Le virus COVID-19 a mis en exergue l’importance du numérique dans notre vie de tous les jours. L’identité numérique sécurisée est une condition sine qua non de services de confiance associés à cette nouvelle vie soumise à distanciation sociale, que ce soit dans le secteur public ou le secteur privé. Ainsi, l’identification à distance d’une personne au même niveau de risque que le face-à-face n’est plus réduite à un simple enjeu expérience utilisateur mais est aujourd’hui un critère de survie de nombreuses activités. Alors comment faire ?

Pendant la période du confinement, faute de solutions d’identification à distance validées au niveau élevé, l’ANSSI a dû se résoudre à déroger temporairement au prérequis d’identification en face-à-face, que ce soit pour procéder à l’identification du signataire pour la signature qualifiée d’un acte notarié1 (tout en maintenant la valeur probante équivalente à la signature manuscrite) ou pour identifier les expéditeurs de recommandé électronique qualifié, pour lequel le fournisseur de service qualifié AR24 a été autorisé à remettre les certificats qualifiés sans face-à- face2.

AR24 est devenu par ailleurs le nouveau partenaire de la Poste / Docapost pour compléter leur offre de  moyen d’identité numérique avec un parcours d’enrôlement totalement à distance. En effet le moyen eIDAS de la Poste avait été qualifié par l’ANSSI au niveau « substantiel » fin janvier 2020 uniquement sur la base d’une étape d’identification en face-à-face3.  Or AR24 avait intégré et développé une solution d’identification biométrique à distance qui s’avère pour l’instant être la seule qualifiée par l’ANSSI comme équivalente au niveau substantiel et cela pour le besoin d’identification du destinataire du recommandé électronique qualifié. Aussi La Poste a judicieusement intégré dans son parcours numérique à distance l’envoi d’un recommandé électronique qualifié à la personne qui s’enrôle à l’identité numérique de La Poste.

Quant au domaine des paiements, alors que le chemin de l’authentification forte est tracé par la DSP2 et balisé par les RTS (même si semé d’embûches technologiques et d’intégration, et ralenti par la crise COVID-19), il n’y a pas encore de « RTS » pour l’identification à distance associée à la directive AMLD5 pour la lutte contre la fraude et le blanchiment. En France, le Code Monétaire et Financier a précisé l’opportunité  du recours à des moyens eIDAS ou à des services de confiance qualifiés eIDAS décrits dans cette directive.  Mais dans sa dernière version de février 20204, l’équivalence au face-à-face avec une seule mesure exige toujours un moyen eiDAS qualifié (substantiel), choisi et notifié par l’Etat (pas encore disponible au demeurant). Cette approche française se confronte donc à l’approche décrite dans le dernier guide « Digital Identity » du GAFI5 : une approche d’ouverture pour le choix de la solution eID appropriée au niveau de risque. Le dernier rapport6 «   Asssessing Portable KYC/CDD solutions in the banking sector » des experts missionnés par la Commission européenne va encore plus loin dans l’ouverture . Il propose une portabilité du KYC avec des données (attributs d’identité ou données relatives aux Customer Due Diligence) en proposant un nouveau modèle au modèle traditionnel de la banque qui collecte auprès de tiers différentes données et les vérifient. Ce nouveau modèle, qui émerge déjà dans certains pays, est basé sur des entités dites « KYC utilities » offrant une solution d’identification « KYC as a service » aux banques qui permettrait de rationnaliser et mutualiser les coûts du KYC.

En vue de solutions européennes interopérables indépendamment de la règlementation nationale de chaque pays pour la lutte contre le blanchiment et le terrorisme, Il serait pertinent de profiter de la révision prochaine du règlement eIDAS7 (prévue d’ici la fin de l’année) pour intégrer une offre de service d’identification à distance, « KYC as a service », en tant que nouveau service de confiance qualifié. Ce service aurait pour objet de vérifier l’identité de la personne réelle, de collecter et vérifier tous les données utiles au KYC (attributs d’identité et données de « due diligence » selon la règlementation de chaque pays) avec un certain niveau de confiance, en substitut et/ou en complément des moyens eIDAS (qui se limitent aux données pivot).  Ce « KYC as service » devra respecter en tout point la conformité RGPD. En pratique un KYC utility pourrait être facilement intégrée dans une fédération d’identité décentralisée de type openidconnect (spécification8 en cours pour intégrer le KYC sur le concept de « verifiable claim » emprunté au W3C9 avec la gestion/ traçabilité des consentements) ou mieux dans une implémentation distribuée sous le seul contrôle des utilisateurs, dite SSID (Self Sovereign IDentity), comme l’expérimente l’Europe dans le cadre de son architecture ESSIF10.

L’Europe devrait également spécifier pour ces fournisseurs de confiance (mais aussi pour les peer reviews de notification des moyens eIDAS comme le requiert l’ENISA11) les critères de qualification pour une identification à distance au même niveau de risque qu’un face-à-face, avec des actes d’implémentation spécifiant des normes européennes pour les tests de la résistance aux attaques et la détection du vivant des technologies biométriques utilisées, et un schéma de certification de laboratoires européens comme le fait déjà le NIST avec le laboratoire iBeta pour la mise en œuvre de la norme internationale associée ISO/IEC 3010711.

Sources

  1. https://www.legifrance.gouv.fr/eli/decret/2020/4/3/JUSC2008409D/jo/texte
  2. https://www.archimag.com/demat-cloud/2020/03/27/pendant-coronavirus-lettre-recommandee-electronique-suit-route
  3. https://maisons-alfort.fr/wp-content/uploads/2018/12/cp-l_identite-numerique-la-poste_full-digital.pdf
  4. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041566943&dateTexte=&categorieLien=id
  5. http://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/Guidance-on-Digital-Identity.pdf
  6. https://ec.europa.eu/info/sites/info/files/business_economy_euro/banking_and_finance/documents/assessing-portable-kyc-cdd-solutions-in-the-banking-sector-december2019_en.pdf
  7. https://www.usine-digitale.fr/article/vers-une-revision-du-reglement-eidas.N894429
  8. https://openid.net/wg/ekyc-ida/
  9. https://www.w3.org/2017/05/vc-use-cases/CGFR/2017-05-01/
  10. https://www.youtube.com/watch?v=ATXCzY-GM_U&feature=youtu.be
  11. https://www.enisa.europa.eu/publications/eidas-compliant-eid-solutions
  12. https://www.ibeta.com/iso-30107-3-presentation-attack-detection-confirmation-letters/