L’Europe veut nous imposer une identité numérique pour mieux nous pister

Il faut tout d’abord rap­pel­er que l’UE a fixé à l’ensem­ble de ses Etats mem­bres, dès 2022 (Plan pour une Europe numérique à l’horizon 2030), trois objec­tifs :

  • Ser­vices publics clés : 100 % en ligne.
  • San­té en ligne : 100 % des citoyens ont accès à leurs dossiers médi­caux en ligne.
  • Iden­tité numérique : 80 % des citoyens pos­sè­dent une iden­tité numérique.

Ce pro­gramme hyper clair de numéri­sa­tion imposée n’a jamais été débat­tu démoc­ra­tique­ment en France et appa­raît tou­jours morcelé entre dif­férentes mesures (con­traire­ment à la Bel­gique où une seule ordon­nance rap­pelait ensem­ble les trois objec­tifs). Cette stratégie masquée vise à éviter les con­tes­ta­tions.

Nous avons déjà large­ment doc­u­men­té et con­testé les effets de l’accès seule­ment numérique imposé aux ser­vices publics en France. Sur le mod­èle des vic­toires belges, vous voulons dans les prochains mois obtenir la pos­si­bil­ité d’un accès non numérique aux ser­vices publics, avec de nom­breuses autres organ­i­sa­tions.

Nous con­te­stons aus­si, avec d’autres (SMG, Inter­hop…), le Dossier Médi­cal Partagé (DMP ou Mon­E­space­San­té) qui, sous cou­vert d’un regroupe­ment “pra­tique” de nos don­nées médi­cales, met fin de fait au secret médi­cal et, en plus, trans­fert l’ensem­ble de ces don­nées ultra-sen­si­bles au géant améri­cain Microsoft (par le biais du plan macro­niste du Health Data Hub) !

L’i­den­tité numérique est cette troisième ten­tac­ule des­tinée à nous pis­ter de façon con­tin­ue !

Nous avons déjà doc­u­men­té les straté­gies déployées en France pour nous impos­er pro­gres­sive­ment cette iden­ti­fi­ca­tion numérique, pas­sant par des argu­ments de san­té (le pass san­i­taire pen­dant le temps du covid, depuis devenu Passe­port numérique de san­té européen puis mon­di­al), de doc­u­ments d’i­den­tité divers (nous en fai­sions un inven­taire exhaus­tif dès 2023 : Carte nationale d’i­den­tité élec­tron­ique, Passe­port bio­métrique, por­tail France Con­nect, imposé pour toute une série de démarch­es, et autres per­mis élec­tron­ique, e‑carte vitale).

Mais il est néces­saire de revenir à l’ap­pel­la­tion européenne de départ (porte­feuille européen d’identité numérique, ou PEIN) pour mieux envis­ager le plan d’ensem­ble et ses risques pour nos lib­ertés, comme nous y invite un arti­cle de recherche pub­lié dans The Con­ver­sa­tion, dont nous reprenons des extraits ci-dessous.

France Iden­tité offre une iden­tité numérique nationale régali­enne qui, d’ici la fin de l’année 2026, pour­ra être util­isée dans toute l’Union européenne – une fois qu’elle aura été mise en con­for­mité avec le règle­ment européen eIDAS 2, qui établit le cadre européen relatif à une iden­tité numérique.

A cette date elle devien­dra un porte­feuille européen d’identité numérique (PEIN), qui per­me­t­tra à chaque citoyen et rési­dent européen de béné­fici­er d’un accès sim­pli­fié à dif­férents ser­vices numériques en Europe, qu’ils soient éta­tiques (établir une procu­ra­tion de vote par exem­ple) ou com­mer­ci­aux (envoy­er sa carte grise à son garag­iste).

L’objectif est de lut­ter con­tre l’augmentation con­stante des usurpa­tions d’identité et des cyber­at­taques, comme le phish­ing (ou hameçon­nage) qui con­siste à envoy­er des SMS ou des mails fraud­uleux des­tinés à tromper la vic­time et à l’inciter à com­mu­ni­quer ses don­nées per­son­nelles et/ou ban­caires.

À cette fin, le PEIN per­me­t­trait à son util­isa­teur d’exercer un con­trôle sur son iden­tité et ses don­nées, et d’accéder à des ser­vices numériques trans­fron­tières publics et privés. Comme la plu­part des appli­ca­tions numériques, l’introduction de ces porte­feuilles com­porte aus­si des risques, notam­ment de vols d’identité, de frac­ture numérique ou d’ingérence étrangère.

À retenir

  • Un porte­feuille d’identité numérique pour­ra con­tenir les don­nées d’état civ­il et des jus­ti­fi­cat­ifs élec­tron­iques (per­mis de con­duire, carte vitale, pre­scrip­tion médi­cale, titres de trans­port, fac­tures, diplômes…) afin de faciliter les procé­dures et les échanges d’informations au sein de l’UE.
  • Les pays de l’Union européenne doivent pro­pos­er au moins un porte­feuille d’identité numérique à leurs citoyens et rési­dents d’ici la fin de l’année 2026. Ceux-ci pour­ront être publics ou privés, avec des fonc­tion­nal­ités comme la sig­na­ture élec­tron­ique gra­tu­ite.
  • Avant leur mise en ser­vice à l’échelle européenne, les porte­feuilles devront être cer­ti­fiés par l’État mem­bre qui les émet, ce qui devrait lim­iter les risques en matière de cyber­sécu­rité.
  • Comme tou­jours, ces garanties ne peu­vent être absolues : des con­trôles effec­tifs et des sanc­tions dis­sua­sives devront être mis en place. Il restera essen­tiel de dis­pos­er d’une alter­na­tive physique aux doc­u­ments numériques afin de préserv­er la résilience et la sou­veraineté d’un État en cas de cyber­at­taque, mais aus­si de per­me­t­tre à chaque citoyen de choisir ou non d’utiliser un PEIN.

Un portefeuille, pour quelle utilisation ?

Le PEIN per­me­t­tra à son util­isa­teur de s’identifier auprès des ser­vices publics ou privés, notam­ment com­mer­ci­aux, dans toute l’Union européenne (UE). Un citoyen français équipé de ce porte­feuille pour­rait ain­si inter­a­gir avec l’administration alle­mande au même titre qu’un citoyen alle­mand, sans avoir à effectuer de démarch­es sup­plé­men­taires.

En fonc­tion des besoins de son ou sa tit­u­laire, le PEIN pour­ra con­tenir des infor­ma­tions, dont ses don­nées d’état civ­il (prénom, nom, date de nais­sance, lieu de nais­sance et nation­al­ité) ain­si que des jus­ti­fi­cat­ifs élec­tron­iques (per­mis de con­duire, carte vitale, pre­scrip­tion médi­cale, titres de trans­port, fac­tures…).

L’utilisateur pour­rait présen­ter à terme ce type d’attestations à un ser­vice, par exem­ple envoy­er à son futur employeur son diplôme et un jus­ti­fi­catif de domi­cile ou présen­ter une pre­scrip­tion médi­cale délivrée par son médecin français dans une phar­ma­cie belge. Ce véri­ta­ble trousseau de clés numérique lui per­me­t­trait de franchir les fron­tières en présen­tant ses doc­u­ments élec­tron­iques (passe­port, visa, voire des bil­lets d’avion).

Le porte­feuille per­me­t­tra égale­ment de sign­er élec­tron­ique­ment des doc­u­ments avec des sig­na­tures dites « qual­i­fiées ». La sig­na­ture, apposée notam­ment sur un con­trat d’ouverture de compte ban­caire ou de loca­tion de voiture, aurait alors la même valeur juridique qu’une sig­na­ture man­u­scrite.

Enfin, deux per­son­nes pour­ront inter­a­gir via leurs porte­feuilles respec­tifs. Alice en voy­age en Ital­ie pour­rait ain­si trans­met­tre sa procu­ra­tion de vote élec­tron­ique à Flo­ri­an.

Un portefeuille, pour qui et pour quand ?

Tous les citoyens et les rési­dents de l’UE pour­ront dis­pos­er d’un PEIN qui ne sera pas oblig­a­toire, l’ambition de la Com­mis­sion européenne étant d’équiper 80 % des per­son­nes d’ici à 2030 [on voit cepen­dant que la stratégie des Etats, la France en par­ti­c­uli­er, est de faire bas­culer le max­i­mum de ses ressor­tis­sants dans ce dis­posi­tif en masquant son car­ac­tère fac­ul­tatif].

2026 est une année charnière, car chaque État mem­bre devra émet­tre au moins un PEIN d’ici la fin de l’année. Pour cela, le porte­feuille devra fournir des fonc­tion­nal­ités oblig­a­toires (attes­ta­tions élec­tron­iques sim­ples et qual­i­fiées, sig­na­tures qual­i­fiées, généra­tion de pseu­do­nymes…), être cer­ti­fié par chaque État mem­bre con­for­mé­ment aux exi­gences fixées et fig­ur­er sur une liste européenne publique. Le four­nisseur de PEIN sera libre de pro­pos­er des ser­vices addi­tion­nels, comme le paiement, l’horodatage ou l’archivage de doc­u­ments.

Fin 2027, toutes les entre­pris­es et admin­is­tra­tions qui exi­gent une authen­tifi­ca­tion forte du client, comme les ban­ques et la Sécu­rité sociale, devront accepter qu’une per­son­ne prou­ve son iden­tité au moyen d’un PEIN.

Comment utilisera-t-on un portefeuille ?

Le PEIN prend prin­ci­pale­ment la forme d’une appli­ca­tion mobile téléchargée sur un smart­phone. Il fonc­tionne en ligne et hors ligne (sans con­nex­ion).

Si l’on se base sur l’exemple de France Iden­tité, il faut dis­pos­er d’une carte d’identité à puce con­tenant les don­nées d’identification et d’un smart­phone com­pat­i­ble NFC sous Android 11 ou iOS 16.6 min­i­mum, et définir un code à six chiffres. L’utilisateur dis­pose alors d’un niveau de sécu­rité faible, qui per­met de con­sul­ter des ser­vices comme Impots.gouv.frAmeli.fr ou son compte retraite.

Pour obtenir le niveau de sécu­rité élevé, le tit­u­laire du PEIN doit se ren­dre en mairie pour une véri­fi­ca­tion en face-à-face. Cette véri­fi­ca­tion est indis­pens­able pour les démarch­es en ligne les plus sen­si­bles, aupar­a­vant unique­ment réal­is­ables en présen­tiel, comme l’établissement d’une procu­ra­tion de vote ou une demande d’aide sociale.

Une ouverture à un marché privé des portefeuilles européens d’identité numérique

Dans les années à venir, il est pos­si­ble que des États mem­bres émet­tent des porte­feuilles four­nis par des acteurs privés.

C’est déjà le cas de la Bel­gique qui devrait noti­fi­er auprès de la Com­mis­sion européenne le PEIN MyGov.be, qui per­met déjà aux citoyens belges d’accéder en ligne à leurs doc­u­ments admin­is­trat­ifs, ain­si que le PEIN Itsme, fourni par un con­sor­tium d’acteurs privés.

Un portefeuille, à quel prix ?

La ques­tion de la gra­tu­ité con­stitue un point impor­tant. La délivrance et l’utilisation du porte­feuille sont ain­si gra­tu­ites pour un indi­vidu. En ce qui con­cerne les sig­na­tures élec­tron­iques qual­i­fiées à des fins non pro­fes­sion­nelles, elles seront aus­si gra­tu­ites, chaque État mem­bre étant libre de décider des modal­ités. Par exem­ple, la Pologne offre cinq sig­na­tures gra­tu­ites par mois et par citoyen.

L’utilisation des sig­na­tures élec­tron­iques à des fins pro­fes­sion­nelles pour­ra être payante. En Bel­gique, le four­nisseur privé du porte­feuille Itsme fac­ture 4,95 euros hors TVA par sig­na­ture qual­i­fiée.

Un portefeuille, pour quels avantages ?

Le PEIN est conçu comme une réponse aux nom­breuses usurpa­tions d’identité et au phish­ing (hameçon­nage en français). Il doit per­me­t­tre aux four­nisseurs de ser­vices de lut­ter con­tre la fraude et les fauss­es déc­la­ra­tions, notam­ment con­cer­nant l’âge min­i­mum req­uis pour accéder à des sites pornographiques ou de jeux en ligne. Les démarch­es qui néces­si­tent aujourd’hui d’envoyer la pho­to­copie de sa carte d’identité et de son per­mis de con­duire pour louer une voiture pour­ront être entière­ment numérisées.

Un autre avan­tage, con­di­tion­né par la mise en œuvre de moyens tech­niques adap­tés, est le con­trôle accru de l’utilisateur sur le traite­ment de ses don­nées per­son­nelles) : il pour­ra libre­ment choisir et utilis­er des pseu­do­nymes et les utilis­er, si l’authentification forte n’est pas req­uise. Grâce à un tableau de bord oblig­a­toire, il pour­ra visu­alis­er l’historique des don­nées trans­mis­es, deman­der l’effacement de ses don­nées, et sig­naler les deman­des de don­nées sus­pectes à la Com­mis­sion nationale de l’informatique et des lib­ertés (Cnil) – ce qui ren­forcera l’efficacité des con­trôles. Il pour­ra égale­ment sélec­tion­ner les don­nées qui fig­ureront ou non dans un jus­ti­fi­catif à présen­ter à un tiers, pro­tégeant ain­si sa vie privée.

Le porte­feuille devrait aus­si inté­gr­er des tech­nolo­gies de pro­tec­tion de la vie privée. Par exem­ple, un mineur pour­ra prou­ver à un réseau social qu’il a moins de 15 ans et une per­son­ne majeure qu’elle a plus de 18 ans, sans avoir à fournir ses nom, prénom et date de nais­sance, grâce à des tech­nolo­gies de preuve à divul­ga­tion nulle de con­nais­sance (ou ZKP, pour Zero-Knowl­edge Proof en anglais).

De plus, seuls les four­nisseurs de ser­vices publics et privés inscrits sur une liste publique pour­ront inter­a­gir avec les PEIN. Ces « par­ties util­isatri­ces » devront notam­ment indi­quer les don­nées qu’elles deman­deront. Les four­nisseurs d’attestations et de sig­na­tures qual­i­fiées devront, quant à eux, obtenir une qual­i­fi­ca­tion préal­able (délivrée en France par l’Agence nationale de la sécu­rité des sys­tèmes d’information, ou Anssi) et fig­ureront eux aus­si sur une liste publique. C’est donc un véri­ta­ble écosys­tème des iden­tités numériques qui se met en place.

Selon cer­taines esti­ma­tions, au moins une quar­an­taine de porte­feuilles devraient par­ticiper à ce nou­veau marché, qui, mal­gré les dis­cours ras­sur­ants de la Com­mis­sion européenne, n’en présente pas moins un cer­tain nom­bre de risques.

Quels sont les risques d’un marché des identités numériques ?

Du côté de l’utilisateur, le pre­mier risque est d’être con­traint en pra­tique d’utiliser un PEIN conçu comme un véri­ta­ble sésame numérique pour accéder à de nom­breux ser­vices publics et privés. Cette sit­u­a­tion pour­rait con­duire à laiss­er de côté une par­tie de la pop­u­la­tion qui ne pour­ra pas, faute d’argent ou de com­pé­tences [ou de choix per­son­nel] , dis­pos­er d’un PEIN pour accéder aux ser­vices four­nis.

Un autre risque con­cerne la vie privée des util­isa­teurs, car il est à crain­dre que le porte­feuille numérique n’aug­mente la quan­tité de don­nées per­son­nelles col­lec­tées à leur insu. En effet, si nous avons insisté sur l’avantage que représente la lutte con­tre la col­lecte abu­sive de don­nées (grâce à la pos­si­bil­ité de génér­er des pseu­do­nymes), encore faut-il que le porte­feuille soit mis en œuvre dans le respect du règle­ment général sur la pro­tec­tion des don­nées (RGPD). Il faut donc s’assurer, par exem­ple, qu’un four­nisseur de porte­feuille n’insère pas de numéro unique à chaque trans­ac­tion, ce qui per­me­t­trait de trac­er l’utilisateur mal­gré toutes les pré­cau­tions pris­es pour ne pas révéler son iden­tité et ses don­nées.

Pour con­tr­er cette men­ace, le droit de l’UE impose que les porte­feuilles soient cer­ti­fiés avant leurs noti­fi­ca­tions à la Com­mis­sion européenne et leurs mis­es sur le marché. Cette cer­ti­fi­ca­tion apportera donc cer­taines garanties qui ne seront pas absolues, comme l’ont démon­tré plusieurs événe­ments par le passé, par exem­ple l’affaire PEGASUS en 2021 et celle des cartes ID élec­tron­iques en Estonie en 2017.

De fait, les cyber­at­taquants pour­ront chercher à vol­er non seule­ment l’identité d’une per­son­ne, mais aus­si les don­nées asso­ciées à son iden­tité. Cer­taines d’entre elles, comme les noms, les prénoms et les diplômes, seront de haute qual­ité, car leur authen­tic­ité aura été véri­fiée auprès de sources authen­tiques, comme le reg­istre d’état civ­il.

Du côté des États de l’UE, le PEIN ques­tionne leur sou­veraineté, car ceux-ci sont les seuls aujourd’hui à pou­voir établir l’identité d’une per­son­ne avec un niveau de fia­bil­ité élevé.

La four­ni­ture des PEIN par des entre­pris­es privées non européennes aug­mente les risques d’ingérence étrangère qui sont loin de con­stituer une sim­ple hypothèse. Par exem­ple, Nico­las Guil­lou, juge français à la Cour pénale inter­na­tionale, est placé sous le coup de sanc­tions états-uni­ennes depuis août 2025. Comme Thier­ry Bre­ton, ancien com­mis­saire européen, il est inter­dit de séjour aux États-Unis, en rai­son de son impli­ca­tion dans le dossier du man­dat d’arrêt visant le pre­mier min­istre israélien Benyamin Nétanya­hou. Il est privé d’accès aux ser­vices numériques états-uniens, d’Airbnb à Ama­zon. Sa carte Visa lui a même été retirée.

Pour éviter ce type de sanc­tions, le pro­jet européen APTITUDE tra­vaille à l’intégration dans le PEIN d’une solu­tion de paiement sou­verain fourni par WERO.

Pour autant, il reste essen­tiel de dis­pos­er d’une alter­na­tive physique aux doc­u­ments numériques. Le main­tien de doc­u­ments physiques per­me­t­tra non seule­ment de préserv­er la résilience et la sou­veraineté d’un État en cas de cyber­at­taque, mais aus­si à chaque citoyen de choisir ou non d’utiliser un PEIN.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *