eIDAS 2.0 approche à grands pas. En septembre 2023, les citoyens de l’Union européenne auront le droit de télécharger et d’alimenter un portefeuille d’identité numérique sur un smartphone. Dans moins de 18 mois, les Européens n’auront plus besoin de pièces d’identité physiques pour voyager, travailler et vivre partout ailleurs dans l’Union. Mais sont-ils prêts ?

AUTEUR

FRANK HERSEY

CATEGORIES

POSTÉ LE

6 avril 2022

SOURCE

Biometric Update

👉👉👉 Rejoignez-nous sur Telegram : https://t.me/actuintel

Un consortium est en train de se former pour répondre à des appels d’offres concernant des projets pilotes de grande envergure. Thales a publié un livre blanc pour préparer les gouvernements, les citoyens et les entreprises au changement et expliquer comment ses produits prêts à l’emploi peuvent les aider.

Les capacités de paiement des portefeuilles numériques sont déjà démontrées et le directeur technique de Digidentity parle de ses prédictions pour les portefeuilles d’identification numérique de l’UE.

Le consortium de l’UE pour les portefeuilles d’identité numérique espère un financement pilote de 37 millions d’euros

Un groupe dirigé par une sélection d’États membres de l’UE est en train de former l’EU Digital Identity Wallet Consortium (ou EUDI Wallet Consortium) afin de créer de multiples cas d’utilisation dans le but de se qualifier pour obtenir jusqu’à 37 millions d’euros (41,1 millions de dollars) de projets pilotes multinationaux à grande échelle pour eIDAS 2.0.

Selon une publication sur LinkedIn d’Andrew Tobin d’Avast, qui a travaillé à la mise en place du groupe, le Consortium est dirigé par la Suède, l’Espagne et la Finlande. Le Consortium accepte les demandes d’adhésion des parties intéressées, qu’elles soient publiques ou privées.

« En travaillant sur de multiples cas d’utilisation qui se recoupent, le consortium démontrera comment eIDAS 2.0 servira de base à la résolution de nombreux problèmes de confidentialité, de sécurité et d’expérience utilisateur rencontrés par les citoyens dans leur vie numérique », peut-on lire sur le site web.

Le financement du programme Digital Europe (DIGITAL) est assuré par un taux de contribution de 50 %, ce qui signifie que les membres du consortium doivent également avancer 50 % des coûts de leur projet.

« Le consortium est une réponse des parties prenantes des secteurs privé et public à l’appel à tirer parti de solutions innovantes dans le but d’échanger des attestations numériques d’attributs et de références au moyen d’un portefeuille numérique qui donne à l’utilisateur le plein contrôle de son identité et de ses données en ligne. »

Le consortium doit soumettre des propositions à l’UE avant le 17 mai 2022. L’approche globale du Consortium sera divisée en « paquets de travail verticaux sur les cas d’utilisation », notamment l’éducation, les permis de conduire mobiles (mDL), les titres de voyage numériques (DTC), les paiements et les identités pour les organisations.

Les « modules de travail horizontaux » porteront sur l’émission de portefeuilles, la gouvernance de l’écosystème, l’évaluation, l’interopérabilité et le cycle de vie des justificatifs.

Avast s’est positionné pour jouer un rôle majeur dans l’écosystème de l’identité numérique avec ses récentes acquisitions d’Evernym et de SecureKey.

Thales explique et se positionne dans le cadre de l’opportunité 2.0

Le géant français de l’identité numérique Thales se positionne comme un leader d’opinion pour eIDAS avec un livre blanc pour expliquer les changements que l’eIDAS 2.0 apportera à la vie des citoyens, des gouvernements et des entreprises.

Le livre blanc « Welcoming the Wallet » explique ce qui change et quand, avec un calendrier pour l’ensemble du projet européen. En effet, l’échelonnement des conditions d’acceptation signifie que les grandes organisations doivent être prêtes à la date de lancement, tandis que les plus petites auront plus de temps.

Soixante pour cent de la population de l’UE a accès à une carte d’identité numérique, mais « aujourd’hui, seuls 14 % des principaux services publics de tous les États membres de l’UE autorisent l’authentification transfrontalière au moyen de la carte d’identité électronique », indique le livre blanc. Cela signifie qu’une énorme quantité de travail est nécessaire au cours des 17 prochains mois pour que les gouvernements soient prêts à émettre des cartes d’identité électroniques, que les citoyens sachent comment s’enregistrer et que les entreprises soient en mesure d’accepter les cartes d’identité électroniques de l’ensemble de l’Union.

Se félicitant de l’introduction par le Wallet des questions de compatibilité juridique à côté des questions techniques : « Alors que cela pourrait être un inconvénient n’importe où dans le monde, dans l’UE, c’est essentiel pour atteindre l’objectif de donner des droits égaux aux citoyens dans le marché unique. L’Union européenne a pour mission de rendre les activités transfrontalières plus fluides, plus sûres et plus efficaces, ce qui rend la recherche de solutions encore plus urgente. »

D’ici à septembre 2022, la Commission européenne devrait publier un cadre européen d’identité numérique sous forme de boîte à outils. Les États de l’UE auront alors 12 mois pour préparer leurs versions de portefeuilles construites selon des normes communes.

« Le portefeuille n’équivaudra probablement pas à une version numérique d’une carte physique, il ne remplacera donc pas nécessairement immédiatement les documents d’identité dans l’usage quotidien », note Thales. « Toutefois, pour les transactions en ligne, y compris les demandes de services publics, le portefeuille devrait fournir une identité transfrontalière acceptable. »

Les entreprises privées qui espèrent émettre des portefeuilles numériques devront respecter les mêmes normes strictes en matière de protection de la vie privée et ne pourront pas facturer les utilisateurs finaux.

Focus sur les paiements et nos différentes identités : le réseau eWallet

Un groupe d’experts européens en matière d’identité et de paiement, appelé eWallet Network, a construit un prototype de portefeuille EUDI pour démontrer les capacités de paiement et même l’intégration de la monnaie numérique de la banque centrale, comme l’a démontré Michael Adams du développeur d’applications mobiles Quali-Sign lors d’une présentation au dernier événement OIX à Londres.

M. Adams a également expliqué un domaine peu exploré, à savoir que les individus ont plusieurs identités – ou rôles dans la vie – telles que l’identité personnelle et l’identité professionnelle, et qu’ils doivent gérer les questions d’identité des membres de leur famille dont ils ont la charge. Dans le portefeuille d’identité numérique, ils pourront passer d’un profil à l’autre.

M. Adams a évoqué les rôles des fournisseurs de services d’identité, qui émettent des profils d’identité, et des fournisseurs de services d’attributs, qui rendront les portefeuilles de plus en plus utiles en apportant des services tels que des clés de voiture électroniques ou des cartes d’accès à des chambres d’hôtel. Le Relying Party est le consommateur des attributs.

Il a ajouté que les FAI et les ASP ne seront pas en mesure de voir à quels autres services un utilisateur a accédé et, comme tous les attributs sont conservés sur l’appareil, il n’est pas nécessaire de désigner un contrôleur de données GDPR. Le portefeuille agit directement avec la partie utilisatrice.

M. Adams pense que la diligence raisonnable du client (CDD – Customer Due Diligence) par les institutions financières sera l’un des principaux moteurs de la demande de portefeuilles EUDI.

Des démonstrations impliquant des codes QR ont montré comment un utilisateur pouvait ouvrir un compte bancaire dans un autre État membre de l’UE. La banque énumère tous les attributs CDD dont elle a besoin, puis l’utilisateur peut donner son accord pour qu’ils soient partagés dans le cadre du processus, puis pour tout attribut supplémentaire.

Le portefeuille communique avec la banque et télécharge une demande d’eID signée par la banque. Le mur vérifie la signature pour authentifier la banque en tant qu’institution et présente ensuite la demande au titulaire du portefeuille.

Dans l’exemple, l’utilisateur accepte de fournir les attributs avec un marqueur biométrique, en l’occurrence une empreinte digitale.

Adams a également fait une démonstration de paiements hors ligne, une exigence pour eIDAS 2.0. Il peut s’agir d’un portefeuille, d’un terminal ou des deux qui sont hors ligne. Les appareils doivent être capables d’utiliser d’autres moyens tels que Bluetooth et NFC pour communiquer et s’authentifier.

La seule différence est que les paiements hors ligne ne contiennent pas l’état de révocation en temps réel de chaque certificat dans la transaction, ce que Adams qualifie de compromis.

La démonstration comprenait un distributeur automatique de boissons alcoolisées qui, en mode hors ligne, peut toujours authentifier l’âge du titulaire du portefeuille, sans que celui-ci ait besoin de fournir d’autres informations.

M. Adams estime que la prochaine étape sera l’ajout de monnaies numériques de banques centrales (CBDC) en tant qu’amélioration des portefeuilles numériques. Ces transactions nécessiteront l’échange d’une identité pour satisfaire aux exigences de la lutte contre le blanchiment d’argent, mais la technologie permettra le transfert instantané d' »argent numérique » sans devoir passer par des mécanismes de compensation.

Il estime que si l’UE peut avoir une norme d’interopérabilité, le Royaume-Uni pourrait adopter plusieurs normes, comme celle des États-Unis.

Digidentity sur les prochaines étapes d’eIDAS 2.0

« Il y aura une interopérabilité entre l’Europe et les États-Unis, le Canada et l’Australie, bien sûr. Je pense donc que d’ici deux ans, nous ferons un grand bond en avant. Nous attendions déjà ces dix dernières années. C’est maintenant que ça va vraiment se passer. C’est mon sentiment « , a déclaré Marcel Wendt, directeur technique et fondateur de Digidentity, en évoquant ses prévisions pour eIDAS 2.0 dans le podcast State of Identity de Liminal avec l’animateur Cameron D’Ambrosi, directeur général de Liminal.

Digidentity, dont le siège est aux Pays-Bas, compte aujourd’hui 100 employés et a récemment conclu un partenariat avec une banque située à l’étranger qui utilise la technologie de signature qualifiée de la société dans son application, un domaine dans lequel le directeur technique s’attend à une croissance rapide, en partie grâce à COVID-19. La simplification de la gestion des signatures électroniques qualifiées pour les tiers va accélérer l’ensemble du secteur de l’identité numérique.

Si eIDAS 1.0 a pu faciliter la vie des personnes vivant dans les zones frontalières de l’UE, l’infrastructure autour d’eIDAS 2.0 sera complètement différente, en partie grâce à l’intégration plus facile du secteur privé, selon M. Wendt.

« Aujourd’hui, les cadres britannique et néerlandais peuvent être utilisés dans le secteur privé, mais avec beaucoup d’obstacles, et surtout avec la version 2.0 d’eIDAS, il est beaucoup plus facile de l’utiliser dans l’espace du secteur privé et alors des entreprises comme Amazon, Bol.com – l’Amazon néerlandais – et ce genre d’entreprises seront plus intéressées à utiliser ces identités également, et cela complètera notre dossier commercial dans cet écosystème. »

Les entreprises d’aujourd’hui qui se spécialisent dans la numérisation des justificatifs d’identité pourraient ne pas avoir beaucoup d’avenir une fois que tout le monde aura des justificatifs d’identité numériques persistants dans un portefeuille numérique de confiance, soutient Wendt : « Le modèle doit être changé rapidement. »

Les travaux de Digidentity aux Pays-Bas et au Royaume-Uni, où l’entreprise accueille 8 000 utilisateurs par jour, révèlent des problèmes de personnes ayant des fichiers peu volumineux, ce qui signifie que l’inclusion va devenir une question essentielle dans le passage à l’identité numérique.

M. Wendt prévoit que les secteurs se regrouperont en tant que parties prenantes combinées pour des domaines tels que le logement, les pensions et les assurances.

L’identité numérique doit être un marché, avec différents fournisseurs utilisant différentes technologies, explique M. Wendt : « J’aime la blockchain, mais je ne suis pas un vrai fan des identités uniquement basées sur la blockchain, car nous avons également constaté de nombreuses fraudes. Chaque année, quelques 10 000 utilisateurs tentent de commettre des fraudes, et nous pouvons le constater parce que la technologie est centralisée.

« S’il est décentralisé, vous ne pouvez pas suivre cette fraude. Donc vous devez avoir des mesures en place où vous pouvez détecter cela. Il s’agira de mélanger la technologie entre la blockchain et la centralisation pour que ce soit vraiment sûr pour tout le monde. Ce sera donc un paysage mixte et aussi une technologie mixte là-bas. »

Wendt voit des opportunités pour les fournisseurs de services de niche. Les choses devraient évoluer rapidement, en partie grâce aux technologies qui seront utilisées pendant le COVID. Digidentity étudie également les liens entre GAIN et le porte-monnaie eIDAS.