Pauline Audinet (M15) : « Le portefeuille européen d’identité numérique est un projet sans précédent »

Experte en prospective et innovation chez Onepoint, Pauline Audinet (M15) travaille notamment sur les enjeux de souveraineté européenne, et plus précisément sur le projet de portefeuille européen d’identité numérique (PEIN). Explications.

ESSEC Alumni : En quoi le PEIN consistera-t-il ? 

Pauline Audinet : Le PEIN émane du règlement eIDAS 2 sur l’identité numérique de chaque citoyen de l’Union Européenne. Il consiste à donner la possibilité, via une application mobile développée par chaque État membre, de dématérialiser sa carte d’identité nationale avec le même niveau de certification que la carte physique. Chez nous, l’application en question s’appellera France Identité et sera mise en conformité d’ici décembre 2026. 

EA : Concrètement, comment le PEIN fonctionnera-t-il ? 

P. Audinet : On parle de partage d’attributs (données) et non d’un document dans son ensemble. Autrement dit, plutôt que de partager l'intégralité de votre carte d'identité ou votre carte vitale, le PEIN vous permettra de partager seulement certains attributs pertinents pour une situation donnée : votre âge, votre nom, votre nationalité ou encore la date d’expiration de votre permis de conduire – uniquement lorsque ces informations sont nécessaires et avec votre consentement explicite.

EA : Pouvez-vous donner quelques cas d’usage ? 

P. Audinet : À terme, vous pourrez par exemple présenter le PEIN pour ouvrir un compte bancaire en ligne rapidement, pour partager une ordonnance avec une pharmacie ou des antécédents de santé avec un ou une médecin, signer électroniquement un contrat ou un mandat pour une personne morale – ou encore pour vous authentifier avec un seul mot de passe sur l’ensemble de vos comptes utilisateurs dans les services publics ainsi que sur les sites de 12 secteurs régulés (banque, énergie, télécoms, éducation, santé…) et sur les plateformes de plus de 45 millions d’usagers. 

EA : Sur quelles technologies et méthodes d’identification reposerait-il ? 

P. Audinet : Le règlement eIDAS 2 a été pensé dans l’intention de concevoir un système avec différents acteurs publics et privés pour garantir la sécurité, la confidentialité et l'interopérabilité des informations personnelles à l'échelle de l'UE. Le PEIN reposera sur des technologies avancées comme la clé cryptographique pour le chiffrement, la biométrie pour le lien d’authentification, la blockchain pour faciliter les vérifications de manière décentralisée.

EA : Quelles garanties le PEIN apportera-t-il par rapport aux solutions actuelles ? 

P. Audinet : Le PEIN apporte des garanties supplémentaires contre l’usurpation d’identité en ligne. En effet, la véracité de sa vérification instantanée au registre de l’ANTS (en France) sécurise une authentification. Avec le recul, les pays ayant des systèmes d'identité numérique robustes et largement adoptés, comme la Suède avec son système BankID ou l'Estonie avec son système d'identité électronique, bénéficient de niveaux de fraude en ligne relativement bas par rapport à d'autres pays de l’EU. Des gardes fous et modes de récupération doivent cependant être conçus par chaque État, notamment lors de vols de smartphones. 

EA : Si la dispersion actuelle des solutions d’identification pose des problèmes d’usage et de vérification, à l’inverse leur concentration dans un seul portefeuille numérique n’expose-t-elle pas davantage le citoyen en cas de faille ? 

P. Audinet : Selon le règlement eIDAS 2, les informations personnelles des citoyens seront en grande partie stockées dans les référentiels d’identité (ANTS en France) et non dans le portefeuille directement. Autrement dit : les données ne seront pas centralisées mais conservées sur des serveurs nationaux ou dans des systèmes d'identité numériques propres à chaque État membre – tout en garantissant leur interopérabilité au niveau européen. Les risques seront donc très limités, bien que le portefeuille européen d’identité numérique ne soit pas exempt de vulnérabilités.

EA : Quid des risques d’usage sécuritaire ? Comment le PEIN pourra-t-il être utilisé au niveau policier, juridique ?

P. Audinet : Au niveau policier, le PEIN facilitera l’identification rapide d’un citoyen lors d’un contrôle d’identité, grâce à son smartphone uniquement. Au niveau juridique, il permettra de prouver l'identité des parties dans les procédures judiciaires et facilitera les procédures administratives, notamment la signature électronique de documents légaux comme les contrats, les actes notariés ou encore les déclarations sous serment. 

EA : Le PEIN n’offre-t-il pas un puissant moyen de surveillance dans un contexte de montée en puissance des extrémismes ? 

P. Audinet : Il est peu probable que le portefeuille soit utilisé, comme fantasmé dans la science-fiction, pour suivre les comportements, les déplacements ou les opinions des gens. Le règlement eIDAS 2 prévoit de mettre en place des garde-fous stricts pour prévenir ces dérives et limiter l'usage politique abusif de ces technologies. Les principes de transparence, de consentement éclairé et de protection des données individuelles sont inscrits dans la conception du système. Pour autant, il faudra certes veiller au respect de ces principes à chaque instant, car les risques d’usage pour le contrôle des foules ne sont pas nuls. Par exemple, utilisé pour réguler les déplacements physiques, le PEIN pourrait devenir le certificat de circulation de la prochaine pandémie !

EA : Quelles sont les prochaines échéances phares du projet ?

P. Audinet : Rendez-vous en décembre 2026 pour l’obligation de mise à disposition du portefeuille par chaque État membre et son usage dans au moins une administration. L’échéance suivante est fixée à décembre 2027 pour les entreprises des 12 secteurs régulés et des plateformes de plus de 45 millions d’usagers qui devront proposer le PEIN comme solution d’authentification forte.

EA : Le PEIN est-il unique en son genre ? Ou existe-t-il d’autres dispositifs similaires dans le monde ? 

P. Audinet : D’autres dispositifs existent comme ID4Africa, la GANMI (Global Alliance for National Mobile Identities) ou le Clarciev (Cross-border Legal and Regulatory Cooperation for Identity Verification) qui offrait déjà un cadre de coopération transfrontalière pour l’identification en UE avant le vote du règlement eIDAS. Cependant le PEIN constitue une première tant par son niveau de sécurité que par le nombre de citoyens concernés – du moins dans le monde démocratique, car il existe des initiatives du même type en Russie (ESIA), en Chine (Digital Identity dans Alipay et WeChat) et en Iran (Unified Loggin), plutôt à des fins de surveillance. 

Propos recueillis par Louis Armengaud Wurmser (E10), responsable des contenus ESSEC Alumni 

Vous avez aimé cet article ? Pour que nous puissions continuer à vous proposer des contenus sur les ESSEC et leurs actualités, cotisez à ESSEC Alumni.

Image : © Naura Houguenade