La crise sanitaire a engendré un accroissement des demandes d’équipement en signature et parapheur électronique, comme nous le mentionnons récemment.
Au niveau de la signature électronique, deux aspects sont à prendre en compte :
1 - le niveau de signature et sa portée en terme d’engagement pour un type de document,
2 - l’identification électronique du signataire.
Nous connaissons souvent le premier aspect mais moins le second.
les principaux éléments de clarification sont à chercher du côté du règlement dit eIDAS n°910/2014 du 23 juillet 2014 “electronic Identification Authentification and trust Services” ; en effet, l’article 8 dudit règlement définit 3 niveaux de garantie des schémas d’identification électronique :
- Faible : l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité ;
- Substantiel : l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité ;
- Élevé : l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.
Les exigences applicables aux 3 niveaux de garantie sont détaillées dans le règlement d’exécution n°2015/1502 de la Commission du 8 septembre 2015.
Mais où et comment mettre en application ces différents niveaux ?
Le gouvernement avec la mise à jour du portail bien connu de tous : FranceConnect., va en partie répondre à ces questions. Ainsi celui-ci a évolué depuis mai 2021 pour atteindre un niveau de sécurité plus exigeant notamment pour des démarches sensibles comme les services en ligne de santé, des banques ou encore les envois en recommandés électroniques.
C’est pourquoi en fin d’année 2020, le portail FranceConnect a obtenu une qualification de l’Agence Nationale de la Sécurité des Systèmes d’informations (ANSSI qui est notamment en charge de veiller à la bonne application du règlement eIDAS en France), pour permettre la conformité de FranceConnect aux exigences des niveaux de garantie substantiels et élevés tel que définis par le règlement européen eIDAS.
Comment concrètement ces niveaux seront couverts ?
A l’ouverture de cette nouvelle version de FranceConnect, le portail ne pourra répondre qu’à deux niveaux :
- Faible : En continuant de se connecter avec son identifiant des impôts, assurance maladie, etc….
- Substantiel : au moment où nous écrivons ces lignes, seul La Poste est en mesure de pouvoir couvrir ce niveau avec son identité numérique.
En effet, La Poste propose depuis 2020 de pouvoir se créer une identité numérique (elle aussi attestée par l’ANSSI). Le principe est simple, il suffit de se créer un compte sur le site Identité numérique avec votre pièce d’identité, puis une procédure de vérification de votre identité est faite avec un facteur, à la poste ou en ligne et votre identité numérique est créée.
- Elevé : Cette partie est couverte par l’application de reconnaissance faciale développée par le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés (ANTS) : ALICEM (Authentification en Ligne Certifiée sur Mobile). Elle s’appuie sur des smartphones tournant sous Android (pas de iOS pour l’instant), disposant d’un lecteur sans contact (NFC) permettant de lire la puce d’un passeport biométrique. La reconnaissance s’effectue ensuite par comparaison entre la photo de la pièce d’identité et le visage de la personne.
L’application devrait être renforcée avec l’arrivée des premières cartes d’identité à puce attendue pour l’été 2021.
Clément Beretti
Consultant AMOA dématérialisation
Serda Conseil