La semaine dernière, voyage éclair à Vilnius, en Lituanie, avec une délégation composée de spécialistes de la gouvernance de l’Internet. Après Charm el-Cheikh l’an dernier, c’est la deuxième fois que je participais au Forum sur la gouvernance de l’Internet (FGI).

J’avais invité de précieux experts à se joindre à moi et m’accompagner à Vilnius : Mathieu Weill, le directeur général de l’AFNIC (le gestionnaire de l’extension Internet nationale « .fr »), Gérard Dantec, le Président du chapitre français d’ISOC (organisation non gouvernementale à l’origine de l’Internet), et Michel Combot, Directeur général adjoint du régulateur national des télécommunications, l’ARCEP. Une vieille connaissance, puisque Michel était encore il y a quelques mois mon directeur adjoint de cabinet.

Une bête étrange que ce Forum, totalement ouvert, sans véritable agenda, sans négociation, mais organisé tout de même sous l’égide des Nations Unies ; réunissant des milliers de personnes qui traitent de sujets décisifs, au cœur de mes préoccupations : l’avenir de l’Internet, le développement du cloud computing, la gouvernance des réseaux sociaux ou encore la supervision et la protection des infrastructures critiques de l’Internet.

Le FGI est issu d’un compromis entre les gouvernements, en 2005, à l’issue du Sommet mondial sur la société de l’information. À l’époque, ce compromis avait été jugé bancal.

Les discussions de ce Sommet tournaient autour de deux grands thèmes : la lutte contre la fracture numérique entre les nations et à l’intérieur des nations ; puis la possibilité de mettre en place une régulation ou « gouvernance » mondiale de l’Internet, devenu déjà indispensable à la vie démocratique comme au développement économique de tous les pays.

La lutte contre la fracture numérique, si elle a été renforcée par certains projets de coopération, notamment français, n’a pas atteint ses objectifs. A l’heure du bilan d’étape des « objectifs du millénaire » pour le développement, il est important de le rappeler. C’est d’ailleurs ce qu’a fait le Vice-secrétaire général des Nations Unies, Jomo Kwame Sundaran, lors de son propos introductif.

Nicolas Sarkozy, en proposant à la tribune des Nations Unies une taxe sur les mouvements financiers pour atteindre les « objectifs du millénaire », propose une piste que j’espère de nombreux États suivront. L’édification de la société de l’information, on a tendance à l’oublier, est comprise dans ces objectifs.

L’autre thème du Sommet mondial de 2005 était donc celui de la gouvernance de l’Internet. Et là, entre les États qui voulaient que cette gouvernance, essentiellement technique, passe de la seule supervision des États-Unis à celle d’une organisation intergouvernementale, ceux qui voulaient que rien ne bouge, ceux, enfin, qui cherchaient un compromis (la France et la majorité des Européens) l’accord était introuvable.

On créa donc ce Forum, avec un mandat de 5 ans, pour qu’il continue de discuter et d’approfondir la compréhension de tous les enjeux de la société de l’information, à la fois économiques, politiques, et sociétaux. Prenant en compte la réalité d’Internet, ce Forum devait mettre sur un pied d’égalité les gouvernements, la société civile et le secteur privé.

Fourre-tout, machine à noyer le poisson, acteur dépourvu parce que non décisionnaire. Tout a été dit sur le FGI et pourtant, alors que Vilnius accueillait sa cinquième édition, l’immense majorité des participants votaient des deux mains (c’est une image, puisqu’au FGI, justement, on ne vote pas…) pour la reconduction de son mandat.

Au fil du temps, le FGI a su trouver sa place. En rassemblant des experts venus des sphères techniques, gouvernementales, académiques, juridiques et économiques, ce Forum permet de confronter les points de vues sur des sujets aussi sensibles que la protection des données personnelles, la liberté d’expression ou la sécurité des infrastructures critiques de l’Internet. Ce qui pouvait être considéré comme une faiblesse (l’absence de caractère décisionnel ou de négociations de type intergouvernemental) devient une force, parce qu’il n’y a plus de sujet tabou ou réservé, que l’on peut parler de tout, avec tout le monde, et surtout avec ceux qui savent de quoi ils parlent.

Dans un contexte de menaces grandissantes qui pèsent sur Internet, avec la chasse aux cyber-dissidents ou bien encore la création de véritables oligopoles dans le secteur des réseaux sociaux ou celui des moteurs de recherche, ces discussions à bâtons rompus sont absolument nécessaires.

Bien sûr, j’ai profité de mon déplacement à Vilnius pour m’entretenir avec mon homologue lituanien. Ce pays balte est très sensible aux problèmes de sécurité de réseaux et à la lutte contre les actes de cyber-guerre. Il faut dire que les principaux sites du voisin estonien ont été victimes d’une attaque en règle en 2007. Et comme l’ensemble de ses voisins baltes, la Lituanie est en avance dans le déploiement de l’administration électronique tout autant que dans l’usage des outils de e-commerce par les entreprises.

Pour ma part, j’ai présenté à mon homologue Eligijus Masiulis les grands axes des investissements d’avenir décidés par la France, en lui expliquant que nous cherchions des partenaires pour engager des projets à l’échelle européenne, sur des thématiques comme la sécurité et la résilience des réseaux ou encore le cloud computing. J’ai également voulu, comme je l’ai fait avec l’ensemble de mes interlocuteurs par la suite, insister sur l’importance de mettre en œuvre concrètement le droit à l’oubli sur Internet. Cette notion, que j’avais déjà portée à Charm el-Cheikh l’an passé, si nous voulions nous en donner les moyens, pourrait devenir l’une des contributions majeures de l’Europe à Internet. Le droit à l’oubli, c’est trouver ensemble des mécanismes pour que les internautes puissent faire valoir, sur Internet comme dans la vie réelle, le droit à la prescription. J’en ai déjà parlé ailleurs sur ce blog.

J’ai pu évoquer également avec Rod Beckstrom et l’équipe dirigeante de l’ICANN la réforme de cet organisme en charge de la régulation des noms de domaines et d’un des piliers d’Internet, le système d’adressage et de nomage. Ce système, c’est celui qui traduit en langage d’ordinateur les lettres « nkm-blog.fr » que vous avez peut-être tapé pour lire cet article. Ceux qui gèrent ce système, et qui le gèrent bien d’ailleurs, puisqu’il fonctionne, ont un pouvoir considérable sur Internet. Il est donc essentiel que les politiques s’assurent que le travail continue à être bien fait, et que les différents pays aient leur mot à dire sur la manière dont il se déroule.

J’en ai profité d’ailleurs pour indiquer à Rod Beckstrom qu’avec la nomination au conseil d’administration de l’ICANN de notre délégué spécial pour la société de l’information, Bertrand de la Chapelle, son organisation avait gagné autant que nous avions perdu, et qu’ils n’auraient donc plus d’excuse pour retarder la réalisation des réformes indispensables qu’ils ont engagés !

Avec l’Ambassadeur Verveer, Coordinateur du gouvernement américain pour les négociations touchant à l’Internet, et Andrew Mc Laughlin, Directeur technique adjoint de l’administration du Président Obama, nous avons pu discuter de la protection des données personnelles, du droit à l’oubli et de la défense de liberté d’expression sur Internet.

Nous sommes très proches des Américains sur le sujet de la liberté d’expression. Bernard Kouchner a d’ailleurs lancé une initiative importante pour préserver les droits fondamentaux sur Internet. Voilà encore une question majeure. Internet est un outil d’information, de création et d’expression. Il faut s’assurer qu’il le reste, et il faut que les démocraties protègent les victimes des abus de pouvoir. Pour un blogueur comme pour un journaliste, la prison pour délit d’opinion, ce n’est malheureusement pas du virtuel. Il ne faut pas l’oublier.

Sur la protection des données personnelles, et notamment sur le droit à l’oubli, nous avons essayé de rapprocher les points de vue, qui sont culturellement divergents de part et d’autre de l’Atlantique. Pour nous, la protection de la vie privée est aussi importante que la liberté d’expression. L’une comme l’autre sont d’ailleurs des droits fondamentaux inscrits dans la déclaration universelle des Droits de l’homme. Pour les Américains, le premier amendement est le plus important. Le droit à la vie privée s’efface en quelque sorte devant la liberté de dévoiler ses propres faits et gestes ou ceux des autres.

Cette discussion n’est pas nouvelle, mais dans le contexte du développement des usages de l’Internet, elle prend une autre dimension. L’Internet est aujourd’hui universel. Mais il ne doit pas être uniforme. L’enjeu reste d’abord celui du respect des diversités culturelles. S’il faut en passer par des règles différentes appliquées aux entreprises d’Internet selon qu’elles s’adressent à des internautes européens ou américains, et bien, pourquoi pas ?

Nous avons parlé de cela, et de neutralité du net également, lors du déjeuner de travail que j’ai eu avec des représentants de Verizon, du conseil de l’Europe, d’ISOC monde, auxquels s’étaient joints un représentant du gouvernement finlandais et un avocat pakistanais spécialisé dans la défense des droits de l’homme. Une discussion très riche, « multi-acteurs » comme aiment à le dire les participants du FGI, qui m’a donné l’occasion d’aborder avec mes interlocuteurs les multiples aspects de la neutralité du net. Car c’est bien un sujet politique, situé à la rencontre des enjeux sociaux, économiques et techniques. Les visions divergent entre les opérateurs et les utilisateurs, comme j’ai encore pu le constater. Le politique a un rôle d’arbitrage, éclairé par chacun des acteurs qui avancent leurs arguments. Cette discussion m’a confortée dans ma volonté de poursuivre le débat en France, de la manière la plus ouverte possible, et notamment au Parlement.

Enfin, j’ai pu aborder avec le Vice-secrétaire général des Nations Unies l’avenir du FGI. Je lui ai indiqué le soutien de la France pour que le FGI soit pérennisé. Nous sommes tombés d’accord sur la nécessité de renforcer ses prérogatives. Le caractère ouvert et multi-acteurs de ce Forum, dont j’espère que mon témoignage montre toute la richesse, devra donner lieu à un processus décisionnel, sous une forme qui reste à inventer.

On pourrait par exemple imaginer que ce soit sous la forme de recommandations aux autres organismes des Nations Unies, pour les inviter à se saisir de questions qui auront été préparées et éclairées par les travaux du Forum. Mais toujours est-il, et cela reste l’un de mes regrets, qu’à l’exception de Neelie Kroes, notre commissaire européenne, de mon homologue lituanien et d’une poignée de parlementaires européens sensibles à ces questions, comme l’est Catherine Trautmann, que les responsables politiques étaient les grands absents du Forum.

C’est un problème pour l’avenir. De toute évidence, bien du travail reste à faire pour éclairer les dirigeants politiques de tous pays sur l’importance qu’a pris Internet dans nos vies. Internet n’est pas en dehors de la réalité politique, et le politique n’est pas l’ennemi d’Internet. En tant qu’élément désormais essentiel de la vie de la cité, il doit être compris dans toute sa complexité et tous ses enjeux, par les législateurs comme par les gouvernements. Cela ne se fera pas sans friction, mais c’est le sens de l’histoire.

Depuis le 1er février, date de la présentation du label IDéNum, j’observe avec intérêt les nombreuses réactions que suscite ce projet sur la toile. Afin de recenser l’ensemble de vos questions, j’ai demandé à mon cabinet de mettre en place une veille de manière à répondre point par point à vos interpellations sur le sujet.
Au-delà des aspects positifs, qui ont d’ailleurs été largement soulignés, j’entends me concentrer sur les points qui font polémique ou qui sont l’objet d’ambiguïtés, voire de confusion.

En guise de préambule, il me semble utile de rappeler les principes clé de cette idée, assez neuve en France, d’identité numérique libre et certifiée. Et, je dis bien « neuve en France », car ce label repose sur un concept qui fonctionne déjà chez nos voisins européens.

L’objectif d’IDéNum est bien de faciliter la dématérialisation de nombreuses procédures, publiques comme privées, qui nécessitent une forte garantie de l’identité de l’internaute. Les avantages sont évidents tant pour les internautes, qui auront ainsi accès à toute une palette de nouveaux services et usages, que pour les partenaires qui pourront mutualiser les investissements et réaliser des économies sur les coûts.
Quant à tous ceux qui voient poindre la menace orwellienne dans IDéNum, je tiens juste à réaffirmer son caractère totalement facultatif.

Pour plus de clarté, j’ai regroupé les questions portant sur :

Dernière info, toute fraîche, que je vous livre en exclusivité : depuis le début de la semaine, les sociétés Sagem, Orange, Moneo et le Conseil Supérieur du Notariat, ont fait part de leur intérêt pour le projet.

J’espère que cette lecture vous donnera un éclairage pertinent sur ce qu’est vraiment IDéNum. Toutefois, loin de moi la prétention de faire le tour de toutes vos interrogations en une seule « séance ». J’invite donc tous ceux qui souhaiteraient des éclaircissements supplémentaires à me poster leurs commentaires.

Pourquoi inventer un nouveau concept alors que des systèmes comme OpenID ou, dans d’autres pays d’Europe, des cartes d’identité électronique (CIE) existent déjà ?

OpenID est conçu pour se simplifier la vie sur les sites communautaires, par exemple, en utilisant un seul fournisseur de mot de passe, mais il n’est pas accepté par les administrations ou les banques pour signer en ligne des documents. OpenID est donc bien comparable à IDéNum pour ce qui est de la simplification de la gestion des mots de passe, mais n’a pas vocation, pour l’instant, à permettre l’identification, car dans ce système personne ne se porte véritablement garant de l’identité de l’internaute.
Avec IDéNum, les fournisseurs sont « approuvés par le Gouvernement », sur la base d’un cahier des charges, qui donne de la valeur au certificat, en garantissant l’authentification. Grâce à ce niveau de sécurité, les administrations comme les organismes financiers pourront maintenant dématérialiser des procédures qui appellent une certitude sur l’identité.

J’ai lu quelques approximations sur les expériences conduites à l’étranger, et sur l’interopérabilité d’IDéNum. La conception du label IDéNum s’inspire précisément de ces initiatives. Mes équipes sont en contact étroit avec les différents responsables nationaux chargés de l’eID en Europe (voir par exemple le site du groupe de travail international auquel nous participons). Je confirme donc que quand je cite l’Autriche, la Norvège, l’Italie, etc., il s’agit bien de pays où existent des certificats utilisables sur les sites Web qui le souhaitent. Ces certificats sont parfois émis par des organismes non étatiques, et portés sur un support autre que la carte d’identité. C’est, d’ailleurs le cœur du concept d’IDéNum. Je m’empresse de préciser que certains de ces pays, comme la Suède, la Finlande, l’Estonie, l’Italie, ont aussi une carte d’identité électronique, attestant ainsi que les deux systèmes (carte d’identité électronique et certificats sur un autre support), peuvent pleinement coexister.

J’en profite pour rappeler que, contrairement à ce que j’ai pu lire, il n’existe aucun standard européen d’identité électronique, car il ne s’agit pas d’une compétence communautaire. Chaque pays est donc libre de choisir son standard, voire de ne rien faire du tout. En pratique, tous les pays qui utilisent l’eID ont choisi jusqu’à aujourd’hui une même technologie. C’est le certificat électronique, celui-là même que nous voulons promouvoir avec IDéNum. Cela n’empêche en rien que d’autres technologies, pour peu qu’elles soient testées et validées dans le cadre du référenciel général de sécurité, puissent être ensuite utilisées dans le cadre d’IDéNum

L’Agence européenne de sécurité informatique, l’ENISA, vient justement de publier cette semaine un rapport sur l’interopérabilité des systèmes nationaux d’eID. Ce rapport ne fait même pas mention d’OpenID. On remarquera aussi que le schéma générique d’un système d’authentification (Cf. pages 6-7) est justement celui d’IDéNum.

La question de l’interopérabilité européenne d’IDéNum rejoint donc celle de l’interopérabilité des différents systèmes eID existants chez nos voisins. Tous les systèmes étant basés sur la même technologie, il n’y a pas d’obstacle technique à l’interopérabilité. L’obstacle est d’ordre organisationnel. Pour accepter un certificat, un site Web doit vérifier d’une part que son émetteur est homologué, et d’autre part que ce certificat ne fait pas l’objet d’une mise en opposition. Une interopérabilité internationale suppose de disposer d’une solution permettant aux sites Web d’un pays donné de pouvoir contacter les émetteurs d’un autre pays. A ce stade, la Commission européenne a lancé le développement de STORK, un système « traducteur », qui rend possible cette mise en relation. A cet égard, le label IDéNum s’insèrera naturellement dans ce dispositif européen dès qu’il sera opérationnel.

Certains commentaires font également allusion à des engagements européens qu’aurait pris la France de déployer une carte d’identité électronique pour 2010. Je suppose qu’ils se réfèrent à la déclaration de Manchester (2005) : « By 2010 European citizens and businesses shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regulations. Such means shall be made available under the responsibility of the Member States but recognised across the EU ». La France s’est ainsi engagée avec ses partenaires européens à déployer d’ici 2010 des moyens d’identité électronique, et non obligatoirement sous forme de cartes. IDéNum est justement le moyen de répondre à cet engagement de la France.

La critique sur l’aspect « franco-français » d’IDéNum m’étonne puisqu’il utilise la même technologie que les eID des autres pays européens, IDéNum n’est pas plus franco-français que la CIE belge n’est belgo-belge, ou que le Documento Nacional de Identidad (DNI) n’est hispano-espagnol. D’ailleurs, je signale à ceux qui l’ignorent que Microsoft a adapté depuis longtemps ses produits à la CIE belge, ce qui montre que des multinationales américaines sont tout à fait réceptives aux projets nationaux.

IDéNum ne cible pas les réseaux sociaux du type Facebook. Facebook n’a pas besoin de garantie sur l’identité réelle de ses membres, il s’intéresse plutôt à leur profil. Par contre des sites du type d’eBay peuvent être intéressés par une technologie qui leur garantit l’identité des acheteurs et des vendeurs. Même si les vendeurs continuent à opérer sous pseudonyme, le fait que le site sache qui ils sont peut renforcer la confiance dans la plate-forme de vente. De même, un réseau social comme Viadeo peut être intéressé, car l’utilisation d’IDéNum lui permet d’éviter les usurpations d’identité, très dommageables dans un réseau dédié aux relations professionnelles.

Une autre question récurrente concerne le projet de carte nationale d’identité électronique (CNIE). Pourquoi lancer deux projets ayant apparemment le même objectif ?

Je dirai tout d’abord que les deux projets n’ont pas tout à fait le même objectif. La CNIE est avant tout un projet de titre d’identité et de voyage, même si elle peut servir sur Internet pour prouver son identité ou pour remplir et signer des formulaires à partir des informations qu’elle contient (nom, prénoms, date et lieu de naissance, adresse….). La seule fonction d’IDéNum est de garantir le nom et le prénom de l’internaute sur les sites Web publics et privés, et non de traverser les frontières.

Si la CNIE offre plus de possibilités à son titulaire qu’IDéNum, pourquoi avoir annoncé ce dernier projet ? Il y a plusieurs raisons. Tout d’abord, la CNIE elle-même n’est pas lancée. En outre, tout le monde ne détient pas de carte d’identité : moi par exemple je me contente de mon passeport. Pour ceux qui viennent d’obtenir une carte d’identité actuelle valable 10 ans, il faudra attendre la fin de validité de leur vieille carte pour obtenir une CNIE. Enfin certains internautes voudront avoir le choix des outils qu’ils utilisent sur le net, et voudront détenir d’autres certificats en plus de la CNIE. La CNIL de manière générale, et le Forum des Droits sur l’Internet (FDI) dans son Rapport 2005 sur le projet de CNIE, insistent sur l’importance d’avoir la liberté de pouvoir utiliser plusieurs outils identifiants. IDéNum constitue la réponse à tous ces points.

IDéNum utilise la même technologie que le projet de CNIE. Il y a donc compatibilité technique des deux projets. En revanche, IDéNum offre un plus grand choix de supports. Il pourra être proposé sur carte à puce comme la CNIE, ce qui nécessite un lecteur de carte. Il pourra également se décliner dans des clés USB ou dans des téléphones portables, permettant ainsi un usage plus nomade.

Certains commentaires s’alarment des atteintes possibles à la vie privée causées par l’utilisation d’IDéNum. Qu’en est-il ?

Le certificat IDéNum comporte très peu de données personnelles. Il n’est envisagé de mettre comme données personnelles dans le certificat que le nom et le prénom de l’internaute, un numéro de certificat, et rien d’autre. En utilisant IDéNum pour prouver son identité, on ne fait que confirmer ce que le site web sait déjà. En cas d’homonymie, le numéro de certificat permet de différencier les identités.

Par ailleurs, si un site Web souhaite conserver d’autres données personnelles sur l’internaute, pour permettre par exemple des remplissages automatiques de formulaires (comme le fait mon.service-public), cela doit d’une part être indispensable au service qu’il rend, et d’autre part recevoir le consentement de l’internaute. Ce sont les principes de base de la loi Informatique et Libertés de 1978.

Certains s’inquiètent des risques de généralisation insidieuse de l’emploi des certificats d’identité, au-delà des accès à un dossier personnel, et craignent que les blogs, forums et autres sites ne se mettent tous à vérifier les identités réelles des internautes. Une telle évolution a peu de chance de se produire. De nombreuses études menées, notamment par l’universitaire Caroline Lancelot-Miltgen, (mention spéciale de la CNIL pour ses derniers travaux) montrent que les sites n’ont pas intérêt à demander trop d’informations personnelles injustifiées car cela fait fuir les internautes.

L’État pourra-t-il se servir d’IDéNum pour surveiller les internautes ? Dans le système IDéNum, l’État se borne à définir le cahier des charges portant sur la sécurité et la qualité des certificats, et à vérifier la conformité des émetteurs de certificats. Ensuite, les internautes se procurent des certificats chez le fournisseur de leur choix, et les utilisent « en direct » sur les sites qu’ils souhaitent. L’État n’a ni le moyen de savoir quel internaute se procure un certificat, ni celui de tracer les navigations ou les différentes utilisations du certificat.

S’il le souhaite, l’internaute peut en outre détenir plusieurs certificats de plusieurs fournisseurs. Il multiplie ainsi ses identifiants, comme recommandé par la CNIL et par le FDI.

Plusieurs articles s’interrogent sur le modèle économique d’IDéNum et ironisent sur l’éventualité de le faire payer, alors qu’OpenID est gratuit.

J’ai expliqué plus haut pourquoi OpenID ne constitue pas l’outil attendu par les services Web partenaires d’IDéNum. Il y a d’ailleurs un lien entre la gratuité d’OpenID et le fait qu’il ne soit pas accepté par nos partenaires (administration, banques, assurances…). En effet, OpenID ne prend pas la responsabilité juridique de garantir véritablement l’identité de l’internaute. Or, ce dont nos partenaires ont besoin pour dématérialiser des procédures nouvelles (voir les exemples dans la FAQ sur www.idenum.fr), c’est justement qu’on leur fournisse cette garantie sur l’identité de l’internaute. Pour cela, quelqu’un doit d’une part vérifier qui est l’internaute, et d’autre part prendre la responsabilité de garantir cette identité. Cette vérification et cette responsabilité, qu’OpenID n’assure pas, ont un coût. Ce coût peut être par exemple être supporté par l’internaute lorsqu’il achète un certificat. Autre solution, il peut être supporté par le service web qui accepte ce certificat et qui profite de la garantie. La Suède, notamment, utilise ce deuxième modèle. Avec tous les partenaires IDéNum, nous allons travailler à monter un modèle économique qui soit le plus attractif possible, car nous sommes conscients que le coût sera un élément clé de la réussite.

Je précise que le rôle de l’État se borne à la rédaction du cahier des charges et au contrôle du mécanisme d’audit des émetteurs de certificats. De ce fait, les coûts opérationnels du projet ne seront pas supportés par l’État, mais par les différents partenaires, en fonction de leur implication.

Enfin, plusieurs questions portent sur la sécurité du système.

De manière générale, la sécurité du système sera déterminée et contrôlée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), organisme officiel qui constitue la plus haute référence française en la matière.

De même, à l’argument « Si les données sont centralisées, elles sont d’autant plus piratables puisque toutes réunies au même endroit. Avec un tel système, un pirate peut récupérer tous les mots de passe d’un seul coup, aussi bien les mots de passe pour carte bancaire que pour Internet. » , je réponds qu’IDéNum offre une double protection : support physique +code secret. Son vol suppose donc l’improblable combinaison : pickpocket + pirate du Web.

J’espère avoir répondu à toutes les questions posées ces derniers jours.
Le sujet suscite visiblement des débats passionnés. Je continuerai à vous tenir informés des évolutions du projet et à répondre à vos remarques.