Dix ans après le règlement eIDAS [1], le nouveau règlement sur l’identité numérique européenne a été adopté [2]. Depuis le 20 mai dernier, son cadre juridique général s’impose au sein de l’Union Européenne, même si celui-ci est appelé à être détaillé par une législation secondaire, des standards et des évolutions des architectures techniques. Quel sera son impact futur sur l’accès aux services numériques, la gestion des données et les transactions électroniques ? La Commission Européenne aspire à une utilisation par près de 80% des citoyens en 2030 de leurs identités numériques officielles, en grande partie via le portefeuille électronique proposé par le nouveau règlement. Le niveau d’ambition est donc élevé.
Conférence TRUSTECH sur l'identification avec Guy DE FELCOURT intervenant devant un panel de speakers et de visiteurs

Un cadre d’identification élargi et de nouveaux services de confiance

De prime abord, le nouveau règlement promet une application élargie et beaucoup plus ouverte que le texte précédent qui était restreint au secteur public. Dès son article premier le nouveau règlement énonce qu’il vise notamment à « accéder aux services publics et privés en ligne dans toute l’Union ». En fait tous les services privés (hors PME et TPME) réglementés et/ou qui supposent une authentification forte de l’utilisateur au titre d’une obligation contractuelle devront aussi pouvoir accepter l’utilisation des portefeuilles électroniques européens. Sont notamment cités dans le règlement les secteurs du transport, de l’énergie, de la banque, des services financiers, de la sécurité sociale, de la santé, de l’eau potable, des services postaux, de l’éducation, des télécommunications, et des infrastructures numériques. L’obligation nous le savons s’applique aussi aux grandes plateformes numériques répondant à la législation [3] sur les services numériques.

Il existe donc une opportunité considérable pour les entreprises du secteur privé proposant des services grand public ou des services pour les entreprises, de pouvoir utiliser ce portefeuille électronique européen, en principe dès 2026. Cela pourra se faire en l’utilisant comme un dispositif pratique pour identifier et enrôler les clients, et ou comme un moyen d’authentification fluide pour les transactions, ou encore en proposant la contractation formelle mais fluide de services via des processus de signatures numériques, permettant le recueil des preuves de consentement.

Le nouveau règlement vient aussi accroitre et moderniser les services de confiance existant dans le précédent règlement. Il permet non seulement d’effectuer des signatures à distance avec un degré de confiance plus élevé, mais aussi d’utiliser des registres électroniques pour garder une traçabilité des évènements, ou des services d’archivage afin de conserver les documents numériques et de pouvoir continuer à attester de leur validité dans le temps. L’attestation ou la vérification des attributs fait aussi son entrée dans ce nouveau règlement en tant que service de confiance. Le mot « attribut » y figure d’ailleurs plus de 140 fois, dénotant l’importance prise par ce service de présentation de la donnée, qui désigne la possibilité d’attester voir de certifier une donnée en lien avec une identité.

 

Le portefeuille électronique au cœur du règlement

La mesure phare du nouveau règlement est ce qui est désigné sous le terme de « portefeuille européen d’identité numérique » et qui en fait regroupe la possibilité d’utiliser sur son téléphone mobile toutes les formes de granularité possibles de la confiance : documents ou titres, données certifiées ou processus d’authentification et de signature, à travers une interface commune.

L’utilisateur pourra utiliser son portefeuille numérique pour obtenir et présenter des documents électroniques, des titres ou des attestations numériques. Par exemple des diplômes, un permis de conduire ou une ordonnance médicale. Il pourra aussi l’utiliser pour transmettre des données d’identification personnelles dans des processus d’identification ou d’authentification, ou des données sujettes a des processus de vérification ou d’attestation.

Le règlement vient poser des exigences pour garantir un niveau élevé d’interopérabilité, de sécurité et de protection des données. L’interopérabilité entre les Etats Membres va être précisée par une législation secondaire, des standards et une architecture technique [4]. Les exigences en termes de sécurité et du respect de la vie privée, sont signifiés dès la conception des portefeuilles mis en œuvre et via d’autres mécanismes comme la divulgation sélective des attributs et aussi des exigences de séparation et non traçabilité dans le traitement des données.

illustration article walletIllustration : Schéma d’architecture du portefeuille européen version 1.4 [5]

Un impact attendu et un mouvement de convergence mondiale

Première grande législation continentale/régionale sur la mise en œuvre des portefeuilles électroniques, le nouveau règlement européen aura un impact indirect plus large et il s’inscrit dans un mouvement de convergence mondialisé dans la numérisation des transactions et services numériques.

Il est un signe d’une structuration plus forte de l’espace numérique. En offrant aux utilisateurs le maniement d’instruments polyvalents, ergonomiques et suffisamment sécurisés comme le portefeuille électronique il cherche à faire progresser les pratiques de l’économie numérique sur trois axes différents. Le premier axe est la gestion et la protection des données sensibles, notamment autour de l’identification ; le deuxième axe est constitué par la possibilité d’opérer plus commodément les transactions électroniques privées, publiques et transfrontières ; enfin le troisième axe recherché est de pouvoir accéder à des services numériques mieux ajustables, en fonction des attributs échangés.

Le nouveau règlement s’inscrit aussi dans un mouvement de convergence mondiale entre la gestion des identités, des paiements et celle des données en général. Ce mouvement est connu sous le terme générique de « Digital Public Infrastructure », depuis l’an dernier a l’occasion d’un sommet du G20. Nous aurons l’opportunité d’en reparler dans un prochain article, en amont de la réunion de Trustech du 3 au 5 décembre prochain. Le portefeuille électronique européen vient offrir un instrument multi-dimensionnel pour la gestion des identités, des données et de la confiance numérique. Il contribue aussi à ce mouvement de convergence progressive entre l’identité et le paiement dans la gestion des transactions et dans la distribution des services numériques.

 

Rendez-vous dans quelques mois pour échanger sur les actualités des services numériques, des législations et pratiques mondiales autour de l’identité numérique et des paiements à l’occasion de TRUSTECH 2024.
 

Rédigé par Guy DE FELCOURT, Public Affairs Consultant Digital Society & Identity focus - Author and University Lecturer.

 

[1] Règlement UE n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE

[2] Règlement UE n° 2024/1183 du 11 avril 2024 modifiant le règlement (UE) no 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique

[3] Règlement UE 2022-2065 du 19 Octobre 2022 relatif à un marché unique des services numériques.

[4]  L’architecture de reference (ARF) https://digital-strategy.ec.europa.eu/fr/library/european-digital-identity-wallet-architecture-and-reference-framework

[5] The European Digital Identity Wallet Architecture and Reference Framework © 2023 by European Commission is licensed under Attribution 4.0 International. To view a copy of this license, visit http://creativecommons.org/licenses/by/4.0/

 

Évolution des paiements : le défi de l’inclusion numérique | TRUSTECH