L'identification électronique du signataire est un sujet qui s'installe depuis 3 ans ; cette question est un réel enjeu face à l'accroissement des demandes en équipement en signature et parapheur électronique.
Les principaux éléments de clarification sont à chercher du côté du règlement dit eIDAS n°910/2014 du 23 juillet 2014 “electronic Identification Authentification and trust Services” ; en effet, l’article 8 dudit règlement définit 3 niveaux de garantie des schémas d’identification électronique :
- Faible : l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité ; - Substantiel : l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité ; - Élevé : l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.
Les exigences applicables aux 3 niveaux de garantie sont détaillées dans le règlement d’exécution n°2015/1502 de la Commission du 8 septembre 2015.
Cela se complique lorsqu'il s'agit de mettre en application ces différents niveaux.
Le portail FranceConnect répond en partie à ces questions. Depuis mai 2021 il a évolué pour atteindre un niveau de sécurité plus exigeant. cela concerne notamment les démarches sensibles comme les services en ligne de santé, les banques ou encore les envois en recommandés électroniques.
Fin d’année 2020, FranceConnect a obtenu une qualification de l’Agence Nationale de la Sécurité des Systèmes d’informations (qui veille à la bonne application du règlement eIDAS en France) ; cette qualification confirme la conformité de FranceConnect aux exigences des niveaux de garantie "substantiels" et "élevés", telles que définies par le règlement européen.
- Faible : En continuant de se connecter avec son identifiant des impôts, assurance maladie, etc.,
- Substantiel : au moment où nous écrivons ces lignes, seul La Poste est en mesure de pouvoir couvrir ce niveau avec son identité numérique.
En effet, La Poste propose depuis 2020 de pouvoir se créer une identité numérique (elle aussi attestée par l’ANSSI). Le principe est simple, il suffit de se créer un compte sur le site Identité numérique avec votre pièce d’identité, puis une procédure de vérification de votre identité est faite avec un facteur, à la poste ou en ligne et votre identité numérique est créée.
- Elevé : Cette partie est couverte par l’application de reconnaissance faciale développée par le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés (ANTS) : ALICEM (Authentification en Ligne Certifiée sur Mobile). Elle s’appuie sur des smartphones tournant sous Android (pas de iOS pour l’instant), disposant d’un lecteur sans contact (NFC) permettant de lire la puce d’un passeport biométrique. La reconnaissance s’effectue ensuite par comparaison entre la photo de la pièce d’identité et le visage de la personne.
L’application devrait être renforcée avec l’arrivée des premières cartes d’identité à puce attendue pour l’été 2021.
Comments