La notion de l’identité fait partie des fondements d’Internet, et ce depuis sa création. Porteuse de nombreux enjeux, l’identité numérique n’a eu de cesse que d’évoluer et de se structurer par le biais de différentes réglementations et évolutions technologiques. Comme l’indique la CNIL, « l’identité ne se résume pas à l’état civil ». Il en va donc de même de l’identité numérique, qui comprend ainsi plusieurs attributs.
Depuis 2015, la France s’est dotée d’un fédérateur d’identité appelé FranceConnect et plus de 40 millions d’utilisateurs y ont déjà eu recours. Pour autant, l’identité numérique proposée reste une identité de niveau faible. En 2021, FranceConnect+ a été déployé pour palier à ce problème et offrir la possibilité d’accéder à des identités numériques plus sécurisées (niveaux substantiel et élevé). La France est l’un des premiers pays ayant introduit dans sa réglementation nationale l’identité de niveau substantiel, faisant ici office de précurseur.
Qu’est-ce que l’identité numérique ?
L’identité numérique est le pendant digital des éléments de preuve que nous pouvons fournir dans le monde physique. Homologue numérique de la pièce d’identité, elle est en mesure d’apporter le même niveau de confiance dans les usages en ligne et sensibles que peut le faire un document d’identité dans les usages physiques.
C’est donc ainsi un moyen de prouver son identité, mais pas seulement. Elle est aussi un vecteur d’authentification sécurisée, et permet également de prouver certains attributs de son identité comme son âge ou sa nationalité.
L’identification et l’authentification par le biais d’une identité numérique est un jeu qui se pratique à trois. L’utilisateur, ayant créé son identité numérique à l’aide d’un fournisseur d’identité, y aura recours pour s’authentifier auprès d’un opérateur public ou privé, plus communément appelé fournisseur de service.
Le cas d’usage le plus connu intervient lors de l’entrée en relation à distance. Ici, l’identité numérique permet de récupérer des données d’identité fiables, plutôt qu’une pièce d’identité. C’est aussi un moyen d’accéder aux différents comptes de notre quotidien. Ainsi, elle facilite notre vie de tous les jours, tout en améliorant le niveau de sécurité des services auxquels nous accédons.
Quels sont les niveaux d’identité numérique ?
L’identité numérique a fait l’objet de régulations à l’échelle européenne permettant une transposition dans les lois nationales. Le règlement eIDAS fixe trois niveaux pour l’identité numérique :
- Le niveau faible : C’est la plupart du temps un identifiant et un mot de passe. Néanmoins, cette identité est soumise à différents risques dont le phishing. Elle reste pour autant intéressante lors de cas d’usage ne nécessitant pas un niveau de confiance très important (consultation du nombre de points sur le permis de conduire par exemple);
- Le niveau substantiel : Il s’agit du niveau d’identité le plus attendu pour des transactions sensibles autour du monde du paiement et de la finance mais peut aussi s’avérer utile pour d’autres cas d’usage. L’identité de niveau substantiel est créée en face-à-face ou équivalent, à l’aide d’une pièce d’identité et fait intervenir une authentification forte à deux facteurs (2FA). Le premier facteur étant le téléphone permettant de prouver ce que l’on possède. Quant au deuxième facteur, il s’agit là de prouver ce que l’on sait, comme un code personnel déterminé lors de la création de l’identité ;
- Le niveau élevé : Bien qu’il existe encore peu de cas d’usage, la plupart des États membres se sont pourtant dotés d’une identité de niveau élevé. Si elle se créée sur la même base que l’identité de niveau substantiel, la carte d’identité utilisé doit cependant être équipée d’une puce, agissant en tant qu’élément cryptographique au moment de la création. Lors de son utilisation, l’élément cryptographique devra être utilisé pour vérification comme vecteur d’authentification forte.
Concrètement, comment ça marche ?
L’identité numérique peut être créée de deux façons : en face à face ou en équivalent face à face, c’est-à-dire à distance. Dans le deuxième cas, qui représente la majorité des cas d’usage, il ne suffit que de quelques minutes pour mener le processus à bien. Pour cela, il est nécessaire de prendre en photo sa pièce d’identité et de prendre une vidéo de soi afin de déterminer si la personne en train de créer le compte est bien la même que celle sur le document soumis. Lors de cette étape, de nombreux contrôles automatisés entrent en jeu afin de vérifier la véracité des éléments soumis. Pour finir, lors de la création d’une identité de niveau substantiel ou élevé, un opérateur humain effectue une vérification de ces éléments.
Une fois l’identité créée, elle peut être réutilisée en quelques secondes sur différents services à l’aide de l’authentification à deux facteurs. Pour l’utilisateur, l’identité numérique permet d’échapper à l’utilisation de nombreux identifiants/mot de passe, grâce à une porte d’entrée unique vers de nombreux usages. Il n’aura pas non plus à scanner ou fournir sa pièce d’identité lors de chaque nouvelle entrée en relation.
Enfin, elle lui permet de garantir un meilleur contrôle sur ses données personnelles. L’identité numérique a en effet pour intérêt de ne fournir que les données d’identité nécessaires au service, et non pas l’ensemble. Il s’agit là d’une avancée dans la maitrise de ses données. La CNIL recommande au titre de la protection de la vie privée « d’identifier le besoin de confiance pour le service et de retenir l’utilisation du plus faible niveau d’identification et d’authentification y répondant ».
Quels avantages pour les fournisseurs de services ?
L’identité numérique revêt plusieurs avantages non seulement pour les utilisateurs, mais aussi pour les fournisseurs de services. Sans pour autant concurrencer les solutions actuelles de vérification d’identité, l’identité numérique vient logiquement cohabiter avec l’existant.
Grâce à elle, le niveau de confiance dans les parcours d’authentification est renforcé, notamment pour ceux ne disposant pas encore d’une authentification forte. En supprimant la vérification documentaire en back office, l’identité numérique réduit les coûts et fait disparaître une tâche au caractère rébarbatif et chronophage. C’est aussi un avantage commercial de taille, puisqu’elle vient limiter les frictions lors de l’entrée en relation, améliorant donc le taux de transformation.
Dans l’ensemble des domaines soumis aux réglementations Lutte Contre le Blanchiment & Financement du Terrorisme (LCB-FT), l’identité numérique facilite la réponse aux obligations en matière ce connaissance client (Know Your Customer – KYC), en corrélant de nombreux éléments d’identité.
Dernier avantage et non des moindres, l’identité numérique a un effet direct sur la lutte contre la fraude. En étant vérifiées par des spécialistes de l’identification, les données soumises sont plus fiables, et moins susceptibles d’avoir été dérobées ou faussées. L’identité numérique garantit ainsi la fiabilité des données d’identité. De plus, les fournisseurs d’identité numérique sont régulièrement audités et doivent se conformer à des obligations strictes, assurant ainsi la sécurité de l’ensemble de la chaine de valeur.
Quelles perspectives pour l’identité numérique ?
Bien que les cas d’usage soient nombreux, l’identité numérique n’en est encore qu’au début de son histoire. Elle devrait devenir la norme de l’authentification et de l’identification dans les prochaines années et il convient de s’y préparer. En offrant de nombreux avantages, tant pour les utilisateurs que pour les fournisseurs de service, l’identité numérique va révolutionner, simplifier et sécuriser durablement nos habitudes en matière d’identification.
Au niveau européen, les perspectives offertes par le portefeuille européen d’identité numérique ouvrent aussi de nouveaux horizons. Outre une plus grande facilité de s’identifier au sein de services d’autres pays grâce à l’interopérabilité des identités, il pourra contenir des attributs complémentaire, comme le permis de conduire ou les diplômes. L’arrivée de telles solutions aura une incidence directe sur le parcours utilisateur et sur la manière dont nous interagissons avec l’ensemble de nos services du quotidien.
Chez IDnow, notre solution YRIS se distingue comme l’une des solutions les plus innovantes en matière d’identité numérique. YRIS permet de vérifier l’identité des utilisateurs de manière fiable et rapide, répondant ainsi aux exigences croissantes en matière de sécurité. YRIS a récemment obtenu le niveau d’assurance substantiel (LoA) délivrée par l’ANSSI, attestant ainsi de sa qualité et de sa fiabilité et renforçant la confiance des entreprises et des consommateurs envers cette solution.
eIDAS 2.0 : simple mise à jour ou changement fondamental ?
Par
Mallaury Marie
Content Manager chez IDnow
Rejoignez Mallaury sur LinkedIn