Etude authentification forte en ligne

Transcription

LES LEVIERS D’USAGE DANS LA SOCIETE DE
L’ECONOMIE NUMERIQUE : IDENTIFICATION,
AUTHENTIFICATION, SIGNATURE
Les leviers d’usage dans la société de l’économie numérique
2/ 133
_________________________________________________________________________________________________________________
Charles de Couëssin, ID Partners
Avec la participation de
MMe. Eric Caprioli et Pascal Agosti
Cabinet Caprioli et Associés
pour le Chapître 5, Le cadre juridique
Didier Geiben, GM Consultants
Ludovic Francesconi, Gie Cartes Bancaires
pour le Chapître 6, Use case 1 : domaine bancaire
3/ 133
_________________________________________________________________________________________________________________
Cette étude a été réalisée avec le soutien de : Etude Caprioli, Imprimerie Nationale, SFR, ADEC, Orange,
GIXEL, Caisse des Dépôts et Consignation, GIE Cartes Bancaires, GM Consultants, Bouygues Télécom,
EADS Cassidian, Altenor, Gie SESAM Vitale, Keynectis
4/ 133
_________________________________________________________________________________________________________________
Nous tenons à remercier les personnes suivantes, dont les conseils avisés ont permis l‟aboutissement du
projet :
Me Pascal Agosti, Xavier Aubry, Jean-Paul Alaterre, Stéphane Baudais, Alain Bobant, Gérard Bonningue,
Vincent Barnaud, Me Eric Caprioli, Didier Chaudun, Pascal Colin, Jean Cueugniet, Jean Pierre Doussot,
Maud Franca, Ludovic Francesconi, Didier Geiben, Gwendal Le Grand, Fabrice Mattatia, Marc Meyer,
Patrick Montliaud, Rafik Nabli, Marie Nuadi, Thibaut Ravisé, Francis Siegwald, Frédérique Suming,
Thibaut de Valroger, Jacques de Varax, Elie Silberztein.
Cette étude a nécessité de nombreux entretiens ; que soient ici remerciés les personnes qui se sont prêtées
au jeu des questions réponses en apportant l‟expertise de leur métier : Martine Schiavo (Française Des
Jeux), Henri de Maublanc (Aquarelle), Marie Giroud (ACSEL), Hervé Le Bars (DGME), Bruno Benteo
(Sagem Orga), Daniel Savoyen (Crédit Agricole), Xavier Neboit (FIANET), Agnes Chirouze (FIANET),
Frédéric le Guen (FIANET), Alain Dias (FIANET), Patrick Labarre (Mr Gooddeal), Olivier Desbiey (La
Poste), Didier Lefevre (Conseil Supérieur du Notariat), Me Jean-François Doucede (Greffe du Tribunal de
Commerce de Bobigny), René Pinon (CA Consumer Finance) , Ludovic Amoedo (CA Consumer
Finance), Laurent Charpentier (Cetelem), Edouard François de Lancquesaing (Paris Europlace), Frédéric
Epaulard (ARJEL), Saadoum Bardi (ARJEL), Guillaume Despagne (Ariadnext), François Rosier
(Fédération Française des Assurances), Elise Debies (Ministère du Travail, de l‟Emploi et de la Santé),
Nathalie Annaloro (Resocom), Jean-Sylvain Ripoll (Resocom), Bernard Gouraud (BPCE), Frank Leyman
(FEDICT), Beyl Bert (FEDICT), Claudine Danguiral (Ministère du Budget, des Comptes Publics et de la
Réforme de l‟État, Délégation Nationale à la lutte contre la Fraude), Rémi Favier (Ministère du Budget,
des Comptes Publics et de la Réforme de l‟État, Délégation Nationale à la lutte contre la Fraude), Philippe
Louviau (Ministère du Budget, des Comptes Publics et de la Réforme de l‟État, Délégation Nationale à la
lutte contre la Fraude), Eric Massoni (Ministère du Budget, des Comptes Publics et de la Réforme de
l‟État, Délégation Nationale à la lutte contre la Fraude), Jean Gina (Ministère du Budget, des Comptes
Publics et de la Réforme de l‟État, Délégation Nationale à la lutte contre la Fraude), Alexandre Stervinou
(Banque de France), Sebastien Herniote (ANSSI), Jean–François Parguet (ASIP Santé), Thierry Dinard
(Altenor), Antonio Queiroz (BNP Paribas), Françoise Lamotte (AXA), Guillaume Monnet (GESTE),
Dominique du Chatellier (FEVAD), Xavier Fricout (Oberthur), Baudoin de Sonis (eForum), Slawomir
Gorniak (ENISA), Gerald Santucci (Commission Européenne), Marie Figarella (Gemalto), Jean-Pierre
Lafon (Thales).
5/ 133
_________________________________________________________________________________________________________________
SOMMAIRE
1
CONTEXTE ET PÉRIMÈTRE DE L’ÉTUDE .............................................................................. 10
1.1
1.2
1.3
1.4
1.4.1
1.4.2
1.5
1.6
1.7
ENJEUX DE L’IDENTITÉ EN LIGNE............................................................................................... 10
MÉTHODOLOGIE ET PÉRIMÈTRE DE L’ÉTUDE ................................................................................ 11
CHIFFRES DE L’ÉCONOMIE NUMÉRIQUE ..................................................................................... 11
LES INITIATIVES DE L’ÉTAT VIS-À-VIS DU NUMÉRIQUE .................................................................... 13
LE RAPPORT FRANCE NUMÉRIQUE ................................................................................................ 13
IDENTITÉ SUR INTERNET............................................................................................................... 13
FRAUDE À L’IDENTITÉ ............................................................................................................ 14
IDENTITÉ VS ATTRIBUTS ......................................................................................................... 15
UN CONTEXTE D’ÉQUIPEMENTS FAVORABLE ............................................................................... 15
2
TYPOLOGIE DES ACTEURS ................................................................................................ 17
2.1
2.1.1
2.1.2
2.2
2.2.1
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.4
2.4.1
2.4.2
2.4.3
2.4.4
2.5
2.5.1
2.5.2
2.5.3
2.5.4
2.5.5
2.6
2.6.1
2.7
2.7.1
2.7.2
2.8
2.8.1
2.8.2
2.9
2.10
2.11
LA SPHÈRE PUBLIQUE ............................................................................................................ 17
FICHE D’ÉTAT CIVIL, EXTRAIT D’ACTE DE NAISSANCE ET EXTRAIT DE CASIER JUDICIAIRE ............................ 18
FORMULAIRES CERFA ................................................................................................................ 19
LE DOMAINE SANTÉ .............................................................................................................. 20
LA CARTE VITALE ....................................................................................................................... 20
LA SPHÈRE BANCAIRE ............................................................................................................ 24
BANQUES DE RÉSEAUX ................................................................................................................ 24
BANQUE À DISTANCE / BANQUE EN LIGNE ...................................................................................... 25
LE MARCHÉ DES TITRES SCRIPTURAUX ............................................................................................ 26
SEPA DIRECT DEBIT ................................................................................................................... 27
LE CRÉDIT À LA CONSOMMATION ............................................................................................. 29
B2C......................................................................................................................................... 29
B2B2C .................................................................................................................................... 29
CONTEXTE JURIDIQUE ................................................................................................................. 30
ASSURANCE CRÉDIT .................................................................................................................... 31
LES ACHATS EN LIGNE............................................................................................................ 31
FRAUDE À L’IDENTITÉ POUR LES ACHATS EN LIGNE ............................................................................ 32
FRAUDE AUX PAIEMENTS SUR LE WEB ............................................................................................ 34
LE MO/TO (MAIL ORDER / TELEPHONE ORDER) ............................................................................ 35
S’ASSURER DU CONSENTEMENT DE L’INTERNAUTE ........................................................................... 35
LA DIRECTIVE EUROPÉENNE SUR LES SERVICES DE PAIEMENT ............................................................. 36
LES JEUX EN LIGNE................................................................................................................ 38
CONTEXTE RÉGLEMENTAIRE ......................................................................................................... 38
LES LOISIRS ........................................................................................................................ 40
VIDÉO ON DEMAND (VOD)......................................................................................................... 40
LA LOCATION DE VOITURE ............................................................................................................ 40
LES GREFFES DES TRIBUNAUX .................................................................................................. 40
DÉMATÉRIALISATION DES PROCÉDURES ADMINISTRATIVES................................................................. 40
PROCÉDURES MISES À DISPOSITION DES ENTREPRISES ....................................................................... 40
LES NOTAIRES ..................................................................................................................... 41
LES HUISSIERS DE JUSTICE....................................................................................................... 42
LA LETTRE RECOMMANDÉE ÉLECTRONIQUE ................................................................................. 42
6/ 133
_________________________________________________________________________________________________________________
2.12 LES ASSURANCES ................................................................................................................. 44
2.12.1 E-ASSURANCE ............................................................................................................................ 44
2.12.2 NÉCESSITÉ D’AUTHENTIFICATION FORTE ......................................................................................... 45
2.12.3 LOI CHATEL ............................................................................................................................... 45
2.13 LE VOTE ÉLECTRONIQUE......................................................................................................... 46
2.13.1 LE CADRE RÈGLEMENTAIRE........................................................................................................... 46
2.13.2 LE VOTE ÉLECTRONIQUE AU SEIN DES ORDRES PROFESSIONNELS ......................................................... 47
2.13.3 LE VOTE ÉLECTRONIQUE DANS LES SOCIÉTÉS COTÉES ......................................................................... 47
2.13.4 LES SOLUTIONS PROPOSÉES .......................................................................................................... 47
3
FOURNITURE D’IDENTITÉ ET INTERMÉDIATION ................................................................ 49
3.1
CERCLES DE CONFIANCE ......................................................................................................... 49
3.2
LES FOURNISSEURS D’IDENTITÉ ................................................................................................ 52
3.2.1
L’IDENTITÉ RÉGALIENNE .............................................................................................................. 52
3.2.2
L’INITIATIVE IDÉNUM ................................................................................................................ 53
3.2.3
IDÉNUM VS CNIE ..................................................................................................................... 54
3.2.4
LES OPÉRATEURS POTENTIELS IDÉNUM ......................................................................................... 55
3.3
FOURNITURE D’IDENTITÉ ET INTEROPÉRABILITÉ............................................................................ 58
4
ATTENTE DES ACTEURS VIS-À-VIS DE L’IDENTITÉ ÉLECTRONIQUE ...................................... 61
4.1
4.1.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.4
4.4.1
4.4.2
4.4.3
4.4.4
4.4.5
4.5
TYPOLOGIE DES ACCÈS EN LIGNE .............................................................................................. 61
IDENTIFICATION / AUTHENTIFICATION ............................................................................................ 61
LES ENJEUX DE L’IDENTITÉ ÉLECTRONIQUE .................................................................................. 62
GAINS DE PRODUCTIVITÉ ............................................................................................................. 63
NOUVEAUX MARCHÉS ................................................................................................................. 63
ROAMING D’IDENTITÉ ET CERCLE DE CONFIANCE .............................................................................. 63
ACCEPTATION D’UNE IDENTITÉ DANS UN CERCLE DE CONFIANCE ......................................................... 64
RÉDUCTION DE LA FRAUDE ..................................................................................................... 66
LA VISION DU CONSOMMATEUR .............................................................................................. 68
CONFIANCE VS AUTOMATISATION ................................................................................................. 68
CONFIDENTIALITÉ VS SÉCURITÉ ..................................................................................................... 69
LES COFFRES-FORTS ÉLECTRONIQUES ............................................................................................. 70
LES CERTIFICATS ÉLECTRONIQUES .................................................................................................. 70
LES SUPPORTS D’AUTHENTIFICATION ............................................................................................. 73
ANONYMISATION ET TRAÇABILITÉ ............................................................................................ 73
5
LE CADRE JURIDIQUE ....................................................................................................... 75
5.1
5.2
5.3
5.4
5.5
5.6
QUELQUES JURISPRUDENCES ÉTRANGÈRES (ÉTATS-UNIS D’AMÉRIQUE) CONCERNANT L’AUTHENTIFICATION 75
UNE DÉFINITION EUROPÉENNE DE L’AUTHENTIFICATION ................................................................ 76
LES RENVOIS LÉGISLATIFS ET RÉGLEMENTAIRES À LA NOTION D’IDENTITÉ NUMÉRIQUE ........................... 77
LES INITIATIVES GOUVERNEMENTALES (LABEL IDÉNUM, RGS) ........................................................ 80
SIGNATURE VERSUS AUTHENTIFICATION .................................................................................... 82
EVOLUTION ATTENDUE DU CONTEXTE RÈGLEMENTAIRE (FRANCE, EUROPE) : LA CARTE NATIONALE D’IDENTITÉ
ÉLECTRONIQUE (CNIE)..................................................................................................................... 82
5.7
SÉCURITÉ VS PROTECTION DES LIBERTÉS INDIVIDUELLES (DIRECTIVES EUROPÉENNES ET DROIT FRANÇAIS) ... 83
5.8
RESPONSABILITÉ DES ACTEURS ................................................................................................ 86
7/ 133
_________________________________________________________________________________________________________________
6
USE CASE 1 : DOMAINE BANCAIRE ................................................................................... 87
6.1
6.1.1
6.1.2
6.1.3
6.2
6.3
6.4
6.5
6.5.1
6.5.2
LES SOLUTIONS D’AUTHENTIFICATION MISES EN ŒUVRE PAR LES BANQUES POUR LEURS USAGES .............. 87
PANORAMA DES SOLUTIONS MISES EN ŒUVRE ................................................................................ 87
LE PROTOCOLE 3D SECURE .......................................................................................................... 87
PROBLÉMATIQUE DE LA SOLUTION D’AUTHENTIFICATION .................................................................. 88
SITUATION EN EUROPE.......................................................................................................... 89
3DS, PREMIERS ÉLÉMENTS DE DIAGNOSTIC ................................................................................ 90
UNE INTEROPÉRABILITÉ LIMITÉE DES MÉTHODES D’AUTHENTIFICATION .............................................. 90
LES LEVIERS DU DÉVELOPPEMENT DE L’AUTHENTIFICATION FORTE DANS LES SERVICES BANCAIRES ............ 90
LA GESTION DE LA FRAUDE SUR INTERNET ....................................................................................... 90
L’OPPORTUNITÉ DE MÉTHODES D’AUTHENTIFICATION INTEROPÉRABLES ET LARGEMENT DIFFUSÉES .......... 91
7
USE CASE 2 : RÔLE DES OPÉRATEURS MOBILES ET DE LA CARTE SIM DANS L’AMÉLIORATION
DE LA CONFIANCE DANS LA SPHÈRE NUMÉRIQUE........................................................................ 93
7.1
7.2
7.2.1
7.2.2
7.3
7.4
7.4.1
LE MOBILE COMME OUTIL UNIVERSEL D'AMÉLIORATION DE LA CONFIANCE EN LIGNE ............................. 93
LE MOBILE COMME VECTEUR DE CONFIANCE EN BI-CANAL .............................................................. 93
AUTHENTIFICATION ET MOBILITÉ................................................................................................... 94
IDENTITÉ SUR CARTE SIM ............................................................................................................ 94
TYPOLOGIE DES SERVICES EN LIGNE VISÉS ................................................................................... 94
MODÈLE(S) FINANCIER(S) ...................................................................................................... 95
ENRÔLEMENT & CONTRÔLE D’IDENTITÉ......................................................................................... 96
8
MODELES ECONOMIQUES ET CHAINE DE VALEURS ........................................................... 97
8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.1.5
8.2
8.3
8.3.1
8.3.2
8.3.3
8.3.4
8.4
8.4.1
8.4.2
8.5
8.6
8.7
8.8
8.8.1
8.8.2
8.8.3
8.9
8.10
8.11
MARCHÉ ADRESSABLE DE L’AUTHENTIFICATION EN LIGNE ............................................................... 97
ADHÉSION OU ENRÔLEMENT ........................................................................................................ 97
AUTHENTIFICATION, OU ACCÈS SÉCURISÉ ........................................................................................ 97
LE MODÈLE FINANCIER ................................................................................................................ 98
OFFRE DE SUBSTITUTION ET OFFRE DYNAMIQUE .............................................................................. 99
LES TYPES DE CERTIFICATS : .......................................................................................................... 99
RÉPARTITION PAR TYPES DE CERTIFICATS.................................................................................... 99
SECTEUR BANCAIRE .............................................................................................................102
MARCHÉ DE L’AUTHENTIFICATION FORTE ET SIGNATURE POUR LA BANQUE DE RÉSEAU ......................... 102
MARCHÉ DE L’AUTHENTIFICATION FORTE ET SIGNATURE POUR LA BANQUE EN LIGNE ........................... 103
LA DÉMATÉRIALISATION DES TITRES SCRIPTURAUX.......................................................................... 103
POTENTIEL DE LA BANQUE POUR LES CERTIFICATS .......................................................................... 104
LES ACHATS EN LIGNE...........................................................................................................105
AUTORISATION DE DÉBIT BANCAIRE ............................................................................................. 105
NON-RÉPUDIATION DES ACHATS ................................................................................................. 105
LE CRÉDIT À LA CONSOMMATION ............................................................................................106
LES JEUX EN LIGNE...............................................................................................................107
LOCATION DE VOITURES .......................................................................................................107
OFFICIERS PUBLICS ET MINISTÉRIELS ........................................................................................107
GREFFIERS DES TRIBUNAUX DE COMMERCE ................................................................................... 108
LES NOTAIRES .......................................................................................................................... 108
LES HUISSIERS .......................................................................................................................... 108
RECOMMANDÉS ET COURRIERS À VALEUR PROBANTE ...................................................................109
LES ASSURANCES ................................................................................................................110
VOTE ÉLECTRONIQUE DES ASSEMBLÉES COTÉES...........................................................................111
8/ 133
_________________________________________________________________________________________________________________
8.12
8.13
8.13.1
8.13.2
8.13.3
8.13.4
8.14
8.15
LE TRAVAIL TEMPORAIRE ......................................................................................................111
LE MODÈLE FINANCIER .........................................................................................................112
RÉPARTITION PAR CATÉGORIE DE CERTIFICATS ............................................................................... 112
ENRÔLEMENT VERSUS AUTHENTIFICATION .................................................................................... 112
LES SECTEURS PORTEURS ........................................................................................................... 113
QUELQUES SCÉNARIOS EXTRÊMES ............................................................................................... 115
LES LEVIERS DE L’AUTHENTIFICATION FORTE...............................................................................117
USAGES PRIVÉS, USAGES PROFESSIONNELS ................................................................................118
9
NORMES ET STANDARDS : ..............................................................................................119
9.1
DIRECTIVE ET NORMES SUR LA SIGNATURE ÉLECTRONIQUE ............................................................119
9.1.1
TRANSPOSITION FRANÇAISE ....................................................................................................... 119
9.1.2
SPÉCIFICATIONS TECHNIQUES ..................................................................................................... 119
9.1.3
EVALUATION ET CERTIFICATION .................................................................................................. 120
9.1.4
PUBLICATIONS DES NORMES....................................................................................................... 120
9.2
PLAN D'ACTION EN FAVEUR DE L'UTILISATION DES SIGNATURES ÉLECTRONIQUES DANS LE MARCHÉ UNIQUE
121
9.3
RÉVISION DE LA NORME .......................................................................................................121
9.3.1
LE CONTEXTE ........................................................................................................................... 121
9.3.2
L'HISTORIQUE DES TRAVAUX DE NORMALISATION .......................................................................... 122
9.3.3
LA DESCRIPTION DU MANDAT ..................................................................................................... 123
9.3.4
MODUS OPERANDI ................................................................................................................... 124
9.4
CEN / TC 224 ...................................................................................................................124
9.5
RÉVISION DE LA DIRECTIVE EUROPÉENNE SUR LE RESPECT DE LA VIE PRIVÉE DANS LES TRANSACTIONS
ÉLECTRONIQUES ............................................................................................................................ 125
9.5.1
PET, PRIVACY ENHANCING TECHNOLOGIES ................................................................................. 126
9.5.2
DÉVELOPPEMENT DE TECHNOLOGIES RENFORÇANT LA PROTECTION DE LA VIE PRIVÉE ........................... 127
9.5.3
ACTION À ENTREPRENDRE CONCERNANT LE RESPECT DE LA VIE PRIVÉE ............................................... 127
9.6
STANDARDS ET ARCHITECTURES INFORMATIQUES .......................................................................128
9.6.1
FÉDÉRATION D’IDENTITÉ ............................................................................................................ 128
9.6.2
LIBERTY ALLIANCE..................................................................................................................... 128
9.6.3
OPENID ................................................................................................................................. 129
9.6.4
SAML 2.0 .............................................................................................................................. 129
9.6.5
MICROSOFT PASSPORT; WINDOWS CARDSPACE ........................................................................... 131
9.6.6
INFOCARD : NOUVEAU SYSTÈME D'IDENTIFICATION UNIFIÉ .............................................................. 131
9.6.7
WS*...................................................................................................................................... 131
9.6.8
SOAP .................................................................................................................................... 132
9/ 133
_________________________________________________________________________________________________________________
SOMMAIRE EXECUTIF
« Pourquoi des mécanismes pour sécuriser les accès en ligne, alors que l’offre est inexistante ! ». Une assertion
suffisamment répandue pour que, la France, précurseur du numérique avec le Minitel, se refuse à réaliser
la stagnation de l‟économie en ligne, faute de mécanismes pour identifier les internautes.
Pourtant, si on passe en revue certains blocages – persistance des chèques et TIP, répudiation des achats,
abstention élevée des votes, risques de blanchiment, fraudes..... – des réponses simples pourraient être
fournies par recours aux certificats électroniques. Pourtant moult tentatives fleurissent pour renforcer le
couple traditionnel « Identifiant / mot de passe » mais sans satisfaire l‟usager, soucieux de simplicité et
méfiant quant les demandes touchent à sa vie privée et que les écrans se multiplient.
Ce rapport vise à quantifier le marché de façon à ce que prestataires d‟identité et opérateurs de services en
ligne puissent positionner leurs offres. On constate des gains de productivité importants dans des secteurs
clés, comme la banque, tout comme l‟émergence d‟acteurs nouveaux pouvant garantir l‟identité des
internautes, notamment les opérateurs téléphoniques.
Sont également rappelées des notions fondamentales telles anonymat et traçabilité ; un impératif de façon
à ce que le respect de la vie privée s‟exerce sereinement, mais sans empêcher la prévention d‟éventuelles
malveillances. L‟enjeu fondamental de l‟économie en ligne, c‟est de garantir la légitimité des transactions,
mais également de traquer les tentatives de fraude. L‟économie du net nécessitant des bases fiables,
équivalentes à celles du monde réel.
Des gains de productivité sont envisagés chez les fournisseurs de services, environ un milliard d‟euros à
cinq ans, sur la base de certificats électroniques, rien que pour les particuliers. Non abordé dans cette
étude, le monde de l‟entreprise, qui permet également d‟anticiper un marché conséquent en
dématérialisant ses rapports avec l‟extérieur - clients, fournisseurs, établissements financiers – également
grâce à des certificats de particuliers ; le personnel pouvant s‟authentifier et signer électroniquement des
documents en ligne, en fonction de son habilitation.
Il s‟agit donc d‟un marché à minima, qui reflète au plus près les usages des consommateurs ; un marché
qui pourrait être fortement dynamisé si des acteurs clés, comme la banque, menaient une approche
volontariste en proposant aux détenteurs de certificats des fonctionnalités nouvelles quant ils accèdent à
leurs comptes.
Finalisée en juin 2011, cette étude vise modestement à produire le cliché d‟un écosystème appelé à des
changements majeurs grâce au fort engagement de l‟Etat et des acteurs du secteur privé vis-à-vis de
problématiques multiples : dossier médical, jeux en ligne, réforme du crédit à la consommation…. Des
domaines très variés, qui nécessitent des contrôles renforcés mais également une automatisation des
procédures où les certificats vont pleinement jouer leur rôle.
10/ 133
_________________________________________________________________________________________________________________
1
CONTEXTE ET PERIMETRE DE L’ETUDE
1.1
Enjeux de l’identité en ligne
Une étude réalisée en 20071 avait permis de recenser les secteurs pouvant bénéficier de procédures
d‟authentification forte et de signature pour des accès en ligne. Ce court rapport visait à démontrer que la
carte nationale d‟identité électronique (CNIe) pouvait être utilisée sur internet et pas seulement pour
contrôler l‟état civil. Une procédure basée sur la partie eService du titre, en complément du mode
« voyage » sans contact, dont l‟usage est proche du passeport2.
Depuis, le paysage de l‟identité s‟est enrichi de nouveaux titres régaliens. Le permis de conduire, sous
l‟impulsion de la troisième Directive Européenne3 et de la Norme ISO 180134, pourra contenir des
éléments d‟authentification forte à l‟égal de la future CNIe. La carte de résident5, prochainement délivrée
aux étrangers établis en Europe, pourra également être utilisée pour des accès sécurisés en ligne.
Parallèlement aux projets de l‟ANTS6, le Secrétariat à l‟Economie Numérique7 – devenu en 2011 Ministère
de l‟Industrie et de l‟Economie numérique sous la responsabilité d‟Eric Besson – a lancé le 2 Février 2010
l‟initiative IDéNUM8 visant à labéliser des fournisseurs d‟identité sur la base d‟un cahier des charges issu
du RGS9. Une démarche qui suscite l‟intérêt des opérateurs télécoms, banques et acteurs du privé
susceptibles de délivrer des certificats électroniques qualifiés, c'est-à-dire dans le cadre d‟un face à face,
pour s‟assurer de l‟identité du demandeur.
Comme le paysage identitaire est particulièrement riche, voire multipolaire, le propos de cette étude est de
réactualiser le défrichage de 2007 en fonction des initiatives nouvelles. Les interrogations sont multiples :
Modalités d‟enrôlement pour un fournisseur d‟identité ? Ses liens avec l‟identité régalienne ? Différents
niveaux d‟authentification forte peuvent–ils être envisagés ? Les opérateurs de services sont-ils prêts à
accepter, indifféremment, multiples fournisseurs d‟identité ? Et, si c‟est le cas, comment assurer
l‟interopérabilité des procédures d‟authentification ? Quels sont les services requérant des procédures
d‟authentification, voire de signature ? L‟authentification repose-t-elle sur des attributs « génériques » ou
Etude d'impact : la signature électronique et les infrastructures à clé publique dans le contexte de l'identité numérique : Quels usages pour les titres
sécurisés émis par l'état dans le monde de l'économie numérique ? AFNOR Standarmedia Paris 2007.
2 L’Agence Nationale des Titres Sécurisés (ANTS) sous la direction du Préfet Raphaël Bartolt, en synergie avec le Bundesamt für Sicherheit in der
Informationstechnik (BSI), a établi les fondements de la Carte d’Identité Européenne (WG 15 Working Group European Citizen Card (TS 15480)
basée sur le protocole IAS qui permet à la fois des fonctions « voyage » et sécurisation de l’authentification en ligne pour des eServices. La Partie 4 de
cette spécification technique (Part 4: Recommendations for European Citizen Card issuance, operation and use) détaille un certain nombre de profils,
d’usage – dont la National ID Card, le e-Government Card et le City Card – qui détaile les modalités d’authentification en ligne.
3 Directive 2006/126/CE du Parlement européen et du Conseil du 20 décembre 2006 relative au permis de conduire (refonte)
4 ISO/IEC 18013-1:2005 Information technology -- Personal identification -- ISO-compliant driving licence -- Part 1: Physical characteristics
and basic data set
5 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:157:0001:0007:FR:PDF
6 Agence Nationale des Titres Sécurisés, sous la responsabilité du Préfet Raphaël Bartolt
7 Madame Nathalie Kosciusko-Morizet
8http://www.prospective-numerique.gouv.fr/numerique/usages-et-services/protection-de-l-internaute/idenum.html
9 http://www.references.modernisation.gouv.fr/sites/default/files/DGME_Fiche_RGS_BAT.pdf
1
11/ 133
_________________________________________________________________________________________________________________
« contextuels » ? Et, dans ce cas, comment récupérer des données chez un détenteur ? Mais surtout, quel
est le modèle financier de l‟écosystème numérique ?
1.2
Méthodologie et périmètre de l’étude
L‟approche terrain a été privilégiée, notamment par une enquête auprès de prestataires souhaitant sécuriser
les accès sur la toile comme tracer les échanges, qu‟il s‟agisse d‟acteurs privés ou de services publics.
L‟étude s‟articule en trois parties : fournisseurs d‟identité – notamment l‟État et prétendants au label
IDéNUM-, services en ligne nécessitant des mécanismes d‟authentification forte et de signature –
administrations, banque, loisirs…. – et, enfin, recommandations de mise en œuvre sur la base
d‟hypothèses de revenus.
1.3
Chiffres de l’économie numérique
Bien que les services en ligne décollent, l‟internaute a encore du mal à concrétiser une transaction. La
préoccupation des fournisseurs, c‟est donc de proposer des solutions simples, ergonomiques, mais qui
satisfassent les juristes, dans la mesure où la fraude cherchera à tirer profit des failles du numérique.
Aujourd‟hui, près de la moitié des transactions en ligne ne sont pas conclues10, comme le remarquent
l‟ACSEL11 et les fournisseurs de crédits. La vente sur internet déplore l‟absence d‟outils de virement
bancaire, comme une alternative aux cartes de crédit, 50% des promesses de paiements n‟aboutissant
pas12. Donc, des opportunités pour des mécanismes qui combinent facilité d‟usage et conformité au cadre
règlementaire.
Pourtant cette étude ne traite pas de la fraude, bien que les menaces sur le web justifient la prudence des
DSI13 ; il s‟agit essentiellement d‟analyser et quantifier les mécanismes visant à conclure une transaction en
ligne de façon à faciliter la mise en œuvre de nouveaux outils. L‟étude 2009 du CREDOC sur notre
perception des technologies de l‟information14 pousse à l‟optimisme, vu les populations actives sur le
web15 et le potentiel de croissance16.
Près d’un acheteur sur deux en moyenne abandonne la transaction d’achat entre la validation de la commande et le paiement. Bilan annuel 2009 ecommerce en France (ACSEL)
11 http://www.associationeconomienumerique.fr/wp-content/uploads/2010/03/p4.pdf
12 Entretien Mr Labarre. Ventadis /Mr Gooddeal 5 Novembre 2010
13 « Le rapport, ISTR (Internet Security Threat Report) publié en septembre dernier par Symantec, révèle que la cybercriminalité devient une activité de
plus en plus professionnelle et commerciale, avec des groupes criminels organisés à travers le monde qui s’attachent à déployer des attaques en ligne ciblées,
élaborées et rentables. Le rapport dévoile les outils vendus en ligne (par exemple des kits de phishing vendus de 35 à 75 euros), conçus par des
cybercriminels, pour aider d’autres pirates à prendre part à des activités en ligne illégales. Une enquête de Symantec expose que les trois kits de phishing
les plus usités sont responsables de 42 % de toutes les attaques de phishing, preuve qu’un certain nombre de sites web de phishing sont contrôlés par une
seule source. Enfin notons un nombre croissant de serveurs commerciaux clandestins sur lesquels on vend et achète, comme sur un site d’enchères, des
identités de victimes. Parmi les données proposées, ce sont les cartes de crédit qui remportent le plus vif succès, représentant 22 % de tous les articles mis en
vente sur ces serveurs clandestins.et vendues par lots de 10 ou 20 pour la modique somme de 30 centimes d’euro environ. On trouve ensuite les comptes
bancaires (21 % des articles proposés) ; les mots de passe de courriers (8 %) ; les mailers (8 %) ; les adresses de courriers électroniques (6 %) ; les proxies
(6 %) ; les identités complètes (6 %) ; les scams (6 %) ; les numéros de sécurité sociale (3 %). (ZDNet, 21 septembre 2007)
14 La diffusion des technologies de l'information et de la communication dans la société française (2009). Centre de Recherche pour l ’Etude et
l’Observation des Conditions de Vie. Paris 2009
15 21 millions de Français ont effectué l’an dernier des démarches administratives ou fiscales sur Internet. Quatre Français sur dix ont effectué, ces douze
derniers mois, des démarches administratives ou fiscales sur Internet (+ 3 points par rapport à l’an dernier). Ce nombre progresse uniquement grâce à la
montée du nombre d’internautes car, au sein de ces derniers, la pratique stagne depuis deux ans (56%, contre 58% l’an dernier et 57% en 2007).
Au final, pas moins de 21 millions de personnes ont eu recours au Net pour mener à bien des démarches administratives ou fiscales l’an dernier.
16 En 2008, nous avions noté une pause dans la progression du nombre de personnes déclarant effectuer des démarches administratives et fiscales sur
Internet. En juin 2009, on enregistre une nouvelle phase de croissance : 40% de la population ont effectué ce type de démarches, c’est-à dire 3 points de
plus qu’en 2008. Cette évolution est corrélée avec celle des télédéclarations de revenus, qui ont stagné en 2008, puis progressé en 2009. Il est intéressant
de noter qu’indépendamment des déclarations de revenus, la fréquentation des sites gouvernementaux ne cesse de croître chaque année 9 ; tout se passe
comme si les enquêtés se souvenaient mieux de leur déclaration fiscale que des autres démarches administratives qu’ils auraient pu effectuer.
La courbe de progression du commerce en ligne est sans doute celle qui symbolise le mieux l’intégration progressive des TIC dans les modes de vie de nos
concitoyens. Songeons qu’en 2001, seuls 7% des Français effectuaient des achats par Internet ; huit ans plus tard, on en dénombre 41%, c’est-à-dire plus
de 21 millions de personnes en France. La vitesse de ces changements donne une idée des bouleversements qu’Internet a initiés dans la vie de chacun, et des
perspectives pour les années à venir
10
12/ 133
_________________________________________________________________________________________________________________
Près
de
50%
des
internautes réalisent des
démarches administratives
et fiscales en ligne.
Les sites de l‟Etat sont
aussi consultés que la vente
sur internet ; ils se situent,
bien
avant
les
téléchargements ou la
téléphonie sur le web
(Etude CREDOC 2009)
Le diagramme ci-dessous permet de comprendre le dynamisme de l‟écosystème numérique ; les CSP+,
vivant en agglomérations et gagnant par mois plus de 3500 euros, devenant les vecteurs de croissance de
l‟internet. Très avertis vis-à-vis de services en ligne, ils privilégient les plus fiables, permettant de finaliser
rapidement une transaction. Un constat qui milite en faveur de mécanismes simples mais garantissant
l‟intégrité de la procédure.
L‟étude
CREDOC
évalue l‟attrait pour les
services en ligne en
fonction
du
type
d‟internaute, mettant en
avant le profil du CSP+
vivant en agglomération.
Par contre la sécurité du
paiement
en
ligne
constitue une résistance
majeure et un frein à
l‟usage de l‟internet.
Une réserve qui tend à diminuer avec l‟âge et le niveau d‟éducation ; les cadres supérieurs étant
suffisamment avertis des garanties et modalités de rétractation17.
17 C’est toujours la sécurité des paiements qui pose le plus de problèmes, même si la citation de cet item ne cesse de diminuer au fil du temps. Pour un
quart des internautes, désormais, aucune des modalités proposées ne fait hésiter (+ 10 points par rapport à 2005). Les freins semblent donc de moins en
moins prégnants. Au sein des internautes, ce sont les ouvriers (51%) et les moins diplômés (42% des non-diplômés et des titulaires du Bepc) qui craignent
le plus les problèmes liés à la sécurité des paiements. Dans quasiment tous les groupes, en quelques années, cet argument a perdu du poids. A contrario,
30% des internautes diplômés du supérieur, cadres ou âgés de 25 à 39 ans considèrent qu’aucun des éléments proposés n’est susceptible de les faire hésiter
à acheter sur la Toile. Etude CREDOC Paris 2009.
13/ 133
_________________________________________________________________________________________________________________
1.4
Les initiatives de l’État vis-à-vis du numérique
1.4.1
Le Rapport France Numérique
Acteur majeur de l‟économie numérique en Europe, la France dispose du soutien de l‟État, bien que le
projet de carte d‟identité électronique (CNIe) ait été retardé. Le rapport « France Numérique 2012 »,
rédigé par les équipes d‟Eric Besson18, alors Secrétaire d‟État, détaille ainsi 154 mesures ou « Actions »
destinées à favoriser les initiatives. Parmi lesquelles un engagement vis-à-vis de la confiance sur le net « L’État doit être par
ailleurs pilote dans la définition des méthodes de sécurisation et de niveaux de sécurité standard, utilisés par l’ensemble des
acteurs publics et privés. L’usage des certificats et de la signature électronique pourrait être une des solutions à promouvoir.
Les certificats permettent en effet de garantir la protection de l’accès aux données personnelles. La signature électronique
permet par ailleurs de transposer le droit de l’écrit et de la signature manuscrite à l’ère du numérique. Elle pourra avoir par
exemple une application concrète dans des outils transactionnels comme la carte Sésame Vitale V2. »
Les actions suivantes visent l‟établissement d‟un cadre à la fois juridique et technique pour favoriser la
sérénité des échanges19 dans le monde numérique :
1.4.2

Action n°78 : Développer l‟usage de l‟authentification pour le grand public.
o Généraliser l‟envoi d‟accusé de réception électronique pour les services en ligne.
o Proposer à partir de 2009 pour l‟administration électronique des solutions de signature électronique
simples et gratuites pour les services qui le nécessitent.
o Étudier avant la fin de l‟année, les conditions d‟implémentation des fonctions d‟authentification et de
signature électronique sur la carte Sésame Vitale V2.

Action n°76 : Déployer à partir de 2009, la carte nationale d‟identité électronique, sur la base d‟un standard de
signature électronique fortement sécurisé, pour atteindre, à terme, un objectif de 100 % de citoyens titulaires
d‟une carte nationale d‟identité électronique.
o La carte nationale d‟identité électronique, contribue à refonder le lien entre l‟État et le citoyen.
Internet peut ainsi davantage faciliter la participation directe des citoyens aux processus décisionnels
publics, via notamment l‟organisation de consultations à grande échelle. Internet peut permettre la
mobilisation d‟un nombre important de personnes, à travers un système de pétition en ligne,
respectueux de la loi informatique et libertés.
Identité sur internet
En attendant la suite donnée au recours porté auprès du Conseil Constitutionnel, la Loi d‟Orientation et de
Programmation pour la Performance de la Sécurité Intérieure (LOPPSI) 20 a été adoptée par l‟Assemblée
Nationale le 21 décembre 2010. Son article 226-4-1 modifie l‟article 226-4 du code pénal en caractérisant
le délit d‟usurpation d‟identité sur internet :
 « Art. 226-4-1. – Le fait d‟usurper l‟identité d‟un tiers ou de faire usage d‟une ou plusieurs données de toute
nature permettant de l‟identifier en vue de troubler sa tranquillité ou celle d‟autrui, ou de porter atteinte à
son honneur ou à sa considération, est puni d‟un an d‟emprisonnement et de 15 000 € d‟amende.
 « Cette infraction est punie des mêmes peines lorsqu‟elle est commise sur un réseau de communication au
public en ligne. »
France numérique 2012 - Plan de développement de l'économie numérique. Secrétariat d'Etat à la prospective, à l'évaluation des politiques publiques
et au développement de l'économie numérique. Dans le cadre de la préparation d'un plan de développement de l'économie numérique, Eric Besson,
Secrétaire d'Etat à la prospective, à l'évaluation des politiques publiques et au développement de l'économie numérique, a été chargé par le Président de la
République et le Premier ministre d'assurer le pilotage et la coordination de l'ensemble des politiques publiques dans le domaine du numérique. Ce plan
repose sur quatre priorités : permettre à tous les Français d'accéder aux réseaux et aux services numériques ; développer la production et l'offre de
contenus numériques ; accroître et diversifier les usages et les services numériques dans les entreprises, les administrations, et chez les particuliers ;
moderniser la gouvernance de l'économie numérique dans le sens d'une adaptation des organisations et modes de gestion conçus avant la « révolution
numérique ». Ce plan poursuit en outre trois objectifs : garantir l'accès de tous les Français à Internet haut débit ; assurer le passage de la France dans le
tout numérique audiovisuel avant le 30 novembre 2011 ; réduire la « fracture numérique ». Le rapport détaille les 154 actions associées à ce plan.
http://www.ladocumentationfrancaise.fr/rapports-publics/084000664/index.shtml . Paris Octobre 2008.
19 Accroître et diversifier les usages et services numériques : Diversifier les usages et les services numériques dans les entreprises, les administrations, et
chez les particuliers, c’est tout d’abord créer un cadre général de confiance, qui passe par la généralisation d’outils d’authentification électronique, à l’instar
de la carte nationale d’identité électronique pour chaque citoyen à partir de 2009.
20 http://www.senat.fr/petite-loi-ameli/2010-2011/262.html
18
14/ 133
_________________________________________________________________________________________________________________
Un délit déjà visé par l‟Action N°87 du Rapport Besson :

Action n°87 : Introduire à l‟occasion de la loi d‟orientation et de programmation pour la performance de la
sécurité intérieure (LOPPSI).
o Un délit d‟usurpation d‟identité sur les réseaux de communications électroniques.
o Garantir la confiance et la sécurité des échanges de données personnelles certifiées en ligne, qui plus
est pour des usages évolués tels que des inscriptions ou ouvertures de comptes.
o Légitimité aux systèmes de gestion des identités qui se proposeront de lutter contre les délits
d‟usurpation d‟identité ou de vol ou détournement de données personnelles
Usurpation et fraude à l‟identité sont donc considérées comme des freins au développement de
l‟économie numérique, sachant la difficulté de croiser les fichiers. Pourtant, l‟IGA a conduit une
mission visant à constituer une base nationale des pièces d‟identité perdues ou volées accessibles aux
services de l‟État21. Comme de nombreuses démarches administratives sont réalisées en ligne –
actualisations de droits, changement d‟adresse, etc. – l‟automatisation des saisies constituerait un important
gain de temps et permettrait de répertorier les titres frauduleux.
La gestion de l‟identité constitue un enjeu auquel les fournisseurs de certificats devront répondre ; la
Commission Nationale Informatique et Liberté (CNIL) souhaitant que le minimum de données soient
transmises aux prestataires en ligne, c'est-à-dire seulement celles intéressant leur activité : date d‟obtention
du permis de conduire pour un loueur de voiture, attestation de majorité pour un candidat aux jeux en
ligne ou montant de l‟impôt pour l‟administration fiscale.
La multiplicité d‟identité a été bien détaillée 22 par le consortium FC² dans le cadre d‟un Livre Blanc23,
notamment la notion de « fédération d‟identités » qui « peut quant à elle se définir comme la gestion d’un ensemble
d'identités par un ensemble d'organisations distinctes et inscrites dans un même « Cercle de Confiance » ou des cercles
distincts. Elle permet aux utilisateurs de se connecter une seule fois en utilisant un seul identifiant pour avoir accès à plusieurs
services »24. La délégation permet d‟authentifier un internaute par un tiers en minimisant la communication
de données25 ; l‟écosystème se bâtissant autour de fournisseurs d‟identité et d‟attributs transmis de façon
discrétionnaire et avec le consentement de l‟usager.
1.5
Fraude à l’identité
On recense plus de 200.000 victimes par an d‟usurpation d‟identité en France, selon le rapport du
CREDOC 2009 ; un préjudice de près de 4 milliards d'euros26 pour la société. Selon l‟étude, «le coût
individuel moyen d'une usurpation d'identité se monte à 2.229 euros», cumulant détournements (argent,
aides sociales, etc.), démarches et frais générés (médecin, frais postaux). Après le remboursement des
assurances, le montant moyen restant à la charge de la victime est de 1.556 euros, bien que, dans certains
cas, l'histoire tourne au drame avec interdit bancaire, perte d'emploi, voire emprisonnement. Près d'une
21 Ensuite, en matière de pièces d’identité françaises, l’IGA, dans le cadre d’une mission relative à la fraude à l’identité, a travaillé notamment sur la
constitution d’une base nationale des pièces d’identité perdues ou volées, qui pourrait permettre à l’ensemble des administrations, et notamment aux
organismes de sécurité sociale, grâce à une simple consultation à distance, de vérifier directement la validité des documents attestant de l’identité des
personnes considérées. Ministère du budget, des comptes publics et de la réforme de l’état. Délégation nationale de la lutte contre la fraude. Paris Décembre
2010.
22 Au cœur de la personne, l’identité est une notion hautement sensible et symbolique, à tel point qu’elle n’a aucune définition juridique globale. Dans le
dictionnaire de l’académie française, l’identité, dans le domaine juridique, correspond à "la personnalité civile d’un individu, légalement reconnue ou
constatée, établie par différents éléments d’état civil et par son signalement". elle se réduit donc largement à la sphère « régalienne », comme dans la notion
de carte ou document d’identité. cette définition omet ainsi d’autres domaines d’utilisation, dans la sphère marchande en particulier. Selon le contexte, la
définition de l’identité varie. elle n’est pas la même selon que l’on se place sur un plan philosophique, sociologique ou encore économique. Il n’existe pas
qu’une seule identité. tous les individus sont dotés de plusieurs identités, qui sont constituées d’une somme de données personnelles rattachées à l’individu.
celui-ci peut donc utiliser différentes identités selon le contexte, et peut souhaiter que ces identités ne soient pas directement reliées entre elles.
23 Livre Blanc Gestion des Identités. Analyse des contextes juridique, socio-économique et sociétal. Consortium FC² - Janvier 2009
24 Idem
25 Une telle plate-forme pose des problématiques telles que celles du consentement de la personne, de la conservation des données personnelles, des
responsabilités des acteurs ou plutôt de leur partage des risques, d’autant plus que l’on sort de la stricte identité de consommateur puisque l’intervention de
personnes publiques met en jeu le profil de « citoyen ». Personnes publiques, personnes privées, institutions mixtes coexistent et l’e-administration est au
cœur du projet. Idem
26 1,4 milliard de préjudice pour l'Unedic, 1 milliard pour la Caisse Nationale d'Assurance Maladie (CNAM) et 1 milliard pour la Caisse
d'Allocations Familiales (CAF) soit un total de 3,874 milliards par an
15/ 133
_________________________________________________________________________________________________________________
victime sur deux avoue être «incapable de savoir comment le fraudeur a réussi à obtenir ses données personnelles alors
que 86 % des victimes estiment faire le nécessaire pour se protéger des risques», s'inquiète le CREDOC.27
1.6
Identité vs attributs
L‟identité se définit comme un ensemble d‟attributs28, génériques ou contextuels ; l‟identité « civile »
n‟étant pas nécessaire pour des transactions en ligne, d‟où l‟usage répandu de pseudos. Le concept de
« profils » correspond à un regroupement d‟attributs : dans un contexte, je suis acheteur, dans un autre,
assuré social, et en troisième lieu, titulaire de compte en banque ou d‟un dossier médical. Une alternative
au numéro INSEE, dont l‟usage permettait de tracer les accès sur la toile.
L‟étude consacrée aux profils d‟internautes par l‟Université de Paris Dauphine (2006)29 totalise une
moyenne de 12 comptes par individu : achats, banque, réseaux sociaux ….. Chaque profil dépendant du
type de service, l‟état civil ne constituant nullement un pré-requis.
Extrait de l‟étude de Caroline
Lancelot-Miltgen, Centre de recherche
DMSP (Dauphine Marketing Stratégie
Prospective 2006).
L‟internaute cumule quelques 12
comptes, à la fois pour ses loisirs et
des démarches administratives.
1.7
Un contexte d’équipements favorable
La France se situe en tête des usagers d‟internet en Europe : 59 millions d‟abonnés mobiles et un taux de
pénétration supérieur à 96%30. Bien qu‟encore minoritaire (22%) à la date de cette étude (2011), le parc de
smartphones constitue un vecteur de croissance, surtout depuis l‟apparition des tablettes A4. Compagnons
de route de l‟internaute, elles permettront de procéder à de multiples activités - achats, réservations,
http://www.lefigaro.fr/actualite-france/2009/10/06/01016-20091006ARTFIG00305-usurpation-d-identite-plus-de-210000-victimes-par-an.php
28 Un attribut est un élément constitutif de l’identité. Juridiquement, il s’agit tout simplement des données personnelles. Selon le dictionnaire de
l’Académie Française, un attribut est ce « qui est propre et particulier à un être, à quelqu'un ou à quelque chose0 ». Le Larousse en donne la définition
suivante : « une propriété distincte, mesurable, physique ou abstraite appartenant nommément à une entité (individu ou autre) ». Les attributs peuvent
prendre des formes très variées :
état civil de la personne (nom, prénom, date de naissance, etc.) ;
qualités (ex. diplôme, nationalité, fonction, employeur)
coordonnées postales, téléphoniques, e-mail, etc. ;
coordonnées bancaires ;
données de fidélité ;
les certificats qui sont délivrés par des organismes, des services ;
les contenus publiés à partir d’outils d’expression (ex. blogs, avis, wikis) ;
les achats (ou ventes) réalisés chez certains marchands ;
les données diffusées au travers de réseaux sociaux, sites de rencontre ou mondes virtuels ;
les informations fournies par des services de gestion de notoriété et de réputation ;
etc. Idem
29 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective). Paris 2006
30 59 M d’abonnés mobiles en France dont 16Msont équipés de la 3G. Mais également 39 M d’internautes équipés à 98% avec une liaison haut débit
9 français sur 10 équipés d’un mobile. 1 français sur 5 (21,3%) est équipé d’un Smartphone.
27
16/ 133
_________________________________________________________________________________________________________________
eBanking –nécessitant à l‟avenir une « authentification forte31 », vu la vulnérabilité de l‟équipement32.
L‟approche Gallery33 des opérateurs téléphoniques constitue une piste de façon à promouvoir des services
d‟identification électronique interopérables.
Mais cette « authentification forte » est encore peu développée, faute d‟ergonomie et d‟un « support »
adapté. Le mot de passe dynamique ne constitue pas un succès, vu la nécessité de dispositifs
complémentaires - grille de chiffres, calculette, téléphone – qui freinent son usage ; l‟internaute étant, par
définition, économe de ses gestes34.
Peu de solutions se démarquent à ce jour, faute de mécanisme fort, combinant ergonomie et cadre légal.
Mais on anticipe que des systèmes intégrés « à la Paypal », ne nécessitant pas d‟outils complémentaires35,
seront bien adaptés à la démarche des internautes. Ainsi, la biométrie ne suscite pas de réticence, du
moment que la transaction est réalisée en local (Match On Card) ; elle rend confiant les internautes dans la
mesure où ils ont le sentiment d‟une « propriété » de leur authentification pour éviter l‟usurpation.
Comparativement, l’authentification avec mot de passe dynamique est beaucoup moins pratiquée : 31% des internautes utilisateurs de la banque en
ligne n’y ont jamais eu recours en moyenne, et ils sont 56% seulement à l’utiliser au moins une fois par mois (avec des divergences assez fortes en fonction
des pays : certains pays d’Europe du Nord ont des taux de pénétration très élevés). L’une des raisons principales en est la perception de la convivialité par
ses utilisateurs jugée nettement inférieure, tout particulièrement dans les pays qui la pratiquent peu. En revanche, la confiance des consommateurs à
l’égard de ce type de solution est forte et assez homogène en Europe, preuve que la médiatisation des tentatives de fraude et les efforts de pédagogie des
banques ont été payants. Livre Blanc FC², idem
32 Mobiles : Un taux d’équipement uniformément élevé avec un usage homogène. La pénétration du téléphone mobile reste assez homogène en Europe.
Selon les statistiques fournies par Eurostat : le taux d’abonnements mobiles (cartes prépayées incluses) par personne y est en moyenne de 96% dans
l’Europe des 27. En revanche, aucun différentiel d’usage notable n’apparaît. La consommation de services mobiles reste majoritairement centrée sur la
téléphonie et dans une moindre mesure l’utilisation de messages courts (SMS). La consommation de services mobiles (Data) reste encore le fait d‟une
fraction très minoritaire (évaluée à moins de 10% des utilisateurs). Le m-commerce reste pour le moment très embryonnaire.
33 Avec le développement de l’Internet mobile, les opérateurs mettent en place un portail multi opérateurs, Gallery. Véritable carrefour d’audience des
mobinautes, il offre un ensemble de services mobiles interactifs et de contenus numériques fournis par des éditeurs et réglés par l’utilisateur mobile sur sa
facture mobile : 60M€ de services ont ainsi été facturés en 2009 avec une forte croissance continue (+33%).
34 Comparativement, l’authentification avec mot de passe dynamique est beaucoup moins pratiquée : 31% des internautes utilisateurs de la banque en
ligne n’y ont jamais eu recours en moyenne, et ils sont 56% seulement à l’utiliser au moins une fois par mois (avec des divergences assez fortes en fonction
des pays : certains pays d’Europe du Nord ont des taux de pénétration très élevés). L’une des raisons principales en est la perception de la convivialité par
ses utilisateurs jugée nettement inférieure, tout particulièrement dans les pays qui la pratiquent peu. En revanche, la confiance des consommateurs à
l’égard de ce type de solution est forte et assez homogène en Europe, preuve que la médiatisation des tentatives de fraude et les efforts de pédagogie des
banques ont été payants. FC² idem.
35 Etude de Gartner : préférence pour les systèmes d’authentification faisant appel à un ou deux mots de passe, plutôt qu’une authentification nécessitant
l’adjonction d’un système matériel ou logiciel pour renforcer la sécurité.
31
17/ 133
_________________________________________________________________________________________________________________
2
TYPOLOGIE DES ACTEURS
2.1
La sphère publique
Les services de l‟État se situent en tête des sites consultés par les internautes. Preuve que la pédagogie de
l‟eAdministration porte ses fruits. Comme le remarque une étude de Cap Gemini, « Le temps n‟est plus à
la conquête mais à la fidélisation »36. Précédant le rapport « France numérique 2012 » d‟Eric Besson
(octobre 2008), l‟ordonnance du 8 décembre 2005 - et les décrets relatifs aux Référentiel Général
d‟Interopérabilité (RGI) et de Sécurité (RGS) - avaient déjà institué le cadre légal des échanges entre
usagers et services public.
Ce contexte règlementaire fonde l‟administration électronique37, pilier de la réforme et modernisation de
l‟État38. Un décret et un arrêté du 18 juin 2009 sont venus préciser les modalités de mise en œuvre et
d‟exploitation du site « Mon. Service-Public.fr » ou MSP. Egalement mis à disposition des usagers, un
espace sécurisé de stockage en ligne pour des échanges avec l‟administration et services tiers39.
L‟arrêté de Juin 2009 confirme l‟intérêt de l‟État pour la sécurité des accès en ligne. En effet, ses services
« sont accessibles au choix de l'usager, au moyen d'un identifiant et d'un mot de passe qu'il aura librement
déterminé ou d'un code d'accès qui lui aura été adressé sur son téléphone portable sauf dans les cas où une
fonctionnalité ou un service requiert un mode particulier d'identification tel un certificat électronique ».
L‟Etat renonçant au numéro INSEE40, l‟arrêté recommande que « Le dispositif d'identification des usagers
s'appuie sur une fédération d'identités ne conduisant pas à la création d'un identifiant administratif unique
des usagers41. »
Dans son Article 3, l‟ordonnance recommande, pour la gestion d'accès aux téléservices, l‟un des modes
d‟authentification suivants…… « L’identifiant de connexion choisi par l'usager, le mot de passe choisi par l'usager, le
numéro de téléphone portable de l'usager, s'il choisit ce mode d'accès, le certificat électronique de l'usager, s'il choisit ce mode
d'accès permettant d'accéder aux services qui requièrent un niveau d'identification plus élevé ». L‟État laissant à l‟usager le
choix du mode d‟authentification (notamment le traditionnel Identifiant / Mot de passe) ; conformément
au RGS, chaque site réalise une analyse de risque, permettant de définir le niveau de sécurité requis pour y
36 e-administration – Etude Cap Gemini-Consulting / TNS Sofres. Selon une étude réalisée entre le 11 et le 16 juillet 2007 auprès d’échantillons
représentatifs des populations françaises (1000 personnes), anglaises (600 personnes) et allemandes (550 personnes), il ressort que 75 % des internautes
interrogés déclarent se connecter aux sites des services publics. Le temps n’est plus à la conquête mais à la fidélisation et l’on constate qu’avec un taux de «
fréquentation régulière » de 28 % (+ 5% par rapport à 2006), la France devance la Grande-Bretagne (22 %) et l’Allemagne (10 %). Enfin notons
que la France est également en tête en matière de satisfaction des usagers des services publics en ligne (48 % des français ; 42 % des anglais et 23 % des
allemands. (Communiqué Cap Gemini, septembre 2007).
37 Tout usager peut adresser une demande, une déclaration ou produire des documents par voie électronique. Sauf dérogation87, l’administration, qui
doit avoir accusé réception de la demande ou de l’information de l’usager (si l’accusé de réception n’est pas instantané, elle doit émettre un accusé
d’enregistrement), est alors régulièrement saisie et doit traiter la demande sans exiger de l’usager une confirmation ou la répétition de son envoi sous une
autre forme. De même, tout paiement opéré dans le cadre d’un téléservice peut être effectué en ligne et doit faire l’objet d’un accusé de réception et, le cas
échéant, d’un accusé d’enregistrement. Il est à noter que l’accusé de réception ou d’enregistrement doit être émis selon un procédé conforme aux règles fixées
par le RGS et que la non transmission de l’accusé de réception ou son caractère incomplet rendent en principe inopposables les délais de recours à l’auteur
de la demande. Par ailleurs, un décret qui n’a toujours pas été adopté à ce jour, doit préciser les conditions et les délais d’émission de ces accusés ainsi que
les indications devant y figurer.
38 L’ordonnance s’applique aux autorités administratives définies à l’article 1-I comme « les administrations de l’Etat, les collectivités territoriales, les
établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code
rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargés de la gestion d’un service public
administratif ».
39 Notamment les organismes de crédit qui exigent les déclarations d’impôts
40Il convient de rappeler que l'utilisation du NIR par un organisme privé est soumise à autorisation préalable de la CNIL (article 25-I-6 de la loi
informatique et liberté) et que la doctrine de la CNIL tend à cantonner l'utilisation de cet identifiant au secteur social. (Gwendal Le Grand CNIL,
Février 2011)
41 L'accès aux téléservices des partenaires par le biais de ce téléservice est facultatif et non exclusif d'autres canaux d'accès. L'utilisation de l'espace de
stockage est placée sous le contrôle et la responsabilité de son titulaire, qui peut le désactiver ou le clore à tout moment. Hors les cas prévus par la loi, seul
l'usager peut accéder aux données contenues dans son espace personnel de stockage. Les partenaires ne peuvent se voir communiquer par le biais de cet
espace que les informations et documents dont ils ont à connaître en vertu d'un texte législatif ou réglementaire.
18/ 133
_________________________________________________________________________________________________________________
accéder42. La DGME pilote le référencement RGS des produits et services de sécurité, en définissant leur
cahier des charges et en assurant le pilotage de l‟opération43 .
Le
baromètre
CDC – ACSEL
(2009) confirme
que les internautes
sont familiers des
sites
de
l‟administration,
notamment pour
la
déclaration
d‟impôts et les
prestations
sociales.
Sécurisé aujourd'hui par une procédure de type mot de passe/identifiant, MSP proposera prochainement
un mécanisme d'authentification forte - CNIE, IDéNUM - qui donnera accès à de multiples services.
L‟objectif étant d'utiliser les solutions référencées RGS en fonction du niveau de sécurité requis par les
services MSP.
L‟ergonomie joue un rôle majeur pour que s‟instaure la confiance, qu‟il s‟agisse des services de l‟État ou du
secteur privé. Rappelons que la moitié des internautes ne parviennent pas conclure une transaction. Ainsi
l‟homogénéité des visuels et modalités de connexion constituent-ils un facteur de succès. Concernant les
coffres-forts électroniques, les internautes se montrent encore réservés ; la faculté de déposer en ligne des
informations sensibles telles que bulletins de salaires ou déclarations de revenus n‟a pas aujourd‟hui séduit
nos concitoyens44.
2.1.1
Fiche d’état civil, extrait d’acte de naissance et extrait de casier judiciaire
Les données d‟état civil peuvent maintenant être demandées en ligne. Bien que la communication d‟extrait
de casier judiciaire d‟un tiers relève du pénal45, elle ne présente aucune difficulté pour qui connait mairie et
date de naissance de son voisin.
42 Art.4. Les destinataires ou catégories de destinataires habilités à recevoir la communication de ces données sont à raison de leurs attributions
respectives et à destination des organismes de la branche concernée :
― la Caisse des dépôts et consignations, direction des retraites
― la Caisse des dépôts et consignations, direction du développement du territoire
― la Caisse nationale d'assurance vieillesse des travailleurs salariés
― la Caisse centrale de la mutualité sociale agricole
― la Caisse nationale d'allocations familiales
― la Caisse nationale de l'assurance maladie des travailleurs salariés
― l'Agence centrale des organismes de sécurité sociale
― Pôle emploi.
43 Par ailleurs, l’ordonnance prévoit que les actes des autorités administratives pourront désormais faire l’objet d’une signature électronique. A cet égard,
l’article 8 de l’ordonnance précise que la signature « n’est valablement apposée que par l’usage d’un procédé, conforme aux règles du référentiel général de
sécurité mentionné au I de l’article 9, qui permette l’identification du signataire, garantisse le lien de la signature avec l’acte auquel elle s’attache et assure
l’intégrité de cet acte ». On peut remarquer que cette définition reprend les mêmes fonctions que la signature prévue par le code civil pour les actes en droit
privé.
44 Les utilisateurs se méfient de tout stockage de données, même volontaire, sur un espace dédié en ligne de type porte-documents ou coffre-fort47. Dans le
cas du pilote MSP (mon.service-public.fr), cette fonctionnalité avait été peu utilisée, notamment par crainte que tous les sites fédérés puissent avoir accès
aux données y étant archivées (ex. la CAF qui pourrait avoir accès à ma déclaration d’impôt sur le revenu).
45 Avertissement. L’extrait de Casier Judiciaire ne peut être demandé que par la personne qu’il concerne ou par son représentant légal s’il s’agit d’un
mineur ou d’un majeur sous tutelle. Il ne peut en aucun cas, même avec l’accord du demandeur, être délivré à un tiers (Article 777 du Code de Procédure
19/ 133
_________________________________________________________________________________________________________________
La Fiche d’état civil
Les fiches d'état civil n'existent plus depuis fin 2000. Selon les cas, elles sont remplacées soit par la
photocopie de la carte nationale d'identité, soit celle du livret de famille.
L’Acte de Naissance
L‟acte de naissance est un document juridique attestant de l‟état civil; un document nécessaire lors de
certaines démarches administratives, telles que le mariage et autrefois le renouvellement du passeport.
Emanant des services de l‟administration, c‟est un acte authentique, signé par un officier d‟état civil.
Aujourd‟hui, le terme renvoie au document officiel délivré à la suite d'une déclaration de naissance.
Les mentions marginales sont les évènements d'état civil qui se sont produits après la rédaction de l'acte
d'état civil. Sur un acte de naissance, ce sont, par exemple, les informations relatives aux évènements
suivants :







Reconnaissance par un parent
Acquisition de la nationalité française
Modification du nom de famille,
Mariage, PACS
Divorce,
Décisions judiciaires relatives à la capacité de l'intéressé,
Décès
La copie intégrale de l‟acte de naissance - ou extrait avec filiation – ne peut être demandée que par la
personne concernée par l'acte (à condition d'être majeure), son représentant légal ou son conjoint, ses
ascendants46 (parents, grands-parents) ou descendants (enfants, petits-enfants), de même que certains
professionnels lorsqu'un texte les y autorise (avocats, pour le compte de leur client par exemple). L‟extrait
sans filiation peut être demandé par toute personne, sans avoir à justifier sa demande ou sa qualité.
L‟extrait d‟acte de naissance peut être délivré en ligne à « l'intéressé, s'il est majeur ou émancipé, son conjoint, ses
ascendants ou descendants, ou une tierce personne… » du moment qu‟il atteste de son identité. Pourtant, nous
sommes ici dans un contexte déclaratif, les données d‟état civil communiquées n‟étant pas vérifiées par les
services de l‟État.
Le Casier Judiciaire
Le service du Casier Judiciaire National (CJN)47 mobilise 300 personnes qui délivrent 5 millions d‟extraits
par an.48 Comme pour les actes d‟État civil, les agents de l‟état vérifient la cohérence des informations
communiquées - lieu et date de naissance – avec les données des registres mais sans contrôler l‟identité du
demandeur.
2.1.2
Formulaires CERFA
Téléchargeables depuis les sites de l‟administration, les formulaires CERFA49 doivent être remplis par les
usagers mais sans que ces données soient vérifiées par les agents de l‟État. Il est donc envisagé qu‟ils soient
renseignés automatiquement par l‟activation d‟un certificat d‟authentification, CNIe50 ou IDéNUM.
Pénale. Se faire délivrer l’extrait de Casier Judiciaire d’un tiers est sanctionné par la loi (Article 781 du Code de Procédure Pénale. L’identité que vous
indiquerez sera vérifiée par le Service. Elle doit être rigoureusement conforme à votre état civil.
46 ou qu’il exerce à son égard l’autorité parentale, qu’il ait été admis à sa tutelle ou à sa curatelle, ou qu’il en est reçu mandat
47 http://www.vie-publique.fr/documents-vp/casier.htm
48 Sur la base d’un rythme quotidien de 3000 télécopies, 7000 courriers et 2000 appels téléphoniques
49 12 millions de formulaires sont transmis chaque année
50 Le " Cerfa dynamique ", C'est un formulaire Cerfa que l'on remplit en ligne et que l'on paie avec le "timbre fiscal dématérialisé" que l'ANTS a mis
en place depuis 4 mois et qui fonctionne pour l'Office Français de l'Immigration et de l'intégration, qui représente déjà plus de 20 % des timbres Visa
VLS/TS (Visa Long Séjour/valant Titre de Séjour). À la fin de l'année, on recensera quelque 10 millions de timbres fiscaux dématérialisés."
Le Cerfa dématérialisé permet au citoyen de remplir son dossier. Ensuite il demande un rendez-vous avec la mairie où il se trouve et où il retrouvera tout
son dossier. Préfet Raphaël Bartolt . Colloque du 8 mars 2011, sur la carte nationale d'identité électronique. Maison de la Chimie, Paris
20/ 133
_________________________________________________________________________________________________________________
2.2
Le domaine santé
2.2.1
La Carte Vitale
La carte Vitale a constitué l‟un des grands chantiers de dématérialisation de l‟État. Elle témoigne d‟un
important gain de productivité pour le traitement des feuilles de soin. Lancé en 1991, le projet visait une
économie de 2 Milliards de Francs, 60,000 techniciens étant affectés à la saisie manuelle d‟un système
informatique centralisé appelé LASER51. Après 20 ans, les évaluations sont les suivantes : saisie d‟un
formulaire papier 1,74 euros contre seulement à 0,27 euros pour la FSE52 ; soit, un gain de 1,5 milliards
d‟euros pour la CNAM, sur la base d‟un milliard de feuilles par an.
Le consentement du patient, par présentation de la carte, constitue sa première utilisation mais d‟autres
applications médicales sont en train de se constituer ; elles nécessiteront un mécanisme d‟authentification
forte53 :
 Le DMP : Dossier Médical Personnel.
 Bornes services de la sphère sociale (CNAMTS, MSA, CNAV, CAF, …) : consultation de données
personnelles à caractère privé.
 Assurance maladie : nombreux services en cours de définition - protocole de soins, programme hôpital,
services AMC…. – qui nécessiteront le consentement de l‟assuré.
Quels seront les procédures d‟authentification de patients : Carte Vitale ? CNIe ? Certificats IDéNUM ?
Bien que la Vitale 2 ne dispose pas de certificats qualifiés- le support plastique étant envoyé par la Poste ;
un handicap par rapport au cahier des charges IDéNUM, qui exige une délivrance en face à face – elle
dispose d‟une forte légitimité vis-à-vis de ces services.
Les complémentaires santé pourraient représenter un marché important pour l‟authentification forte, si les
assureurs envisageaient de contrôler l‟affiliation du demandeur lors d‟une prestation de soins. Les cartes
complémentaires santé bénéficieront-elles d‟une procédure d‟authentification par code PIN à l‟avenir ?
Ou seront-elles utilisées conjointement avec des certificats d‟identité - CNIe ou IDéNUM - ? Mais
exigera-t-on de telles formalités en pharmacie et face au professionnel de santé ?
Le Dossier Médical Personnel
Créé par la loi du 13 août 2004, le Dossier Médical Personnel (DMP) est un service destiné à coordonner
le parcours médical. C‟est dans cette perspective qu‟a été créée l‟ASIP Santé (Agence des Systèmes
d‟Information Partagés de santé) en s‟appuyant sur un cadre national : référentiels d‟interopérabilité,
identifiant national de santé, mobilisation des acteurs, accompagnement des utilisateurs54. Les chantiers
sont nombreux : accès aux informations de santé, encadrement des actes de télémédecine, transmission
des comptes-rendus de biologie et d‟hospitalisation, évolution des logiciels de cabinets médicaux pour
éviter la double saisie et faciliter l‟intégration d‟outils d‟aide à la décision.
Le patient constitue la clé de voute du dispositif dans la mesure où il reste maître de son ouverture et des
conditions d'accès. Le procédé se positionne donc comme un catalyseur pour la modernisation et
recherche d‟une meilleure efficience du système de santé55. C‟est à partir du DMP que le patient définit les
droits d‟accès aux PS comme de ne pas livrer des données traitant de sa vie privée.
Inauguré en Mars 2011, le DMP nécessite une procédure d‟enrôlement auprès du personnel de santé (PS),
lui–même authentifié par une carte (CPS) qui permet de documenter ses accès. Lors de l‟ouverture, un
Les enjeux de la dématérialisation des feuilles de soin sont économiques. En 1991 selon un rapport de Gilles Taïb, le coût de gestion d'une feuille de
soins papier était estimé à entre 15 et 20 francs. En 1998, l'assurance maladie espérait que SESAM-Vitale entrainerait, en régime de croisière, une
économie annuelle des charges de deux milliards de francs. En 1998, 60 000 techniciens saisissaient les feuilles de maladie dans le système informatique
national LASER. (Note Wikipedia)
52 Feuille de soin électronique
53 Les applications envisagées sont les suivantes : DMP (contrat hébergeur, habilitation des PS à consulter le DMP,…), protocole de soins,
51
entente préalable, demande de prise en charge AMC, délivrance de traitements/soins particuliers en Etablissements de Santé, Intégrité et
confidentialité forte pour la transmission de données médicales à caractère personnel
54
55
http://www.dmp.gouv.fr/web/dmp/actualite-dmp/le-projet-dmp
http://www.dmp.gouv.fr/web/dmp/actualite-dmp/le-projet-dmp
21/ 133
_________________________________________________________________________________________________________________
INS (Identifiant National de Santé) est attribué au patient, mais le PS ne contrôle pas son identité. Parmi
les moyens d‟accès au DMP : CNIe56, Carte Vitale, et IDéNUM. Mais aucune décision n‟a encore été prise
pour privilégier l‟un de ces dispositifs.
La télémédecine
Encadrée par la Loi (HSPT) 57 no 2009-879 du 21 juillet 2009 portant réforme de l‟hôpital et relative aux
patients à la santé et aux territoires, la télémédecine est décrite par l‟Art. L. 6316-1. comme « une forme de
pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle met en rapport, entre eux
ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le
cas échéant, d’autres professionnels apportant leurs soins au patient.
«Elle permet d’établir un diagnostic, d’assurer, pour un patient à risque, un suivi à visée préventive ou un suivi postthérapeutique, de requérir un avis spécialisé, de préparer une décision thérapeutique, de prescrire des produits, de prescrire ou
de réaliser des prestations ou des actes, ou d’effectuer une surveillance de l’état des patients.
« La définition des actes de télémédecine ainsi que leurs conditions de mise en œuvre et de prise en charge financière sont fixées
par décret, en tenant compte des déficiences de l’offre de soins dues à l’insularité et l’enclavement géographique. »
Visant le droit à une médecine équitable pour chacun, quelque soit sa situation géographique, la téléconsultation se propose de soutenir le système de soins traditionnel, notamment dans les zones sousmédicalisées, une pratique courante dans des pays comme les États-Unis et la Suisse.
Les décrets d‟application58 de la Loi HSPT, qui détaillent les modalités de mise en œuvre de la
télémédecine, nécessiteront-ils à l‟avenir l‟authentification forte des patients et de documenter leur
consentement vis-à-vis de l‟Assurance Maladie et des complémentaires ? Il est encore prématuré de
proposer une réponse aussi contentons-nous de rappeler quelques définitions :
« Art.R. 6316-1.-Relèvent de la télémédecine, définie à l'article L. 6316-1, les actes médicaux, réalisés à
distance, au moyen d'un dispositif utilisant les technologies de l'information et de la communication.
Constituent des actes de télémédecine :
 « 1° La téléconsultation, qui a pour objet de permettre à un professionnel médical de donner une
consultation à distance à un patient. Un professionnel de santé peut être présent auprès du patient et, le cas
échéant, assister le professionnel médical au cours de la téléconsultation. Les psychologues mentionnés à
l'article 44 de la loi n° 85-772 du 25 juillet 1985 portant diverses dispositions d'ordre social peuvent
également être présents auprès du patient ;
 « 2° La télé-expertise, qui a pour objet de permettre à un professionnel médical de solliciter à distance l'avis
d'un ou de plusieurs professionnels médicaux en raison de leurs formations ou de leurs compétences
particulières, sur la base des informations médicales liées à la prise en charge d'un patient ;
 « 3° La télésurveillance médicale, qui a pour objet de permettre à un professionnel médical d'interpréter à
distance les données nécessaires au suivi médical d'un patient et, le cas échéant, de prendre des décisions
relatives à la prise en charge de ce patient. L'enregistrement et la transmission des données peuvent être
automatisés ou réalisés par le patient lui-même ou par un professionnel de santé ;
 « 4° La téléassistance médicale, qui a pour objet de permettre à un professionnel médical d'assister à
distance un autre professionnel de santé au cours de la réalisation d'un acte ;
 « 5° La réponse médicale qui est apportée dans le cadre de la régulation médicale mentionnée à l'article L.
6311-2 et au troisième alinéa de l'article L. 6314-1.
Jeanne BOSSI, Secrétaire générale de l'ASIP Santé ; Colloque du 8 mars 2011, sur la carte nationale d'identité électronique. Maison de la Chimie.
" À terme, la CNIe pourrait être un moyen offert au citoyen pour s'identifier et s'authentifier pour gérer sur l'Internet ses données de santé. Évidemment,
nous pensons au dossier médical personnel et à la possibilité pour le citoyen, dès lors qu'il serait doté de cette CNIe de pouvoir accéder à ses données de
santé et les gérer en direct. Par exemple créer un DMP, ce que nous ne pouvons faire aujourd'hui parce qu'il n'y a pas de titre sécurisé d'identité pour le
citoyen. "
56
57
http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20090722&numTexte=1&pageDebut=12184&pageFin=12244
58 JORF n°0245 du 21 octobre 2010. Décret n° 2010-1229 du 19 octobre 2010 relatif à la télémédecine
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022932449&dateTexte=&categorieLien=id
22/ 133
_________________________________________________________________________________________________________________
La section 2 du décret – Conditions de mise en œuvre – détaille précisément les modalités de consultation
comme les mesures de sécurité devant être envisagées :
« Art.R. 6316-2.-Les actes de télémédecine sont réalisés avec le consentement libre et éclairé de la personne, en
application notamment des dispositions des articles L. 1111-2 et L. 1111-4.
 « Les professionnels participant à un acte de télémédecine peuvent, sauf opposition de la personne dûment
informée, échanger des informations relatives à cette personne, notamment par le biais des technologies de
l'information et de la communication.
« Art.R. 6316-3.-Chaque acte de télémédecine est réalisé dans des conditions garantissant :
 «1°a) L'authentification des professionnels de santé intervenant dans l'acte ;
o « b) L'identification du patient ;
o «c) L'accès des professionnels de santé aux données médicales du patient nécessaires à la
réalisation de l'acte ;
 « 2° Lorsque la situation l'impose, la formation ou la préparation du patient à l'utilisation du dispositif de
télémédecine.
« Art.R. 6316-4.-Sont inscrits dans le dossier du patient tenu par chaque professionnel médical intervenant dans l'acte
de télémédecine et dans la fiche d'observation mentionnée à l'article R. 4127-45 :





« 1° Le compte rendu de la réalisation de l'acte ;
« 2° Les actes et les prescriptions médicamenteuses effectués dans le cadre de l'acte de télémédecine ;
« 3° L'identité des professionnels de santé participant à l'acte ;
« 4° La date et l'heure de l'acte ;
« 5° Le cas échéant, les incidents techniques survenus au cours de l'acte.
« Art.R. 6316-5.-Les actes de télémédecine sont pris en charge dans les conditions prévues aux articles L. 162-1-7, L.
162-14-1, L. 162-22-1, L. 162-22-6, L. 162-32-1 et L. 165-1 du code de la sécurité sociale.
Donc un dispositif sécurisé visant la mise en relation des parties, notamment le consentement « exprès »
du patient dont la Section 3 (Organisation) précise qu‟il peut être exprimé par voie électronique. Des
dispositions qui vont profondément modifier l‟éco-système médical de certaines régions, peu riches en
personnels de santé. La téléconsultation devenant un acte de soins à part entière, prise en charge par
l'Assurance-maladie, pratique jusqu'ici interdite en l'absence de contact physique avec le médecin.
Ce décret professionnalise une activité qui fait déjà florès sur le web, grâce aux sites de télé-médecine qui
délivrent des conseils médicaux personnalisés59 ; en majorité des avis préalables à une consultation60. En
fonction du site, les prestations sont facturées avec possibilité d'abonnement. Les mutuelles
complémentaires ayant flairé le filon en proposant des conseils gratuits à leurs adhérents61 .
Les dispositions du décret vont permettre d'aller bien plus loin ; les praticiens envisageant des
communications par webcams couplés à des systèmes experts. L‟exemple de la société suisse Medgate62 80 médecins, généralistes et spécialistes, spécialement formés, 4200 actes /jour en période de pointe - qui
totalise 4,2 millions de clients abonnés par les mutuelles, laisse présager de l‟importance du marché.
59 Pionnier dans ce domaine, le Dr Loïc Étienne, fondateur de Docteurclic, avait lancé ce type de service en 2000 sur le Web, et même dès 1987 sur
Minitel. D'autres ont embrayé. Les échanges se font via une plate-forme sécurisée, avec une réponse en moins de 24 heures. «Médecine générale, suites
opératoires, dermatologie, pédiatrie… Nous répondons à des questions très variées de pratique quotidienne, indique le Dr Frédéric Dussauze, l'un des
trois fondateurs de MedecinDirect, qui a ouvert fin 2008. Voir le Figaro Santé Des conseils médicaux personnalisés sur Internet. Sandrine Cabut
26/10/2010 http://www.lefigaro.fr/sante/2010/10/24/01004-20101024ARTFIG00242-des-conseils-medicaux-personnalises-sur-internet.php
60 Le site Depechmed, ouvert depuis avril, s'est lui centré sur les «compléments d'information» après consultation ; pour expliquer un diagnostic, les effets
d'un traitement…
61 MedecinDirect a noué un partenariat avec le groupe mutualiste Crédit mutuel-MTRL, grâce auquel un million de ses adhérents vont bénéficier
gratuitement des conseils médicaux en ligne
62 http://www.medgate.ch/
23/ 133
_________________________________________________________________________________________________________________
Face au diagnostic plus ou moins fiable sur internet, la télémédecine va prolonger l‟exercice de praticiens
libéraux connaissant déjà leurs patients, désireux d‟assurer un suivi sans nécessairement se déplacer. Mais
on ne peut exclure des appels auprès d‟un médecin de garde, lors de périodes fériées, donc une relation
entre parties ne se connaissant pas au préalable.
Si l‟on considère les dérives ou litiges qui pourraient survenir suite à des diagnostics imprécis, on anticipe
la nécessité de mise en œuvre d‟une procédure sécurisée pour constituer des éléments de preuve :
identification du patient, expression du consentement, accès au DMP, rédaction d‟ordonnance, prise en
charge par l‟Assurance Maladie et complémentaires .... Un mécanisme complexe qu‟il est prématuré de
chiffrer, mais qui pourra mettre en œuvre des mécanismes d‟authentification forte et de signatures.
24/ 133
_________________________________________________________________________________________________________________
2.3
La sphère bancaire
2.3.1
Banques de réseaux
Le rapport entre détenteurs de compte et banques se résume à trois modes de transactions : consultation,
transaction et contractualisation ; ce dernier consignant un engagement juridique entre les parties. Le taux
de bancarisation63 des français est l‟un des plus élevés d‟Europe64 ; 75% de nos concitoyens consultant
régulièrement leurs comptes sur internet65. Près de 24 % d‟entre eux détenant des comptes dans plusieurs
établissements (source IFOP), une flexibilité qui nécessite des outils de consultation performants.
Consultation, transactions
L‟accès aux comptes par internet ou eBanking est traditionnellement basé sur une authentification faible
de type identifiant/mot de passe. Un niveau de sécurité qui restreint fortement les possibilités de
l‟internaute : virements limités, référencement du destinataire avant virements, impossibilité de générer
l‟IBAN d‟un tiers, à moins de le renseigner au préalable, etc... Pour toute activité touchant aux valeurs
mobilières, la confirmation du mot de passe est requise. Conscients des risques d‟usurpation, les
établissements brident les opérations, dans la mesure où le titulaire pourra les répudier et réclamer la
restitution de sommes détournées.
On ne peut qu‟être
étonné par le taux élevé
de connexions
aux
comptes en banque
(80%,
source
Baromètre
CDCACSEL), vu les maigres
fonctionnalités
du
eBanking.
Contractualisation
Faute de certificats de signature, la souscription en ligne de produits financiers est limitée, bien que les
français soient très actifs sur leurs comptes66. La majorité des assurances-vie, Plans ou Comptes Epargne
Logement, Livret A, CODEVI étant majoritairement signée en présence de conseillers, dont la pédagogie
constitue un facteur clé de conclusion du contrat. Même constat pour les prêts importants - biens
immobiliers ou rachats de crédits - ; les éléments de contrat – taux, frais, pénalités, hypothèque…. – sont
négociés auprès du conseiller, jamais sur le net.
A titre d‟exemple, le pourcentage de Livrets A du Crédit Agricole souscrits en ligne représente une infime
minorité des 4-5 millions de contrats attribués chaque année, vu la nécessité de présenter deux pièces
d‟identité et une justification de domicile.
Le taux de bancarisation de la population française s'élève à 99 %, soit l'un des taux les plus élevés d'Europe (Rapport Credoc 2010)
74,4 millions de comptes à vue en 2008 (+ 8 % en 6 ans). Ils sont destinés aux particuliers et aux professionnels (Banque de France).
65 Enquête Ifop 2010
66 Les enquêtes donnent les chiffres suivants :
149 millions de comptes à terme et comptes d'épargne à régime spécial (livrets, CEL, PEL, LEP...) (source CECEI)
85 % des ménages ont un livret d'épargne (83 % en 2004) et 31 % de l'épargne logement (Insee, enquête patrimoine 2010)
Près de 42 % des ménages détiennent au moins un produit d'assurance vie ou d'assurance décès volontaire, contre 35 % en 2004 (Insee, enquête
patrimoine 2010)
14,5 millions de personnes possèdent un contrat d'assurance vie en 2009. Ils étaient 6,3 millions en 1995 (Rapport IGF 2010)
1 308 milliards d'euros, c'est le montant des encours de l'assurance-vie à juillet 2010, soit + 92 milliards d'euros collectés depuis début 2010 (Source
FFSA)
63
64
25/ 133
_________________________________________________________________________________________________________________
Les accès internet
Bien que les sites internet soient de plus en plus consultés, ils sont considérés comme un canal
d‟information, au même titre que la presse. Les chiffres sont éloquents quant à la consultation en ligne
mais restent fort conservateurs quant il s‟agit de contractualiser67. Comme le remarque Serge Henri Saint
Michel68 «les intentions de s’informer ou de souscrire à des produits financiers restent plus orientées vers l’épargne ou
l’assurance que vers la consommation en cette période de sortie de crise……… Les résultats montrent qu’Internet est un
média clé de l’information, au même titre que l’agence : on oscille autour des 70% d’utilisation envisagée quel que soit le
produit concerné. Les scores d’Internet sont à peine inférieurs aux scores de l’agence….. En revanche, lorsqu’il s’agit de
souscrire, l’agence reste de loin le canal phare : elle est à plus de 80% d’utilisation envisagée tandis qu’Internet ou le téléphone
sont envisagés par 1 répondant sur 2 seulement»69. Ainsi le web est-il considéré comme un canal d‟information
rapide et efficace alors que l‟agence demeure le moyen du conseil personnalisé.
2.3.2
Banque à distance / banque en ligne
L‟absence de tout contact « facial » avec les conseillers d‟agences fait de la banque à distance, ou banque en
ligne, un candidat idéal pour l‟authentification forte. Un secteur qui représente plus de 2 millions de
clients, en progression annuelle de 25%70.
Sachant que près de 20% de cette population souscrit en ligne à des produits financiers contre 11 % en
200871, la problématique des banquiers « en ligne » est double : nécessité légale d‟authentifier ces clients
virtuels lors de l‟ouverture de comptes mais surtout documenter toute transaction dématérialisée ; sachant
que la banque sur le web est amenée à croitre, vu la culture internet des nouvelles générations mais surtout
la modicité des frais de transactions72.
L‟ouverture de comptes constitue un droit régi par l‟Art. L312-1 du Code Monétaire et Financier73. Bien
que les établissements tolèrent la copie de pièces par courrier ou mail, la Loi No. 90-614 du 12 juillet 1990
relative à la participation des organismes financiers à la lutte contre le blanchiment des capitaux provenant
du trafic des stupéfiants constitue un rappel à l‟ordre74 « Les organismes financiers doivent, avant d'ouvrir un
compte, s'assurer de l'identité de leur cocontractant par la présentation de tout document écrit probant. Ils s'assurent
dans les mêmes conditions de l'identité de leur client occasionnel qui leur demande de faire des opérations dont la nature et
le montant sont fixés par le décret prévu à l'article 24 ». Ils se renseignent sur l'identité véritable des personnes au
bénéfice desquelles un compte est ouvert ou une opération réalisée lorsqu'il leur apparaît que les personnes qui demandent
l'ouverture du compte ou la réalisation de l'opération pourraient ne pas agir pour leur propre compte. » Une relation
ambigüe75 entre client et banque bien détaillée par le rapport76 du consortium FC².
Pareillement, un livre blanc de la Banque de France77 rappelle que « le dossier d’ouverture de compte, comprenant
notamment l’identifiant et le mot de passe du client (ou son équivalent) peut être envoyé par la poste, si possible avec accusé
http://www.marketing-professionnel.fr/chiffre/banque-internet-multicanal-agence-courrier-01-2011.html
La banque et le multicanal : Internet en tête !
69 Ainsi, plus de 17% des Français envisagent de s’informer sur un livret ou un compte à terme dans l’année à venir, et 14% envisageraient d’y souscrire.
Ils sont 16% à envisager de s’informer sur une assurance (automobile, habitation…) et un peu plus de 13% à envisager d’y souscrire.
Ils sont près de 15% à souhaiter s’informer sur une carte ou un compte courant, et 11% à envisager d’y souscrire.
Enfin ils ne sont que 8% à souhaiter s’informer sur un crédit à la consommation dans l’année à venir et 6% à envisager d’y souscrire.
70 Tous acteurs confondus, la banque en ligne totalise près de deux millions de comptes en France aujourd'hui avec une croissance annuelle d’environ
25%, dont plus de la moitié des adhérents seront recrutés par le web, et non plus par les courtiers (donc sans aucun contact « physique » avec les guichets).
Etude Afnor Standarmedia. Paris 2007
71 Benchmark Group, février 2010. Enquête auprès de 4 378 clients de banques françaises
72 Deux autres établissements totalisent près d’un demi-milliard d'encours en réduisant leurs droits d’entrée à 0,5% au lieu des 3% perçus généralement
sur les contrats d’assurance vie. Un point non négligeable dans la mesure où les montants négociés sur le web atteignent 20,000 Euros contrairement aux
4,000 Euros contractés en moyenne par les courtiers ; ce qui confirme l’attrait de populations averties et relativement aisées, pour la banque en ligne.
73 Toute personne, capable, majeure, qui peut justifier de son identité et de son domicile en France, a droit à un compte bancaire.
74 Chapitre II Autres obligations de vigilance des organismes financiers. Art. 12.
75 Livre Blanc Gestion des Identités. Analyse des contextes juridique, socio-économique et sociétal. FC² Paris 2010
76 Il existe des obligations propres au secteur financier en matière de justification de l’identité du client. Il est notamment nécessaire de mettre en
application les dispositions de la loi du 12 juillet 1990 en matière d’identification lors de l’entrée en relation d’affaires avec un client qui n’est pas
physiquement présent. En particulier, le client doit présenter une pièce d’identité et, normalement, la banque doit effectuer un contrôle de visu. Néanmoins,
il est aujourd’hui toléré d’envoyer les copies des pièces justificatives par courrier, et même de les scanner puis les envoyer par e-mail ou les transférer sur le
site de la banque.
77 Banque de France, « Internet : quelles conséquences prudentielles ? », 2001, disponible à l’adresse http://www.banquefrance.fr/fr/supervi/telnomot/supervi_banc/lbinet.pdf
67
68
26/ 133
_________________________________________________________________________________________________________________
réception. On remarque souvent que le fonctionnement d’un compte - y compris la réception de fonds et d’instruments
financiers – n’est autorisé qu’une fois que la procédure d’identification a été achevée ». Concernant le contrôle
d‟opérations douteuses, le rapport remarque qu‟ « il est difficile, voire impossible, de savoir si la personne faisant
fonctionner le compte est réellement celle qui l’a ouvert. »
L‟article 3 de la Directive Européenne sur le blanchiment78 de 2001 rappelle également le principe
d'identification obligatoire sur la base d‟un document probant. Une précaution qui vise non seulement
l‟ouverture de comptes mais également leur usage, éventuellement au profit d‟un tiers. En quel cas,
l‟établissement a l‟obligation d‟identifier le bénéficiaire. Ainsi est-il conseillé d‟exiger des « pièces justificatives
supplémentaires, des mesures additionnelles de vérification ou de certification des documents fournis ou des attestations de
confirmation de la part d'un établissement relevant de la présente Directive ou en exigeant que le premier paiement des
opérations soit effectué par un compte ouvert au nom du client auprès d'un établissement de crédit relevant de la Directive ».
De plus, les mouvements de comptes requièrent l‟attention des établissements bancaires, notamment pour
des transactions égales ou supérieures à 15.000 euros.
Une préoccupation partagée par le Code Monétaire et Financier dont l‟article L. 563-179 rappelle que80 «Les
organismes financiers ou les personnes visées à l'article L. 562-1 doivent, avant de nouer une relation contractuelle ou
d'assister leur client dans la préparation ou la réalisation d'une transaction, s'assurer de l'identité de leur cocontractant par la
présentation de tout document écrit probant. ….. Pratiquement, lors d’une demande d’ouverture de compte auprès d’un
fournisseur de service, la banque X, le client s’authentifiera auprès de divers fournisseurs d’identité ou d’attributs (agence
gouvernementale, opérateur télécoms, autre banque) pour récupérer et transmettre tous les documents nécessaires à l’ouverture
du compte (justificatif de domicile, données d’identité ».81
Ce cadre réglementaire strict confirme la fragilité du dispositif mis en œuvre par les banques en ligne :
photocopies de CNI et attestations de domicile ou envoi par mail de documents scannérisés ; des pièces
aisément falsifiables vu l‟absence de vérification d‟intégrité - bande MRZ, laminat – et connexion à une
base de données de titres perdus ou falsifiés. Mais la communication de documents en ligne continue à
représenter un problème pour nos internautes, d‟où le faible taux d‟adhérents nouveaux, moins de 10%
des 5 millions de comptes créés chaque année82.
2.3.3
Le marché des titres scripturaux
Les moyens de paiement scripturaux se composent d‟un dispositif technique et organisationnel 83 destiné à
garantir la validité d‟une transaction. Ce terme désigne donc les chèques, virements, mandats, TIPs, de
même que les transactions par cartes de crédit.
Directive 2001/97/CE du Parlement européen et du Conseil du 4 décembre 2001 modifiant la directive 91/308/CEE du Conseil relative à la
prévention de l'utilisation du système financier aux fins du blanchiment de capitaux
79 II. - Pour l'application de l'article L. 563-1, les organismes financiers et les personnes mentionnés à l'article L. 562-1 vérifient l'identité d'une
personne physique par la présentation d'un document officiel en cours de validité portant sa photographie. Ils conservent la copie de ce document ou ses
références. Les mentions relatives à l'identité à vérifier comprennent les nom, prénoms ainsi que les date et lieu de naissance. Outre ces mentions, les
références à conserver incluent la nature, le numéro, les date et lieu de délivrance du document ainsi que le nom de l'autorité ou personne qui l'a délivré ou
authentifié.
80 Livre Blanc Gestion des Identités. Analyse des contextes juridique, socio-économique et sociétal. FC² Paris 2010
81 III. - La vérification de l'identité des personnes physiques peut ne pas avoir lieu en présence de la personne à identifier. Dans ce cas, outre l'obtention
d'une copie du document exigé au II, les organismes financiers et les personnes mentionnés à l'article L. 562-1 prennent les dispositions spécifiques et
adéquates nécessaires, en adoptant des mesures parmi l'une au moins des quatre catégories de mesures suivantes :
1°Obtenir des pièces justificatives supplémentaires permettant d'établir l'identité du cocontractant ;
2° Mettre en œuvre des mesures de vérification et de certification de la copie de la pièce officielle d'identité mentionnée au II par un tiers indépendant de la
personne à identifier ;
3° Exiger que le premier paiement des opérations soit effectué par un compte ouvert au nom du client auprès d'un organisme financier établi dans un
Etat membre de la Communauté européenne ou dans un autre Etat partie à l'accord sur l'Espace économique européen ;
4° Obtenir une attestation de confirmation de l'identité d'un client de la part d'un organisme financier établi dans un Etat membre de la Communauté
européenne ou dans un autre Etat partie à l'accord sur l'Espace économique européen. L'attestation mentionne les éléments d'identification cités au II, est
adressée directement par cet organisme à la personne demandant l'identification et précise le nom et les coordonnées du représentant de l'organisme l'ayant
délivrée. Cette attestation peut également être obtenue d'un organisme financier établi sur le territoire d'un Etat figurant sur la liste établie conformément
aux dispositions du quatrième alinéa du IV, qui est en relation d'affaires suivie avec l'organisme financier ou la personne mentionnés à l'article L. 5621établis en France et qui déclare avoir procédé à des mesures d'identification équivalentes à celles applicables en France.
Les organismes financiers et les personnes mentionnés à l'article L. 562-1 conservent les documents et les résultats obtenus à la suite des vérifications.
82 Répartis entre Boursorama, ING, Fortuneo, Monabanq
83 La surveillance des moyens de scripturaux : objectifs et modalités de mise en œuvre (2004). Marc Andries, Carlos Martin, Direction des Systèmes de
paiement. Service de la Surveillance des moyens de paiement scripturaux. Banque de France
78
27/ 133
_________________________________________________________________________________________________________________
L‟usage répandu du chèque fait de la France le champion des paiements scripturaux84 - plus de 200 par
personne et par an contre 130 en moyenne dans la zone euro –, un nombre en croissance annuelle de
5%85. Ainsi, 25% des paiements scripturaux d‟Europe sont effectués en France ! Par contre, la carte de
crédit constitue le moyen de paiement le plus utilisé (32 %), bien avant le virement (28 %), le prélèvement
(25 %) et le chèque (14 %).
Ce tableau de la Banque de France86 confirme un potentiel important pour des procédés à base de
certificats. Prenons l‟hypothèse que les 3,3 milliards de chèques de 2009 - en diminution de 5,6% par
rapport à 2008 - se répartiront prochainement à 50/50 entre cartes de crédit (dans le monde physique) et
virements (par eBanking). Les mouvements bancaires totaliseront donc (hors cartes de crédit) près de 10
milliards d‟opérations. Sachant que ces chiffres cumulent particuliers et entreprises, si nous prenons
l‟hypothèse d‟1/10 pour des particuliers, ce sont donc 1milliard de virements qui pourraient être opérés
prochainement par du eBanking87, soit un rythme de 24 chèques par an ou de deux transactions par mois,
pour nos concitoyens.
2.3.4
SEPA Direct Debit
Comme le remarque Me Caprioli dans une lettre de la FNTC 88, « Les entreprises ayant une activité dans plusieurs
pays européens étaient, jusqu’à présent, contraintes d’ouvrir des comptes bancaires dans chaque pays de leur activité. Elles
avaient aussi la contrainte de gérer et d’initier leurs paiements avec des moyens techniques différents dans chaque pays. Elles
pourront avec le SEPA, centraliser, si elles le désirent, leurs comptes et leurs moyens de paiement sur un seul pays de la
Communauté Européenne »89.
La France reste un des derniers pays européens, avec le Royaume-Uni, où le chèque est fortement utilisé. En effet, les chèques émis en France
représentent environ 53 % du volume total enregistré dans l’Union européenne (28 % pour le Royaume-Uni)
85 Idem
86 La surveillance des moyens de scripturaux : objectifs et modalités de mise en œuvre (2004). Marc Andries, Carlos Martin, Direction des Systèmes de
paiement. Service de la Surveillance des moyens de paiement scripturaux. Banque de France
87 Aujourd’hui il est impossible de procéder à un virement bancaire si le bénéficiaire n’est pas enregistré au préalable
88 « Du Mandat au Mandat électronique ». La dématérialisation du mandat dans les paiements : un des impacts du SEPA 2009
89 Leurs relations commerciales et financières seront simplifiées avec des implémentations techniques rendues homogènes par l’usage de réseaux télécom, de
protocoles de communication et de formats informatiques normés au niveau européen. Les filiales européennes d’entreprises hors zone SEPA auront des
relations commerciales et financières homogènes avec les entreprises européennes au niveau continental. Les relations commerciales internationales seront
donc également simplifiées. Enfin, les entreprises ayant uniquement actuellement une activité nationale, pourront accéder à des paiements ponctuels
transfrontaliers plus facilement, profiter des économies d’échelles provoquées par la dimension du nouveau marché domestique européen des paiements et
enfin, les nouveaux standards de communication et de dématérialisation de ces nouveaux moyens de paiements permettront d’accéder à des nouveaux
services innovants.
84
28/ 133
_________________________________________________________________________________________________________________
Le SEPA Direct Debit (SDD) vise à homogénéiser les modalités de paiement - activités récurrentes par
TIP, ou opérations ponctuelles par cartes de crédit - dans un paysage tant national qu‟Européen. En
dehors de ses caractéristiques techniques, le SDD se différencie du prélèvement domestique actuel par 2
caractéristiques ayant un fort impact commercial :
 Le mandat doit être opéré par le créancier ("creditor mandate flow"). Ce qui lui impose notamment de gérer
une base de mandats dématérialisés, et d'être en mesure de produire la preuve d'un mandat auprès de la
banque du débiteur.
 La commission d'interchange disparaît, la banque du débiteur n'a donc aucune source de rémunération pour
le traitement d'un mandat SDD
Le RuleBook de l'EPC90 propose 2 possibilités pour gérer le mandat de manière électronique :
 Le "e-mandate" qui repose sur un modèle « 4 coins » dans lequel la banque du débiteur met en place un
serveur de validation lui permettant de confirmer en ligne son acceptation.
 La signature électronique du mandat, pouvant se faire par tout moyen conforme à la Directive européenne
sur la signature électronique. Il est à noter que cette dernière possibilité est valable pour les prélèvements
domestiques, même en dehors du cadre du RuleBook puisqu'un écrit électronique a la même force probante
qu'un écrit papier
Il est probable que le modèle "e-mandate" sera difficile à déployer car il est complexe techniquement et
oblige les banques débitrices à mettre en place des serveurs de validation sans contrepartie financière. La
Signature électronique du mandat représente, quant à elle, une opportunité pour les créanciers qui,
puisqu'ils doivent désormais gérer le mandat, voudront le faire de la manière la plus simple et la moins
coûteuse possible.
Plus généralement, le remplacement progressif des moyens de paiement scripturaux tels que TIP ou
chèque par virement SEPA, prélèvements récurrents ou même "One Off", constituent un vaste champ
d'application pour l'authentification et la signature électronique. En effet, ils ont besoin d'autant de
sécurité et d'imputabilité qu'un paiement par carte, sans pouvoir s'appuyer sur un modèle économique tel
que 3D Secure qui prévoit l'interchange et les moyens de vérification par la banque du débiteur.
La procédure de
eMandate met
en œuvre un
mécanisme
d‟autorisation
entre banques –
créditeur
et
bénéficiaire.
(Schéma EPC)
90
European Payments Council
29/ 133
_________________________________________________________________________________________________________________
2.4
Le crédit à la consommation
Le crédit souscrit en magasin (électroménager, mobilier, loisirs) dispose d‟un scénario bien rôdé :
montants faibles (1000-2000 euros), pièces justificatives minimales (CNI, chèque ou carte bancaire) et
paiement d‟une première mensualité. En cas de refus à l‟issue du délai Scrivener, débit automatique du
compte grâce à l‟empreinte de la carte ou du chèque de caution. Le financeur minimise ainsi le risque
d‟autant que la présence du client et une confirmation en temps réel de sa solvabilité constituent de solides
garanties91.
Identifié par l‟étude AFNOR de 2007 comme un secteur gagnant de l‟authentification forte, le crédit en
ligne peine à garantir l‟identité de l‟emprunteur (voire de co-emprunteurs), contrairement à la demande en
magasin. Pourtant les chiffres militent en faveur d‟une adhésion des français au financement différé92 :
 14 millions de ménages détiennent au moins un crédit à la fin 2009, soit 50,8 % des ménages,
 Près d'un tiers des ménages détient un crédit à la consommation fin 2009 (30,8 %)
 31,7 % des ménages ont un crédit immobilier en 2009 (en baisse par rapport à 2008 : 33,8 %)
La souscription en ligne achoppe sur la constitution d‟un dossier de preuves qui soit opposable à
l‟emprunteur en cas de litige et compréhensible par la chaîne du contentieux : huissiers et juges93. Deux cas
se présentent : B2C (crédit non attaché à un bien) et B2B2C (crédit attaché à un bien).
2.4.1
B2C
Non attaché à un bien, le crédit en ligne, qui permet de disposer d‟une réserve de trésorerie, représente le
cas simple (plusieurs milliards d‟encours) dans la mesure où l‟emprunteur n‟est pas conditionné par
l‟immédiateté d‟achat. Les pièces à fournir sont identiques au face à face : CNI, Impôts, salaires….
Des solutions de certificats ont été mises en œuvre94 pour des clients en compte, une approche de type
« cross selling » qui vise à augmenter les encours d‟emprunteurs, alors que le gros du marché porte sur la
conquête (ou recrutement) de nouveaux clients. A peine 1% des demandes sont dématérialisées - quelques
milliers parmi les millions soumises annuellement – mais seulement pour des emprunteurs connus.
2.4.2
B2B2C
Le financement est plus complexe lors d‟une démarche d‟achat. Pourtant, moins le bien est « impliquant »,
plus la procédure est dématérialisée ; un voyage se finançant mieux qu‟un bien immobilier. Totalisant
quelques dizaines de millions d‟euros l‟an, ce secteur, qui stagne, est appelé à peser plusieurs milliards si
des procédures d‟authentification forte et de signature sont disponibles95.
Le défi, c‟est la dématérialisation de la chaine de prêt, jusqu‟au traitement de contentieux ; huissiers et
juges devant se prononcer à l‟avenir sur des dossiers électroniques ; faute de jurisprudence, la profession
marque une expectative. A cet effet, CA Consumer Finance archive les textos des procédures bi-canales
destinées à confirmer le consentement par portable. Nos établissements de crédit avouent constater le
dynamisme de leurs filiales à l‟international dont la législation favorise l‟identification de l‟emprunteur par
numéro unique96.
Preuve de l‟impatience des financeurs, moult solutions de contournement – subtil équilibre entre
satisfaction client et appréciation du risque – visent à assouplir les délais de réflexion : Receive and Pay,
Les banques doivent se conformer au Règlement n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises
d’investissement. De plus elles sont assujetties à des procédures internes de contrôle encore plus contraignantes.
92 Selon l'enquête de l'Observatoire des crédits aux ménages (2009)
93 Entretien Mr Pinon, Directeur juridique CA Consumer Finance ; Mr Amoedo, Chef du service Media Interactifs - Marketing B2C at CA
Consumer Finance
94 Quicksign d’Altenor avec les certificats de Keynectis
95 Pour des montants d’emprunt faibles, le contrôle des pièces est dit simplifié et déclaratif (RIB + CNI) ; concernant des montants supérieurs, (>2000
Euros) 4 pièces justificatives sont alors demandées, notamment le niveau d’endettement
96 Comme c’est le cas en UK et Hongrie
91
30/ 133
_________________________________________________________________________________________________________________
eActivation97…. . Le bien est expédié avant même l‟octroi de la somme demandée, avec garantie de
paiement par prise d‟empreinte sur la carte de crédit. Parmi les alternatives, le Crédit Presto98, qui met en
jeu une architecture 3D Secure de façon à s‟assurer par SMS du consentement de l‟emprunteur.
En cas de refus de crédit, le vendeur est payé grâce à sa prise de garantie ; par contre, le financeur aura
travaillé pour rien. Et non pour contrer une tentative de fraude mais parce que le dossier est incomplet,
mal photocopié ou les justificatifs périmés…. D‟où leur préoccupation de fluidifier le crédit en ligne, mais
par une procédure juridiquement irréprochable.
2.4.3
Contexte juridique
Le crédit, notamment revolving, fait l‟objet d‟une attention de la Commission Européenne et du Ministère
de l‟Economie et des Finances ; l‟objectif, favoriser la concurrence transfrontière et protéger le
consommateur. La Directive99sur le Crédit à la Consommation (DCC)100 trouve sa transposition française
dans loi FICP101 qui vise à limiter les effets du surendettement.
Parmi les mesures nouvelles102, la production de multiples justificatifs (identité, domicile, revenus). Un
contexte qui milite en faveur de certificats ; les mieux à même de garantir l‟identité. On peut même
anticiper que l‟attestation de domicile ne soit plus obligatoire, si le demandeur est identifié de façon
certaine. La traditionnelle OPC (Offre Préalable de Crédit) sera prochainement remplacée par un
« Contrat de Crédit » pouvant être signé en ligne « sous réserve de conformité des documents
communiqués », laissant au demandeur 14 jours pour se rétracter103.
Le marché de l‟authentification forte concerne toutes les formes de crédits: B2C, B2B2C, revolving
(environ 3 millions de ménages104), mais également le SAV, la moitié des emprunteurs actualisant au moins
une fois l‟an leurs données d‟état civil. Le gain de productivité est estimé à 30-40% du temps consacré à
l‟examen des dossiers, en cas d‟une procédure automatisée105.
Considérant que près de 50% des demandes de crédit n‟aboutissent pas, on prévoit une croissance des
financements une fois automatisées les procédures d‟authentification. Il est donc nécessaire de privilégier
les taux de transformation en ligne, la fraude (minime) étant traitée par des mécanismes de scoring entre
patronymes, mails et adresses douteuses. Le frein à l‟octroi de crédit n‟étant pas tant lié à la fraude qu‟à la
difficulté de finaliser une demande sur la toile. Par contre, ne négligeons pas que de nombreux candidats
CA Consumer Finance
Cetelem
99 Résolution législative du Parlement européen du 16 janvier 2008 relative à la position commune du Conseil en vue de l'adoption de la directive du
Parlement européen et du Conseil concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE (9948/2/2007 – C60315/2007 – 2002/0222(COD))
100 Harmoniser les législations des Etats membres en matière de contrats de crédit aux consommateurs pour renforcer l’intégration du marché unique.
Renforcer le droit de rétractation du consommateur : non plus sept mais quatorze jours pour changer d’avis.
Prêteur devra également s’assurer de la solvabilité du consommateur bénéficiaire, par la création ou l’utilisation de bases de données adéquates.
Le prêteur consulte le fichier Ficher national des incidents de remboursement des crédits aux particuliers (FICP) de la Banque de France.
101 Fichier de la Banque de France des incidents bancaires de remboursements de crédits aux particuliers (FICP).
102 Obligation pour le crédit en magasin d’offrir le choix au consommateur entre crédit renouvelable et amortissable (pour les demandes de crédit d’un
montant supérieur à 1 000€). Obligation pour le prêteur de vérifier la solvabilité de l’emprunteur
97
98
Obligation pour le prêteur de consulter le fichier FICP qui recense les incidents de remboursement sur les crédits des particuliers
Sur le lieu de vente, remise obligatoire d’une fiche de dialogue et d’information à remplir à 4 mains par le vendeur et le consommateur-emprunteur.
Cette fiche sera l’occasion d’un véritable « point budget » pour évaluer si le crédit est adapté à l’emprunteur
Pour les crédits d’un montant important (plus de 3000 euros environ), l’emprunteur devra fournir des justificatifs (identité, domicile, revenus)
Inscription dans la loi d’un « devoir d’explication » du prêteur à l’égard de l’emprunteur.
Doublement du délai de rétractation de 7 à 14 jours.
Obligation de former à la distribution de crédit les vendeurs des magasins. Interdiction de moduler les commissions payées aux vendeurs selon qu’ils
distribuent du crédit renouvelable ou amortissable (afin que les vendeurs ne soient pas incités à orienter systématiquement les consommateurs vers du crédit
renouvelable).
103 Le client peut bénéficier des fonds à J+2 mais devra rembourser en cas de rétractation
104 Crédit revolving 21% de 14 millions de ménages emprunteurs, soit 3 millions
http://www.alternatives-economiques.fr/le-credit-revolving-en-accusation_fr_art_822_42128.html
105 Information CA Consumer Finance
31/ 133
_________________________________________________________________________________________________________________
emprunteurs surfent sur les sites de financeurs pour évaluer les conditions, frais de dossiers et conditions
de rétractation. Nous tenons compte de cette fraction d‟indécis dans nos évaluations.
2.4.4
Assurance crédit
L‟assurance crédit met en scène une entité juridique différente – filiale ou partenaire – à qui les
informations communiquées relèvent du déclaratif. L‟assureur fait confiance au financeur, se réservant la
faculté de ne pas couvrir le risque en cas de déclaration frauduleuse. Généralement, le contrat d‟assurance
est envoyé par la Poste, avec questionnaire médical ; donc un potentiel important de dématérialisation « de
bout en bout », vu les multiplicités de saisies, donc d‟imprécisions.
Contrairement aux contrats d‟assurance traditionnels, souvent complexes, car dépendants de la situation
familiale et professionnelle du souscripteur, la couverture crédit constitue un produit packagé ; donc un
cas idéal de souscription en ligne pouvant être signé électroniquement dans la foulée du Contrat de Crédit.
2.5
Les achats en ligne
Le eCommerce ne connait pas la crise106, comme en témoignent les chiffres ACSEL 2009 : 30 millions
d‟internautes, 10 achats chacun, pour un panier moyen de 90 Euros, soit un total par tête de 1000 Euros.
Les prévisions 2010 avoisinent un CA de 31 milliards. Selon les estimations de la FEVAD, le eCommerce
devrait continuer à progresser au même rythme, soit 38 milliards fin 2011 et plus de 45 milliards en 2012.
Le baromètre CDC-ACSEL
prouve l‟engouement des
français pour le commerce en
ligne qui connait une
croissance de 40%/an.
Les internautes avertis font
partie de la catégorie la plus
active aux achats sur le web.
Chiffres FEVAD : Les grands
gagnants sont les sites
d‟enchères (eBay) et réseaux
d‟affiliés
(Amazon)
qui
devancent de quelques points
les grossistes du web
(PriceMinister,
3Suisses,
FNAC…).
Par contre, une multitude de
petits sites ont émergé (près
de 70,000 !), sachant que 500
d‟entre eux concentrent plus
de
10,000
transactions
mensuelles.
106
Bilan annuel 2009 e-commerce en France : Source ACSEL, l’Association pour le Commerce et les Services En Ligne
32/ 133
_________________________________________________________________________________________________________________
Pourtant, la France se positionne derrière les Pays Bas, la Suède, l‟Allemagne et l‟Angleterre. Comme le
remarque l‟enquête CREDOC, l‟acheteur en ligne se situe parmi les CSP+ aux revenus élevés et résidant
en région parisienne107.
Un cas particulièrement intéressant pour les infrastructures à base de certificats : les 15% d‟acheteurs sans
cartes de crédit. Ils doivent remplir une autorisation de « Débit bancaire » ou rédiger un chèque en fin de
parcours ; donc un retour au « brick and mortar » dans ce contexte pourtant dématérialisé. Une catégorie
d‟internautes qui pèse près de 4,5 milliards (15% de 30 milliards d‟euros) pour quelques 37 millions de
transactions. Mais, d‟après les vendeurs, près de la moitié de ces promesses de paiements différés
n‟aboutissent pas. La solution, c‟est donc d‟accéder à son eBanking par le site de vente, en enchainant une
suite d‟opérations : authentification, appel de l‟IBAN du bénéficiaire et confirmer son consentement par
certificats.
Connaissant les taux pratiqués par les mécanismes de paiement (0,8-1,5%) - Paypal, Visa, MasterCard – il
n‟est pas exclu que les vendeurs favorisent à l‟avenir le débit bancaire si la procédure est avantageuse ;
d‟autant plus que l‟usage de certificats constituera une excellent garantie contre la répudiation - source
importante de préjudice – et constituera une alternative à 3D Secure.
2.5.1
Fraude à l’identité pour les achats en ligne
Concernant l‟achat sur le web, on distingue deux principaux types de fraude
 L‟utilisation de numéros de cartes usurpés ;
 L‟utilisation abusive et détournée de la Loi sur la Sécurité Quotidienne du 15 novembre 2001 permettant à
un acheteur identifié et de mauvaise foi de se soustraire à ses obligations de règlement.
Dans le second cas, l‟internaute de mauvaise foi ne pourra pas renouveler sa fraude dans la mesure où il
est immédiatement fiché par des mécanismes de scoring de plus en plus performants. Des résultats
impressionnants : 50,000 fraudeurs détectés derrière quelques 100,000 identités « jetables », générées pour
une simple transaction. Fia-Net, leader de la lutte contre la fraude sur internet, relève un volume moyen de
2,64 tentatives par « identité », en jonglant avec des multiples attributs : mails, adresses physiques et
numéros de téléphone108. Les tableaux de Fia-Net confirment la pertinence de l‟adresse pour la vente en
ligne, sachant que les fraudeurs privilégient les points de vente109.
Source Fia-Net. Fianet, Livre blanc 2010
La fraude à la carte
bancaire sur Internet.
Le scoring permet un
croisement
des
attributs susceptibles
de dissimuler
des
tentatives
de
malveillance.
Il existe de nombreux groupes où une majorité d’individus passe par Internet pour réaliser certains achats (Graphique 49 et Tableau 54) : les cadres
supérieurs (74%), les diplômés (71%), les bénéficiaires des revenus les plus élevés (65%), les 18-40 ans (plus de 60%), et les habitants de Paris et son
agglomération (56%). A contrario, certains groupes restent en retrait : un quart seulement des sexagénaires ou des titulaires de revenus mensuels
inférieurs à 900€ ont fait des emplettes sur Internet. Les non diplômés (13%), les retraités (16%) et les septuagénaires affichent des taux plus faibles
encore (Etude CREDOC 2009)
108 Le nombre de fraudeurs identifiés dépasse les 100 000 individus. On observe malgré tout un ralentissement dans l’évolution des identités de fraudeurs
repérées sur les trois dernières années (+ 81 % de 2006 à 2007, + 60 % de 2007 à 2008, + 42 % de 2008 à 2009). Cette tendance est à corréler
avec les nouvelles méthodes des fraudeurs qui utilisent de plus en plus d’identités jetables (voir l’explosion des réseaux page 15). En moyenne, FIA-NET
constate 2,64 fraudes par individu, pour un montant moyen de 295 €. Fia-Net, Livre blanc 2010 La fraude à la carte bancaire sur Internet.
109 Si le nombre de réseaux a connu une forte évolution, FIA-NET constate que les données liées au renouvellement d’informations (identités, adresses, emails, téléphones) ont fortement diminué. En effet, en 2008, les fraudeurs organisés en réseaux utilisaient en moyenne 9,38 identités chacun. En 2009,
ils n’en utilisaient plus que 4,5, soit une diminution de 52 %. Cette diminution se retrouve dans le nombre d’adresses (- 48 %), d’e-mails (- 49 %) et de
téléphones (- 49 %) utilisés.
107
33/ 133
_________________________________________________________________________________________________________________
Les fraudeurs jonglent
avec les multiples
attributs :
mails,
adresses physiques et
numéros de téléphone
de façon à déjouer les
mécanismes
de
scoring.
La tactique du fraudeur professionnel devient difficile à appréhender ; longtemps spécialisé en
électronique de luxe (iPhone, iPad) il achète maintenant des articles courants110 en mélangeant les identités
pour ne pas être détecté111.
Comme l‟indique FiaNet, les identités
fictives – de plus en
plus nombreuses - ne
peuvent être déjouées
que par croisement
des attributs - mails,
adresses, téléphones,
patronymes – avec
des bases de données
d‟acheteurs suspects.
Une tentative de fraude doit se concevoir comme une agrégation d‟attributs. Comme l‟indique Fia-Net,
« Le nombre d‟identités employées …..atteint son plus haut niveau en 2008 : en moyenne, chaque réseau
utilise plus de 9 identités différentes (+ 49 % par rapport à 2007). En deuxième position, les réseaux
utilisent de plus en plus d‟adresses de livraison (8,53 en moyenne en 2008). Le nombre de numéros de
téléphones utilisés, qui avait tendance à diminuer, connaît une forte croissance, particulièrement les
numéros de portables (qui se renouvellent de plus en plus souvent) ».
Sans surprise, la fréquence à laquelle les réseaux renouvellent leurs attributs est de plus en plus rapprochée
(chaque 2,20 transactions en moyenne), notamment les changements d‟adresse (toutes les 2,42
transactions)112.
Ceci prouve que si le nombre de réseaux de fraudeurs a augmenté, c’est principalement parce que les fraudeurs renouvellent beaucoup plus vite leurs
informations. De ce fait, les recoupements sont plus difficiles à effectuer. Les réseaux de fraudeurs tendraient ainsi à se fondre dans la masse des acheteurs
honnêtes par des comportements moins facilement identifiables et plus ‘classiques’.
111 le fraudeur de 2009 se définirait par son comportement d’acheteur classique privilégiant des secteurs d’activité à forte croissance et des petits paniers
moyens.
112 Fia-net, Livre blanc 2010. La fraude à la carte bancaire sur Internet
110
34/ 133
_________________________________________________________________________________________________________________
La fraude à l‟identité ne concerne
notre étude que dans la mesure où
l‟acheteur va répudier le paiement une
fois l‟objet livré. C‟est pourquoi les
mécanismes de scoring permettent de
déceler les anomalies éventuelles : carte
de crédit usurpée, patronyme usurpé,
etc…
Le succès de la vente en ligne (30
milliards
de
CA,
40%
de
croissance /an) nécessite que des
mesure soient prises.
2.5.2
Fraude aux paiements sur le web
L‟Observatoire de la sécurité des cartes de paiement de la Banque de France publie chaque année un
rapport sur le commerce électronique113. Le taux de fraude sur les paiements à distance (internet, courrier,
téléphone) atteint 0,263% en 2009 contre 0,252 % en 2008 pour un montant cumulé de 82 millions
d‟euros; alors que la fraude aux cartes de crédit dans le monde physique reste l‟un des plus faibles au
monde (0 ,014%) grâce à l‟usage du chip et du PIN code114. Ainsi le paiement en ligne, qui représente 7 %
en valeur des transactions, compte-t-il désormais pour 57 % du montant de la fraude.
Comme l‟indique l‟Observatoire de
la Banque de France, les secteurs
les plus touchés sont le voyage et la
vente en ligne qui totalisent 40%
des malveillances.
Concernant les jeux sur internet,
remarquons que ces statistiques
sont antérieures à la Loi relative à
l'ouverture à la concurrence et à la
régulation
du
secteur.
(Observatoire de la sécurité des
cartes de paiement. Banque de
France)
En partenariat avec la FEVAD qui s’appuie sur un échantillon de 33 entreprises de vente à distance représentant 38% du chiffre d’affaires des
adhérents de la FEVAD
114 Achats en ligne ; fraude augmente en 2009 à 0,263% contre 0,235% en 2008. Montant de la fraude : 51,9 millions d’euros.
7 fois plus élevé que le taux global (0,263% contre 0,038%).
113
35/ 133
_________________________________________________________________________________________________________________
Pour
les
paiements
à
l‟international, le taux de fraude
atteint 1,350 %, 22 % des
transactions totalisant près de 50 %
de la fraude. Mais, dans ce cas, les
mécanismes
de
croisement
d‟attributs – adresse, mails,
téléphones
–
deviennent
inopérants. L‟identification de
l‟acheteur en ligne apporte-t-elle
une réponse pour les achats hors
France ? Mais ceci nécessiterait une
standardisation des procédures
d‟authentification sur le web.
2.5.3
Le MO/TO (Mail Order / Telephone Order)
2.5.4
S’assurer du consentement de l’internaute
Autre vecteur de fraude, le paiement par courrier ou téléphone qui répond aux besoins de consommateurs
et prestataires : abonnements, vente par correspondance, réservation d‟hôtels, spectacles ou taxis115. Dans
ces cas, la malveillance dépasse les scores de fraude sur internet116 vu la possibilité de récupérer le
cryptogramme du titulaire de la carte117. Fortement concurrencée par le web, sa pratique est en diminution.
La fourniture de produits ou services en ligne est régie par l‟Article 1369-5 du Code Civil118. Le
destinataire doit « exprimer son acceptation», puis « L'auteur de l'offre doit accuser réception sans délai injustifié et
par voie électronique de la commande qui lui a été ainsi adressée », pour conclure que « La commande, la confirmation de
l'acceptation de l'offre et l'accusé de réception sont considérés comme reçus lorsque les parties auxquelles ils sont adressés
peuvent y avoir accès ».
Ce mécanisme d‟acceptation et d‟accusé de réception est à l‟origine du « double clic » familier aux
cyberacheteurs. Comme le remarque par Me Caprioli 119 « L’Article 1369-5 du Code civil établit une procédure à
suivre lors d’une commande en ligne. En cas de non-respect des conditions posées, le contrat ne sera pas valablement conclu.
(Tout d‟abord) Acceptation de l’offre de contracter : le fameux « clic » sur une icône ou sur un « oui » ou un « j’accepte».
(qui se décompose comme suit) : Confirmer l’accord au « cybervendeur », par « double clic » plus protecteur pour le
consommateur. (puis le) Vendeur « doit accuser réception sans délai injustifié et par voie électronique de la commande qui lui
a été ainsi adressée » ; (pour éventuellement) Passer la main à l’organisme de crédit ».
On peut s‟interroger sur la solidité juridique du procédé et suggérer son remplacement par un mécanisme
d‟authentification forte. Vu la réticence des internautes à la multiplicité des écrans, pourquoi ne pas
Paiements par carte par courrier ou téléphone (« Mail Order/Telephone Order » - MO/TO) : en diminution sensible
109 millions de paiements par carte reçus par courrier ou par téléphone ; 2 % de la valeur des transactions nationales).
116 Pour 2008, il a été relevé un accroissement du taux de fraude pour les paiements par carte par courrier et téléphone : celui-ci était en effet de 0,280 %
contre 0,201 % l’année précédente. Pour la première fois en 2008, le taux de fraude national pour le canal MO/TO dépassait le taux de fraude sur
Internet
117 Le code à usage unique sert au porteur à s’authentifier comme le porteur légitime auprès du commerçant. Contrairement au canal Internet qui permet
des vérifications informatiques, il peut être difficile d’utiliser de tels codes pour les canaux MO/TO. Il conviendrait en effet d’empêcher l’utilisation
abusive de ce code à usage unique, par exemple par un employé indélicat.
118 Article 1369-5. En vigueur depuis le 17 Juin 2005. Créé par Ordonnance 2005-674 2005-06-16 art. 1 I, III JORF 17 juin 2005.
Créé par Ordonnance n°2005-674 du 16 juin 2005 - art. 1 () JORF 17 juin 2005.
Pour que le contrat soit valablement conclu, le destinataire de l'offre doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, et de
corriger d'éventuelles erreurs, avant de confirmer celle-ci pour exprimer son acceptation.
L'auteur de l'offre doit accuser réception sans délai injustifié et par voie électronique de la commande qui lui a été ainsi adressée.
La commande, la confirmation de l'acceptation de l'offre et l'accusé de réception sont considérés comme reçus lorsque les parties auxquelles ils sont adressés
peuvent y avoir accès
119 Le processus de contractualisation en ligne. Eric Caprioli Lettre de la FNTC
115
36/ 133
_________________________________________________________________________________________________________________
s‟inspirer d‟une procédure « à la Paypal » qui, stockant l‟identifiant, déclencherait l‟acceptation de l‟usager
par certificat d‟authentification ou de signature ; la procédure doit être simple et répondre aux exigences
règlementaires.
2.5.5
La Directive Européenne sur les services de paiement120
En vigueur depuis le 1° novembre 2009, la Directive sur les services de paiement121 vise à créer un marché
d‟opérateurs financiers, avec des contraintes moindres que les banques. Un texte qui ouvre la voie à de
multiples acteurs comme les agences de voyages et opérateurs téléphoniques soucieux de gagner des parts
de marché.
Le texte propose plusieurs dispositifs de paiement en ligne pour une mise en confiance des parties,
notamment l‟article 4 :
 19) "authentification": la procédure permettant au prestataire de services de paiement de vérifier
l'utilisation d'un instrument de paiement donné, y compris ses dispositifs de sécurité personnalisés;
 21) "identifiant unique": la combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de
services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit
fournir pour permettre l'identification certaine de l'autre utilisateur de services de paiement et/ou de son
compte de paiement pour l'opération de paiement;
 23) "instrument de paiement": tout dispositif personnalisé et/ou ensemble de procédures convenu entre
l'utilisateur de services de paiement et le prestataire de services de paiement et auquel l'utilisateur de services
de paiement a recours pour initier un ordre de paiement;
 24) "moyen de communication à distance": tout moyen qui peut être utilisé pour conclure un contrat
de services de paiement sans la présence physique simultanée du prestataire de services de paiement et de
l'utilisateur de services de paiement;
Partant du concept de « dispositif de sécurité personnalisé122 », la Banque de France123 recommande la mise en
œuvre de « dispositifs d‟authentification non rejouables ». Objectif : garantir le consentement de l‟acheteur
et lutter contre la répudiation du paiement. Cinq mécanismes sont décrits, dont quatre portent sur un code
à usage unique:
 Carte matricielle avec chemin secret : le code à usage unique est produit à partir de la saisie de codes
obtenus sur la carte selon un chemin connu seulement de l‟utilisateur ;
 « Token » : le code à usage unique est généré par un algorithme placé dans un petit appareil électronique
suite à une pression sur un bouton ;
 Code à usage unique reçu par SMS ;
 Mini lecteur de carte à puce : le code à usage unique s‟affiche sur l‟écran du lecteur après insertion de la
carte bancaire du porteur et saisie de son code PIN.
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur,
modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE Texte présentant de
l'intérêt pour l'EEE
121 La directive sur les services de paiement (PSD) fournit le cadre juridique nécessaire à la mise en place d'un marché européen unique des paiements.
Elle vise à instaurer un ensemble complet et détaillé de règles applicables à tous les services de paiement dans l'Union européenne. Son but est de rendre les
paiements transfrontaliers aussi aisés, efficaces et sûrs que les paiements effectués à l'intérieur d'un État membre. La directive vise également à renforcer la
concurrence en ouvrant les marchés des paiements aux nouveaux venus, ce qui permet d'accroître l'efficacité et de réduire les coûts. Enfin, elle a pour objet
de
fournir
la
base
juridique
nécessaire
à
la
création
d'un
espace
unique
de
paiement
en
euros.
http://ec.europa.eu/internal_market/payments/framework/psd_fr.htm
122 La Directive introduit la notion de « dispositif de sécurité personnalisé », qui peut prendre plusieurs formes. Dans le cadre d’un paiement par carte au
point de vente (terminal de paiement), le DSP sera la puce sur la carte. Pour un paiement par carte en ligne, le DSP peut prendre la forme d’une
authentification supplémentaire – la BdF ayant en effet depuis 2007 décidé de promouvoir l’authentification non rejouable (pour les paiements par carte
et les opérations sensibles de banque en ligne). Entretien avec Alexandre Stervinou, Banque de France Novembre 2010.
123 Observatoire de la sécurité des cartes de paiement de la Banque de France
120
37/ 133
_________________________________________________________________________________________________________________
Le code à usage unique par SMS
est à l‟origine du procédé 3D
Secure
qui
transfère
la
responsabilité du paiement de la
banque du vendeur à celle de
l‟acheteur. Vu la réticence des
usagers français, il n‟est pas exclu
que d‟autres mécanismes soient
mis en œuvre pour éviter la
répudiation
de
l‟achat
(certificats ?)
Le
cinquième
dispositif
d‟authentification
non
rejouable recommandé par la
Banque de France consiste en
une clé USB avec certificat
électronique.
L‟internaute la connecte à son
ordinateur lors du paiement et
valide son acceptation par
code PIN.
Comme remarque le rapport de la Banque de France : « La clé USB, quant à elle, est perçue comme un objet à la
fois familier et moderne. L’habitude de sa manipulation dans la vie quotidienne engendre une appropriation immédiate par
les internautes et une utilisation intuitive de l’outil de sécurisation des transactions en ligne. De plus, elle est associée aux
instruments de nouvelle technologie, comme la clé de communication 3G »
De plus « Cet outil procure un sentiment de sécurisation fort, émanant d’une part de l’ensemble du dispositif (certificat
électronique, caractère personnel de la clé USB) et, d’autre part, de l’entrée d’un code PIN spécifique à la clé USB pour
générer le code à usage unique utilisé lors du paiement sur Internet. Le fait que cet objet puisse être utilisé à la fois chez soi et
en mobilité explique qu’il soit le plus en conformité avec les pratiques de paiement en ligne des « vigilants ».
Considérant que la Banque de France124 n‟exclut pas de nouveaux mécanismes de type 3D Secure, il peut
être envisagé un procédé à base de certificat activé par code PIN pour attester le consentement de l'usager
et rendre impossible la répudiation de son achat.
124
Entretien Mr Alexandre Stervinou, Banque de France. Eurosystème.
38/ 133
_________________________________________________________________________________________________________________
2.6
Les jeux en ligne
2.6.1
Contexte réglementaire
Depuis le 12 mai 2010, cette activité est encadrée par la « Loi relative à l'ouverture à la concurrence et à la
régulation du secteur des jeux d'argent et de hasard en ligne 125». Chargée de veiller à son fonctionnement,
l‟ARJEL126 a rendu public le 18 mai dernier un « Dossier des Exigence Techniques » qui détaille les règles
imposées aux opérateurs de façon à éviter les dérapages comme l‟accès aux mineurs et personnes
« interdites de jeu »127.
Ne peuvent jouer en ligne les catégories d‟individus répertoriées par « l‟Arrêté du 8 novembre 2010
portant création au profit de la direction centrale de la police judiciaire d‟un fichier des courses et jeux »,
notamment :
 1o Les personnes physiques exerçant ou ayant exercé une activité professionnelle en rapport avec les
établissements de jeux et les champs de courses hippiques, les cynodromes et les terrains de pelote basque,
et soumises à agrément, que ce dernier ait été accordé ou refusé ;
 2o Les personnes morales dont l‟activité est liée directement ou indirectement aux établissements de jeux et
aux champs de courses ou ayant des intérêts dans ces domaines ;
 3o Les personnes physiques ayant des intérêts ou des responsabilités liés aux activités ou aux personnes
morales mentionnées aux 1o et 2o ;
 4o Les personnes faisant ou ayant fait l‟objet d‟une exclusion de salles de jeux ou de champs de courses.
Autre préoccupation du régulateur, le « blanchiment » d‟argent128, d‟où un formalisme d‟enrôlement strict.
L‟internaute peut jouer « anonymement » pendant une durée maximale d‟un mois (reconductible une fois)
après quoi il doit communiquer son état civil129 :










Identité (nom, nom marital, nom d‟emprunt officiel, prénoms, sexe) ;
Surnoms, alias ;
Photographie ;
Date et lieu de naissance ;
Filiation ;
Nationalité ;
Situation familiale, nom du conjoint ou du Concubin ;
Adresses physiques, numéros de téléphone et adresses électroniques ;
Professions ;
Mandats électifs exercés dans la commune siège de l‟établissement (à l‟exclusion de toute mention relative
aux opinions politiques) ;
 Si elles acceptent la transmission de telles informations : la situation patrimoniale et financière permettant
de vérifier les conditions de ressources exigées
Lors d‟un entretien avec l‟ARJEL130, le secteur totalisait 1,2 millions de comptes pour 0,8 millions en
attente de régularisation. Comme on prévoit 10 millions de joueurs en 2017, affiliés à 2,6 sites en moyenne
(cf. Italie), ce secteur pourrait totaliser 26 millions de comptes. Du côté prestataires, on dénombre 44 sites
Loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne.
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022204510&dateTexte
126 Autorité de régulation des jeux en ligne
125
127 http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20101114&numTexte=35&pageDebut=&pageFin
Prévenir les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme
A réception du dossier complet le PMU envoie un code secret au titulaire par courrier à l’adresse du compte PMU. A la saisie de ce code secret, le
compte PMU sera alors définitivement ouvert. Avec un compte provisoire PMU, il est possible, sur le site pmu.fr :
d'enregistrer ses paris sur Internet 7jours/7 et 24h/24 dans la limite des disponibilités techniques d'accès au service ;
d'assurer le suivi de ses paris et de vérifier le crédit de ses gains ;
de disposer d'informations utiles pour parier et parfois exclusives ;
d'approvisionner son compte par carte bancaire, dans la limite de 750 € (montant de l'approvisionnement initial à l'ouverture du compte compris).
Il n'est pas possible de retirer ses gains et ses approvisionnements tant que le compte PMU n'est pas définitif.
130 Monsieur Epaulard, Directeur Général, Novembre 2010
128
129
39/ 133
_________________________________________________________________________________________________________________
pour 30 opérateurs, bien que plusieurs milliers des sites illégaux soient toujours accessibles131, mais sans
offrir les garanties de l‟État.
Les encours ne sont pas négligeables : PMU et FDJ totalisant 22 milliards d‟euros par leurs filières
traditionnelles (bureaux de tabac), il n‟est pas exclu qu‟une partie soit progressivement réaffectée au
web132. Autre chiffre clé, le « panier moyen » du joueur qui avoisine les 120 Euros mensuels !
A ce stade, plusieurs constats s‟imposent :
 Risque d‟erreur de saisie d‟état civil, une opération souvent externalisée, donc une possibilité de non
détection vis-à-vis du fichier des interdits.
 Dossiers incomplets, relevé d‟adresse non actualisé…
 Montée en puissance du parc de smartphones, donc une possibilité d‟usurpation de comptes à
authentification faible.
L‟autorité de régulation rappelle que « l’agrément ou son renouvellement est notamment conditionné à la démonstration
par l’entreprise de sa capacité technique, économique et financière à faire face durablement aux obligations attachées à son
activité, à la sauvegarde de l’ordre public, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, des
nécessités de la sécurité publique et de la lutte contre le jeu excessif ou pathologique…….selon l'article 21 de la Loi,
l'agrément ou son renouvellement est notamment conditionné à la démonstration par l'entreprise de sa capacité technique,
économique et financière à faire face durablement aux obligations attachées à son activité, à la sauvegarde de l'ordre public, de
la lutte contre le blanchiment des capitaux et le financement du terrorisme, des nécessités de la sécurité publique et de la lutte
contre le jeu excessif ou pathologique. »133.
La reconduction de l‟agrément constitue un défi pour les opérateurs qui, à l‟échéance de 6 ans, devront
confirmer leur vigilance. Aussi doit-on s‟interroger su les modalités d‟accès aux comptes à l‟avenir. Ainsi le
PMU rappelle que « (il) se réserve la possibilité de demander à tout moment à un titulaire de compte …. d'envoyer la
photocopie recto-verso d'un document officiel en cours de validité comportant son nom patronymique et son prénom, sa date et
son lieu de naissance ainsi que sa photographie (carte nationale d'identité, passeport, carte de résident...), et/ou un justificatif
de son domicile. En cas de non réception de ce(s) document(s) dans un délai porté à la connaissance du titulaire du compte, il
sera procédé à la fermeture du compte concerné.134 »
Bien entendu, il est prématuré de recommander la mise en œuvre de certificats qui risque de freiner les
joueurs ; par contre, l‟enrôlement en ligne devrait faciliter la conquête de nouveaux clients, en facilitant la
communication de dossiers après la période d‟anonymat. La révision de la Loi fin 2011 constitue donc une
opportunité pour simplifier les modalités d‟adhésion. Autre perspective d‟usage de certificats, l‟accès à un
compte bancaire depuis le site de jeu, soit pour récupérer un gain, soit pour alimenter son compte.
Comme pour les achats en ligne, les certificats offrent donc une alternative à Paypal et cartes de crédit
pour des virements en ligne.
Alors que leur accès pourrait être bloqué par les FAI
A ce jour, les encours sont les suivants (source ARJEL): Sports en général : 350 Millions, hippisme : 220 Millions ; Poker : 2 Milliards
133 JORF n°0113 du 18 mai 2010 page 9165, texte n° 29. Arrêté du 17 mai 2010 portant approbation du cahier des charges applicable aux
opérateurs de jeux en ligne
134 PMU : Règlement des paris en ligne
131
132
40/ 133
_________________________________________________________________________________________________________________
2.7
Les loisirs
2.7.1
Vidéo On Demand (VOD)
Bien que le marché de la VOD, notamment pour des films adultes, représente un chiffre d‟affaires
conséquent, il est peu probable que les prestataires exigent des preuves d‟identité, voire de majorité pour
les accès en ligne. En général, ces sites demandent la confirmation de l‟âge par simple clic, tout en
mentionnant la nature des contenus.
Preuve en est l‟Affaire Allopass citée par Me Caprioli dans une Lettre de la FNTC « Au nom de l'article
227-24 du code pénal, la responsabilité des prestataires est souvent engagée. L'affaire Allopass témoigne-telle d'un assouplissement de la jurisprudence ? (11/10/2005) ». Comme le remarque l‟avocat « Un juge
correctionnel vient d'acquitter le fournisseur d'une solution de paiement électronique, poursuivi pour avoir fourni sa solution à
un site sur lequel un mineur a téléchargé, moyennant paiement, des vidéos pornographiques ». Bien que poursuivi en
justice par les parents du mineur, le site a réussi à dégager sa responsabilité grâce aux informations
fournies préalablement au téléchargement de vidéos.
2.7.2
La location de voiture
Identifié par le consortium FC², la location de véhicules constitue l‟exemple même d‟une dématérialisation
de « bout en bout »135. D‟autant plus que la 3° Directive Européenne136 rend obligatoire, à l‟échéance du
19 Janvier 2013, la délivrance d‟un titre sécurisé qui, vu l‟engagement de l‟ANTS pour le protocole IAS,
disposera de certificats d‟authentification et de signature permettant d‟identifier le locataire et signer le
contrat à distance.
Sur la base des volumes de locations annuelles, nous évaluons dans les paragraphes suivants le potentiel
pour des certificats. Mais ce marché reste fort modeste, considérant que nombre de véhicules sont loués
par des étrangers de passage et qu‟il n‟existe pas de standard d‟authentification en ligne. Le marché des
véhicules urbains en location ouvre de nouvelles perspectives. Même si l‟identité « civile » ne devait pas
être nécessairement requise, l‟authentification sur la base du nouveau permis de conduire (après Janvier
2013) constitue une piste prometteuse pour automatiser la prise en charge du véhicule : validité du permis,
facturation du trajet, mais surtout éviter les fraudes et vols de véhicules.
2.8
Les greffes des tribunaux
2.8.1
Dématérialisation des procédures administratives
2.8.2
Procédures mises à disposition des entreprises
Les greffiers des tribunaux de commerce témoignent de la capacité de l‟administration à se réformer et
proposer des démarches en ligne. Depuis 2007, il est possible de créer une entreprise sur le web, modifier
ses statuts mais également de procéder à de multiples procédures comme l‟émission d‟injonctions de
payer137 vis-à-vis de tiers. Les greffiers visant à se positionner comme des acteurs de l‟e-procès et offrir
une gamme de services aux entreprises.
Le Greffier du Tribunal de Commerce est un officier public et ministériel dont le statut est défini par
l'article L741-7 du Code de Commerce. Sous l‟autorité du Garde des Sceaux, il est délégataire de la
puissance publique de l'État pour l'exécution d‟actes à caractère authentique. Les fonctions proposées en
ligne relèvent de l‟autorité de son ministère, notamment les modifications statutaires vis-à-vis du RCS :
.





Changement de gérant,
Modification de capital,
Transfert de siège,
Adjonction d‟activité
Requêtes en injonction de payer
Gestion des identités. Analyse des contextes juridique, socio-économique et sociétal. Cas location de voitures p.30. Consortium FC2
2006/126/EC http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:403:0018:0060:EN:PDF
137 Accessibles à partir d’Infogreffe http://www.infogreffe.fr/infogreffe/index.do
135
136
41/ 133
_________________________________________________________________________________________________________________
 Immatriculation d‟une société
La procédure se décompose comme suit :
 Remplir le formulaire en ligne (identification du créancier, du débiteur, du mandataire s‟il existe et de l‟objet
de la créance),
 Signer électroniquement la requête,
 Transmettre les pièces justificatives scannées (factures, mandat….),
 Payer en ligne par carte bancaire
Les données communiquées en ligne sont déclaratives et non vérifiées, tout comme la copie de la CNI,
donc une source de fraude et un potentiel pour des mécanismes d‟authentification forte de façon à repérer
les personnes interdites de gestion ou agissant sous des identités multiples138 ; en effet, les certificats
d‟Infogreffe permettent de signer les données communiquées mais nullement d‟attester l‟identité d‟un
internaute.
2.9
Les notaires
Comme les greffiers des tribunaux de Commerce, les notaires sont des officiers publics qui opèrent en
délégation de puissance publique sous l‟autorité du Garde des Sceaux ; d‟où la notion d‟acte authentique
attaché à leur fonction139. "Les notaires sont les officiers publics établis pour recevoir tous les actes et contrats auxquels les
parties doivent ou veulent faire donner le caractère d'authenticité attaché aux actes de l'autorité publique"140. Aussi l'acte
reçu par notaire présente-t-il de nombreuses caractéristiques, qui fondent sa supériorité sur toute autre
forme d‟acte juridique.
Autre point fondamental, « l‟acte authentique a une force probante, qui confère un caractère incontestable
aux faits énoncés et constatés par le notaire et vaut à l'acte authentique d'occuper la première place dans la
hiérarchie des preuves établie par le Code Civil ». Le notaire a donc l‟obligation de vérifier, à chaque
opération, l‟état civil du demandeur, notamment la jouissance de ses capacités, lorsque l‟acte modifie son
état civil (mariage) ou sert à transmettre un bien.
Il n‟est donc pas envisagé de communiquer en ligne son état civil aux notaires. Par contre, ils sont
intéressés à disposer d‟un espace sécurisé pour échanger des pièces avant la rédaction d‟un acte : vente,
succession, partage…. Sa mise en œuvre s‟inscrit dans une stratégie visant à offrir une gamme de services
dématérialisés et sécurisés aux particuliers : coffres-forts électroniques, espace notarial 141 et, notamment,
la procédure REAL142 permettant aux études de signer électroniquement des actes authentiques à distance.
Dans la mesure où la CNI n’est pas obligatoire, ce dispositif n’exclut nullement que des mandataires s’attribuent l’identité de personnes non
détentrices d’un titre d’identité. Des contrôles de cohérence peuvent être réalisés sur la base d’adresse comme d’attributs complémentaires.
139 Ordonnance du 2 novembre 1945 : « Les notaires sont les officiers publics établis pour recevoir les actes et contrats auxquels les parties doivent ou
veulent faire donner le caractère d’authenticité attaché aux actes de l’autorité publique, et pour assurer la date, en conserver le dépôt, en délivrer des grosses
et expéditions. »
140 Idem. Article 1
141 L'Espace notarial donne au client du notaire les moyens de suivre à tout moment le traitement de son dossier et d'y participer plus activement, sans
avoir besoin de systématiquement téléphoner à son notaire ou de prendre rendez-vous avec lui. L'Espace notarial est un service développé par la Chambre
interdépartementale des notaires de Paris. Il s'agit de permettre à un office notarial d'offrir à chacun de ses clients un espace confidentiel de travail en ligne
au sein duquel des informations pourront être partagées et des projets échangés en toute sécurité. L'Espace notarial est un site Extranet, hébergé au sein
du réseau professionnel IntraNotaires dans des conditions optimales de sécurisé et de disponibilité. Les notaires disposent au sein de leur étude des outils
qui leur permettent de diffuser leur documentation en garantissant une confidentialité totale. Le notaire maîtrise la consultation des documents, en
attribuant des droits d'accès à ses clients, à ses collaborateurs et autres parties prenantes à l'opération, ainsi qu'aux tiers appelés à travailler sur le dossier
(banques, avocats, experts comptables …). Le système permet: d'accéder à tout moment aux éléments du dossier (procurations, déclarations, certificats
techniques, documents administratifs, plans … ) ; de suivre en temps réel l'évolution des projets d'actes successifs; de solliciter des modifications de leur
texte; de communiquer des observations sur les propositions des autres intervenants; d'échanger toutes informations et fichiers; de fixer des niveaux d'accès
aux informations en fonction de la qualité des intervenants. Ouvert en 2005, l'Espace notarial est aujourd'hui un outil de travail utilisé quotidiennement
par un grand nombre d'études. http://www.paris.notaires.fr/art.php?cID=11&nID=531
142 La carte REAL permet au notaire d'agir plus rapidement en sa qualité d'officier public et de réduire d'autant la durée de traitement d'un dossier.
REAL est une carte à puce qui permet à chaque notaire de France et à leurs collaborateurs habilités : d'avoir accès des bases de données professionnelles
confidentielles, comme par exemple le Fichier central des dispositions de dernières volontés ; de sécuriser les échanges dématérialisés de la profession avec
l'administration (notamment la Direction Générales des Impôts) et ses grands partenaires institutionnels (la Caisse des Dépôts et Consignations, les
collectivités locales et territoriales, ...). La carte REAL est délivrée par le Conseil supérieur du Notariat selon un protocole destiné à garantir l'exclusivité
de son utilisation. Elle constitue à l'heure actuelle un outil de signature électronique entre les notaires et les collaborateurs d'offices notariaux, garantissant
leurs identités respectives et l'intégrité du contenu de leurs échanges. Dans un très proche avenir, elle permettra aux notaires de signer des actes établis sur
138
42/ 133
_________________________________________________________________________________________________________________
Sachant que les notaires peuvent attester de l‟identité des quelques 15 millions de nos concitoyens143 qui
défilent chaque année dans leurs études, le Conseil Supérieur n‟exclut pas de se positionner comme
prestataires IDéNUM. Mais aujourd‟hui la stratégie n‟est pas arrêtée quant au support et modèle financier.
2.10
Les huissiers de justice
Avec les notaires et greffiers des tribunaux de commerce, l‟huissier de justice constitue une troisième
profession libérale réglementée d‟officiers publics et ministériels agissant en délégation du Garde des
Sceaux. Personnage central des contentieux, il détient le monopole pour signifier et exécuter les décisions
des tribunaux. Une profession de 10 000 clercs et employés qui produisent chaque année près de 11
millions d'actes.
A la différence du notaire qui requiert auprès de la mairie de naissance la fiche d‟état civil d‟un client pour
chaque acte authentique, l‟huissier se contente d‟une copie de CNI lors de l‟ouverture d‟un dossier ; donc
des données déclaratives, sans vérification des pièces communiquées ; donc pas question
d‟authentification en ligne. Pourtant les huissiers, via l‟ADEC144, sont en train de dématérialiser leurs
procédures de contentieux et de proposer de nouveaux services comme de courriers à valeur probante.
2.11
La lettre recommandée électronique
La lettre recommandée, longtemps monopole de la Poste, constituera un marché nouveau pour des
acteurs qui enrichiront son offre : contenu de l‟envoi (la Poste peut transmettre des enveloppes vides),
archivage à valeur probante, horodatage et confirmation d‟identité des parties.
En décembre dernier (2010), le Conseil d'État145 a exigé des décrets d'application relatifs à l‟ordonnance de
2005 légalisant le recommandé électronique, décision qui brise de facto le monopole de l'opérateur
historique et ouvre le marché à la concurrence146. Actuellement, les textes ne reconnaissent que la lettre
recommandée "postale" (papier), la Poste étant le seul "tiers de confiance" officiellement reconnu147. Bien
que de multiples prestataires se positionnent, ils n'ont aujourd‟hui aucune valeur juridique en cas de litige.
Paru le 2 février 2011, le Décret no 2011-144 entend préciser les modalités d‟application de l‟article 1369-8
du code civil qui autorise l‟envoi d‟une lettre recommandée relative à la conclusion ou à l‟exécution d‟un
contrat par courrier électronique. Applicable à sa date de parution, ce décret est destiné aux opérateurs et
utilisateurs d‟envois recommandés.
Ce texte148 précise les caractéristiques de la lettre recommandée par voie électronique : dispositions
relatives au dépôt et à la distribution149 et obligations de l‟opérateur: avant tout envoi, l‟utilisateur devant
être informé des caractéristiques de la lettre recommandée et connaître l‟identité du tiers chargé de son
acheminement. Le texte détaille également les modalités relatives à l‟identification de l‟expéditeur, du
destinataire ainsi que du prestataire qui assure, le cas échéant, la distribution du recommandé sous forme
papier. Sont également fixées les mentions obligatoires que doit comporter la preuve de dépôt et de
distribution. Dans le cas d‟un recommandé électronique imprimé sur papier, il est prévu une procédure
pour mise en instance en cas d‟absence du destinataire. S‟il s‟agit d‟une distribution électronique, la
support électronique en leur conférant l'authenticité attachée aux actes notariés, comme le prévoient la Loi du 13 mars 2000 (article 1317, al.2 du Code
civil) et son décret d'application du 30 mars 2001. http://www.paris.notaires.fr/art.php?cID=11&nID=524
143 Chaque demande d’Etat Civil est évaluée à 5 euros par les notaires
144 Association Droit Electronique et Communication http://www.adec-asso.com/
145 Le recours auprès du Conseil d'Etat avait été déposé par Document Channel, filiale de STS Group, leader européen des éditeurs de logiciels dans le
domaine de la confiance numérique - certification électronique, délivrance et gestion de preuves formelles, vote électronique par correspondance, etc. "Cette
décision permet de sortir du flou juridique qui régnait autour de la lettre recommandée électronique depuis l'ordonnance de 2005 et d'ouvrir la porte à des
procédures légales, rapides et plus économiques pour tous les acteurs du marché", a souligné STS Group dans un communiqué.
146 "Nous attendons comme les autres opérateurs les dispositions de ce décret qui nous permettront d'être présent sur ce marché des formalités
électroniques", a indiqué une porte-parole de la Poste à l'AFP.
147 La Poste perd le monopole des recommandés électroniques. L'Expansion.com avec AFP
http://www.lexpansion.com/high-tech/la-poste-perd-le-monopol-des-recommandes-electroniques_241232.html
148 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023513151&dateTexte=&categorieLien=id
149 Décret no 2011-144 du 2 février 2011 relatif à l’envoi d’une lettre recommandée par courrier électronique pour la conclusion ou l’exécution d’un
contrat
43/ 133
_________________________________________________________________________________________________________________
procédure permet d‟accepter ou refuser l‟envoi pendant quinze jours. Enfin, le tiers chargé de
l‟acheminement doit mettre à disposition de l‟utilisateur une adresse électronique et un dispositif lui
permettant de déposer une réclamation. Ces décrets répondent aux exigences de l‟article 1369-8 du Code
civil pour qui « le courrier électronique recommandé acquiert force probante lorsque le procédé utilisé
pour l‟envoi d‟un courrier électronique recommandé répond à quatre exigences » :




le procédé doit identifier le tiers qui achemine le courrier électronique recommandé ;
le procédé doit désigner l‟expéditeur du courrier électronique recommandé ;
le procédé doit garantir l‟identité du destinataire du courrier électronique recommandé ;
le procédé doit établir si la lettre a été remise ou non au destinataire dudit courrier 150»
Ainsi le décret requiert-il de la part de l‟expéditeur :
 Son nom et son prénom ou sa raison sociale ainsi que son adresse de courrier électronique et son adresse
postale ;
 Le nom et le prénom ou la raison sociale du destinataire ainsi que son adresse postale ou de courrier
électronique ;
On remarquera que, faute de mécanismes à base de certificats, le Décret ignore l‟accusé de réception
électronique. Le tiers chargé de l'acheminement du recommandé doit conserver pendant un an ces
informations, ainsi que le document original électronique et son empreinte informatique. L'expéditeur a
accès, sur demande, au tiers chargé de l'acheminement, à ces informations ainsi qu'au recommandé
électronique et son empreinte informatique pendant un délai d'un an.
Lorsque l'expéditeur, avec l'accord du destinataire non professionnel, a demandé la distribution par voie
électronique, le tiers chargé de l'acheminement informe le destinataire, par courrier électronique, qu'un
recommandé va lui être envoyé et qu'il a la possibilité, pendant un délai de quinze jours à compter du
lendemain de l'envoi de cette information, de l'accepter ou de la refuser. Le destinataire n'est pas informé
de l'identité de l'expéditeur. On perçoit, à la lecture de ces lignes, le potentiel pour les opérateurs de
certificats, de façon à confirmer l‟identité des parties tout comme les modalités de l‟envoi. Vu la nouveauté
du décret d‟application, des opérateurs vont prochainement se positionner sur ce marché prometteur : la
Poste totalisant 200 millions de CA à elle seule pour ses recommandés.
Dans ce contexte concurrentiel, le service « Jedépose.com » des huissiers se positionne comme un nouvel
acteur en mettant à la disposition des professionnels et particuliers un mécanisme de courrier électronique
certifié (DepoMail) et de conservation (AuthentiDoc) qui bénéficie de la garantie de la profession151.
Permettant notamment d‟ « identifier l'émetteur et de garantir l'identité du destinataire mais aussi d'établir que la lettre
a été effectivement remise à ce dernier, le cas échéant. En outre, lorsqu'un avis de réception accompagne la lettre, celui-ci peut
être adressé à l'expéditeur par voie électronique ou par tout dispositif lui permettant de le conserver ».
Il n‟est pas exclu que d‟autres prestataires se positionnent, maintenant que le Décret 152 est paru. Mais la
confirmation d‟identité des parties nécessitera d‟intégrer l‟offre d‟un opérateur – CNIe ou IDéNUM – de
façon disposer d‟une solution cohérente de bout en bout. Le recommandé électronique va donc connaître
une concurrence importante, mais il est évident que les services ajoutés vont tirer le marché vers des
services plus complets et riches. Il est fort probable que la Poste « muscle » son offre, en introduisant une
composante authentification, lors de l‟émission. La société Trustmission 153 a récemment communiqué sur
une solution «certifiée par un huissier de justice ».
Vademecum juridique de la dématérialisation des documents. Cabinet d’Avocats Caprioli & Associés (Paris, Nice) www.caprioli-avocats.com Sous
la direction de Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-Président de la FNTC. Collection Les Guides de la Confiance FNTC
3ème édition 2010
151 Ce service s'inscrit dans le nouvel édifice légal de la dématérialisation, issu de la loi du 13 mars 2000, de la loi pour la confiance dans l'économie
numérique du 21 juin 2004 et de son ordonnance du 16 juin 2005 prise en application de l'article 26 de la LCEN ayant pour objectif d'adapter à
l'environnement électronique les dispositions législatives subordonnant la conclusion, la validité ou les effets de certains contrats à des formalités et
notamment les lettres recommandées. C'est surtout cette dernière ordonnance qui prévoit une section 3 intitulée « De l'envoi ou de la remise d'un écrit par
électronique ». Elle traite de l'équivalent électronique de l'envoi par lettre simple ou par lettre recommandée dans le cadre de la conclusion ou de l'exécution
d'un contrat ainsi que de la remise d'un écrit sous forme électronique (site DépoMail)
152 Décret no 2011-144 du 2 février 2011
153 http://www.trustmission.com/
150
44/ 133
_________________________________________________________________________________________________________________
2.12
Les assurances
2.12.1
e-Assurance
La souscription d‟assurances en ligne n‟est pas très développée dans la mesure où la majorité des contrats
sont reconduits tacitement. Aussi les bénéficiaires ne sont-ils pas tentés, comme en Angleterre, de
renégocier les primes à la date d‟anniversaire; d‟où une concurrence féroce chez nos voisins, mais des
montants plus élevés, vu les coûts de conquête.
Pour les assureurs, internet c‟est surtout un comparateur de prix bien plus qu‟une prise de contrats en
ligne. Quelques 15 millions de cotations ont été établies en 2009 - 10% santé, 70% assurance
automobile154 -, un marché dominé par le site Assurland.com (2,5 millions de visites mensuelles)155.
Comme pour la banque en ligne, certaines compagnies ont dématérialisé leur relation clientèle, notamment
Direct Assurance d‟AXA qui traite exclusivement par téléphone et internet depuis 1992. Des offres
« packagées » pour autos, muli-risques habitation (MRH), motos et santé156. Même politique pour Amaguiz
de Groupama, leader de l‟assurance low-cost. La concurrence sur les prix, comme le turnover des clients 12% en MRH, 16% pour l‟auto - risque d‟accentuer la délivrance de contrats en ligne dans les années à
venir.
En progrès de 40 % l‟an, la souscription en ligne représente aujourd‟hui 100,000 contrats par an mais sans
que l‟opération soit totalement dématérialisée ; la majorité nécessitant un contact conseiller. D‟après le
Benchmark Group, le canal internet157 seul représente seulement 5 %158 des contrats.
En référence à l‟arrêt de la Cour de Cassation du 27 mai 2008, Me Caprioli159 rappelle le caractère
consensuel du contrat d‟assurance qui ne nécessite pas un écrit d‟un strict point de vue formel. Aussi les
assureurs doivent-ils préconstituer les preuves de l‟engagement (du) client, « (notamment le) relevé d’information
du précédent assureur confirmant qu’il n’avait pas eu d’accident ».
En effet, le rapport de confiance établi entre les parties au moment de la souscription pourra-t-il être
caduc en cas de sinistre : « La fiabilité de la procédure de souscription est donc nécessaire et les sociétés d’assurance
réfléchissent aujourd’hui à l’ouverture de services de souscription en ligne pour des prestations plus engageantes : les assurances
portant sur la vie. Il n’est pas exclu que pour des raisons de sécurité juridique et technique, elles aient recours à des moyens et
des prestations de signatures électroniques (comme des certificats éphémères par exemple), fournis par des prestataires de
services de certification électronique 160».
Aujourd‟hui l‟assurance a entamé une réflexion de dématérialisation pour répondre à la nouvelle
génération férue d‟internet ; des pistes variées sont explorées : transmission de documents, actualisation
d‟état civil, communication de preuves161. La possible introduction en Bourse d‟Assurland.com162, ou sa
Source : Assurland. Publié le 17/06/2010. http://www.c-mon-assurance.com/assurance-sur-internet-bilan-2009.html
Avec de très bonnes perspectives de croissance et un poids déjà significatif pour plusieurs acteurs de l’assurance (parfois plus de 10 % du chiffre
d’affaires), Internet tient aujourd'hui un rôle important dans les stratégies de commercialisation. Qu'il s'agisse de solutions de devis, de souscription en
ligne ou d'outils web au service du réseau, tous les acteurs intègrent désormais ce canal pour assurer le développement commercial de leurs offres.
http://www.benchmark.fr/catalogue/publication/88/etude-assurances-et-mutuelles-sur-internet-les-meilleures-pratiques-en-europe.shtml/
156 Direct Assurance est une société du Groupe AXA, fondée en 1992. Pionnière de l'assurance en direct par téléphone et par Internet, Direct
Assurance est devenue rapidement le numéro 1 français de l'assurance automobile en direct ainsi que le leader français de l'assurance sur Internet
157 L’offre en ligne existe - véhicules (85 %), logements (78 %)
158 Etude portant sur 35 sites français et 15 européens. http://www.journaldunet.com/cc/08_finance/finance_fr.shtml
159 Vademecum juridique de la dématérialisation des documents. Cabinet d’Avocats Caprioli & Associés (Paris, Nice) www.caprioli-avocats.com Sous
3ème édition 2010
160 Idem
161 Entretien François Rosier FFSA 17 Janvier 2011
162 Le premier comparateur en ligne français d'assurances, Aussurland.com, va sortir du giron de Covéa. Le groupe d'assurances mutualiste, qui réunit
GMF, Maaf et MMA, a mandaté BNP Paribas et la Société générale pour préparer une introduction en Bourse, mais aussi pour étudier les éventuelles
marques d'intérêt. Trois fonds anglo-saxons, TA Associates, Silver Lake et Golden Lake Capital Advisors, seraient pour l'instant sur les rangs. La
valorisation d'Assurland oscille entre 150 et 200 millions d'euros. Covéa, qui avait acquis le comparateur en 2005 autour de 20 millions, bouclerait
donc une belle affaire. L'assureur assure privilégier une sortie en Bourse. Covéa détient également le courtier en ligne Empruntis, acheté début 2008 pour
environ 120 millions d'euros. A. G. PAGE Des fonds s'intéressent à Assurland.com
154
155
45/ 133
_________________________________________________________________________________________________________________
cession à des investisseurs, laisse présager que les futurs détenteurs du comparateur de taux soient
intéressés par offre plus complète de services, notamment la prise de contrats en ligne, suivant un modèle
de coût à définir avec les assureurs.
2.12.2
Nécessité d’authentification forte
Le contrat d‟assurance porte sur des données déclaratives – patronyme, date de naissance, type de
véhicule…. – le prestataire pouvant se désengager en cas de sinistre, si les données s‟avèrent erronées. La
majorité des contrats – Responsabilité civile, auto, moto – n‟appliquent donc pas de contrôle d‟identité.
A la différence de la banque dont le titulaire de compte possède une jouissance quotidienne, l‟assureur
couvre un risque, en espérant qu‟il ne se concrétise pas. Si l‟on considère la croissance de souscriptions sur
le web, on ne peut exclure163 l‟usage prochain de certificats ; notamment lorsque la prise d‟effet est
immédiate, comme la conduite d‟un véhicule.
Les produits financiers - assurances-vie (14,5 millions de contrats, progression annuelle 10%, assurances
crédits (3,7 millions /an), PERP (62,000 contrats / an) – restent majoritairement signés en présence de
conseillers d‟agences ; multiples options étant proposées en fonction de l‟âge, revenus et situation
familiale. On ne peut donc considérer ce secteur comme représentatif de l‟authentification forte, d‟autant
que le souscripteur n‟a pas jouissance immédiate de son épargne.
Pourtant, on ne peut exclure que le web offre prochainement des produits financiers packagés, comme
c‟est le cas au Royaume Uni, pour diminuer les coûts de gestion. Ainsi, Predica, filiale du Crédit Agricole
et LCL, propose ses assurances-vie en ligne. La souscription met en œuvre l'envoi d'un code à usage
unique par SMS ou propose l'installation d'un certificat électronique. Par contre, les frais de souscription
ne sont pas réduits ; il est donc urgent que la banque revoie sa stratégie si elle veut dynamiser ce canal de
vente.
2.12.3
Loi Chatel
Votée par le 20 décembre 2007, la loi « pour le développement de la concurrence au service des
consommateurs » ou Loi Chatel vise à faire baisser les prix entre prestataires de services en favorisant les
conditions de sorties de ces contrats164. Ainsi, l‟article L.136-1 prévoit: que "Le professionnel prestataire de
services informe le consommateur par écrit, au plus tôt trois mois et au plus tard un mois avant le terme de la période
autorisant le rejet de la reconduction, de la possibilité de ne pas reconduire le contrat qu'il a conclu avec une clause de
reconduction tacite.165
Dans la mesure où l‟avis d‟échéance s‟accompagne d‟une demande de règlement, l‟assuré devrait pouvoir
procéder à un virement sans plus utiliser chèques ou TIPs. La procédure mettant en œuvre des certificats
reste à définir : accès au compte client sur le site de l‟assureur, authentification à l‟eBanking, génération de
l‟IBAN du bénéficiaire et signature du consentement.
Mots clés : comparateur d'assurance en ligne, FRANCE, COVea Par Anne de Guigné. 02/03/2011. Le Figaro. Covéa envisage aussi une
introduction en Bourse de sa filiale.
163 Comme mentionné par le Vademecum de la FNTC
164 Loi n°2005-67 du 28 janvier 2005 tendant à conforter la confiance et la protection du consommateur (1). Titre 1er : Faciliter la résiliation des
contrats tacitement reconductibles.
165 Article L113-15-1. Créé par Loi n°2005-67 du 28 janvier 2005 - art. 2 JORF 1er février 2005 en vigueur le 28 juillet 2005
Pour les contrats à tacite reconduction couvrant les personnes physiques en dehors de leurs activités professionnelles, la date limite d'exercice par l'assuré du
droit à dénonciation du contrat doit être rappelée avec chaque avis d'échéance annuelle de prime ou de cotisation. Lorsque cet avis lui est adressé moins de
quinze jours avant cette date, ou lorsqu'il lui est adressé après cette date, l'assuré est informé avec cet avis qu'il dispose d'un délai de vingt jours suivant la
date d'envoi de cet avis pour dénoncer la reconduction du contrat. Dans ce cas, le délai de dénonciation court à partir de la date figurant sur le cachet de la
poste.
Lorsque cette information ne lui a pas été adressée conformément aux dispositions du premier alinéa, l'assuré peut mettre un terme au contrat, sans
pénalités, à tout moment à compter de la date de reconduction en envoyant une lettre recommandée à l'assureur. La résiliation prend effet le lendemain de
la date figurant sur le cachet de la poste.
L'assuré est tenu au paiement de la partie de prime ou de cotisation correspondant à la période pendant laquelle le risque a couru, période calculée jusqu'à
la date d'effet de la résiliation. Le cas échéant, l'assureur doit rembourser à l'assuré, dans un délai de trente jours à compter de la date d'effet de la
résiliation, la partie de prime ou de cotisation correspondant à la période pendant laquelle le risque n'a pas couru, période calculée à compter de ladite date
d'effet. A défaut de remboursement dans ces conditions, les sommes dues sont productives d'intérêts au taux légal.
Les dispositions du présent article ne sont applicables ni aux assurances sur la vie ni aux contrats de groupe et autres opérations collectives.
46/ 133
_________________________________________________________________________________________________________________
2.13
Le vote électronique
2.13.1
Le cadre règlementaire
La loi sur la Confiance en l‟Economie Numérique166 de 2004 autorise les entreprises à recourir au vote
électronique167 pour les élections de délégués168, un pas franchi par quelques grosses sociétés169. Le gain de
productivité est considérable170 : équipements réduits, comptage automatisé, PV….. Pour ce faire, la
direction signe un accord d‟entreprise qui intègre le cahier des charges du système.171 L‟unicité du vote est
attestée par confirmation électronique, le salarié ne pouvant se prononcer qu‟une fois.
Le décret n°2007-602 du 25 avril 2007 détaille les modalités de mise en œuvre du vote électronique pour
les délégués du personnel et comités d'entreprise : confidentialité des données, sécurité d'authentification,
d'émargement, d'enregistrement et du dépouillement172. Considérant les risques de pression, le vote à
distance est possible, d‟où une nécessité d‟authentification forte.
Vu la faible représentation syndicale, ces élections ne constituent pas un marché significatif. Par contre, les
prud‟hommes représentent un enjeu, considérant l‟éloignement des bureaux de vote par rapport au lieu de
travail et les taux d‟abstention ; vingt millions d‟électeurs devant se prononcer tous les 4 ans pour élire plus
de 200 collèges. Le vote électronique n‟est pas uniquement possible dans le champ des élections
professionnelles, il peut également être mis en œuvre pour des scrutins de français résidants à l'étranger173.
Le vote électronique répond à une double problématique : authentification des personnes mais surtout
garantie d‟anonymat comme le rappelle la CNIL ―Le dispositif doit garantir que l’identité de l’électeur ne peut pas
être mise en relation avec l’expression de son vote, et cela à tout moment du processus de vote, y compris après le
dépouillement„ (Délibération n° 2010-371)174.
Ainsi la CNIL prend-elle parti pour des mécanismes d‟authentification forte de façon à garantir la
légitimité du scrutin et l‟anonymat des décisions : Le système de vote doit prévoir l’authentification des personnes
autorisées à accéder au système pour exprimer leur vote. Il doit garantir la confidentialité des moyens fournis à l’électeur pour
cet accès et prendre toutes précautions utiles afin d’éviter qu’une personne non autorisée ne puisse se substituer frauduleusement
à l’électeur. La Commission estime qu’une authentification de l'électeur sur la base d'un certificat électronique constitue la
solution la plus satisfaisante en l'état de la technique. Le certificat électronique doit être choisi et utilisé conformément aux
préconisations du RGS175.
166 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (1).
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164&dateTexte=
167 L'article 54 de la LCEN modifie les articles L.423-13 et L 433-9 du Code du Travail en stipulant que les élections professionnelles peuvent
s’effectuer par voie électronique.
168 Les élections professionnelles en entreprise concernent l’élection des délégués du personnel dans les entreprises de plus de 10 salariés, et des membres du
comité d’entreprise à partir de 50 salariés.
169 la SNCF, le Crédit Agricole ou Siemens (annexe 2). Certaines branches professionnelles ont même signé des accords dans ce sens, preuve de la
fiabilité du vote électronique par Internet
170 Il permet de réduire le matériel engagé et donc le coût global des élections (de 30 à 70% par rapport au vote par correspondance).
171 Art. L.2314-21 et L.2324-19 du code du travail
172 Les fichiers comportant les éléments d'authentification des électeurs, les clés de chiffrement et de déchiffrement et le contenu de l'urne ne doivent être
accessibles qu'aux personnes chargées de la gestion et de la maintenance du système.
Le système de vote électronique doit pouvoir être scellé à l'ouverture et à la clôture du scrutin.
Les données relatives aux électeurs inscrits sur les listes électorales ainsi que celles relatives à leur vote sont traitées par des systèmes informatiques
distincts, dédiés et isolés, respectivement dénommés "fichier des électeurs" et "contenu de l'urne électronique".
Vademecum juridique de la dématérialisation des documents. Cabinet d’Avocats Caprioli & Associés (Paris, Nice) www.caprioli-avocats.com Sous la
direction d’Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-président de la FNTC. Collection Les Guides de la Confiance FNTC 3ème
édition 2010
173 en 2009, pour la première fois, la possibilité de recourir au vote électronique pour une élection nationale, au suffrage universel direct, a été introduite
par l’ordonnance n° 2009-936 du 29 juillet 2009 relative à l'élection de députés par les Français établis hors de France.
174 http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/249: I.2. La séparation des données nominatives des électeurs et des votes
175 http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/249/ II.1.2. Les procédés d'authentification de l'électeur
47/ 133
_________________________________________________________________________________________________________________
2.13.2
Le vote électronique au sein des ordres professionnels
Dans une lettre de la FNTC176, Me Caprioli mentionne les possibilités de vote électronique pour les ordres
professionnels à travers l‟exemple des avocats. Ainsi rappelle-t-il que « Le décret n°2002-1306 du 28 octobre
2002 qui institue le vote à distance par voie électronique pour l’élection des membres du Conseil national des barreaux est-il
venu modifier le décret n° 91-1197 du 27 novembre 1991 organisant la profession d’avocat …. Ainsi, aux termes de
l’article 28 alinéa 3 « les électeurs peuvent voter à distance par voie électronique lorsque l’ordre dont ils relèvent a adopté les
mesures techniques nécessaires. Dans cette hypothèse, quinze jours au moins avant la date du scrutin, l’ordre porte à la
connaissance de ses membres disposant du droit de vote, les modalités pratiques du scrutin et leur adresse un code personnel et
confidentiel » Un secteur significatif dans la mesure où les ordres professionnels ont un souci de
représentation forte. Le document d‟identité, flanqué d‟un certificat, possèdera une valeur probante à
moins que les cartes professionnelles ne possèdent également cette fonction.
2.13.3
Le vote électronique dans les sociétés cotées
2.13.4
Les solutions proposées
A l‟exception de quelques rares entreprises comme France Télécom, Danone ou BNP Paribas, très peu de
sociétés cotées proposent de voter par Internet lors des assemblées générales, bien que le procédé soit
autorisé depuis 2001 : « les deux tiers des actionnaires ne reçoivent pas le formulaire de vote, l’envoi coûteux d’un courrier
papier par la Poste est souvent réservé de fait aux actionnaires inscrits au nominatif ou détenant un grand nombre de
voix »177. C‟est pourtant une demande des petits porteurs – notamment Colette Neuville présidente de
l‟Adam – comme les jeunes, salariés, provinciaux, retraités, étrangers, et même gérants178 qui souhaitent
participer davantage179 aux activités des entreprises. De plus « le vote électronique offrira une traçabilité, l’assurance
que le vote a été pris en compte. Tout sera vérifiable, il n’y aura plus de problème de preuve. Alors qu’il est déjà arrivé
plusieurs fois qu’un actionnaire détenant par exemple 4% des voix et votant contre une résolution constate que celle-ci a été
adoptée à 98% ! Les mémoires du système informatique central conserveront tout pendant trois ans, et au-delà si une
contestation est engagée »180.
Le vote électronique est encadré par l‟article L. 225-107 du Code du Commerce qui, comme le remarque
Me Caprioli181, dispose que « tout actionnaire peut voter par correspondance, au moyen d’un formulaire dont les mentions
sont fixées par décret en Conseil d’État ». De plus, « si les statuts le prévoient, sont réputés présents pour le calcul du
quorum et de la majorité les actionnaires qui participent à l’assemblée par visioconférence ou par des moyens de
télécommunication permettant leur identification et dont la nature et les conditions d’application sont déterminées par décret en
Conseil d’État ». Un vote qui peut s‟opérer, soit par voie postale, soit par voie électronique pour faciliter la
participation du plus grand nombre182.
De plus Me Caprioli rappelle, sur la base du nouvel article R. 225-63 du Code du Commerce, que « les
sociétés qui entendent recourir à la télécommunication électronique en lieu et place d’un envoi postal pour satisfaire aux
formalités prévues aux articles R. 225-67, R. 225-68, R. 225-72, R. 225-74 et R. 225-88 recueillent au préalable par
écrit l’accord des actionnaires intéressés qui indiquent leur adresse électronique. Ces derniers peuvent à tout moment demander
Vademecum juridique de la dématérialisation des documents. Cabinet d’Avocats Caprioli & Associés (Paris, Nice) www.caprioli-avocats.com Sous
la direction d’Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-président de la FNTC. Collection Les Guides de la Confiance FNTC
3ème édition 2010
177 Pierre-Henri Leroy, président du cabinet conseil aux investisseurs Proxinvest
178 Les gérants se déplacent rarement. En 2008, un tiers seulement des sociétés de gestion auraient été physiquement présentes à au moins une assemblée.
179 Bien que 90 % des sociétés de gestion françaises participent aux AG peu de gérants se déplacent. En effet, « Le vote par correspondance est la forme
prédominante de participation aux assemblées d'émetteurs français, à hauteur de 75 % », précise la dernière enquête de l'AFG sur ce sujet
180 Colette Neuville ADAM,
181 Vademecum juridique de la dématérialisation des documents. Cabinet d’Avocats Caprioli & Associés (Paris, Nice) www.caprioli-avocats.com Sous
3ème édition 2010
182 C’est également l’objectif de la Directive 2007/36/CE du Parlement européen et du Conseil du 11 juillet 2007 concernant l'exercice de certains
droits des actionnaires de sociétés cotées. « La présente directive fixe des normes d'exigence minimale afin de faciliter l'exercice des droits des actionnaires
dans les assemblées générales des sociétés cotées, notamment sur une base transfrontalière. Elle vise également à prendre en compte les possibilités que
représentent les technologies modernes. En matière d'informations à communiquer préalablement à l'assemblée générale, les sociétés doivent:
envoyer la convocation au plus tard le vingt et unième jour précédant l'assemblée générale;
inclure dans la convocation les informations essentielles (date, lieu de l'assemblée générale, projet d'ordre du jour, description des procédures de
participation et de vote, etc.);
publier sur le site Internet de la société la convocation, le texte complet des projets de résolution et les informations pratiques essentielles (nombre total
d'actions et de droits de vote, documents destinés à être présentés, ou commentaire pour chaque point à l'ordre du jour, éventuellement formulaires de vote).
176
48/ 133
_________________________________________________________________________________________________________________
expressément à la société par lettre recommandée avec demande d’avis de réception que le moyen de télécommunication
susmentionné soit remplacé à l’avenir par un envoi postal183. Ainsi la société doit-elle créer un site184 pour que les actionnaires
puissent confirmer leur intention par écrit et communiquer leur adresse électronique.185 Au final, l’exercice du droit de vote
électronique nécessite l’identification par un code « fourni préalablement à la séance ».
A ce jour, l‟ANSA186 précise qu‟elle ne saurait recommander le vote électronique à distance en raison des
précautions techniques qu‟il conviendrait de mettre en œuvre : les solutions techniques seraient-elles
insuffisantes au regard des perspectives ouvertes par le Décret du 3 mai 2002 ?
Cette absence de dynamisme découle du manque d‟outils disponibles, bien que les certificats aient été
envisagés comme une alternative aux traditionnels identifiants / mots de passe, sources de contestation en
cas de litige. C‟est pourquoi, Jean-Paul Valuet, président de l‟ANSA a transmis à la Chancellerie et au
Trésor une demande de modification des textes, car seul un système simple pourra être utilisé par les
actionnaires. Marcel Roncin, président de l‟Association française des professionnels des titres (AFTI),
prépare activement la mise en place du vote par le Web en 2011. Un appel d‟offres étant attendu (Février
2011) sous l‟égide de l‟ANSA et du CFONB187.
Le décret n° 2010-684 du 23 juin 2010 qui vise à améliorer l'exercice du droit des actionnaires de sociétés
cotées s'applique désormais aux assemblées générales tenues à compter du 1er octobre 2010 (article 9 du
décret n° 2010-684). Pendant une durée ininterrompue commençant au plus tard le vingt et unième jour
précédant l'AG, ces sociétés auront l'obligation, en application de l'article R. 225-73-1 du Code de
commerce, de publier sur leur site internet les informations et documents suivants :
 L'avis de réunion,
 Le nombre total de droits de vote existant et le nombre d'actions composant le capital de la société à la date
de publication de cet avis, en précisant, le cas échéant, le nombre d'actions et de droits de vote existant à
cette date pour chaque catégorie d'actions,
 Les documents que les actionnaires ont le droit de consulter avant l'assemblée,
 Le texte des projets de résolution qui seront présentés à l'assemblée par le conseil d'administration ou le
directoire,
 Les formulaires de vote par correspondance et de vote par procuration ou le document unique de vote par
procuration et de vote à distance, la société pouvant toutefois se dispenser de publier ces formulaires si elle
les adresse à tous ses actionnaires.
La Commission de Bruxelles s‟était également emparée du dossier dans une Communication de 2003
intitulée «Modernisation du droit des sociétés et renforcement du gouvernement d'entreprise dans l'Union
européenne, notamment pour renforcer le droit des actionnaires des sociétés cotées et régler le problème
du vote transfrontalier188.
On réalise les gains de productivité et la sécurité des procédures par certificats électroniques ; l‟activation
du PIN permettant d‟accéder à un compte d‟actionnaire et ainsi cocher les résolutions ; la signature
pouvant être opposable en cas de contestation. L‟unification de procédures transfrontières permettant à
l‟avenir de se prononcer pour des votes hors du pays de résidence.
Idem
Article 119. Créé par Décret n°2002-803 du 3 mai 2002 - art. 20 JORF 5 mai 2002 Abrogé par Décret n°2007-431 du 25 mars 2007 - art.
3 (V) JORF 27 mars 2007. Les sociétés dont les statuts permettent aux actionnaires de voter aux assemblées par des moyens électroniques de
télécommunication doivent aménager un site exclusivement consacré à ces fins.
185 La convocation à l’AG et un « formulaire électronique de vote à distance » lui sont alors envoyés. L’actionnaire doit retourner le formulaire dûment
signé au plus tard à quinze heures la veille du jour de la tenue de l’assemblée.
186 L'Association Nationale des Sociétés par Actions http://www.ansa.fr/
187 Le choix du prestataire de services devrait être arrêté au cours de l’année 2011.
188 Un plan pour avancer» [COM(2003) 284 final]. La directive 2004/109/CE a permis d'apporter des éléments de réponse quant aux
informations que les émetteurs doivent divulguer au marché. La présente directive vise à renforcer la protection des investisseurs en facilitant leur accès à
l'information et l'exercice de leurs droits, notamment sur une base transfrontalière.
183
184
49/ 133
_________________________________________________________________________________________________________________
3
FOURNITURE D’IDENTITE ET INTERMEDIATION
3.1
Cercles de confiance
L‟identité d‟un individu repose sur autant de profils qu‟il exerce de relations avec des tiers. Il est tour à
tour citoyen, acheteur en ligne, joueur de tennis, boursicoteur, assuré social ou gérant de PME. On ne peut
parler d‟attributs génériques dans la mesure où l‟anonymat régit le net, l‟internaute faisant valoir telle ou
telle donnée en fonction du prestataire en ligne.
La notion de Cercle de Confiance part d‟un souci de fédérer les attributs chez de multiples acteurs avec
qui l‟individu entretient des relations sociales, commerciales, voire administratives. Ainsi l‟attribut
« adresse » peut-il être détenu de façon privilégiée par le prestataire « Poste », qui, de plus, sera en mesure
de l‟actualiser en fonction du changement de domicile, alors que rien n‟oblige sa mise à jour dans l‟état
civil, comme c‟est le cas dans certains pays189.
Bien entendu, aucune consolidation des attributs190 n‟existe ; leur communication entre prestataires se
faisant sous contrôle exclusif de l‟ayant droit. Ainsi « l‟adresse » peut-elle être transmise à des sites
d‟eCommerce pour livraison. Pareillement, l‟attribut « date de naissance » n‟intéresse que quelques
fournisseurs, soit pour détecter des doublons – patronymes identiques dans la même localité – ou réserver
l‟accès aux adultes (jeux en ligne, notamment) ; mais, dans ce dernier cas, un critère de majorité suffit. On
peut même s‟interroger sur la pertinence de la date de naissance, une fois garantie l‟identité de
l‟internaute ?
L‟approche SAML est bien adaptée à une gestion décentralisée des attributs de façon à préserver la vie
privée. Les requêtes sont transmises par les détenteurs de données, mais sur demande explicite de l‟usager.
Un Cercle de Confiance se compose ainsi d‟attributs contextuels – adresse, NIS…. – autour d‟un noyau
central représenté par l‟état civil, patronyme et date de naissance.
L‟étude de l‟Université Paris Dauphine191 réalisée fin 2004 auprès de 1300 internautes fournit des
informations précieuses quant à la transmission de données en matière d‟anonymat. « Si certains sont prêts à
mentir pour obtenir ce qu’ils souhaitent (14% des internautes interrogés le font souvent voire systématiquement), d’autres
cherchent à conserver une part de secret, en omettant par exemple les champs facultatifs. Une autre solution consiste à recourir
à un pseudo. La moitié des répondants préfèrent ainsi l’utiliser plutôt que de fournir leur « véritable identité 192». Fort
répandu de nos jours sur la toile, le « pseudo » constitue une seconde et « véritable identité numérique »,
qui tend à surpasser l‟identité « réelle».
C’est le cas de la Belgique, notamment. Aucune prestation sociale n’est possible si l’adresse du bénéficiaire n’est pas actualisée
Les membres du consortium FC² rappellent l’attachement de la CNIL à préserver la pluralité des identifiants -en général- en fonction des besoins
sectoriels, plutôt qu’une identité numérique unique » [Rencontre avec la CNIL du 26 février 2008]
191 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective).
192 Idem
189
190
50/ 133
_________________________________________________________________________________________________________________
Le « pseudo »
constitue
la
seconde
identité
des
internautes.
Dans l‟étude
de
Paris
Dauphine,
plus de 80%
des personnes
interrogées
confirment en
faire un usage
régulier
Dans la majorité des cas, l‟internaute, qui avance masqué, exige des garanties avant de divulguer ses
données. Des offres promotionnelles peuvent favoriser la communication mais, dans une majorité de cas,
« les récompenses monétaires sous forme de cadeaux ou d’argent sont globalement peu plébiscitées, voire carrément stigmatisées.
Pour une grande majorité d’internautes en effet, le fait d’être payé ne les inciterait pas à donner davantage d’informations193 ».
Numéros de cartes de crédits et coordonnées téléphoniques sont considérés comme des informations
sensibles – d‟où la relative stagnation de 3D Secure, qui nécessite d‟envoyer un numéro de portable à son
banquier – alors que le mail – pseudo dérivé du prénom – est facilement transmis.
Contrairement
à
l‟usage
OutreAtlantique, où les
internautes troquent
des
informations
privées contre des
avantages financiers,
le français se montre
réfractaire
à
la
marchandisation de
données
personnelles (Etude
Paris
Dauphine
2004)
L‟étude de Dauphine, qui répartit les d‟internautes en quatre classes, met le doigt sur un point
fondamental : le CSP+, identifié par le CREDOC194 comme un « pro » du web, appartient à la catégorie
des « désintéressés », particulièrement avares de leurs données. Plus on est éduqué, moins on communique
d‟informations195. Les trois autres classes témoignent d‟une gradation du niveau de données
communiquées sur la toile :
Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective).
Etude CREDOC 2009 les Français et les technologies de l’information.
195 Les Désintéressés … partager leurs informations.. si cela ne les implique pas de façon trop importante. Peu friands des avantages ….. en échange de
données, demandeurs de sécurité et de confidentialité. …Contre toute marchandisation de leurs données personnelles, refusant catégoriquement de remplir
un formulaire contre une rétribution sonnante et trébuchante. Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine
Marketing Stratégie Prospective).
193
194
51/ 133
_________________________________________________________________________________________________________________
 Les Réticents ……donnent les notes les plus faibles à tous les avantages …. offerts. Comportement
systématique d‟évitement….. Position de principe ….ne pas délivrer d‟information, quelle que soit la
contrepartie proposée.
 Les Négociateurs ….position de donnant-donnant. …..Délivrer des informations en contrepartie
d‟avantages : …meilleur prix, un cadeau, une meilleure personnalisation. ….Pas systématiquement leurs
données personnelles mais … conscience ….. qu‟elles représentent une valeur d‟échange.
 Les Bienveillants …… délivrent facilement des données personnelles, quelles que soient les circonstances,
à condition qu‟ils obtiennent des garanties en termes de confidentialité et de sécurité. Ils se distinguent aussi
par le fait de voir dans la fourniture d‟informations personnelles un bénéfice hédonique : en répondant, ils
ont ainsi le sentiment d‟être utiles, voire de rendre service..
Ainsi les « Bienveillants » - niveau d‟étude inférieur à Bac+2 -, sont-ils les plus généreux vis-à-vis des sites
en ligne. Ils sont la cible de malveillances, témoins les tentatives de phishing visant à soutirer des
informations confidentielles concernant les comptes bancaires et cartes de crédit.
L‟étude de Paris
Dauphine
corrobore
le
baromètre CDCACSEL sur la
réticence
à
communiquer des
données.
Les assidus de la
toile sont les plus
avertis en matière
de
transmission
d‟informations
sensibles.
52/ 133
_________________________________________________________________________________________________________________
3.2
Les fournisseurs d’identité
3.2.1
L’identité régalienne
La Carte Nationale d’Identité Electronique
Bien qu‟elle ait été initiée peu après les années 2000, la Carte d‟Identité Electronique est mentionnée par
Eric Besson, alors le Secrétaire d‟État à l‟Economie Numérique, dans son « Rapport 2012 », notamment
l‟Action n° 76 : la Carte Nationale d‟Identité Electronique «contribue à refonder le lien entre l’État et le citoyen.
Internet peut ainsi davantage faciliter la participation directe des citoyens aux processus décisionnels publics, via notamment
l’organisation de consultations à grande échelle. Internet peut permettre la mobilisation d’un nombre important de personnes,
à travers un système de pétition en ligne, respectueux de la loi informatique et libertés. »
La CNIe constitue donc l‟un des chantiers de l‟État qui vise à « Déployer à partir de 2009, la carte nationale
d’identité électronique, sur la base d’un standard de signature électronique fortement sécurisé, pour atteindre, à terme, un
objectif de 100 % de citoyens titulaires d’une carte nationale d’identité électronique »
Cette carte constitue le versant hexagonal du projet franco-allemand IAS196 (Identification
Authentification Signature) ECC référencé comme CEN/TS 15480-1, Identification card systems European Citizen Card197 par le Comité Européen de Normalisation. Contrairement aux pays qui ne
proposent que le volant identitaire, cette initiative répond aux exigences d‟authentification de services en
ligne par une segmentation du titre en deux parties : « voyage » et « eServices » ; d‟où l‟activation
optionnelle de certificats – authentification, et signature – délivrés en mairie aux ayants droits.
Grâce à cette carte délivrée en face à face - et gratuitement -, l‟État se positionne comme un acteur fort de
l‟économie numérique, capable de proposer une réponse juridique aux services en ligne : authentification
par activation du PIN et signature de documents à force probante, grâce à un lecteur USB connecté au PC
de l‟internaute.
A la différence des multiples identités « sectorielles » ou « contextuelles » la CNI se présente comme le
vecteur d‟une « d‟identification générale, comme le précise le rapport Truche198 :
 Elle est délivrée par l‟État ;
 Elle vise des fins d‟identification générale et non des usages spécifiques (comme le permis de conduire ou le
passeport) ;
Le passeport
Bien que le passeport dans sa nouvelle version constitue un document hautement sécurisé, il ne peut être
utilisé pour des accès en ligne par activation de certificats. Réalisé dans un mode « sans contact » pour un
contrôle frontière, il n‟a pas vocation à être « lu » par l‟usager, bien qu‟il soit considéré comme une carte
d‟identité universelle.
Le permis de résident
Le permis de résident199 - ou carte de séjour - répond à une demande de la Commission Européenne qui
vise à réglementer les modalités d‟installation d‟étrangers dans les pays de l„Union. Carte d‟identité pour les
non-natifs, elle intègre des fonctions IAS similaires à la CNIe. Donc une possibilité de s‟authentifier et
signer en ligne, au même titre que nos concitoyens : comptes bancaires, jeux, demande de prêts, services
de l‟état.
L’ANTS et le GIXEL se sont fortement mobilisés sur ce projet
CEN/TS 15480-1 Identification card systems - European Citizen Card
Part 1: Physical, electrical and transport protocol characteristics. CEN/TS 15480-2 Identification card systems - European Citizen Card
Part 2: Logical data structures and card services. CEN/TS 15480-3 Identification card systems - European Citizen Card
Part 3: European Citizen Card Interoperability using an application interface. 1st consultation approved in Oct. 2008, TC approval planned for the
end of 2009. CEN/TS 15480-4 Identification card systems - European Citizen Card
Part 4: Recommendations for ECC issuance, operation and use Ongoing work within preliminary work item (no deadline)
198 Rapport Truche ; Administration électronique et protection des données personnelles. Paris 2002
199 Le titre de séjour est la reconnaissance par l'administration au droit de rester temporairement dans un pays. Pour prouver ce droit, on délivre une
« carte de séjour ». Une carte de séjour est un document officiel délivré sous certaines conditions par l'administration de certains pays. La carte de séjour
documente le droit à la résidence (généralement temporaire, parfois renouvelable) d'un ressortissant étranger. Elle peut également servir ou tenir lieu
d'autorisation de travail dans certains pays. En cas de séjour prolongé (plusieurs années), on demande alors un titre de résident.
196
197
53/ 133
_________________________________________________________________________________________________________________
Le permis de conduire
Censé être délivré à dater du 19 Janvier 2013, le nouveau permis de conduire répond aux exigences de la
troisième Directive (2006/126/EC) qui recommande l‟usage d‟une puce électronique. La norme ISO
18013200, poussée par de nombreux pays aux registres d‟État civil défaillants, en fait quasiment un « clone »
de la CNIe. Les fonctions accessibles en « contact et sans contact » permettent d‟intégrer des certificats
d‟authentification et de signature de façon à faciliter les démarches en ligne : demande de carte grise,
location de véhicules…
3.2.2
L’initiative IDéNUM
Historique
Lancée par la Secrétaire d‟État à l‟Economie Numérique le 1° Février 2010201, l‟initiative IDéNUM vise à
labéliser des fournisseurs d‟identité en provenance du secteur privé202 sur la base d‟un cahier des charges203
dérivé du Référentiel Général de Sécurité204. "Le produit IDéNUM se présente sous la forme d’un dispositif
physique sécurisé dans lequel se trouvent des « éléments propres » à son propriétaire, que ce dernier peut déverrouiller, par un
code PIN. Ces « éléments propres » sont deux bi-clés cryptographiques – l’une dédiée à l’authentification, l’autre à la
signature électronique – pour lesquelles chaque clé publique a été certifiée205.
Ce programme propose aux cybercitoyens de prouver leur identité en ligne mais également de signer des
documents ou transactions en recourant aux mécanismes cryptographiques asymétriques des certificats ;
une initiative qui pourra être conduite en parallèle à la délivrance de CNIe, dont il peut constituer une
extension. En effet, les certificats IDéNUM ne seront délivrés qu‟après contrôle d‟un titre d‟identité en
cours de validité. Le label ne vise nullement à remplacer la CNIe, n‟étant pas un titre d‟identité, mais un
moyen d‟identification en ligne pouvant se décliner sous de multiples support : clé USB, SIM,
microprocesseurs, etc..
Spécifications techniques
Sur la base du RGS206, le programme IDéNUM vise un haut niveau de sécurité207 mais surtout
l‟interopérabilité entre services ; condition fondamentale pour familiariser les internautes avec des accès en
ligne208. Notamment les exigences du RGS version 1.0 telles que spécifiées dans les annexes [RGS_A_8] et
[RGS_A_7] :
 Politique de Certification Type « Signature électronique »209, niveau de sécurité trois étoiles (***) pour
des certificats électroniques de type « particulier » de signatures.
 Politique de Certification Type « Authentification »210, niveau de sécurité trois étoiles (***) pour des
certificats électroniques de type « particulier » d‟authentification.
Information technology — Personal identification — ISO-compliant driving licence —
http://www.telecom.gouv.fr/actualites/1-fevrier-2010-label-idenum-identite-numerique-multi-services-2311.html
202 http://www.telecom.gouv.fr/fonds_documentaire/internet/presidenum.pdf
203 Sur les fonctions d’authentification : Chapitre 3.2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf
- annexe B3 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_B_3.pdf
- annexe A2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Authentification_V2-3.pdf
- annexe A7 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_PC-Type_Authentification_V2-3.pdf
204 JORF n°0029 du 4 février 2010. Texte n°1. Décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de
l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités
administratives
205 IDéNUM. Cahier des charges. Version de travail 09/07/2010
206 Ses modalités d’élaboration et de publication sont précisées au décret n° 2010-112, dit « décret RGS ». La première version du [RGS] a été rendue
officielle par arrêté du Premier ministre en date du 6 mai 2010
207 Les spécifications IDéNUM sont très largement dérivées du Référentiel Général de Sécurité ([RGS]) issu de l’ordonnance n° 2005-1516 du 8
décembre 2005, dite « ordonnance téléservices ».
208 Le Cahier des charges cite des services en ligne tels que : consultation en ligne de factures, ouverture en ligne d’un compte bancaire, virements et
transactions bancaires, inscription d’enfants en crèche, à la cantine, à la bibliothèque, inscription sur les listes électorales, démarches d’état civil, demandes
d’allocation CAF ou de congé parental.
209 version 2.3 du 11 février 2010
210 Idem
200
201
54/ 133
_________________________________________________________________________________________________________________
La politique de certification devant respecter les exigences suivantes :









Procédure de vérification de l‟identité des futurs porteurs d‟un produit IDéNUM ;
Fonction de génération des éléments secrets du porteur et de remise au porteur ;
Utilisation d‟un numéro d‟identification du porteur du produit IDéNUM ;
Nommage explicite des porteurs dans les certificats de signature électronique et d‟authentification ;
Clés cryptographiques de l‟autorité de certification utilisées pour signer les certificats électroniques ;
Vérification de la révocation d‟un certificat électronique ;
Procédure de déblocage du produit IDéNUM ;
Vérification de l‟adresse mail du porteur du produit IDéNUM présente dans les certificats électroniques ;
Gabarit des certificats électroniques.
Procédure de vérification de l’identité des futurs porteurs d’un produit IDéNUM
L‟enrôlement constitue la phase critique, aussi la vérification d‟identité est-elle effectuée lors d‟un face à
face physique avec le candidat à l‟obtention du certificat 211 sur présentation d‟un titre en cours de validité:
 CNI ou passeport pour les ressortissants français ;
 Passeport émis conformément au règlement (CE) n° 2252/2004 du Conseil européen du 13 décembre 2004
pour les ressortissants de communauté européenne ;
 Carte de séjour dans les autres cas.
De plus, le Cahier des charges propose d‟introduire des bonnes pratiques sur les vérifications à effectuer
pour s‟assurer de l‟authenticité des documents produits212.
Identification des détenteurs
Dans un premier temps, les certificats IDéNUM ne seront délivrés qu‟à des individus majeurs avec
confirmation de leur mail. Comme leur nom figurera dans le certificat, l‟anonymat n‟est pas possible213.
Le programme IDéNUM a suscité l‟intérêt de moult prestataires potentiels, soit qu‟ils disposent du « face
à face », indispensable à la délivrance d‟un certificat qualifié, soit qu‟ils détiennent une infrastructure:
support (puce électronique) et réseau de télécom pour activation des CRL.
L‟initiative IDéNUM s‟inscrit dans un contexte visant à respecter la vie privée des citoyens, en ne
transmettant que le minimum de données. Par contre, rien n‟exclut que les fournisseurs d‟identité –
Banques, telcos, autres… - saisissent à l‟enrôlement des attributs spécifiques à leurs métiers. Des données
qui pourront être récupérées par adhésion à un cercle de confiance, mais sur consentement explicite de
l‟ayant droit.
3.2.3
IDéNUM vs CNIe
Il est vraisemblable que les deux initiatives soient conduites en parallèle, chacune dynamisant l‟autre. La
possibilité de disposer d‟une CNIe, délivrée par les services de l‟État, pourrait ainsi favoriser l‟usage de
supports d‟identification du secteur privé. Par ailleurs IDéNUM ne se positionne nullement comme un
document d‟identité, mais comme un label d‟identification en ligne pouvant prendre différentes formes :
clé USB, SIM… la carte n‟étant nullement privilégiée dans la mesure où elle nécessite l‟adjonction d‟un
lecteur supplémentaire.
Tel que prévu aux chapitres III.2.3.1 et IV.3 de [RGS_A_7] et [RGS_A_8]
Mise en œuvre de bonnes pratiques visant l’intégrité des titres, voire la formation du personnel à cette tâche. S’assurer par exemple:
que le titre d’identité présenté est un original (exemples d’indices de falsification : aspect récent d’une pièce d’identité prétendument délivrée il y a plusieurs
années, lieu de délivrance différent du lieu du domicile indiqué au recto du document) ;
de l’absence de caractères d’imprimerie de mauvaise qualité, mal disposés, de fautes d’orthographe ;
que les numéros de la pièce d’identité ne sont pas tamponnés mais imprimés ;
de l’absence de grattage, gommage ou surcharge ;
de l’absence d’invraisemblance des renseignements mentionnés sur la pièce d’identité présentée (exemples : âge du porteur ne correspondant pas avec l’âge
donné par le document, absence de ressemblance avec la photo d’identité) ;
documents faux (ex : aspect récent d’une pièce prétendument délivrée il y a plusieurs années, permis de conduire indiquant l’arrondissement de la ville
dans laquelle il a été délivré, lieu de délivrance différent du lieu du domicile indiqué au recto du document…).]
213 Dans le cadre d’IDéNUM, il est précisé, vis-à-vis des chapitres III.1 de [RGS_A_7] et [RGS_A_8], que les noms des porteurs dans les certificats
électroniques ne peuvent être ni anonymes ni pseudonymes. Les noms et prénoms portés sur le titre d’identité présenté doivent être employés.
211
212
55/ 133
_________________________________________________________________________________________________________________
On anticipe que la future CNIe constitue un socle à partir duquel les usagers se constitueront des identités
multiples en fonction de besoins en ligne. Une perspective séduisante mais qui nécessite une forte
interopérabilité entre fournisseurs de services, les internautes étant peu enclins à changer de moyen
d‟authentification en fonction du site. Le succès des smartphones et tablettes, de plus en plus riches en
fonctionnalités, va certainement favoriser le marché des certificats sur cartes SIM, vu le peu de sécurité des
mécanismes de type identifiant / mot de passe et le souhait des usagers de procéder à toute opération en
ligne, même en mobilité.
3.2.4
Les opérateurs potentiels IDéNUM
Les Banques
Déjà pionnière en certificats, grâce à sa Politique d‟Acceptation Commune (PAC)214, définie sous l‟égide
du CFONB, la banque se positionne comme un acteur potentiel DéNUM, la PRIS/RGS devenant la
référence du secteur en matière de certificats numériques. Une stratégie215 en cohérence avec les
infrastructures de confiance mises en place vis-à-vis de services en ligne et télé-procédures de
l‟administration216. Cette PAC s‟aligne sur SWIFT217, standard mondial, de façon à assurer
l‟interopérabilité lors d‟une transaction à l‟international218 et garantir une ouverture sur le monde non
bancaire. Même approche pour des signatures en ligne opposables en cas de litige.219
La PAC vise à un fort
niveau d‟interopérabilité
de façon à ce que les
certificats
bancaires
puissent être utilisés
dans des secteurs non
financiers.
Les
certificats
de
signature ont ainsi une
vocation
intersectorielle, sachant
que la banque dispose
déjà d‟une demande
« intérieure » forte.
Politique d’Acceptation Commune PAC. Réf. : Version 2.0 CFOMB 02 juin 2009
La PAC répond aux besoins des promoteurs d’applications communes ou propres aux établissements bancaires et financiers déclarées conformes à la
PAC, mais peut être élargie à des applications spécifiques pour répondre à des besoins des : Établissements bancaires et financiers de pays tiers,
Partenaires tiers non bancaires (français ou de pays tiers) » Et encore : «Par ailleurs, la PAC permet à un émetteur de certificats attestés conformes à la
PAC de plus largement diffuser ses certificats, un porteur de certificat d’élargir les cas d’usage de ses certificats. Idem
216 Idem
217 L’intérêt de la PAC c’est de s’appuyer sur des normes d’interchange puissantes héritées de SWIFT et Etebac5. Ainsi la PAC reconnait-elle les
organisations qui ne sont pas reconnues comme adhérentes à la PAC, uniquement dans des fonctions d’acceptation, c'est-à-dire dans un rôle de promoteur
d’applications, à la condition que :
L’organisation précise systématiquement et très clairement qu’elle n’est pas adhérente à la PAC
Ses applications acceptent l’ensemble des certificats des AC attestés conformes à la PAC
L’organisation s’engage à respecter les évolutions de la PAC au niveau des fonctions d’émission : nouvelle AC référencée, suppression d’un AC ou d’une
gamme de certificats… La mise à niveau doit se faire dans les 3 mois suivant la publication sur les sites officiels de la nouvelle version de la PAC
L’organisation respecte les règles déontologiques associées à la PAC, tant au niveau de l’application acceptrice de certificats que de l’organisation ellemême
L’organisation informe l’émetteur de certificats, en cas d’incidents
L’organisation respecte les droits de propriété intellectuelle sur la PAC
En aucun cas, une organisation non adhérente à la PAC ne peut engager la responsabilité d’une organisation adhérente, en faisant référence à la PAC.
218 Pour jouer ce rôle d’AC mondiale les banques se sont naturellement tournées vers leur coopérative (Swift) qui a donc développé une solution ayant
beaucoup de similitudes avec Etebac 5 et susceptible d’être acceptée par des banques de nombreux pays, à commencer bien entendu par la France. Cette
solution est en cours de test par une dizaine d’entreprises, des banques et les éditeurs de logiciels. Le pilote prendra fin cet été et les banques commenceront
à commercialiser les certificats de Swift à l’automne 2010. N°271 Juillet-Août 2010 La Lettre du trésorier Signature électronique des ordres de
paiement : un peu de vocabulaire. Par Hervé Postic, associé Utsit. Le remplacement d’Etebac 5, que ce soit par Ebics profil TS ou Swift, introduit une
modification dans la gestion des dispositifs de sécurité et des preuves. Quelques précisions de vocabulaire sont utiles pour aborder ce changement.
219 Politique d’Acceptation Commune PAC. Réf. : Version 2.0 CFOMB 02 juin 2009
214
215
56/ 133
_________________________________________________________________________________________________________________
La stratégie de la sphère bancaire vis-à-vis du label IDéNUM n‟est pas arrêtée à ce jour. Un comité de
pilotage a été constitué après l‟annonce de la Secrétaire d‟État de l‟initiative de façon à préciser les points
suivants220 :





Gouvernance
Objectifs
Modèle économique
Périmètre
Certificats qualifiés
La réflexion se poursuit, notamment la possibilité que les certificats bancaires puissent être utilisés
par d‟autres secteurs. Vu le potentiel interne (eBanking, souscription de produits financiers, crédit à
la consommation, virements, banque en ligne, etc… ), la banque dispose d‟un « marché intérieur » qui
lui permet de rebondir sur d‟autres activités nécessitant de s‟identifier en ligne. Reste à préciser le
modèle économique.
Les opérateurs téléphoniques
Soucieux de diversifier leurs offres de service, les opérateurs téléphoniques ont saisi l‟intérêt du
programme IDéNUM, d‟autant plus que l‟ouverture d‟un compte, et le face à face client, leur confère une
forte légitimité pour délivrer des certificats qualifiés. D‟autant plus que ces opérateurs disposent déjà d‟une
infrastructure pour faire face à des malveillances, fraudes et usurpation de cartes SIM.
L‟enrôlement constitue la phase critique aussi des prestataires se positionnent-ils pour combiner saisie des
données d‟état civil221 et contrôle des pièces. L‟enjeu, c‟est l‟intégrité du titre d‟identité - CNI ou passeport
- par vérification de la bande MRZ mais surtout du laminat222 et cohérence des données du contrat :
adresse, références bancaires du chèque de caution ou de la carte de crédit223.
Détenteurs privilégiés des données d‟état civil, nos opérateurs entendent se positionner comme des
acteurs de l‟identité en proposant des certificats d‟authentification et de signature, mais également en
embarquant des certificats tiers pour des fournisseurs d‟identité ne possédant pas de support224.
Les opérateurs ne sont pas les seuls à disposer du « face à face » client ; aussi sera-t-il essentiel de
s‟accorder sur une norme d‟enrôlement à base de titres d‟identité - CNI, passeport, carte de résident,
permis de conduire – et justificatifs d‟adresse, factures EDF, RIB. Une investigation étant en cours pour
que des codes barres puissent certifier l‟intégrité de documents aujourd‟hui falsifiables225. Les acteurs sont
nombreux : banque à distance, crédit à la consommation, la poste…. L‟approche kiosque des opérateurs
télécoms pourrait être une voie à explorer de façon à mutualiser l‟infrastructure de saisie.
Les opérateurs télécoms se positionnement comme des acteurs majeurs de l‟identité sur internet. En effet,
le mobile, c‟est une possibilité de s‟authentifier sur n‟importe quel PC, n‟importe ou dans le monde sans
lecteur USB, clé ou carte additionnelle ; le certificat du portable permettant de confirmer l‟identité de
l‟internaute indépendamment du poste d‟accès. C‟est donc une stratégie qui combine mobilité et
authentification bi-canale, comme proposé par 3D Secure. Bénéficiant d‟un support sécurisé 226 et d‟un
réseau pour détecter les certificats suspects, nos telcos regardent aujourd‟hui les secteurs sur les quels
positionner leur offre.
220 Entretien Daniel Savoyen, Crédit Agricole.
221 Patronyme, nom, date de naissance, adresse 222 Le contrôle des pièces d’identité est du même niveau que la police des frontières
223 La société Ariadnext propose ce type d’équipement. La personne qui signe et filmée. Une demande de certification CSPN, Certificat Sécurité Premier
Niveau de l’ANSSI est en cours
224 C’est actuellement la réflexion de SFR, Madame Stéphane Baudais
225 Un code à barres d'identification des documents : " Nous avons un programme de travail avec le Ministère de l'Intérieur et Michel Bergue qui est le
délégué fraude, sur le code barres 2D Datamatrix qui permet de capter une partie de l'identité, l'adresse, et de l'inclure dans un secret que nous sommes
en mesure de lire et de savoir —y compris à distance— si l'on se trouve face à un vrai ou un faux document. " Préfet Raphaël Bartolt. Conférence 8
mars 2011, sur la carte nationale d'identité électronique. Maison de la Chimie ; Paris
226 SIM L4+
57/ 133
_________________________________________________________________________________________________________________
Rappelons que la Banque de France recommande multiples « dispositifs de sécurité personnels » de façon
à confirmer l‟identité d‟un internaute lors d‟achats en ligne. Pourquoi ne pas activer un certificat comme
alternative à la communication d‟un SMS entre téléphone et PC ? Dans ce contexte, le service de
l‟opérateur devient plus substantiel que la simple transmission d‟un code, donc générateur d‟une offre
d‟authentification forte à préciser.
Si l‟ergonomie des téléphones est encore limitée pour boursicoter, acheter en ligne ou remplir une
procédure administrative, l‟essor des smartphones, mais surtout des tablettes, va dynamiser ce marché et
offrir aux opérateurs un rôle privilégié ; les internautes devenant de plus en plus enclins à se connecter non
plus à domicile mais lors de déplacements227.
Le notariat
Les notaires reçoivent aujourd‟hui près de 15 millions de personnes dans leurs études pour rédiger des
actes authentiques ; ils bénéficient donc d‟un face à face privilégié par rapport aux officiers publics et
ministériels. A la différence des banques et opérateurs téléphoniques qui se contentent de vérifier
l‟intégrité d‟un titre d‟identité, ils ont accès aux fichiers d‟État civil des mairies, notamment à la capacité
juridique d‟un individu, des données essentielles pour qui veut ouvrir un compte bancaire ou souscrire un
prêt. Si l‟on établissait une gradation des fournisseurs d‟identité, en fonction des attributs disponibles, les
notaires se verraient sans doute attribuer une place privilégiée.
En effet, tirant profit de leur « marché domestique », les notaires peuvent se positionner comme des
fournisseurs d‟identité IDéNUM. Comme précisé dans le chapître précédent, la mise à disposition d‟un
espace de travail sécurisé entre études et usagers nécessitant un dispositif d‟authentification forte – carte à
puce, clé USB – l‟usager pourrait l‟utiliser à d‟autres fins une fois remis par le notaire : accès aux services
de l‟administration, comptes bancaires, jeux en ligne…..suivant un modèle financier à définir.
La profession n‟a pas pris de décision concernant l‟initiative IDéNUM, mais elle réfléchit à son
positionnement vis-à-vis d‟autres acteurs comme les banques et opérateurs téléphoniques qui disposent
d‟un support (carte à puce, SIM) et d‟un réseau permettant d‟identifier les certificats fraudés. Quelle peut
être la « matérialisation » d‟une offre des notaires : carte, clé USB, certificat logiciel ? Mais une alliance avec
un fournisseur d‟identité dans une architecture SAML 228 peut également être envisagée ?
La Poste
Bénéficiant d‟une délégation de service public, la Poste est habilitée à contrôler l‟identité des destinataires
de courriers recommandés. Un face à face dont bénéficient à la fois facteurs et bureaux de poste, qui, de
plus, sont en mesure de confirmer l‟adresse. Deux attributs majeurs qui confèrent à l‟opérateur historique
une position de choix dans le paysage de l‟identité, connaissant son besoin de relais de croissance229, suite
à la perte du monopole des courriers de moins de 50 g.
En Mai 2010, la Poste devenait l‟un des lauréats230 de l‟appel d‟offre du plan de relance du Secrétariat
d‟État chargé de la Prospective et du Développement de l‟Economie numérique par son projet
« IDENTIC ». Un service qui le positionne comme un acteur de la confiance sur internet « en visant la
distribution d’une identité numérique certifiée qui sécurise de manière optimale les échanges électroniques. 231» Grâce au
A ce jour, 9 français sur 10 sont équipés d’un mobile, et seulement 1 sur 5 (21,3%) possède un Smartphone. Mais une très forte progression est
attendue de la part de ces équipements de mobilité.
228 In order to access protected resources at a service provider, users authenticate to their identity provider ("thinking locally" because they do not need to
authenticate to a remote service provider, just an identity provider with which they have a closer trust relationship). Based on this authentication, they are
then able to access resources at one or many service providers ("acting globally"). Federation is the dominant movement in identity management today.
Federation refers to the establishment of business agreements, cryptographic trust, and user identifiers or attributes across security and policy domains to
enable more seamless cross-domain business interactions. Just as web services promise to enable integration between business partners through loose
coupling at the application and messaging layer, federation does so at the identity management layer – insulating each domain from the details of the
others" authentication and authorization infrastructure. OASIS SAML V2.0 Executive Overview. Committee Draft 01, 12 April 2005
229 Perte du monopole en date du 1° Janvier 2011
230 Comptant parmi les 44 projets retenus (sur 340)
231 IDENTIC : une identité numérique certifiée. http://www.laposte.fr/Le-Groupe-La-Poste/Actualites/IDENTIC-une-identite-numerique-certifiee
« Le groupe La Poste a candidaté à l’appel à projets sur le Web innovant lancé par le secrétariat d’État chargé de la prospective et du développement de
l’économie numérique dans le cadre du plan de relance. Comptant parmi les 44 projets retenus (sur 340), "IDENTIC" vise à ancrer le Groupe comme
un acteur majeur de l’Internet de la confiance en visant la distribution d’une identité numérique certifiée qui sécurise de manière optimale les échanges
électroniques. » Seule grande entreprise de services sélectionnée par le jury avec de jeunes pousses et acteurs du monde du web, le groupe La Poste montre
227
58/ 133
_________________________________________________________________________________________________________________
support de la startup française MyID is Certified232, un agent délivre en face à face une Identité
Numérique Certifiée (INC). L‟idée, à terme, étant de proposer un portail d‟accès par une démarche de
type « LaPoste Connect », inspirée de FaceBook.
IDENTIC permet de vérifier l‟identité et l‟adresse, deux attributs précieux pour le eCommerce de façon à
éviter la fraude lors d‟achats en ligne. Une labellisation est même envisagée par un sigle de type « Identité
vérifiée par la Poste »233 pour mettre en confiance les commerçants.
IDENTIC n‟utilise pas de certificats ; la procédure basée sur identifiant / mot de passe, visant
essentiellement des applications de eCommerce. Par contre l‟opérateur historique a débuté une réflexion
dans le cadre d‟IDéNUM par le biais de sa filiale Certinomis, opérateur de certification.
L‟accord passé avec SFR pour une offre MVNO - opérateur alternatif - permettra à l‟opérateur de
disposer d‟un parc de téléphonie, donc de cartes SIM. Un portfolio de services et canaux de distribution
varié pouvant combiner les offres, notamment sur mobiles. Considérant que la Poste dispose également
de Digiposte – anciennement Digicoffre - un service de coffre-fort électronique sécurisé234, le groupe sera
en mesure de proposer une gamme complète de services en ligne
.
3.3
Fourniture d’identité et interopérabilité
Le Cercle de Confiance met en œuvre une relation entre prestataires de services et fournisseurs d‟identité,
dont certains détiennent des attributs pouvant intéresser les autres. Le « recours à un tiers » utilisé pour
vérifier l‟identité prend son origine dans le droit. Ainsi « l‟acte de notoriété », exigé pour la transmission
d‟un bien après décès, est-il dressé par un officier public ou ministériel en présence de témoins qui
attestent de l‟identité d‟une personne et leurs relations avec le défunt. Une tradition ancienne qui privilégie
les rapports entre individus à l‟état civil235.
Le recours à un tiers constitue le fondement du cercle de confiance, l‟identité étant confirmée par un
fournisseur, tel un notaire dans la cadre d‟une transaction. Dans ce contexte, la notion de « jeton passif »
corrobore celle d‟attributs – numéro unique, qualité, photographie, - à la différence d‟un « jeton actif » qui
contient une information « secrète », pouvant être déclenchée par son détenteur, clé USB ou la carte à
puce.
ainsi sa capacité d’innovation et sa volonté de travailler au développement de l’internet de la confiance. Le projet IDENTIC réunit trois partenaires aux
compétences complémentaires : le groupe La Poste, la jeune pousse MyID.is Certified et le laboratoire CEREGE de l’Université de Poitiers dans le but
de développer une offre à même de fournir aux individus une Identité Numérique Certifiée (INC). L’innovation du projet IDENTIC est à la fois
technologique et organisationnelle. Elle s’appuie d’une part sur une procédure en ligne cryptée et d’autre part sur la remise en face-à-face de l’INC par un
agent de La Poste. L’originalité de la solution retenue réside dans la complémentarité de cette solution à la fois « click » et « mortar » avec cryptage mais
aussi dans la vérification de la pièce d’identité et la remise en main propre de l’INC.
La certification d’une identité numérique a vocation à renforcer la confiance dans toutes les activités en ligne.
Le Web 2.0 a conduit à un réel développement des usages sur Internet à travers de multiples formes de participation en ligne. La création de profils sur
les réseaux sociaux numériques, de blogs, de multiples comptes d’utilisateurs (pseudos, e-mails, avatars…) associés à la publication de données
personnelles, la croissance du e-commerce comme celle du nombre de joueurs en ligne portent au tout premier plan la question de l’identité des individus en
ligne. Certaines problématiques se révèlent particulièrement complexes notamment en ce qui concerne les questions d’identification lors d’achat en ligne, de
gestion d’identités multiples ou d’usurpation d’identités sur le Web. Les initiatives récentes au travers de la charte pour la promotion de l’authentification
sur Internet montrent la nécessité de disposer de solutions d’authentification adaptées. C’est dans ce contexte caractérisé à la fois par une demande forte de
la part des internautes et d’une réelle volonté de l’Etat que s’inscrit le projet IDENTIC.
232 Créé en avril 2007, MyID.is Certified se positionne comme une plate-forme française de certification d'identité sur Internet. Ce service permet par
exemple de prouver que son utilisateur est bien l'auteur d'une photo postée sur un réseau social ou d'un commentaire sur un blog. Concrètement, MyID.is
se présente comme une page Netvibes, à la différence que MyID.is agrège l'ensemble des contenus produits sur Internet par son utilisateur sur une seule
page Web. Cette plate-forme peut également stocker des mots de passe. Plusieurs niveaux de sécurité permettront de définir quelles informations
l'internaute rend publiques ou privées. Le service est encore en bêta privée. http://www.journaldunet.com/ebusiness/le-net/actualite/voici-les-start-upsles-plus-innovantes-du-web-08/myid-is-certified-france.shtml
233 Entretien avec Olivier Desbiey. Strategic Marketing Inteligence. La Poste Innovation & e-services Development Division
234 DigiCoffre est un véritable coffre-fort numérique personnel pour conserver de façon sécurisée et durable vos fichiers numériques. 7 jours sur 7 et 24h
sur 24, (l’internaute peut) déposer et protéger (ses) contenus électroniques : documents bureautiques (textes, tableaux, présentations), fichiers multimédia
(musiques, vidéos, photos) ou toutes pièces sensibles numérisées (copies de Carte Nationale d’Identité, copies de factures, contrats ou bulletins de salaire).
Une façon simple, efficace et sécurisée de maîtriser une copie de sauvegarde. L'accès à DigiCoffre est sécurisé par un mot de passe personnel et confidentiel.
Les échanges entre l’ordinateur et DigiCoffre sont chiffrés. Les fichiers numériques conservés dans (le) coffre-fort DigiCoffre sont également chiffrés pour en
garantir la confidentialité. Ces fichiers sont régulièrement sauvegardés automatiquement par DigiCoffre. DigiCoffre garantit l’intégrité des fichiers déposés,
la datation des actions effectuées et l’authentification des utilisateurs. https://www.digicoffre.com/index.php?m=e2c90ed8&a=9dd23a34
235 Ces témoins seront évidemment majeurs, non mariés entre eux et non parents du défunt mais auront par contre bien connu celui-ci.
59/ 133
_________________________________________________________________________________________________________________
Les fournisseurs d‟identité délivrent des certificats électroniques – authentification et signature permettant d‟établir un lien biunivoque avec un individu. Il est fondamental que ces prestataires
s‟inscrivent dans un contexte normatif de façon à assurer une interopérabilité technique minimale, c‟est ce
qu‟on appelle une infrastructure à clé publique.
Le « Cercle de Confiance » permet de respecter la vie privée en ne conférant aux prestataires que le
minimum des données nécessaire à leur activité. La CNIL vise au respect de ce principe afin d‟éviter la
constitution de bases de données centralisées. De plus, elle rappelle que les sphères d‟intervention des
secteurs public et privé doivent être respectées avec, pour chacune, un identifiant différent ; d‟où une
pluralité d‟identités, en fonction de besoins sectoriels plutôt qu‟une identité unique, les attributs pouvant
être répartis entre multiples fournisseurs (État civil, prestataires…).
De façon à préserver la vie privée, l‟anonymat constitue l‟une des règles du web, mais ceci n‟exempte
nullement le fournisseur d‟identité de conserver les données exigées lors de l‟enrôlement. Ainsi la
Directive européenne sur la Signature électronique, dans son attendu 25, légitime-t-elle le recours à un
pseudonyme dans la mesure où celui-ci contribue à une protection des données236, mais « Il convient que les
dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer
l'identification des personnes conformément au droit communautaire ou national ».
Les fournisseurs d‟identité sont régis par le Décret du 30 mars 2001237 qui détaille leurs obligations
juridiques, notamment l‟article 6-II238 prévoyant à leur charge, l'obligation «de conserver, éventuellement sous
forme électronique, toutes les informations relatives aux certificats électroniques qui pourraient s'avérer nécessaires pour faire
la preuve en justice de la certification électronique ou d'utiliser des systèmes de conservation des certificats qui garantissent que
Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques
Il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification
des personnes conformément au droit communautaire ou national; http://www.certificat-electronique.fr/doc/legislation/parl_directive1999-93.pdf
237 Décret n°2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique.
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000005630796
238 6.II. - Un prestataire de services de certification électronique doit satisfaire aux exigences suivantes :
a) Faire preuve de la fiabilité des services de certification électronique qu'il fournit ;
b) Assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d'un service d'annuaire recensant les certificats
électroniques des personnes qui en font la demande ;
c) Assurer le fonctionnement d'un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce
certificat ;
d) Veiller à ce que la date et l'heure de délivrance et de révocation d'un certificat électronique puissent être déterminées avec précision ;
e) Employer du personnel ayant les connaissances, l'expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;
f) Appliquer des procédures de sécurité appropriées ;
g) Utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu'ils assurent ;
h) Prendre toute disposition propre à prévenir la falsification des certificats électroniques ;
i) Dans le cas où il fournit au signataire des données de création de signature électronique, garantir la confidentialité de ces données lors de leur création et
s'abstenir de conserver ou de reproduire ces données ;
j) Veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de
création correspondent aux données de vérification ;
k) Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour
faire la preuve en justice de la certification électronique.
l) Utiliser des systèmes de conservation des certificats électroniques garantissant que :
- l'introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
- l'accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;
- toute modification de nature à compromettre la sécurité du système peut être détectée ;
m) Vérifier, d'une part, l'identité de la personne à laquelle un certificat électronique est délivré, en exigeant d'elle la présentation d'un document officiel
d'identité, d'autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette
identité et de cette qualité ;
n) S'assurer au moment de la délivrance du certificat électronique :
- que les informations qu'il contient sont exactes ;
- que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature
électronique contenues dans le certificat ;
o) Avant la conclusion d'un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d'un
certificat électronique :
- des modalités et des conditions d'utilisation du certificat ;
- du fait qu'il s'est soumis ou non au processus de qualification volontaire des prestataires de services de certification électronique mentionnée à l'article 7 ;
- des modalités de contestation et de règlement des litiges ;
p) Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l'information prévue au o qui leur sont utiles.
236
60/ 133
_________________________________________________________________________________________________________________
l'introduction de la modification des données est réservée aux seules personnes autorisées à cet effet par le prestataire et que
toute modification de nature à compromettre la sécurité du système puisse être détectée ».
Un cadre strict dans la mesure où l‟anonymat sur le web exige en contrepartie une confirmation de
l‟identité, de façon à garantir la traçabilité des usagers au cas où des malveillances surviendraient. Ainsi, le
certificat électronique comporte-t-il des mentions obligatoires : nom du porteur, clé publique, autorité de
certification, signature de cette autorité et durée de validité239.
Les arrêtés du 31 mai 2002 (art. 7) et du 26 juillet 2004 fixent les conditions dans lesquelles ces prestataires peuvent demander à être reconnus
comme « qualifiés », après évaluation et selon une procédure d'accréditation des organismes de qualification décrite dans ce même arrêté. Ces organismes
sont eux mêmes accrédités par le Comité français d'accréditation (Cofrac) et la Direction centrale de la sécurité des systèmes d'information (DCSSI)
contrôle la délivrance des accréditations.
239
61/ 133
_________________________________________________________________________________________________________________
4
ATTENTE DES ACTEURS VIS-A-VIS DE L’IDENTITE ELECTRONIQUE
4.1
Typologie des accès en ligne
4.1.1
Identification / authentification
L‟identité peut être considérée comme un profil, matérialisé par des cartes, badges, laissez-passer….. qui
atteste d‟une légitimité vis-à-vis d‟une entité : nation, entreprise, club sportif, assurance maladie….. Ses
attributs sont tant « génériques » - date de naissance, patronyme, etc…. – que « contextuels » – numéro
d‟affiliation, grade dans une entreprise…. Seul l‟État est en mesure de faire le lien entre les identités, grâce
aux obligations légales des fournisseurs.
Comme recommandé par la CNIL, le prestataire gradue les modalités d‟accès en fonction de la criticité du
service, ainsi de nombreuses téléprocédures ne nécessitent-elles qu‟une simple identification.
L‟authentification forte s‟inscrivant dans un cadre règlementaire qui nécessite l‟archivage – même
électronique – d‟un dossier de preuve. Une procédure non nécessaire lorsqu‟il s‟agit de consulter des
feuilles de soins, points retraite ou le montant de son impôt.
Par contre, dès que le fournisseur de service a l‟obligation d‟archiver des éléments de preuve,
l‟authentification forte se justifie, qu‟il s‟agisse de prestataires privés – banque, eCommerce – ou des
services de l‟État.
Dans le cas d‟une authentification, la simple « déclaration » de données ne suffit pas, le service en ligne
exigeant que l‟internaute active une preuve – code secret, mot de passe, biométrie – attestant d‟un lien
biunivoque entre lui-même et l‟identité qu‟il revendique. D‟où les trois modes d‟authentification
couramment utilisés
 Authentification par connaissance (“Ce que l’on sait”).
o Il s‟agit traditionnellement de mots de passe ou de codes secrets (PIN).
 Authentification par propriété (“Ce que l’on a”).
o Cartes à puce, clé USB, jeton, clé…..
 Authentification by caractéristique (“Ce que l’on est ”).
o Recours à la biométrie de façon à confirmer telle ou telle caractéristique de l‟usager.
Il est traditionnellement accepté qu‟une combinaison des trois modes d‟authentification constitue un
moyen plus sur que le recours à l‟un ou l‟autre des procédés, voire une combinaison de ceux-ci.
La Directive 99/93/EC240 définit le cadre juridique de la Signature Electronique, notamment par l‟article
5.1, l‟équivalence entre certificat électronique et signature manuelle. Mais, reste posée la légitimité d‟une
relation biunivoque entre signature et identité. Sans doute une question qui sera traitée dans le cadre d‟une
nouvelle mouture de la Directive241.
Enfin, la signature électronique ne peut être refusée par les tribunaux au motif qu'elle est établie par un
procédé électronique, qu'elle soit qualifiée ou simple. En revanche, la signature qualifiée bénéficie de la
présomption de fiabilité ce dont ne dispose pas la signature simple. Une signature électronique est dite
qualifiée si elle répond aux exigences décrites en annexe de l'arrêté du 26 juillet 2004242 relatif à la
reconnaissance de la qualification des prestataires et l'accréditation des organismes qui procèdent à leur
évaluation. Cette annexe vise la norme AF Z74-400, traduction française de la spécification technique de
l'ETSI (European Technical Specification Institute) TS 101 456 "exigences relatives aux autorités de
certifications électroniques243 délivrant des certificats qualifiés"244.
Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques
Mandat M 460 de la Commission, voir pages suivantes p.127
242 Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification
électronique et à l'accréditation des organismes qui procèdent à leur évaluation
243 La demande d'accréditation adressée par un organisme à un centre d'accréditation doit comprendre les éléments suivants :
240
241
62/ 133
_________________________________________________________________________________________________________________
Le protocole IAS
Initié par la France et l‟Allemagne dans le contexte du projet de carte d‟Identité Européenne, le protocole
IAS constitue une avancée majeure, tant d‟un point de vue sémantique que juridique. En effet, s‟identifier
ne signifie nullement s‟authentifier – apporter une preuve d‟identité - et en aucun cas signer un document,
qui entérine une relation contractuelle entre parties.
Les spécifications IAS sont basées sur les standards suivants
 ISO 7816, ISO 7816-15
 CWA 14169 (Secure Signature Creation Device)
 CWA 14890 E-Sign (Application Interface for Smart Card used as Secure Signature)
Le CWA - CEN Workshop Agreement - définit le cadre technique de façon à promouvoir l‟usage de
cartes à puce comme SSCD « Secure Signature Creating Device (SSCD) »245. Le protocole IAS se compose
de trois blocs :
 Bloc identitaire
o Accessible seulement aux autorités habilitées
o Contient les données “faciales” de la carte: photos numérisée, minuties biométriques,
 Bloc d’authentification
o Mécanisme qui prouve la propriété de la carte.
o Authentification qualifiée par Code PIN
 Bloc de signature électronique
o Code PIN pour signature électronique
4.2
Les enjeux de l’identité électronique
Augmenter les taux de transformation en ligne constitue la préoccupation majeure des prestataires de
services, sachant que la moitié des tentatives d‟achats n‟aboutissent pas. Même constat pour les demandes
de crédits ou les promesses non honorées de paiement hors internet. Les solutions à base de certificats se
situent donc à la conjonction de deux préoccupations, augmenter les taux de transformations tout en
constituant un dossier de preuves. Le succès d‟un service de paiement comme Paypal confirme que la mise
en mémoire de données sensibles comme des numéros de carte de crédit est perçu comme acceptable s‟il
est protégé par un mot de passe.
Bien entendu, il est illusoire de prétendre doubler les ventes ou la prise de crédits en ligne par des
procédés à base de certificats. Nombre d‟internautes surfent sur les sites sans conclure, une fois précisées
les conditions de vente, de livraison, voire de crédit, par soucis de s‟informer. Pourtant un pourcentage
non négligeable de ces curieux du web est découragé par des écrans multiples, ou même des demandes de
confirmations réitérées. C‟est précisément cette population qui peut être confortée par des procédés
simplifiés, mais qui satisfassent les juristes.
1. Les statuts de l'organisme, son règlement intérieur et tout autre texte régissant son fonctionnement ;
2. Les noms et qualités des dirigeants de l'organisme et des membres de son conseil d'administration ou des organes en tenant lieu ;
3. Les noms et les qualifications des personnels de l'organisme prenant part à la procédure d'évaluation ;
4. La description des activités de l'organisme, de sa structure et de ses moyens techniques ;
5. Les comptes des deux exercices précédents ;
6. La description des procédures et des moyens qui seront mis en œuvre par l'organisme pour évaluer les prestataires de services de certification électronique
en vue de reconnaître leur qualification, compte tenu des normes ou prescriptions techniques en vigueur.
L'organisme demandeur doit en outre signaler au centre d'accréditation les liens éventuels qu'il a avec des prestataires de services de certification
électronique. En ce cas, il doit préciser les mesures qu'il compte mettre en œuvre pour éviter tout conflit d'intérêts. L'organisme demandeur doit disposer,
conformément à la clause 2.1.2.e de la norme NF EN 45012, d'une structure en son sein qui préserve son impartialité. Cette structure doit notamment
comprendre un représentant de la direction centrale de la sécurité des systèmes d'information, un représentant de l'agence pour le développement de
l'administration électronique et un représentant de la direction générale de l'industrie, des technologies de l'information et des postes.
244 http://www.lsti-certification.fr/index.php?option=com_content&view=article&id=61&Itemid=38&lang=fr
245 EN 14890-1 defines the basic requirements for an SSCD that fulfils the generic IAS-services (Identification, Authentication and Digital
Signature). EN 14890-2 specifies additional requirements for an SSCD that fulfils the generic IAS-services (Identification, Authentication and Digital
Signature).
63/ 133
_________________________________________________________________________________________________________________
4.2.1
Gains de productivité
Les gains de productivité se situent essentiellement lors de la constitution d‟un dossier – l‟enrôlement –
dont la communication de pièces, parfois périmées ou de mauvaise qualité, pénalise la performance des
sites en ligne. La signature de tout contrat ouvre également des perspectives de rentabilité, d‟autant plus si
l‟offre – packagée – ne nécessite pas de traitement sur mesure ; ce qui est le cas d‟assurance crédits dont
les taux sont immédiatement calculés, sans possibilités de négociation.
Gains de productivité et taux de transformation ne sont pas contradictoires. Comme le contrôle d‟identité
constitue une partie importante du dossier client, l‟intérêt du certificat est double : affranchir l‟internaute
de sa preuve d‟identité et le prestataire du contrôle, par recours à un tiers, sorte de notaire virtuel. De plus,
l‟attribut « adresse » demandé par souci d‟éviter les homonymies, ne sera plus nécessaire, dans de
nombreux cas, du moment que l‟identité est certifiée. Difficile de quantifier le gain de productivité par
certificats, d‟autant plus que la part « identitaire » d‟un dossier ne bénéficie pas d‟une comptabilité
analytique, des frais de marketing et communication restant nécessaires, même dans le cas de procédures
en ligne !
Rappelons les hypothèses de notre étude de 2007, encore actuelles dans la mesure où l‟authentification
forte ne s‟est pas imposée sur le marché de l‟internet : « Les établissements de crédit connaissent actuellement une
croissance moyenne du nombre de prêts d’environ 10 à 12% par an. Bien que les offres via internet soient encore mineures
aujourd’hui (inférieur à 20%), ce sont celles qui connaissent la plus forte progression, aux dépens des canaux traditionnels
comme les grandes enseignes ou le télémarketing. Ici, les frais moyens de conquête peuvent être estimés à plus de 200 Euros
par client, si l’on intègre la somme des coûts tels que marketing, rédaction /envoi /retour du contrat, traitement et vérification
des pièces, suivi de dossier246. Un ratio de l’ordre de 5% si on évalue l’encours moyen des prêts à 4000 Euros247 »248.
Grâce à des certificats, nous envisagions que « le rapport entre prêt moyen et coût de conquête pourrait diminuer de
5% à 3,75%, soit un gain de productivité de plus de 200 Millions d’Euros si on estime le total d’encours des établissements
de crédit à plus de 14Mds Euros. Pareillement, le traitement du cross-selling, entièrement géré sur le web, deviendrait
relativement modique, l’ensemble de la relation avec le client étant dématérialisée sachant que le contrôle de pièces actualisées
reste indispensable, même pour un client connu. Dans ce cas, le ratio encours / conquête tombe à 3%, d’où un gain de
productivité de plus de 600 Millions d’Euros sur un total estimé de 10 Mds d’Euros en cross-selling ». Des hypothèses
encore valables, vu l‟absence de procédés d‟authentification et de signature en ligne malgré la maturité des
prestataires.
4.2.2
Nouveaux marchés
Le marché de l‟authentification se compose d‟une multitude de niches pesant entre 20 et 200 millions,
voire davantage, faute d‟une « killer application » qui, par un succès d‟usage, entrainerait d‟autres marchés.
On rêve d‟un effet Minitel à paiement différé ; ce qui n‟a aucune chance de se reproduire, vu que nous
sommes dans un mécanisme du contrôle d‟accès et non de contenus.
On anticipe que les prestataires de services en ligne ne modifieront pas leurs systèmes d‟information –
activation du PIN, CRL – avant que le marché de l‟authentification ne fasse preuve de maturité,
certainement quelques années. Il pourrait donc être envisagé d‟externaliser cette procédure auprès
d‟intermédiaires qui assureraient ce mécanisme auprès des détenteurs d‟identité.
4.2.3
Roaming d’identité et cercle de confiance
A partir d‟un « bouton » authentification, l‟internaute pourrait sélectionner son fournisseur d‟identité
parmi un panel de candidats ; charge à celui-ci de communiquer des attributs complémentaires en fonction
du service : majorité, adresse, date de naissance….. ; le tout sous contrôle de l‟ayant droit
Dans cette étude, et suite aux entretiens réalisés, nous estimions la gestion de la preuve d’identité à 5-10 Euros, une hypothèse qui nous parait encore
pertinente aujourd’hui.
247 Nous avions évalué ce chiffre comme une moyenne entre les crédits revolving (750 à 2000 Euros), les crédits consommation (1000-4000 Euros) et les
rachats de crédits (2500-35K Euros)
248 Etude Standarmedia Afnor 2007
246
64/ 133
_________________________________________________________________________________________________________________
Appelons IDP (Identity Provider) les fournisseurs d‟identité et SP (Service Provider) les prestataires de
services en ligne. Lorsque l‟internaute se connecte à un SP, il est dans un mode « roaming » similaire aux
opérateurs de téléphonie mobile à l‟international ; charge au prestataire local d‟identifier le titulaire de
l‟abonnement pour percevoir sa partie de revenus.
Ce « roaming d‟identité » correspond bien à la problématique du Cercle de Confiance ; l‟internaute se
connectant – comme le voyageur – chez un prestataire (SP) dont il n‟est pas client. Comme il dispose de
plusieurs fournisseurs d‟identité, il privilégie celui qui garantit le maximum d‟interopérabilité.
L‟appartenance à un « Cercle de Confiance » évite à l‟ensemble des prestataires en ligne (SP) de signer des
accords bilatéraux avec tous les fournisseurs d‟identité (IDP)249, une procédure fastidieuse qui limiterait, à
terme, le nombre d‟IDP et SP ; chaque nouvel intervenant devant formaliser une relation contractuelle
avec les parties en présence. Dans cette approche, la rémunération du service de certification d‟identité se
partage entre l‟IDP – titulaire de l‟enrôlement - et le Cercle de Confiance qui garantit l‟intégrité des
acteurs.
Cette approche est également celle d‟InfoCard de Microsoft, conçu comme un « point d‟entrée » (Single
Sign On) vis-à-vis de sites sécurisés, à la différence près que toute interaction entre usagers et prestataires
devra être activée par certificat ; le couple identifiant / mot de passe n‟offrant pas suffisamment de
garanties.
Dans la mesure où les solutions de SSO, voire de coffres-forts électroniques, ambitionnent de se
positionner vis-à-vis de services en ligne, il est fondamental qu‟elles incorporent à l‟avenir des mécanismes
d‟authentification forte à base de certificats; réciproquement les offres de SSO du marché constituent une
piste privilégiée pour le développement de projets d‟identité dans la mesure où elles s‟appuient sur des
architectures solides qui pourra contribuer au développement de nouveaux standards sur l‟ensemble de la
chaîne de traitement.
4.2.4
Acceptation d’une identité dans un cercle de confiance
Le Schéma figuré cicontre (Wikipedia,
SAML) décrit le
mécanisme
de
recherche
d‟attributs
par
protocole SAML.
Le fournisseur de
services demande
des
attributs
complémentaires
qui sont transmis
par le fournisseur
d‟identité,
sur
contrôle
explicite
de l‟usager.
Le schéma250 SAML ci-dessus nécessite que le prestataire de services en ligne (SP) ait au préalable passé un
accord avec le fournisseur d‟identité (IDP), notamment le principe d‟une rémunération en échange d‟un
gain de productivité sur le contrôle d‟identité. Si ce n‟est le cas, il fera appel à un Cercle de Confiance
Mais ceci nécessite d’intéresser les multiples intervenants – fournisseur d’identité, fournisseur d’attributs, intermédiaire d’identité – à la manière dont
le réseau Visa se rémunère, même si Paypal assure la transaction lors d’un achat en ligne.
250 Wikipedia
249
65/ 133
_________________________________________________________________________________________________________________
comme décrit ci-dessus. Le rôle du « Cercle de Confiance » nécessite la mise en œuvre d‟un répertoire
(Directory) de prestataires de services (SP) et fournisseurs d‟identité (IDP) avec qui sont signés des
accords de partage des revenus.
Ce schéma est décrit par les spécifications du mécanisme de la Swiss ID
qui met en œuvre les composants suivants :
251
dans sa version de Juin 2010




Fournisseur d‟identité (IDP) : Autorité d‟authentification basée sur les standards SAML 2.0
Service de requête (Claim Assertion Service (CAS) : Une autorité de requête d‟attributs basée sur SAML 2.0.
Architecture Client / Serveur pour authentification forte et demande d‟attributs complémentaires
Fournisseurs de services (SP) dont les procédures d‟authentification forte et la demande d‟attributs est basée
sur SAML 2.0
 Répertoire (Directory) faisant le lien avec d‟autres fournisseurs d‟identité de façon à communiquer des
attributs complémentaires252.
L‟autorité de certification
(IDP) héberge à la fois des
données « génériques » mais
également
des
attributs
complémentaires
qui
pourront être requis par
certains services : date de
naissance, adresse, etc…
Par contre il est fondamental
d‟appartenir à un Cercle de
Confiance
grâce
auquel
fournisseurs d‟identité (IDP)
et prestataires de services (SP)
pourront
échanger
des
données, sans nécessairement
devoir passer des accords
bilatéraux
(Cahier
des
Charges Swiss ID Digital
Certificates
and
Core
Infrastructure Services).
SuisseID Specification. Digital Certificates and Core Infrastructure Services. Version 1.3 June 10, 2010
SuisseID Specification. Digital Certificates and Core Infrastructure Services. Version 1.3 June 10, 2010
1. The Core Infrastructure consists of two distinct services:
a. Identity Provider (IdP). An authentication authority according to the SAML 2.0 standards [17]. Its purpose is to confirm identity by means of
SAML 2.0 assertions;
b. Claim Assertion Service (CAS). An attribute authority according to the SAML 2.0 standards acting as a distributor of SAML 2.0 attribute
assertions.
2. Client/User: Recent browser technology is required to support the web frontend usage pattern (Web SSO and web-based attribute query). Other
usage patterns can be applied, such as document signing and Identity Selectors that support the information card paradigm using WS-Trust identity and
attribute assertions;
3. Applications: Service Providers integrate services and applications into the CAI, possibly taking advantage of the rich functionality offered by the
IdP/CAS. For Web SSO and web-based attribute queries, applications will use SAML 2.0 HTTP POST profile;
4. Directory- & Assertion Services: Directory and database providers may introduce additional IdP and CAS services to provide business-relevant
assertions about the certificate owner, like "the person is a registered notary" or "the person is a registered medical doctor".
251
252
66/ 133
_________________________________________________________________________________________________________________
4.3
Réduction de la fraude
Typologie de la fraude
L‟Observatoire de la sécurité des cartes de paiement de la Banque de France 253 a défini une typologie de
la fraude en fonction de l‟origine des malveillances :
 Carte perdue ou volée : le fraudeur utilise une carte de paiement à l‟insu de son titulaire légitime, suite à
une perte ou à un vol ;
 Carte non parvenue : la carte a été interceptée lors de l‟envoi au titulaire légitime par l‟émetteur. Ce type de
fraude se rapproche de la perte ou du vol. Cependant, il s‟en distingue, dans la mesure où le porteur peut
moins facilement constater qu‟un fraudeur est en possession d‟une carte lui appartenant;
.
 Carte falsifiée ou contrefaite : une carte de paiement authentique est falsifiée par modification des
données magnétiques, d‟embossage ou de programmation. La contrefaçon suppose la création d‟un support
donnant l‟illusion d‟être une carte de paiement authentique et/ou susceptible de tromper un automate ou
une personne quant à sa qualité substantielle.
La fraude sur les paiements à
distance est en hausse constante
(0,263 % en 2009) pour un
montant évalué à 52 millions
d‟euros. Un taux encore plus
élevé pour les paiements
transnationaux, qui représentent
7% de la valeur des transactions,
et comptent désormais pour
57% du montant de la fraude.
Un pourcentage à relativiser, vu
la croissance du commerce sur
la toile (+40%/an) et la valeur
des paiements à distance (+ 17,1
% en valeur, 19,7 % en volume)
Transformation vs fraude
Augmenter les taux de transformation constitue l‟objectif majeur des prestataires de services en ligne, bien
d‟avantage que lutter contre la fraude. Si l‟on évalue à près de 50% les transactions de eCommerce (30
milliards d‟Euros) non abouties, résorber les taux d‟échec pèse bien plus lourd que les quelques 0,26% de
fraude sur les cartes de crédit.
Rappelons le point suivant « La fraude sur les cartes de paiement, principal moyen de paiement utilisé en France, reste
faible. Comme près d’un acheteur sur deux en moyenne abandonne la transaction d’achat entre la validation de la commande
et le paiement, les e-commerçants sont à priori réticents à renforcer la sécurité du paiement au risque de complexifier la
transaction et d’augmenter encore le taux d’abandon. 254»
Par contre, et vu la croissance du commerce électronique (40%/an), le montant estimé de la fraude aux
cartes de paiement constitue un potentiel d‟environ 50 millions d‟euros, devant permettre à des
En France, l’Observatoire de la sécurité des cartes de paiement, publie chaque année un rapport qui inclut les données concernant le commerce
électronique grâce à un partenariat avec la FEVAD qui s’appuie sur un échantillon de 33 entreprises de vente à distance représentant 38% du chiffre
d’affaires des adhérents de la FEVAD.
254 Consortium FC², Gestion des identités, analyse des contextes juridique, socio-économique et sociétal. Paris 2010.
253
67/ 133
_________________________________________________________________________________________________________________
intermédiaires de proposer des solutions – à base de certificats ? - et éventuellement rebondir sur d‟autres
secteurs255 nécessitant une sécurité des paiements en ligne256.
Dernier point à investiguer, les achats en ligne depuis l‟étranger, dont le taux de fraude est 5,5 fois plus
élevé que celui constaté en France : 1,44% contre 0,26% ! Vu les travaux entrepris par les CEN
/CENELEC /ETSI257 sur la révision de la Directive 99/93258 et les enjeux du programme STORK,
l‟identité transfrontière constitue un « Use Case » majeur pouvant favoriser le eCommerce. Un mécanisme
à base de certificats – confirmation de l‟identité du porteur ? - devant contribuer à minimiser les tentatives
de répudiation au paiement depuis l‟étranger.
.
Rappelons que l’Inspection Générale de l’Administration travaille à la mise ne œuvre d’une base nationale des pièces d’identité perdues ou volées dans
le cadre d’une mission relative à la fraude. Il parait essentiel que cette base soit accessible aux fournisseurs d’identité, notamment au stade de l’enrôlement,
de façon à ce que les procédures d’authentification en ligne puissent endiguer les tentatives de fraude.
256 En France, le taux de fraude sur les achats en ligne augmente en 2009 à 0,263% contre 0,235% en 2008. Le montant de la fraude en ligne s’élève
à 51,9 millions d’euros. Le taux de fraude sur Internet reste très élevé par rapport aux transactions physiques: le taux est presque 7 fois plus élevé que le
taux global (0,263% contre 0,038%). Rapport Banque de France. Fraude aux cartes de crédit sur le commerce en ligne. Paris 2010
257 Le 22 décembre 2009, la Direction Générale Entreprises et Industrie, Politique de l'innovation Industries TIC pour la compétitivité et l'innovation
de la Commission Européenne a confié un mandat (M460) aux organismes Européens de normalisation (CEN, CENELEC et ETSI) dans le
domaine des technologies d’information et de communication appliquées aux signatures électroniques. Le propos de ce mandat est de réactualiser le contenu
de la directive 1999/93/CE, texte adopté par le Parlement européen et le Conseil en décembre 1999 de façon à établir un cadre juridique pour la
signature électronique et pour les fournisseurs de services de certification au sein du marché intérieur.
258 Mandat 460 de la Commission, voir p.127
255
68/ 133
_________________________________________________________________________________________________________________
4.4
La vision du consommateur
4.4.1
Confiance vs automatisation
La communication de données constitue une préoccupation des internautes ; ainsi la relative stagnation du
procédé 3D Secure par SMS nécessite-t-elle une réflexion préalable à la mise en œuvre de nouveaux
mécanismes. La multiplicité des écrans suscite en général la réticence des usagers et fait chuter les taux de
transformation.
L‟acceptation d‟un périphérique d‟authentification relève du contexte culturel ; ainsi une étude de Gartner
mentionne259 la préférence des usagers pour l‟authentification à un ou deux mots de passe, plutôt que
l‟adjonction d‟un système matériel ou logiciel. Alors que le Gie Cartes Bancaires constate l‟inverse260 en
France.
L‟expérimentation
MSP
(Mon.Service-Public.fr), conduite
par la DGME, fait état de
difficultés rencontrées par les
usagers pour installer les lecteurs
de cartes aux PC.
Cette problématique de « mass
market » ne doit pas être sousestimée, notamment le coût du
terminal – gratuit ou prix
symbolique – une réflexion qui a
été au cœur du succès Minitel il y
a plus de 20 ans !
.
Alors que la biométrie est majoritairement considérée comme une donnée « sensible », son usage pour une
connexion sécurisée ne semble pas rebuter les internautes et la majorité des enquêtes converge sur ce
point261.
Cette acceptation de la biométrie, qui
n‟est pas neutre, pourra être
considérée comme une alternative au
Code PIN pour des accès distants,
comme c‟est le cas dans certains pays
ayant implémenté leur CNIe. Il est
vrai que les technologies de MOC,
Match On Card, permettant de
contrôler l‟identité en local (1 :1)
limitent les craintes quant à une
capture de cette donnée sensible.
Livre Blanc, Gestion des Identités, Analyse des Contextes juridique, socio-économique et sociétal. Consortium FC²
Enquête Médiamétrie, Gie CB. Selon une étude Groupement des Cartes bancaires sur l‟authentification42, 65 % des internautes sont favorables à
l’utilisation d’un boîtier (lecteur de carte à puce avec clavier) connecté à leur PC.
261 Pour le choix d’une méthode d’authentification renforcée, les consommateurs semblent séduits par les systèmes biométriques (reconnaissance vocale,
empreinte digitale, réseau veineux, reconnaissance d’iris, etc.). Ils sont sans doute rassurés par le fait de toujours porter leur sésame sur eux, à condition
bien entendu que les techniques d’identification considérées soient fiables.
C’est ce que souligne une étude menée par Unisys43 en mai 2006 dans 14 pays. Elle confirme la préférence exprimée par des utilisateurs pour des
techniques d’identification biométriques (66%), devant les technologies de type lecteur de cartes à puce (46%), jeton de sécurité (42%), ou le rajout d‟un
mot de passe supplémentaire (15%).
259
260
69/ 133
_________________________________________________________________________________________________________________
Cette perception « positive » de la biométrie est relayée par la CNIL qui n‟exclut pas, à priori, le recours à
l‟authentification biométrique dans les cas suivants262, bien entendu sous réserve d‟une justification du
procédé :
 Match On Card (1 :1)
 Système sans trace
 Détection du « caractère vivant » de l‟internaute, exemple réseau veineux (et non une empreinte pouvant
être copiée) du doigt
4.4.2
Confidentialité vs sécurité
Caroline Lancelot-Miltgen263, dans son étude de Paris-Dauphine, a bien perçu que la transmission de
données sur la toile nécessite un rapport de légitimité entre l‟internaute et le service264. Davantage en
confiance vis-à-vis d‟un compte dont il est titulaire, il se méfie des sites qui, sous prétexte d‟avantages –
remises, facilités de paiement – débutent la procédure par une enquête, nécessitant l‟envoi de données
sensibles : numéro de téléphone, adresse, etc…
Ainsi distingue-t-elle 4 critères qui conditionnent la transmission des données265 :
 Confidentialité perçue : Confiance dans la capacité du récipiendaire à garder les informations confidentielles
– lien avec la sécurité perçue
 Sensibilité perçue : Degré de sensibilité de l‟information
 Pertinence perçue : Légitimité, proportionnalité de la demande d‟information par rapport au type de
transaction
 Equité perçue : rapport coût / bénéfice perçus
Par contre, le web constitue l‟auberge espagnole des pseudos266, mais ceci n‟est nullement contradictoire
dans la mesure où l‟anonymat constitue un sésame d‟usage, contrairement au processus d‟enrôlement,
nécessairement rigoureux à des fins d‟enquête en cas de malveillance.
Parmi les données sensibles et sources de prudence, numéros de carte de crédit et coordonnées
téléphoniques, en raison des risques de divulgation. Ceci peut expliquer, partiellement, le peu
d‟enthousiasme suscité par 3D Secure, d‟autant que le numéro de portable, davantage que celui du
domicile, est considéré comme une donnée critique. Par contre l‟email, en majorité un pseudo, est
communiqué sans réserve.
Entretien avec Monsieur Gwendal Le Grand. CNIL.
263 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective. Etude Dauphine
Février 2006. L’internaute et ses données. Ce qu’on dit, ce qu’on fait….
264 Avant toute chose, pour accepter de se dévoiler, une majorité de cyberconsommateurs attendent des garanties de confidentialité des informations
divulguées et de sécurité en cas de transfert des données. Ces garanties constituent tout à la fois un préalable, un pré requis, une assurance et s’avèrent donc
indispensables à l’établissement de la confiance. Viennent ensuite des avantages de nature utilitaire tels que des réductions de prix, un meilleur service ou
des offres davantage personnalisées. Ce type de bénéfices peut constituer, pour certains internautes au moins, une contrepartie intéressante, susceptible de les
encourager à répondre. En revanche, les récompenses monétaires sous forme de cadeaux ou d’argent sont globalement peu plébiscitées, voire carrément
stigmatisées. Pour une grande majorité d’internautes en effet, le fait d’être payé ne les inciterait pas à donner davantage d’informations. Idem
265 Rappelons que la CNIL exige deux principes de bases de la collecte de données, à savoir que la collecte doit être loyale, et que les données collectées
doivent être utilisées uniquement pour la finalité pour laquelle elles sont été collectées. Gwendal Le Grand CNIL Février 2011.
266 Si certains sont prêts à mentir pour obtenir ce qu’ils souhaitent (14% des internautes interrogés le font souvent voire systématiquement), d’autres
cherchent à conserver une part de secret, en omettant par exemple les champs facultatifs. Une autre solution consiste à recourir à un pseudo. La moitié des
répondants préfèrent ainsi l’utiliser plutôt que de fournir leur « véritable identité ». Très répandu de nos jours sur le web, le pseudonyme constitue donc
désormais une véritable identité numérique, qui tend parfois à surpasser l’identité « réelle ». Idem
262
70/ 133
_________________________________________________________________________________________________________________
Comme indiqué par le baromètre CDC-ACSEL267, l‟internaute fait d‟abord confiance à l‟État puis aux
opérateurs privés en matière de communication de données :
 La transmission d‟attributs d‟identités entre administrations est acceptée par 57% des internautes
 En revanche la majorité des internautes rejettent cette possibilité avec des opérateurs privés
La réticence des
internautes vis-à-vis
de partenaires privés
doit être prise en
compte
dans
la
perspective de cercles
de confiance. Le
baromètre
CDCACSEL
rapporte
cette défiance bien
que
la
communication
d‟attributs se fera
sous contrôle exclusif
de l‟usager.
Rappelons l‟importance de l‟ergonomie, sachant que près de la moitié de transactions en ligne
n‟aboutissent pas. La multiplicité des écrans, comme la facilité d‟usage, sont des éléments déterminants du
processus de confiance. Les familiers du web sont prompts à suspecter une malveillance ; quant aux
populations moins averties, elles seront facilement découragées par des mécanismes complexes. Un point
fondamental, l‟homogénéité des procédures d‟authentification de façon à ce que les automatismes
prennent le pas sur la suspicion. Le succès d‟un Paypal, bien qu‟il mémorise des informations sensibles,
vient de la facilité de mise en œuvre du système de paiement.
4.4.3
Les coffres-forts électroniques
4.4.4
Les certificats électroniques
Les coffres-forts électroniques n‟ont pas bonne presse ; disposer en ligne des données sensibles – feuilles
d‟IR, bulletins de salaire – n‟est pas ressenti comme un besoin par nos concitoyens ; réticence qui se
justifie par l‟absence de procédures d‟authentification en ligne. Le consortium FC² rappelle que « Dans le
cas du pilote MSP (mon.service-public.fr), cette fonctionnalité avait été peu utilisée, notamment par crainte que tous les sites
fédérés puissent avoir accès aux données y étant archivées (ex. la CAF qui pourrait avoir accès à ma déclaration d’impôt sur
le revenu) 268». La crainte de divulgation d‟informations reste forte, bien que toute garantie ait été donnée
aux bénéficiaires quant à la non-communication des informations. Par contre, la CNIL exclut à ce jour le
stockage de données santé dans ce type de dispositifs269.
Bien qu‟ils ne soient pas encore rentrés dans l‟usage, les certificats bénéficient déjà d‟un capital de
confiance. Ainsi le baromètre CDC- ACSEL rappelle que 3/4 des internautes, ayant fait leur déclaration
d‟impôts en ligne, ont utilisé un certificat électronique et que son utilisation les a rassurés (80%)270.
267 Baromètre Caisse des Dépôts/ACSEL La confiance des Français dans le numérique Baromètre Caisse des Dépôts/ACSEL
La confiance des Français dans le numérique. Mars 2010 http://www.associationeconomienumerique.fr/wp-content/uploads/2010/03/p4.pdf
268 Livre Blanc, Gestion des Identités, Analyse des Contextes juridique, socio-économique et sociétal. Consortium FC²
269 Article L1111-8 du code de la santé publique. Communication de Gwendal Le Grand CNIL. Février 2011
270 Baromètre Caisse des Dépôts/ACSEL. La confiance des Français dans le numérique 11 mars 2010
71/ 133
_________________________________________________________________________________________________________________
Il est possible que les récents
débats sur la future Carte
Nationale
d‟Identité
Electronique aient mis en
confiance les futurs usagers
car les chiffres traduisent une
forte adhésion au procédé.
Le total de personnes
intéressées avoisine les 50%,
score très honorable, avant
même que le programme ait
été lancé (Baromètre CDCACSEL)
Publié en Mars 2010, le baromètre CDC-ACSEL reflète la perception des français vis-à-vis de l‟économie
numérique. Faisant une large part au projet de CNIe, il est antérieur à l‟initiative IDéNUM visant à
diversifier la fourniture de certificats pour des services en ligne. Il est donc opportun de pondérer ces
réponses, le paysage identitaire s‟étant diversifié depuis cette enquête.
Point positif, nos concitoyens se montrent fort réceptifs vis-à-vis des projets d‟identité de l‟État :
 La carte d‟identité paraît attractive pour près de la moitié des individus (internautes ou non-internautes), et
très attractive pour une personne sur six.
 Au final, 20% des internautes seraient tout à fait prêts à utiliser la CNIE, et 37 % seraient potentiellement
utilisateurs.
A cet égard, la présentation du concept de CNIe répond bien à un souci d‟accès en ligne sécurisés. « La
carte d’identité électronique vous permettra de faire tout ce que vous pouviez faire avec la version actuelle de votre carte
d’identité : prouver votre identité, voyager en France et en Europe. De plus, grâce à l’ajout d’une puce électronique (comme sur
les cartes bancaires), la carte d'identité électronique permettra d’accéder à des services en ligne. En l'insérant dans un lecteur
connecté à votre ordinateur, vous pourrez prouver votre identité par Internet en toute sécurité, apposer une signature
électronique (grâce au certificat qu’elle contient) et ainsi signer en ligne des documents, compléter des documents et formulaires
72/ 133
_________________________________________________________________________________________________________________
officiels de manière sécurisée, de faire des démarches administratives à distance Elle peut également servir à remplir
automatiquement vos informations personnelles lors d'achats sur Internet, ou de pièce d’identité lors de la réservation de
voyages ou d'hôtels, location de véhicule, etc, sans avoir à ressaisir des données vous concernant271 ».
Près de 60% des internautes sont
disposés à utiliser leur CNIe
pour des services en ligne
(Baromètre CDC – ACSEL)
Comme
le
sondage
s‟accompagne des modalités de
connexion en ligne, nos
internautes font preuve d‟une
forte maturité vis-à-vis de
procédés d‟authentification et de
signature.
Autre point pertinent du baromètre CDC-ACSEL « La facilité d’usage et le gain de temps potentiels sont les
principaux avantages perçus, y compris parmi les internautes non-intéressés », preuve que la qualité des écrans et
l‟ergonomie contribuent à augmenter les taux de transformation, préoccupation majeure des prestataires.
Par contre, l‟enquête rappelle que « Les freins à l’usage sont multiples, les plus forts étant liés aux risques d’usurpation
d’identité, de mauvais fonctionnement, de confidentialité, et également au fait de ne pas utiliser Internet ». Des réticences
qui pourront être levées sur la base de garanties fortes, vu le capital confiance dont bénéficie la future
CNIe.
Egalement fondamental, un souci « à la Paypal » de ne pas ressaisir les données272 ; « La simplicité d’emploi, et
notamment le fait d’éviter de ressaisir les informations sont les principaux avantages perçus par les internautes ». Par contre
« la centralisation des données des identités constitue un frein important, associé au manque de sécurité perçu273 ». Un souci
partagé par la CNIL qui affiche sa préférence vis-à-vis de multiples prestataires d‟identité, de façon à éviter
les possibilités de tracer les accès en ligne comme de consolider des informations ; des mécanismes
pouvant contribuer au profilage des internautes.
Le baromètre CDC-ACSEL rappelle que
le point « fort » d‟une CNIe vient surtout
de l‟ergonomie et de la facilité d‟usage ;
preuve que ces mécanismes permettront
d‟augmenter les taux de transformation
vis-à-vis de services sur la toile.
Par contre, la communication de données
personnelles, même s‟il n‟est pas
prioritaire, est mentionnée par le quart des
usagers.
Baromètre Caisse des Dépôts/ACSEL. La confiance des Français dans le numérique 11 mars 2010
Rappelons que Paypal est également le premier service permettant des transferts de fonds sur internet entre particuliers avec un niveau de sécurité
généralement perçu comme acceptable et qu'il est possible d'alimenter son compte Paypal par chèque ou par virement bancaire. On peut également
souligner que l’une des grandes innovations de Paypal est de permettre à un individu ne souhaitant pas utiliser sa carte bancaire en ligne de pouvoir tout
de même payer électroniquement. Gwendal Le Grand. CNIL. Février 2011
273 Idem
271
272
73/ 133
_________________________________________________________________________________________________________________
4.4.5 Les supports d’authentification
Dans le cadre de cette étude, nos concitoyens se montrent très conservateurs vis-à-vis des nouveaux
supports d‟identité, le format papier traditionnel ou celui des cartes de crédit paraissant bien plus
rassurants que les clés USB ou téléphones mobiles274.
A la question « En
ce qui concerne
votre état civil,
quel support
Préférez-vous pour
prouver votre identité
? » Le sondage
confirme un fort
conservatisme des
usagers. (Etude
IDATE/ACSEL)
Mais ces réponses doivent être nuancées dans la mesure où, lors de cette enquête (2009), des offres de
type IDéNUM n‟étaient pas encore d‟actualité ; d‟autant plus que nos voisins helvétiques ont globalement
plébiscité les clés USB pour l‟identifiant Suisse ID (95%), un dispositif qui ne demande pas de lecteur
additionnel et peut être facilement transporté avec l‟usager lors de déplacements. Autre élément important,
la nécessité de prendre en compte smartphones et tablettes qui, à terme, en embarquant des certificats, ont
vocation à se positionner comme des outils de la confiance.
4.5
Anonymisation et traçabilité
Anonymisation et traçabilité ne sont pas des concepts antinomiques, une assertion confirmée tant par la
réglementation que les technologies disponibles. La traçabilité pouvant être assurée à plusieurs niveaux de
la chaîne de confiance :
Emission d’un certificat d’authentification
Cette procédure s‟inscrit dans le cadre de la Directive Européenne 1999/93/CE du Parlement européen et
du Conseil du 13 décembre 1999275, dont l‟attendu 25 rappelle que les dispositions relatives à l'utilisation
de pseudonymes dans des certificats ne doivent pas empêcher les États Membres d‟exiger l'identification
des personnes conformément au droit communautaire ou national. Une mesure rappelée par le Cahier des
Charges IDéNUM, issu du RGS, pour sa procédure d‟enrôlement des usagers276. D‟une part, un certificat
contenant peu de données – conforme aux recommandations CNIL qui souhaite que le minimum soit
communiqué -, de l‟autre, l‟état civil de l‟internaute, qui reste propriété du fournisseur d‟identité, pouvant
être communiqué en cas de malveillance.
Enrôlement
Même si les données transmises sont minimales, les procédures d‟enrôlement à des sites en ligne sont
rigoureuses, vu la nécessité de prévenir les tentatives de malveillance, notamment le blanchiment de fonds.
Ainsi, les opérateurs de jeux en ligne préservent l‟identité sous forme de pseudos mais ont une obligation
légale de détenir l‟état civil de l‟internaute.
Les supports traditionnels tels que le papier ou la carte à puce gardent leur crédibilité.
Un début d’intérêt pour l’authentification par la biométrique, notamment pour les non-internautes qui la jugent sans doute plus rassurante.
Les supports tels que le mobile, l’ordinateur ou la clé USB ne sont pas encore perçus comme des supports d’identité, tant par les internautes que les noninternautes.
275http://www.certificat-electronique.fr/doc/legislation/parl_directive1999-93.pdf
276 Sur les fonctions d’authentification : Chapitre 3.2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf
- annexe B3 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_B_3.pdf
- annexe A2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Authentification_V2-3.pdf
- annexe A7 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_PC-Type_Authentification_V2-3.pdf
274
74/ 133
_________________________________________________________________________________________________________________
Une fois le pseudo établi, le joueur se présente en anonyme sur la toile, mais le prestataire mémorise ses
accès dans un dossier de preuves ; ainsi le PMU rappelle que « Le joueur accepte que tous ses échanges avec le
PMU concernant la plateforme de jeux : emails, SMS et appels téléphoniques soient enregistrés et conservés. Ces
enregistrements seront la propriété du PMU et pourront être utilisés comme preuve dans le cas d’un litige, ou pour améliorer le
service à la clientèle.277 Une précaution qui répond à la demande de l‟ARJEL de gestion des traces278 des
joueurs.
PMU, Règlement des paris en ligne 2010
278 Arrêté du 17 mai 2010 portant approbation du cahier des charges applicable aux opérateurs de jeux en ligne
Description détaillée du frontal relative au stockage sécurisé des traces :
– stratégie détaillée employée pour la création des traces ;
– architecture technique et fonctionnelle détaillée ;
– désignation des sous-traitants ou fournisseurs éventuels ;
– spécification détaillée ;
– précision des différents algorithmes employés ;
– spécification précise du déroulement de la cérémonie de clés nécessaire ;
– spécification et rôle des bi-clés utilisées ;
– politique de sécurité ;
– analyse de risques effectués ;
– rapports de tests effectués ;
– codes sources ;
– documents d’administration et d’exploitation ;
– procédures mises en place notamment en terme de protection contre les accès non autorisés ;
– procédures mises en place notamment en terme de protection contre les accès non autorisés.
Fourniture du certificat de sécurité a minima de premier niveau du coffre-fort (ou fourniture du calendrier d’obtention accompagné d’une note du centre
d’évaluation ou du centre de certification attestant que la procédure de certification a été engagée).
Description détaillée des mécanismes d’authentification et de confidentialité mis en place (entre le joueur et le frontal, entre les différents modules du
frontal, entre le frontal et la plate-forme).
Description détaillée de la cérémonie envisagée pour l’initialisation du coffre.
Description détaillée des mécanismes d’authentification des personnes physiques au coffre.
Description détaillée de l’outil de collecte à distance des fichiers de traces.
Description détaillée de l’outil de validation et d’extraction des fichiers de traces.
Description détaillée des mesures de sécurisation du frontal.
Description détaillée des fonctions d’administration des utilisateurs du frontal :
– spécifications détaillées ;
– code source ;
– rapports de tests.
Etc…
277
75/ 133
_________________________________________________________________________________________________________________
5
LE CADRE JURIDIQUE
5.1
Quelques
jurisprudences
étrangères
(États-Unis
d’Amérique)
concernant
l’authentification
L‟instauration d‟un régime de confiance sur les réseaux numériques repose sur un pré-requis simple :
imputer une action ou une opération à une personne déterminée. A défaut, comment la confiance pourrait
elle exister ? Dès lors, on comprend bien l‟importance de la phase d‟authentification pour tout service de
l‟Internet, notamment en raison de l‟essor de la cybercriminalité et de la fraude. Cette prise de conscience
induit de soumettre les acteurs économiques aux nouvelles exigences liées à la sécurisation de leurs
activités, notamment via l‟authentification et l‟identité numérique.
Ce phénomène de responsabilisation encore en développement, a reçu récemment une confirmation de la
part de la justice américaine. Ainsi, dans une décision du Tribunal « de première instance » de l‟Illinois,
dans une affaire Shames Yeakel vs Citizen Financial Bank en date du 21 août 2009 (Case 07 C 5387)279,
les juges ont accueilli favorablement la plainte d‟une victime d‟une cyber-attaque sur son compte bancaire
en ligne, déposée contre l‟établissement bancaire.
L‟établissement bancaire a été condamné. Ce jugement remettait en cause l‟authentification à facteur
unique (un seul canal d‟identification comme l‟identifiant/mot de passe) pour protéger l‟accès aux
comptes bancaires en ligne. Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En
février 2007, une personne non identifiée a accédé, à partir d‟une autre adresse IP que celle utilisée par les
Epoux, à l‟un des comptes qu‟ils possédaient, en utilisant l‟identifiant et le mot de passe de l‟épouse. Cette
personne a ensuite effectué un virement électronique d‟un montant de 26.500 US$ à partir du compte.
L‟argent a été alors transféré vers une banque se situant à Hawaii pour finalement être envoyé vers une
banque en Autriche.
Quand le vol a été découvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme
en question. Par la suite, Citizens Financial a décidé d‟engager la responsabilité des Epoux en exigeant le
remboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à Citizens
Financial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures de sécurité nécessaires
pour protéger leur compte. Les revendications étaient, en effet, fondées sur la violation des dispositions
des Truth in Lending Act, Fair Credit Reporting Act (FCRA) et Electronic Funds Transfer Act, ainsi que
sur le non respect du droit coutumier.
L‟un des points intéressants du dispositif du jugement a trait à l’authentification au moment de l’accès
aux comptes bancaires via Internet. Citizens Financial Bank exigeait l‟utilisation de mots de passe créés
par ses seuls clients. Un expert de la sécurité informatique auprès de la banque a considéré que les mesures
de sécurité mises en place étaient « raisonnables et ne constituaient pas la cause du transfert non autorisé ».
Toutefois, les Epoux ont soutenu que les pratiques de sécurité de Citizens Financial Bank ne satisfaisaient
pas aux normes généralement admises. Leurs revendications s‟appuyaient largement sur un rapport émis
en 2005 par le Conseil Fédéral d‟Examen des Institutions Financières (FFIEC). Ce document a dénoncé
l‟utilisation d‟authentification à facteur unique pour protéger l‟accès aux comptes bancaires en ligne
comme étant un moyen de sécurité « insuffisant ».
En effet, en tant qu‟élément unique pour assurer la sécurité des accès aux comptes, cette méthode n‟est
pas adaptée aux transactions à haut risque, liées à l‟accès aux données privées du client et aux mouvements
des fonds vers les personnes tierces. Le Conseil estime que les techniques d‟authentification utilisées par
les établissements financiers doivent être proportionnées aux risques liés à leurs produits et services. Dans
le rapport, on retrouve une liste non exhaustive de différentes solutions technologiques et
méthodologiques qui peuvent être mises en place par ces institutions financières afin de procéder à
l‟authentification de leurs clients. Cette liste comprend notamment l‟utilisation de mots de passe, de
numéros personnels d‟identification (PINs), de certificats électroniques, de supports physiques tels que les
279
Commentaire par Eric Caprioli, Première décision américaine concernant l'authentification par voie électronique d'un client bancaire, Communication
Commerce Electronique (LexisNexis) n° 4, Avril 2010, comm. 41.
76/ 133
_________________________________________________________________________________________________________________
smart cards ou les clés USB, de mots de passe uniques (OTPs) ou d‟autres types de « tokens », de
l‟identification biométrique etc.
Ainsi, ces méthodes d‟authentification forte sont plus fiables et permettent de prévenir des cas de fraude
plus efficacement. Par exemple, la protection assurée par l‟utilisation d‟un mot de passe et d‟un identifiant
est une authentification à un facteur (l‟utilisateur fournit uniquement une information qu‟il possède) tandis
qu‟une méthode d‟authentification forte exige une combinaison d‟un élément que l‟utilisateur possède (ex.
smart card) avec une information qu‟il détient (ex. code PIN).
Le FFIEC recommande donc aux établissements financiers d‟adopter des mesures d‟identification forte
pour mieux protéger les transactions à risque, les usurpations d‟identité, les fraudes commises sur les
comptes etc. De surcroit, en février 2007, le prestataire technique en charge de la gestion de la sécurité de
son site avait adressé à Citizens Financial Bank un rapport de sécurité qui mettait en avant un nombre
considérable de « vulnérabilités et abus de sécurité qui ont eu lieu durant le mois précédent, y compris l’apparition d’un
programme visant à usurper les mots de passe ».
La notion d‟authentification concerne non seulement les établissements bancaires mais aussi toute autre
société réalisant des actes de commerce par voie électronique. Ainsi, en application de la loi de New York,
il a été récemment décidé dans l‟affaire The Prudential Insurance Company of America v. Dukoff and
Estate of Shari Dukoff, en date du 18 décembre 2009280, qu‟une partie au contrat qui souhaite faire
respecter une signature électronique sur un contrat d'assurance est tenue d'apporter une preuve qui
permette de vérifier l'identité de la personne ayant apposé ladite signature. A l‟occasion de cette affaire, le
juge procède aussi à définir la notion d‟une signature électronique qui permet l‟authentification lors de la
signature des contrats en ligne. En effet, au sens de l‟article III relatif à la signature et aux enregistrements
électroniques (ESRA) de la loi de l'état de New York (NYS Technology Law, datant du 28 septembre
1999)281, une signature électronique doit être entendue comme un son, un symbole ou un procédé
électronique, attaché ou logiquement associé avec un enregistrement électronique et réalisé par une
personne qui a l'intention de signer ledit enregistrement (§ 302 de la loi en question).
Une fois ces conditions satisfaites, une signature électronique peut être utilisée par une personne au lieu
d'une signature manuscrite et ce procédé doit avoir exactement le même effet juridique. Cependant, en
jugeant le régime légal insuffisamment restrictif, le juge de la présente décision impose une exigence
supplémentaire en estimant qu‟une signature électronique ne peut pas être considérée valable en absence
d‟un identifiant unique et personnel permettant une authentification et une association de cette signature à
l‟ensemble des données transmises.
En l‟espèce, la partie plaignante invoquait qu‟une simple case à cocher dans un formulaire sur l‟Internet
peut constituer une signature électronique valable mais à condition que l'assureur soit en mesure de
vérifier que la personne signant électroniquement le document en question est bien celle qui sera
considérée comme partie au contrat. D'ailleurs, la présente décision n'est pas restée sans suite, puisque la
jurisprudence postérieure est déjà intervenue pour confirmer la solution retenue. En effet, dans la décision
Adams vs. Quiksilver, Inc., 2010 Cal App. Unpub. LEXIS 1236 du 22 février 2010282 les juges ont estimé
que lorsque plusieurs parties avaient accès à un contrat conclu en ligne, il appartient à celle qui cherche à
faire respecter cette convention de prouver quelle partie a effectivement signé le contrat.
5.2
Une définition européenne de l’authentification
283
Pendant longtemps, en l‟absence d‟une définition juridique
précise de l‟authentification en tant que
telle, il a fallu se référer aux dispositions relatives à la signature électronique en tant que méthode
d‟authentification. L‟article 2 de la Directive 1999/93/CE284 du 13 décembre 1999 du Parlement européen
280
United States District Court, Easterb District of New York, The Prudential Insurance Company of America vs Dukoff and Estate of Shari
Dukoff, Case -07-CV-1080 18/12/2009, Communication Commerce Electronique (LexisNexis), Novembre 2010, comm. 116, Eric A. Caprioli.
281 http://www.oft.state.ny.us/Policy/OFTEnablingLeg.htm#articleIII.
282 http://www.scribd.com/doc/29617636/Adams-v-Superior-Quiksilver-02-22-10.
283
Il existe des définitions techniques de l’authentification, elles ne sont pas prises en compte dans le cadre de la présente analyse qui se situe sur un plan
juridique.
284 J.O.C.E., L 13 du 19 janvier 2000, p. 12 et s. V. notamment : Pierre Catala, Le formalisme et les nouvelles technologies, Defrénois 2000,
p.897 s. ; Eric A. Caprioli, La loi française sur la preuve et la signature électroniques dans la perspective européenne, J.C.P. éd. G, 2000, I, 224 et
77/ 133
_________________________________________________________________________________________________________________
et du Conseil, sur un cadre communautaire pour les signatures électroniques la définit comme « une donnée
sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode
d’authentification ». En outre, un certificat qualifié qui constitue un dispositif sécurisé de vérification d‟une
signature électronique est défini par l‟article 2-9 de la Directive comme « une attestation électronique qui lie des
données afférentes à la vérification de signature à une personne et confirme l’identité de cette personne ».
D‟autres textes européens, comme les différentes Directives européennes relatives à la facture électronique
285
et aux marchés publics se fondent également sur des procédés de signature électronique .
La première définition à part entière de l‟authentification apparaît avec le Règlement communautaire n°
460/2004 du 10 mars 2004286 instituant l‟Agence européenne chargée de la sécurité des réseaux et de
l‟information (ENISA). Selon son article 4-e, l‟authentification doit être interprétée comme « la confirmation
de l’identité prétendue d’entités ou d’utilisateurs ».
5.3
Les renvois législatifs et réglementaires à la notion d’identité numérique
Les outils de diffusion sur le Web 2.0 ne manquent pas pour s‟exprimer : les blogs, les chats, les forums de
discussion, les plateformes de partage multimédia, les réseaux sociaux, les wikis, etc. L‟explosion rapide de
tous ces espaces de communication et d‟expression pose alors avec acuité la question de l‟identité
numérique, notion confuse et complexe que les travaux les plus récents en sciences humaines et sociales
tentent de circonscrire.
Le basculement dans l'ère du tout numérique consacré par plusieurs lois287 s'appuie notamment sur des
normes techniques permettant d'identifier avec un degré de confiance suffisant les interlocuteurs utilisant
un ensemble de systèmes d‟information ou des systèmes de traitement automatisé de données (STAD).
Les différentes formes de « signature numérique », les protocoles d'identification et de chiffrement des
flux de données constituent autant de garanties techniques sur lesquelles reposent la régularité et la
sécurité des transactions.
Toutefois, l'usage courant du pseudonyme (qui est un moyen d‟identification d‟un individu sous couvert
d‟anonymat) constitue un obstacle dans la recherche de certitude d‟une véritable identité numérique. Ainsi,
l'identité sous forme numérique échappe pour l‟heure à toute attribution par une autorité publique, c'est-àdire que les éléments qui la composent ne relèvent pas de l'identité juridique de la personne. Pourtant,
dans la mesure où elle se trouve au cœur d‟une réflexion nationale voire européenne dans le cadre du
renforcement de la confiance numérique, touchant à des tels problèmes que l‟e-réputation, la protection
des données personnelles ou encore le respect de la vie privée sur l‟Internet, différents textes législatifs et
réglementaires s‟y réfèrent.
Actuellement, au moins quatre textes peuvent s'appliquer à la protection du nom d’une personne à
proprement dit, mais dans des cas très spécifiques.
 Le premier, l'article 433-19 du code pénal, concerne l‟utilisation d‟une fausse identité (au sens de l‟État
civil) : « Est puni de six mois d'emprisonnement et de 7500 euros d'amende le fait, dans un acte public ou
authentique ou dans un document administratif destiné à l'autorité publique et hors les cas où la
réglementation en vigueur autorise à souscrire ces actes ou documents sous un état civil d'emprunt :
La directive européenne n°1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, Gaz. Pal. 29-31 octobre
2000, p. 5 et s. Eric A. Caprioli, Sécurité et confiance dans les communications électroniques en droits français et européen, in Libre droit, Mélanges
Ph. Le Tourneau, Dalloz, 2008, p. 155 et s., disponible à l’adresse http://www.caprioli-avocats.com/pdf/securite-informatique-electronique.pdf.
285 Voir par exemple : Directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de
passation des marchés dans les secteurs de l’eau, de l’énergie, des transports et des services postaux (J.O.U.E. n° L 134 du 30/04/2004, p. 1 et s.)et
directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 relative à la coordination des procédures de passation des marchés
publics de travaux, de fournitures et de services (J.O.U.E. n° L 134 du 30/04/2004, p. 114 et s.) ; Directive n°2010/45/UE du Conseil du 13
juillet 2010 modifiant la directive 2006/112/CE relative au système commun de taxe sur la valeur ajoutée en ce qui concerne les règles de facturation
(J.O.U.E L. 189 du 22 juillet 2010, p. 1 et s).
286 J.O.C.E L 077, 13 mars 2004, p.1 et s.
287 Notamment la loi sur la confiance en l'économie numérique du 21 juin 2004, JO n°143 du 22 juin 2004, p. 11168 et s.
78/ 133
_________________________________________________________________________________________________________________
o 1° De prendre un nom ou un accessoire du nom autre que celui assigné par l'état civil ;
o 2° De changer, altérer ou modifier le nom ou l'accessoire du nom assigné par l'état civil. »
 L'article 434-23 du code pénal concerne la prise du nom d'un tiers dans des circonstances qui pourraient
engendrer à son encontre des poursuites pénales, un tel agissement étant puni de 5 ans d‟emprisonnement
et de 75.000 euros d‟amende. De plus, selon l‟alinéa 3 de cet article : « Est punie des peines prévues par le
premier alinéa la fausse déclaration relative à l'état civil d'une personne, qui a déterminé ou aurait pu
déterminer des poursuites pénales contre un tiers. »
 En outre, l‟article 781 du code procédure pénale dispose :
o
« Quiconque en prenant un faux nom ou une fausse qualité, s'est fait délivrer un extrait du casier
judiciaire d'un tiers est puni de 7.500 euros d'amende.
o
Est puni des mêmes peines celui qui aura fourni des renseignements d'identité imaginaires qui ont
provoqué ou auraient pu provoquer des mentions erronées au casier judiciaire.
o
Est puni des mêmes peines celui qui se sera fait délivrer par l'intéressé tout ou partie des mentions
du relevé intégral visé à l'article 777-2 du présent code. ».
 Enfin, selon l‟article 441-6 du code pénal, modifié par l‟Ordonnance n°2000-916 du 19 septembre 2000 art. 3 (V) JORF 22 septembre 2000 en vigueur le 1er janvier 2002, « Le fait de se faire délivrer indûment par
une administration publique ou par un organisme chargé d'une mission de service public, par quelque
moyen frauduleux que ce soit, un document destiné à constater un droit, une identité ou une qualité ou à
accorder une autorisation est puni de deux ans d'emprisonnement et de 30.000 euros d'amende.
o Est puni des mêmes peines le fait de fournir une déclaration mensongère en vue d'obtenir d'une
administration publique ou d'un organisme chargé d'une mission de service public une allocation,
un paiement ou un avantage indû. »
Ce dernier texte, régulièrement appliqué, bénéficie d'un régime de cumul des peines, dérogatoire du droit
commun. En faisant référence à d'éventuelles sanctions pénales, il pose une condition particulièrement
restrictive. On comprend que les capacités de détournement et la facilité de passage à l'acte offerte par les
réseaux de communications électroniques aient appelé une initiative législative pour sanctionner
l'utilisation de l'identité d'un tiers ou de ses données personnelles.
Cependant, il convient de noter qu‟ici, ce n‟est pas l‟usurpation de l‟un ou plusieurs des identifiants
numériques de la personne (ex : adresse de messagerie, noms de domaine, pseudonyme virtuel, …), qui est
réprimée, mais seulement l‟usage des données d‟identification figurant à l‟état civil dont le nom de famille,
prénoms, domicile, ce qui ne permet pas d‟appréhender des comportements tels que le phishing ou le
spoofing.
Ce vide juridique en matière d‟usurpation d‟identité a inspiré le sénateur Michel Dreyfus-Schmidt qui a
déposé, en 2005, une proposition de loi288 visant à punir toute personne détournant l‟identité d‟autrui sur
l‟Internet, le but étant de lutter contre ce nouveau phénomène mais également de limiter la pratique du
phishing. A l‟époque, le gouvernement ayant considéré que le droit pénal était complet, la proposition n‟a
pas été retenue. Plusieurs parlementaires estimaient, en effet, que le délit d‟escroquerie, en raison de sa
formulation neutre (voir l‟article 313-1 du code pénal), permettait de répondre efficacement à l‟usurpation
d‟identité sur l‟Internet289.
A l‟heure actuelle, il y a plusieurs projets de réforme en discussion, certaines au Sénat, d‟autres à
l‟Assemblée nationale et qui traitent toutes de l‟usurpation de l‟identité, l‟objectif étant d‟établir un
fondement légal clair et précis quant à son application par les tribunaux. Parmi ces textes, on distingue
288
http://www.senat.fr/leg/ppl04-452.html.
289 V. Eric Caprioli, Le phishing saisi par le droit, Communication Commerce Electronique (LexisNexis), n° 2, Février 2006, comm. 37. Sur
l’usurpation d’identité, v. également, Fabien Matthios, Le phishing bientôt saisi par la loi ?, Communication Commerce Electronique (LexisNexis).
n°9, sept. 2009.
79/ 133
_________________________________________________________________________________________________________________
notamment la proposition de loi relative à la pénalisation de l'usurpation d'identité numérique, présentée
290
devant le Sénat le 6 novembre 2008
par Madame le Sénateur Jacqueline Panis et ayant pour but
d‟insérer dans le code pénal un nouveau type d‟infraction relatif au vol d‟identité sur l‟Internet, permettant
de cumuler les peines relatives à celle-ci avec celles qui auront été prononcées pour l'infraction à l'occasion
de laquelle l'usurpation a été commise.
L‟idée d‟un nouvel article incriminant spécifiquement l‟usurpation d‟identité sur Internet a continué
ensuite son chemin pour donner lieu au dépôt d‟un projet de loi le 27 mai 2009291. La Loi n°2011-267 du
14 mars 2011 d‟orientation et de programmation pour la performance de la sécurité intérieure (J.O du 15
mars 2011, p. 4582) a réintroduit le concept d‟usurpation d‟identité numérique qui figure désormais à
l‟article 226-4-1 du Code pénal. Cet article énonce :«Le fait d'usurper l'identité d'un tiers ou de faire usage
d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou
celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an
d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est
commise sur un réseau de communication au public en ligne» » ;
En outre, dans certains secteurs, l‟identification fiable du client constitue un prérequis essentiel pour toute
relation commerciale. Ainsi, sans prétendre à l‟exhaustivité, on notera :
Pour le secteur bancaire. L‟article L. 561-5 du Code monétaire et financier prévoit :
« « I.-Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la préparation ou la
réalisation d'une transaction, les personnes mentionnées à l'article L. 561-2 identifient leur client et, le cas
échéant, le bénéficiaire effectif de la relation d'affaires par des moyens adaptés et vérifient ces éléments
d'identification sur présentation de tout document écrit probant.
Elles identifient dans les mêmes conditions leurs clients occasionnels et, le cas échéant, le bénéficiaire
effectif de la relation d'affaires, lorsqu'elles soupçonnent que l'opération pourrait participer au blanchiment
des capitaux ou au financement du terrorisme ou, dans des conditions fixées par décret en Conseil d'État,
lorsque les opérations sont d'une certaine nature ou dépassent un certain montant.
II.-Par dérogation au I, lorsque le risque de blanchiment des capitaux ou de financement du terrorisme
paraît faible et dans des conditions fixées par décret en Conseil d'État, il peut être procédé uniquement
pendant l'établissement de la relation d'affaires à la vérification de l'identité du client et, le cas échéant, du
bénéficiaire effectif.
III.-Les personnes mentionnées au 9° de l'article L. 561-2 satisfont à ces obligations en appliquant les
mesures prévues à l'article L. 561-13. ».». Les articles R. 563-1 et s. du même Code prévoient les modalités
propres à assurer cette identification. Cette disposition législative se résume en un sigle « KYC » (Know
Your Customer) qui constitue désormais un véritable sésame pour tout déploiement d‟un service financier
à distance.
Pour le secteur des jeux en ligne, le législateur a fixé de nombreuses mesures de sécurité informatique en
prévoyant notamment, à la charge de l‟opérateur candidat, de préciser « les modalités d‟accès et
d‟inscription à son site de tout joueur et les moyens lui permettant de s‟assurer de l‟identité de chaque
nouveau joueur, de son âge, de son adresse et de l‟identification du compte de paiement sur lequel sont
versés ses avoirs […] » (art. 17).
Les mesures de vérification d‟identité constituent donc une exigence essentielle pour tout candidat. L‟une
des méthodes permettant d‟assurer cette vérification est relative à l‟approvisionnement du compte joueur.
En effet, conformément à l‟article 17, cet approvisionnement ne peut être réalisé « qu‟au moyen
d‟instruments de paiement mis à disposition par un prestataire de services de paiement établi dans un État
membre de la Communauté européenne ou un État partie à l‟accord sur l‟Espace économique
européen[…] ».
290
291
http://www.assemblee-nationale.fr/13/projets/pl1697.asp.
80/ 133
_________________________________________________________________________________________________________________
Dès lors, la vérification d‟identité relève en partie du prestataire de services de paiement (établissement de
paiement et établissement de crédit au sens de l‟art. L. 521-1 du C.M.F suite à la transposition de la
Directive 2007/64 du 13 novembre 2007 (J.O U.E. du 5 décembre 2007, p.1 et s). Cela ne signifie pas
pour autant que l‟opérateur pourra se défausser de cette vérification d‟identité. L‟art. 38 de la loi prévoit,
en outre, que les opérateurs doivent mettre à disposition permanente de l‟ARJEL (autorité de régulation
des jeux en ligne) – entre autres - les données portant sur l‟identité de chaque joueur, son adresse et son
adresse de courrier électronique ainsi que le compte du joueur.
Les opérateurs doivent donc disposer d‟une base de données à caractère personnel détaillée et respecter
les exigences de la loi Informatique, Fichiers et Libertés (article 19). Là encore, rappelons que l‟article 34
de cette dernière loi prévoit la mise en place de mesures de sécurité à l‟initiative du responsable de
traitement. L‟objectif principal consiste à préserver la sécurité des données et, à ce titre, le responsable du
traitement occupe un rôle prépondérant, de même que l‟opérateur joue un rôle considérable dans le
processus de protection et de vérification des données utilisées pour le site de jeux.
Enfin, un autre texte législatif faisant référence à la notion de l‟identité numérique est la proposition de loi
relative à la protection de l‟identité, déposée au Sénat par Jean-René Lecerf le 27 juillet 2010292 et qui vise
à moderniser la carte nationale d‟identité, en l‟équipant de puce électronique sécurisée contenant des
données biométriques ainsi que, facultativement, d‟un système d‟authentification à distance de la signature
électronique. Cependant, il faut noter que là aussi, ce n‟est pas l‟usurpation de l‟identité-même qui se voit
sanctionnée, mais plutôt un accès frauduleux dans une base, l‟entrave ou l‟altération du fonctionnement de
la base ou l‟introduction, la modification ou la suppression frauduleuse de données.
Par conséquent, du point de vue juridique, nous nous trouvons dans une situation largement ambiguë, qui
relève à la fois d‟un vide juridique, d‟une jurisprudence quasi inexistante et d‟une multitude de dispositions
applicables en vertu de textes qui ne saisissent qu‟un ou plusieurs éléments du concept sans pour autant
l‟embrasser en totalité. La notion reste donc toujours très difficile à cerner, alors que la myriade
d‟éléments qui constituent l‟identité sous forme numérique est diversement saisie par le Droit. Ces
éléments relèvent par conséquent de statuts juridiques divers, plus ou moins protecteurs (ex. conditions
contractuelles d‟utilisation des sites Web pour les « traces numériques » ou la Loi Informatique, fichiers et
Libertés du 6 janvier 1978, modifiée, pour les données personnelles, avec des décisions de la
jurisprudence).
Aucun domaine de la société (institutions publiques, entreprises) n‟étant à l‟abri des préoccupations
portées par l‟identité sous forme numérique notamment en matière d‟accès à des informations sensibles,
de recrutement et d‟image véhiculée, les premiers problèmes d‟ordre juridique viennent souligner le
293
caractère sensible de ces questions et mettent en évidence leur complexité .
5.4
Les initiatives gouvernementales (label IDéNum, RGS)
Le gouvernement français a depuis longtemps présenté une volonté d‟amorcer la transition vers la société
de l‟information en permettant au citoyen de disposer de téléservices et d‟un accès direct par voie
électronique aux autorités administratives (administrations, collectivités territoriales, …). L‟amélioration de
la sécurité des infrastructures, des échanges et des données est un facteur clé de succès de cette transition.
Ainsi, le RGS (Référentiel Général de Sécurité), rédigé par l‟Agence Nationale de la Sécurité des Système
d‟Information (ANSSI) et par la Direction Générale de la Modernisation de l‟État (DGME), a été pris en
application de l‟article 9 de l‟ordonnance du 8 décembre 2005294. Il définit un ensemble de règles de
292
François Coupez, L’usage des réseaux sociaux dans l’entreprise et le Droit, www.caprioli-avocats.com. A titre d’exemple, peut être cité le projet de
loi allemande du 25 août 2010 concernant la protection des données à caractère personnel des salariés et qui vise, notamment, à interdire aux employeurs
de consulter le profil Facebook et les messages publiés par les candidats à l’embauche. En France, même si l’obligation de s’informer s’impose à celui qui
recrute (CA Nancy 27 mars 2002 SARL Comabois c/Dacquembronne, n°00/01923 ; CA Montpellier 5 février 2002), il ne peut pas utiliser les
informations mises en ligne par les candidats (en vertu de l’art. L. 1132-1 du code de travail).
294 Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les
autorités administratives, JO n°286 du 9 décembre 2005, p. 18896 et s. E. A. Caprioli, Des échanges électroniques entre les usagers et les autorités
administratives d’une part, et entre ces dernières d’autre part, JCP éd. A et CT, 2006, n°1079, p. 432 et s.
293 V.
81/ 133
_________________________________________________________________________________________________________________
sécurité s‟imposant aux autorités administratives dans le but de sécuriser leur système d‟information dans
le cadre d‟échange des informations par voie électronique. Le RGS s‟applique à des fonctions comme la
signature électronique, l'authentification, la confidentialité ou encore l'horodatage295. Son décret
d‟application a été publié au Journal Officiel du 4 février 2010296, suivi d‟un arrêté ministériel en date du 6
mai 2010297 qui approuve la version 1.0. Désormais, les règles formulées dans le RGS s‟imposent à
l'ensemble des autorités administratives telles que définies à l‟article 1-I de l‟ordonnance n°2005-1516 du 8
décembre 2005, mais aussi à leurs prestataires et aux fournisseurs de solutions de sécurité (horodatage,
signature, confidentialité, etc). Les règles énoncées dans le RGS devront être appliquées :
 Dans un délai de trois ans à compter de la publication de l‟arrêté pour les téléservices et systèmes en
service ;
 Dans un délai d'un an pour ceux en cours de réalisation ;
 Et d'emblée pour les téléservices et systèmes déployés après octobre 2010.
Ces règles sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le
cadre de la sécurisation des services en ligne dont elle est responsable.
Rappelons que l‟objectif principal du RGS est de développer la confiance des usagers et des
administrations dans leurs échanges électroniques. Il apporte également des éclairages nécessaires sur la
marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier celles
concernant l'analyse de risques et l'homologation de sécurité d'un système d'information. En effet, en
encourageant les administrations à adopter une approche globale pour la protection de leurs systèmes
d‟information, le RGS propose d‟avoir recours à une analyse systématique des risques, ce qui permet une
amélioration continue de la sécurité des systèmes d‟information. Le RGS se présente ainsi comme un
cadre adaptable aux enjeux et aux besoins spécifiques de chaque autorité administrative, en précisant les
exigences techniques et les moyens de protection pertinents en termes de produits de sécurité et d‟offre de
services de confiance.
Concernant le RGS, le référencement piloté par la DGME vise à faciliter les échanges électroniques
sécurisés entre usagers et autorités administratives mais aussi entre autorités administratives par la mise à
disposition d'un catalogue de solutions fiables et interopérables. Réalisé sur la base d'un cahier des charges
qui définit les règles d'interopérabilité, ce référencement atteste du bon fonctionnement d'un produit ou
d'une offre de services de sécurité avec les systèmes d'information des autorités administratives. Les
services de l‟Etat ont ainsi l‟obligation d'utiliser ces solutions et produits dans le cadre de leur migration
vers le référentiel RGS de façon à garantir les échanges avec les particuliers et entreprises. Il y aura donc
sur le marché des produits référencés RGS et des produits IDéNum eux même référencés RGS."
Par ailleurs, le RGS constitue le fondement de la mise en place du label IDéNUM, à l‟initiative du
Secrétariat d‟État à l‟Economie Numérique, lancé le 1er février 2010. Il consiste à fédérer les outils
d'authentification émis par différents acteurs privés, en garantissant un niveau homogène de sécurité et
d‟interopérabilité. Un outil labellisé pourrait ainsi donner accès à tous les services en ligne, publics ou
privés, de ce niveau de sécurité, ce qui devrait créer une unification des moyens d‟authentification – très
diversifiés – sur le marché. Les émetteurs pourront dès lors proposer à leurs clients un nouveau service,
plus utile dans la vie courante.
Ce label sera spécifié, testé et validé par les acteurs de l‟économie numérique eux-mêmes et viendra
compléter la liste des solutions de signature électronique déjà certifiées et régulées par le ministère de
l‟économie et des finances en prévoyant les produits IDéNUM. Ce produit se présente sous la forme d‟un
Décret n°2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative
aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JO 4 février 2010, p. 2072.
14 JORF n°113 du 18 mai 2010, texte n°1.
295 Il est également prévu l’élaboration d’une annexe relative à l’archivage
13
82/ 133
_________________________________________________________________________________________________________________
dispositif physique sécurisé dans lequel se trouvent des « éléments propres » à son propriétaire, que ce
dernier peut déverrouiller, par un code PIN. Ces « éléments propres » sont deux bi-clés cryptographiques –
l‟une dédiée à l‟authentification, l‟autre à la signature électronique – pour lesquelles chaque clé publique a
été certifiée. En tant que tel, il pourrait être constitué comme une solution provisoire dans l‟attente de la
Carte Nationale d‟Identité Numérique.
Le produit IDéNUM devrait pouvoir être obtenu auprès des prestataires de services de certification
électronique (PSCE) dont l‟offre IDéNUM sera attestée comme étant conforme aux exigences techniques,
figurant dans le cahier des charges.
Du fait de sa référence expresse au RGS, les produits et les téléservices référencés par l‟ordonnance du 8
décembre 2005 seront automatiquement acceptés par toutes les autorités administratives qui disposent des
services électroniques. Les services privés seront également autorisés à accepter les produits selon qu‟ils
sont référencés ou non. Le label IDéNUM s‟affichera sur les sites qui le reconnaissent et les internautes
pourront choisir librement leur fournisseur. Ainsi, le label permettra de fournir aux internautes un moyen
fiable d‟identification pour simplifier leurs démarches en ligne (accès à ses comptes administratifs,
abonnement à des services payants, souscription de services ou de contrats…), en unifiant le marché et en
facilitant les formalités quotidiennes des administrés et des citoyens. Qui plus est, le label permettra au
public de bénéficier de produits d‟identification et de signature électronique de qualité garantie et
d‟identifier facilement les services en ligne qui acceptent ces produits298.
5.5
Signature versus authentification
Le fait de vouloir opposer signature et authentification ne semble pas fondé juridiquement, étant donné
que la seconde est contenue dans la première. Au surplus, il n‟existe pas de disposition légale spécifique
applicable à l‟authentification en dehors des stipulations contractuelles qui pourraient découlées des
conventions nouées entre les parties.
En effet, l‟article 1316-4 du Code civil dispose : « La signature nécessaire à la perfection d'un acte juridique
identifie celui qui l'appose. […]Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable
d'identification garantissant son lien avec l'acte auquel elle s'attache. ». La signature électronique peut donc
être considérée comme un moyen d‟authentification, en ce sens qu‟elle permet de vérifier l‟identité du
signataire, mais sans toutefois se limiter à ce seul aspect dans la mesure où la signature permet également
de manifester la volonté du signataire, de consentir à un acte (l‟aliéna 1er de l‟article 1316-4 : « Elle
manifeste le consentement des parties aux obligations qui découlent de cet acte. »).
5.6
Evolution attendue du contexte règlementaire (France, Europe) : la carte nationale
d’identité électronique (CNIE)
Le gouvernement français, par le biais de son Ministre de l‟intérieur, vient de prévoir le lancement du
projet instaurant la carte nationale d‟identité électronique en 2011. En effet, les enjeux sociaux, politiques,
culturels et juridiques du passage de la carte nationale d‟identité à une carte électronique sont très
importants299. La première initiative est apparue en 2005 avec le programme INES (Identité Nationale
Electronique Sécurisée) lancé par le Ministère de l‟Intérieur. C‟était un projet global qui consistait à
fusionner, simplifier et sécuriser les procédures de demande de passeport et de carte nationale d‟identité, à
améliorer la gestion de ces titres dans des nouvelles applications, à délivrer des titres hautement sécurisés
conformes aux exigences européennes et internationales et, enfin, à offrir aux citoyens les moyens de
prouver leur identité sur l‟Internet et de signer électroniquement, afin de favoriser le développement de
l‟administration électronique.
Longtemps suspendue à l‟adoption d‟un projet de loi relatif à l‟identité, la Carte Nationale d‟Identité
Electronique devait voir le jour en 2006. Elle devait comprendre les principales données relatives à son
298
V. Fédération Nationale des Tiers de Confiance (FNTC), Vademecum juridique de la dématérialisation des documents, rédigé par le Cabinet
d’avocats, Caprioli & Associés, 3ème éd., avril 2010, p. 42, disponible sur le site de la Fédération Nationale des Tiers de Confiance, www.fntc.org.
299
V. étude d’impact AFNOR, La signature électronique et les infrastructures à clé publique dans le contexte de l’identité numérique : quels usages
pour les titres sécurisés émis par l’Etat dans le monde de l’économie sécurisée, décembre 2007, disponible sur le site www.caprioli-avocats.com.
83/ 133
_________________________________________________________________________________________________________________
titulaire, en partie écrites sur le support physique et en partie enregistrées sur une puce électronique. Les
informations mentionnées sur la carte devraient être relatives à l‟état civil (nom, prénom, sexe, date et lieu
de naissance), la nationalité, l‟adresse, la signature manuscrite, l‟organisme de délivrance de la carte ainsi
que le numéro de la carte. Sur la puce, les données seraient divisées en blocs distincts et étanches, par des
moyens de cryptographie. Ainsi, on y retrouverait un bloc confidentiel « identité » (accessible aux seules
autorités habilitées), contenant une photo numérisée et deux empreintes digitales (ou plus) numérisées ; un
bloc « authentification de la carte » servant à prouver de manière automatique l‟authenticité de la carte ; un
bloc « identification authentifiée du porteur » permettant, par le biais d‟un code secret, d‟accéder aux services en
ligne privés et publics ; un bloc « signature électronique » permettant se signer électroniquement des
documents présentés sous forme de messages, fichiers, … sous divers formats ; et, enfin, un bloc « portfolio
personnel » proposant, à titre facultatif, de stocker des informations complémentaires (ex. numéro de permis
de conduire, numéro fiscal).300
En tant que telle, la Carte Nationale d‟Identité Numérique aurait pour objectif de mieux garantir l‟identité
contre les risques d‟usurpation et de détournement, de lutter contre le terrorisme, d‟autoriser
l‟authentification du porteur en vue de l‟utilisation de téléservices dans les relations avec les
administrations et la signature électronique pour les services commerciaux sur l‟Internet ainsi que de
simplifier les demandes de documents d‟identité électronique et leur renouvellement.
Objet de vives discussions voire de polémiques chez certains, le projet ayant pour objectif d‟instaurer la
Carte Nationale d‟Identité Numérique est relancé par le Gouvernement pour 2011. Et c‟est sans doute une
donnée très positive pour la sécurité juridique dans les échanges électroniques. Par ailleurs, étant donné
que la diffusion du passeport électronique sur tout le territoire est en bonne voie, la Carte Nationale
d‟Identité Numérique sera décisive en termes de confiance pour le développement de la dématérialisation
et du commerce électronique sécurisé301. Les citoyens bénéficieront d‟une véritable identité civile,
numérique ayant la même reconnaissance que les titres papier. Par exemple, les acteurs du marché
pourront s‟appuyer sur l‟identité numérique des titulaires de la CNIE pour l‟enregistrement des titulaires
des certificats d‟identification électronique, nécessaires aux déploiements de procédés de signature
électronique pour signer des contrats avec une sécurité adapté.
On peut également penser à la sécurisation des moyens d‟authentification des personnes pour accéder à
des comptes (bancaires, jeux, …), à des services ou à des informations de nature très diverses (espaces de
stockage, coffre-fort électronique, …). La sécurité du commerce électronique passera par la possibilité de
vérifier l‟identité numérique des personnes et l‟identification des objets incorporels ou des entités (ex :
utilisation de certificats de serveurs pour un logiciel ou un site web).
Selon l‟Agence Nationale des Titres Sécurisé, cette carte permettra de réaliser des économies sur le cycle
de production global des titres sécurisés (comprenant également les passeports biométriques). S‟il y a des
économies d‟échelle pour l‟ANTS, celles-ci sont moins évidentes pour les communes qui risquent
notamment de faire face à un afflux de demandes. Les sénateurs ont du reste reconnu que la mise en
œuvre de la carte d‟identité électronique devrait conduire à réviser le mode d‟indemnisation des
communes pour l‟enrôlement des données des titres sécurisés, l‟idée d‟une indemnisation en fonction du
nombre de titres a même été évoquée.
5.7
Sécurité vs protection des libertés individuelles (Directives européennes et droit français)
En droit, il existe plusieurs types de liberté : les libertés fondamentales, les libertés publiques, les libertés
individuelles ou collectives. Inviolables de manière générale, ces libertés peuvent se trouver limitées de
manière plus ou moins importante en fonction de la notion de sécurité (qui peut être publique, intérieure,
extérieure, ou porter sur les personnes et les biens). En effet, il convient de noter que cette dernière est
souvent la cause invoquée dans l‟utilisation de l‟ordre public, proclamé comme « droit fondamental »
conditionnant « l’exercice des libertés individuelles et collectives ».
v. http://www.foruminternet.org/telechargement/forum/pres-prog-ines-20050301.pdf
v. FNTC, Vademecum juridique de la dématérialisation des documents, 3ème éd., avril 2010, p. 41. Disponible sur les sites : www.fntc.org et
www.caprioli-avocats.com.
300
301
84/ 133
_________________________________________________________________________________________________________________
Le texte de référence en matière de libertés individuelles reste la Convention de sauvegarde des Droits de
l'Homme et des Libertés fondamentales du 4 novembre 1950 qui, elle-même, justifie un nombre limité de
restrictions à certaines libertés, notamment dans son article 8 § 2 : « Il ne peut y avoir ingérence d’une autorité
publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure
qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique, à la
défense de l’ordre et à la prévention des infractions pénales… ». Les litiges sont portés devant la Cour européenne
des droits de l‟homme de Strasbourg (CEDH).
Au regard des dangers existants sur l‟Internet (cybercriminalité, usurpation d‟identité, fraude, failles de
sécurité dans les systèmes d‟information, contrefaçon en ligne…) et des risques de terrorisme, l‟État
considère devoir aménager des régimes d‟exception à certaines libertés en vue d‟assurer la tranquillité et la
sécurité illustrant la nécessité de prendre en compte l‟ordre public. Cependant, bien au-delà des problèmes
de sécurité en ligne, cette nouvelle forme de contrôle amène à une réduction des zones de liberté du
cyberespace.
Une Convention internationale s‟applique aux pays membres du Conseil de l‟Europe (ex : la France, la
Principauté de Monaco) : la Convention n°I08 du 28 janvier 1981 du Conseil de l'Europe pour la
protection des personne à l'égard du traitement automatisé de données à caractère personnel, ainsi que le
Protocole additionnel n° 181 du B novembre 2001 à la Convention pour la protection des personnes à
l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et
les flux transfrontières de données.302
En ce qui concerne les États membres de L‟Union européenne, la Directive européenne n°46/95 du 24
octobre 1995 est le support juridique majeur sur le plan de la protection des données personnelles. Elle
fixe le cadre juridique applicable aux données à caractère personnel non seulement pour les traitements
dans les pays de l‟Union européenne mais aussi avec les pays tiers destinataires de transferts de données
personnelles.
Ce texte devrait faire l‟objet d‟une révision au cours de l‟année 2011 pour s‟adapter aux nouveaux enjeux
en termes de protection : moteurs de recherche, hébergement des données dans le Cloud computing,
RFID, réseaux sociaux, …, m-commerce, biométrie, contrôle de postes virtualisés, ou encore en imposant
la généralisation du Correspondant à la protection des données (CIL) ou la notification des atteintes aux
données personnelles. Le processus de révision a été lancé en 2010 par la Commission européenne.
La loi Informatique, Fichiers et libertés303 demeure le texte phare en matière de protection des données à
caractère personnel, face aux défis nés du développement des communications électroniques (convergence
de l‟informatique et des télécommunications). Cette loi détermine les attributions de la CNIL. Dans la
mesure où un grand nombre de fichiers ou de bases de données contenant des données personnelles
doivent lui être déclarées (certains même soumis à autorisation), et sous réserve de la désignation d‟un
Correspondant à la Protection des Données (CIL), cette autorité indépendante est chargée du respect de la
conformité à la loi des traitements de données à caractère personnel dans la sphère privée comme dans la
sphère publique. Cette problématique paraît particulièrement pertinente au vu des différents dispositifs de
vidéo-protection ou de géo-localisation mis en place dernièrement.
Ainsi, la CNIL veille à ce que face aux besoins de sécurité mis en avant par différents organismes, un
individu puisse toujours disposer d‟un droit individuel à l‟information préalable, d‟un droit d‟accès aux
données le concernant, d‟un droit d‟opposition, d‟un droit de rectification ou encore d‟un droit à l‟oubli
(effacement ou anonymisation des données après une durée définie par le responsable du traitement).
De plus, il existe une obligation de sécurité des données personnelles qui pèse sur le responsable du
traitement en vertu de l‟article 34 de la Loi du 6 janvier 1978 (il doit prendre toutes les précautions utiles)
et de l‟article 35 lorsqu‟un sous-traitant intervient. Le non respect de ces obligations peut entrainer des
sanctions pénales ou de la CNIL
302
Disponible à l’adresse : http://conventions.coe.int/Treaty/Commun/ListeTraites.asp?M=B&CL=FRE/.
303 Loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978, modifiée par la loi du 4 août 2004 qui a transposé la
directive de 1995 en droit français.
85/ 133
_________________________________________________________________________________________________________________
La réduction du périmètre de la vie privée au profit du développement des normes sécuritaires est un
débat médiatique, intéressant tant les citoyens que les entreprises depuis déjà plusieurs années. La rapidité
de développement des techniques permettant de contrôler l‟activité des individus (telle que la biométrie,
les réseaux sociaux, la géolocalisation304, les RFID305, …) a été telle que la nécessité de protéger
juridiquement leur vie privée a parfois eu du mal à suivre le rythme imposé par les innovations.
La CNIL met ainsi en avant le risque pour les individus de voir restreindre leurs libertés sans même s‟en
rendre compte, avec l‟incessante évolution des technologies de protection, de contrôle, de surveillance et
l‟augmentation des textes législatifs et réglementaires permettant leur utilisation. Ce risque ne concerne pas
que la France, mais tous les pays susceptibles de traiter des données à caractère personnel. Dès lors que
des transferts de données personnelles s‟effectuent à partir de pays qui restreignent les exportations de
données, pour des opérations de sous-traitance ou autres, les prescriptions légales doivent être
impérativement respectées notamment en ce qui concerne le formalisme imposé pour encadrer les
transferts demande d‟autorisation, utilisation de Binding Corporate Rules ou des contrats-types de
l‟Union européenne.
Entre sécurité et libertés, la voie de l‟équilibre semble souvent délicate à trouver. Ce sont les nécessités de
sécurité qui vont servir à légitimer les atteintes aux libertés fondamentales. Pour protéger de façon
pragmatique les individus contre les intrusions dans leur sphère privée, il faut d‟abord admettre la
légitimité de la lutte contre les crimes par la prévention, et donc la surveillance, pour ensuite trouver les
moyens appropriés, à savoir les plus respectueux possible des libertés fondamentales, et les meilleures
garanties pour les citoyens. Il est, en effet, difficile de concilier les intérêts en présence, mais c‟est pourtant
vers cet équilibre qu‟il faut tendre pour éviter tout débordement liberticide ou libertaire...
De son côté, la loi Godfrain du 5 janvier 1988306 relative à la fraude informatique traitait des peines
encourues en cas de vols ou de destructions de données. Dans la mesure où la nature même des
informations traitées par les technologies de l'information et de la communication rend les données
personnelles encore plus sensibles, ce texte paraît crucial dans ce qu‟il pénalise les intrusions non
autorisées aux systèmes d‟information.
Cependant, en France, les textes relatifs au numérique, liés aux notions de sécurité, d‟économie
d‟administration, ou de culture, se sont multipliés au cours de la dernière décennie. On peut analyser cet
accroissement normatif par le fait sans doute de la modification de la position de l‟État face aux
technologies de l‟information et vers le développement d‟une administration électronique.
Ainsi, la loi pour la confiance dans l'économie numérique307 (LCEN) qui transpose la Directive
européenne 2000/31/CE du 8 juin 2000308 sur le commerce électronique et certaines dispositions de
la Directive du 12 juillet 2002309 sur la protection de la vie privée dans le secteur des communications
électroniques a fait l‟objet d‟une polémique à l‟échelle nationale, notamment de la part des acteurs de
l‟Internet. Les sujets les plus vivement débattus étaient la responsabilité des hébergeurs et des FAI, la
publicité par voie électronique (opt-in ou opt-out), l‟élargissement des facultés d‟intervention des
collectivités territoriales en matière d‟établissement de réseaux de communication électronique ou encore
l‟introduction d‟un nouveau article relatif à la détention et la mise à disposition d‟équipements conçus
pour commettre les faits d‟intrusion dans un système ou d‟entrave au fonctionnement de ce système (art.
323-3-1 du code pénal).
Les textes de lois ne sont pas rédigés de manière à mettre en exergue les exigences de sécurité. Les
polémiques portées sur le projet de Loi d‟orientation et de programmation pour la performance de la
sécurité intérieure (LOPPSI) sont les mêmes que celles relatives à la loi n° 2001-1062 sur la sécurité
304 La CNIL a tenté d’encadrer le développement de la géolocalisation des véhicules des employés par GPS dans une recommandation du 16 mars
2006 (disponible sur le site www.cnil.fr), leur mise en œuvre ne pouvant être justifiée que par un nombre limité de finalités.
305 Eric Caprioli et Pascal Agosti, L’identification par Radio fréquence et le droit, Confidentiel Sécurité, n°128, décembre 2005, p. 2 et s.
306 Loi n°88-19, JO du 6 janvier 1988, p. 231.
307 Loi n°2004-575 du 21 juin 2004, JO du 22 juin 2004, p. 11.168 et s.
308 Directive n° 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du
commerce électronique, dans le marché intérieur («directive sur le commerce électronique», JOCE du 17 juillet 2000 L 17 8/1.
309 Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le
secteur des communications électroniques (directive vie privée et communications électroniques), JOCE n° L 201 du 31/07/2002 p. 0037 - 0047
86/ 133
_________________________________________________________________________________________________________________
quotidienne du 15 novembre 2001310, la loi n° 2003-239 du 18 mars 2003 sur la sécurité intérieure311 ou
la loi dite « Perben II ». Au contraire, le législateur préfère les termes de confiance (loi pour la confiance
dans l‟économie numérique, loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de
l'économie312). En effet, la confiance renvoie à un sentiment, très certainement de sécurité quant à
l‟organisation du marché numérique ou électronique sans que les deux notions (confiance et sécurité)
soient pour autant synonymes.
Les métiers de la confiance ont une incidence sur toutes les activités de l‟économie numérique en termes
de sécurité de l‟information en général, que ce soit au niveau de l‟infrastructure (les réseaux numériques,
les sites web, les serveurs) ou au niveau des échanges électroniques entre les sujets de droit.
5.8
Responsabilité des acteurs
La responsabilité civile de droit commun des acteurs en matière d‟authentification repose sur les articles
1382 et 1383 du code civil et sur les engagements qu‟ils ont contractés. Ainsi, leur responsabilité peut être
mise en jeu à condition qu‟il y ait eu une faute, un préjudice subi par la victime et un lien de causalité entre
cette faute et ce préjudice. A côté des éventuels délits civils dont des tiers peuvent être victimes, le contrat
commercial entre le prestataire des services d‟authentification ou le vendeur de moyens matériels et/ou
logique et son client utilisateur jouera un rôle essentiel avec des obligations de résultat sur des éléments
objectivement quantifiables et des obligations de moyens atténuées ou renforcées selon les obligations
concernées et le résultat des négociations.
Comme nous l‟avons vu, aux États Unis, les entreprises doivent mettre en œuvre des mesures
d‟authentification considérée comme suffisantes eu égard aux services en cause. Une authentification forte
sera nécessaire pour les services bancaires par exemple.
On peut donc penser que le juge attendra qu‟en matière d‟authentification les acteurs aient un
comportement diligent (entreprise commerciale, industrielles, banques et assurances sur l‟Internet,
autorités administratives, …). La certification ou la labellisation des produits d‟authentification, associées
au respect de l‟état de l‟art du marché, constituera, sans doute, un élément de preuve permettant de
démontrer la fiabilité de l‟authentification.
310 J.O du 16 novembre 2001, p. 18215.
311 J.O. du 19 mars 2003, p. 4761.
312 J.O. du 27 juillet 2005, p.12160.
87/ 133
_________________________________________________________________________________________________________________
6
USE CASE 1 : DOMAINE BANCAIRE
6.1
Les solutions d’authentification mises en œuvre par les banques pour leurs usages
6.1.1
Panorama des solutions mises en œuvre
Afin d‟augmenter le niveau de sécurité des services offerts à leurs clients, et en particulier pour le paiement
à distance et l‟accès aux comptes, - en cohérence avec les exigences de la Banque de France - les banques
ont commencé à mettre en place en 2009-2010 différentes méthodes d‟authentification forte dites « non
rejouables ». Ces nouvelles méthodes d‟authentification rompent avec les mécanismes statiques
précédemment utilisés, en particulier le couple « identifiant – mot de passe » et la date de naissance utilisés
de manière transitoire pour le paiement sécurisé.
Le déploiement de ces méthodes d‟authentification est toutefois un processus long, nécessitant un
enrôlement plus ou moins lourd. C‟est la raison pour laquelle il subsistera encore quelques temps une part
résiduelle de clients non enrôlés, car peu ou pas actifs sur l‟internet. Fin 2010, environ 60 % des usagers
étaient équipés d‟une méthode d‟authentification forte, mais leur utilisation restait encore limitée pour le
paiement en raison du faible équipement des commerçants.
Dans un souci de simplicité, d‟acceptabilité par les utilisateurs et de maîtrise des coûts, les banques ont
opté majoritairement pour deux méthodes, qui sont aujourd‟hui les plus répandues (voir tableau cidessous).
Principales méthodes d‟authentification forte mises en œuvre par les banques en France
Méthode
Description
Fourniture d‟un OTP (mot de passe à usage Afin de s‟authentifier pour valider la transaction, le
unique) par SMS ou via serveur vocal interactif client reçoit sur téléphone mobile – ou en appelant
(SVI).
un serveur vocal – un mot de passe qu‟il saisit
ensuite sur le site internet.
Lecteurs de cartes bancaires (CAP) ou tokens Le client a reçu un lecteur de carte de type
permettant de générer des mots de passe à usage « calculette » de sa banque. Pour s‟authentifier, il
unique
insère sa carte bancaire dans ce lecteur, saisit un
identifiant ainsi que son code PIN. Le lecteur lui
fournit un mot de passe à reporter sur le site
internet comme dans le premier cas.
D‟autres méthodes d‟authentification devraient apparaître dans le futur. Les certificats électroniques en
font partie, tout comme des méthodes innovantes pour l‟internet mobile.
La signature électronique connaît, elle aussi, un développement plus timide, par le biais de certificats
logiciels. Elle trouve un intérêt majeur pour la souscription en ligne : ouverture de comptes épargne ou
souscription à des produits financiers, demandes de crédit, etc.
De manière croissante, les banques auront donc à leur disposition une panoplie de méthodes disponibles,
qu‟elles pourront adapter à différentes catégories d‟utilisateurs (plus ou moins actifs) et environnements en
fonction du niveau de sécurisation. Ainsi, un achat de montant élevé sur un site hors Europe est-il
potentiellement plus sensible qu‟une acquisition de faible coût en France.
6.1.2
Le protocole 3D Secure
Le protocole 3D-Secure est applicable en France depuis le 1er octobre 2008. Déployé sous les appellations
commerciales Verified By Visa et MasterCard SecureCode, ce système de sécurisation permet de limiter le
risque de fraude lié aux tentatives d'usurpation d'identité. Pour cela les banquiers acquéreur et émetteur
88/ 133
_________________________________________________________________________________________________________________
doivent disposer de la solution qui permet de s'assurer, lors de chaque paiement par carte sur un site de ecommerce, qu‟elle est bien utilisée par son titulaire.
Les sites de e-commerce acceptant ce type d'authentification peuvent alors apposer sur leurs pages les
logos "Verified by Visa" ou "MasterCard SecureCode". La mise en œuvre de ce protocole va de pair avec
l‟activation du « Liability Shift ». Le commerçant obtient ainsi une garantie de paiement, sinon le risque est
porté par le banquier émetteur qui authentifie le porteur de carte par le moyen qu‟il juge adapté.
D‟autre part, le commerçant ne reçoit plus d‟impayés liés à la fraude (vol de fichiers) et évite les
contestations du type « ce n‟est pas moi qui ait fait la transaction » (vol du n° de carte + CVV), qui
représentent 80% des fraudes sur Internet (source FEVAD). Mais cela ne le dispense pas des audits de
sécurité imposés par Visa et Mastercard. Dernier avantage, Visa annonce une commission d‟interchange
moins élevée pour les transactions 3D-Secure.
6.1.3
Problématique de la solution d’authentification
L‟impact de 3 D Secure sur le processus d‟achat n‟est cependant pas neutre ; la demande d‟un code
pouvant dérouter, voire interrompre l‟achat. On évoquerait une perte de 10 à 15% du taux de
transformation sur les sites à cause de la complexité du procédé. Ce qui explique que nombre de
commerçants ont préféré reporter sa mise en œuvre. L‟approche des banques est donc prudente vis à vis
des porteurs :
 Certaines envoient systématiquement une demande d'inscription (gratuite), par exemple en même temps
que le relevé de compte. Le taux de retour est dans ce cas assez faible.
 D'autres intègrent la démarche d'enregistrement au premier achat 3D Secure.
Point bloquant, l‟écran de validation 3DS, qui diffère de celui du vendeur ! Bien que le code ne doive pas
être confondu avec le PIN de la carte bancaire, il fonctionne sur le même principe de trois essais. En cas
d'échec, la carte risque de ne plus pouvoir être utilisée pour des achats sur les sites affiliés 3 D Secure, à
moins de contacter sa banque pour déblocage. Autre faiblesse du procédé, la demande de date de
naissance, pendant les premiers mois de sa mise en œuvre ; une donnée quasiment publique qui a
longtemps freiné les internautes ; mais aujourd‟hui, c‟est le code SMS qui prévaut. .
Par ailleurs, les études de la Banque de France313 attestent que les internautes ne sont pas prêts à troquer
la sécurité pour une facilité d‟utilisation.
313
Banque de France. Observatoire sur les moyens de paiement. 2010
89/ 133
_________________________________________________________________________________________________________________
La Banque de France a
conduit en 2007 et 2010
une enquête sur la
perception de la sécurité
des cartes de paiement par
les porteurs.
Par rapport à 2007,
l‟enquête 2010 atteste
d‟une
plus
forte
perception de sécurité de
la part des porteurs
Ainsi, les « Avertis » sontils passés de 28% à 39%.
6.2
Situation en Europe
Le fait que le marché français peine à déployer 3D Secure est connu depuis assez longtemps. Dés 2003
une communication précipitée des banques avait braqué les poids lourds du e-commerce avec l‟annonce
d‟une mise en place obligatoire du procédé. Ils estimaient314 être mis devant le fait accompli, sans
concertation préalable vis-à-vis d‟une communication trop technique (3D Secure, V by V, Idtronic,
Cryptogramme visuel…), anticipant la réticence des consommateurs.
A l‟époque, le risque des grands e-commerçants était gérable et ils étaient prêts à l‟assumer. Depuis, la
situation a changé : 300 millions de transactions, 30 milliards de CA, dont les 2/3 réalisés par 60.000 sites
marchands315. Donc, la nécessité de faire évoluer la gestion des risques par rapport aux débuts de la vente
en ligne. Mais aujourd‟hui le constat est le suivant : la réticence à 3DS provient essentiellement des
commerçants, non des internautes.
En effet, le marché français apparaît assez isolé en Europe. Le panorama Ogone316, mené au premier
trimestre 2010, témoigne d‟un fort blocage, avec seulement 13 % des transactions sur 3DS, contre une
moyenne européenne de 48 %317. Ainsi le marché anglais, le plus dynamique d‟Europe totalise-t-il 96 % de
transactions 3D Secure, et le Benelux plus de 80%.
Voir l’étude de février 2004 menée par GM Consultants pour l’ACSEL (Association pour le Commerce et les Services en Ligne)
soit deux fois plus qu’à fin 2007
316 Ogone est un prestataire de paiements sécurisés
317 la part des transactions authentifiées en Europe sur le total des transactions 3D-Secure a progressé et est passée de 48 % en mai 2009 à 69 % en
février 2010.
314
315
90/ 133
_________________________________________________________________________________________________________________
6.3
3DS, premiers éléments de diagnostic
Concernant la relative stagnation de 3DS, plusieurs points sont à souligner :
 Les grands e-commerçants n'ont pas donné l'exemple. Bien au contraire, au travers de leurs associations
(FEVAD, ACSEL), ils ont mis en avant le risque de perte de CA du à 3D Secure et sont dans une posture
de résistance.
 Selon Ogone, 13,4 % des transactions 3DS en France donnent lieu à un abandon contre 9,7 % en moyenne
en Europe.
 Toujours selon Ogone, 3DS accroit le temps d'achat de 100 s à 200 s, sur la partie paiement.
 3D Secure a mauvaise presse auprès des acteurs du e-commerce, notamment les petits prestataires. Un buzz
négatif circule sur le Net entre commerçants et bloggeurs318.
 Peu de consommateurs semblent connaitre l‟existence même de 3DS, et quand bien même ils seraient
informés, la majorité ignore sa procédure de mise en œuvre. Les banques elles mêmes sont fort discrètes
vis-à-vis de leurs clients. Des messages sont transmis via un relevé de compte mais sans être renouvelés.
Le marché anglais demeure une référence. Pourquoi le procédé est il largement accepté au Royaume Uni ?
Est-ce parce que les banques (moins nombreuses qu‟en France sur un marché de l‟acquiring très
concentré) ont appliqué un même système donc plus facile à adopter ? Est-ce parce que la communication
a été meilleure à tous les niveaux de la chaîne : acheteurs, commerçants, réseaux commerciaux et centres
d‟appels ? Est-ce parce que les commerçants britanniques sont plus exposés à la fraude ?
En France, le marché de l‟acquiring est moins concentré et chaque émetteur propose son système
d‟authentification (date de naissance, boitier Xiring, SMS/OTP,…) comme un facteur de concurrence.
Une absence de règles qui, combinée à une communication maladroite, explique partiellement la situation
d‟échec de 3DS. Autre point faible, le manque de communication quant au transfert de responsabilité vers
la banque du porteur, élément déterminant de succès.
6.4
Une interopérabilité limitée des méthodes d’authentification
A l‟échelle française, les banques marquent une avance sur la fourniture de moyens d‟authentification forte
à leurs clients. Aucun autre acteur économique ne peut se prévaloir d‟une telle expérience de déploiement
auprès de particuliers. Pour autant, ces mécanismes, non interopérables, ne peuvent être utilisés que dans
le cadre de l‟établissement émetteur.
Développer l‟interopérabilité constitue un défi majeur : un moyen d‟authentification unique signifie une
multitude d‟usages mais surtout, une taille critique et un effet « volume ». La mutualisation des
infrastructures enrichit le potentiel de revenus et justifie des investissements pour des méthodes
d‟authentification nouvelles, notamment les certificats électroniques.
Toutefois, la mise en œuvre de méthodes d‟authentification interopérables induit des coûts : référentiels
communs, exigences de sécurité et contrôles tout comme l‟acceptation d‟un modèle économique et d‟une
fonction de gouvernance.
6.5
Les leviers du développement de l’authentification forte dans les services bancaires
6.5.1
La gestion de la fraude sur Internet
Dans le domaine bancaire, la fraude via le canal internet continue de se développer, à la fois en valeur
absolue et relative. De manière générale, la cybercriminalité et l‟usurpation d‟identité en ligne sont en plein
essor. Les attaques se multiplient, sous de nouvelles formes (les botnets, les hacktivistes, etc.) et touchent
de nouveaux types de terminaux, en particulier les smartphones dont l‟usage se développe rapidement.
Comme ce témoignage sur un blog d’un web agency «Après quelques mois d’utilisation du 3D Secure imposé par les banques, nous confirmons à notre
échelle le constat d’un échec total en terme d’impact sur les ventes. Plusieurs clients s’inquiétant d’une forte chute de leur CA en ligne (parfois proche des
30%) suite à la mise en œuvre de 3DS ont demandé à leur banque de le désactiver. Dans la foulée, nous avons pris le parti de conseiller aux autres de
faire de même »
318
91/ 133
_________________________________________________________________________________________________________________
Dans un contexte de développement et d‟enrichissement des services en ligne, la nature et le niveau de la
fraude constituent un levier majeur pour l‟introduction massive de moyens d‟authentification forte et de
signatures électroniques.
6.5.2
L’opportunité de méthodes d’authentification interopérables et largement diffusées
Les certificats électroniques constituent un potentiel majeur pour la « société numérique » ; la confiance
dans les services en ligne devant contribuer à dématérialiser des usages plus complexes (y compris ceux
encadrés par la loi tels que les ouvertures de comptes bancaires). De par leur normalisation au niveau
international et grâce au RGS), les certificats constituent une réponse à la fois technique et juridique aux
problèmes d‟interopérabilité.
Nombre de pays ont déjà initié des programmes de certificats électroniques interopérables, parfois pilotés
par des banques, comme mentionné dans le tableau ci-dessous:
Pays
Nom
Estonie
Carte d‟identité 2002
nationale
Norvège BankID
Suède
Création
Emission
Acceptation
État
+ Tous
banques/ services
Telcos
Nombre de
titulaires
1,4 million
20 000
(mobile ID)
Commentaires
Obligatoire
Prix : 16 € (5 ans).
Le certificat inclut une
adresse email au format
@esti.ee.
L‟État estonien soustraite l‟émission et l‟usage
de la CNIe à une société
fondée par 2 banques
(Swedbank et SEB) et 2
opérateurs télécoms.
2003
Banques
Services
publics,
services
privés,
banques
2,5 millions
(+70% de
la
pop
adulte)
1,3
million
de
transactions PKI par jour
NB : projet de CNIe en
Norvège.
BankID / e- 2003
legitimation
Banques
Services
publics,
banques
2 millions
La banque Nordea et
l‟opérateur TeliaSonera
émettent des certificats elegitimation
indépendamment
de
BankID.
Autriche Label sur la 2003
base certificats
sur
supports
certifiés
(Bürgerkarte)
État
Services
publics,
services
privés,
banques
?
2006 :
100000
La Suède a également
lancé une Carte d‟identité
électronique en 2005 qui
embarque des certificats
électroniques.
Non obligatoire
La fonctionnalité « carte
de citoyen » pour l‟usage
en ligne est déconnectée
du support de la carte
d‟identité et peut être
activée gratuitement sur
différents
types
de
supports (y compris carte
bancaire).
92/ 133
_________________________________________________________________________________________________________________
Pays
Nom
Création
Espagne
Plate-forme de 2006
validation
multi-PKI
@firma
Danema
rk
NemID
Emission
Acceptation
Nombre de Commentaires
titulaires
Quels que soit le support,
le processus d‟enrôlement
se conclut par une
activation du certificat en
ligne : le client demande
un code qui lui est envoyé
par la poste, et qu‟il doit
ensuite saisir sur le site
dédié.
État,
collectivit
és locales,
acteurs
privés, 1
banque
Services
publics
(180
services)
4,2 millions
(citoyens
ayant utilisé
un certificat
en ligne)
En complément de la
carte
d‟identité
électronique obligatoire
lancée la même année,
@firma permet de réaliser
l‟interopérabilité entre 12
fournisseurs de certificats,
y compris l‟État espagnol
(dans le cadre de la CIE)
ainsi que l‟État portugais
(CIE portugaise). La
banque Banesto319 est l‟un
des 12 fournisseurs.
-
Déclinaison de BankID
(Norvège), projet piloté
par BBS / PBS.
PROJET Banques
Services
publics
privés,
banques
et
Source : Porvoo Group 16 (mars 2010), Porvoo Group 15 (mai 2009), EU E-ID interoperability for
PEGS report (juillet 2009) - Austrian citizen card.
319
La banque Banesto (Banco Español de Crédito) fait partie du Groupe Santander. C’est l'une des principales banques espagnoles avec plus de 3
millions de clients et 1600 agences.
93/ 133
_________________________________________________________________________________________________________________
7
USE CASE 2 : ROLE DES OPERATEURS MOBILES ET DE LA CARTE SIM DANS
L’AMELIORATION DE LA CONFIANCE DANS LA SPHERE NUMERIQUE
7.1
Le mobile comme outil universel d'amélioration de la confiance en ligne
Le mobile peut être utilisé de deux façons dans ce rôle d'amélioration de la confiance : soit en bi-canal
pour signer, identifier ou authentifier l'utilisateur quant il navigue sur son PC, soit en mobilité, le mobile
servant alors à la fois de véhicule de confiance et d'outil de navigation internet.
Dans le paysage des services en ligne, les opérateurs mobiles disposent de quatre atouts leur permettant de
se positionner comme des acteurs majeurs :




Un réseau de plusieurs milliers de points de vente grâce auxquels le client est présent en « face à face »
Une carte SIM sécurisée
Une disponibilité du terminal à tout moment
Plus de 90% de la population adressable
7.2
Le mobile comme vecteur de confiance en bi-canal
Comment garantir l‟identité et l‟intégrité d‟un internaute, mais aussi lui permettre de signer via un PC sans
lecteur de carte ni clé USB ? C‟est précisément la force des portables. L‟usager, où qu‟il soit, peut
confirmer son identité en activant un certificat sur la carte SIM de son mobile dont il a communiqué les
coordonnées. Ainsi, toutes les transactions s‟opèrent en confiance sans autre équipement que le téléphone.
Une procédure d‟accès quasiment universelle pouvant bénéficier du parc de mobiles. Et elle a l‟avantage
de pouvoir être mise en œuvre n‟ importe où, sur le lieu de travail, en voyage, dans un business center sans
risque de capture de données sensibles ; la carte SIM restant sous contrôle exclusif de l‟usager, car
protégée par un code connu de lui seul.
La procédure bi-canale
ne
nécessite
aucun
équipement
supplémentaire.
En
communiquant
sont
numéro de portable,
l'usager reçoit alors un
message lui demandant
son accord pour la
transaction en cours sur
son PC (identification,
signature,
authentification), accord
garanti par le certificat
d'identité stocké dans sa
carte SIM
(Exemple
d‟authentification
(Document SFR)
Exemple d'une identification pour un acteur de jeux en ligne
 Un message
comprenant des
données de contexte
est envoyé à la carte
SIM
1
Le client clique sur "je m'identifie via
SFR" et saisit son numéro de mobile
Plateforme ID num
 Une requête d'identification est
envoyée pour ce numéro de
mobile avec certaines données
clients à vérifier (nom, prénom,
date de naissance…)
M. XXX, vous
souhaitez vous
identifier sur
tiercé.fr.fr
OK
KO
2
Le client saisit son code
personnel sur son mobile
 Un SMS est renvoyé à
la plateforme avec
OK/KO des données
comparées et
l'empreinte du message
cryptée
3
Veuillez saisir
votre code secret
de certificat SFR
******
- Une comparaison
des données
envoyées et des
données du
certificat est
réalisée
- L'empreinte du
message
d'identification est
signée avec la cléf
privée du certificat
OK
Le client est informé du statut de sa
demande sur le site tiercé.fr
Mobile signature platform
Internet website
 Le message crypté est
vérifié et si OK et
comparaison OK :
l'identification est réussie et
le client peut accéder à son
compte
La relative stagnation de 3D Secure par SMS, qui répond à la demande de la Directive Européenne sur les
moyens de paiements de « dispositif de sécurité personnalisé320 », nécessite de s„interroger sur l‟ergonomie du
procédé. La confirmation d‟OTP pourrait s‟effectuer sur mobile par activation d‟un certificat sans ressaisie
La Directive Européenne propose le concept de « dispositif de sécurité personnalisé ou DSP » qui peut prendre plusieurs formes. Pour un paiement
par carte en ligne, le DSP peut prendre la forme d’une authentification supplémentaire. La Banque de France recommande de promouvoir
l’authentification non rejouable, dont 3D Secure constitue un procédé. Entretien avec Alexandre Stervinou, Banque de France Novembre 2010.
320
94/ 133
_________________________________________________________________________________________________________________
du code par le navigateur. Un mécanisme qui pourrait générer d‟avantage de revenus pour l‟opérateur
téléphonique que la simple transmission d‟un SMS.
Dans le cas illustré
ci-contre
l‟internaute
souscrit un contrat
d‟assurance.
L‟activation
du
certificat
lui
permet de signer
en ligne et garantit
la prise d‟effet
immédiate.
Un
SMS
lui
confirme la validité
de la transaction
(Document SFR)
7.2.1
2
3
Lancement
du
processus
de
signature
écran mobile
(facultatif)
écran mobile
• Description de
l’opération: »Sou
scription
d’assurance auto
assurland.
Montant annuel
de 621,37€ »
• Référence
dossier
• OK / cancel
OK
Cancel
Choix donné au client :
annulation définitive ou en
attente 24Hrs (tbc) puis est
périmée automatiquement
(avec msg d’info au
client lui expliquant cela)
Entrer le code
spécifique vu
sur le PC et
l’écran du
mobile
Accès au site
du SP et
souscription à 1
assurance en
ligne
4
écran mobile
écran mobile
Entrer le code
secret du
certificat
Confirmation
que le contrat
est signé
 Cliquer sur
OK pour
terminer
5
SMS ou
email de
confirmation
finale au
client
6
Cas où
signature
périmée
Info que la
transaction est
périmée 
Cliquer sur OK
pour terminer
SMS et
email de
confirmation
finale au
client
Authentification et mobilité
L‟internet mobile en France représente à ce jour plus de 4 millions d‟usagers avec un taux de croissance
significatif : près de 3 millions de nouveaux équipements seront vendus en 2011, dont 1 millions de
tablettes321, tirées par le succès de l‟iPad. Ce parc constitue un potentiel significatif pour des accès sécurisés
en ligne. En effet, pouvant être dérobés facilement, smartphones et tablettes justifient un renforcement
des procédures de connexion de type mot de passe / identifiant de façon à les utiliser en mobilité.
Dans un premier temps, bien adaptée à des accès de type « consultation /transactions » : banque en ligne,
transaction de valeurs mobilières, achats sur la toile…. , la tablette permettra, à l‟avenir, de réaliser des
démarches plus complexe : ouverture de comptes, souscription de contrats, virements bancaires….si la
carte SIM dispose de certificats d‟authentification et de signature.
7.2.2
Identité sur carte SIM
L‟identité sur SIM ne doit pas être restreinte à la connexion en ligne ; la confirmation de l'identité ou la
signature électronique sur mobile peut également peut également être envisagée dans le monde réel. La
Bundesdruckerei allemande propose des initiatives en ce sens, à partir du protocole de communication
NFC. Ces initiatives doivent être suivies avec attention dans la mesure où l‟authentification du porteur
devra nécessairement être confirmée par activation d‟un certificat.
7.3
Typologie des services en ligne visés
Nos concitoyens se situent dans un écosystème numérique parmi les plus riches d‟Europe322. Vu le
succès des smartphones, on s‟attend à une floraison d‟applications sur mobiles. Il n‟est donc pas
surprenant que l'identité numérique SIM comme vecteur de confiance soit considérée comme une offre de
services différenciante par les opérateurs. Solution qui sera d‟autant appréciée qu‟elle ne sera pas facturée à
Le chiffre d’affaires des appareils smartphones fait un bond en avant spectaculaire. L’institut d’analyse et d’étude Gfk vient de publier une prévision
pour cette année: plus de 2,7 millions de smartphones seront vendus. L’internet mobile est en pleine explosion avec plus de 4,2 millions d’utilisateurs .Le
taux de croissance de ce métier est clairement explosif. http://www.rachatducredit.com/la-vente-smartphones-804.html
322 59 M d’abonnés mobiles en France dont 16M équipés de la 3G
o 39 M d’internautes équipés à 98% avec une liaison haut débit
o 9 français sur 10 équipés d’un mobile
o 1 français sur 5 (21,3%) est équipé d’un Smartphone.
321
95/ 133
_________________________________________________________________________________________________________________
l‟usager mais au prestataire chez qui elle induit un gain de productivité et permet la constitution d‟un
dossier de preuves opposable en cas de litige.
Le
Baromètre
CDC – ACSEL
2010 sera sans
doute à réactualiser
avec la percée des
smartphones ; la
connexion
à
internet devenant
un état intrinsèque
du mobile.
Etude
AFMM
(Association
Française
du
Multimédia
Mobile). 20% des
usagers
se
connectent
plusieurs fois par
jour, un taux qui
sera revu à la
hausse, vu la
croissance du parc
de smartphones.
L‟étude AFMM323 confirme que le smartphone constitue un relais de croissance de l‟eCommerce. Parmi
les utilisateurs mobiles, ceux équipés de Smartphones et plus spécifiquement d‟iPhones sont ceux qui
achètent le plus : près d‟un utilisateur d‟iPhone sur 2 (44%) a déjà effectué un achat sur l‟Internet mobile
(hors applications depuis l‟Appstore). Et précisément ce sont les CSP+, identifiés par l‟étude CREDOC
comme accros de l‟internet, qui seront également les pionniers du mobile324. Le rôle des opérateurs
téléphoniques peut se résumer comme suit :
 Fournisseurs d'identité car connaissance client et face à face pour un usage "n‟ importe où n'importe quand,
et avec n'importe quel moyen d'accès au web", sans aucun matériel supplémentaire autre que le mobile et sa
carte SIM
 Eventuellement hébergeur de certificats Tiers, du fait de la simplicité d'usage des certificats mobiles-SIM
7.4
Modèle(s) financier(s)
A la différence des offres de contenus dont le consommateur rémunère la fourniture de biens et services,
le marché de l‟authentification porte sur le contenant, c'est-à-dire les modalités d‟accès. Dans ce cas, le
prestataire rémunère celui qui lui garantit la légitimité du consommateur à se connecter.
Il est prématuré de proposer un modèle financier dans la mesure où prestataires de services (SP) et
fournisseurs d‟identité (IDP) étudient comment se positionner dans le cadre du programme IDéNUM.
Le guide du Micro-Paiement AFMM (Association Française du Multimédia Mobile) 2010
Les profils des acheteurs en ligne de contenus et services diffèrent légèrement selon les canaux où s’effectue l’achat : ainsi, si les acheteurs sur Internet
fixe sont plutôt des hommes (57,3%), ils sont un peu plus âgés sur l’Internet fixe (36,1% de 35 à 49 ans) que sur l’Internet mobile (31,7% ont entre
15 et 24 ans). Ils sont majoritairement CSP+ (38,1% sur le fixe et 35,3% sur mobile). Etude AFMM 2010
323
324
96/ 133
_________________________________________________________________________________________________________________
Comme la part de contrôle « identitaire » des services en ligne est bien perçue comme une charge par les
fournisseurs de services, on trouvera dans les paragraphes suivants une estimation de ce marché
adressable.
Sur la base de ce marché, il appartiendra aux opérateurs téléphoniques d‟évaluer comment proposer cette
offre nouvelle à leurs clients sachant que d‟importants investissements devront être réalisés : modification
des cartes SIM, enrôlement en face à face, mais, surtout, mise en œuvre d‟accords avec les prestataires en
ligne. La possibilité de nouer des partenariats vis-à-vis d‟autres fournisseurs d‟identité apparait comme une
stratégie très pertinente vu le potentiel du parc de portables et la facilité de mise en œuvre du procédé bicanal. Ainsi, l'utilisation de la cryptographie et de la sécurité de la SIM pour générer des certificats pour
des Tiers, constitue-t-elle une opportunité dans la mesure où certains fournisseurs d‟identité potentiels
(notaires) ne disposent pas aujourd‟hui d‟un support sécurisé pour les accès en ligne. Concernant les
prestataires de services, l‟adhésion à un Cercle de Confiance labélisé IDéNUM constitue certainement le
procédé le plus efficace permettant d‟éviter la multiplicité des accords. Qu‟il s‟agisse d‟un modèle licence
ou d‟un mécanisme basé sur le nombre de transactions, l‟approche économique des opérateurs devra être
concurrentielle par rapport aux coûts de saisie et authentification détaillés dans les paragraphes suivants.
7.4.1
Enrôlement & contrôle d’identité
La saisie d‟état civil et adresse des abonnés répond à une exigence légale des opérateurs. Des prestataires
se positionnent sur ce segment de marché qui vise à automatiser l‟extraction des données à partir de titres
d‟identité et contrôler leur cohérence avec les attestations de domicile et pièces de banque325. Sachant que
la fraude à la souscription est évaluée à 5%, ce type d‟équipement génère déjà un fort gain de productivité
pour un coût évalué à moins d‟un euro contre les 6 euros occasionnés par la saisie des multiples
documents.
Le renouvellement du parc de mobile (plus de 20 millions d‟unités vendues chaque année) constitue une
opportunité très conséquente pour les opérateurs qui souhaiteraient embarquer des certificats sur leurs
cartes SIM. Si on totalise les 4 millions d‟usagers disposant d‟internet mobile aux 3 millions de futurs
détenteurs de smarphones et tablettes attendus en 2011, on appréhende bien l‟ampleur et le potentiel du
parc mobile. Comme mentionné dans les pages précédentes, même si le smartphone donne l‟image d‟un
équipement de consultation en ligne, on anticipe - grâce à l‟ergonomie des écrans – qu‟il se positionnera
bientôt comme un terminal multi-fonctions, destiné tant aux transactions et consultations qu‟à la
contractualisation d‟offres sur la base de signatures.
Au départ, SFR entendait se réserver la solution qu’il développée avec Cryptolog de dématérialisation complète de la souscription de contrats au point
de vente. Il la mettra finalement à disposition des banques, des assurances et même de ses concurrents opérateurs.
La solution avait été baptisée AriadNext. La partie visible est une tablette graphique, développée par SFR suivant un cahier des charges spécifié par
Marc Norlain, alors responsable IT fraudes et prévention du risque de SFR. Elle intègre un scanner par défilement, qui capte les identifiants figurant au
bas des cartes nationales d’identité et des cartes bancaires, que les souscripteurs doivent présenter avant toute souscription. La cohérence de ces identifiants
est immédiatement vérifiée en ligne en interrogeant les listes noires. Les justificatifs de domicile traditionnels ne sont donc plus demandés, mais l’adresse est
malgré tout contrôlée. Si aucune incohérence n’est détectée, une demande de certificat est envoyée à Cryptolog qui émet alors immédiatement un certificat
client d’une durée de vie de 30 minutes. Le contrat peut alors être signé par le souscripteur manuellement sur la tablette et avec ce certificat, puis avec le
certificat personne morale de SFR. Il est ensuite conservé, et par SFR (pour les besoins de son service client) et par Cryptolog (pour l’archivage à valeur
probatoire). Depuis son déploiement dans les boutiques SFR, AriadNext n’a cessé d’être récompensée par des distinctions. Elle a remporté le
Démat’Award de la Fédisa au salon Documation 2009. En juin 2009, elle a été lauréate du concours national d’aide à la création d’entreprise de
technologies innovantes du ministère de l’enseignement supérieur et de la recherche. En juillet dernier, elle a été finaliste du 5e Carrefour des possibles
organisé à Rennes par la Fing, la région Bretagne et Télécom Bretagne. Elle sera également finaliste au 11e Tremplin Entreprises les 12 et 13 février
prochains au Sénat.
"Devant l’ampleur de l’intérêt rencontré, annonce Marc Norlain, nous avons décidé de créer une spin-off autour de cette technologie." AriadNext est donc
sur le point d’être constituée en société commerciale, développant et commercialisant "une solution de dématérialisation de contrats au point de vente pour
les opérateurs, les banques et les assurances".
AriadNext devrait également intégrer la dématérialisation de l’APA (Autorisation de prélèvement automatique), sa signature électronique par le
souscripteur et sa transmission sécurisée à la banque du créancier (SFR ou autre) ainsi qu’à la banque du débiteur, via la messagerie SepaMail, que le
groupe BPCE (Banque Populaire Caisse d’Epargne) veut mettre en place au niveau européen. Un pilote est prévu entre SFR et BPCE. L’objectif est
non seulement de dématérialiser cette APA, mais aussi de combattre la fraude au RIB par un contrôle de cohérence en temps réel. L’application
permettra la révocation en ligne et le changement de domiciliation en temps réel. AriadNext permettra également l’insertion du certificat électronique dans
les cartes SIM des abonnés mobiles pour autoriser la signature électronique avec un mobile.
325
97/ 133
_________________________________________________________________________________________________________________
8
MODELES ECONOMIQUES ET CHAINE DE VALEURS
8.1
Marché adressable de l’authentification en ligne
L‟authentification en ligne n‟est pas une offre de contenu mais du contrôle d‟accès; rien de commun avec
les services de téléchargement. Pas non plus de fichiers volumineux, mais une transposition dans le monde
de l‟immatériel des relations avec le secteur privé : relevés de comptes, transactions, contrats,
formulaires…..Le modèle de revenus n‟est donc pas basé sur l‟usage, mais sur un droit d‟accès, versé par le
fournisseur à celui qui minimise ses coûts de traitement.
Prenons l‟hypothèse que les certificats sont fournis gracieusement à l‟usager ; le fournisseur de services en
ligne (SP) réalisant un gain de productivité grâce au prestataire d‟identité (IDP) qui lui communique les
données exigés par le contexte règlementaire : nom (pas toujours nécessaire), date de naissance (utile pour
distinguer des homonymes, mais est-ce nécessaire si l‟identité est attestée ?), adresse (idem), âge (c‟est le
cas des jeux en ligne, mais un critère de majorité peut suffire) ….
Le marché adressable correspond à deux types de coûts générés aujourd‟hui pour le traitement de
l‟identité : l‟adhésion, lorsqu‟on souscrit pour la première fois à un service, et l‟authentification, quant on
s‟y connecte de façon sécurisée. Ce marché adressable permet d‟évaluer le potentiel de revenus pour des
solutions à base de certificats ; mais c‟est également un plafond à ne pas dépasser sans quoi les prestataires
n‟auront pas d‟intérêt à remplacer les procédures de contrôle manuel.
8.1.1
Adhésion ou enrôlement
Cette phase correspond à la procédure d‟examen du dossier communiqué par un client potentiel recruté
par divers moyens - coupon-réponse, téléphone ou internet - : photocopie du titre d‟identité, attestations
de domicile (EDF, Télécom), bulletins de salaire, RIB …… Nos préposés contrôlent leur cohérence, de
même que le libellé du formulaire de souscription. Des pièces examinées visuellement de façon à s‟assurer
de leur intégrité ; des croisements étant opérés avec des bases de données d‟adresses et de personnes
suspectes (fichier positif, interdits de jeux, autres…).
Cette phase d‟enrôlement est critique dans la mesure où ces pièces seront opposables en cas de litige. Ainsi
le financeur devra-t-il attester du consentement d‟un emprunteur, voire d‟un co-emprunteur, c'est-à-dire
de signatures apposées sur les contrats de souscription. Ce dossier d‟adhésion est envoyé par la poste, plus
rarement scanné et communiqué en ligne. C‟est précisément cette phase qui connait les taux de rejet les
plus importants : mauvaise qualité des photocopies, attestation de domicile ancienne, titre d‟identité
périmé, etc…
D‟après nos informations, ce coût de contrôle strictement « identitaire » se situe entre 5 et 15 euros
(prenons l‟hypothèse médiane de 10 euros) : chiffre qui exclut les frais - marketing, commerciaux,
communication326 - inhérents à la conquête de nouveaux clients. Les frais non « identitaires » devant
persister même si des certificats sont utilisés à l‟avenir pour les accès en ligne. Ne retenons donc que ces
20% du montant de « conquête » évalué à 50-150 euros, suivant le type de contrat souscrit (banque en
ligne, crédit à la consommation, autre…).
8.1.2
Authentification, ou accès sécurisé
Cette phase correspond au contrôle de cohérence entre attributs soumis en ligne et ceux dont dispose le
SP, suite à l‟enrôlement de l‟internaute. A ce stade, le client est déjà répertorié dans la base du SP, mais
celui-ci sécurise les accès pour des opérations sensibles : virements, transactions, etc….Grâce à cette
authentification, l‟internaute pourra également souscrire à de nouveaux produits en attestant de son
consentement par une signature, comme décrit dans la phase d‟enrôlement ci-dessus.
326
Pour le secteur du crédit à la consommation, le coût de conquête d’un dossier client représente un montant de 50-150 euros, voire d’avantage.
98/ 133
_________________________________________________________________________________________________________________
Sachant que des mécanismes comme 3D Secure coutent 7 centimes aux banques, le montant de
l‟authentification forte devra être inférieur à ce plafond. Sinon, des solutions de type SMS l‟emporteront
au détriment des certificats.
8.1.3
Le modèle financier
Sachant que le coût de traitement « identitaire » du dossier client est perçu comme une charge par le
prestataire de services en ligne (SP), trois modèles financiers pourraient être envisagés : gratuité,
rémunération à l‟accès et adhésion à un cercle de confiance.
Gratuité
Dans cette perspective, le SP dégage un important gain de productivité. L‟identité de l‟internaute lui est
garantie, de même que la légitimité de la signature électronique, mais sans contrepartie financière. Dans ce
cas, l‟IDP ne peut être qu‟un représentant de l‟État qui favorise ainsi le dynamisme de l‟économie
numérique en anticipant des recettes fiscales nouvelles On imagine mal des acteurs privés se positionner
comme fournisseurs d‟identité, faute de retour financier.
Rémunération à l’accès
Dans ce cas, le SP rémunère l‟IDP qui lui certifie l‟identité de l‟internaute à chaque connexion, qu‟il
s‟agisse d‟une adhésion au service, de souscription à des offres en ligne ou d‟une authentification forte.
Cette formule présente plusieurs inconvénients :
 Négociation d‟accords préalables entre tous SP et IDP
 Modification du système d‟information du SP pour mise en œuvre d‟un mécanisme d‟authentification
 Rémunération par les SP de multiples IDP
On imagine la complexité du procédé : petits SP (ex. jeux en ligne) devant signer avec de multiples IDP,
importantes modifications du SI vis-à-vis d‟un marché encore émergeant, modalités d‟authentification
propriétaires, etc…. Mais surtout, paiement d‟une redevance immédiate aux IDP, une charge qui s‟ajoutera
au coût d‟équipes de contrôles « manuels » devant être maintenues, le temps que la dématérialisation du
procédé permette de réduire ces effectifs.
Connexion à un Cercle de Confiance
La connexion à un Cercle de Confiance réunissant à la fois IDP et SP sur la base d‟un label - de type
IDéNUM - garantissant la qualité de l‟enrôlement comme la fiabilité des fournisseurs semble pouvoir
contribuer au développement des services en ligne. Dans ce cas, il n‟est plus nécessaire que tous SP
formalisent des accords avec les IDP. En effet, chaque SP contracte une licence lui donnant accès à tous
les internautes titulaires de certificats, quelques soient leurs IDP. Inversement, tout internaute affilié à un
fournisseur d‟identité peut s‟enrôler et s‟authentifier auprès de n‟importe site en ligne labélisé.
Cette méthode possède plusieurs avantages :
 Déporter l‟authentification auprès d‟un mécanisme mutualisé entre SP et IDP
 Rémunération des IDP, au pro-rata des accès, sans nécessiter d‟accord bilatéraux préalables entre
fournisseurs d‟identité (IDP) et prestataires de services (SP).
La mise en œuvre d‟un tel Cercle de Confiance nécessite de solliciter un investisseur (institutionnel ou
privé) qui participera à la mise en œuvre du dispositif suivant :




Labellisation des IDP et SP
Mise en œuvre du mécanisme d‟authentification déporté
Gestion de la licence (perception des redevances, rémunération des IDP)
Gestion des liste de révocation (CRL)
La mise en œuvre d‟un Cercle de Confiance permet aux IDP et SP de faire l‟économie d‟accords bipartites,
dont la complexité de mise en œuvre risque de pénaliser les usagers. Le label garantissant un haut niveau
99/ 133
_________________________________________________________________________________________________________________
de fiabilité entre les parties. Le modèle financier rester à préciser, mais déjà les grandes lignes en sont
perceptibles :
 Acquittement d‟une licence par les IDP
 Acquittement d‟une licence par les SP
 Versement d‟une redevance par les SP au prorata des demandes d‟authentifications et de signatures sur la
base des ordres de grandeur précisés ci-dessus : enrôlement / signature 10 euros, authentification 0,06
euros.
 Rémunération des IDP au prorata des demandes d‟authentifications et de signatures provenant
d‟internautes détenteurs de leurs certificats.
Cette opportunité apparait fort attractive pour l‟investisseur participant à la mise en œuvre du projet.
Grâce au Cercle de Confiance, SP et IDP pourraient rapidement disposer d‟une taille critique et
développer des offres de service.
8.1.4
Offre de substitution et offre dynamique
Le marché adressable de l‟authentification se divise en deux segments : une offre dite de substitution - qui
transpose les mécanismes du monde réel - et une offre dite dynamique, dopée par l‟effet web et les
certificats. Globalement, ce marché pèse plus d‟un milliard d‟euros en cinq ans, le temps que les services
en ligne soient rentrés dans l‟usage des internautes.
Qu‟il s‟agisse de services nouveaux ou de gains de productivité, ce montant doit être comparé aux coûts de
certificats qui nécessitent une logistique importante : délivrance, exploitation, SAV, révocation ….. Grâce
au Cercle de Confiance, le marché de l‟identité sera morcelé entre multiples IDP : l‟État - pour le
renouvellement ou la délivrance d‟une CNIe-, les opérateurs téléphoniques – dont cette offre constitue un
relais de croissance – mais également divers acteurs de l‟économie qui bénéficient d‟une relation privilégiée
avec leurs clients : banques, notaires, la Poste.
8.1.5
Les types de certificats :
Quoique l‟usager s‟attende à une forte interopérabilité, nous l‟imaginons confiant à utiliser un certificat de
banque pour des opérations financières. Mais il est fort probable qu‟avec l‟essor des tablettes - et la
possibilité de se connecter en mobilité - les portables de nouvelle génération permettront de réaliser toutes
sortes d‟opérations en ligne, les cartes SIM pouvant héberger des certificats d‟authentification et de
signature. D‟ailleurs, il n‟est pas exclu que les CSP+ cumulent plusieurs types de certificats : CNIe,
portable, tablettes, banques…..
La connexion en mobilité constitue le champ d‟application idéal des cartes SIM, et aucun service en ligne
n‟y échappera. Les smartphones constitueront ainsi un vecteur de croissance sachant que près de la moitié
du parc est renouvelé chaque année. Par ailleurs, les certificats sur mobiles permettent de s‟authentifier en
toutes conditions par la procédure bi-canal décrite ci-dessus (§ 7.1.1). Le portable garantissant – par
activation du certificat - l‟identité de l‟internaute. Un mécanisme qui représente un fort vecteur d‟adhésion
aux certificats, vu qu‟il ne requiert aucun équipement additionnel (carte, lecteur de carte, clé USB).
La CNIe est favorablement perçue par la majorité des acteurs de l‟internet, mais les usagers ne vont-ils pas
diversifier leur mode d‟accès en fonction du type de site ? Le baromètre CDC-ACSEL marque une forte
confiance en une identité délivrée par l‟État, mais, dans la mesure où les usagers n‟ont pas été interrogés
sur leur perception de procédés alternatifs à la CNIe, cette question reste en suspens. Quoiqu‟il en soit,
gageons qu‟ils feront choix d‟un procédé qui, fourni gracieusement, leur garantira l‟accès à un maximum
de services.
8.2
Répartition par types de certificats
On trouvera ici des hypothèses prudentes, vu la nouveauté du procédé. Bien entendu, nombre d‟usagers
disposeront de plusieurs certificats : CNIe, PC et SIM. Quelle sera leur attitude ? Deux hypothèses se
présentent : utiliser le certificat garantissant le maximum d‟interopérabilité ou se plier à une approche
métier, c'est-à-dire choisir un certificat adapté au site : CNIe pour les services de l‟État, IDéNUM sur PC
100/ 133
_________________________________________________________________________________________________________________
pour des applications financières et SIM en mobilité. Mais est-il imaginable qu‟il puisse ainsi changer
d‟identifiant en fonction du service ? Un outil logiciel lui facilitera-t-il la tâche ?
Nous restreignant à une population adulte, nous nous baserons sur les volumes suivants: 50 millions
d‟individus, 10% de CNIe par an mais seulement ¼ de certificats activés par nos concitoyens. En parallèle,
nous pourrions anticiper quelques 2,5% de certificats IDéNUM avec une croissance annuelle forte (1,8),
vu l‟intérêt des IDP pour ces nouveaux marchés.
Sur cette base, le nombre de certificats actifs en première année est fort modique : environ 4 millions, se
répartissant entre CNIe et opérateurs IDéNUM. Mais, en cinq ans, nous totaliserions quelques 36 millions
de certificats - chiffre plausible sachant que les internautes en possèderont plusieurs et que les
smartphones vont d‟emparer du marché – qui se répartissent comme suit :
 10 millions de certificats de CNIe sur un total de 25 millions de titres délivrés (soit 40%)
 13 millions de certificats IDéNUM PC. Un volume non excessif sachant, notamment, le souci des banques
de sécuriser les accès aux comptes (plus de 70 millions) et qu‟ils en seront les principaux bénéficiaires.
 13 millions de certificats IDéNUM SIM, comprenant les certificats opérateurs et ceux d‟IDP ayant noué des
accords avec les telcos. Une estimation raisonnable - sur un total d‟environ 50 millions d‟équipements – vu
le dynamisme de l‟internet mobile et l‟intérêt de l‟authentification bi-canale.
La progression du nombre de
détenteurs de certificats tient
compte à la fois de la
délivrance de la CNIe et de la
promotion faite par les
opérateurs IDéNUM.
Nb de certificats
(millions)
CNIE
IDéNUM PC
IDéNUM SIM
Cumul
Y1
1
1
1
4
Y2
4
2
2
8
Y3
6
4
4
14
Y4
8
7
7
23
Y5
10
13
13
36
Le total cumulé de 36
millions de certificats en
Année 5 ne doit pas sousestimer
que
nombre
d‟internautes en possèderont
plusieurs et adapteront leur
mode d‟accès en fonction des
sites consultés.
La délivrance de la CNIe constitue un élément important dans la mesure où elle constitue un socle solide à
partir duquel les opérateurs IDéNUM pourront contrôler la légitimité du titre ; les modalités de synergie
devant être précisées : accès aux listes de révocation, contrôle d‟intégrité de la carte, etc….
101/ 133
_________________________________________________________________________________________________________________
Les certificats de CNIe sont
d‟abord
majoritaires,
considérant que 10% de
nouveaux titres sont délivrés
chaque année et posant
comme hypothèse que seuls
25%
des
ayant-droits
opteront pour l‟activation du
certificat en mairie.
La croissance forte des
certificats IDéNUM délivrés
par les banques, opérateurs
mobiles, autres ( ?)... permet
de disposer d‟un vivier
important de certificats actifs.
Pour chaque service en ligne, le montant du marché adressable tient compte à la fois :
 Du pourcentage de détenteurs de certificats,
 Des statistiques du marché (ex. nombre de prêts par an, produits financiers souscrits, etc…).
Les revenus se répartissent comme suit : enrôlement (10 euros) et un certain nombre de connexions (6
centimes d‟euros) basé sur les pratiques d‟usage : une fois la semaine pour un compte bancaire, davantage
pour la banque en ligne, les détenteurs d‟action étant plus actifs, vu la modicité des frais de transactions.
La progression sur cinq ans n‟est pas la même dans tous les secteurs ; les certificats n‟ayant pas,
notamment, vocation d‟augmenter le nombre de véhicules loués. Par contre, les usagers seront d‟avantage
enclins à utiliser l‟accès en ligne pour échanger des documents avec leurs notaires. Tout au contraire, les
secteurs dopés par la dynamique des certificats – prêts à la consommation B2B2C – connaissent une
double progression : proportionnelle au nombre de détenteurs et dopée par la facilité de réaliser une
transaction en ligne.
Dans les pages suivantes, nous privilégions certains secteurs dont on anticipe que les certificats
contribueront, soit à un gain de productivité (eBanking), soit à créer une dynamique, vu les faible taux de
conclusion en ligne lorsqu‟il s‟agit aujourd‟hui de contrôler les justificatifs.
Dans cette évaluation, nous ne tenons pas compte du secteur médical. Concernant le DMP, les premiers
patients commencent tout juste à ouvrir leurs dossiers auprès des personnels de santé, sur la base du
couple identifiant / mot de passe ; mais il n‟est pas question de contrôler l‟identité du patient. Quant à la
Télémédecine, la loi HSPT et ses décrets d‟application sont encore trop récents pour qu‟une obligation de
contrôle d‟identité soit obligatoire. Connaissant le peu de maturité de nos concitoyens pour la médecine
sur internet, il est prématuré d‟avancer des chiffres. Mais gageons que ce secteur connaitra une progression
forte vu le vieillissement de la population, comme la nécessité de faciliter la reconduction de soins. Il est
également possible que les assurances santé s‟emparent du marché – renouvellement en ligne de
prescriptions et diagnostics - de façon à minimiser les frais de consultation.
Par contre, des secteurs prometteurs comme la banque, le crédit à la consommation et les assurances
justifient que soit évalué le potentiel pour des infrastructures à base de certificats, vu les coûts manuels de
traitement des dossiers et la modicité des taux de conclusion en ligne, voire la difficulté de signer
électroniquement des avenants, même avec des clients en compte.
102/ 133
_________________________________________________________________________________________________________________
8.3
Secteur bancaire
% de détenteurs de certificats pour eBanking
Authentification forte eBanking (€)
Souscription produits financiers eBanking (€)
Nb consultation eBanking par an / banque de réseau
Nombre de souscription de produits financiers / an, réseau et banque en ligne
% de détenteurs de certificats pour banque en ligne
Enrôlement banque en ligne (€)
Nb consultation par an / banque en ligne
Nombre de titres scripturaux /an pour détenteurs de comptes
Dématérialisation titres scripturaux (€)
90%
0,06
10
52
0,5
8%
10
104
24
1
La banque constitue le poids lourd de l‟authentification forte et une raison de s‟équiper pour les
internautes dont nous estimons que 90% des détenteurs l‟utiliseront pour accéder à leurs comptes.
On anticipe même que certaines banques pourraient les rendre obligatoires - comme les calculettes
d‟algorithmes secrets et grilles de correspondance de chiffres – pour des opérations sensibles comme les
virements ou la souscription de contrats en ligne. Le couple traditionnel identifiant / mot de passe ne
donnant accès qu‟aux services limités du eBanking traditionnel.
Prenons également l‟hypothèse que l‟internaute se sent en confiance avec son certificat de banque pour
des opérations de eBanking, quoique d‟autres certificats devront être compatibles, comme ceux de cartes
SIM pour y accéder à partir de smartphones et tablettes. S‟il possède des comptes dans différents
établissements, gageons que son choix se portera sur celui qui offre le maximum d‟interopérabilité, par
souci d‟ergonomie et de simplification.
Million (€)
Banques de réseau
Banque en ligne
Toutes banques
8.3.1
Authent forte banque de réseau
Contractualisation banque réseau
Enrôlement banque en ligne
Authent. Forte banque en ligne
Contractualisation banque en ligne
Titres scripturaux
Total banques
Y1
4
6
4
2
2
30
47
Y2
7
11
4
4
4
66
95
Y3
12
19
4
8
6
114
163
Y4
21
33
4
14
11
182
265
Y5
36
58
5
24
19
287
429
Total
79
126
21
52
42
679
999
Marché de l’authentification forte et signature pour la banque de réseau
Le marché de l‟authentification forte peut se décomposer comme suit : consultations (confirmation
d‟identité) et souscription (signature) à des produits financiers. Peu pratiquée aujourd‟hui sur internet, par
manque d‟outils fiables, la prise de contrat en ligne est amenée à croitre pour des produits packagés ne
nécessitant pas l‟intervention d‟un conseiller financier (CODEVI, Livret A, PEL….)
Consultations
Les limites aux fonctions de eBanking militent en faveur de procédés d‟authentification forte; une
alternative séduisante au fastidieux identifiant / mot de passe devant être régulièrement changé. Partant
de notre hypothèse – 6 centimes d‟euros pour un accès sécurisé -, le marché adressable de la consultation
en ligne représentera en Année 5 prés de 40 millions sur la base d‟un accès 327 hebdomadaire328. Un
montant fort modique, qui porte sur une simple connexion sans prendre en compte les possibilités
offertes, une fois le eBanking sécurisé, notamment la dématérialisation des traitements scripturaux (TIP,
Chèques, virements).
Souscription à des produits financiers
Sur la base du coût de traitement de l‟identité – 10 euros – et d‟une souscription tous les deux ans à des
produits financiers, le marché de la prise de contrats sur internet représenterait presque 60 millions d‟euros
en Année 5. Mais nous anticipons que la vente de produits packagés se généralisera pour atteindre un CA
71% des européens accèdent à leur compte en banque sur une base mensuelle ou hebdomadaire. Nous privilégions la base hebdomadaire, vu
l’importance des comptes professionnels.
328 Nous prenons comme hypothèse les 74,4 millions de comptes à vue (particuliers et professionnels) répertoriés en 2008, sachant que les comptes
professionnels sont davantage consultés que les comptes de particuliers (mouvement de trésorerie, produits financiers) .
327
103/ 133
_________________________________________________________________________________________________________________
plus conséquent. Ce montant modique se justifie par l‟usage courant de négocier actuellement ce type de
contrats auprès de conseillers financiers, plutôt que d‟y souscrire sur le net.
8.3.2
Marché de l’authentification forte et signature pour la banque en ligne
La banque en ligne, par nécessité de dématérialisation de bout en bout, constitue également un secteur
prometteur ; d‟autant plus que l‟internaute a un profil boursicoteur qui accède régulièrement à son compte
et procède fréquemment à des transactions, vu la modicité des frais.
Comme pour la banque de réseau, seul le détenteur de certificats pourrait, à l‟avenir, prétendre à des
fonctions évoluées – virement, achat / vente de valeurs, sans limitation de montant -, l‟identifiant / mot
de passe ne donnant accès qu‟à des opérations limitées. Nous prévoyons deux consultations
hebdomadaires - taux prudent et vraisemblablement en dessous de la réalité - vu l‟usage croissant des
smartphones et tablettes chez les CSP+.
Comme pour la banque en ligne, le marché de l‟authentification forte se décompose en enrôlement
(contrôle des pièces d‟identité, signature de contrats), consultations (confirmation d‟identité) et
souscription de produits financiers (confirmation d‟identité et signature de contrats).
Nous estimons qu‟un tiers des 5 millions de comptes ouverts annuellement pourraient se porter sur la
banque en ligne ; des nouveaux clients qui se rajouteront aux 2 millions de comptes existants329. Comme
mentionné précédemment, le contrôle d‟identité est évalué à 10 euros, l‟authentification forte, à 6 centimes
d‟euros.
8.3.3
La dématérialisation des titres scripturaux
eMandate, chèques, TIPS, virements en ligne … devront constituer les nouvelles fonctions du eBanking,
très attendues des particuliers, qu‟il s‟agisse de la banque de réseau ou de la banque en ligne. Nous
proposons des hypothèses prudentes sur la base de deux virements mensuels, soit 24 paiements par an330,
un rythme sans doute inférieur à la réalité, vu les multiples règlements opérés par les particuliers :
assurances, syndics d‟immeuble, télécoms, électricité, taxes, scolarités, etc….
Cette procédure est plus complexe qu‟une authentification forte, dans la mesure où elle nécessite les étapes
suivantes:
 Accès sécurisé au compte
 Mise en relation avec la banque du bénéficiaire
 Attestation par signature du consentement
Une succession d‟opérations que nous évaluons à 1 euro, sur la base du coût moyen de traitement d‟un
chèque par les banques ; sans compter que les frais de courrier seront économisés aux particuliers.
La dématérialisation des titres scripturaux représente une facilité pour les internautes qui pourront honorer
leurs créances directement, notamment générer l‟IBAN d‟un bénéficiaire sans formalités préalables ; cette
démarche n‟étant possible aujourd‟hui que pour des virements réguliers et des comptes répertoriés à
l‟avance.
Actuellement 17% des clients en ligne souscrivent à des produits financiers. Nous anticipons une progression, considérant que les banques vont opter
pour des produits de plus en plus packagés : livrets, PEL…Notre estimation se base sur une souscription toutes les deux ans.
330 Le rapport Edgar Dunn sur le chèque totalise 51 chèques en moyenne par an. Mais il nous semble que ce chiffre corresponde à un couple et non un
individu isolé.
329
104/ 133
_________________________________________________________________________________________________________________
La dématérialisation des titres
scripturaux représente l‟un des
grands enjeux de l‟eBanking.
Le particulier devrait pouvoir se
passer de chèques, mandats,
TIPs. ..et procéder à des virements
en générant l‟IBAN du bénéficiaire à
partir du eBanking sécurisé et en
attestant de son consentement par
une signature électronique.
8.3.4
Potentiel de la banque pour les certificats
Au bout de cinq ans, ce marché adressable – réseau, banque en ligne – dépasse les 400 millions d‟euros.
Quelle peut être la stratégie des établissements financiers ? Investir dans les infrastructures à base de
certificats de façon à gagner en productivité et adresser d‟autres secteurs ? Nouer des accords avec des
IDP pour une meilleure rentabilité de leurs services ?
Difficile de répondre à ce stade, mais l‟adhésion à un Cercle de Confiance permettra au banques de se
situer à la fois comme IDP, fournisseurs d‟identité, et SP, fournisseurs de services (crédit, produits
financiers, etc…). La procédure étant déjà bien rôdée pour les cartes de crédit : attribuées par
l‟établissement du détenteur, elles permettent de retirer de l‟argent auprès de tous distributeurs suivant un
mécanisme d‟interchange convenu entre les banques, y compris à l‟international.
105/ 133
_________________________________________________________________________________________________________________
8.4
Les achats en ligne
% Acheteurs en ligne / population française
% Acheteurs en ligne sans carte de crédit
Nombre d'achats / an
Autorisation d'achat en ligne (€)
Autorisation de débit bancaire en ligne (€)
% Acheteurs en ligne avec carte de crédit
8.4.1
55%
15%
10
0,06
2
85%
Autorisation de débit bancaire
Concernant l‟apport de certificats, le commerce sur internet ne constitue un secteur porteur que par cette
fraction d‟acheteurs sans cartes de crédit, environ 15%, qui représentent un CA de 4,5 milliards (sur 30
milliards). Par ailleurs, rappelons que la moitié des engagements de paiements sans carte ne parviennent
pas : courrier mal libellé, compte non approvisionné, chèque invalide, rétractation…. . Ces internautes
représentent donc un « manque à gagner », d‟autant plus que moult vendeurs sur les sites d‟enchères
refusent les services de Visa, Paypal, etc…vu le pourcentage des commissions.
Seule solution, mais qui exige une authentification forte : l‟accès, depuis le site de vente, au compte
bancaire de l‟internaute, puis du bénéficiaire suivant une procédure sécurisée qui devra confirmer
l‟autorisation de débit. Evaluons-la forfaitairement à 2 euros, bien moins que le pourcentage perçus par les
Paypal et cartes de crédit sur les transactions en ligne. De plus, l‟authentification forte évitera la
répudiation éventuelle de la transaction.
Totalisant 21 millions au bout de 5 ans, ce secteur ne constitue pas réellement un marché attractif, preuve
que le paiement en ligne n‟est pas l‟axe privilégié des certificats, au contraire de la vérification d‟identité et
la signature de contrats. Toutefois on peut anticiper que nombre de vendeurs pourraient encourager cette
forme de paiement pour éviter les frais perçus par les circuits traditionnels (Visas, MasterCard, Paypal).
Dans ce cas, le faible pourcentage (15%) d‟achats sans carte pourrait fortement grimper et représenter un
marché conséquent, vu l‟essor de la vente en ligne. Dernier levier de croissance, ces 50% de promesses de
paiements non aboutis ; même en excluant les rétractations – légitimes -, le eBanking permettrait de
récupérer – une partie – de chèques mal libellés ou courriers non parvenus.
Million (€)
Achats en ligne
8.4.2
Débit bancaire
Non répudiation
Total achats en ligne
Y1
2
0
2
Y2
4
1
5
Y3
7
1
8
Y4
12
2
14
Y5
21
4
25
Total
46
8
54
Non-répudiation des achats
La répudiation des achats constitue un préjudice pour les acteurs du paiement en ligne comme Paypal,
MasterCard, Visa (85% des transactions)… Le relatif échec de 3D Secure sur SMS justifie qu‟on
s‟interroge sur l‟opportunité de procédures à base de certificats. L‟activation pouvant s‟opérer à deux
niveaux : soit par le navigateur - clé USB, carte connectée au PC, logiciel ? - soit par une procédure bicanale avec certificat de portable. Le coût de cette transaction devant être inférieur à 7 centimes d‟euros,
montant facturé aux banques pour 3DS.
Le total, bien modeste, de 8 millions démontre amplement que l‟authentification forte sur internet ne vise
pas le paiement. Ce montant est toutefois amené à croitre pour deux raisons : le dynamisme (40%) du
commerce sur la toile, d‟une part, mais, surtout, un souci de sécuriser les transactions transfrontières, qui
représentent le pourcentage le plus élevé de fraudes, vu l‟impossibilité d‟établir des mécanismes de scoring
à cette échelle.
106/ 133
_________________________________________________________________________________________________________________
8.5
Le crédit à la consommation
% Acheteurs en ligne avec carte de crédit
% de détenteurs de certificats pour crédits B2C
% de détenteurs de certificats pour Crédits B2B2C
% détenteurs de certificats pour revolving
Authentification forte revolving (€)
Nombre d'accès / an revolving
Souscription crédit (€)
Nombre de demandes / an
85%
30%
60%
20%
1,00
4
10
2
Comme la Directive sur le Crédit à la Consommation (DCC) - Loi Lagarde en France - obligera les
financeurs à proposer un crédit amortissable, les offres en ligne vont connaitre un vif succès si des
certificats simplifient la procédure de souscription.
A titre d‟exemple, le paiement en trois mensualités constitue un produit d‟appel qui séduira tant les
internautes aisés que les emprunteurs habituels. Ainsi un de nos établissements de crédit anticipe-t-il une
croissance de ses encours de 20 à 800 millions pour des financements attachés à un bien (B2B2C) dès que
des certificats sont disponibles.
Nous anticipons deux demandes par an, considérant que les usagers achèteront des équipements de plus
en plus couteux (électroménager, hi-fi) en faisant appel à des crédits ou paiements étalés, une fois
automatisée la prise de contrat en ligne. Le montant du marché adressable - près de 200 millions en
cinquième année – constitue l‟un des plus gros potentiels pour des certificats, d‟autant plus que la vente
sur internet continue sa croissance à un rythme de 40% l‟an.
Concernant le crédit non attaché à un bien, B2C, marché moins tributaire de l‟immédiateté, la progression
vient surtout de la conquête de nouveaux clients, difficile à formaliser en ligne ; seuls les emprunteurs déjà
en compte pouvant en bénéficier aujourd‟hui. Ce marché (contrôle de cohérence des pièces d‟identité et
signature d‟un contrat : 10 euros) représentera quelques 75 millions en Année 5, avec une croissance de
10% l‟an.
Million (€)
Crédit consommation B2C
B2BC
Revolving
Total crédit
Y1
8
15
1
24
Y2
15
38
2
55
Y3
26
67
4
97
Y4
45
115
6
166
Y5
75
198
10
283
Total
169
434
23
625
La Commission Européenne, via la Directive sur le Crédit (DCC), entend homogénéiser les modalités de
financement mais également faire jouer la concurrence entre les établissements. Mais encore faut-il que
des règles communes puissent s‟appliquer pour l‟authentification des usagers sur internet. Le programme
STORK devrait fournir des éléments concrets en ce sens.
Chiffres et taux proposés tiennent compte du marché comme de la montée en puissance des
smartphones qui vont dynamiser les achats sur la toile, et par conséquence, les demandes de crédit.
L‟internaute pouvant procéder à une demande depuis sa tablette, en activant des certificats
d‟authentification et de signature.
107/ 133
_________________________________________________________________________________________________________________
8.6
Les jeux en ligne
% de détenteurs de certificats pour jeux en ligne
Enrôlement pour jeux en ligne (€)
Accès compte bancaire pour jeux en ligne (€)
Nombre d'accès compte bancaire / an pour jeux en ligne
Nombre d'enrôlement / joueur
20%
7
1
4
2,5
Bien que la régulation des jeux en ligne soit récente, l‟authentification forte peut être envisagée lors des
phases suivantes :
 Enrôlement dans le cadre de la révision de la loi fin 2011 ; l‟ARJEL n‟excluant pas un dossier électronique.
Nous évaluons à quelques 7 euros le traitement de l‟identité et du formulaire signé331.
 Accès au compte bancaire pour augmenter sa mise de jeu ou récupérer un gain.
L‟enrôlement ne constitue pas un marché important, comparé à la banque et au crédit. Mais, comme pour
la vente en ligne, l‟accès, depuis le site, à son compte bancaire pourra représenter un montant plus
conséquent si les jeux en ligne gagnent en popularité. Bien que ce montant soit modeste, on anticipe que
nombre de sites en ligne pourraient, de façon sécurisée, faire appel au compte bancaire de l‟internaute,
comme une alternative aux paiements par carte.
Million (€)
Jeux en ligne
8.7
Enrôlement
Accès compte bancaire
Total jeux en ligne
Y1
4
1
5
Y2
4
2
6
Y3
7
3
11
Y4
12
6
18
Y5
21
10
32
Total
49
22
72
Location de voitures
% de détenteurs de certificats pour location de voitures
Nombre de location annuelle
Location en ligne (€)
15,00%
1
10
Si l‟on évalue à 7,6 millions332 les locations annuelles, un volume en croissance, suggérons que 10% des
démarches pourraient être réalisées en ligne, ce secteur n‟étant pas réellement un facteur d‟acceptation des
certificats. Sur la base d‟un coût de traitement de 10 euros par dossier – identité, permis de conduire - , on
totalise quelques 2 millions par an, revenu relativement modique mais qui pourrait être dynamisé par les
projets de véhicules des municipalités. Quelles seront les modalités de location ? Comment contrôler que
le « locataire » dispose de ses points ? Une information qui n‟est pas accessible aux loueurs aujourd‟hui !
Ne serait-ce pas une piste à investiguer ? D‟autant que les municipalités pourraient étendre leur offre à des
déplacements plus importants, non limités au périmètre de la ville et demander une confirmation
d‟identité, pour éviter fraudes ou vols de véhicules.
Million (€)
Location véhicules
Signature contrats
Y1
Y2
Y3
Y4
Y5
Total
2
2
2
2
2
10
8.8
Officiers publics et ministériels
Les officiers publics et ministériels ne constituent pas réellement un marché pour la mise en œuvre de
certificats. Hormis le notaire qui contrôle l‟identité de son client pour chaque authentique, huissiers et
greffiers des tribunaux de commerce se contentent d‟une simple copie du titre, sans procéder à son
contrôle ou a une confirmation.
Nous nous basons sur 3 Euros, le prix moyen proposé pour la frappe d’une page. L’enrôlement pour les jeux en ligne nécessitant la saisie
d’informations provenant de multiples documents : CNI, quittances, etc….
332 http://www.location-de-voiture.org/
331
108/ 133
_________________________________________________________________________________________________________________
8.8.1
Greffiers des tribunaux de commerce
Concernant les greffiers des tribunaux de commerce, l‟État n‟entend pas, à ce jour, contrôler l‟identité des
entrepreneurs - 283, 487 immatriculations, 228,656 radiations – pour le RCS 2009 ; idem pour les
modifications statutaires.
Toutes ces opérations peuvent être opérées en ligne aujourd‟hui ; bien que la copie d‟une CNI soit
obligatoire, ni le titre, ni son intégrité ne sont contrôlés. Il n‟est pas même question d‟interroger le fichier
STIC333 de façon à détecter des personnes interdites de gestion ou susceptibles de malveillances. La
situation des auto-entrepreneurs est identique (environ 500,000 par an) ; leurs données d‟état civil ne sont
pas contrôlées lors de la création de cette activité.
8.8.2
Les notaires
Vu leur obligation de contrôler les pièces, les notaires sont les plus gros clients des registres de mairies qui
leur délivrent chaque année plus de 16 millions de fiches d‟état civil ; un coût interne chiffré à 5 euros par
demande mais qui permet d‟actualiser un attribut fondamental comme la jouissance des facultés civiques,
notamment une éventuelle mise sous tutelle. Il n‟est donc pas question pour les particuliers de produire
eux-mêmes leurs titres d‟identité en ligne, le notaire opérant cette démarche pour leurs comptes.
Par contre, les notaires se préoccupent aujourd‟hui de la création d‟un espace sécurisé pouvant accueillir
les pièces d‟un dossier: documents d‟hypothèque, titres de propriété, courriers de syndic, justificatifs de
succession …… sachant que 5 millions d‟actes authentiques sont rédigés chaque année. Vu leur position
privilégiée vis-à-vis de l‟identité, on peut anticiper qu‟ils définiront eux même la procédure d‟accès par des
certificats d‟authentification remis à leurs clients. Ils disposent donc d‟un marché intérieur important leur
permettant de rebondir sur d‟autres secteurs.
8.8.3
Les huissiers
Comme mentionné précédemment, les huissiers se contentent d‟une copie de CNI, sans contrôle de son
authenticité. Par ailleurs, les études, souvent de dimension modeste, ne disposent pas d‟une infrastructure
informatique permettant de contrôler ces données. Mais il pourrait être envisagé, à l‟avenir, la
mutualisation d‟une infrastructure entre intervenants, de même que la création d‟un espace sécurisé de
transmission de pièces pour l‟instruction d‟un dossier, à l‟image des notaires.
Le STIC (Système de Traitement des Infractions Constatées) est une base de donnée interconnectant les fichiers policiers et répertoriant toute personne
ayant été concernée par une procédure judiciaire (crimes, délits et contraventions diverses et variées), qu'elle soit mise en cause ou bien... victime, et quand
bien même le mis en examen est blanchi. Créé par la loi n° 95-73 du 21 janvier 1995, le STIC entre en activité officielle sans ses décrets d'application.
Au 1er janvier 1997, il comportait les noms de 2,5 millions prévenus, 2,7 millions de victimes, portant sur 5 millions de procédures et 6,3 millions
infractions. Certaines données remontent à 1965. (Source: SGP, syndicat majoritaire des gardiens de la paix).
333
109/ 133
_________________________________________________________________________________________________________________
8.9
Recommandés et courriers à valeur probante
La Poste enregistre un CA d'un milliard d'euros grâce à quelques 200 millions de recommandés par an –
un service standard sans vérification de l‟identité des parties ni archivage du contenu – pour un coût
moyen de 3 euros pour des courriers inférieurs à 20g. Une offre enrichie – authentification des parties,
archivage à valeur probante, horodatage – pourrait aisément être facturée le double. Par contre, il n‟est pas
excessif de prévoir, à l‟avenir, une hausse des envois à valeur probante, dans la mesure où le courrier
traditionnel sera remplacé par des mails.
Nb de recommandé par personne / an émission
Nb de recommandé par personne / an réception
% de détenteurs de certificats pour recommandés
Courrier à valeur probante , émission (€)
Courrier à valeur probante , réception (€)
2
2
75%
3
3
Notre évaluation se base sur 2 envois par adulte (50 millions), mais également 2 courriers en réception. ;
supposant que notre internaute opte pour une solution internet vis-à-vis de correspondants dont le
recommandé constitue une obligation, syndic ou sociétés dont il est actionnaire.
Concernant le pourcentage de détenteurs de certificats en Année 1 utilisant les recommandés
électroniques, supposons qu‟il soit de 75% de notre cible décrite en § 8.2 ; en effet, nos internautes, ayant
opté pour l‟activation de certificats sont des familiers du web, connectés régulièrement à leur eBanking et
qui saisissent le gain de temps du courrier électronique à valeur probante.
Sur ces bases, il n‟est pas étonnant que ce marché dépasse les 100 millions en Année 5, donc la moitié du
revenu actuel de la Poste pour ses recommandés. Nous sommes dans le cas d‟une offre de substitution,
mais qui risque d‟être dynamisée par le web et les certificats, le potentiel devant dépasser les 200 millions
dès la sixième année
Million (€)
Poste
Recommandés émission
Recommandés réception
Total recommandés
Y1
6
6
11
Y2
12
12
24
Y3
21
21
41
Y4
34
34
68
Y5
55
55
110
Total
127
127
254
110/ 133
_________________________________________________________________________________________________________________
8.10
Les assurances
Nombre de contrats assurances / personne
% de détenteurs de certificats pour assurances
Reconduction de contrat (€)
Souscription de contrats assurance
Pro-rata nouveaux contrats souscrits en ligne
Nombre de contrats assurance vie / population française croissance /an
% de détenteurs de certificats pour assurances-vie
Souscription de contrats assurance vie (€)
Souscription assurance emprunteur
Million (€)
Assurances
Reconduction contrats
Souscription nouveaux contrats
Assurances vie
Assurance emprunt B2C
Assurance emprunt B2BC
Total assurances
Y1
3
1
7
4
8
22
Y2
6
2
7
8
19
42
1,3
90%
2
10
8%
3,00%
80%
10
5
Y3
10
4
7
13
34
69
Y4
17
7
8
22
58
112
Y5
29
12
8
38
99
186
Total
66
26
37
84
217
430
Les assurances ne sont pas tributaires d‟un contexte réglementaire qui exige le contrôle d‟identité pour
toute souscription. Par contre, la profession s‟interroge sur la nécessité d‟évoluer, notamment de proposer
un mode web à une clientèle jeune et aguerrie aux réseaux sociaux.
Comme mentionné, la Loi Chatel devrait permettre de reconduire son contrat en procédant au paiement
par eBanking et ainsi éviter chèques ou TIPs. Partant d‟hypothèses prudentes : 1,3 contrat par personne,
avec un taux de pénétration de certificats de 60% - notre internaute est un pro de l‟internet – et un coût
unitaire de 2 euros (authentification forte, mise en relation avec la banque du bénéficiaire, virement avec
attestation du consentement), nous obtenons un potentiel d‟environ 30 millions en cinquième année. Un
marché très modeste au regard de la banque. Mais répétons le, la majorité des contrats sont encore
souscrits auprès des agents, les sites internet servant essentiellement à comparer les prix. L‟absence de
contrôle « fort » d‟identité explique également ce marché quelque peu décevant.
Par contre, on ne peut négliger la possibilité prochaine de souscriptions par internet, vu la guerre des prix
sur les contrats packagés : assurances MRH et automobiles. Le choix se déterminant à 10 euros près, la
souscription en ligne permettra de faire l‟économie d‟un conseiller. Partant d‟un taux de 8% de nos
détenteurs de certificats en année 1, cette activité représenterait une dizaine de millions en année 5. Un
chiffre fort modique, mais amené à croitre vu la concurrence sur les prix.
Ce sont essentiellement les activités financières qui vont drainer les besoins d‟authentification forte. Les
assurances–vie, produit phare des classes aisées, commencent à être souscrites en ligne comme nous le
remarquions dans notre étude de 2007334 « En effet, les perspectives de croissance du secteur suivent l’engouement des
internautes pour le web. Ainsi l’un des grands acteurs du domaine envisage-t-il un encours supérieur au milliard d’Euros en
2010 en dématérialisant sa gestion de contrats d’assurance vie. Deux autres établissements totalisent près d’un demi-milliard
d'encours en réduisant leurs droits d’entrée à 0,5% au lieu des 3% perçus généralement sur les contrats d’assurance vie. Un
point non négligeable dans la mesure où les montants négociés sur le web atteignent 20,000 Euros contrairement aux 4,000
Euros contractés en moyenne par les courtiers ; ce qui confirme l’attrait de populations averties et relativement aisées, pour la
banque en ligne ».
Environ 15 millions de nos concitoyens sont aujourd‟hui titulaires d‟un contrat d‟assurance – vie, avec un
taux de progression de 10% l‟an, soit 2% de la population française. Vu les perspectives accrues d‟accès à
des produits packagés, gageons que 3% d‟internautes souscriront en ligne une fois ce type d‟offre
disponible. Si 60% disposent de certificats, le marché d‟authentification forte totalisera moins d‟une
dizaine de millions d‟euros au bout de 5 ans.
Standarmedia. Afnor Paris 2007. Etude d'impact : la signature électronique et les infrastructures à clé publique dans le contexte de l'identité
numérique : Quels usages pour les titres sécurisés émis par l'état dans le monde de l'économie numérique ?
334
111/ 133
_________________________________________________________________________________________________________________
L‟assurance crédit constitue également un vecteur de croissance, grâce à la progression des achats en ligne
(40%, l‟an) et des crédits attachés à un bien (B2B2C). Bien qu‟actuellement ce contrat soit dissocié de
l‟Offre Préalable de Crédit, on peut anticiper que les internautes se voient bientôt proposer une offre
packagée – financement / assurance – une fois disponibles les certificats d‟authentification et de signature.
Sur la base des perspectives de crédits détaillées au § 8.5, le marché de l‟assurance pourrait totaliser
environ 120 millions en année 5 (B2C et B2B2C réunis).
8.11
Vote électronique des assemblées cotées
Faute d‟outil d‟authentification forte, le vote électronique n‟est pas encore proposé aux actionnaires de
sociétés cotées. Ce marché potentiel reste encore limité ; le boursicoteur ayant davantage un souci de
profits que de participer à la stratégie des entreprises. Par ailleurs, ce type de vote ne justifie pas
l‟acquisition de certificats par nos concitoyens.
Sur la base de ces hypothèses, supposons que nos détenteurs de valeurs (15% de la population) soient
équipés à hauteur de 1% de certificats. Leur vote en ligne représenterait un marché de quelques millions
en année 5 ; un montant qui risque de croitre avec l‟usage des certificats, le pourcentage en Année 1 ayant
été volontairement minimisé.
Nombre de contrats assurance vie / population française croissance /an
% de détenteurs de certificats pour assurances-vie
Souscription de contrats assurance vie (€)
Souscription assurance emprunteur
Million (€)
Vote électronique
Sociétés cotées
3,00%
80%
10
5
Y1
Y2
Y3
Y4
Y5
Total
2
2
2
2
2
8
8.12
Le travail temporaire
Le travail temporaire représente un secteur particulièrement attractif pour l‟authentification en ligne, vu la
nécessité de signer les contrats, par risque de les voir requalifiés en CDI. Majoritairement pourvue de
portables, la population visée constitue une cible idéale pour les opérateurs téléphoniques ; le travailleur en
détachement pouvant ainsi valider son engagement par une signature de SIM.
% travailleurs temporaires / population française
% de détenteurs de certificats pour travail temporaire
Contrat de travail temporaire (€)
Nb de contrats / an
2,5%
50%
5
4
Le volume du travail temporaire représente 2,5% de la population active salariée, à comparer à un taux
moyen d'utilisation du CDD de 5%. 1000 entreprises de travail temporaire (ETT) ont ainsi développé un
maillage de 6 300 agences de proximité pour les salariés en recherche d'emploi. En 2004, ces entreprises
ont géré 560 000 emplois équivalents plein temps (Statistiques INSEE, voir tableau ci-dessous). Compte
tenu de la durée moyenne des missions et de la rotation du personnel, ce sont plus 2 millions de salariés
qui ont ainsi été concernés pour une moyenne de 4 emplois par individu.
Statistiques INSEE
Prenant l‟hypothèse que seulement la moitié de cette population dispose de certificats en Année 1 (1,25%),
ces contrats de ligne pourraient générer une dizaine de millions par an. Un chiffre encore assez modique,
112/ 133
_________________________________________________________________________________________________________________
mais qui risque de croitre, si les employeurs rendent obligatoire l‟usage des certificats pour leur personnel
temporaire, par souci d‟efficacité et de conformité à la loi.
Million (€)
Travail temporaire
Prise de contrat
Y1
Y2
Y3
Y4
Y5
Total
13
13
14
14
15
69
8.13
Le modèle financier
8.13.1
Répartition par catégorie de certificats
8.13.2
Enrôlement versus authentification
Nos hypothèses se veulent prudentes et soucieuses de préfigurer le comportement des consommateurs :
quel mode d‟authentification pour quel service ? Si, dans un premier temps, l‟usager se sent plus à l‟aise
avec un certificat de banque pour des activités financières et des opérations connexes comme la
souscription de crédit, on anticipe que l‟interopérabilité constituera un facteur de succès. En effet, on
imagine mal notre internaute changeant de certificats – voire de support (carte, clé USB, SIM ?) – en
fonction du service, à moins que cette opération ne soit réalisée par des outils logiciels, l„usager n‟ayant
plus qu‟à cliquer pour attester de son consentement.
Les premières années, les certificats sur PC nous semblent bien adaptés à des opérations d‟enrôlement
(souscription), vu la nécessité de scanner des justificatifs - quittances, bulletins de salaires, attestations d‟IR
– jusqu‟à ce que les usagers réalisent le potentiel des coffres-forts électroniques. En effet le PC à domicile,
par son confort et la quiétude de l‟usager, permet de comparer les offres, lire attentivement les contrats, les
remplir et les signer pour transmission en ligne.
Evaluée à environ 10 euros – hors frais de conquête et marketing – la vérification des données d‟identité
et de leur cohérence avec les contrats est une opération effectuée manuellement aujourd„hui qui permet de
quantifier le marché adressable. Autrement dit, le déploiement d‟infrastructures à clés publiques
permettant de s‟authentifier et de signer en ligne est-il compétitif par rapport au coût humain dont nous
évaluons les montants ci-dessus ?
C‟est précisément ce mécanisme d‟enrôlement qui génèrera le plus de revenus car il vise à remplacer une
tâche couteuse, mais indispensable aux juristes qui souhaitent disposer d‟un dossier de preuves, opposable
en cas de litige. Ils sont actuellement dans l‟attente de solutions informatiques qui puissent garantir un
niveau équivalent de légitimité aux dossiers « papiers ».
Comparé à l‟enrôlement, l‟authentification, que les prestataires en ligne ne rémunéreront pas plus de 6
centimes d‟euros, génèrera des revenus plus faibles. Bien qu‟on se connecte de multiples fois, c‟est
l‟activité « amont » qui sera la plus rémunératrice pour les IDP, vu la nécessité d‟enrôlement préalable.
Autre source de revenus, la signature des contrats, qui nécessitent aujourd‟hui des contrôles « manuels » :
cohérence des données, libellé du patronyme, date de naissance, adresse exacte, etc….. Moult
informations qui attestent de l‟engagement d‟un individu.
L‟enrôlement à un service,
comme la souscription de
contrats, représente la partie la
plus rémunératrice dans la
mesure ou elle remplace le
contrôle des pièces d‟identité et
leur cohérence avec un contrat
soumis en ligne ou par voie
postale.
Quoique
l‟internaute
se
connecte fréquemment, le
mécanisme d‟authentification
est moins rémunérateur. Il
consiste à comparer les attributs
soumis en ligne avec ceux
stockés lors de l‟enrôlement.
Millions (€)
Total enrôlement
Total authentification
Total services en ligne
Y1
130
10
140
Y2
238
18
256
Y3
388
32
419
Y4
620
55
675
Y5
1 004
95
1 099
Total
2 380
209
2 590
113/ 133
_________________________________________________________________________________________________________________
Bien que le PC paraisse aujourd‟hui l‟outil idéal d‟enrôlement et de fourniture en ligne de justificatifs, on
ne peut sous-estimer l‟essor des tablettes qui faciliteront les usages en mobilité, vu leur confort de lecture.
En effet, on anticipe que nos internautes se connecteront lors de déplacements en TGV, Thalys,
Eurostar…. : achats, prise de crédit, assurance, eBanking, grâce à des certificats embarqués. Le
remplacement de la moitié du parc de mobiles (plus de 20 millions d‟appareils /an) constituant une
opportunité pour les opérateurs.
L‟usage de certificats favorisera également le recours aux coffres-forts électroniques, grâce à un accès
sécurisé. Les procédures d‟enrôlement, opérées dans un premier temps par PC, seront donc réalisées sur
tablettes, l‟usager pouvant s‟authentifier et signer en ligne, tout en joignant les justificatifs – RIB,
attestation d‟IR, bulletins de salaires – téléchargés à distance, en mobilité, voire en avion, l‟internet étant
maintenant accessible sur longs courriers335.
Les opérations connexes à la banque constitueront le poids lourds de l‟authentification forte. Il est donc
essentiel que les établissements financiers s‟accordent sur des stratégies communes avec les opérateurs
téléphoniques de façon à garantir les accès en ligne tant par PC que par portables ; sans oublier le potentiel
de la procédure bi-canale, qui permettra de s„authentifier par mobile, sans équipement additionnel.
Interopérabilité ou mise à disposition de certificats bancaires dans les cartes SIM ? Différents modes
opératoires et modèles financiers sont envisageables, mais les deux secteurs devront trouver des modes de
partenariat de façon à favoriser l‟usage des certificats.
8.13.3
Les secteurs porteurs
Cinq années après la mise en œuvre de certificats, les grandes tendances commencent à se dessiner.
Considéré comme un portail, l‟eBanking donnera accès à une gamme de services sécurisés :
dématérialisation des titres scripturaux, - en remplacement des chèques, TIPs, virements et mandats transactions non plafonnées de valeurs mobilières …. Des opérations en ligne qui justifient une
authentification forte et constituent le plus fort potentiel en termes de marché pour des infrastructures à
base de certificats.
Millions (€)
Total banques
Achat en ligne
Crédit Consommation
Jeux en ligne
Location de véhicules
Notaires
Recommandés
Assurances
Vote électronique Sociétés
cotées
Travail temporaire
Total consolidé
Y5
429
25
283
32
2
15
110
186
2
15
1 099
Le crédit à la consommation, et ses produits dérivés comme l‟assurance crédit, apparaissent également
comme des secteurs majeurs - parce que l‟offre est packagée, tirée par la croissance de la vente sur internet
- et qu‟elle ne nécessite pas de conseillers. Ainsi le paiement différé, ou en trois versements, connaîtra-t-il
une forte éclosion, une fois les juristes acquis à la prise de contrat en ligne, opération qui pourra s‟effectuer
en quelques clics. Atteignant un revenu de près de 300 millions en Année 5, tous établissements
confondus, qu‟il s‟agisse de financements de biens ou non, ce montant représente environ 3% d‟un total
d‟encours évalué à plus de 15 milliards.
335
Service OnAir, Joint Venture Airbus SITA
114/ 133
_________________________________________________________________________________________________________________
La banque constitue
le poids lourd des
infrastructures
à
base de certificats.
En parallèle du
eBanking,
qui
permet d‟accéder
aux comptes de
façon
sécurisée,
c‟est
la
dématérialisation
des
titres
scripturaux
qui
représente le plus
gros marché.
Un
domaine
connexe
à
la
banque, comme le
crédit
à
la
consommation,
constitue également
un
potentiel
important, vu les
difficultés
de
souscrire un contrat
en ligne.
Million (€)
Revenus
Banques de réseau
Authent forte banque de réseau
Contractualisation banque réseau
Banque en ligne
Enrôlement banque en ligne
Authent. Forte banque en ligne
Contractualisation banque en ligne
Toutes banques
Titres scripturaux
Total banques
Achats en ligne
Débit bancaire
Non répudiation
Total achats en ligne
Crédit consommation B2C
B2BC
Revolving
Total crédit
Jeux en ligne
Enrôlement
Accès compte bancaire
Total jeux en ligne
Location véhicules
Signature contrats
Notaires
Espace sécurisé
Communication pièces
Total notaires
Poste
Recommandés émission
Recommandés réception
Total recommandés
Assurances
Reconduction contrats
Souscription nouveaux contrats
Assurances vie
Assurance emprunt B2C
Assurance emprunt B2BC
Total assurances
Vote électronique
Sociétés cotées
Travail temporaire
Prise de contrat
Total
Y1
Y2
Y3
Y4
Y5
4
6
4
2
2
30
47
2
0
2
8
15
1
24
4
1
5
2
12
0
12
6
6
11
3
1
7
4
8
22
2
13
140
7
11
4
4
4
66
95
4
1
5
15
38
2
55
4
2
6
2
13
0
13
12
12
24
6
2
7
8
19
42
2
13
256
12
19
4
8
6
114
163
7
1
8
26
67
4
97
7
3
11
2
13
0
14
21
21
41
10
4
7
13
34
69
2
14
419
21
33
4
14
11
182
265
12
2
14
45
115
6
166
12
6
18
2
14
0
14
34
34
68
17
7
8
22
58
112
2
14
675
36
58
5
24
19
287
429
21
4
25
75
198
10
283
21
10
32
2
15
0
15
55
55
110
29
12
8
38
99
186
2
15
1 099
Les services publics sont absents de ce palmarès, l‟État n‟envisageant pas de procéder à une
authentification forte pour ses services en ligne336, et encore moins de rémunérer un prestataire (IDP) qui
confirmerait l‟identité. C‟est véritablement le domaine du régalien, où la CNIe acquiert toute sa légitimité.
Quoique, par application de l‟ordonnance de 2005, l‟administration électronique devra accepter tous les
outils répondant au RGI et au RGS, et pas seulement la CNIe.
Les assurances sont essentiellement « tirées » par des produits packagés, comme la couverture de crédit, les
contrats traditionnels étant majoritairement souscrits par des conseillers en agence. Mais, vu la guerre des
prix, on ne peut négliger, à moyen terme, l‟essor de la souscription en ligne pour des contrats standards de
type assurance auto ou MRH.
Remarquons également quelques secteurs porteurs comme la lettre recommandée électronique, qui
représentera en année 6 le CA actuel de la Poste pour cette activité. On anticipe que de multiples acteurs
vont se positionner sur des offres différenciantes : authentification des parties, horodatage, archivage des
envois, transmission mixte électronique / papier, etc…
Les quelques secteurs, qui totalisent moins de 100 M€ méritent une attention particulière. Tirés par une
dynamique de l‟offre, ils risquent de susciter de nouveaux comportements - achats, jeux, … - peut-être
différents de ceux observés aujourd‟hui et connaître des taux de croissance plus conséquents que ceux
proposés dans nos tableaux.
La DGME, sur la base du RGS, conduit une analyse de risques de façon à déterminer le niveau de sécurité requis par les services de l’Etat,
notamment identifier eux qui nécessiteraient la mise en œuvre de mécanismes d'authentification forte.
336
115/ 133
_________________________________________________________________________________________________________________
8.13.4
Quelques scénarios extrêmes
Les chiffres tentent de coller au mieux à la réalité du marché ; nos hypothèses ne se veulent ni
avantageuses, ni pessimistes dans la mesure où beaucoup de services sont murs mais souffrent aujourd‟hui
d‟une faiblesse de l‟identité en ligne.
Cette position médiane tient au fait que nous avons, à chaque fois, pondéré notre population d‟adeptes par
des taux qui se veulent refléter la prudence des internautes. Même si le certificat de CNIe est activé lors de
la délivrance du titre en mairie, l‟internaute ne l‟utilisera pas systématiquement, d‟autant plus que les
services en ligne n‟auront pas nécessairement modifié leurs modalités d‟accès en conséquence. De façon à
étayer ce scénario « médian », il peut être représentatif de moduler quelques paramètres et évaluer leurs
impacts.
Un scénario pessimiste consisterait à simplement baisser le taux de croissance envisagé des certificats. En
effet, partant d‟un pourcentage d‟adhésion particulièrement faible en première année (25% d‟activation
pour la CNIe, 2,5% de certificats IDéNUM), nous anticipons une campagne promotionnelle
particulièrement dynamique. D‟où une croissance ambitieuse, qui permet de totaliser 36 millions de
certificats en Année 5.
Scénario pessimiste
Le scénario pessimiste proposé conserve les pourcentages d‟usagers pour chaque marché identifié, mais se
base sur un taux de croissance très faible (1,1). Dans ce contexte, les certificats ne convainquent pas et le
marché reste quasiment atone entre l‟Année 1 et l‟Année 5. A peine 10 millions de certificats délivrés en
cinq ans. Même les opérateurs téléphoniques n‟ont pas su doper ce secteur prometteur, avec 2 millions de
certificats alors que le parc des smartphones et tablettes totalise prés de vingt millions d‟unités !
Dans ce scénario pessimiste, les
opérateurs ne parviennent pas à
convaincre les usagers de l‟intérêt
des certificats.
Année
Nombre de certificats
Revenus (€)
Y1
4
140
Y2
5
181
Y3
7
219
Y4
9
258
Y5
10
298
Tout juste 10 millions de certificats sont délivrés en cinq ans ; donc des revenus potentiels qui ne
dépassent pas les 300 millions à cette échéance.
Scénario optimiste
Le scénario optimiste utilise les mêmes bases : même population cible en première année. Par contre,
anticipons une politique volontariste des banques visant à encourager l‟usage de certificats en échange de
frais de gestion et de tenue de compte réduits et d‟un eBanking plus riche. Dans ce contexte, l‟internaute
se montre motivé ; aussi le taux d‟usage des certificats pour chacun des secteurs clés devient-il conséquent
(banque en ligne, 70% ; dématérialisation des titres scripturaux, 60% ; acheteurs en ligne optant pour le
débit bancaire, 30% ; crédits B2C, 50% ; crédits B2B2C, 70% ; joueurs en ligne, 40% ; contrats
d‟assurance, 20%, etc…).
Grâce à un fort taux d‟adhésion des internautes, les montants confirment que certains secteurs clés,
comme la finance, pourraient se positionnent comme des acteurs volontaristes aidant au succès des
certificats. Des gains de productivité conséquents seraient observés auprès de leurs services, tout en
générant de nouveaux revenus en tant que fournisseurs d‟identité auprès de secteurs non-financiers.
Bien que le volume de certificats en
Année 1 soit identique à celui de
notre hypothèse médiane, c‟est le
taux d‟adhésion aux services qui
permet de dynamiser ce marché.
An
Nombre de certificats
Revenus (€)
Y1
4
199
Y2
8
356
Y3
14
578
Y4
23
920
Y5
36
1 484
Dans ce contexte « optimiste », le revenu potentiel pour les certificats atteint le milliard dès l‟Année 4 et
croit de 50% par an.
116/ 133
_________________________________________________________________________________________________________________
Dynamique de l’offre vs substitution
Le tableau ci-dessus permet de distinguer les offres de substitution de celles qui vont dynamiser le marché.
La première constituant l‟équivalent dématérialisé des procédures opérées dans le monde réel. Dans ce cas,
le recours aux certificats vise un gain de productivité, pas nécessairement des fonctions nouvelles ou une
croissance du marché. Beaucoup de secteurs s‟apparentent à cette catégorie ; pas question de revenus
supplémentaires, par contre, de substantielles économies qui justifient l‟implémentation de solutions
sécurisées. C‟est le cas des notaires ; on ne signera pas plus d‟actes authentiques, une fois créés des espaces
d‟échanges avec les particuliers.
117/ 133
_________________________________________________________________________________________________________________
Par contre, le couplage du web aux certificats contribuera à dynamiser des marchés aujourd‟hui handicapés
par l‟absence de solutions d‟authentification forte. C‟est le cas de secteurs suivants : courriers à valeur
probante, jeux en ligne, crédit B2B2C, banque en ligne, virements …. des activités qui seront portées par
l‟activation de certificats. Concernant le crédit attaché à un bien, rappelons que les attentes des financeurs
sont de 40 fois le montant des encours actuels337.
8.14
Les leviers de l’authentification forte
La CNIe, qui n‟a pas de connotation sectorielle, est considérée positivement par l‟ensemble des acteurs.
Annoncée à maintes reprises, elle satisfait des domaines très variés, soucieux d‟identifier de façon sure les
internautes. Activé par code PIN, le certificat d‟authentification permettra de se connecter aux services du
secteur privé et de l‟État.
La banque constitue l‟un des acteurs privilégiés de l‟authentification forte, pas tant pour l‟accès aux
comptes que par la possibilité de rebondir sur des activités connexes comme les virements dématérialisés,
le crédit ou les achats en ligne. Un éco-système de plusieurs centaines de millions d‟euros pour les
opérateurs de certificats, qui représente 50% du potentiel adressable. Un marché « domestique »
conséquent qui devrait inciter les banques à proposer rapidement des applications pilotes. Comme les
offres de crédit en ligne constituent également un puissant moteur de ce marché, il devrait être possible de
déterminer des synergies entre comptes bancaires et demandes de financement.
L‟économie numérique attend son acteur lourd de l‟authentification forte pouvant rapidement dynamiser
le marché. Pas question ici d‟une situation de type « d‟œuf et poule » dans la mesure où de nombreuses
applications proposent déjà des services en ligne « à minima » faute d‟identité intersectorielle qui permette
de sécuriser les transactions : eBanking, eAssurance, médecine, téléprocédures…… qu‟il s‟agisse de gains
de productivité ou de conquête de marchés.
.
Les pages précédentes confirment un point fondamental : les multiples offres de service disponibles sur le
web connaissent une phase de stagnation faute d‟outils d‟authentification : le eBanking est à peine plus
évolué qu‟un service Minitel, alors que le détenteur de compte devrait être en mesure de dématérialiser ses
paiements ou effectuer des virements depuis son PC ; le crédit attaché à un bien (B2B2C) – maintes fois
mentionné – constitue le parent pauvre des financeurs, alors les achats en ligne croissent de 40% l‟an.
Banques, crédits et paiement en ligne doivent être considérés comme un écosystème privilégié, un marché
« intérieur », pouvant justifier le déploiement d‟infrastructures à clés publiques dans la mesure où les
mêmes acteurs sont impliqués. Autre point essentiel, la banque se situe à la convergence d‟activités privées
et professionnelles ; dans un cas, l‟internaute agit en tant que personne morale pour des mouvements de
trésorerie, dans l‟autre, c‟est un individu privé qui opère pour ses besoins propres. Mais quelque soit le
contexte, l‟authentification et la traçabilité de ses actions doivent pouvoir être réalisées par un outil
d‟authentification forte, qui peut être identique, considérant que sa fonction de mandataire social est un
attribut de son identité.
Une question se pose, qui est l‟usager type de l‟authentification forte ? A la lecture des histogrammes cidessus, la forte concentration d‟activités autour de la banque privilégie un internaute soucieux d‟optimiser
la gestion de ses comptes. Qu‟il procède à des virements, contracte un emprunt pour des facilités de
trésorerie ou acquiert des biens ou services, c‟est un actif du web mais aujourd‟hui limité dans ses
opérations en ligne. Pas de virement sans déclarer au préalable le destinataire, ni de contrats sans courriers
recommandés.
Partant du fait que 71% des internautes se connectent régulièrement à leurs comptes bancaires (Etude
CREDOC), le déploiement d‟une infrastructure à clés publiques autour de cet écosystème, mais avec une
vocation intersectorielle, devrait permettre de facilement rebondir sur des secteurs connexes : contrats
d‟assurances, courriers recommandés à valeur probante….
Un marché d’environ 60-80 millions qui devrait dépasser les 8 milliards, si une solution d’authentification forte permet d’authentifier le demandeur et
constituer un dossier de preuves en cas de litige.
337
118/ 133
_________________________________________________________________________________________________________________
Bien que le secteur bancaire constitue une cible privilégiée, on anticipe un positionnement majeur des
acteurs de téléphonie mobile, vu l‟essor des tablettes, pour des accès sécurisés en ligne. En effet, l‟iPad et
ses clones disposeront prochainement de certificats pour procéder à toutes opérations accessibles par PC
aujourd‟hui. Certains opérateurs sont ouverts à ouvrir leur carte SIM à des secteurs tiers, une piste à
explorer sachant que les applications connexes à la banque pèsent plus de la moitié de l‟authentification
forte. Restent à préciser les modèles de revenus entre parties.
8.15
Usages privés, usages professionnels
La perspective pour les certificats d‟un marché avoisinant le milliard à cinq ans se base exclusivement sur
des usages privés ; l‟internaute se connectant en ligne pour ses besoins propres et ceux de sa famille mais
sans intégrer son contexte professionnel. Une orientation délibérée qui fait l‟impasse sur un potentiel
considérable mais nécessiterait une étude à part entière. Quels sont les besoins de dirigeants de PME – et
même des grandes structures - vis-à-vis de services en ligne ? eBanking ? Gestion de trésorerie ?
Virements aux fournisseurs ? Emission de factures à horodatage probant ? Réponse à des appels d‟offres ?
Ces interrogations pourraient également être étendues à toute activité professionnelle – secteur public et
privé -, les signataires autorisés pouvant utiliser des certificats « individuels » tout autant que des certificats
d‟entreprises attachés à leur fonction. Le parapheur électronique devenant aujourd‟hui d‟un usage courant.
Nous sommes à la fois dans un contexte d‟intranet – recueil de signatures habilitées – et d‟activités vis-àvis du monde extérieur : banques, fournisseurs, clients…. qui nécessitent de clarifier son « business
model ». Mais on peut anticiper que les relations avec les banques constitueront également l‟un des leviers
majeurs. A titre d‟exemple, 9/10 des titres scripturaux totalisés par la Banque de France sont générés par
des entreprises ; d‟où un potentiel très significatif en termes de dématérialisation sachant que les virements
électroniques constitueront déjà l‟un des vecteurs de succès des certificats auprès des particuliers.
Le marché des certificats « individuels » en entreprise devra faire l‟objet d‟une étude spécifique, les besoins
différant fondamentalement de ceux des particuliers. Ici, point de prêts à la consommation, d‟assurances
packagées ou de banque en ligne… les relations avec les fournisseurs privilégiant le face à face et la
négociation. Par contre, de tout autres besoins : courriers recommandés – en émission et réception – et,
surtout, de multiples relations avec les administrations, mais qui n‟exigent pas de procédures
d‟authentification forte. Un marché très différent de celui des particuliers mais qui risque de quasiment
doubler son potentiel en termes de revenus, vu les besoins important vis-à-vis d‟un eBanking sécurisé.
119/ 133
_________________________________________________________________________________________________________________
9
NORMES ET STANDARDS :
9.1
Directive et normes sur la signature électronique
La Directive 99/93 du Parlement Européen et du Conseil du 13 décembre 1999 définit le cadre
communautaire pour les signatures électroniques. Rappelé dans l‟article 1er, son objectif est de : «… faciliter
l’utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre pour les
signatures et certains services de certification afin de garantir le bon fonctionnement du marché intérieur ». De plus « Elle ne
couvre pas les aspects liés à la conclusion et à la validité des contrats ou d’autres obligations légales lorsque des exigences
d’ordre formel sont prescrites par la législation nationale ou communautaire ; elle ne porte pas non plus atteinte aux règles et
limites régissant l’utilisation de documents, qui figurent dans la législation nationale ou communautaire. »
9.1.1
Transposition française338
La Directive 99/93 a été transposée dans la législation française en plusieurs étapes, notamment par les
textes suivants :
- la loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de
l‟information et relative à la signature électronique,
- la loi n°2004-575 du 21 juin 2004 pour la confiance dans l‟économie numérique, notamment son article
33 qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant
des certificats électroniques qualifiés,
- la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l‟égard des
traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à
l‟informatique, aux fichiers et aux libertés, qui transpose, dans son article 5 l‟article 8 de la Directive, relatif
à la protection des données (nouvel article 33 dans la loi du 6 janvier 1978 modifiée),
- le décret n°2001-272 du 30 mars 2001, pris pour l‟application de l‟article 1316-4 du code civil et relatif à
la signature électronique, modifié par le décret n°2002-535 du 18 avril 2002,
- le décret n°2002-535 du 18 avril 2002 relatif à l‟évaluation et à la certification de la sécurité offerte par les
produits et les systèmes des technologies de l‟information,
- l‟arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de
certification électronique et à l‟accréditation des organismes qui procèdent à leur évaluation.
9.1.2
Spécifications techniques339
Le document CWA 14169, publié par le CEN, précise les profils de protection (présentés respectivement
dans les annexes A, B et C) correspondant à trois types de dispositifs de création de signature
électronique :
 - PP SSCD type 1 : l‟annexe A correspond au dispositif qui génère les données de création et de vérification
de signature électronique,
 - PP SSCD type 2 : l‟annexe B correspond au dispositif qui crée la signature électronique à partir des
données de création et des données à signer,
 - PP SSCD type 3 : l‟annexe C regroupe les deux fonctions précédentes : générer les données de création et
de vérification de signature électronique et ainsi créer une signature à partir des données de création de
signature et des données à signer.
Lorsque les données de création et de vérification de signature électronique sont générées par le prestataire
du service de certification, le module cryptographique doit être évalué et certifié. La spécification
technique CWA 14167-3 peut être utilisée à cet effet.
Des profils ou cibles de protection, autres que ceux définis sous l‟égide de l‟EESSI, peuvent être utilisés, à
condition qu‟ils couvrent les exigences de la Directive et du décret. En vue de l‟attribution du certificat de
conformité, ils doivent être acceptés au préalable par l‟ANSSI ou un organisme désigné à cet effet par un
État membre de la Communauté européenne.
Secrétariat général de la défense nationale. Direction centrale de la sécurité des systèmes d’information. Sous-direction des opérations. Bureau conseil
Signature électronique. Point de situation. MEMENTO. Version 0.94. 25.08.04
339 Idem
338
120/ 133
_________________________________________________________________________________________________________________
9.1.3
Evaluation et certification
Pour bénéficier de la présomption de fiabilité du procédé de signature électronique, il est nécessaire, entre
autres, que le dispositif de création de signature soit certifié. L‟article 3.II du décret 2001-272 du 30 mars
2001 en précise les conditions conformément aux exigences de l‟article 3.I en ces termes :
« Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences
définies au I :
 1° Soit par le Premier ministre, dans les conditions prévues par le décret n°2002-535 du 18 avril 2002 relatif à
l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.
La délivrance du certificat est rendue publique ;
 2° Soit par un organisme désigné à cet effet par un État membre de la Communauté européenne. »
Le décret n°2002-535 du 18 avril 2002, relatif au schéma d'évaluation et de certification, a renforcé les
bases juridiques des modalités de certification qui reposaient jusqu'ici sur un avis du Premier ministre de
1995. Il complète également le décret de signature électronique du 30 mars 2001, en fixant les règles de
certification des produits de sécurité et notamment des dispositifs de création de signature.
En se plaçant dans le cadre du décret 2002-535, l‟évaluation du dispositif à certifier doit avoir lieu dans un
centre agréé par l‟ANSSI. Ces établissements réalisent des évaluations suivant des critères normalisés : les
ITSEC (de moins en moins utilisés) ou la norme IS 15408 (aussi appelée "Critères Communs" (CC)).
L‟évaluation permet de certifier la conformité d‟un dispositif à une cible de sécurité qui peut être
conforme à un profil de protection.
L‟évaluation, préalable à la délivrance d‟un certificat de conformité au décret, doit s‟appuyer sur une cible
de sécurité qui couvre complètement les exigences du décret 2001-272 (article 3.I) et dont le niveau
d‟assurance est acceptable en fonction de l‟environnement choisi.
Pour couvrir les exigences de l‟article 3.I du décret énoncées plus haut (Définition), un dispositif sécurisé
de création de signature électronique complet doit assurer au minimum les fonctions suivantes:
 La génération des données de création (clé secrète) et de vérification (clé publique) de signature
électronique,
 La création de la signature électronique.
Chacune de ces fonctions peut être réalisée par un module distinct et faire l‟objet d‟un certificat de
conformité. Les produits évalués en vue d‟une attribution d‟un certificat de conformité au décret devront
par ailleurs être soumis à une analyse des mécanismes cryptographiques qu‟ils utilisent. Cette analyse est
réalisée par l‟ANSSI.
L‟attribution du certificat de conformité pour le dispositif sécurisé de création de signature électronique
fait l‟objet d‟une procédure spécifique du schéma français de certification : SIGP- 01 Certification de
conformité des dispositifs de création de signature électronique.doc
9.1.4
Publications des normes
La Commission Européenne, après avis du Comité article 9 mis en place par la Directive, a publié dans
une décision en date du 14 juillet 2003 des références de normes s‟appliquant d‟une part aux dispositifs de
création de signature électronique et, d‟autre part, aux modules cryptographiques utilisés par les
prestataires de service de certification.
Un produit évalué et certifié conforme à une norme référencée dans la décision de la Commission sera
alors présumé conforme aux exigences de la Directive et du décret correspondant :
 L‟annexe III de la Directive et l‟article 3.I du décret 2001-272 pour le dispositif de création de signature
électronique : référencement du CWA 14169,
 L‟annexe II.f de la Directive et l‟article 6.II.g du décret 2001-272 pour le module cryptographique utilisé par
le prestataire de service de certification : référencement des CWA 14167-1 et 1467-2.
121/ 133
_________________________________________________________________________________________________________________
9.2
Plan d'action en faveur de l'utilisation des signatures électroniques dans le marché
unique340
Le 28 novembre 2008, la Commission Européenne proposait un Plan d'action en faveur de l'utilisation des
signatures et de l'identification électronique pour faciliter la fourniture de services publics transfrontaliers.
Ill s‟inscrit dans le cadre de la stratégie de Lisbonne, par lequel l'UE s'engage à améliorer l'environnement
juridique et administratif ; administrations, entreprises et citoyens devant pouvoir communiquer en ligne.
Une première étape a été franchie grâce à la Directive sur les signatures électroniques (99/93) qui établit
leur reconnaissance juridique et définit le cadre visant à promouvoir leur interopérabilité. Depuis sa
publication, plusieurs initiatives relatives au marché intérieur prévoient que les entreprises puissent utiliser
des moyens électroniques pour communiquer avec les organismes publics, exercer leurs droits et mener
des activités commerciales à l'étranger.
Maintenant, la Directive Services oblige les états à faciliter les procédures et formalités pour des
prestataires situés à distance, notamment leur identification transfrontalière et l'authentification des
données communiquées en ligne.
L'objectif du Plan d‟action décidé en Novembre 2008 est donc d‟instituer un cadre global
d'interopérabilité des systèmes de signature et d'identification électroniques pour simplifier les
communications transfrontalières entre citoyens et entreprises.
Ce plan d‟action vise à corriger les faiblesses de la Directive de 1999, notamment l'interopérabilité et la
reconnaissance d‟une identité électronique transfrontière ; deux points qui limitent leur utilisation entre
pays341. Les États Membres ayant reconnu l'importance de systèmes identitaires interopérables et s‟étant
engagés à qu‟entreprises et particuliers puissent bénéficier de moyens électroniques aux niveaux local,
régional ou national et conformes à la réglementation sur la protection des données, pour s'identifier
auprès des services publics de leur pays ou d‟un autre état membre.
La Commission entend s‟impliquer dans la mise en œuvre de ce plan d'action, en étroite collaboration avec
les états membres de façon à garantir la cohérence des mesures, l‟harmonie règlementaire et la conduite de
projets pilotes. Des actions qui s‟inscrivent dans le suivi du réexamen du marché unique. Les états
membres ont donc été invités à fournir à la Commission toute information utile en vue d'assurer
l'interopérabilité transfrontalière.
9.3
9.3.1
Révision de la norme
Le contexte
Le 22 décembre 2009, la Direction Générale Entreprises et Industrie, Politique de l'innovation Industries
TIC pour la compétitivité et l'innovation de la Commission Européenne a confié le mandat (M460) sur les
signatures électroniques342aux organismes Européens de normalisation (CEN, CENELEC et ETSI). Le
propos de ce mandat est de réactualiser le contenu de la Directive 1999/93/CE, de façon à clarifier le
cadre juridique de la signature électronique pour les fournisseurs de services de certification au sein du
marché intérieur.
L'état actuel de la normalisation européenne sur la signature électronique provient de l'EESSI, le "European
Electronic Signature Standardization Initiative", cadre institutionnel destiné à coordonner les organismes
européens de normalisation CEN et ETSI suite à deux précédents mandats attribués par la Commission.
340 Communication de la Commission au Conseil, au Parlement européen, Comité économique et social européen et au Comité des régions - Plan
d'action en faveur de l'utilisation des signatures électroniques et de l'identification électronique pour faciliter la fourniture de services publics
transfrontaliers dans le marché unique /* COM/2008/0798 final */
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0798:FIN:FR:HTML
341 À cet égard, le plan d'action i2010 pour l'e-gouvernement, adopté par la Commission européenne le 25 avril 2006, considère que les systèmes
interopérables de gestion de l'identification électronique (e-ID) figurent parmi les éléments clés de l'accès aux services publics
342 http://ec.europa.eu/information_society/policy/esignature/docs/standardisation/mandate/m460_fr.pdf
122/ 133
_________________________________________________________________________________________________________________
Grâce à la Décision de la Commission 2003/511/EC, des normes pour les produits de signature
électronique ont déjà été publiées, conformément à l'article 3 paragraphe 5 de la Directive. Cependant,
suite à des problèmes de reconnaissance mutuelle et d'interopérabilité transfrontalière, la Commission a
fait connaitre son intention de résoudre les freins juridiques et techniques constatés par de nouveaux
travaux de normalisation. Le Plan d‟Action adopté en 2008 vise ainsi les actions suivantes :
.
9.3.2
mettre à jour ou élargir le champ d‟application de la Décision de la Commission
2003/511/CE343
établir une liste des prestataires de services de certification qualifiée,
fournir des orientations et instructions pour la mise œuvre de signatures électroniques
interopérables.
L'historique des travaux de normalisation
Les activités de l'EESSI ont été initiées en 1999, sous la tutelle du CEN et de l'ETSI, conduisant à la
production de CEN Workshop Agreements (CWA) et de TS (Spécifications Techniques)344 sur une série
de sujets relatifs à la signature électronique. Ces travaux ont été clôturés en octobre 2004, après leur
publication.
La table cicontre précise
le statut des
livrables
de
normalisation
européens sur
la
signature
électronique.
Le
Mandat
M460 vise à
identifier les
manques
et
proposer des
actions
correctives
dans le cadre
de la Directive
Services.
Ces rapports portent sur une série de produits matériels et logiciels, voire certaines composantes, ainsi
que les services délivrés par les prestataires de certification : émission et gestion de certificats, répertoires,
validation de signature, horodatage, archivage (à long terme).
Outre la normalisation européenne, le Plan d‟Action vise à intégrer les normes internationales traitant de la
signature électronique, dont la plupart n'ont pas changé depuis que l'EESSI a débuté ses travaux,
notamment les activités de l‟ISO345. Enfin, plusieurs états membres ont développé leur cadre national de
normalisation ; un élément à prendre en compte dans le cadre de ces travaux.
2003/511/CE: Décision de la Commission du 14 juillet 2003 relative à la publication des numéros de référence de normes généralement admises
pour les produits de signatures électroniques conformément à la directive 1999/93/CE du Parlement européen et du Conseil (Texte présentant de
l'intérêt pour l'EEE) [notifiée sous le numéro C(2003) 2439]
344 Les spécifications techniques d'ETSI (TS) sont normatives et les rapports techniques d'ETSI (TR) sont informatifs.
345 Une liaison formelle a été établie entre l'ETSI et l'ISO pour des activités concernant la signature électronique. Le premier objectif de la liaison a été
d'établir la signature avancée par PDF comme profil d'une TS de l'ETSI qui a abouti à TS 102 778 partie. Les TS 102 778 parties 3 à 5 ont été
soumis à ISO comme améliorations recommandées par l'ETSI aux formats de signature PDF dans les normes ultérieures d'ISO 32000. Toutes les
343
123/ 133
_________________________________________________________________________________________________________________
Le schéma ci-dessous précise le cadre actuel de normalisation de la signature électronique et des services
346
associés :




9.3.3
Fourniture des services de certification livrant des certificats qualifiés et non- qualifiés
Secure Signature Creation Devices (SSCD)
Produits relatifs à la création et/ou à la vérification des signatures électroniques
Fourniture de certification/services autres que la délivrance de certificats:
o Services de support à la signature électronique: horodatage, production et validation de signatures,
services d'archivage (à long terme)
o Services utilisant la signature électronique: courriers recommandés et autres services à identifier
La description du mandat
Confié à une structure bi-polaire CEN/ETSI, le mandat de la Commission porte tout d‟abord sur une
analyse critique de la littérature relative aux travaux de normalisation sur la signature électronique à
l'échelle européenne et mondiale. Ainsi, les tâches suivantes seront-elles effectuées dans une première
étape:
Inventaire des normes sur la signature électronique : par pays, au niveau européen et pour le
reste du monde
Définition d‟une classification appropriée
 Identification du champ d'application des normes sélectionnées
Analyse des lacunes en normalisation pour des améliorations futures;
parties de TS 102 778 peuvent être actuellement utilisées conjointement avec ISO 32000-1 utilisant le mécanisme d'extensions de PDF même avant
qu'elles soient incluses directement dans la norme ISO 32000-2.
346 http://ec.europa.eu/information_society/policy/esignature/docs/standardisation/mandate/m460_fr.pdf
124/ 133
_________________________________________________________________________________________________________________
dentification des actions à conduire pour des améliorations à court terme
Mise à jour de certains CWA : CWA 14169:2004, CWA 14167-1:2003, CWA 14167-2:2004 et
CWA 14167-4:2004.
La seconde étape comprend les tâches suivantes:
Définir un cadre européen de normalisation des signatures électroniques et d‟instruments
juridiques appropriés.
Analyser la série de normes connexes (mise en correspondance des exigences de la Directive
Signature électronique et des autres instruments juridiques applicables);
Proposer des orientations et instructions pour l'interopérabilité transfrontalière par des normes
appropriées.
Proposer des orientations sur la vérification de la conformité des produits, systèmes ou services
qui mettent en œuvre les normes.
9.3.4
Modus operandi
Les instituts de normalisation sont actuellement en train de définir un mécanisme de coopération qui
inclut les acteurs économiques de façon à parvenir rapidement à un consensus d‟usagers ; la Commission
ayant recommandé une consultation très large de façon à parvenir rapidement à des normes européennes
(EN).
Des CWA (CEN Workshop Agreement) ou TS (Technical Specifications) sont également envisagés mais
la Commission leur préfère un statut "EN" de façon à refléter un large consensus d‟États Membres. Est
également recommandée, une coopération internationale avec des organismes tels que l'ISO/IEC et
l'UIT, ainsi qu'avec des institutions de l‟internet comme l'IETF, l'OASIS ou le W3C. L‟objectif étant de
répondre aux besoins du secteur économique, mais sans négliger la législation sur la protection des
données (Directive 95/46, 97 /66). Pour répondre à ces exigences, les CEN, CENELEC et ETSI ont
détaillé auprès de la Commission un programme de travail qui détaille l‟échelonnement des travaux sur les
48 prochains mois.
9.4 CEN / TC 224
Les travaux de révision sont conduits dans le cadre du Technical Committee CEN/TC224: Standards for
eBusiness and eGovernment. « Personal identification, electronic signature, cards and their related systems
and operations ». Ce TC a été créé en 1990 avec l‟objectif de développer des standards dans le domaine
des cartes et des technologies associées : interfaces utilisateurs, porte monnaies électroniques et autres
applications. Depuis 2005, le TC a intégré les signatures électroniques dans un contexte de eGovernment
de façon à garantir l‟interopérabilité des échanges commerciaux en Europe. Aujourd‟hui le TC 224
comprend les 6 groupes de travail ci-dessous347 :
347
http://docbox.etsi.org/Workshop/2011/201101_SECURITYWORKSHOP/S2_ELECTRONIC_SIGNATURES/LEGENDRE_CE
NTC224_standardsforeBusinessandeGovernment.pdf
125/ 133
_________________________________________________________________________________________________________________
Le WG15 (European Citizen Card) traite du cadre normatif de la Carte d‟Identité Européenne (European
Citizen Card), par les spécifications techniques suivantes :





TS 15480-1 ECC physical, electrical, and transport protocol characteristics (under revision)
TS 15480-2 ECC logical data structures and security services (under revision)
TS 15480-3 ECC interoperability using an application interface (under publication)
TS 15480-4 Recommendations for ECC insurance, operation and use (under progress)
Future part 5: Overview of ECC standard and implementation guidelines (under progress)
Sous l‟autorité de l‟Allemagne, le WG 16 (Smart cards used as Secure Signature Creation Device )
travaille sur deux projets de signatures électroniques
 EN 14890-1: Application Interface for smart cards used as Secure Signature Creation Devices - Part 1:
Basic services
 EN 14890-2: Application Interface for smart cards used as Secure Signature Creation Devices - Part 2:
Additional Services
C‟est dans ce cadre que sont traités les protocoles d‟authentification en ligne, sous forme d‟amendements à
l‟EN 14890-1/2 :




New algorithm e.g. AES (Advance Encryption Standards) for Secure Messaging
New formally and cryptographically proven password based authentication protocols
New formally proved privacy protocols e.g. for online Id management
Alignments related to Web services and cards
Le WG 17 traite des profils utilisateurs pour les signatures électroniques. Grâce au mandat M460 de la
Commission Européenne, les travaux du CWA (CEN Workshop Agreement) 14169 sur les profils de
protection vont maintenant faire l‟objet d‟une TS, Spécification Technique. De même pour les travaux du
CWA 14167 sur les systèmes de confiance de gestion de certificats pour des signatures électroniques.
Ce Mandat 460, qui porte sur une durée de 4 années, est actuellement le centre de gravité de l‟ensemble
des travaux sur la signature électronique en Europe. Le support de la Commission, et l‟engagement
d‟organismes de normalisation comme le CEN et l‟ETSI sont des gages de succès ; mais il est important
que les acteurs des services en ligne manifestent leur intérêt et leurs préoccupations.
9.5
Révision de la Directive Européenne sur le respect de la vie privée dans les transactions
électroniques
Annoncée pour l‟automne 2010, la révision des Directives européennes348 en matière de protection des
données à caractère personnel est reportée au deuxième semestre 2011. Annoncée le 2 août 2010 par
la CNIL, cette décision de la Commission, fait suite aux pressions exercées par la France et ses
homologues européens en faveur d‟un examen approfondi des textes fondateurs (99/93, 95/46).
La Directive européenne du 24 octobre 1995 constitue le socle commun aux pays de l‟Union européenne
en matière de protection des données à caractère personnel. Un texte qui consacre la liberté de circulation
des informations à l‟intérieur des États Membres en réduisant les divergences entre législations nationales.
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données
http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=fr&type_doc=Directive&an_doc=1995&nu_doc=46
Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des télécommunications
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31997L0066:FR:HTML
Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:FR:PDF
348
126/ 133
_________________________________________________________________________________________________________________
La Directive a été transposée en droit français par la loi du 6 août 2004 relative à la protection des
personnes physiques concernant les traitements de données à caractère personnel, réformant la loi du 6
janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Sa révision est prévue notamment pour
s‟adapter aux technologies du XXIème siècle, mieux encadrer les transferts internationaux de données
personnelles et réduire les divergences entre États-Membres dans sa mise en œuvre.
L‟article 29 de cette même Directive a institué un groupe de travail (nommé pour cette raison G29)
réunissant l‟ensemble des CNIL européennes. Ce groupe a pour mission de contribuer à l‟élaboration des
normes (adoption de recommandations) et de conseiller la Commission sur tout projet ayant une
incidence sur les droits et libertés des personnes physiques, notamment le traitement de données
personnelles.
9.5.1
PET, Privacy Enhancing Technologies 349
La Commission Européenne s‟est penchée sur la nécessité de proposer des règles et recommandations de
façon à prévenir l‟empiètement des technologies de l‟information sur la vie privée, notamment le vol
d'identité, les profils discriminatoire et la surveillance lors d‟accès sur internet.
Rappelant que l‟article 8 de la Charte des droits fondamentaux de l'Union européenne reconnaît le droit à
la protection des données à caractère personnel, la Commission s‟est dotée d‟outils juridiques, notamment
la Directive 95/46/CE relative à la protection des données, la Directive 2002/58/CE relative à la vie
privée et aux communications électroniques, ainsi que le règlement 45/2001 qui vise le traitement de
données à caractère personnel par les institutions et organes communautaires.
Ainsi l'Article 17 de la Directive 95/46 fait obligation de mettre en œuvre les mesures techniques et
d'organisation pour garantir un niveau de sécurité suffisant au regard des données et risques présentés par
leur traitement. Ainsi est-il recommandé de limiter le traitement des données à caractère personnel et
recourir autant que possible, à des identifiants anonymes ou à des pseudonymes.
C‟est dans ce contexte que la Commission a encouragé la mise en œuvre de dispositifs appelés
«technologies renforçant la protection de la vie privée» (PET), de façon à ce que les infractions aux règles
de protection des données comme les violations des droits des individus puissent être non seulement
interdites et passibles de sanctions, mais également techniquement plus compliquées.
Les technologies renforçant la protection de la vie privée (PET, Privacy Enhancing Technologies) ont fait
l'objet de débats dans les milieux scientifiques ; elles comprennent un ensemble de règles et dispositifs
cohérent qui protègent la vie privée en restreignant l‟usage des données à caractère personnel et en évitant
les traitements inutiles. Le recours à ces technologies réduit la collecte et l'utilisation de données à
caractère personnel et facilite le respect des règles en vigueur.
Il s'agit de mécanismes autonomes qui nécessitent une intervention des internautes, mais aussi d'outils
intégrés dans l'architecture des systèmes d'information tels que:
 L'anonymisation des données : Elle conforte le principe selon lequel elles doivent être conservées pendant
une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été
initialement collectées.
 Les procédés de cryptage : Ils empêchent le piratage lorsque les informations sont transmises sur internet.
 Les procédés anti-cookies : Ils étayent le principe selon lequel les données doivent être traitées loyalement
et licitement, les personnes concernées devant être informées du traitement en cours.
 Le recours à des plates-formes relatives à la protection de la vie privée (Platform for Privacy Preferences ou
P3P) : Elles permettent d'analyser les politiques de confidentialité des sites web.
Communication de la Commission au Parlement européen et au Conseil - Promouvoir la protection des données par les technologies renforçant la
protection de la vie privée /* COM/2007/0228 final */
349
127/ 133
_________________________________________________________________________________________________________________
9.5.2
Développement de technologies renforçant la protection de la vie privée
Dans sa communication relative à la stratégie pour une société de l'information sûre (COM(2006) 251 du
31 mai 2006), la Commission a invité les acteurs du secteur privé à « stimuler le déploiement de produits, de
processus et de services améliorant la sécurité pour empêcher et combattre le vol d'identité et d'autres atteintes à la vie privée ».
Le cadre juridique de protection des données prévoit des restrictions aux principes généraux lorsque des
intérêts publics majeurs sont en jeu, tels que la sécurité publique, la lutte contre la criminalité ou la santé
publique. Les conditions applicables à de telles restrictions sont énoncées à l'article 13 de la Directive
relative à la protection des données (95/46) et à l'article 15 de la Direction relative à la vie privée et aux
communications électroniques (97/66). Ainsi le recours à ces technologies ne doit pas empêcher
d'intervenir dans la lutte contre la cybercriminalité, le terrorisme ou la prévention de maladies infectieuses.
9.5.3
Action à entreprendre concernant le respect de la vie privée
La Commission recommande plusieurs objectifs de façon à renforcer la vie privée des internautes :
 Soutenir le développement de technologies renforçant la protection de la vie privée. En outre, des activités
de recherche et de développement devront être encouragées.
 Encourager les responsables du traitement des données à utiliser les technologies disponibles en matière de
renforcement de la vie privée. La participation des industriels en charge des équipements comme des
responsables du traitement des données est donc essentielle ; de même que la collaboration avec les
organismes de normalisation européens (CEN, CENELEC, ETSI) et internationaux.
Dans la mouvance de ces technologies renforçant la protection de la vie privée, les travaux de
normalisation les plus pertinents sont les suivants :




ISO/IEC CD 29101 Information technology -- Security techniques -- Privacy reference architecture
ISO/IEC FCD 29100 Information technology -- Security techniques -- Privacy framework
ISO/IEC CD 29101 Information technology -- Security techniques -- Privacy reference architecture
CEN Workshop on Data Protection and Privacy (WS/DPP) qui comprend les CWAs :
o CWA 15262:2005
Inventory of Data Protection Auditing Practices
o CWA 15263:2005
Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy
Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the
need for standardization
o CWA 15292:2005
Standard form contract to assist compliance with obligations imposed by article 17 of the Data
Protection Directive 95/46/EC (and implementation guide)
o CWA 15499-01:2006
Personal Data Protection Audit Framework (EU Directive EC 95/46)
Part I: Baseline Framework - The protection of Personal Data in the EU
o CWA 15499-02:2006
Personal Data Protection Audit Framework (EU Directive EC 95/46)
Part II: Checklists, questionnaires and templates for users of the framework - The protection
of Personal Data in the EU
 ISO/IEC CD 24760 Information Technology -- Security Techniques -- A Framework for Identity
Management
 ISO/IEC CD 29115 Information Technology -- Security techniques -- Entity authentication assurance
framework
 ISO/IEC WD 29146 Information Technology - Security techniques - A framework for access
management
128/ 133
_________________________________________________________________________________________________________________
9.6
Standards et architectures informatiques
9.6.1
Fédération d’identité
L'objectif du projet de Fédération d'Identités est double : déléguer l'authentification à un fournisseur
d‟identité (Identity Provider, IDP) et générer des requêtes d‟attributs, en fonction de la nécessité de
personnaliser les contenus.
La délégation de l'authentification utilise aujourd‟hui des techniques de Single Sign-On web (redirection,
cookies, …), mais non des certificats, un mécanisme qui pourrait être fort pertinent dans un contexte
d‟authentification forte, voire d‟une nécessité de constituer un dossier de traces des actions de l‟internaute.
Lors de la phase d'authentification, le prestataire de services (SP) prend connaissance du fournisseur
d‟identité (IDP) de l'utilisateur qui lui permettra, si nécessaire, d'obtenir des attributs complémentaires.
L‟internaute a la possibilité de définir, de façon différenciée, pour chaque SP, quelles données dévoiler,
sachant qu‟il n‟y a pas nécessairement d‟attributs génériques, mais contextuels, ainsi un critère de majorité
pour accéder à des jeux en ligne.
L‟intérêt majeur de la fédération d‟identité consiste à utiliser un login unique pour accéder à différents
services (SP). Le consortium Liberty Alliance (disparu au profit de la Kantara Initiative) a rédigé un
ensemble de spécifications et protocoles ouverts permettant de standardiser gestion et fédération
d'identités. Ces protocoles, articulés aujourd'hui autour de SAML 2.0, visent à mettre en place des "cercles
de confiance" au sein desquels l'utilisateur ne s'identifie qu'une seule fois (SSO) mais où sa vie privée est
scrupuleusement préservée.
Le fournisseur d'identité (IDP) est la pierre angulaire du cercle de confiance. C'est lui qui garantit l'identité
de l'utilisateur auprès de tous les fournisseurs de services faisant partie du même cercle de confiance. Les
échanges se font dans des conditions de sécurité et de confidentialité optimales en matière de signature et
de chiffrement. Point majeur, l‟absence d'identifiant unique entre fournisseurs de services préserve la vie
privée des internautes ; charge à eux de moduler la communication d‟attributs en fonction du type de
service et des modalités de contrôle d‟accès (majorité, sexe, etc.. )..
9.6.2
Liberty alliance
Liberty Alliance, appelé également Project Liberty à l‟origine, est une initiative d‟industriels visant la mise
en œuvre de protocoles de fédération d'identité et de communication entre services en ligne (SP, Service
Providers) ; des protocoles conçus aussi bien pour l‟accès aux informations de l‟entreprise qu‟à des
échanges interentreprises, voire vis-à-vis d‟entité tierces.
Initié en 2001, le consortium Liberty se proposait comme une alternative ouverte au projet Passport de
Microsoft, en définissant des standards visant à fédérer la gestion d'identités électroniques entre plusieurs
services ou systèmes. Depuis sa création, ce groupement a été rejoint par plusieurs centaines d'entreprises
(France Télécom, Vodafone, VeriSign, Mastercard, etc.).
L‟idée de base, c‟est l‟authentification unique, ou SSO, de façon à accéder à de multiples services (SP) par
un simple guichet. Si SAML a permis de gérer la requête d‟attributs entre IDP et SSP, les spécifications
actuelles reposent sur une base plus large de protocoles et de normes notamment dans la mouvance du
W3C tels que HTTP et SSL.
Les spécifications Liberty Alliance définissent trois types d'acteurs :


L'utilisateur, personne physique ou morale, détenteur d‟une identité.
Le fournisseur d'identité (IDP) qui crée et gère l'identité des utilisateurs et les authentifie ensuite
auprès des fournisseurs de services (SP).
129/ 133
_________________________________________________________________________________________________________________

Le fournisseur de services (SP) qui propose des offres en ligne aux utilisateurs une fois
authentifiés par un fournisseur d'identité350.
On appelle Cercle de Confiance un groupement de fournisseurs d'identités et de services qui se sont mis
d'accord pour mettre en commun l'identité de leurs utilisateurs.
Les modalités de fonctionnement sont les suivantes351 :






L'usager se connecte à un SP
Le SP le redirige vers son IDP
L'usager s'authentifie auprès de l‟IDP
L‟IDP communique au SP un attribut d'authentification (artifact) sous contrôle de l‟usager
Le SP fournit alors à l'usager le service demandé ;
Il accède ensuite aux services d'autres fournisseurs de services du même Cercle de Confiance sans
avoir besoin de se ré-authentifier
L‟authentification unique permet à l‟internaute d'accéder, une fois reconnu par un fournisseur d‟identité, à
des multiples fournisseurs ressortissant d‟un même « Cercle de Confiance ». Les protocoles de Liberty
Alliance précisent les modalités de transmission de multiples attributs, considérés comme « contextuels »,
en fonction de la connexion à un service, tout comme les mécanismes de préservation de sa privée.
Liberty Alliance, par son ambition de réunir dans un Cercle de Confiance « fournisseurs d‟identité » et
« prestataires de services », se définit comme une fédération d‟acteurs, dont l‟usager constitue un centre
décisionnel ; c‟est lui qui génère les requêtes de façon à minimiser la transmission de données et ne
communiquer que des informations essentielles. Par contre, notre usager doit être authentifié au préalable
par un fournisseur d'identité(IDP) reconnu par le fournisseur du service auquel il s‟adresse.
L‟intérêt de cette architecture fédérative, c‟est de distribuer des données entre services, quitte à les requérir
lors de la connexion à de nouveaux comptes. Chaque service partenaire exerce ainsi la gestion d‟une
politique de sécurité, indépendante.
Liberty Alliance permet de coupler les exigences d'une authentification forte avec le respect de la vie
privée, c'est la raison pour laquelle la Direction Générale de la Modernisation de l'État est membre du
consortium et encourage son utilisation au sein des administrations françaises.
9.6.3
OpenID
OpenID est un système d‟authentification décentralisé qui permet l‟authentification unique, ainsi que le
partage d‟attributs. L‟usager peut ainsi multiplier les identités, en s‟authentifiant auprès de divers sites,
mais, contrairement aux autres procédés, il utilise à chaque fois un identifiant unique intitulé « OpenID ».
Le modèle se base sur des liens de confiance établis entre opérateurs de services (SP) et fournisseurs
d‟identité (IDP).
Vu la popularité des sites sociaux, OpenID est très apprécié vu sa faculté de proposer un guichet unique
en privilégiant un fournisseur. Une initiative reprise par Yahoo, MySpace, DailyMotion et Facebook qui le
proposent aujourd‟hui à plusieurs centaines de millions d‟usagers ; depuis, quelques ténors de l‟internet
comme IBM, Microsoft, Google, Yahoo et Verisign ont rejoint son conseil d‟administration.
9.6.4
SAML 2.0
Normalisé, dans sa version 2.0, en mai 2005 par l'OASIS, SAML permet l'échange sécurisé d'informations
d'identités (authentification et autorisation). Ce protocole définit le format du message XML, appelé
assertion, ainsi qu'un ensemble de profils. Ces profils correspondent à des cas d'utilisation détaillés qui
décrivent la cinématique d'échange des messages, de même que les paramètres attendus et renvoyés.
350
351
http://www.entrouvert.com/fr/identite-numerique/liberty-alliance
Idem
130/ 133
_________________________________________________________________________________________________________________
Fonctionnement
SAML définit deux briques essentielles pour sécuriser les échanges352 :


Le SP (Service Provider), fournisseur de service, qui protège l'accès aux applications. Il refuse
tout accès sans authentification préalable et redirige l'utilisateur non authentifié vers son
fournisseur d'identité.
L'IDP (Identity Provider), fournisseur d'identité, s'occupe d'authentifier l'utilisateur ainsi que de
récupérer des informations additionnelles associées à son identité.
Ce mode de fonctionnement est suffisant pour une utilisation cantonnée à l'entreprise avec un annuaire
d‟identités centralisé. Dans le cadre d'une fédération entre plusieurs domaines d'identification, SAML
définit une troisième brique appelée le DS (Discovery Service) qui permet à l'utilisateur de sélectionner
manuellement son domaine parmi une liste.
Profils
Le profil le plus courant, appelé "Web Browser SSO", décrit, entre autres, les étapes d'authentification
d'un utilisateur et les allers-retours entre SP et IDP. L'utilisateur tente d'accéder à sa ressource protégée
par le SP. Le SP vérifie que l'utilisateur est authentifié et, s'il ne l'est pas, le redirige vers son IDP. L'IDP
demande à l'utilisateur de s'authentifier (identifiant et mot de passe par exemple) puis renvoie une
assertion SAML au SP contenant l'identité de l'utilisateur et la garantie qu'il est authentifié. Le SP autorise
alors l'utilisateur à accéder à la ressource initialement demandée.
Ce mécanisme d'authentification repose sur les redirections du navigateur internet. Ce profil permet aussi
de récupérer un ensemble d'attributs supplémentaires liés à l'identité de l'utilisateur et demandés par la
ressource.
Un second profil basé sur des artéfacts, permet de décorréler l'authentification de la récupération des
informations d'identité. Le SP reçoit de l'IDP, par le navigateur Internet de l'utilisateur, une assertion
SAML contentant un artefact. Le SP doit alors interroger directement l'IDP pour obtenir les informations
liées à l'identité de l'utilisateur. D'autres profils décrivent comment mettre en œuvre le DS, les notions de
logout et la possibilité de se passer du navigateur de l'utilisateur pour transmettre les assertions SAML
entre services.
Sécurité
Les assertions SAML sont basées sur les couches SOAP, XML Encryption et XML Signature. SOAP est
le protocole d'encapsulation standard des messages XML, utilisé principalement par les Web services.


XML Encryption est le protocole standard de chiffrement des messages XML. Il a la
particularité de pouvoir chiffrer la globalité du message ou simplement un sous-ensemble. Cela
permet d'avoir par exemple un document XML en clair avec des valeurs d'attributs chiffrées.
XML Signature est le protocole standard de signature des messages XML. Tout comme XML
Encryption il permet de cibler l'élément à signer. Cela permet à plusieurs intervenants de signer
chacun une partie différente du document XML.
Le SP et L'IDP sont deux entités qui ont connaissance chacune l'une de l'autre en termes d'identifiant et
de certificat. Les messages XML qui transitent sur le réseau sont donc chiffrés par la clé publique du
destinataire, seul capable de lire le message avec sa clé privée. L'émetteur signe ses assertions avec sa clé
privée permettant au destinataire de vérifier sa provenance.
Ce protocole, très sécurisé, remplit les fonctions de SSO au sein d'une entreprise et entre différents
domaines d'identification. Il devrait remplacer les logiciels propriétaires de Web SSO, beaucoup moins
sécurisés.
352
http://www.journaldunet.com/developpeur/xml/analyse/la-federation-d-identite-au-travers-de-saml.shtml
131/ 133
_________________________________________________________________________________________________________________
9.6.5
Microsoft Passport; Windows CardSpace
Connu sous l‟acronyme de Windows Live ID (anciennement .NET Passport), Microsoft Passport
Network était destiné à faciliter l'identification sur les sites Web grâce à une adresse unique de messagerie
et un mot de passe. Cette initiative n'a pas eu le succès escompté par Microsoft et certains sites web,
comme eBay, qui l'avaient adopté au départ, ont fini par l'abandonner. Par contre, Windows CardSpace,
sous le nom de code InfoCard, consiste en un système de gestion d'identités par authentification unique mis
en place par Microsoft pour son système d'exploitation Windows Vista.
9.6.6
InfoCard : nouveau système d'identification unifié
Initié par Microsoft, InfoCard vise à proposer un système unifié de façon à ce que les usagers puissent
accéder à de multiples services en ligne en s'identifiant une seule fois par un mécanisme simple de login /
password.
L‟initiative fait suite à Passport, lancé en 1999, un quasi échec puisqu'il a été boudé par la plupart des
développeurs ; les informations plus ou moins "confidentielles" étant gérées par Microsoft et non les
usagers et fournisseurs de services en ligne. D‟où un risque pour la vie privée des internautes.
Aujourd‟hui InfoCard se positionne comme un véritable standard de connexion sécurisée à des services en
ligne dans le cadre d‟un vaste « Métasystème » qui gère à la fois fournisseurs d‟identités et prestataires de
services en ligne. InfoCard stocke les multiples identités des usagers comme des cartes d‟accès de façon à
lutter contre les tentatives de fraudes comme le phishing. L‟usager dispose d‟une interface appelée UI
(User Interface) de façon à gérer ses relations avec divers fournisseurs de services (SP). Différentes
« Information Cards » sont à sa disposition pour gérer ses relations avec les services en ligne. Ces fameuses
cartes peuvent gérer jusqu‟à 14 attributs tels que le nom, l‟adresse,…..
CardSpace opère sur le Web Services Protocol Stack, un ensemble de protocoles XML dont WS-Security,
WS-Trust, WS-MetadataExchange et WS-SecurityPolicy. Donc une possibilité d‟intégrer toutes les
technologies compatibles avec WS.
Un fournisseur d‟identité qui propose des attributs met en œuvre un Security Token Service (STS) qui gère
les requêtes WS-Trust. Un des avantages de CardSpace, c‟est d‟être agnostique vis-à-vis de formats
d‟attributs ; c‟est pourquoi il ne se pose nullement comme rival vis-à-vis d‟architectures internet telles que
OpenID et SAML qui lui sont complémentaires. Ainsi les protocoles InfoCard peuvent être utilisés pour
accéder à des SP OpenID, des comptes Windows Live ID tour comme des IDP basés sur SAML.
Microsoft fournit CardSpace avec son .NET Framework 3.0, compatible avec Windows XP, Windows
Server 2003, Windows Vista, Windows 7. Mais il peut aussi être téléchargé gratuitement
9.6.7
WS*
Les Web Services ou WS se composent de multiples programmes visant la communication et l'échange de
données entre applications et systèmes hétérogènes dans des environnements distribués. Ils sont destinés à
faciliter les relations intra et inter-entreprises. Un concept précisé et mis en œuvre dans le cadre du Web
Services Activity du W3C353, grâce au protocole SOAP. Dans les grandes lignes, les différents intervenants –
fournisseurs d‟identité et de services - partagent une même sémantique de façon à coordonner leurs
échanges de messages.
Les standards WS-* sont souvent décriés, comme risquant de générer une course à la performance
technologique. Toutefois leur robustesse dans le milieu des services entre professionnels est reconnue, et
ils restent largement utilisés.
Le World Wide Web Consortium, abrégé par le sigle W3C, est un organisme de standardisation à but non-lucratif, fondé en octobre 1994 comme
un consortium chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML, XHTML, XML, RDF, CSS, PNG,
SVG et SOAP.
353
132/ 133
_________________________________________________________________________________________________________________
Il existe une multiplicité de spécifications associées aux services Web WS-*, à des niveaux de maturité
parfois différents, et maintenus par diverses organisations de standardisation. Elles sont aujourd'hui
désignées sous le terme WS-*, en raison du sigle WS- qui précède la majorité d'entre eux.
Les Services Web WS-*354 désignent l'implémentation logicielle des spécifications WS-* et reposent tous sur
un ensemble de protocoles et de standards utilisés pour l'échange de données entre applications dans des
environnements hétérogènes :



le SOAP (Simple Object Access Protocol) pour l'échange de messages,
le WSDL (Web Service Description Language) pour la description : des services web, de leurs
opérations, des messages utilisés, des types de données, des protocoles utilisés et de leur
localisation au sens internet (URI / URL),
les annuaires UDDI qui peuvent référencer des services web.
Les logiciels sont écrits dans divers langages de programmation de façon à s‟adapter aux multiples platesformes et environnements. Les travaux de standardisation sont aujourd‟hui coordonnés par l'OASIS et le
World Wide Web Consortium (W3C) de façon à coordonner et améliorer l'interopérabilité entre les
réalisations de services Web.
9.6.8
SOAP
SOAP (ancien acronyme de Simple Object Access Protocol)355 est l‟un des principaux protocoles de RPC –
Remote Procedure Call bâti sur l‟architecture XML. L‟objectif vise à faciliter la communication de
messages entre serveurs distants, le transfert se faisant le plus souvent à l'aide du protocole HTTP ou
SMTP.
Majoritairement utilisé pour la transmission de données, SOAP est particulièrement utile pour exécuter
des dialogues requête-réponse RPC (Remote Procedure Call). Indépendants du système d‟exploitation, et
du mode de programmation, les dialogues peuvent tourner sur toute plate-forme et être écrits dans
n'importe quel langage. Il s'agit donc d'un important composant de base pour développer des applications
distribuées qui exploitent des services par intranets ou internet.
Un protocole SOAP comprend deux parties :
 une enveloppe, contenant des informations sur le message lui-même afin de permettre son
acheminement et son traitement,
 un modèle de données, définissant le format du message, c'est-à-dire les informations à
transmettre.
Initié par Microsoft et IBM, SOAP fait maintenant l‟objet de recommandations du W3C, notamment
dans le cadre d'architectures de type SOA (Service Oriented Architecture) pour tous Services Web WS-*.
354
355
http://fr.wikipedia.org/wiki/Service_Web#Les_Services_Web_WS
http://fr.wikipedia.org/wiki/SOAP
133/ 133
_________________________________________________________________________________________________________________
ANNEXE: Documentation de référence sur les signatures électroniques
Directive 1999/93/EC of the European Parliament and the Council of 13.12.1999 on a Community
framework for electronic signatures
Decision 2003/511/EC of 14.7.2003 on the publication of reference numbers of generally recognized
standards for electronic signature products in accordance with Directive 1999/93/EC of the European Parliament
and of the Council
Commission Decision 2000/709/EC of 6.11.2000 on the minimum criteria to be taken into account by
MS when designating bodies in accordance with Article 3(4) of Directive 1999/93/EC of EP and Council on a
Community framework for electronic signatures.
Communication from the Commission to the Council, the European Parliament, the European
Economic and Social Committee and the Committee of the Regions on an Action Plan on signatures
and e-identification to facilitate the provision of cross-border public services in the Single Market, COM(2008)798
of 28.11.08.
Report from the Commission to the European Parliament and the Council: Report on the operation of
Directive 1999/93/EC on a Community framework for electronic signatures, COM(2006)120, 15.3.06.
Directive 1998/34/EC of the European Parliament and the Council of 22.6.1998 laying down a
procedure for the provision of information in the field of technical standards and regulations and
of rules on Information Society services.
Services: Directive 2006/123/EC of the European Parliament and Council of 12.12.06 on
services in the internal market, OJ L376 of 27.12.06.
Public procurement: Directive 2004/18/EC of the European Parliament and Council of 31.3.04
on the coordination of procedures for the award of public works contracts, public supply
contracts and public service contracts and Directive 2004/17/EC of the European Parliament
and Council of 31.3.04 coordinating the procurement procedures of entities operating in the
water, energy, transport and postal services sectors.
eInvoicing: Council Directive 2006/112/EC of 28.11.06 on the common system of value added
tax.
EESSI Mandate M279, Mandate to CEN, CENELEC and ETSI in support of a European legal
framework for electronic signatures, European Commission, 1998.
EESSI mandate M290, Mandate addressed to CEN, CENELEC and ETSI in support of the European
legal framework for electronic signatures- Phase 2: Implementation of the work programme resulting from mandate
M279 and presented in Section 8.3 of the (draft) report prepared by EESSI, European Commission, 1999.
Study on the standardisation aspects of e-signatures, SEALED, DLA Piper et al, 2007.
Evaluation of the standardization procedures in the context of the European electronic signature standardization
initiative, Jos Dumortier, 2002.
CROBIES study (Cross-Border Interoperability of eSignature), Siemens, SEALED and TimeLex, staged
publication: draft documents delivered

Etude authentification forte en ligne

Transcription

Documents pareils

Fonctionnement Pourquoi une authentification de compte?

Tableaux comparatif de solutions logiciels pour M2L

Web Access Manager

Contrôle d`Accès : Authentification Forte, Kiosque…

Télécharger

Messagerie académique sur Smartphone Android

Encadrant Technique d`Insertion

Certificats x509

3D Secure 3D Secure

Caisse des Médecins Tél. 022 869 46 30 Société