« eIDAS2 et la convergence identité/paiements »

Dans cette première slide, j’ai repris un schéma présenté par deux opérateurs allemands : LISSI (un fournisseur de wallets d’identité) et Neosfer (le hub innovation de Commerzbank).

Vous comprendrez dans la suite de mon exposé pourquoi je fais un tel focus sur l’Allemagne.  

Dans ma présentation, centrée sur l’application du règlement eIDAS2 aux opérations de paiement, je vous proposerai (a) des éléments de contexte et (b) quelques clés pour comprendre (car Hervé Sitruk m’a dit « il faut faire de la pédagogie »). Je vous expliquerai ensuite (c) la voie qui a été choisie par l’Allemagne (je la trouve en effet très pertinente, et je regrette qu’on ne s’inspire pas de ce qui a été fait outre-Rhin) et (d) où nous en sommes aujourd’hui.

Premier élément de contexte : l’annonce, il y a moins d’un mois, par le groupe Sparkassen (les caisses d’épargne allemandes) qu’il va lancer un wallet d’identité numérique eIDAS2.

Sparkassen est le premier groupe bancaire européen à le faire. Et ils le font car cela va leur permettre de combiner l’identité numérique et les paiements. Ceci n’a rien de surprenant car le groupe Sparkassen a pris depuis 2022 le lead sur le sujet paiement des wallets eIDAS2 au sein du Large-Scale Pilot NOBID : j’ai mis sur cette slide un petit document juridique publié par le groupe il y a un peu plus de deux ans (« Why the acceptance of the EU Digital Identity Wallet for SCA will be mandatory under eIDAS2 »). Et vous voyez que Sparkassen travaille également avec Google sur les sujets de vérification d’âge.

Deuxième élément de contexte : le développement des solutions d’Agentic payments.

Exemple : je donne oralement instruction à mon téléphone de vérifier auprès de la machine à café qu’il y a toujours du café dans la réserve et, quand il n’y en a plus, d’en racheter automatiquement sans m’en référer. C’est un exemple trivial, mais vous voyez que cela suppose qu’on ait identifié à la fois le donneur d’ordre, le client payeur, l’agent qui va réaliser l’opération de paiement, et même la machine à café (d’où une identité des objets). Et les paiements doivent bien sûr s’effectuer sans intervention humaine, mais en pratique avec les identifiants du mandant. Évidemment, cela pose de gros problèmes juridiques car on est en décalage très marqué avec les règles en matière d’identification et d’authentification. De plus, ces pratiques mettent en place des mandats occultes porteurs de conflits d’intérêts et qui pourront s’avérer être des nids à contentieux, mais qui d’un autre côté répondent à des besoins évidents et offrent des services légitimes, et je suis convaincu qu’elles finiront par s’imposer.

Je vous signale un excellent papier de la Fondation OpenID (« Identity Management for Agentic AI ») qui montre les difficultés, et le caractère impératif de traiter ce sujet-là. Comment le traiter ? Probablement en déployant des schémas d’identité numérique adaptés à la fois pour les donneurs d’ordres, mais aussi pour identifier les agents qui interviennent au nom de et pour le compte de ces donneurs d’ordres.

Troisième élément de contexte : le règlement eIDAS. C’est une construction centrale pour la mise en œuvre du marché digital unique européen. Le projet eIDAS2 est un projet très ambitieux, mais lourd et d’une grande complexité (cf. sur la partie droite de cette slide, les textes d’application eIDAS : la liste est à jour, mais d’autres textes sont encore à venir).

Le projet eIDAS2 est centré sur les wallets d’identité numérique, mais aussi sur les attestations portables et vérifiables. Il est référencé dans de très nombreux autres textes majeurs, comme par exemple le règlement ALM ou la directive sur l’utilisation des outils et processus numériques en droit des sociétés, c’est-à-dire que les principaux actes de droit des sociétés vont passer dans des formats compatibles avec les volets d’identité numérique eIDAS. Et pour les personnes morales, il sera complété par un European Business Wallet, sur lequel on attend de premières indications la semaine prochaine.

eIDAS2 : de très grands défis

• Premier défi : la gestion de la nouveauté et de la complexité. Le cahier des charges est très contraignant, pour une raison simple, qui est que dès le départ, l’arbitrage politique a été de viser le niveau de garantie « élevé ». Or ce niveau de garantie élevé implique une grande complexité, et il est délicat de le concilier avec une expérience utilisateur fluide.
• Deuxième défi : la viabilité du modèle économique. eIDAS2 est une belle construction, mais derrière il n’y a pas de modèle économique évident. La logique voudrait que ce soit l’utilisateur des identités (ou des attributs d’identité ou de statut) qui paye. Mais rien n’est prévu pour le faire. Ce sujet est régulièrement évoqué dans les conférences internationales : à la conférence ENISA de fin septembre à laquelle j’ai eu le plaisir d’assister, il y a eu plusieurs interventions sur ce thème.
• Troisième défi : le calendrier de mise en place. À mon avis, ce calendrier est beaucoup trop contraint, notamment car les wallets d’identité numérique doivent être certifiés. Or, les process de certification ne sont pas aboutis (du moins dans de très nombreux pays : il n’y a qu’en Allemagne que le process est stabilisé). En outre, pour certifier il faut que les certificateurs eux-mêmes soient habilités à cet effet. Et tout cela doit se mettre en place dans des délais très brefs : dans un an, les États doivent remettre leurs wallets d’identité ; dans deux ans, tout le monde doit les accepter.

Après ce rappel du contexte, je voudrais vous donner quelques clés de lecture.

Première clé de lecture : comprendre les schémas d’identité numérique. Si je prends une approche un peu historique :

• Le schéma de première génération (en haut de la slide) est plus un service d’authentification qu’autre chose : vous avez une entité qui fournit des facteurs d’authentification à un utilisateur, puis l’utilisateur l’utilise pour se faire reconnaître auprès de cette entité. C’est un schéma très basique, daté mais encore beaucoup pratiqué, y compris dans le monde bancaire (avec vos identifiants bancaires de la banque X, vous ne pouvez pas vous identifier dans la banque Y).

• Le schéma de deuxième génération, qui date d’il y a une bonne dizaine d’années, a été développé par les réseaux sociaux : c’est donc fondamentalement une initiative privée. C’est ce qu’on appelle les schémas « fédérés », dans lesquels vous avez un fournisseur d’attributs d’identité qui propage des attributs d’identité (ou de statut) auprès d’utilisateurs qui en ont besoin. Ce sont les X-Connect (Google-Connect, Facebook-Connect…) mais également, en France, France-Connect ou b.connect. Ces schémas présentent la particularité d’être centralisé et mettent donc un tiers en situation privilégiée d’information sur les flux d’attributs.

• Le schéma de troisième génération est un schéma décentralisé. Dans ce schéma, c’est l’utilisateur qui est au centre du processus et dispose d’un wallet, demande et récupère avec son wallet des attributs d’identité ou de statut et les communique à des parties utilisatrices qui en font la demande, et ces attributs sécurisés peuvent ensuite être vérifiés. C’est fondamentalement la logique des wallets eIDAS2 : il y a plusieurs variantes mais la plus aboutie permet de conserver directement les attributs dans le wallet.

Deuxième clé de lecture : des attestations électroniques portables et vérifiables (en anglais Verifiable Credentials). De quoi s’agit-il? En pratique, d’attestations émises par une organisation reconnue, stockées sur une application dédiée (un wallet ou un portefeuille d’identité numérique), sécurisées, portables, et qui peuvent être vérifiées automatiquement par toute personne à qui elles sont communiquées.  Il y a donc ici trois rôles clés : l’émetteur de l’attestation électronique, le détenteur (le titulaire du wallet) et le vérificateur (qui est également la partie faisant la demande de l’attestation et l’utilise ensuite).

Troisième clé de lecture : les PID (Personal Identification Data), et les eAA (.) des wallets eIDAS2

Les PID et eAA sont des attestations d’identité ou de statut. Pour l’identité, ce sont les informations qui se trouvent sur un passeport ou une carte d’identité. Pour les attributs de statut, la liste est globalement sans limite : l’adresse, les attestations, le permis de conduire, les diplômes… et, dans le domaine bancaire, les attestations de moyens de paiement (attestation d’IBAN, de carte…), les cartes de fidélité, de membre d’organisation, etc.

Dans la terminologie eIDAS, il est important de bien comprendre qu’il y a deux groupes : (a) les données d’identification personnelle (PID) et (b) les attestations électroniques d’attributs (eAA ou QeAA), dans lesquelles on distingue deux sous-catégories – une publique et une privée.

Les PID et eAA sont bien des attestations électroniques portables et vérifiables qui peuvent d’ailleurs porter sur les mêmes choses, mais leurs émetteurs ne sont pas les mêmes et n’ont pas le même statut.

• Pour les PID, ils doivent être validés par l’émetteur du wallet : c’est « sanctuarisé », au niveau élevé, et donc très contraint. On est dans un schéma de monopole, c’est-à-dire que le fournisseur du wallet peut choisir les PID qui vont être autorisées. Et le fournisseur de PID peut choisir un seul wallet à l’exclusion de tous les autres. Pour dire les choses de façon plus parlante : quand vous avez le wallet France Identité, vous ne pourrez loger dedans que les attributs émis par France Titre, mais pas les attributs émis par les autres États-Membres de l’Union européenne, y compris ceux qui auront émis des wallets, sauf si le gestionnaire de France Identité (France Titres) décidait de le valider. La règle est donc le choix discrétionnaire des deux côtés.
• Pour les attributs électroniques, les eAA ou QeAA, c’est la règle inverse: dès lors que vous répondez au cahier des charges technique, vous avez le droit d’aller partout, et si le titulaire du wallet en fait la demande, le gestionnaire du wallet ne peut refuser de les accueillir.

Quatrième clé de lecture : comment protéger les clés privées pour obtenir un niveau de garantie élevé ?

La gestion des PID et eAA par les wallets Eidas2 repose sur des procédés cryptographiques mettant en œuvre des clés privées. Ces clés doivent bien sûr être protégées contre toute utilisation non autorisée.  Il y a trois solutions compatibles avec un niveau de garantie élevé.

• Première solution, appelée « locale externe »: les clés privées sont logées dans un conteneur sécurisé externe, en pratique une smart card. C’est la solution historique, retenue en France avec France Identité : pour actionner France Identité au niveau élevé, il faut appareiller l’application à sa carte d’identité (les clés privées sont alors logées dans la puce de la CNIe) ; 
• Deuxième solution, appelée « remote cloud » qui est aujourd’hui la solution dominante, C’est le choix qui a été fait par les Allemands. Dans cette solution, les clés privées sont gérées dans le cloud sous le contrôle d’un prestataire habilité, ce qui permet d’être plus flexible et d’offrir une meilleure expérience utilisateur. Mais une vulnérabilité demeure au niveau de l’authentification qui reste locale et s’avère moins sécurisée ;
• Troisième solution, appelée « locale interne »: c’est une solution émergente, dans laquelle c’est directement dans une puce sécurisée dédiée du smartphone (le secure element) que vont se trouver les clés privées permettant d’offrir un niveau de garantie satisfaisant. C’est la solution de demain mais qui nécessite encore un schéma de certification dédié.

À ce jour, on est à peu près à 10% de solutions locales externes de tokens ou de smart cards, 80% de solutions cloud, et 10% de solutions locales internes (au travers, notamment, des e-SIM qui sont des compartiments sécurisés des secure elements). La conviction générale est que la solution locale interne va se développer et devenir majoritaire.

L’Allemagne a choisi sa voie

En septembre 2024, les pouvoirs publics allemands ont fait des annonces claires :

• Il y aura plusieurs wallets d’identité eIDAS2 validés et certifiés en Allemagne, correspondant au protocole de certification allemand. Il y aura, bien sûr, un wallet Eidas2 public, l’équivalent allemand de France Identité, mais aussi des solutions privées.
• A la différence de ce qui est aujourd’hui prévu pour France Identité, il n’y aura pas besoin d’un token externe pour faire fonctionner ces solutions d’identité au niveau de garantie élevé, ceci pour permettre une fluidité d’utilisation.
• Certains des wallets privés eIDAS2 auront clairement vocation à être utilisées dans le cadre du monde financier et dans le cadre des paiements.

Deuxième élément de différenciation par rapport à la France : il y a eu en Allemagne un très large débat public et politique sur ces sujets, avec notamment plusieurs rapports au Bundestag.  La société civile elle-même s’est emparée du dossier : il y a eu des rapports des fédérations, des organismes de consommateurs, des chambres notariales… Bref, il y a eu un vrai débat public, bien au-delà du cercle purement technique des experts sur le sujet.

Troisième élément qui différencie l’approche allemande de l’approche française : un processus ouvert de sélection des wallets. Il y a en Allemagne une agence fédérale (l’agence pour l’innovation disruptive) qui existe depuis plusieurs années et qui a lancé un processus de sélection compétitive des wallets eIDAS2 ouvert à tous (Samsung et Google y ont participé), qui a testé dans des conditions réelles des prototypes visant à répondre aux spécifications eIDAS et qui a retenu in fine (c’était il y a un mois maintenant) quatre finalistes, dont deux  sont allemands  et deux sont financés par les pouvoirs publics allemands. A nouveau, rien de tel en France…

Quatrième élément de différenciation : des spécifications accessibles. L’architecture du wallet eIDAS allemand a été publiée, les spécifications sont disponibles en ligne, tout est open source.

Et puis l’écosystème est impliqué et à l’écoute, puisque les fournisseurs de services de confiance se sont intéressés à la question, ont commencé à travailler, je vous ai mis des présentations faites par D-Trust, un fournisseur de services de confiance eIDAS sur la liste des attributs susceptibles d’être émis dans le cadre des wallets d’identité numériques allemands. Le premier de la liste est l’IBAN. Des discussions sont en cours sur la mise en œuvre concrète, car il existe en Allemagne un schéma centralisé de gestion d’informations sur les IBAN.  En bref, je suis frappé par la grande différence entre l’approche allemande et l’approche française.

Où en est-on aujourd’hui ?

Au niveau eIDAS, un gros travail a été réalisé sur le cas d’usage paiement, et il est en train de donner lieu à la formalisation au travers de l’ARF (Architecture and Reference Document) eIDAS. Vous savez qu’avec eIDAS, la Commission européenne a mis en place un processus de co-construction itérative des spécifications techniques, formalisé au travers de ce document ARF qui en est aujourd’hui à sa 18^ème version.

Une partie de ces travaux concerne l’authentification forte des paiements. C’est en cours de stabilisation et cela s’appuie sur les travaux des deux LSP (Large Scale Pilots) NOBID et EWC qui ont travaillé sur le cas d’usage paiement depuis 2022.

Je rappelle incidemment que les banques françaises se sont abstenues de participer à chacun de ces deux LSP. Maintenant, le train est parti. Il sera difficile de le rattraper.

Les deux LSP WeBuild et Aptitude (voir slide suivante) couvrent les paiements au travers de perspectives retail et business distinctes : WeBuild va travailler sur la partie B2B et l’interfaçage avec le futur wallet d’identité pour les personnes morales. Pour ce qui est d’Aptitude, dans lequel il y a maintenant des banques françaises et qui est copiloté par France Titres, il y a un volet sur l’authentification forte et les paiements, mais ce sont les Allemands qui sont en charge du sujet.

Où en est-on en France ?

France Identité sera le wallet eIDAS2 notifié et certifié par la France. Le fait pour les wallets eIDAS2 d’accueillir librement des attributs électroniques du secteur privé, pourtant explicitement prévu par les textes, ne fait pas consensus auprès de France Titres qui a une approche particulièrement restrictive de cet aspect. Florent Tournois (Directeur du projet France Identité) a plusieurs fois illustré le propos en indiquant que l’application France Identité n’a pas vocation à accueillir des cartes de fidélité, mais que tout cela pourra se combiner au travers d’une API en cours de développement (en l’occurrence, par Google) qui s’appelle « Digital Credentials API », dans laquelle, via votre navigateur Internet, vous allez demander un attribut par-ci, un attribut par-là, et c’est votre navigateur Internet qui va gérer toutes vos demandes et combiner les présentations.

Donc si vous avez besoin d’un PID de France Identité, votre navigateur internet va interroger le wallet France Identité et récupérer le PID demandé pour ensuite le transmettre à la partie utilisatrice en ayant fait la demande, et ainsi de suite pour tous les autres attributs demandés.

Très bien, sauf que dans les paiements, ce n’est pas un PID qui est nécessaire mais l’attestation émise par l’émetteur du moyen de paiement utilisé pour le paiement, c’est-à-dire la banque du titulaire du wallet, que cette attestation porte sur son client (le titulaire de wallet) sur le moyen de paiement utilisé par celui-ci pour effectuer le paiement. C’est d’ailleurs l’approche préconisée par les LSP NOBID et EWC et stabilisée aujourd’hui dans l’ARF, de sorte qu’il n’est plus possible de revenir dessus.

Accessoirement, l’utilisation du Digital Credentials API est problématique à un double niveau. Elle recentralise les process de gestion des attributs de statut et d’identité, c’est-à-dire qu’elle donne à un tiers (le gestionnaire de navigateur internet) des informations privilégiées sur les échanges de données effectuées à partir du wallet.  Or, même si les attributs qui circulent sont chiffrés, leurs métadonnées ne le sont pas, ce qui donne beaucoup d’informations sur les usages qui sont faits. J’ajoute qu’aujourd’hui, le cas d’usage multi-wallet (consistant à demander plusieurs attributs qui dépendent de wallets différents dans mon smartphone) n’est pas opérationnel : il n’est pas prêt.

Donc, payer avec l’application France Identité ne va pas de soi : je crains que ce soit peu légitime pour beaucoup d’utilisateurs. En outre, la montée en gamme de France Identité est très lente : l’onboarding en mairie n’est pas simple et limite le potentiel de déploiement.

Nous gagnerions à nous inspirer de l’exemple allemand : un partenariat public-privé est très souhaitable. Pour le moment, on ne le voit pas se profiler. L’ouverture des PID français à des wallets autres que ceux de France Identité est une nécessité dans la mise en œuvre du cas d’usage paiement.

Pour terminer, quelques convictions fortes, bien sûr personnelles   

• L’intégration de l’identité dans les paiements est une donnée structurelle. Il ne faut pas aller « contre », ni même « sans », mais « avec », donc se préparer.
• En Europe, faire « hors eIDAS » est irréaliste au vu de la place tout à fait centrale prise par cet édifice réglementaire dans les schémas européens d’identité numérique, mais faire « dans eIDAS » reste un vrai défi, un challenge très significatif.
• Je suis inquiet de l’impréparation de l’écosystème français à la prise en compte de l’identité numérique. Je crains un scénario dans lequel, notamment avec les agentic payments, les paiements à base d’identité s’imposeront, avec à la clé une forte demande des titulaires de wallets. Et dans ce cas-là, il sera très tard pour réagir et il faudra alors accepter telles quelles des solutions développées ailleurs ;
• L’absence de décision politique sur la validation des wallets eIDAS2 privés certifiés en France est un facteur d’attentisme problématique. Il paraît que le ministre y réfléchit, mais il est clair que rien n’a été annoncé.
• Enfin, il ne faut pas opposer identité numérique et signature électronique, car la signature électronique est un cas d’usage de l’identité numérique. Les deux sont d’ailleurs intimement liés dans les procédures de paiement des wallets.

Merci de votre attention.

***

Hervé Sitruk

Merci Stéphane. La première fois que nous avons discuté d’identité numérique, c’était il y a deux ans. Je disais à Stéphane « cela ne s’appliquera pas comme ça dans les paiements, ce sera ingérable ». Tout à l’heure, Stéphane nous a rappelé que pour les paiements, l’application est règlementairement prévue pour fin 2027…

Stéphane Mouy

C’est en pratique exclu, notamment (je n’en ai pas parlé) car le règlement eIDAS déploie une vision de l’authentification forte qui n’est pas aujourd’hui alignée avec les règles de la DSP2, ni avec celles du projet de règlement sur les services de paiement RSP.

Il y a un enjeu d’articulation entre la vision eIDAS de l’authentification forte – pensée comme une fonctionnalité certifiée du wallet eIDAS2 ne dépendant d’aucun tiers pour sa mise en œuvre et s’imposant aux parties utilisatrices – y-compris les prestataires de services de paiement – et celle de la DSP2 (et du futur règlement sur les services de paiement) voyant au contraire dans l’authentification forte un mécanisme de gestion de preuve de l’autorisation de paiement entièrement mis en œuvre par des prestataires de services de paiement et sous leur contrôle et entière responsabilité. Cette différence de conception, qui génère de nombreuses incompréhensions sur ce sujet, n’est pas réglée aujourd’hui mais pourrait l’être dans le cadre des futures normes techniques d’application du prochain règlement sur les services de paiement.

L’articulation entre les deux va être compliquée, mais bon, à la fin cela va se faire…

 Hervé Sitruk

Quand j’en ai parlé dans un groupe de travail du CNMP, un représentant des Pouvoirs publics m’a répondu : c’est très simple, il y aura une référence au règlement eIDAS2 dans la DSP et cela règlera le problème. Maintenant on dit que c’est l’Autorité Bancaire Européenne (EBA) qui va publier des standards d’application pour le cas des paiements. Et on n’a encore rien vu, alors que la date d’application est « théoriquement » pour fin 2027, donc dans deux ans. Mais j’ai l’impression que même au plan réglementaire, dans le cas des paiements, au-delà de la date d’application (qu’il faudra bien reporter) il reste beaucoup de choses à clarifier pour le cas d’application paiement, et que ce ne sera pas aussi simple.

Stéphane Mouy

Tu as raison, mais je ne voudrais pas qu’on en tire la conclusion que comme les échéances ne seront pas tenues, on peut continuer à « roupiller ». Je suis un peu inquiet de cette attitude.

Hervé Sitruk

On a eu cela pour le SEPA : il y avait des dates de mise en application ; elles ont dû être reportées de plusieurs années ; un règlement « end-date » a été adopté et à la fin, tout le monde s’est aligné.

Stéphane Mouy

Mon hypothèse est que les paiements agentiques vont bousculer le panorama et qu’il faudra impérativement trouver un schéma d’identité praticable à la fois pour les personnes physiques, les agents d’intelligence artificielle et les machines (les trois vont ensemble). Et là, les choses vont finir par se décanter.

Hervé Sitruk

J’ai compris qu’aux USA les Big Techs et les schemes cartes internationaux (ICS) s’étaient convertis à l’Identité numérique ?

Stéphane Mouy

Oui, il est important de dire aux acteurs européens, notamment bancaires, qu’il y a des acteurs non- Européens, comme Google, Apple, Visa et MasterCard, donc des Big techs et des ICS, qui préparent la convergence de l’identité numérique et des paiements, pas seulement en Europe mais aussi aux États-Unis et dans le monde, et qui s’apprêtent à proposer des offres d’identité numérique intégrées aux paiements.

Google suit bien sûr le projet de déploiement des wallets eIDAS2, notamment dans les environnements Android, ce qui est compréhensible d’ailleurs, et participe aux LSP Aptitude et WeBuild. Apple vient d’annoncer le lancement du Digital ID, une fonctionnalité qui permet aux américains de créer une identité numérique sur leur iPhone[1]. De son coté, Visa vient d’annoncer la création d’un Digital ID Payments network en partenariat avec Proof aux USA[2], étudie les opportunités liées à l’identité numérique dans les autres pays et a pris une part déterminante aux travaux relatifs aux paiements du LSP EWC[3]. Enfin, Mastercard est déjà un fournisseur accrédité d’identités numériques au Royaume-Uni, en Australie ainsi que dans plusieurs autres pays, participe aux travaux du LSP WeBuild[4] et développe en Allemagne un partenariat opérationnel avec LISSI autour d’un prototype de wallet Eidas2.

Hervé Sitruk

Merci Stéphane.

Mais il y a une autre solution, ce sont des organisations comme EPI qui prennent le sujet en main. Nous allons donc passer maintenant la parole à Claire Deprez-Pipon, qui va nous expliquer ce qu’EPI veut faire en matière d’identité numérique.

[1] Digital ID : Apple transforme le passeport américain en certificat d’identité sur iPhone – iGeneration

[2] Visa Launches Biometric Digital Identity Initiative For Payments

[3] Digital identity and payments Whitepaper

[4] Bâtir la confiance pour l’avenir numérique de l’Europe : Comment faire progresser l’identité numérique