La carte Vitale et sa dématérialisation via France Identité

Je n’avais aucunement prévu, en ce dimanche, de rédiger ces quelques lignes. Cependant, à la lecture de l’article publié par Emile Marzolf dans Acteurs publics - dont je joins le téléchargement en format PDF afin que les lecteurs puissent en saisir le contexte - j’ai souhaité partager mon interprétation et mon point de vue. Je remercie chaleureusement Emile Marzolf pour ce partage enrichissant.

J’ai particulièrement apprécié ce passage de l’article qui met en évidence les lacunes sécuritaires du PVID : « Capitaliser sur France Identité (FIN) facilitera aussi la vie de l’Assurance Maladie. Selon le mode opératoire choisi par les utilisateurs pour “s’enrôler” - c’est-à-dire vérifier leur identité et activer leur application - les coûts peuvent être multipliés. Depuis le début de l’expérimentation, fin 2019, cette vérification s’effectue entièrement à distance et de manière automatisée, combinant des outils de reconnaissance faciale et parfois une vérification humaine. Un procédé coûteux et jugé moins fiable que celui utilisé pour l’activation de France Identité. D’ailleurs, la Commission nationale de l’informatique et des libertés (CNIL), dans son avis sur l’expérimentation e-carte Vitale, avait recommandé de limiter progressivement le recours à la reconnaissance faciale. »

En mai dernier, j’avais d’ailleurs publié un article intitulé « Peut-on encore parler du PVID ? Une banque peut-elle faire confiance à un PVID ? »

Aujourd’hui, il semble légitime de se demander pourquoi l’État allait proposer et maintenir deux identités numériques pour les citoyens. La première, de niveau substantiel, s’appuie sur un processus PVID, présentant des failles sécuritaires (#ANSSI #BSI), et gérée par le GIE SESAM-Vitale. La seconde, certifiée de niveau élevé, est délivrée par France Identité à partir d’une pièce biométrique basée sur la technologie NFC et les standards ICAO 9303. Ce dernier dispositif permet : 1) d’exploiter les informations contenues dans la puce ; 2) de garantir la confidentialité des données par des mécanismes d’accès sécurisés, tels que le Basic Access Control (BAC) et le Password Authenticated Connection Establishment (PACE) ; et 3) d’assurer l’intégrité des données grâce aux mécanismes de sécurité intégrés dans la puce (authentification passive et détection de clonage).

La puce stocke notamment les données lisibles sur le titre d’identité et les informations biométriques du titulaire. Celles-ci sont organisées en groupes de données (Data Groups) : DG1, DG2, SOD, etc. Elles sont signées numériquement, et chaque pays émetteur d’une pièce d’identité biométrique maintient une infrastructure de clé publique (PKI), via l’autorité nationale de certification (CSCA : Country Signing Certification Authority). Le certificat de signataire de document (DS), signé par la CSCA, garantit l’authenticité des données et le lien avec l’émetteur.

Pour accéder aux informations de la puce (#idakto), un contrôle d’accès est requis. Deux protocoles définis par l’ICAO 9303 sont utilisés : le BAC et le PACE, qui reposent sur des clés d’accès générées à partir des informations contenues dans la bande MRZ (Machine Readable Zone). La clé MRZ est calculée à partir du numéro de titre, de la date de naissance et de la date d’expiration, ou directement à partir du CAN (Card Access Number).

Il se trouve que j’ai récemment échangé avec certains collègues : certains, ouverts d’esprit, acceptent les réalités de la situation, tandis que d’autres, rigides et parfois de mauvaise foi, persistent dans des idées dépassées et jugées peu fiables.

Je partage ci-après un extrait de mon article en cours de rédaction, intitulé « EUDI Wallet : identité, confiance et ce qui se situe entre les deux ». Pour offrir une autre perspective, je vais sortir du contexte hexagonal tout en restant dans le cadre européen. L’EUDI Wallet, au cœur de l’initiative eIDAS 2.0, représente une avancée majeure dans la gestion numérique de l’identité au sein de l’UE. Ce portefeuille numérique (Wallet) permettrait aux citoyens de stocker, gérer et partager leurs informations personnelles en toute sécurité, tout en respectant des normes strictes de protection des données. En promouvant transparence, interopérabilité et contrôle utilisateur, l’EUDI Wallet vise à harmoniser les systèmes d’identification dans l’UE, facilitant l’accès aux services numériques, publics et privés.

L’une des pierres angulaires de l’eIDAS 2.0 est l’Architecture Reference Framework (ARF). Trois principaux types de justificatifs sont définis dans ce cadre : 1) les PID (Person Identification Data), ou données d’identification personnelle ; 2) les QEAA (Qualified Electronic Attestation of Attributes), ou attestations électroniques qualifiées d’attributs ; 3) les EAA (Electronic Attestation of Attributes), ou attestations électroniques d’attributs. Chaque type de justificatif répond à un objectif spécifique dans les processus métiers concernés.

Focalisons-nous sur les PID, données essentielles pour identifier et authentifier un utilisateur avec un niveau de confiance élevé (LOA High), permettant ainsi l’accès aux services en ligne. Les PID représentent la forme de justificatif d’identité la plus fondamentale du système EUDI Wallet. Contrairement aux QEAA et EAA, les PID sont émises directement par les autorités gouvernementales et constituent la preuve la plus fondamentale de l’identité d’une personne.

Chaque État membre désigne un fournisseur de données d’identité personnelle chargé d’émettre les informations nécessaires à l’activation d’un EUDI Wallet. Les PID incluent des informations telles que le nom, le prénom, la date de naissance, et la nationalité, qui peuvent être partagées en ligne ou hors-ligne par le titulaire du portefeuille. En France, ces données seront fournies par France Identité.

Le processus d’émission et de vérification des PID se déroule en deux étapes :

1. Émission : les attributs PID, issus de sources authentiques comme les registres d’état civil de chaque État membre, sont validés et intégrés dans l’EUDI Wallet. En France, cette émission est assurée par France Identité.
2. Vérification : lorsque l’utilisateur accède à un service numérique, son PID est vérifié (en France par France Identité) via un EUDI Wallet Connector, garantissant ainsi une identification rapide et sécurisée.

Ce processus garantit une identification fiable avec un niveau de sécurité élevé pour accéder à des services numériques, sans nécessité de vérification humaine tel que proposé par un PVID.

Si l’on met cet article en perspective avec celui d’Emile Marzolf, il apparaît normal que les PID soient fournies par l’État. Depuis la création de l’état civil en 1792, la gestion de l’identité est une prérogative régalienne, et l’identité numérique ne devrait pas échapper à cette règle. Il appartient donc au gouvernement de créer, gérer et fournir les PID, pour une identité numérique souveraine et européenne, à la fois universelle et sans frontières.

À travers l’article d’Emile Marzolf et ma présente note, je pense que le message à retenir est clair. Enfin, certains comprennent, d’autres refusent de comprendre, et d’autres encore ne peuvent pas comprendre.

Excellent dimanche.