objectif :  certifier les procédés d’identification électronique mis à la disposition des citoyens et des entreprises et en rendre l’usage plus simple et plus fiable.
 
Le gouvernement espère ainsi que la normalisation de ces procédés contribuera au relèvement progressif de la sécurité des moyens d’identification électronique utilisés dans le cadre de démarches courantes (relations entre les banques et leurs clients, démarches administratives, commerce ou accès à des services en ligne). 
 
Plus précisément, cette ordonnance est prise en application des 1° et 2° du II de l'article 86 de la loi n° 2016-1321 du 7 octobre 2016 (JO 8 oct.) pour une République numérique.
 
 
Précision sur la notion d’identification électronique
C’est désormais l'article L. 102 du Code des postes et des communications électroniques (C. poste et télécommunication, art. L. 136, anc.) qui définit l’identification électronique. Il prévoit que « L'identification électronique est un processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale ».
 
Cet article précise également ce qu’est un moyen d'identification électronique : il s’agit d’ « un élément matériel ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier pour un service en ligne ».
 
L’ordonnance du 4 octobre est venue compléter cet article 102, en ajoutant les deux alinéas suivants :
§  « Le prestataire fournissant un moyen d'identification électronique autre que celui mentionné au III (c’est-à-dire un moyen d'identification électronique présumé fiable jusqu'à preuve du contraire, qui répond aux prescriptions du cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information, fixé par décret en Conseil d'État) et qui en fait la demande peut se voir délivrer par l'autorité nationale de sécurité des systèmes d'information une  certification attestant du niveau de garantie associé à ce moyen d'identification électronique ».
§  « L'autorité nationale de sécurité des systèmes d'information établit à cette fin, après avis de la Commission nationale de l'informatique et des libertés, les référentiels définissant les exigences de sécurité associées au moyen d'identification électronique. Ces exigences précisent notamment les critères retenus pour la délivrance du moyen d'identification électronique, pour la gestion de ce moyen, pour l'authentification, ainsi que pour la gestion et l'organisation des prestataires. Ces référentiels sont mis à disposition du public par voie électronique ».
 
Un décret en Conseil d’État doit venir définir précisément les modalités de cette certification.
 
 
 
Facilitation du processus d'identification électronique
En matière d'identification électronique, le règlement (UE) n° 910/2014 du Parlement et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur » (règlement eIDAS) apporte un cadre de référence à l'échelle européenne et introduit notamment les notions de schémas et de moyens d'identification électronique.
 
Il prévoit trois niveaux possibles de fiabilité des moyens d'identification électronique :
  • faible ;
  • substantiel
  • élevé.
 
Ces trois niveaux apportent des garanties différentes concernant le risque de fraude à l'identité. Le règlement eIDAS a, en outre, prévu un système de reconnaissance mutuelle des moyens d'identification électronique des États membres sur les services en ligne des autres États membres, dès lors que ces moyens ont fait l'objet d'une notification.
 
Au-delà de ce système de reconnaissance mutuelle, reposant sur des spécifications et procédures minimales communes précisées dans un règlement d'exécution, le règlement n'impose pas d'obligation particulière en matière d'identification électronique, ne prévoit pas de disposition relative à la preuve de son identité électronique et n'envisage pas de système de certification de ces moyens d'identification électronique. Il s'agit là néanmoins d'un premier pas vers une harmonisation de l'identification électronique à l'échelle européenne.
 
Afin de bâtir un cadre juridique national pour l'identité électronique au niveau national, à même de compléter efficacement les dispositions européennes, la loi pour une République numérique a introduit dans le Code des postes et des communications les notions d'identification électronique et de moyen d'identification électronique et a prévu le cas des moyens d'identification électronique présumés fiables.
 
En envisageant le seul cas des moyens d'identification électronique présumés fiables, la loi n'a cependant pas pris en compte le cas des moyens d'identification électronique offrant des garanties de sécurité importantes mais différentes de celles requises pour la présomption de fiabilité envisagée dans l'article L. 136 du Code des postes et des communications électroniques. Or, il s'agit là de moyens pouvant être intéressants pour certains usages ne nécessitant pas forcément le niveau de garantie associé à la présomption de fiabilité et dont le développement devrait également être encouragé. Cet encouragement à leur développement contribuerait de plus à une élévation globale du niveau de sécurité en matière d'identification électronique.
 
Chose faite, désormais, puisque l’ordonnance introduit une possibilité de certification, sur une base volontaire, des moyens d’identification électroniques (v. supra).
 
Adaptation du cadre juridique existant au règlement eIDAS
Le 2° du II de l'article 86 de la loi du 7 octobre 2016 précitée est une disposition technique qui avait pour objectif de donner les moyens nécessaires à une mise en conformité des textes nationaux avec le règlement eIDAS.
 
Au niveau législatif, seule une disposition de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives nécessitait une évolution. Il s'agissait d'une disposition concernant la validation des certificats : cette mesure n'est aujourd'hui pas utilisée et n'est, de surcroit, plus nécessaire avec l'entrée en application du règlement eIDAS. L’article 3 de l’ordonnance du 4 octobre vient de l’abroger.
 
Le gouvernement a désormais trois mois pour déposer le projet de loi de ratification de cette ordonnance.
Source : Actualités du droit