Le projet DC4EU, récemment achevé, a examiné comment le portefeuille d’identité numérique et les « justificatifs vérifiables » (attestations/documents vérifiables numériquement) peuvent fonctionner dans la pratique au-delà des frontières.
L’Europe est à l’aube d’un changement fondamental dans la manière dont les citoyens s’identifient numériquement et utilisent des documents officiels. Avec la révision du règlement eIDAS, l’Union européenne souhaite évoluer vers un portefeuille d’identité numérique uniforme pour tous les citoyens.
« D’ici fin 2026, tous les États membres devront mettre un portefeuille d’identité numérique à la disposition de leurs citoyens », explique Fabien Petitcolas, spécialiste en sécurité de l’information chez Smals Research. La Belgique figure parmi les pionniers avec MyGov.be, l’implémentation nationale de ce Digital Identity Wallet européen.
Le projet pilote européen DC4EU a testé à grande échelle le portefeuille numérique et les « justificatifs vérifiables » associés. Smals a collaboré avec 80 autres partenaires européens sur ce projet. M. Petitcolas revient sur les enseignements tirés de ce projet et esquisse la manière dont les identités numériques prennent forme en Europe.
eIDAS comme point de départ
« En 2014, l’Europe a instauré le règlement eIDAS, qui a formé le cadre réglementaire pour les services de confiance en ligne et, plus tard, pour l’identité en ligne », explique M. Petitcolas. L’eIDAS initial visait à créer des règles communes pour l’identification et les signatures électroniques entre tous les États membres européens. Cependant, en raison de l’évolution rapide des développements technologiques, le règlement a dû évoluer.
Portefeuille d’identité numérique
« Dix ans après le premier règlement eIDAS, une révision a été effectuée, dans laquelle l’Europe a insisté sur un Digital Identity Wallet », explique M. Petitcolas. Ce portefeuille comprend la variante numérique de votre carte d’identité et de votre permis de conduire, mais aussi d’autres documents tels que des actes et des attestations.
Tous les citoyens européens pourront disposer d’une version numérique de leur portefeuille physique.
Fabien Petitcolas, Information Security Specialist chez Smals Research
Le règlement stipule que tous les États membres européens doivent mettre un portefeuille numérique à la disposition de leurs citoyens d’ici fin 2026. La Belgique a déjà fait ses devoirs. En mai 2024, le SPF BOSA, le service public fédéral Stratégie et Appui, a annoncé un portefeuille d’identité numérique : MyGov.be. Cette application mobile peut être téléchargée gratuitement via Google Play ou l’Apple App Store. Smals, le prestataire de services TIC pour l’État belge, a collaboré en coulisses à l’application.
Projet DC4EU
« DC4EU (Digital Credentials for Europe) est l’un des quatre projets pilotes financés par l’Union européenne dans le cadre du règlement eIDAS », commence M. Petitcolas. Le projet DC4EU est désormais terminé et visait à tester à grande échelle le portefeuille numérique et les « justificatifs vérifiables » dans des scénarios réalistes.
M. Petitcolas : « Le projet s’est principalement concentré sur deux aspects : l’éducation et la sécurité sociale. Plus précisément, pour ce dernier, la carte européenne d’assurance maladie et les documents portables A1 pour les personnes travaillant à l’étranger ont été mis en avant. Grâce à ces documents, les citoyens européens peuvent recourir aux soins de santé dans d’autres pays de l’UE. »
lire aussi
Le projet DC4EU teste le portefeuille d’identité numérique au-delà des frontières
Le projet pilote a été soutenu par 80 partenaires à travers l’Europe, dont Smals et la Banque-Carrefour de la Sécurité Sociale belge. L’Office national de sécurité sociale était également impliqué en tant qu’émetteur d’attestations A1. « Le projet est une première étape dans l’évolution de l’utilisation de ces portefeuilles numériques », déclare M. Petitcolas.
Chaîne de confiance
M. Petitcolas souligne que la chaîne de confiance joue un rôle crucial dans le système européen des identités numériques. « Prenons l’exemple d’un formulaire A1 d’une personne belge contrôlé en Allemagne par l’inspection du travail locale. Ce document est délivré par l’ONSS en Belgique. » Cette instance est à son tour reconnue au niveau européen au sein d’une infrastructure de confiance commune.
« Lorsqu’un contrôle a lieu en Allemagne, ce pays n’a pas besoin de faire directement confiance à l’institution belge », poursuit-il. « Il se fie au niveau européen qui confirme que l’ONSS est compétent pour délivrer ce document. »
Ainsi se crée une chaîne de confiance à plusieurs niveaux, de l’émission nationale au contrôle transfrontalier en passant par la reconnaissance européenne, évitant ainsi aux pays de devoir conclure des accords bilatéraux distincts. Selon Fabien, ce n’est plus un obstacle technique : les normes et l’infrastructure existent, le véritable défi réside dans l’organisation de la confiance et l’harmonisation des processus entre les États membres.
Justificatifs vérifiables
Le portefeuille d’identité numérique repose sur le principe des justificatifs vérifiables. Il s’agit de versions numériques et sécurisées par cryptographie de certificats physiques pouvant prouver quelque chose à propos d’une personne, « tout en limitant au minimum les informations divulguées », explique M. Petitcolas. Citons par exemple votre identité, votre permis de conduire, des certificats ou, par exemple, l’attestation A1.
Tout ce qui existe aujourd’hui sur papier peut, en principe, exister sous forme de justificatif vérifiable.
Fabien Petitcolas, Information Security Specialist chez Smals Research
Ces justificatifs vérifiables ont été testés de manière approfondie sur le terrain par Smals et d’autres partenaires dans le cadre du projet DC4EU. Selon M. Petitcolas, ces attestations numériques font essentiellement la même chose que leur équivalent papier, mais avec des avantages (et des inconvénients) supplémentaires.
Vie privée garantie
Selon M. Petitcolas, le portefeuille numérique pourrait constituer une avancée en termes de respect de la vie privée. L’un des avantages potentiels en matière de confidentialité est que les utilisateurs ne peuvent pas être liés à leurs données. M. Petitcolas précise : « L’idée serait que lorsque vous devez prouver sur un site web que vous avez plus de 18 ans, vous puissiez le confirmer avec votre carte d’identité sous forme de “justificatif vérifiable”. Si vous visitez à nouveau ce même site par la suite, vous devrez le prouver à chaque fois. » Le site web n’est donc pas en mesure de déterminer s’il s’agit de la même personne.
lire aussi
Smals démontre comment un gouvernement numérique peut effectivement fonctionner
« Un autre aspect mentionné dans la réglementation européenne est la “divulgation sélective” », poursuit M. Petitcolas. « Une carte d’identité contient des informations telles que votre nom et votre numéro de carte d’identité. Reprenons l’exemple de la vérification de l’âge. Vous voulez prouver que vous avez plus de 18 ans, mais sans révéler des données telles que votre nom et votre date de naissance. La divulgation sélective permet de prouver uniquement que vous avez plus de 18 ans, sans donner d’informations supplémentaires. »
« Bien que l’implémentation ne soit pas encore là aujourd’hui, les normes de “justificatifs vérifiables” permettent ces avantages en matière de confidentialité. »
Les bases sont posées
Le projet DC4EU est désormais terminé et constitue une étape importante dans le développement des portefeuilles d’identité numérique. « Le projet a permis de progresser et d’éclaircir de nombreux points », déclare M. Petitcolas. Selon lui, les connaissances acquises inciteront de plus en plus d’institutions à envisager de proposer des justificatifs vérifiables via le portefeuille numérique. Une question pratique se pose alors : « Vont-elles le faire elles-mêmes ou vont-elles faire appel à une autre entreprise/entité pour le faire à leur place ? »
Selon M. Petitcolas, Smals a un rôle clair à jouer à cet égard. Grâce à sa connaissance de la technologie et des normes sous-jacentes, Smals pourrait accompagner les institutions dans leurs demandes et les soutenir dans l’émission de justificatifs vérifiables dans le portefeuille de BOSA.
Le projet DC4EU a non seulement apporté à Smals une expérience technique, mais aussi une vision plus large du fonctionnement et de l’impact des portefeuilles numériques. Selon M. Petitcolas, cette expérience constitue une base solide pour continuer à façonner les futures applications et extensions des solutions d’identité numérique.