Identité numérique : définition et enjeux pour la signature

C’est une idée répétée mais centrale : le numérique transforme profondément les interactions entre particuliers, entreprises et l’administration. Dans ce contexte où le digital est roi et simplifie les échanges, l’identité numérique fait foi.

D’un point de vue pratique, l’identité numérique permet d’ouvrir l’accès à des services du secteur public (Assurance maladie, Impots.gouv, TousAntiCovid…) ou privé (Facebook, AppleId, Identité Numérique La Poste, LinkedIn, …). Disposer d’une identité numérique maîtrisée et sécurisée est donc un enjeu. Et un atout, à la fois pour les professionnels et les particuliers.

Mais pour la maîtriser, encore faut-il la comprendre : que recouvre la notion d’identité numérique ? Comment et par qui est-elle protégée ? Quel est son impact sur les rapports entre une entreprise et ses usagers ?

Appliquée à la signature électronique, comment se met-elle en œuvre et sous quelles conditions d’usages ? Tour d’horizon d’une notion qui peut vous sembler lointaine, mais qui rythme nos quotidiens numériques.

Qu’est-ce que l’identité numérique ?

Avant de dire ce qu’elle est, il est important de rappeler ce que l’identité numérique n’est pas : une transposition de l’identité civile. Car l’identité numérique n’a pas qu’un visage : c’est un ensemble de données informatiques (appelées attributs) associées à une personne, un programme, un ordinateur, etc. L’identité numérique relie ces données à un individu et permet de les utiliser en ligne, notamment pour interagir avec des systèmes d’information.

Les attributs de l’identité numérique

L’identité numérique correspond à un ensemble d’attributs enregistrés sous forme numérique permettant d’établir l’identité d’une personne physique ou morale. Selon le contexte, ces attributs peuvent être :

• des informations personnelles définissant l’identité pivot (ou identité régalienne, soit l’état civil), nom de naissance, prénom, sexe, date de naissance et lieu de naissance ;
• des données biométriques, empreintes numériques, signatures vocales ;
• des informations complémentaires, adresse mail, nom d’usage, pseudonyme…

Une personne a donc, par essence, plusieurs identités numériques, en fonction du contexte d’usage et du niveau de garantie de fiabilité. Par exemple, une identité utilisée pour s’inscrire à une liste électorale est différente d’une identité utilisée pour s’inscrire sur un réseau social. Pourtant, elles identifient la même personne.

Les moyens d’identification électronique (MIE) 

De manière générale et schématique, l’identité numérique fait intervenir trois acteurs :

• un utilisateur qui souhaite accéder à des services en ligne et hors ligne et qui devra s’identifier pour le faire ;
• un fournisseur d’identité : tiers de confiance qui fournit un moyen d’identification électronique (MIE) et garantit les attributs présentés par l’utilisateur ;
• un fournisseur de service (opérateur public ou privé) qui met à la disposition de l’utilisateur un ensemble de services dont l’accès est réservé à une identité numérique donnée.

Une identité numérique repose donc sur un moyen d’identification électronique (ou MIE). C’est-à-dire sur un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier à un service en ligne. Il permet de confirmer :

• l’identification électronique d’une personne physique ou morale ;
• l’origine et l’intégrité d’une donnée sous forme électronique.

Le niveau de sécurité offert par une identité numérique dépendra du niveau de garantie que le moyen d’identification électronique accorde à l’identité revendiquée ou prétendue de l’usager. Trois niveaux de garantie de l’identification électronique sont prévus par le règlement eIDAS : 

• le niveau de garantie faible dont l’objectif est la réduction du risque d’utilisation abusive ou d’altération de l’identité (degré limité de fiabilité) ;
• le niveau de garantie substantielle dont l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité (degré substantiel de fiabilité) ;
• le niveau de garantie élevée dont l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité (degré de fiabilité plus élevé).

Le cadre juridique de l’identité numérique

L’identité numérique des particuliers et des entreprises répond à un cadre institué par le droit français et européen et protégé par différentes institutions. 

Les normes et exigences prévues pour protéger les internautes (particuliers et personnes morales) et garantir les transactions digitales sont prévues dans différents textes français et européen. Dont les principaux : 

• Le règlement général sur la protection des données (RGPD), dont l’objectif est de protéger les données personnelles des citoyens de l’Union européenne ; 
• Le règlement européen eIDAS, qui se fixe pour objectif d’établir un cadre pour l’identification électronique et les services de confiance en Europe ;
• La Directive sur la sécurité des réseaux et des systèmes d’information, qui vise à renforcer la cybersécurité des opérateurs de services essentiels à l’économie et à la société ;
• Le RGS (référentiel général de sécurité) qui vise à assurer la sécurité des échanges électroniques au sein de l’administration française et entre l’administration et les citoyens. 

Plusieurs institutions françaises et européennes sont impliquées dans le respect de ces textes :

• Le comité européen de la protection des données (CEPD) veille à la cohérence de la mise en œuvre du RGPD entre les différents États membres de l’UE ;
• Le Conseil d’État français conseille le gouvernement sur le respect des règles et dans l’élaboration de projets de texte ;
• La Commission nationale de l’informatique et des libertés (CNIL) dispose de pouvoirs de contrôle et de sanction pour assurer la protection des données personnelles et la préservation de la vie privée.

Important !

En France, deux organismes nationaux travaillent en collaboration pour assurer la sécurité et la conformité des solutions d’identité numérique. La Direction interministérielle du numérique (DINUM) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les enjeux de l’identité numérique pour la signature électronique

Les risques liés à l’identité numérique

Si la mise en œuvre de l’identité numérique permet de simplifier et fluidifier les échanges en ligne, elle représente un risque majeur en matière de cybersécurité. 

La gestion sécurisée de l’identité numérique est un préalable indispensable pour prévenir l’usurpation d’identité, la fraude documentaire en ligne et tous types de menaces liées à la protection des données personnelles et de la vie privée. 

Appliqué à la signature électronique, cet enjeu est d’autant plus important, car sans une identité numérique solide, la signature électronique perdrait sa valeur légale et sa fiabilité. Une identité numérique robuste permet ainsi de s’assurer que :

• le signataire est bien celui qu’il prétend être ;
• le document n’a pas été altéré après la signature.

L’identité numérique est donc déterminante pour établir un environnement de signature électronique sécurisé. À l’usage, le principal rempart pour protéger et assurer son identité numérique est l’authentification. Elle permet de prouver le lien entre un usager et l’identité revendiquée. 

Petit point lexique : l’identification et l’authentification sont deux termes distincts. Dans le contexte de l’identité numérique, l’identification répond à la question « qui êtes-vous ». Alors que l’authentification répond à la question « êtes-vous bien la personne que vous prétendez être ? ». 

Les méthodes d’authentification de l’identité numérique

L’authentification est le processus par lequel une personne prouve que c’est bien une de ses identités numériques qui est mise en œuvre. Les méthodes d’authentification varient en fonction des niveaux de garantie (faible, substantielle et élevée) prévus dans le règlement eIDAS. 

Parmi les méthodes d’authentification les plus utilisées pour vérifier l’identité numérique d’une personne, on liste : 

• L’authentification par mot de passe ;
• L’authentification à deux facteurs (2FA) : généralement mot de passe et code généré sur téléphone mobile ou envoyés par SMS.
• L’authentification biométrique (reconnaissance faciale ou vocale, reconnaissance de l’iris ou d’empreintes digitales, etc.) ;
• L’authentification par carte à puce ;
• L’authentification par certificat numérique ;
• L’authentification par SMS ou e-mail avec génération d’un code d’authentification unique ;
• L’authentification par jeton ou logiciel générant un code d’authentification à usage unique ;
• L’authentification basée sur la connaissance avec questions de sécurité prédéfinies pour prouver l’identité ;
• L’authentification de type « bataille navale » où l’on vous demande le contenu d’une case figurant sur une carte de codes personnels ;
• L’authentification via une solution d’authentification telle que France Connect ou L’Identité Numérique La Poste.

Toutes ces méthodes diverses et variées déclinent de différentes manières le principe des trois « what » : le « what you know » (ce que vous savez : un code PIN, un mot de passe, …), le « what you have » (ce que vous avez : un jeton, un téléphone, …) et le « what you are » (ce que vous êtes : vos empreintes digitales, votre visage, …).

Dans le cas des signatures électroniques, les méthodes d’authentification dépendent des niveaux de signatures (simple, avancée ou qualifiée). Certaines peuvent paraître décourageantes par le nombre d’étapes ou les spécificités techniques qu’elles impliquent, surtout pour les signatures de niveau important – avancée et qualifiée – souvent recommandées pour les entreprises. Pourtant, des solutions simples existent (vous nous voyez venir ?) : on vous présente Goodflag.

Comment Goodflag facilite l’authentification du signataire ?

Goodflag, notre logiciel de signature électronique, se distingue comme l’une des solutions les plus complètes du marché, pour les trois types de signatures. Elle offre une flexibilité totale en veillant à simplifier et fluidifier les processus de signature, sans sacrifier la sécurité. Un défi pour les services et plateformes digitales, à l’heure de la défiance numérique.

Goodflag a ainsi pensé sa plateforme de façon ergonomique et intuitive : le fonctionnement est simple et sécurisant, en proposant des méthodes d’authentification du signataire proportionnées au risque juridique de la transaction, même pour les signatures de plus haut niveau de sécurité juridique, réputées plus complexes à mettre en place. 

À cet égard, elle appuie notamment ses fonctionnalités sur deux services d’authentification certifiés, fiables et simples d’usage : 

• FranceConnect pour la signature électronique avancée ;
• L’Identité Numérique La Poste pour la signature électronique qualifiée à distance (une première en France !), qui bénéficie du plus haut niveau de sécurité juridique… en quelques clics.

Ces deux procédés, en plus de ceux mis en œuvre pour les autres types de signatures, permettent de : 

• Renforcer la sécurité de la signature électronique en garantissant facilement et efficacement l’identité du signataire ; 
• Renforcer la confiance des signataires (clients, partenaires, collaborateurs, fournisseurs…) ;
• Offrir une fluidité remarquable dans le parcours de l’utilisateur en simplifiant le processus de signature ; 
• Assurer la conformité aux règlementations en vigueur ;

Optimisez votre processus de signature électronique avec Goodflag. Découvrez comment notre solution complète peut renforcer la sécurité de vos transactions numériques et simplifier vos flux de travail. Vous désirez intégrer une de nos solutions, ou simplement vous renseigner ? Nos experts sont là pour vous répondre.