![[Interview] Marc Norlain (IDnow) : tout comprendre à l'identité numérique européenne](https://images.podcastpage.io/fetch/https%3A%2F%2Fimage.ausha.co%2F6Fz6rz1C4nsRAJrqe3pVzosnjGMG0n4h1r4dDxBb_1400x1400.jpeg%3Ft%3D1700394755?w=365)
Qu'est-ce que l'identité numérique et où en est son développement en Europe ? Dans cet épisode, on fait le point sur ce sujet qui nous concerne tous.
Avec Marc Norlain, Directeur Général et Chief Architect de la société IDnow, fournisseur de solutions de vérification d'identité numérique.
L'identité numérique consiste à pouvoir prouver qui l'on est en ligne ou dans la vie réelle, grâce à des outils numériques. Depuis 2014, l'Union Européenne a introduit le règlement EIDAS, qui encourage l'adoption d'identités numériques dans les services publics. Cela a conduit à des initiatives comme France Connect et It's Me en Belgique, principalement utilisées dans le secteur public.
Récemment, l'UE a imposé aux États membres de proposer des solutions d'identité électronique, leur utilisation restant cependant facultative pour les citoyens. Ces solutions incluent des wallets électroniques qui permettent aux utilisateurs de contrôler les informations qu'ils partagent.
Ces moyens sont aussi en compétition avec des entreprises comme Facebook, Apple et Google, qui proposent déjà leurs propres systèmes d'identification. Il y a donc une question souveraineté, l'enjeu étant de savoir qui contrôlera les identités numériques des citoyens européens.
En France, l'application France Identité, en cours de déploiement, permet la dématérialisation des documents officiels comme la carte d'identité et le permis de conduire. Cela dit, ce sujet complexe soulève des inquiétudes concernant la protection de la vie privée, car il implique l'utilisation d'outils électroniques contenant des données personnelles.
Interview
Monde Numérique : Bonjour Marc Norlain.
Marc Norlain : Bonjour Jérôme Colombain.
Monde Numérique : Vous êtes directeur général et Chief Architect de la société IDnow, qui est un fournisseur européen de solutions de vérification d'identité et d'identité numérique. L'identité numérique, on a l'impression qu'on en parle depuis très longtemps, mais ça patine un peu, ça ne devient pas très concret. Où en sommes nous ? Et surtout, de quoi parle t on? Qu'est ce que c'est que l'identité numérique alors?
Marc Norlain : C'est un vaste sujet. L'identité numérique, c'est celle qui vous permet de prouver sur Internet ou même quelquefois en face à face dans certains cas d'utilisation. Qui vous êtes, ou en tout cas une partie de qui vous êtes dans certains, dans certains scénarios. Et c'est vrai que ça patine un petit peu parce que c'est un sujet qui est complexe à traiter, qui a beaucoup d'aspects, en particulier en ce qui concerne la protection de la vie privée des gens. On est toujours un petit peu inquiet quand on a un outil électronique avec nos données personnelles dedans. Et ça peut lever des interrogations. Il y avait un règlement européen qui date de 2014 qui s'appelle Eidas, qui introduit déjà cette notion d'identité numérique pour les services publics, qui a donné lieu dans beaucoup de pays européens, je dirais pratiquement tous à des à des développements qui ont souvent été relativement intéressants. Ça a donné France Connect en France par exemple, ça a donné It's en Belgique, qui est un énorme succès, dont on parle beaucoup moins que ce qui se passe en Estonie. Ça a donné Speed en Italie, je dirais un petit peu le cousin de France Connect, qui sont des initiatives très souvent centrées sur les services publics, mais pas nécessairement, et qui permettent aux citoyens de vraiment simplement prouver leur identité en ligne de façon sécurisée et contrôlée.
Monde Numérique : Alors l'actualité la plus récente, c'est que désormais, au niveau européen, il va y avoir une obligation de proposer aux citoyens pas obligation d'utiliser l'identité électronique, mais obligation pour les pays de proposer une solution d'identité électronique.
Marc Norlain : Tout à fait. Ça c'est la révision du règlement Eidas dont on vient de parler, qui est quelque chose de vraiment très important puisqu'il va contraindre les États à à mettre en œuvre ce qu'on appelle des wallet, donc des portefeuilles d'identité électronique pour tous leurs citoyens. Donc ce sera effectivement pas contraignant. Les citoyens ne sont pas obligés de s'en servir, mais les états vont être obligés de les proposer et les acteurs du monde numérique vont être, pour certains d'entre eux, contraints de les accepter.
Monde Numérique : Mais par exemple, en France, en quoi ce serait différent de France Connect?
Marc Norlain : France Connect Aujourd'hui, c'est deux services, c'est un. C'est un système qui s'appelle France Connect, qui délivre des identités de niveau faible et un service qui s'appelle France Connect plus, qui délivre des identités numériques d'un niveau qui est un peu plus sécurisé, qu'on appelle le niveau substantiel. Ce qui va changer avec le wallet, c'est que ça va renverser un petit peu ce mécanisme là. Le wallet sera très probablement intégré dans France Connect comme étant un des moyens de prouver son identité. C'est aussi quelque chose qui embarque dans ces contraintes. Beaucoup de caractéristiques de préservation de l'anonymat qui ne sont pas nécessairement présentes dans France Connect. Aujourd'hui, dans France Connect, il y a un ensemble de paramètres sur votre identité qui sont transférés à chaque fois, qui sont souvent stockés en central sur des serveurs protégés audités par l'ANSSI, alors que le wallet privilégiait plutôt une approche qui est stockage sécurisé dans les téléphones et transmission uniquement des informations que vous souhaitez partager au moment où on vous les demande. Et c'est au choix de l'utilisateur de sélectionner les informations qu'il souhaite partager ou pas. C'est une évolution de France Connect et surtout le fait que ça devienne contraignant pour les états de proposer ça. Ça va développer un écosystème en termes d'acceptation, parce qu'aujourd'hui France Connect est très largement utilisée par le secteur public, mais il est assez peu utilisé par le secteur privé. Vous avez rarement sur un site où on vous propose de vous authentifier par France Connect. Et ce que tout le monde espère, c'est que l'arrivée du wallet européen va un peu casser ce plafond de verre et qu'on va voir l'acceptation du wallet européen se généraliser sur un grand nombre de plateformes.
Monde Numérique : Il existe aussi les systèmes proposés par des GAFAM. Facebook était parmi les premiers avec le Facebook Connect Apple. Google essaye aussi de de pousser leur leur wallet. Qu'est ce qu'il en est? Est ce qu'ils ne sont pas plus avancés que nous finalement avec leurs solutions aujourd'hui?
Marc Norlain : Il y a quand même un enjeu pour l'Europe d'arriver à savoir qui fournit une identité aux citoyens européens. C'est évident que les GAFA.
Monde Numérique : Ne peuvent pas laisser ça à Google ou Apple. Quoi?
Marc Norlain : Mais c'est un petit peu compliqué. C'est wallet. Là, non seulement ils vous permettent de prouver qui vous êtes, mais c'est aussi eux qui vous servent de login pour vous connecter à tout un ensemble de services, c'est à dire que il faut qu'on arrive à choisir. Est ce qu'on va se connecter aux impôts avec notre login Google ou est ce qu'on va se connecter à Google avec notre wallet? C'est quelque chose sur lequel il faut malgré tout que l'Europe exerce une certaine souveraineté.
Monde Numérique : Alors aujourd'hui, on utilise un petit peu France Connect, Demain on aura une identité numérique qu'on pourra utiliser beaucoup plus facilement. Ça se traduira comment?
Marc Norlain : Alors il y a beaucoup de façons d'interagir avec avec votre. La France a lancé Le gouvernement français a lancé une application qui s'appelle France Identité, dont vous avez probablement entendu parler, dans lequel vous pouvez, si vous faites partie des expérimentateurs, intégrer votre carte d'identité dans laquelle vous allez très bientôt pouvoir intégrer votre permis de conduire.
Monde Numérique : Oui, on dématérialise les les pièces d'identité traditionnelles papiers. En fait, on les met là dedans, dans l'application.
Marc Norlain : Alors en fait, ça fonctionne avec la nouvelle carte d'identité française. Cette application France Identité, parce qu'il y a une puce dedans et ça lie la puce. Le premier avantage et la première interaction que les Français vont avoir avec avec ça va être celui là, je pense. C'est à dire qu'ils vont pouvoir prendre leur voiture sans leurs papiers. Si d'aventure ils sont contrôlés par un agent de la force publique, ils pourront juste montrer leur téléphone. Si comme moi, vous oubliez régulièrement votre permis de conduire quand vous partez, c'est qu'on n'oublie jamais son téléphone. C'est déjà un premier bénéfice.
Monde Numérique : Oui, à condition que les forces de police soient formées parce qu'il y a déjà des retours qui montrent que visiblement, lors des contrôles, les policiers ne sont pas tous très au courant de ça.
Marc Norlain : Bien sûr, il va y avoir un petit temps d'adaptation, je suis d'accord, mais c'est comme, comme tous les grands changements, ça nécessite un petit peu d'adaptation. Ensuite, ce qui va se passer, c'est que vous allez aller sur un service en ligne. Typiquement, vous allez vouloir ouvrir un compte en banque ou faire une opération. Et très rapidement, ce qui va se passer avec vos toilettes, c'est que, alors qu'aujourd'hui on vous demande de scanner votre carte d'identité, de faire un selfie en bougeant un petit peu la tête pour qu'on s'assure que vous n'êtes pas en train d'essayer de frauder en faisant une injection de vidéo ou autre chose, ça va activer votre téléphone en fait, et votre téléphone va demander de vous authentifier soit avec un code PIN, soit avec une reconnaissance faciale en fonction des implémentations. Et on va vous dire le service Intel et la Banque B souhaitent obtenir cet ensemble d'informations sur vous pour que vous trouviez votre identité et vous allez choisir les informations que vous partagez. Ce qui est important parce que sur des services sur lesquels, par exemple, on voudrait contrôler uniquement votre majorité, vous aurez une requête vous demandant de partager votre statut. Est ce que vous êtes majeur ou est ce que vous n'êtes pas majeur?
Monde Numérique : C'est tout ce qui circule sans donner son nom, son adresse, etc. Donc typiquement, ça pourrait convenir. Pour résoudre le problème de l'accès aux sites pornographiques dont on a beaucoup parlé ces derniers mois.
Marc Norlain : Tout à fait. Ça peut permettre aussi de respecter la réglementation sur les réseaux sociaux et l'âge minimum qu'il faut avoir pour une île pour y détenir un compte. C'est vraiment quelque chose qui est intéressant. Ce qu'on appelle en anglais le selective disclosure. Donc le fait que vous ne vous ne choisissiez de partager qu'un sous ensemble des informations qui constituent votre identité.
Monde Numérique : D'accord, j'ai mon wallet qui sait tout sur moi, mais je décide de donner telle ou telle information à tel ou tel service et pas. C'est pas comme si je sortais ma carte d'identité et que la personne puisse voir absolument tout.
Marc Norlain : Exactement. Et ce qui est aussi très important, c'est que ce wallet, vous allez pouvoir l'alimenter avec d'autres informations. C'est à dire que on parlait tout à l'heure du permis de conduire, mais vous allez pouvoir y intégrer par exemple vos diplômes, vos attestations professionnelles, tout ce qui à un moment donné, est susceptible de vous être demandé. Vous allez pouvoir le stocker là, et vous allez pouvoir le proposer ensuite à ceux qui en font la demande de choisir. Je veux partager si je veux partager ça de façon complètement sécurisée. L'objectif, c'est vraiment de simplifier la vie des citoyens, de réduire le risque aussi en face pour les acteurs, puisque c'est des infrastructures qui sont contrôlées. En France, c'est l'ANSSI qui s'occupe de de certifier et de certifier ces plateformes. Et l'ENISA travaille beaucoup en ce moment. Donc il y a l'Agence européenne de cybersécurité travaille beaucoup sur les standards qui vont être mis en place, les standards de certification qui vont être mis en place sur ces plateformes pour s'assurer de la sécurité.
Monde Numérique : Alors, Marc Nolin, vous vous êtes enfin Iddina, justement, propose une solution technologique de certification et de contrôle de l'identité. Mais quelles garanties on peut avoir par rapport à ce type d'outils, alors, à la fois en termes de sécurité, protection contre les piratages, etc. Et puis également en termes de respect de la vie privée. Qu'est ce qui me garantit que vous ne saurez pas tout sur moi et que vous n'allez pas vous retrouver avec des fichiers entiers de tous les Français.
Marc Norlain : Sur la partie je? Les performances de ces outils là, c'est à dire résistance à la fraude. Comment est ce que ça fonctionne et comment est ce que c'est évalué? En fait, il y a des standards qui sont émis soit au niveau européen. Soit au niveau national. Par exemple, en France, l'ANSSI a rédigé un standard qui s'appelle prestataire de vérification d'identité à distance, et on est évalué par l'ANSSI en fonction de ce référentiel là, qui est un référentiel qui est très exigeant et qui est le plus exigeant de ce qui existe en Europe aujourd'hui. L'europe travaille aussi sur sur, sur ces standards, en particulier au regard de la révision du règlement Eidas dont on parlait tout à l'heure. Donc, c'est c'est le DSI qui travaille sur ce standard là. On a tout un ensemble de composants technologiques qui permettent de garantir que la personne qui est en train de faire cette opération de preuve de son identité est raisonnablement la bonne personne. Après, les attaques évoluent tous les jours et donc il faut remettre le travail sur le métier sans arrêt, parce que c'est un petit peu une lutte continue contre le contrôle des fraudeurs. Et ça, c'est.
Monde Numérique : Oui, ça c'est toujours la même histoire.
Marc Norlain : Exactement, toujours la même histoire. Et les développements de l'intelligence artificielle sont. C'est très amusant parce que ça profite aux deux parties de façon symétrique, c'est à dire que ça nous aide à développer des meilleurs outils et ça aide les fraudeurs à développer des meilleures techniques.
Monde Numérique : Bien sûr, de.
Marc Norlain : L'autre côté, sur le respect de la vie privée, on a aussi des audits. On est. Donc on est bien entendu conforme au RGPD et ça fait partie des évaluations de l'ANSSI. C'est à dire qu'en fait, l'ANSSI nous demande de respecter tout un ensemble de choses et vient aussi contrôler que tout ceci est fait et fait correctement.
Monde Numérique : Est ce que véritablement ça ne présente pas un risque en termes de protection de la vie privée? L'agrégation de ces données par par l'État, évidemment, c'est aussi une chose qui peut faire peur.
Marc Norlain : Alors, l'État ne va pas agréger les données parce que les données sont dans les téléphones des citoyens ou dans les cartes d'identité des citoyens, et elles ne sont pas agrégées par l'État. En France, par exemple, vous avez une base dont on a souvent beaucoup parlé, qui s'appelle la base test, qui est la base dans lequel il y a les informations sur les porteurs de passeports, de carte de séjour, mais, mais et dont l'accès est extrêmement réglementé. Et de l'autre côté, il n'y a pas de base que les gens sont avec leur téléphone et sont en relation directement avec le service qui demande à prouver son identité. L'objectif n'est pas qu'il y ait l'État au milieu qui voit tout ce qui se passe. Ce qui va m'inquiéter, ce n'est pas ça les enjeux auxquels il faut faire face aujourd'hui, je dirais, c'est plutôt des problématiques d'inclusion, c'est à dire que ce sont des systèmes qui reposent sur l'utilisation de smartphones, avec des techniques qui changent assez souvent, oui.
Monde Numérique : Avec lesquelles tout le monde n'est pas forcément à l'aise. Tout le monde.
Marc Norlain : N'est pas forcément à l'aise. Il faut s'assurer qu'on ait. On développe quelque chose qui fonctionne avec un ensemble de versions suffisamment large pour ne pas demander aux gens de changer de téléphone tous les deux ans. Il faut arriver à développer des solutions qui n'excluent personne et il faut accepter, je dirais, un ensemble de titres d'identité le plus large possible. Aujourd'hui, la solution qui est développée par l'État français, elle fonctionne uniquement avec la nouvelle carte d'identité pour des raisons qui sont tout à fait légitime et compréhensible. Mais nous, notre vision, c'est que le cadre réglementaire européen, il est très protecteur des citoyens et c'est très bien. Et je pense qu'il faut donner accès à ce cadre, à ce cadre protecteur, à un maximum de personnes.
Monde Numérique : Comment ça se passe à l'étranger? Vous l'avez évoqué un petit peu tout à l'heure, on a beaucoup parlé de l'Estonie par exemple. Est ce que véritablement, par exemple, dans ce pays, ils sont particulièrement en avance?
Marc Norlain : Oui, c'est c'est un pays qui est assez extraordinaire et qui a fait une diplomatie numérique extrêmement efficace qui plus est. Mais, mais il faut ramener ça à l'échelle de ce que c'est, C'est à dire que c'est un tout petit pays, c'est Bordeaux, l'Estonie grosso modo, et qui est partie de pratiquement rien. Donc il a fallu tout reconstruire. En France, on a, et dans beaucoup de beaucoup d'États européens, on a un historique qu'il ne faut pas construire quelque chose, il faut changer quelque chose, mais c'est encore plus difficile. Et ensuite on est à des échelles de distribution de solutions qui n'ont rien à voir et ça change complètement la manière dont on peut déployer des techniques dont on peut appréhender les problèmes. C'est vraiment très très différent. Par exemple, si vous avez un incident de sécurité et que vous devez faire une mise à jour quelque part et que vous devez demander aux gens de faire quelque chose si vous avez, je ne sais pas, 900 zéro zéro zéro cartes d'identité électroniques à mettre à jour ou si vous avez 60 millions, c'est plus du tout la même chose. Ça change, ça change complètement la donne.
Monde Numérique : Alors l'application avec tous mes papiers d'identité à l'intérieur pour m'authentifier aussi bien en ligne que hors ligne, donc sur internet ou dans la vie réelle, c'est pour quand?
Marc Norlain : Marc Nolin Alors ça va arriver progressivement en fonction, en fonction des états. En France, il y a une expérimentation qui est déjà en cours, je vous l'ai dit, d'un point de vue réglementaire, ça va arriver en 2026 2027. Les États en Europe devront proposer ça à leurs citoyens. Donc c'est c'est demain. En fait, à l'échelle de ces projets là, c'est demain.
Monde Numérique : Mais c'est même déjà aujourd'hui, puisque, vous l'avez dit, il y a l'application France Identité qui est disponible alors seulement dans certaines régions de France seulement avec la nouvelle carte d'identité, etc, etc. Tout à fait, Merci. Marc Norlain, Directeur. De IDnow.
