Récemment, j’ai eu l’occasion de participer à des échanges à Money2020 autour de l’initiative EU Wallet et de l’architecture et cadre de référence (ARF) du portefeuille d’identité numérique européen. L’UE s’est fixé l’objectif ambitieux de déployer à 80 % des dispositifs pour mettre en place une identité juridique numérique d’ici 2030. Hélas, je pense que le portefeuille EUDI sera un échec, à moins que la Commission européenne et les États membres parviennent à tirer des leçons de leurs erreurs avec eIDAS 1.0.

Malheureusement, eIDAS, qui a été déployé par les États membres de l’UE, les agences publiques et les tribunaux n’a pas brillé par son efficacité. Ces résultats décevants ont laissé un goût amer.

L’eIDAS prévoit deux types d’identité numérique : les eID émis par les gouvernements et les certificats qualifiés avec les signatures correspondantes. Cependant, au cours de son développement, le système d’eID a dû faire face à des défis importants, même après sept ans d’efforts. Dans l’UE, seuls quelques États membres ont réussi à couvrir plus de 20 % de leur population avec des eID fonctionnelles et répandues.

Pourquoi l’eID n’a-t-elle pas eu le succès escompté ?

  1. Les initiatives que mettent en place les gouvernements pour promouvoir l’eID manquent cruellement, ou ne parviennent pas à offrir une expérience utilisateur qui soit satisfaisante et conviviale. Par exemple, certains pays ne placent qu’une puce sur la carte d’identité avec un code PIN. Le système est par conséquent moins efficace et pratique.
  2. Les initiatives que met en place le secteur privé se heurtent à des obstacles dans de nombreux pays. En cause notamment : des inquiétudes quant à leur fiabilité. Ces difficultés entravent l’innovation et limitent les cas d’utilisation potentiels, les produits et les expériences des utilisateurs.
  3. L’UE se réfère à un ensemble de régulations spécifiques à chaque pays, plutôt que d’adopter des normes ETSI standardisées de type f. Dans les cas où les initiatives privées en matière d’eID sont autorisées, il est interdit de délivrer des eID à des non-citoyens ou à des non-résidents d’un État membre, ce qui crée des restrictions supplémentaires.
  4. Le gouvernement ne prévoit pas assez de cas d’utilisation, notamment dans les services publics numériques, comme le permis de conduire numérique. Faute d’applications convaincantes, les utilisateurs ne sont pas incités à adopter l’eID pour les cas d’utilisation dans les espaces publics.
  5. Il existe une croyance largement répandue, bien qu’elle n’ait pas de fondements scientifiques, selon laquelle le niveau d’assurance le plus élevé de l’eID, à savoir le niveau « élevé », ne peut pas être atteint lorsqu’on a recours à l’enregistrement à distance. Cette croyance rend les investissements privés plus difficiles et relègue les questions d’identité aux autorités, comme la police. Toutefois, la législation française sur le PVID démontre que l’eID High peut effectivement être réalisée à distance.

Par exemple, l’Ausweise en Allemagne, qui dispose d’un code PIN, a été accueilli par les citoyens avec peu d’enthousiasme. L’interdiction des initiatives privées en Allemagne et dans d’autres pays freine l’innovation. Pour ce qui est de la Suède, il n’existe pas de système d’eID promu par l’État, qui de son côté, ne s’appuie que sur des initiatives privées. Les réussites des pays nordiques, des pays baltes et de l’Italie ont eu lieu avant l’arrivée d’eIDAS et sont dues à des initiatives privées plutôt qu’à des politiques de l’UE ou des gouvernements.

Les certificats qualifiés fonctionnent

eIDAS 1.0 est-il un échec ? Pas exactement. Le certificat qualifié, ainsi que ses dérivés tels que les signatures qualifiées, est le seul produit qui ait réellement porté ses fruits. Il est issu d’eIDAS 1.0. Dans le catalogue des services de confiance eIDAS, l’adoption de certificats qualifiés a connu un succès relatif, en particulier sur le marché italien. La recette du succès passe par une législation uniforme, l’adhésion aux normes ETSI et la mise en place d’un cadre d’évaluation de la conformité dans tous les pays de l’UE. Ces conditions favorisent les initiatives privées, ce qui permet d’améliorer la facilité d’utilisation, l’innovation en matière de produits et l’émergence de cas d’utilisation axés sur la demande.

Pourquoi l’initiative « EU Wallet » est-elle vouée à l’échec ?

On peut identifier deux raisons :

  1. Pour accéder au portefeuille, il faut avoir recours à une eID eIDAS High. Exiger un niveau élevé d’assurance n’est pas un mal en soi. Le problème est ailleurs. Pour utiliser une métaphore, c’est comme si l’UE ordonnait la construction d’un train moderne à grande vitesse, sans avoir construit de voies ferrées au préalable. Les gouvernements ne sont pas de grands constructeurs de voies ferrées. Le fait de permettre à chaque pays d’établir ses propres normes en matière de voies ferrées et de ne pas permettre au secteur privé d’apporter sa contribution empêche la construction de voies ferrées.
  2. Les États-nations ont toujours refusé de fournir les cas d’utilisation critiques, tels que des attestations comme les permis de conduire, qui favoriseraient l’adoption de ce dispositif à grande échelle. Ainsi, même s’il y avait des voies pour le train, ses passagers ne sauraient pas où aller.

La plupart des États membres de l’UE n’ont pas fourni une offre de services publics numériques qui soit satisfaisante pour les citoyens. Seuls quelques pays, comme le Portugal et la Pologne, ont fait un pas en avant, en proposant des dispositifs tels les permis de conduire numériques. L’obtention d’attestations qualifiées de la part d’organismes gouvernementaux reste rare dans l’UE. En l’absence de cas d’utilisation convaincants, les citoyens ne sont pas encouragés à utiliser l’eID High, même lorsqu’elle est disponible sur les cartes d’identité physiques.

En outre, les organismes publics continuent à éprouver des difficultés à gérer efficacement les signatures qualifiées, ce qui soulève des inquiétudes quant à leur capacité à produire des attestations qualifiées.

Quelle peut être la solution ?

  1. L’idée serait de confier l’eID aux États membres pour des raisons politiques, et d’élever le certificat qualifié au niveau de l’eID. Cela impliquerait d’autoriser son utilisation pour l’authentification, les portefeuilles et les cas d’utilisation de l’eID.
  2. Créer un nouveau service de confiance qualifié eIDAS, appelé « Qualified eID ». Cette approche permettrait aux acteurs privés de délivrer des eID.
  3. Permettre aux utilisateurs de délivrer à distance en étendant le champ d’application de la norme ETSI 119 241 sur l’identification à distance à un système de certification strict, similaire au PVID français.

En relevant ces défis et en explorant des solutions potentielles, l’UE peut surmonter les obstacles qui peuvent se dresser contre l’initiative « EU Wallet », et peut espérer concrétiser son projet : une identité numérique légale largement répandue.