Depuis le 1er février, date de la présentation du label IDéNum, j’observe avec intérêt les nombreuses réactions que suscite ce projet sur la toile. Afin de recenser l’ensemble de vos questions, j’ai demandé à mon cabinet de mettre en place une veille de manière à répondre point par point à vos interpellations sur le sujet.
Au-delà des aspects positifs, qui ont d’ailleurs été largement soulignés, j’entends me concentrer sur les points qui font polémique ou qui sont l’objet d’ambiguïtés, voire de confusion.

En guise de préambule, il me semble utile de rappeler les principes clé de cette idée, assez neuve en France, d’identité numérique libre et certifiée. Et, je dis bien « neuve en France », car ce label repose sur un concept qui fonctionne déjà chez nos voisins européens.

L’objectif d’IDéNum est bien de faciliter la dématérialisation de nombreuses procédures, publiques comme privées, qui nécessitent une forte garantie de l’identité de l’internaute. Les avantages sont évidents tant pour les internautes, qui auront ainsi accès à toute une palette de nouveaux services et usages, que pour les partenaires qui pourront mutualiser les investissements et réaliser des économies sur les coûts.
Quant à tous ceux qui voient poindre la menace orwellienne dans IDéNum, je tiens juste à réaffirmer son caractère totalement facultatif.

Pour plus de clarté, j’ai regroupé les questions portant sur :

Dernière info, toute fraîche, que je vous livre en exclusivité : depuis le début de la semaine, les sociétés Sagem, Orange, Moneo et le Conseil Supérieur du Notariat, ont fait part de leur intérêt pour le projet.

J’espère que cette lecture vous donnera un éclairage pertinent sur ce qu’est vraiment IDéNum. Toutefois, loin de moi la prétention de faire le tour de toutes vos interrogations en une seule « séance ». J’invite donc tous ceux qui souhaiteraient des éclaircissements supplémentaires à me poster leurs commentaires.

Pourquoi inventer un nouveau concept alors que des systèmes comme OpenID ou, dans d’autres pays d’Europe, des cartes d’identité électronique (CIE) existent déjà ?

OpenID est conçu pour se simplifier la vie sur les sites communautaires, par exemple, en utilisant un seul fournisseur de mot de passe, mais il n’est pas accepté par les administrations ou les banques pour signer en ligne des documents. OpenID est donc bien comparable à IDéNum pour ce qui est de la simplification de la gestion des mots de passe, mais n’a pas vocation, pour l’instant, à permettre l’identification, car dans ce système personne ne se porte véritablement garant de l’identité de l’internaute.
Avec IDéNum, les fournisseurs sont « approuvés par le Gouvernement », sur la base d’un cahier des charges, qui donne de la valeur au certificat, en garantissant l’authentification. Grâce à ce niveau de sécurité, les administrations comme les organismes financiers pourront maintenant dématérialiser des procédures qui appellent une certitude sur l’identité.

J’ai lu quelques approximations sur les expériences conduites à l’étranger, et sur l’interopérabilité d’IDéNum. La conception du label IDéNum s’inspire précisément de ces initiatives. Mes équipes sont en contact étroit avec les différents responsables nationaux chargés de l’eID en Europe (voir par exemple le site du groupe de travail international auquel nous participons). Je confirme donc que quand je cite l’Autriche, la Norvège, l’Italie, etc., il s’agit bien de pays où existent des certificats utilisables sur les sites Web qui le souhaitent. Ces certificats sont parfois émis par des organismes non étatiques, et portés sur un support autre que la carte d’identité. C’est, d’ailleurs le cœur du concept d’IDéNum. Je m’empresse de préciser que certains de ces pays, comme la Suède, la Finlande, l’Estonie, l’Italie, ont aussi une carte d’identité électronique, attestant ainsi que les deux systèmes (carte d’identité électronique et certificats sur un autre support), peuvent pleinement coexister.

J’en profite pour rappeler que, contrairement à ce que j’ai pu lire, il n’existe aucun standard européen d’identité électronique, car il ne s’agit pas d’une compétence communautaire. Chaque pays est donc libre de choisir son standard, voire de ne rien faire du tout. En pratique, tous les pays qui utilisent l’eID ont choisi jusqu’à aujourd’hui une même technologie. C’est le certificat électronique, celui-là même que nous voulons promouvoir avec IDéNum. Cela n’empêche en rien que d’autres technologies, pour peu qu’elles soient testées et validées dans le cadre du référenciel général de sécurité, puissent être ensuite utilisées dans le cadre d’IDéNum

L’Agence européenne de sécurité informatique, l’ENISA, vient justement de publier cette semaine un rapport sur l’interopérabilité des systèmes nationaux d’eID. Ce rapport ne fait même pas mention d’OpenID. On remarquera aussi que le schéma générique d’un système d’authentification (Cf. pages 6-7) est justement celui d’IDéNum.

La question de l’interopérabilité européenne d’IDéNum rejoint donc celle de l’interopérabilité des différents systèmes eID existants chez nos voisins. Tous les systèmes étant basés sur la même technologie, il n’y a pas d’obstacle technique à l’interopérabilité. L’obstacle est d’ordre organisationnel. Pour accepter un certificat, un site Web doit vérifier d’une part que son émetteur est homologué, et d’autre part que ce certificat ne fait pas l’objet d’une mise en opposition. Une interopérabilité internationale suppose de disposer d’une solution permettant aux sites Web d’un pays donné de pouvoir contacter les émetteurs d’un autre pays. A ce stade, la Commission européenne a lancé le développement de STORK, un système « traducteur », qui rend possible cette mise en relation. A cet égard, le label IDéNum s’insèrera naturellement dans ce dispositif européen dès qu’il sera opérationnel.

Certains commentaires font également allusion à des engagements européens qu’aurait pris la France de déployer une carte d’identité électronique pour 2010. Je suppose qu’ils se réfèrent à la déclaration de Manchester (2005) : « By 2010 European citizens and businesses shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regulations. Such means shall be made available under the responsibility of the Member States but recognised across the EU ». La France s’est ainsi engagée avec ses partenaires européens à déployer d’ici 2010 des moyens d’identité électronique, et non obligatoirement sous forme de cartes. IDéNum est justement le moyen de répondre à cet engagement de la France.

La critique sur l’aspect « franco-français » d’IDéNum m’étonne puisqu’il utilise la même technologie que les eID des autres pays européens, IDéNum n’est pas plus franco-français que la CIE belge n’est belgo-belge, ou que le Documento Nacional de Identidad (DNI) n’est hispano-espagnol. D’ailleurs, je signale à ceux qui l’ignorent que Microsoft a adapté depuis longtemps ses produits à la CIE belge, ce qui montre que des multinationales américaines sont tout à fait réceptives aux projets nationaux.

IDéNum ne cible pas les réseaux sociaux du type Facebook. Facebook n’a pas besoin de garantie sur l’identité réelle de ses membres, il s’intéresse plutôt à leur profil. Par contre des sites du type d’eBay peuvent être intéressés par une technologie qui leur garantit l’identité des acheteurs et des vendeurs. Même si les vendeurs continuent à opérer sous pseudonyme, le fait que le site sache qui ils sont peut renforcer la confiance dans la plate-forme de vente. De même, un réseau social comme Viadeo peut être intéressé, car l’utilisation d’IDéNum lui permet d’éviter les usurpations d’identité, très dommageables dans un réseau dédié aux relations professionnelles.

Une autre question récurrente concerne le projet de carte nationale d’identité électronique (CNIE). Pourquoi lancer deux projets ayant apparemment le même objectif ?

Je dirai tout d’abord que les deux projets n’ont pas tout à fait le même objectif. La CNIE est avant tout un projet de titre d’identité et de voyage, même si elle peut servir sur Internet pour prouver son identité ou pour remplir et signer des formulaires à partir des informations qu’elle contient (nom, prénoms, date et lieu de naissance, adresse….). La seule fonction d’IDéNum est de garantir le nom et le prénom de l’internaute sur les sites Web publics et privés, et non de traverser les frontières.

Si la CNIE offre plus de possibilités à son titulaire qu’IDéNum, pourquoi avoir annoncé ce dernier projet ? Il y a plusieurs raisons. Tout d’abord, la CNIE elle-même n’est pas lancée. En outre, tout le monde ne détient pas de carte d’identité : moi par exemple je me contente de mon passeport. Pour ceux qui viennent d’obtenir une carte d’identité actuelle valable 10 ans, il faudra attendre la fin de validité de leur vieille carte pour obtenir une CNIE. Enfin certains internautes voudront avoir le choix des outils qu’ils utilisent sur le net, et voudront détenir d’autres certificats en plus de la CNIE. La CNIL de manière générale, et le Forum des Droits sur l’Internet (FDI) dans son Rapport 2005 sur le projet de CNIE, insistent sur l’importance d’avoir la liberté de pouvoir utiliser plusieurs outils identifiants. IDéNum constitue la réponse à tous ces points.

IDéNum utilise la même technologie que le projet de CNIE. Il y a donc compatibilité technique des deux projets. En revanche, IDéNum offre un plus grand choix de supports. Il pourra être proposé sur carte à puce comme la CNIE, ce qui nécessite un lecteur de carte. Il pourra également se décliner dans des clés USB ou dans des téléphones portables, permettant ainsi un usage plus nomade.

Certains commentaires s’alarment des atteintes possibles à la vie privée causées par l’utilisation d’IDéNum. Qu’en est-il ?

Le certificat IDéNum comporte très peu de données personnelles. Il n’est envisagé de mettre comme données personnelles dans le certificat que le nom et le prénom de l’internaute, un numéro de certificat, et rien d’autre. En utilisant IDéNum pour prouver son identité, on ne fait que confirmer ce que le site web sait déjà. En cas d’homonymie, le numéro de certificat permet de différencier les identités.

Par ailleurs, si un site Web souhaite conserver d’autres données personnelles sur l’internaute, pour permettre par exemple des remplissages automatiques de formulaires (comme le fait mon.service-public), cela doit d’une part être indispensable au service qu’il rend, et d’autre part recevoir le consentement de l’internaute. Ce sont les principes de base de la loi Informatique et Libertés de 1978.

Certains s’inquiètent des risques de généralisation insidieuse de l’emploi des certificats d’identité, au-delà des accès à un dossier personnel, et craignent que les blogs, forums et autres sites ne se mettent tous à vérifier les identités réelles des internautes. Une telle évolution a peu de chance de se produire. De nombreuses études menées, notamment par l’universitaire Caroline Lancelot-Miltgen, (mention spéciale de la CNIL pour ses derniers travaux) montrent que les sites n’ont pas intérêt à demander trop d’informations personnelles injustifiées car cela fait fuir les internautes.

L’État pourra-t-il se servir d’IDéNum pour surveiller les internautes ? Dans le système IDéNum, l’État se borne à définir le cahier des charges portant sur la sécurité et la qualité des certificats, et à vérifier la conformité des émetteurs de certificats. Ensuite, les internautes se procurent des certificats chez le fournisseur de leur choix, et les utilisent « en direct » sur les sites qu’ils souhaitent. L’État n’a ni le moyen de savoir quel internaute se procure un certificat, ni celui de tracer les navigations ou les différentes utilisations du certificat.

S’il le souhaite, l’internaute peut en outre détenir plusieurs certificats de plusieurs fournisseurs. Il multiplie ainsi ses identifiants, comme recommandé par la CNIL et par le FDI.

Plusieurs articles s’interrogent sur le modèle économique d’IDéNum et ironisent sur l’éventualité de le faire payer, alors qu’OpenID est gratuit.

J’ai expliqué plus haut pourquoi OpenID ne constitue pas l’outil attendu par les services Web partenaires d’IDéNum. Il y a d’ailleurs un lien entre la gratuité d’OpenID et le fait qu’il ne soit pas accepté par nos partenaires (administration, banques, assurances…). En effet, OpenID ne prend pas la responsabilité juridique de garantir véritablement l’identité de l’internaute. Or, ce dont nos partenaires ont besoin pour dématérialiser des procédures nouvelles (voir les exemples dans la FAQ sur www.idenum.fr), c’est justement qu’on leur fournisse cette garantie sur l’identité de l’internaute. Pour cela, quelqu’un doit d’une part vérifier qui est l’internaute, et d’autre part prendre la responsabilité de garantir cette identité. Cette vérification et cette responsabilité, qu’OpenID n’assure pas, ont un coût. Ce coût peut être par exemple être supporté par l’internaute lorsqu’il achète un certificat. Autre solution, il peut être supporté par le service web qui accepte ce certificat et qui profite de la garantie. La Suède, notamment, utilise ce deuxième modèle. Avec tous les partenaires IDéNum, nous allons travailler à monter un modèle économique qui soit le plus attractif possible, car nous sommes conscients que le coût sera un élément clé de la réussite.

Je précise que le rôle de l’État se borne à la rédaction du cahier des charges et au contrôle du mécanisme d’audit des émetteurs de certificats. De ce fait, les coûts opérationnels du projet ne seront pas supportés par l’État, mais par les différents partenaires, en fonction de leur implication.

Enfin, plusieurs questions portent sur la sécurité du système.

De manière générale, la sécurité du système sera déterminée et contrôlée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), organisme officiel qui constitue la plus haute référence française en la matière.

De même, à l’argument « Si les données sont centralisées, elles sont d’autant plus piratables puisque toutes réunies au même endroit. Avec un tel système, un pirate peut récupérer tous les mots de passe d’un seul coup, aussi bien les mots de passe pour carte bancaire que pour Internet. » , je réponds qu’IDéNum offre une double protection : support physique +code secret. Son vol suppose donc l’improblable combinaison : pickpocket + pirate du Web.

J’espère avoir répondu à toutes les questions posées ces derniers jours.
Le sujet suscite visiblement des débats passionnés. Je continuerai à vous tenir informés des évolutions du projet et à répondre à vos remarques.