Lex Persona > News > Décryptages > Identité numérique sur support cryptographique ou identité à la volée, quel choix pour le développement de la signature électronique à grande échelle ?
Lex Persona

Identité numérique sur support cryptographique ou identité à la volée, quel choix pour le développement de la signature électronique à grande échelle ?


Même si nous nous attachons toujours dans ces décryptages mensuels à prendre de la hauteur sur les technologies elles-mêmes pour nous concentrer sur les usages, il est des choix technologiques qui sont fondamentaux pour libérer la demande et transformer des marchés de niche en marchés de masse.

Des choix décisifs pour le développement du marché européen

Il existe de nombreuses identités numériques déployées en Europe fournies sur des supports cryptographiques personnels et utilisées tant par les professionnels que par les particuliers. Les utilisateurs professionnels sont souvent des responsables qui acquièrent une identité numérique forte pour répondre à des obligations réglementaires (marchés publics, démarches fiscales, administratives et financières). Les utilisateurs particuliers sont principalement les citoyens des états qui ont mis en place une carte nationale d’identité numérique pour permettre aux personnes d’effectuer des démarches administratives en ligne.

Mais il existe également une alternative à l’identité numérique sur support cryptographique personnel, appelée généralement identité numérique « à la volée » car générée à la demande sur un serveur centralisé, pour les besoins d’une transaction particulière, par exemple la signature d’un contrat de prêt avec une banque sur Internet.

Deux options pour un marché en phase de décollage

De chaque côté, des protagonistes font entendre leur voix. D’un côté, on trouve les industriels de la carte à puce et leurs clients, les innombrables autorités de certification (plus d’une centaine en Europe). De l’autre, de nombreux opérateurs et prestataires de services de confiance qui proposent des identités numériques à la volée.

Si le niveau de sécurité offert par les identités numériques sur support cryptographique n’est plus à démontrer (inviolabilité totale du dispositif, protection renforcée par code PIN, remise en face à face avec contrôle de l’identité régalienne du titulaire, etc.), nombreux sont ceux qui se plaignent de leur coût élevé, de la complexité de leur processus de délivrance et de leur difficulté d’utilisation.

C’est sur la base de ces critiques que se sont développées des solutions logicielles permettant de produire des identités numériques à la volée, en s’appuyant sur une authentification généralement limitée des signataires comme une adresse mail ou un numéro de téléphone portable qui recevra un code de signature par SMS, pour ainsi faciliter leur délivrance et leur utilisation tout en limitant leur coût.

La nécessité d’être présent sur les deux options

Si Lex Persona a énormément investi en recherche et développement pour supporter les identités numériques sur support cryptographique dans tous ses logiciels et en faciliter leur utilisation, nous avons également été précurseur de fourniture d’identités numériques à la volée sur notre plate-forme de signature électronique en ligne Sunnystamp, gratuite pour les particuliers, associations, professions libérales et TPE.

Ainsi Sunnystamp génère-t-elle chaque année plusieurs millions d’identités numériques à la volée dans tous les domaines transactionnels : contrats de travail, protection de la propriété intellectuelle, transactions financières, immobilières et commerciales de toute nature. Mais il est également possible avec Sunnystamp de signer avec une identité numérique sur support cryptographique.

Aujourd’hui, le règlement européen eIDAS rend théoriquement possible la qualification d’une signature électronique effectuée avec une identité numérique à la volée, c’est-à-dire la possibilité de lui donner une reconnaissance juridique équivalente à une signature manuscrite.

Pour aller dans cette direction, Lex Persona et de nombreux autres opérateurs font évoluer leur plate-forme pour permettre une vérification plus formelle de l’identité du signataire et la création encore plus sécurisée de la signature électronique, même s’il manque encore un ensemble de normes techniques et organisationnelles pour atteindre le « Graal » de la signature eIDAS, à savoir la signature qualifiée générée à la volée.

Le modèle économique en question

Si le niveau de sécurité et la reconnaissance d’une signature qualifiée générée à la volée sont, à terme, garantis au niveau européen, on peut tout de même se poser la question de sa facilité d’utilisation et surtout de son modèle économique, car cette signature qualifiée à la volée est par définition une signature « jetable ».

Et jetable ne veut pas dire bon marché : il va falloir contrôler à distance les justificatifs d’identité présentés par la personne et l’authentifier de manière sûre sans faire appel à un intermédiaire qui pourrait compromettre la sécurité du processus de signature. Est-il bien raisonnable de multiplier ce coût par autant de fois que l’utilisateur aura l’occasion de signer ? Est-il économiquement viable de demander au secteur privé de proposer des identités numériques fortes à la volée alors qu’il existe partout en Europe quantités d’identités numériques fortes sur support cryptographique qui sont déjà totalement inter-opérables et réutilisables par des milliers d’applications déjà en service ?

Aujourd’hui, Lex Persona formule une position pragmatique et réaliste quant au choix de l’identité numérique à mettre en œuvre : dès lors qu’une signature électronique qualifiée est nécessaire, l’utilisation d’un support cryptographique nous semble très largement préférable. En revanche pour les transactions pour lesquelles une signature qualifiée n’est pas indispensable, alors clairement une identité numérique générée à la volée prend tout son sens.

Si la France est clairement en retard dans le déploiement d’identités numériques fortes citoyennes, il ne nous semble pas légitime de demander aux acteurs privés de combler ce fossé.