Comme on le sait, le futur règlement eIDAS 2 vise à rendre l’identité numérique plus proche des citoyens et de faciliter leurs interactions digitales courantes, le tout dans des conditions de sécurité et de privacy renforcées.
Issu d’un long processus – le premier projet a été présenté en juin 2021 après le constat de l’inadaptation des dispositions sur l’identité numérique du règlement eIDAS actuel – il est aujourd’hui en phase de trilogue, dernière étape d’harmonisation des positions du Conseil et du Parlement européen sur un texte définitif dont les contours ont été annoncés à la fin juin 2023.
Au cœur du dispositif de ce nouveau règlement figure le portefeuille (wallet) d’identité numérique qui s’imposera aux Etats membres – ceux-ci auront l’obligation de le rendre disponible à leurs ressortissants – et qui répondra à une triple ambition :
- Une sécurité renforcée, illustrée notamment par le niveau de garantie Elevé ;
- Une protection accrue de la privacy pour éviter que des acteurs publics ou privés ne puissent surveiller et/ou contrôler les usages des titulaires de portefeuilles ; et
- Des cas d’usage diversifiés, reflétant la capacité des portefeuilles à combiner des attributs certifiés publics ainsi que privés dans des interactions digitales intégrées. Un cas d’usage illustrant cette capacité pourrait être la location d’une voiture où des attributs de permis de conduire, d’adresse et de résidence fiscale mais aussi de paiement pourraient être intégrés dans une interaction digitale unique.
On sait également que, parmi les cas d’usage que les portefeuilles eIDAS 2 ont vocation à traiter, il y a celui de la finance numérique, et tout particulièrement des paiements. Ce choix ne saurait surprendre, tant les wallets de paiement répondent aujourd’hui à de vraies attentes des consommateurs et se sont imposés dans le paysage bancaire depuis l’arrivée des solutions X-pay sur le marché. On imagine mal en effet qu’un wallet porteur d’attributs d’identité certifiés, validé par les pouvoirs publics et à vocation universelle ne puisse trouver d’application en matière bancaire, bien sûr dans l’entrée en relation pour répondre aux exigences de vérification d’identité issues des règles LCB/FT – ce qui n’est de fait contesté par personne – mais aussi pour autoriser des paiements en ligne ou hors ligne – ce qui par contre ne fait pas consensus aujourd’hui et fait notamment face à une position réservée du secteur bancaire européen, mais a contrario très favorable des initiateurs de paiement (TPP) et fintech.
Si le texte définitif du règlement eIDAS 2 n’est pas encore connu aujourd’hui, il est probable qu’il imposera aux prestataires de service de paiement de reconnaitre les portefeuilles eIDAS 2 comme mécanismes d’authentification forte dans les opérations de paiement, une situation susceptible de bousculer la pratique de l’authentification forte « par redirection » aujourd’hui massivement déployée par les teneurs de comptes bancaires (ASPSP), tout particulièrement dans les interactions hors ligne. C’est à terme la perspective d’un changement important dans les procédures de paiement qui seraient ainsi moins dépendantes des ASPSP.
Et si les portefeuilles d’identité numérique joueront un rôle important pour les paiements digitaux classiques, leur rôle sera également significatif pour les monnaies digitales de banque centrales, à commencer par l’euro numérique. C’est ce qui ressort en tout cas de la lecture du récent projet de règlement euro numérique qui imposera l’interopérabilité et/ou intégration des fonctionnalités de l’euro numérique dans les portefeuilles eIDAS 2 (voir notamment les articles 25 et 33 du projet de règlement).
L’ambition donnée aux portefeuilles d’identité numérique par les textes en cours est donc forte et illustre les potentialités de la convergence entre les mondes de l’identité numérique et des paiements, pour sécuriser les transactions financières et lutter contre la fraude bien sûr, mais aussi transformer les usages numériques en combinant les attributs d’identité, de statut et de paiement dans des interactions unifiées et en gommant la séparation entre l’acte de vente et l’acte de paiement. A terme, les portefeuilles d’identité numérique pourraient être de véritables couteaux suisses des interactions digitales, offrir de nouveaux services aux consommateurs et bien sûr jouer un rôle déterminant dans les paiements, a minima comme instruments d’autorisation de paiement, et peut-être à terme d’initiation de paiement. Dans ce contexte, nous pensons que leur potentiel le plus important se situe dans les relations entre particuliers et avec des professionnels ou micro entreprises.
Toutefois, si l’ambition est bien réelle, plusieurs considérations conduisent à une certaine circonspection et viennent tempérer les attentes que l’on peut nourrir à l’égard des portefeuilles d’identité numérique :
- La première tient du bon sens : viser haut, à la fois pour la sécurité des interactions digitales, la privacy et la diversité des usages risque de se heurter à de multiples difficultés concrètes en limitant les possibilités de compromis (viser le « good enough » plutôt que le « highest level »). On reste de ce point de vue assez perplexe devant le projet validé par le parlement européen en mars dernier qui multiplie les spécifications et fonctionnalités mais ne se préoccupe pas de leur applicabilité concrète et n’aborde pas la question du modèle économique susceptible de déployer en masse, à des coûts raisonnables pour les opérateurs, des portefeuilles d’identité numérique répondant à un cahier de charges aussi ambitieux. Au cœur de ce sujet figure l’exigence d’un niveau de garantie eIDAS Élevé pour les portefeuilles d’identité numérique qui doit être réconciliée avec des interactions digitales fluides pour les paiements. Comme on le sait, ce niveau est aujourd’hui indisponible en France – une anomalie dans les pays européens – et s’avère contraignant, surtout si l’on considère la transcription qu’en a fait l’ANSSI dans son référentiel PVID de 2021. Espérons en tout cas que le projet final atténue les aspects les plus marquants d’une approche maximaliste portée par le parlement européen ;
- La deuxième est liée à certaines dispositions du projet eIDAS 2 dont l’ADN reste marqué par une conception étatique de l’identité numérique – qui porte sa propre légitimité mais ne s’intègre pas naturellement dans un écosystème des paiements numériques largement dominé par les opérateurs du secteur privé. On notera, à titre d’illustration, l’exigence d’un enregistrement auprès des Etats membre de toute personne agissant à titre professionnel et à titre de « relying party » d’un portefeuille d’identité numérique – en pratique tout vendeur de biens ou services susceptible d’accepter un portefeuille d’identité numérique, ce qui sera d’ailleurs obligatoire pour les fournisseurs de services clé et notamment les banques et établissements financiers. On comprend mal l’intérêt d’une telle obligation qui ne figure pas pour les schémas nationaux d’identité numérique, ne peut que contrarier la diffusion des portefeuilles d’identité numérique dans les flux commerciaux et n’a pas de réelle justification dans des interactions avec authentification mutuelle ;
- Enfin, il y a un sujet de méthode et, disons les choses clairement, de choix des spécifications techniques applicables aux portefeuilles d’identité numérique. Ces choix sont aujourd’hui conditionnés par les cas d’usage identifiés comme prioritaires, à savoir le permis de conduire sur mobile et l’authentification/identification en ligne. En effet le document ARF – Architecture & Reference Framework – présentant les spécifications techniques des portefeuilles d’identité numérique a mis en avant :
- La spécification ISO 18013-5 sur les permis de conduire sur mobile et ses dérivés (ISO 23220-4) basés sur le format mdoc, notamment pour les interactions hors ligne ; et
- Les specifications Verifiable Credentials du World Wide Web Consortium (W3C), basées sur les formats JSON et JSON Web Tokens.
Certes, le document ARF est construit par itérations successives – une approche certainement pertinente compte tenu de la complexité du sujet – ce qui laisse bien sûr ouverte la perspective d’une évolution du document pour refléter les cas d’usage liés aux paiements et envisage par ailleurs une configuration allégée moins contraignante mais dont la conformité avec les spécifications du projet de règlement n’est pas avérée. On remarquera tout de même que les choix initiaux des spécifications des portefeuilles d’identité numérique n’ont pas intégré les données clés des interactions de paiement, traduisant en cela l’absence de représentation des acteurs concernés au sein de l’eIDAS Expert Group. On notera également que certaines de ces spécifications posent difficulté au regard des exigences de privacy et sont trop récentes (ou encore non adoptées) pour être complètement évaluées et testées dans des environnements de paiement. A titre d’illustration de ces difficultés, on notera que l’authentification des relying parties, qui s’avère à notre avis indispensable, a minima pour des interactions de paiement en mode P2P ou P2Pro, n’est pas pleinement traitée par les spécifications évoquées. De même, on peine à voir comment l’irrévocabilité (non-répudiation) des paiements est assurée avec ces spécifications, qui n’ont de fait pas été conçues pour des interactions réciproques et pour lesquelles la mise en place d’une piste d’audit présentable en justice est nécessaire. Enfin, on regrette l’absence aujourd’hui de prise en compte dans l’ARF de la fonctionnalité de signature électronique qualifiée, qui figure pourtant dans le texte du projet de règlement eIDAS 2 et s’avère particulièrement adaptée aux interactions de paiement. Tout ceci questionne les perspectives du cas d’usage paiement dans les portefeuilles d’identité numérique, tout particulièrement dans les situations où ils présentent le plus grand potentiel, à savoir les interactions P2P et P2Pro.
Nul doute que les Large Scale Pilots en cours de démarrage et visant à tester les fonctionnalités des portefeuilles d’identité numérique dans des cas d’usage diversifiés viendront apporter un éclairage utile sur ces sujets, et notamment celui porté par le consortium NOBID centré sur le cas d’usage paiement. (Voir le lien ci-dessous pour une toute première présentation, centrée semble-t-il sur les seuls usages en ligne et sans authentification mutuelle).
https://www.youtube.com/watch?v=W32rJcJNso8
Certes, le texte du règlement eIDAS 2 n’est pas, à ce jour, définitivement arrêté, nous sommes encore très loin de la version finale du document ARF et les Large Scale Pilots n’ont pas encore été vraiment mis en œuvre. Il est donc trop tôt pour donner un avis autorisé sur les perspectives des wallets d’identité numérique pour les paiements mais l’impression qui domine à ce jour est celle d’un décalage entre d’une part la grande ambition portée par les projets de textes eIDAS 2 et Euro numérique pour les portefeuilles d’identité numérique et d’autre part les premières indications sur les modalités concrètes de réalisation. Cet écart sera-t-il résorbé et si oui comment ? Les réponses ne sont pas données aujourd’hui.
Avis FRANCE PAYMENTS FORUM
La position exprimée par Stéphane MOUY ci-dessus reflète pour l’essentiel celle de notre association, FRANCE PAYMENTS FORUM.
Nous souhaitons ici insister sur plusieurs points :
- Notre GT Signature électronique a élaboré, conjointement avec la Fédération des Tiers de Confiance du Numérique (FnTC), un document de position sur la signature électronique dans les paiements. En termes de priorité, nous souhaitons que la signature électronique puisse être rapidement mise en œuvre pour certaines opérations de paiement, principalement en ligne.
- Nous soutenons l’idée de recourir à des identités numériques, mais nous continuons à penser qu’il conviendrait d’élaborer une Identité Numérique spécifique pour les paiements, ce que nous nommons une European Payment Identity (EPI) compatible avec le futur règlement eIDAS2, et gérée directement par les établissements de paiements et leurs organisations
- Nous pensons que l’efficacité de certains dispositifs sécuritaires comme la carte à puce, rendent inopportun un wallet spécifique pour certaines transactions de paiement en face à face, et ne pensons pas qu’une identité numérique peut à court terme apporter un plus sur ces flux de paiement. Il y a déjà beaucoup à faire pour consolider cette technologie.
- Mais, nous sommes favorables à un saut qualitatif majeur en matière de sécurité dans les paiements, à 7 ou 10 ans, et l’identité numérique peut grandement y contribuer.
- Enfin, le projet de règlement sur l’euro numérique impose une voie médiane, à savoir une compatibilité avec le wallet d’identité numérique européenne défini par le futur règlement eIDAS2.
- France Payments Forum va élaborer un document de position sur l’identité numérique, dont la rédaction sera pilotée par Stéphane Mouy.
