Allez au contenu, Allez à la navigation



 

B. VERS DE NOUVEAUX USAGES DES TITRES D'IDENTITÉ AFIN DE SÉCURISER LES ÉCHANGES ÉLECTRONIQUES ?

Les pouvoirs publics français se sont attachés à élaborer un cadre juridique destiné à promouvoir les échanges électroniques. Pour les sécuriser, ils envisagent depuis plusieurs années de doter les cartes d'identité de puces offrant des possibilités d'authentification et de signature électroniques. Les solutions retenues dans plusieurs Etats européens les y encouragent. Toutefois, la mise en oeuvre de ce projet suscite des objections de principe et des difficultés pratiques.

1. La définition d'un cadre juridique destiné à promouvoir les échanges électroniques

Le développement des technologies de l'information et de la communication suppose de sécuriser les échanges électroniques. Tel est l'objet des plans « RE/SO 2007 » (Pour une République numérique dans la société de l'information), présenté le 12 novembre 2002 par M. Jean-Pierre Raffarin, alors Premier ministre, et « eEurope 2005 », élaboré par l'Union européenne, qui tendent à promouvoir des services publics en ligne modernes, un environnement dynamique pour les affaires électroniques, une infrastructure d'information sécurisée, un accès au haut débit à des prix concurrentiels, une évaluation comparative et la diffusion des bonnes pratiques.

a) Un recours croissant aux technologies de l'information et de la communication

Les technologies de l'information et de la communication sont de plus en plus utilisées aussi bien dans les transactions privées que dans les relations entre l'administration et ses usagers.

Selon le tableau de bord du commerce électronique établi en décembre 2004 par la mission pour l'économie numérique, 31 % des ménages français étaient connectés à l'internet à domicile, en début d'année 2004, cette proportion ayant quadruplé depuis 1999. En septembre 2004, la moitié d'entre eux, soit environ 3,8 millions de ménages, disposait d'une connexion à haut débit.

Toutefois, au sein de l'Union européenne, la France figure en douzième position en matière de connexion à l'internet. Cette situation résulte notamment d'un équipement des ménages français en micro-ordinateurs inférieur à celui de la majorité des autres pays européens : 45 % début 2004 selon l'INSEE contre 62 % en Allemagne et 58 % au Royaume-Uni.

La pratique des achats en ligne, confidentielle au départ, devient de plus en plus un phénomène de société. Ainsi, sur 21,8 millions d'internautes à la fin 2003, environ 8,3 millions avaient effectué des achats en ligne, soit 38 % contre seulement 30 % un an plus tôt. En septembre 2004, plus de 47 % des internautes affirmaient leur confiance dans ce type d'achats.

Selon la Fédération des entreprises de ventes à distance, le chiffre d'affaires des ventes en ligne de biens et services a atteint 3,6 milliards d'euros (hors réservation voyages et produits financiers) en 2003, contre 2,2 milliards en 2002. Néanmoins, le nombre d'acheteurs réguliers reste encore limité.

Si elles appellent moins l'attention du public, les transactions commerciales interentreprises représentent plus de 90 % du chiffre d'affaires du commerce électronique total.

Plus de 90 % des entreprises françaises sont équipées en micro-ordinateurs, près de 83 % d'entre elles sont connectées à l'Internet, dont 53 % en haut débit (ADSL), et 83 % utilisent le courrier électronique.

La vente par Internet reste encore limitée à un faible nombre d'entreprises : moins d'une entreprise française sur dix avait franchi le pas à la fin de l'année 2002. En revanche, les achats se sont nettement développés. Plus de 31 % des entreprises françaises déclaraient y recourir en 2002, contre 25 % en 2001, cette part étant supérieure à la moitié pour les entreprises de plus de 250 salariés. Au total, les achats par Internet représentaient 3,7 % de l'ensemble des achats des entreprises à la fin de l'année 2001.

L'administration électronique constitue l'un des leviers essentiels de la réforme de l'Etat. Elle permet en effet, d'une part, de réaliser d'importants gains de productivité ou de développer, à coût constant, de nouveaux services, d'autre part, de simplifier l'ensemble des démarches que doivent effectuer les citoyens et les entreprises. Aussi son développement a-t-il été encouragé par les gouvernements successifs.

Dans le cadre du plan RE/SO 2007, le programme ADELE (administration électronique) recense 140 mesures destinées à moderniser l'administration entre 2004 et 2007. La coordination de ces projets a été confiée à l'Agence pour le développement de l'administration électronique, service interministériel placé auprès du Premier ministre et mis à la disposition du ministre chargé de la réforme de l'Etat.

Le premier bilan est positif. 7.000 sites Internet publics ont d'ores et déjà été créés. Neuf formulaires sur dix sont disponibles en ligne. Une feuille de maladie sur deux est traitée sous forme dématérialisée, contre une sur quatre il y a deux ans. 3,7 millions de citoyens, soit 11 % des foyers fiscaux, ont déclaré leurs revenus à l'administration fiscale par voie électronique en 2005, contre 119.000 en 2002, 600.000 en 2003 et 1,25 million en 2004.

Depuis le 1er janvier 2005, les acheteurs publics sont tenus, en application du second alinéa de l'article 56 du code des marchés publics, de recevoir les candidatures et les offres relatives aux marchés passés selon une procédure formalisée qui leur sont transmises par la voie électronique. Conformément aux dispositions d'un décret n° 2002-692 du 30 avril 2002, les candidats doivent revêtir leur envoi d'une signature électronique.

Depuis le mois de mai 2005, en application d'une ordonnance n° 2005-395 du 28 avril 2005 et d'un décret n° 2005-469 du 16 mai 2005, le service public du changement d'adresse permet aux quelque 6 millions de Français qui déménagent chaque année de déclarer en ligne leur nouvelle adresse aux caisses d'allocations familiales, aux caisses primaires d'assurance maladie, aux caisses d'assurance chômage, aux services des impôts et aux bureaux du service national. Il devrait être progressivement élargi aux autres services publics, caisses d'assurance vieillesse et services de renouvellement de cartes grises des véhicules notamment. A terme, les changements d'adresse devraient pourvoir être notifiés aux entreprises fournissant des services postaux, aux opérateurs de télécommunications et aux distributeurs d'électricité, de gaz et d'eau.

Cette croissance est liée à la progression du nombre d'internautes, au développement des connexions à haut débit mais également à la définition d'un cadre juridique protecteur.

b) L'élaboration d'un cadre juridique protecteur

Comme le soulignait le Conseil d'Etat dans une étude réalisée en 1998, le développement des échanges électroniques suppose l'élaboration d'un cadre juridique garantissant leur valeur juridique et leur confidentialité, la réglementation étatique devant par ailleurs se combiner avec l'autorégulation des acteurs75(*).

De nombreux textes européens ont tracé ce cadre :

- la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, s'est attachée à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne, en fixant des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et en demandant la création d'un organisme de contrôle dans chaque Etat membre ;

- la directive 1999/93/CE du 13 décembre 1999 portant sur un cadre communautaire pour les signatures électroniques a consacré la reconnaissance légale de la signature électronique et la libre circulation des services de certification électronique en Europe ;

- la directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur s'est attachée à renforcer la sécurité juridique du commerce électronique afin d'améliorer la confiance des internautes en soumettant les services de la société de l'information aux principes du marché intérieur (libre circulation et liberté d'établissement) et en instaurant un nombre limité de mesures harmonisées ;

- la directive cadre 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002, complétée par six autres directives ou décisions formant ce qui est communément appelé le « paquet télécoms », a établi un cadre réglementaire commun pour les réseaux et les services de communications électroniques.

Ces textes ont été progressivement transposés en droit interne.

La loi n° 2000-719 du 1er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication a mis en place un régime de responsabilité pour les fournisseurs d'hébergement76(*).

La loi n° 2000-1230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique a reconnu la validité juridique de la signature électronique au même titre que la signature manuscrite, instauré une présomption de fiabilité en faveur des signatures électroniques répondant à des conditions définies par décret en Conseil d'Etat et établi les règles applicables à la cryptologie.

En application du décret n° 2001-272 du 30 mars 2001, pour être présumée fiable, une signature doit être :

- sécurisée, c'est-à-dire propre au signataire, créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et garantissant avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de cet acte soit détectable ;

- établie au moyen de dispositifs sécurisés de création, certifiés par un service du Premier ministre, la direction centrale de la sécurité des systèmes d'information, ou tout organisme désigné à cet effet par un Etat membre de la Communauté européenne ;

- vérifiée au moyen de certificats électroniques délivrés par des prestataires de services de certification électronique qualifiés selon une procédure précisée par un arrêté du 26 juillet 2004.

La signature électronique

Le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message.

De façon générale, le chiffrement consiste à rendre le texte d'un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l'information soit garantie. L'inconvénient principal réside dans le fait que l'expéditeur et le destinataire doivent convenir à l'avance de la clé et disposer d'un canal sûr pour l'échanger.

Telle est la raison pour laquelle se développent depuis quelques années des systèmes de signature électronique reposant sur des algorithmes de chiffrement asymétriques où chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces deux clés sont elles-mêmes créées à l'aide d'algorithmes mathématiques. Elles sont associées l'une à l'autre de façon unique et sont propres à un utilisateur donné. Un message chiffré à l'aide d'un algorithme asymétrique et d'une clé privée, qui constitue l'un des paramètres de l'algorithme, ne peut être déchiffré qu'avec la clé publique correspondante, et inversement. La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète, la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l'algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l'authenticité et l'intégrité du message.

Contrairement à la signature manuscrite, la signature numérique, composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettant de l'attribuer à une personne donnée. Chaque utilisateur doit donc établir avec certitude l'identité de ses correspondants. Telle est la raison pour laquelle on recourt à des services de certification, souvent désignés comme « tiers de certification », qui disposent de la confiance de chacun et qui garantissent l'appartenance d'une signature à une personne. Comme le destinataire utilise la clé publique de l'expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu'il utilise correspond bien à la clé privée de l'expéditeur signataire et que ce dernier est bien celui qu'il prétend être. Les tiers de certification délivrent donc des certificats d'authentification contenant, d'une part, divers renseignements sur la personne dont on souhaite vérifier l'identité (nom, prénom, date de naissance...), d'autre part, sa clé publique. Ces certificats sont généralement réunis dans des bases de données mises en ligne sur le réseau Internet, ce qui permet à chacun d'y accéder facilement.

La signature numérique constitue donc un bloc de données créé à l'aide d'une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provient réellement de la clé privée associée, qu'elle est bien celle de l'expéditeur et que le message n'a pas été altéré.

La loi n° 2004-575 du 21 juin 2004 sur la confiance dans l'économie numérique a parachevé cette évolution. Elle a complété le régime de la responsabilité des prestataires contribuant à la mise à disposition du public de services de communication en ligne, établi des règles spécifiques applicables en matière de commerce électronique, précisé les conditions de la reconnaissance de la validité de l'écrit électronique, créé un nouveau régime applicable à la cryptologie et renforcé les dispositions permettant de lutter contre la cybercriminalité.

Peu après, la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle a tiré les conséquences en droit interne des directives formant le « paquet télécoms ».

La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 a quant à elle été transposée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

2. Le choix de cartes à puce offrant un accès sécurisé aux échanges électroniques

Les pouvoirs publics ont également exprimé la volonté de créer des cartes équipées de puces électroniques afin d'offrir un accès sécurisé aux échanges électroniques. Des cartes de vie quotidienne sont d'ores et déjà expérimentées au niveau local. Le projet consistant à doter la carte nationale d'identité de fonctions d'authentification et de signature électroniques se précise.

a) La création de cartes de vie quotidienne au niveau local

De nombreux projets de « cartes de vie quotidienne » se sont développés depuis quelques années. Ils permettent de simplifier les relations entre les usagers et les services de proximité offerts par les collectivités territoriales.

L'Etat a élaboré un plan de soutien national à ces projets locaux afin de promouvoir les initiatives innovantes, la mutualisation des ressources et la standardisation des technologies. Lancé le 12 mars 2003, l'« appel à projets CVQ » s'est traduit par la sélection de quatorze projets bénéficiant d'un soutien financier, d'un apport méthodologique et d'un suivi régulier.

A titre d'exemple, les communes de Bondues, Comines, Faches-Thumesnil, La Madeleine, Lambersart, Lille, Lomme, Marcq-en-Baroeul, Marquette-lez-Lille, Mouvaux, Tourcoing, Villeneuve d'Ascq, Wattrelos et la communauté urbaine « Lille Métropole » ont créé une carte de vie quotidienne dotée d'une application d'identification et d'authentification·pouvant être utilisée dans les domaines scolaires, périscolaires (restauration scolaire, gestion des crèches,...), culturels et sportifs (inscription en bibliothèque, médiathèque, accès aux piscines publiques,...) et d'un porte-monnaie électronique pour le paiement des droits d'accès à certains événements.

Un autre projet original, porté par le conseil général des Yvelines en partenariat avec le GIE SESAM-Vitale ainsi qu'avec les centres communaux d'action sociale et les établissements médico-sociaux, consiste à permettre l'utilisation de la carte Vitale dans le cadre d'un procédé de dématérialisation des traitements administratifs de l'allocation personnalisée à l'autonomie. Un second volet, appelé « carte jeune », associe l'ensemble des collèges du département afin de mettre à la disposition des collégiens une carte multi-services compatible avec le porte-monnaie électronique Moneo.

En réponse à une question écrite posée par M. Cinieri Dino, député, le Gouvernement a indiqué qu'il était « aussi prévu de définir un label « carte de vie quotidienne » à deux niveaux : un premier niveau déclaratif sera attribué à tout projet dont l'élu se portera garant du respect du référentiel commun. Ce référentiel est actuellement en cours d'élaboration et il prendra en compte les projets les plus avancés, comme base de travail et devrait être diffusé à l'automne prochain. Le second niveau vise à assurer une interopérabilité nationale entre les CVQ de manière à leur permettre de servir d'outil d'accès à l'ensemble des applications de l'administration. (...) Ce label sera défini et géré par l'agence pour le développement de l'administration électronique et il correspondra au respect d'un triple référentiel technique, juridique et organisationnel77(*). »

b) Un projet de carte nationale d'identité dotée de fonctions d'authentification et de signature électroniques

Le programme INES est d'une toute autre ampleur. Il repose sur l'idée selon laquelle il incombe à l'Etat de garantir l'identité des citoyens quels qu'en soient ses usages.

Dans une note de présentation rendue publique au mois de mars 2005, le ministère de l'intérieur soulignait ainsi que : « Le développement de l'administration électronique et la multiplication des données personnelles en ligne rendent patent le besoin de disposer d'outils permettant de garantir son identité sur Internet et de signer électroniquement ses transactions. Afin d'éviter que chaque administration mette en place ses propres modes de signature, ou achète au prix fort des certificats aux entreprises privées spécialisées, il est prévu de doter la carte INES de ces fonctionnalités qui seront valables pour toutes les administrations et tous les services financiers ou commerciaux sur Internet. »

Il faisait écho aux réflexions formulées en ces termes par MM. Pierre Truche, Jean-Paul Faugère et Patrice Flichy, dans un rapport sur l'administration électronique et la protection des données personnelles publié en 2002 : « Alors que les identités numériques prolifèrent, et que se développent à une échelle accrue des formes d'identité privées, semant le trouble sur la notion même d'identité, on va peut-être redécouvrir la valeur de l'identité publique, originelle et originale, unique, stable et permanente, attestée et garantie par l'État. L'identité publique, en un sens, sert déjà de socle et de référent pour certaines identités numériques. La carte d'identité n'est-elle pas demandée, dans bien des magasins, à l'appui d'un chèque ?78(*) »

Aussi était-il envisagé, selon les indications communiquées par ce même ministère, de permettre à la carte nationale d'identité électronique de remplir une double fonction d'authentification et de signature électroniques « pour des usages d'abord orientés vers l'administration électronique mais potentiellement extensibles au commerce électronique lorsqu'il est nécessaire de prouver son identité ou de signer un contrat. »

La fonction d'authentification permettrait au titulaire de la carte d'avoir accès, en utilisant un code secret, à des sites d'administration électronique gérant des données personnelles : fiscales, médicales...

La fonction de signature lui permettrait, également au moyen d'un code secret, de signer par voie électronique des documents, par exemple une déclaration de revenus, avec la même valeur qu'une signature manuscrite.

Ces deux fonctions seraient assurées au moyen de certificats électroniques émis par l'Etat, garantissant l'identité du titulaire de la carte et permettant à son interlocuteur de s'en assurer.

Enfin, un portfolio personnel permettrait à celui qui le souhaite de stocker des informations complémentaires dans la carte soit pour faciliter ses transactions électroniques (par exemple ses nom, prénoms et adresse qu'il pourrait extraire afin de remplir des formulaires), soit pour remplacer d'autres documents (numéro du permis de conduire, numéro fiscal...). Ainsi, lors d'un contrôle routier, les forces de l'ordre pourraient consulter la base des permis de conduire et vérifier que l'individu en est bien titulaire.

En revanche, la carte ne comprendrait aucune donnée sanitaire ou sociale, serait dépourvue de tout lien avec la carte vitale et ne pourrait servir de carte de paiement.

Ces différentes applications seraient cloisonnées entre elles ainsi qu'avec les données d'identification contenues dans la puce électronique.

Un centre d'appel serait créé pour recevoir, nuit et jour, les demandes de mise en opposition d'une carte perdue ou volée. En cas d'utilisation de la carte sur Internet, il serait possible de vérifier, sur une liste tenue par le ministère de l'intérieur, si elle est mise en opposition.

Dans la mesure où elle offrirait de nouveaux services, la carte nationale d'identité électronique pourrait redevenir payante. On peut également se demander si la nécessité d'assurer sa sécurité, notamment en renouvelant les certificats, ne rendrait pas elle aussi nécessaire de réduire sa durée de validité.

c) Les avantages attendus de la carte nationale d'identité électronique

Un sondage réalisé en septembre 2002 par la SOFRES à la demande du Forum des droits sur l'Internet montrait que les trois-quarts des Français étaient favorables à une carte d'identité électronique permettant notamment d'effectuer ses démarches administratives par l'Internet.

Une telle carte présenterait en effet le double avantage de sécuriser les échanges électroniques et de faciliter la vie quotidienne des citoyens en leur évitant de se munir en permanence de divers documents administratifs.

Le besoin de sécurité est réel. La Commission nationale de l'informatique et des libertés a souligné ainsi à maintes reprises que certains échanges électroniques devaient être subordonnés à une authentification préalable. Encore récemment, dans une délibération n° 2005-054  du 30 mars 2005 sur le service public du changement d'adresse, constatant que l'authentification de l'usager serait assurée par la saisie d'un numéro de dossier et d'un mot de passe, elle a souligné « les risques forts d'utilisation détournée du service inhérents à ce procédé d'authentification de faible niveau » et jugé nécessaire de mettre en place un dispositif d'authentification renforcé, par exemple, par un système de certificat électronique ou de signature électronique.

Selon MM. Pierre Truche, Jean-Paul Faugère et Patrice Flichy : « Dès lors que la version électronique de la carte nationale d'identité disposerait d'une puce, elle pourrait être dotée d'une fonction de signature électronique : celle-ci pourrait alors être utilisée pour donner accès à des téléservices en ligne pour lesquels serait exigée l'authentification. Cette fonctionnalité pourrait être utile dans certaines fonctions spécifiques à la gestion de l'identité par le ministère de l'intérieur (changement d'adresse, renouvellement de carte, par exemple). Elle pourrait également servir, au-delà, de système d'authentification générique pour l'accès et l'utilisation des téléservices publics. En d'autres termes, une carte nationale d'identité électronique pourrait être un candidat à la fourniture d'un « service public » de la signature électronique79(*). »

Dans une recommandation sur le développement de l'administration électronique rendue publique le 3 février 2003, le Forum des droits sur l'Internet a admis l'utilisation d'une carte à puce délivrée aux usagers à des fins d'administration électronique, en indiquant que : « Les administrations ne doivent pas a priori s'interdire de fournir elles mêmes aux usagers les outils de la signature électronique lorsque celle-ci apparaît nécessaire compte tenu des caractéristiques du téléservice en cause. »

Enfin, lors de son audition devant la mission, M. Christian Noyer, gouverneur de la Banque de France, président de l'Observatoire de la sécurité des cartes de paiement, a indiqué que le renforcement des méthodes d'authentification des clients constituait un axe majeur d'amélioration de la sécurité des paiements sur lequel la profession bancaire avait engagé des efforts. Après avoir rappelé que la Banque de France avait, dès 2002, préconisé le recours à des méthodes d'authentification forte et la généralisation de l'identité et de la signature électroniques pour les paiements sur Internet, il a estimé que l'utilisation de la carte nationale d'identité électronique à des fins de contrôle pour des opérations bancaires, répondrait naturellement à ces préconisations. Il a précisé en revanche, qu'après avoir étudié en 2003 les apports éventuels de la biométrie dans l'environnement des cartes de paiement, l'Observatoire de la sécurité des cartes de paiement avait recommandé que les techniques d'authentification biométrique ne remplacent pas les mécanismes fondés sur la saisie d'un code confidentiel, compte tenu de la fiabilité encore insuffisante des dispositifs de contrôle des caractéristiques biométriques.

Notons enfin qu'une carte d'identité électronique serait plus difficile à contrefaire que les documents actuels. Les données stockées dans la puce, qui reproduiraient les données figurant sur le document (état civil, lieu et date de délivrance du titre), seraient en effet protégées par un blocage en écriture des zones non réinscriptibles de la puce à l'issue de la fabrication, notamment les zones d'identité, et l'utilisation des procédés cryptographiques de signature électronique, permettant par la lecture des données de s'assurer que celles-ci sont authentiques et intègres.

Toutefois, dans le cas de la France, le problème de la fraude n'est pas lié à la sécurisation de la carte nationale d'identité elle-même. Le principal problème se situe en amont du fait des fraudes à l'état civil qui conduisent à la délivrance de titres authentiques aux mauvaises personnes. Telles sont les raisons pour lesquelles le ministère de l'intérieur souligne que seul le recours à la biométrie permettrait d'éliminer la quasi-totalité de ces fraudes.

3. Une solution retenue dans plusieurs pays européens

De nombreux pays européens ont déjà créé ou envisagent de créer une carte nationale d'identité électronique comportant des fonctionnalités d'authentification et de signature électroniques.

a) Les pays où la carte d'identité électronique est déjà distribuée

En Italie, la mise en circulation d'une carte d'identité électronique a commencé en 2004. Cette carte permet l'authentification sur Internet, fonction à laquelle de nombreux services ont été associés : paiement des impôts, taxes et amendes, inscription aux services municipaux, rendez-vous hospitaliers, demandes d'aides sociales...

En Estonie, près de 40 % de la population, soit 700.000 Estoniens et résidents étrangers, dispose d'une carte d'identité électronique, dont la distribution a commencé en 2002. Celle-ci ne comporte pas de données biométriques mais peut être utilisée à des fins d'authentification et de signature électroniques. Elle intègre le permis de conduire, la carte de sécurité sociale et permet le vote électronique. Son coût est légèrement inférieur à 10 euros.

En Finlande, 45.000 cartes électroniques avaient été distribuées en 2004, comportant des données d'assurance et de sécurité sociale et permettant à leurs titulaires de s'authentifier et de signer par voie électronique. Le coût d'acquisition de la carte s'élève à 40 euros.

En Belgique, après une phase d'expérimentation, la carte d'identité électronique est distribuée par les communes depuis le mois de juillet 2004. Un million de citoyens belges devrait en disposer au mois d'août 2005, environ 160.000 documents étant produits chaque mois. Pour permettre aux communes de faire face à cette charge supplémentaire, l'Etat a mis à leur disposition 722 emplois équivalents temps plein.

La carte est obligatoire dès l'âge de 15 ans et payante, son coût de base de 10 euros pouvant être majoré d'une taxe perçue par la commune. Elle ne comporte pas de données biométriques mais peut être utilisée à des fins d'authentification et de signature électroniques permettant à son titulaire, sans se déplacer :

- au niveau national, d'avoir accès aux données du Registre de la population qui le concernent, d'obtenir leur rectification ainsi que leur communication à des administrations ou des entreprises privées, de connaître l'identité des personnes qui y ont eu accès, de déclarer et payer ses impôts ou encore de se présenter à un examen au permis de conduire ;

- au niveau communal, de suivre l'état d'avancement d'un dossier, par exemple une demande de permis de construire, d'inscrire ses enfants à l'école, de réserver des spectacles ou des équipements sportifs, d'obtenir des extraits d'actes de l'état civil, des cartes de stationnement.

L'usage de la carte à des fins privées n'est pas interdit ; il nécessite simplement l'acquisition d'un lecteur. A terme, elle pourrait être fusionnée avec la carte de sécurité sociale. Microsoft a récemment annoncé que son service de messagerie MSN serait compatible avec elle.

Deux sociétés belges, ZETES et STERIA, ont été retenues par l'Etat au terme de deux appels d'offres européens, respectivement pour la production des cartes et l'exploitation de l'application informatique.

Une délégation de la mission d'information s'est rendue en Belgique le 12 mai 2005 afin d'observer la mise en place de ces cartes d'identité électroniques.

Elle y a été reçue par M. Luc Vanneste, directeur général de la direction des institutions et de la population, qui a mis en exergue les avantages de ce document en termes de protection des données personnelles et de simplification des démarches des citoyens à l'aide d'un exemple emprunté au monde bancaire :

« Un banquier va m'accorder un prêt pour l'acquisition d'une voiture mais, avant de l'accorder, il veut apprendre quels sont mes revenus et quelles sont mes charges de famille. Mes revenus sont vérifiables de façon électronique dans mon dossier près du service des contributions ; mes charges familiales résultent de la rubrique « composition du ménage » du dossier de population.

« En tant que titulaire de la carte d'identité électronique, je peux vérifier les deux dossiers. Je peux extraire ces données de ces dossiers respectifs, les faire signer par les maîtres de ces fichiers (le service des contributions et le Registre national) et les transmettre sous format standardisé à mon banquier qui doit accorder le prêt et qui enregistre ces données dans mon dossier de prêt électronique. Le prêt est confirmé par une signature électronique du banquier et par celle du client.

« La protection de la vie privée est mieux assurée parce que le titulaire de la carte peut avoir accès à ses propres données enregistrées en toutes sortes de fichiers et vérifier qui a consulté ou mis à jour son dossier du registre national. La transparence des fichiers contenant des données personnelles devient une transparence véritable et non pas une transparence papier comme c'était le cas dans le passé. »

En se rendant dans la commune de Woluwe-Saint-Pierre, collectivité pilote lors de la phase d'expérimentation, les membres de la délégation ont toutefois pu relever un certain nombre de difficultés d'application, inhérentes aux prémisses de toute réforme.

Ont ainsi été déplorés tout à la fois : les défaillances de la coordination générale du projet, les difficultés de connexion au fichier des cartes d'identité, le coût élevé des adaptations de l'application informatique demandées à la société STERIA, le manque de fiabilité des lecteurs de carte ainsi que les difficultés d'installation sur les ordinateurs personnels des logiciels d'exploitation des cartes. Les agents de la commune ont par ailleurs regretté de devoir utiliser leur propre carte d'identité pour travailler, jugeant préférable de disposer de cartes de service.

La carte d'identité électronique semble cependant bien acceptée par la population et offre des perspectives prometteuses, dès lors que les difficultés techniques seront résolues. Le déplacement de la délégation de la mission lui a également permis de constater la nécessité de développer les services en ligne avant de diffuser la carte, afin que les citoyens en perçoivent immédiatement l'utilité.

b) Les pays où la carte d'identité électronique reste en projet

En Autriche, la détention d'une carte d'identité n'est pas obligatoire et coûte 56 euros. Sa durée de validité est de dix ans ; elle varie en fonction de l'âge pour les enfants de moins de 12 ans. Réalisé au format d'une carte bancaire, le document a été conçu dans la perspective d'intégrer ultérieurement une puce électronique comportant des données biométriques et pouvant être utilisée à des fins d'authentification et de signature électroniques. Cette intégration n'a pas encore été décidée. Elle présente un faible intérêt dans la mesure où la carte bancaire la plus répandue dans le pays et la carte de sécurité sociale sont d'ores et déjà équipées d'un tel dispositif.

De même, en Allemagne et aux Pays-Bas, il est question d'intégrer dans les cartes nationales d'identité une puce électronique comportant non seulement des données biométriques, ainsi qu'il l'a été indiqué, mais pouvant également être utilisée à des fins d'authentification et de signature électroniques. La décision n'a cependant pas encore été prise.

4. Des objections de principe et des interrogations pratiques qui doivent être prises en compte

La création d'une carte nationale d'identité dotée de fonctions d'authentification et de signature électroniques suscite des objections de principe et des interrogations pratiques qui doivent être prises en compte.

a) Des objections de principe

D'aucuns considèrent que la carte nationale d'identité doit exclusivement servir à prouver son identité dans les cas prévus par la loi. Ils s'opposent ainsi, pour des raisons de principe, à ce que ce document puisse être utilisé pour sécuriser les échanges électroniques.

Telle a été notamment la position défendue aussi bien par MM. Thierry Wickers, président de la Conférence des bâtonniers, que par Mme Monique Herold et M. Alain Weber, respectivement vice-présidente et responsable de la commission Libertés et informatique de la Ligue des droits de l'homme, lors de leur audition par la mission.

M. François Giquel, vice-président de la Commission nationale de l'informatique et des libertés, a également exprimé des réserves en soulignant qu'une telle extension des fonctions de la carte nationale d'identité, en lui conférant davantage de valeur, pourrait accroître les risques d'atteinte aux personnes.

D'autres admettent l'intégration des fonctions d'authentification et de signature électroniques au sein de la carte nationale d'identité à la stricte condition d'en limiter l'utilisation à la sphère publique, c'est-à-dire à l'administration électronique.

M. Alain Bauer, président de l'Observatoire national de la délinquance, a ainsi considéré que la nouvelle carte d'identité n'avait pas vocation à servir dans toutes les circonstances de la vie et à devenir un outil commercial.

Dans sa recommandation sur le projet de carte nationale d'identité électronique du 16 juin 2005, le Forum des droits sur l'internet observe cependant que seule la possibilité d'utiliser la carte nationale d'identité électronique dans des transactions privées a suscité les réticences des participants au débat public, la possibilité de l'utiliser dans les téléprocédures administratives ne suscitant quant à elle guère d'intérêt.

b) Des interrogations pratiques

La création d'une carte nationale d'identité dotée de fonctions d'authentification et de signature électroniques ne doit pas entraîner une aggravation des inégalités.

Dans cette hypothèse, il conviendrait :

- de créer un document doté de fonctionnalités équivalentes au bénéfice des étrangers ;

- de permettre à l'ensemble du territoire national d'avoir accès au haut débit ;

- de favoriser l'équipement en micro-ordinateurs et en lecteurs de cartes à puce de l'ensemble de la population, les personnes âgées et celles disposant de faibles ressources étant actuellement nettement sous-équipées ;

- de permettre un accès à l'administration électronique sans recourir à un micro-ordinateur, soit par téléphone soit au moyen de bornes installées dans les communes.

La création d'une telle carte ne doit pas non plus conduire à une remise en cause de la possibilité d'échanges électroniques anonymes.

La totalité des démarches administratives ne nécessite pas d'identification formelle. Il en va de même de nombreuses transactions privées.

Dans sa recommandation sur le développement de l'administration électronique, le Forum des droits sur l'Internet estimait ainsi qu' : « Il ne faut pas faire de l'usage de la signature électronique un préalable systématique au déploiement des services en ligne. Il est de nombreux services, comme la simulation d'impôts, dont l'usage doit pouvoir rester anonyme. Même quand l'identification ou l'authentification des usagers est nécessaire, elle peut très souvent fonctionner sur la base de simples identifiants et mots de passe. Quant au besoin de signature à proprement parler, il ne doit pas être surestimé : ce n'est pas parce que les formulaires papier comportent une case destinée à la signature du demandeur que leur équivalent électronique devrait être revêtu d'une signature électronique, car bien souvent la signature est demandée sur le formulaire papier sans avoir de réelle portée juridique. »

Les exigences de sécurité techniques peuvent être modulées en fonction de la nature des échanges : le dispositif d'authentification prévu pour la carte nationale d'identité, très sécurisé, ne doit pas devenir un standard obligé pour tous les échanges électroniques.

Le ministère de l'économie, des finances et de l'industrie a ainsi prévu une gradation des mesures de sécurité en fonction de la nature des services proposés et du niveau de confidentialité ou de valeur juridique probante exigé : anonymat (simulations, actualité fiscale, téléchargements), simple adresse électronique de correspondance (réponses en ligne), authentification par mot de passe, authentification par l'usage de certificat électronique.

Dans son étude précitée sur Internet et les réseaux numériques, le Conseil d'Etat soulignait que : « l'anonymat est une question complexe, au carrefour d'intérêts éthiques, économiques et politiques : l'individu veut se promener et agir librement comme dans sa vie quotidienne réelle, les entreprises veulent l'identifier pour mieux le servir, les autorités répressives ont besoin de retrouver les coupables d'infractions et donc de les identifier. L'équation est facile à poser moins facile à résoudre. L'individu doit pouvoir rester anonyme sur le réseau pour aller et venir, effectuer des paiements, envoyer des lettres... Cet anonymat peut se faire au moyen de la pseudonymisation. Il ne saurait cependant interdire de retrouver l'identité des personnes si nécessaire. »

L'anonymat des échanges électroniques s'avère en effet relatif, dans la mesure où un fournisseur d'accès peut conserver toutes les données de connexion correspondant à une adresse IP, c'est-à-dire « l'adresse réseau » de la machine d'un utilisateur connecté au réseau Internet, et associer à chaque adresse IP, même dynamique, l'ensemble des données personnelles relatives à l'internaute, qui est son client.

La directive 1999/93/CE du 13 décembre 1999 portant sur un cadre communautaire pour les signatures électroniques reconnaît ainsi la légitimité de l'utilisation d'un pseudonyme tout en indiquant, dans son considérant n° 25, qu'« il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification des personnes conformément au droit communautaire ou national. » Son annexe I relative aux exigences concernant les certificats qualifiés prévoit ainsi que tout certificat qualifié doit comporter le nom du signataire ou un pseudonyme qui est identifié comme tel.

La création d'une carte d'identité dotée de fonctions d'authentification et de signature électroniques ne doit pas conduire les administrations à mettre en place un identifiant unique, comme l'a souligné le Forum des droits sur l'internet dans sa recommandation du 16 juin 2005.

Elle ne doit pas conduire non plus à une éviction des entreprises privées du marché de la certification.

Lors de son audition par la mission, M. Jacques Sauret, directeur de l'Agence pour le développement de l'administration électronique a estimé que, loin d'aboutir à un tel résultat, elle permettrait de structurer un marché de la certification qui peine à se développer.

Enfin, les risques afférents à la possibilité d'utiliser la carte électronique pour des transactions privées doivent être pris en compte. Elle ne doit :

- ni inciter les commerçants à imposer la justification de son identité pour tout paiement alors qu'en l'état actuel du droit, seul l'article L. 131-15 du code monétaire et financier oblige à présenter « un document officiel portant sa photographie » lors d'un paiement par chèque ;

- ni leur permettre d'établir des fichiers des habitudes de vie et de consommation de leurs clients ;

- ni rendre l'Etat, en sa qualité de prestataire de services de certification, destinataire d'informations relatives aux engagements privés souscrits par les particuliers,

- ni conduire à une mise en jeu de sa responsabilité pour les préjudices subis en cas de fraude.

Telles sont sans doute les raisons pour lesquelles la perspective d'une utilisation de la carte d'identité électronique pour des transactions privées est accueillie avec de réelles réticences.

Ces considérations montrent que l'enjeu essentiel de la création de titres d'identité électroniques tient à la nécessité d'assurer la protection des données personnelles qu'ils contiennent, au nom du droit constitutionnel au respect de la vie privée.

* 75 « Internet et les réseaux numériques » - Etude adoptée par l'Assemblée générale du Conseil d'Etat le 2 juillet 1998 - M. Jean-François Thery, Mme Isabelle Falque-Pierrotin - La Documentation française.

* 76 Les fournisseurs d'hébergement ont pour fonction de gérer techniquement les ressources connectées au réseau Internet et de mettre ces ressources à la disposition de leurs abonnés. Ils assurent, en quelque sorte, une activité de loueur d'emplacement : techniquement, leur rôle se résume à stocker sur leur propre serveur l'ensemble des informations qu'ils sont conduits à recueillir et qui, par la suite, seront consultées par les utilisateurs du service de communication publique en ligne.

* 77 Réponse à la question écrite n° 59578 publiée au Journal officiel de l'Assemblée nationale du 7 juin 2005, page 5990.

* 78 Administration électronique et protection des données personnelles : livre blanc - La Documentation française - février 2002 - page 39.

* 79 Administration électronique et protection des données personnelles : livre blanc - La Documentation française - février 2002 - page 87.