Carte d’identité numérique : quels usages au-delà des transactions officielles ?

Par Daniel Kaplan

Débat national sur la carte d'identité électroniqueQu’on le veuille ou non, on peut considérer comme acquis le fait qu’il y aura une Carte nationale d’identité électronique (CNIE, qui fera probablement aussi office de passeport), dotée d’une puce et contenant entre autres des données biométriques (en l’occurrence, et il est heureux qu’on en reste-là, des empreintes digitales). Sa nécessité s’imposera, ne serait-ce que pour passer les frontières d’un nombre croissant de pays.

Des questions essentielles se posent en revanche à propos de la nature des données que stockera la carte, des conditions d’accès à ces données, du contrôle du détenteur sur le contenu des données et sur leur usage, des garanties en matière de vie privée, de la sécurité du dispositif, etc. Celles-ci sont amplement débattues, notamment dans le cadre du (fort bienvenu) « Débat national sur la carte d’identité électronique » ouvert par le Forum des droits sur l’internet.

Mais il est un sujet qui me paraît tout aussi important que ceux qui précèdent, et que l’on voit plus rarement abordé en profondeur : celui des utilisations de la CNIE à d’autres fins que les contexte d’identification « formelle et officielle » (passage aux frontières, contrôles d’identité, démarches administratives lourdes…), dans le cadre de relations et de services publics et privés – et des conséquences de ces usages.

Ces usages sont explicitement prévus dans le projet de CNIE. Sollicités par le Forum des droits sur l’internet, plusieurs contributeurs s’y intéressent. L’avocat Cyril Rojinsky relève une « confusion entre identité et identification«  . Arnaud Belleil, de Cecurity.com, et co-animateur du groupe « Identité numérique » de la Fing [1] se demande si la Carte ne pourrait pas, du coup, devenir une technologie de protection de la vie privée. Enfin, l’avocat Thierry Piette-Coudol s’inquiète de voir « la facilité de pouvoir utiliser le certificat embarqué dans la carte (…) entraîner une utilisation systématique de ce certificat, apportant ainsi aux relations électroniques une précision qui n’est pas demandée par le Droit. »

Il nous paraît important d’approfondir ce dernier point.

Parce qu’elle bénéficiera d’un statut officiel, qu’elle sera vraisemblablement dans (presque) toutes les mains et qu’elle proposera un dispositif très fort d’identification, d’authentification et de signature, la CNIE peut inciter un grand nombre d’acteurs à se reposer sur elle pour organiser, formaliser, sécuriser leurs relations avec des tiers (clients, fournisseurs, usagers, partenaires…)

Une telle évolution ne serait pas neutre. Les relations humaines, professionnelles, contractuelles, administratives, reposent depuis toujours sur une part, souvent prépondérante, de confiance et d’informel. Dans certains cas, le fait de ne pas exiger de preuve d’identité ou de signature peut même constituer le ciment d’une relation forte et durable, le signe d’une confiance réciproque. Si le recours a priori commode à la CNIE contribue à faire basculer ces relations de l’informel au formel, de la confiance à la sécurité, cela peut avoir des conséquences sur les relations sociales, sur l’activité économique et sur la perception des institutions [2]. En outre, le marché balbutiant des services de confiance sera nécessairement touché par l’émergence d’un dispositif de référence tel que la CNIE.

En nous focalisant sur les usages qui n’entrent pas dans le cadre de l’identification « formelle et officielle », nous pouvons donc identifier cinq séries de questions :

  • En quelles occasions une authentification et/ou une identification et/ou une signature fortement sécurisées s’avèrent-elles nécessaires ou au contraire, superflues, voire contre-productives ? Peut-on recenser les usages potentiels de la CNIE qui nécessitent réellement un tel niveau de sécurité et à l’inverse, ceux qui n’en ont pas vraiment besoin ?
  • Dans quelle mesure l’émergence d’un outil officiel, quasiment universel et fortement sécurisé, peut-elle stimuler l’émergence de nouvelles applications ou la numérisation de procédures et services existants, publics et privés, ou même associatifs, coopératifs, de pair à pair… ?
  • A l’inverse, existe-t-il un risque que le rôle structurant que pourrait jouer la CNIE dans les échanges électroniques finisse par pénaliser l’innovation, dans des domaines tels que la sécurisation des échanges, la confiance, la gestion des identités, les technologies de protection de la vie privée, etc. ?
  • Quelles conséquences la formalisation et la sécurisation croissantes des échanges (de proximité comme à distance) peut-elle avoir sur le lien social, les affaires et le commerce, la relation au risque, la confiance dans les institutions, etc. ?
  • Alors que les identités « modernes » sont multiples, mobiles, en construction permanente, que gagne-t-on et que perd-on à structurer une part significative des échanges autour d’une seule identité officielle ?

En définitive, ces questions convergent vers une interrogation commune : dans quelle mesure, dans quelles limites, est-il souhaitable que les usages de la CNIE s’ouvrent, du moins au départ, à des relations et des services publics et privés qui dépassent le cadre de l’identification « formelle et officielle » ?

N’hésitez pas à nous proposer en commentaire vos propres réponses aux 5 séries de questions qui précèdent, ou encore à proposer des liens vers des textes qui en traitent. Si les contributions s’avèrent suffisamment nombreuses et riches, nous tâcherons d’en proposer une synthèse, qui sera transmise au Forum des droits sur l’internet.
Et apportez votre contribution au forum en ligne du « Débat national sur la carte d’identité électronique« .

___
[1] La Fing a entrepris depuis janvier 2001 un travail de fond sur le thème de l’identité numérique, dans lequel elle a identifié cinq catégories de questions :

  • L’identification, l’authentification et la signature ;
  • L’interopérabilité des identifiants et des données dans un contexte numérique hétérogène et de plus en plus mobile ;
  • La maîtrise de sa présence et de sa joignabilité ;
  • La maîtrise (qui ne se résume pas à la protection) de ses données personnelles ;
  • Les identités multiples et construite, l’anonymat et le pseudonymat.

[2] En 2004, le travail réalisé par la Fing à la demande du ministère délégué à la Recherche sur le thème « Confiance et sécurité » a souligné les relations ambiguës qu’entretiennent ces deux concepts. La sécurité technique est souvent nécessaire à la confiance. Mais la confiance entre les acteurs, ou envers un système, peut servir de substitut à des mesures de sécurité ; et à l’inverse, une sécurité excessive, ou déséquilibrée en faveur d’une catégorie d’acteurs, peut nuire à la confiance.

À lire aussi sur internetactu.net

0 commentaires

  1. Je commencerai par la dernière question, relative aux identités multiples, un fait de société nouveau de plus en plus répandu.
    Dans quelles mesures des Etats et administrations acceptent-elles (aujourd’hui et à l’avenir) la multiplications des pseudonymes et avatars qui petit à petit ont acquis une sorte de légitimité par l’usage?
    La CNIE aura très certainement pour conséquence (sinon pour fonction première) de permettre la centralisation sur un point de toutes les données numérisées concernant un individu, même si on commence léger en n’imposant que les empreintes digitales.
    Si la Loi autorisait le maintien des pseudos, il est certain que cela ne serait qu’une façade, chaque nouvelle possibilité d’état civil numérisable devant inéluctablement finir par être inscrit dans la CNIE, ce qui entraînerait un regroupement de tous les avatars, annulant ainsi une des particularités que confèrent les champs d’ID dans le Net, avec l’uniformisation relationnelle stérilisante qui en découlera

  2. Comment va-t-on gérer (et qui) les pertes et vols des CNIE ?

    Pour être plus précise – quand on vous vole un téléphone portable, ou encore une carte de crédit, vous disposez d’un contact 24h/24, téléphonie ou l’Internet pour le signaler et bloquer, et peu importe l’endroit sur la planète où vous vous trouvez. Et puis vous pouvez avoir plusieurs téléphones portables, et plusieurs cartes de crédit.
    L’unique CNIE est un point fort qui est en même temps un single point of failure.

  3. Qu’est ce que l’usurpation d’identité numérique? Que peut on dire dessu? A quoi est elle dût?