Eric A. CAPRIOLI (@E_Caprioli) et Pascal AGOSTI (@P_Agosti), avocats associés, docteurs en droit, SELARL CAPRIOLI & Associés.

Parler d’identité numérique relève pour beaucoup de l’évidence tant les utilisateurs la côtoient tous les jours au travers des différents identifiants numériques que l’Administration, les établissements bancaires, et les entreprises plus généralement, mettent à leur disposition. En effet, de nombreux internautes disposent d’une pléthore de comptes personnels sur des services de messageries électroniques, des réseaux sociaux, des sites de e-commerce ou encore des administrations publiques à travers lesquels il leur était demandé de s’identifier par un nom d’utilisateur (identifiant, login ou adresse mail) ainsi qu’un mot de passe.

Les pratiques évoluant et le niveau de sécurité devant être renforcé au vu de la multiplication des menaces numériques, le login/mot de passe est de plus en plus souvent considéré comme dépassé au profit d’autres solutions jugées plus fiables (ex : certificats, authentification  double facteur ouforte,…). L’objectif de cet article est de répertorier de manière non exhaustive les principales initiatives tant européennes que nationale en la matière.

L’identité numérique : qu’est-ce que c’est ?

La notion d’identité numérique a été qualifiée par la doctrine comme protéiforme[1] et peut désigner au sens large l’image que l’individu se façonne sur l’Internet et au sens régalien un « moyen numérique de preuve de l’identité » [2].

En somme, la notion d’identité numérique recouvre toutes les informations (assimilables à des « données personnelles ») susceptibles d’identifier directement ou indirectement une personne physique (tels que l’état civil, le numéro de matricule, les données biométriques, l’identité bancaire, les certificats électroniques d’identification et d’authentification) mais également tous les éléments qui permettent une identification indirecte de l’individu, à travers ses traces numériques et notamment ses traces « navigationnelles » (cookies, historique de navigation, données de géolocalisation) et ses traces dites « profilaires » (contenus que l’internaute fournit intentionnellement ou non sur l’Internet et notamment sur les réseaux sociaux, blogs, forums)[3].

Toutefois, l’identité numérique n’a à ce jour fait l’objet d’aucune définition législative à proprement parler et ce même si une loi du 27 mars 2012 est relative à la protection de l’identité[4] . A contrario, les termes d’identification, de moyen d’identification renvoient à un corpus réglementaire national ou européen qui tend à devenir foisonnant.

En Europe ?

Le Règlement (UE) no910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur dit eIDAS et abrogeant la directive 1999/93/CE[5] sur la signature électronique instaure des moyens d’identification électronique des états membres sur l’ensemble des services en ligne des autres états membres par un mécanisme de reconnaissance mutuelle[6].

Ce Règlement a une incidence juridique et opérationnelle dans plusieurs instruments de l’Union européenne, notamment : la directive 2018/843 du 30 mai 2018 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme[7], la directive DSP2[8], le RGPD[9], la directive services média et audiovisuel[10].

Il définit l’identification électronique comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (article 3-1 du règlement eIDAS).

En outre, d’autres définitions du Règlement eIDAS traitent de ces questions :

« 2. «moyen d’identification électronique», un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne;

  1. «données d’identification personnelle», un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale;
  2. «schéma d’identification électronique», un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales; ».

En rapport avec la définition de l’article 3.4 ci-dessus, le Chapitre II du Règlement eIDAS a trait à l’identification électronique régalienne. En effet, l’article 6 organise les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union Européenne des identités (régaliennes) notifiées par les états membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d’identification (identité numérique) relevant du pouvoir souverain de chaque État membre.

Trois niveaux de schémas d’identification sont prévus par le Règlement eIDAS : faible, substantiel et élevé : seuls les deux derniers niveaux peuvent être notifiés à la Commission.

© Cabinet Caprioli & Associés.

A cette fin, l’article 6 fixe plusieurs conditions impératives :

« a) la délivrance de ce moyen d’identification électronique relève d’un schéma d’identification électronique qui figure sur la liste publiée par la Commission en application de l’article 9 ;

  1. b) le niveau de garantie de ce moyen d’identification électronique correspond à un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre, à condition que le niveau de garantie de ce moyen d’identification électronique corresponde au niveau de garantie substantiel ou élevé ;
  2. c) l’organisme du secteur public concerné utilise le niveau de garantie substantiel ou élevé pour ce qui concerne l’accès à ce service en ligne.».

Divers actes d’exécution sont venus préciser les modalités propres à l’identification électronique régalienne :

  • les modalités de collaboration entre états membres en matière d’identification électronique (art. 12-7 Règlement eIDAS)[11];
  • les Spécifications techniques minimums et procédures pour les niveaux d’assurance pour l’identification électronique (art. 8-3 Règlement eIDAS)[12] ;
  • le cadre d’interopérabilité (art. 12-8 Règlement eIDAS)[13].

Les actes d’exécution ont été complétés par divers documents d’ordre technique :

  • eIDAS – Cryptographic requirements for the Interoperability Framework TLS and SAML, V.1.0 du 6 novembre 2015 ;
  • eIDAS Message Format, V.1.2 ;
  • eIDAS SAML Attribute profile V.1.2 ;
  • eIDAS – Interoperability Architecture V.1.2 du 31 août 2019.

En outre, la reconnaissance mutuelle des moyens d’identification pour un téléservice donné est applicable depuis le mois de septembre 2018[14]. A ce titre, la France dispose d’un schéma eID notifié au niveau substantiel « France Connect + » / Identité numérique de La Poste[15].

Toutefois, un constat s’impose : l’usage de tels moyens d’identification est particulièrement hétérogène d’un Etat à l’autre, certains ne permettant pas leur recours dans le secteur privé (ex : domaine bancaire). Des solutions sûres et fiables connaissent un certain succès national mais ne peuvent prospérer dans l’ensemble de l’UE, en absence d’une réglementation commune.

De même, les solutions d’identification des Twitter, LinkedIn, Facebook ou autre plate-forme sociale permettent de s’authentifier auprès de sites Web tiers en utilisant les profils utilisateurs de leurs abonnés en contrepartie de la perte de contrôle sur les données personnelles ainsi divulguées. De plus, ces solutions sont fréquemment déconnectées d’une identité physique vérifiée, ce qui rend la fraude (comme le vol d’identité) et les menaces de cybersécurité répandues. En outre, cette pratique met en exergue l’intrusion des GAFAM dans les domaines régaliens et leur impact sur les conditions de concurrence équitables dans le cadre d’un marché européen concurrentiel des services d’identité numérique.

En conséquence, il n’est pas possible aujourd’hui de s’identifier en ligne avec une identité numérique unique, sécurisée, pratique et digne de confiance et de protéger les données personnelles autant qu’avec une carte d’identité ou un passeport dans le monde physique.

Le règlement eIDAS, dans son chapitre consacré à l’identification électronique, se caractérise par un système fédéré fondé sur la neutralité technologique et la reconnaissance mutuelle liant diverses solutions d’identité numérique déployées par les États membres pour une utilisation transfrontière.

Or, les mécanismes de coordination volontaire existants entre les États membres ne sont pas susceptibles d’apporter des améliorations suffisantes pour une généralisation de l’identité numérique.

La nécessité d’assurer la reconnaissance transfrontière d’un système d’identité numérique dans tous les États membres ne peut être atteinte par des initiatives propres des États membres, dont la portée, l’ambition, l’architecture technique, les solutions retenues et les dispositions juridiques varient, y compris les questions de responsabilité et la disponibilité de l’utilisation par le secteur privé. Les solutions individuelles conduiraient à la fragmentation du marché unique et encourageraient le forum shopping pour les prestataires de services de confiance, conduisant à une offre inégale au détriment des opportunités commerciales, de l’offre de services et de l’expérience utilisateur.

C’est pourquoi, en juin 2021, la Commission européenne a proposé une modification du Règlement eIDAS venant remplacer les dispositions actuelles du chapitre II relatif à l’identité régalienne en définissant l’« European Digital Identity Wallet » comme « a product and service that allows the user to store identity data, credentials and attributes linked to her/his identity, to provide them to relying parties on request and to use them for authentication, online and offline, for a service in accordance with Article 6a; and to create qualified electronic signatures and seal ». Dès lors, l’identité numérique est pensée dans sa multiplicité de formes et de sources (privées ou publiques).

En outre, le lien existant entre moyen d’identification et services de confiance qualifiés (signature ou cachet) est désormais expresse dès la définition du portefeuille d’identité. En effet, un tel moyen répondant aux exigences du Règlement eIDAS et figurant dans le portefeuille d’une personne facilitera la création d’une signature électronique qualifiée, une  opportunité pour certains secteurs d’activité comme les banques. L’entrée en relation serait ainsi simplifiée.

Enfin, tout comme pour les services de confiance, les portefeuilles d’identité pourraient bénéficier d’un label de confiance (Trust Mark) s’ils répondent aux exigences formulées dans la Proposition de Règlement eIDAS[16].

Avant que cette modification ne soit effectivement entérinée pour la fin d’année 2022[17], le Règlement eIDAS reste inchangé. Si le recours à l’identification électronique régalienne au sens du prévue par le Règlement eIDAS semble réservé aux services en ligne fournis par des organismes du secteur public, le Règlement eIDAS laisse une opportunité[18] ouverte à chaque Etat membre pour que ces moyens d’identification électronique soient également utilisés dans le secteur privé comme ce fut le cas pour le SPID en Italie (qui regroupe tant des acteurs publics que privés).

La France a décidé d’intégrer cette possibilité dans le cadre législatif.

Et en France ?

Moyen d’identification électronique

Ainsi, issu de la Loi pour une République numérique[19], l’article L. 102 du code des postes et des communications électroniques[20] dispose que la preuve de l’identité aux fins d’accéder à un service de communication en ligne peut être apportée par un moyen d’identification électronique. Il prévoit que ce dernier est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information (ANSSI).

Le nouveau Décret n° 2022-1004 du 15 juillet 2022[21] fixe le contenu de ce cahier des charges, le niveau de fiabilité exigé du moyen d’identification électronique aux fins de bénéficier de la présomption de fiabilité, ainsi que les modalités de la certification des moyens d’identification électronique mentionnée à l’article précité.

L’art. R.51-1 du CPCE traite des définitions et présentation des principes de la certification, en distinguant utilisateur, demandeur et fournisseur.

L’art. R. 54-2 du CPCE est particulièrement important en ce qu’il renvoie à un référentiel d’exigences pour les moyens d’identification électronique publié sur le site de l’ANSSI, le 11 août 2022[22].

Les art. R. 54-3 et s. du CPCE renvoient aux modalités de la procédure de certification.

La Section 3 pose le contenu du Cahier des charges. Ainsi, l’art. R. 54-16 du CPCE précise que le moyen d’identification électronique présumé fiable respecte a minima les conditions, les spécifications techniques et les procédures minimales du niveau de garantie “ élevé ” définies par le règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique mentionnés à l’article 8, paragraphe 3 du Règlement eIDAS.

En outre, conformément à l’art. R. 54-17 du CPCE, « le fournisseur du moyen d’identification électronique est chargé de vérifier l’identité déclarée par le demandeur avec les informations provenant d’une source faisant autorité ». L’art. R. 54-18 du CPCE précise les six données à caractère personnel pouvant être collectées pour un moyen d’identification électronique, comme l’identité pivot prévue dans les jetons d’identité figurant dans le cadre de France Connect. Les traitements de données à caractère personnel doivent être conformes au RGPD.

Les art. R. 54-20 et s. du CPCE traitent des exceptions à la vérification d’identité des demandeurs.

Les art. R. 54-23 et s. du CPCE renvoient vers les modalités de gestion de la confidentialité par le biais de processus cryptographiques.

Enfin, un Comité de suivi de la certification est instauré afin de :

  • présenter une synthèse des usages de ces moyens d’identification électronique ;
  • apprécier les risques pesant sur ces moyens ;
  • anticiper le renouvellement éventuel de la certification de ces moyens.

Ce Décret correspond plus exactement aux cas où un moyen d’identification électronique notifié auprès de la Commission européenne n’est pas nécessaire, où il doit être utilisé dans une optique purement nationale. Reste à savoir comment cette concurrence des textes sera prise en compte par les prestataires. Les schémas d’identification électronique eIDAS nécessitent un travail en amont avec les autorités nationales en charge de la sécurité informatique et renvoient aux attentes de la sphère publique (interopérabilité européenne), ce qui ne serait pas le cas avec le moyen d’identification électronique au sens de l’art. L. 102 du CPCE qui s’inscrit dans le cadre d’une approche nationale.

Rappelons que l’article L. 102 du CPCE est particulièrement important dans le domaine bancaire puisque la vérification d’identité telle que visée à l’article R.561-5-1 2°du Code Monétaire et Financier s’appuie dessus[23].

FranceConnect

De plus, l’un des éléments centraux de la gestion d’identité en France est constitué par FranceConnect. Il agrège les données de fournisseurs d’identité, vérifie les données auprès de l’INSEE et génère un identifiant technique transmis au fournisseur de service auprès duquel la personne entend s’identifier. Initié par l’arrêté du 24 juillet 2015[24] et précisé par l’arrêté du 8 novembre 2018[25] après l’adoption du Règlement eIDAS, FranceConnect garantit ainsi l’identité d’un usager en s’appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée par un fournisseur d’identité. Réservé à l’origine exclusivement aux autorités administratives, ce téléservice est désormais ouvert aux acteurs privés proposant « des services en ligne dont l’usage nécessite, conformément à des dispositions législatives ou règlementaires, la vérification de l’identité de leurs utilisateurs ou de celle de certains de leurs attributs et uniquement pour les services qui nécessitent cette vérification »[26]. La Direction du Numérique (DINUM) qui est en charge de ce téléservice a précisé dans des documents spécifiques les exigences et engagements attendus d’une part, des partenaires « fournisseurs d’identité », d’autre part, des partenaires « fournisseurs de services ».

En outre, dans le cadre de la régulation du marché communautaire et pour son bon développement, FranceConnect constitue également le « nœud eIDAS » permettant au public « d’accéder à des téléservices d’autres Etats membres en respectant les dispositions prévues par le règlement e-IDAS » relatives notamment au niveau de garantie requis par le téléservice concerné (art. 2, 4° de l’arrêté).

SGIN

Enfin, dans le cadre du Décret n°2022-676 du 26 avril 2022[27], le Service de garantie de l’identité numérique (SGIN) en remplacement d’ALICEM[28] entend proposer aux détenteurs d’un équipement terminal de communications électroniques (téléphone portable) doté d’un dispositif de lecture sans contact, une application mobile visant à permettre une identification et une authentification électroniques. A cet effet, le Décret autorise le traitement à lire les données enregistrées dans le composant électronique des cartes nationales d’identité, à l’exception de l’image numérisée des empreintes digitales.

La création du moyen d’identification électronique et son utilisation relèvent de l’unique volonté des usagers.

Le moyen d’identification électronique peut être utilisé par les usagers pour l’accès à des services en ligne proposés par des fournisseurs liés par convention à FranceConnect.

Le Décret définit enfin les finalités du traitement, la nature et la durée de conservation des données enregistrées ainsi que les catégories de personnes ayant accès à ces données ou en étant destinataires. Il précise les modalités d’exercice des droits des personnes concernées.

Ce premier état des lieux est loin d’être exhaustif mais permet de mieux cerner les différentes initiatives légales en matière d’identité numérique, d’autant plus que les eWallets devraient sous un horizon plus ou moins lointain regrouper les identifiants de toutes sortes comme ceux relatifs au paiement.

 

[1] J. GIUSTI et A. NDIAYE, « L’identité numérique, monnaie d’aujourd’hui et rente de demain… », Revue Lamy Droit de l’Immatériel, Nº 140, 1er août 2017.

[2] Entretiens avec E. A. CAPRIOLI, F. MATTATIA et S. VULLIET-TAVERNIER, « L’identité numérique », Cahiers de droit de l’entreprise n° 3, mai 2011.

[3] O. ERTZCHEID ; « Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologies », Encyclopédie numérique, 2013.

[4] Loi n°2012-410 du 27 mars 2012, JO du 28 mars 2012.

[5] JOUE du 28 août 2014, L. 257/73.

[6] E. A. CAPRIOLI et P. AGOSTI, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Comm. Com. Electr. n°2, février 2013, étude 3 ; D. GOBERT, « Le règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance (eIDAS) : analyse approfondie », juin 2015, article disponible sur le site www.caprioli-avocats.com ; P. AGOSTI et I. CANTERO, « L’identification électronique, sésame du Marché Unique Numérique », Usine Digitale, initialement publié le 13 novembre 2017, accessible via l’adresse https://www.usine-digitale.fr/article/l-identification-electronique-sesame-du-marche-unique-numerique.N612908.

[7] Directive (UE) 2018/843 du Parlement Européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE, JOUE du 19 juin 2018, L. 156/43.

[8] Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE ; JOUE n° L 337, 23 déc. 2015, p. 35 ; J. L. CAPDEVILLE, « Les exceptions à la future obligation d’authentification forte », JCP éd. E, n°36, 5 sept. 2019, p.39 ; M. ROUSSILLE, « La DSP 2 bientôt pleinement applicable : les normes techniques enfin publiées », Banque et Droit n°179, Mai – Juin 2018, p.47.

[9] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE n° L 119, 4 mai 2016 ; I. CANTERO, « Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé »,  Usine Digitale, initialement publié le 6 mai 2016, accessible via l’adresse : https://www.usine-digitale.fr/article/reglement-europeen-sur-la-protection-des-donnees-personnelles-un-texte-unique-mais-non-isole.N389562 ; N. MARTIAL-BRAZ, « Présentation de la loi française et articulation des textes français et européens », in N. MARTIAL-BRAZ et J. ROCHFELD (dir.) Droit des données personnelles – Les spécificités du droit français au regard du RGPD, Dalloz Décryptage, 2019, p.11-27 ; G. DESGENS-PASANAU, La protection des données personnelles, LexisNexis, 3ème éd., 2018, n°21 ; A. KHATCHATOUROY, « La question des identités numériques à l’ère du RGPD : privacy ou protection des données ? », Revue I2D – Information, données & documents, 2019, Cairn, p.34.

[10] Directive 2010/13/UE du Parlement Européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (directive «Services de médias audiovisuels») ; JOUE n° L 95, 15 avril 2010.

[11] Décision d’exécution n°2015/296 du 24 février 2015 de la Commission établissant les modalités de coopération entre les États membres en matière d’identification électronique conformément à l’article 12, paragraphe 7, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, JOUE n° L 53 du 25 février 2015, p. 14 et s.

[12] Règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique (…), JOUE n° L 235 du 9 septembre 2015, p. 7 et s.

[13] Règlement d’exécution (UE) 2015/1501 de la Commission du 8 septembre 2015 sur le cadre d’interopérabilité (…), JOUE n° L 235 du 9 septembre 2015, p. 1. Corrigendum C (2015) 8550 du 4 février 2016.

[14] Les schémas notifiés et prénotifiés figurent à l’adresse suivante : Overview of pre-notified and notified eID schemes under eIDAS – eID User Community – (europa.eu).

[15] JOUE, 2021/C522/03 du 28 décembre 2021.

[16] E. A. CAPRIOLI et P. AGOSTI, Révision du Règlement eIDAS et identité numérique (usine-digitale.fr), 1er juillet 2021.

[17] Prévision qui peut être soumise aux vicissitudes européennes.

[18] Considérant 17 : « Les États membres devraient encourager le secteur privé à utiliser, sur une base volontaire, aux fins de l’identification exigée par des services en ligne ou des transactions électroniques, les moyens d’identification électronique relevant d’un schéma notifié. La possibilité d’utiliser de tels moyens d’identification électronique permettrait au secteur privé de s’appuyer sur des fonctions d’identification et d’authentification électroniques déjà largement utilisées dans de nombreux États membres, au moins pour les services publics, et de faciliter l’accès des entreprises et des particuliers à leurs services en ligne transfrontaliers. Afin de faciliter l’utilisation transfrontalière de tels moyens d’identification électronique par le secteur privé, la possibilité d’authentification prévue par un État membre devrait être accessible aux parties utilisatrices du secteur privé établies en dehors du territoire de cet État membre aux mêmes conditions que celles qui sont appliquées aux parties utilisatrices du secteur privé établies sur le territoire dudit État membre. Dès lors, en ce qui concerne les parties utilisatrices du secteur privé, l’État membre notifiant peut définir des conditions d’accès aux moyens d’authentification. Ces conditions d’accès peuvent indiquer si le moyen d’authentification relatif au schéma notifié est actuellement accessible aux parties utilisatrices du secteur privé. ».

[19] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO du 8 octobre 2016.

[20] « I. – L’identification électronique est un processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale.

Un moyen d’identification électronique est un élément matériel ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne.

  1. – La preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique.

III. – Ce moyen d’identification électronique est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information, fixé par décret en Conseil d’Etat.

Cette autorité certifie la conformité des moyens d’identification électronique aux exigences de ce cahier des charges.

  1. – Le prestataire fournissant un moyen d’identification électronique autre que celui mentionné au III et qui en fait la demande peut se voir délivrer par l’autorité nationale de sécurité des systèmes d’information une certification attestant du niveau de garantie associé à ce moyen d’identification électronique.

L’autorité nationale de sécurité des systèmes d’information établit à cette fin, après avis de la Commission nationale de l’informatique et des libertés, les référentiels définissant les exigences de sécurité associées au moyen d’identification électronique. Ces exigences précisent notamment les critères retenus pour la délivrance du moyen d’identification électronique, pour la gestion de ce moyen, pour l’authentification, ainsi que pour la gestion et l’organisation des prestataires. Ces référentiels sont mis à disposition du public par voie électronique.

Les modalités de cette certification sont définies par décret en Conseil d’Etat. ».

[21] Décret n° 2022-1004 du 15 juillet 2022 fixant les modalités de certification de moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens.

[22] Disponible à l’adresse : Référentiel Général de Sécurité (ssi.gouv.fr).

[23] On notera que cet article autorise également le recours à :

« a) A un moyen d’identification électronique certifié ou attesté par l’Agence nationale de la sécurité des systèmes d’information conforme au niveau de garantie soit substantiel soit élevé fixé par l’article 8 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, ou

  1. b) A un moyen d’identification électronique délivré dans le cadre d’un schéma notifié à la Commission européenne par un Etat membre de l’Union européenne dans les conditions prévues au paragraphe 1 de l’article 9 de ce règlement et dont le niveau de garantie correspond au niveau soit substantiel soit élevé fixé par l’article 8 du même règlement ;»

[24] Arrêté du 24 juillet 2015 portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un téléservice dénommé « FranceConnect », JO du 6 août 2015 p. 13487.

[25] Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d’information et de communication de l’État, JO du 15 novembre 2018.

[26] En application de l’article 4 de l’arrêté du 8 novembre 2018. Un arrêté du 11 mai 2020 a prévu à titre expérimental d’étendre à d’autres personnes morales relevant de secteurs d’activité strictement énumérés le recours à FranceConnect. Cette expérimentation s’est terminée en principe le 12 mai 2021 et la CNIL aurait dû rendre un rapport 6 mois après cette date.

[27] JO du 27 avril 2022.

[28] Abrogation du Décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile ».