Identité numérique Relais de la croissance économique 2013
Download
Report
Transcript Identité numérique Relais de la croissance économique 2013
LES ACTES DU COLLOQUE 2013
Ce document fait suite au colloque organisé par Forum ATENA et le MEDEF le 14 Novembre 2013 à
Paris. Reprenant les thèmes et les interventions de cette journée, il vise dans son prolongement à
permettre une meilleure information des acteurs économiques sur les identités numériques et
services de confiance, leur environnement international, les conditions de leurs organisations et
leurs enjeux pour les entreprises, et plus généralement la vie en société et l’économie.
1
INFORMATION PRELIMINAIRE
Dans ce document de restitution vous trouverez les principaux thèmes traités lors du colloque, le
texte retranscrit d’après les principales interventions, les points clefs de la journée et même les
petites phrases…
Avis: Ce document constitue une restitution aussi fidèle que possible, mais ne prétend pas à l’exhaustivité.
Des adaptations pour la mise en forme écrite ont été nécessaires avec l’accord des intervenants, certains
propos peuvent avoir été résumé ou omis. Des erreurs peuvent subsister. Enfin le contenu et les propos
restitués ne sauraient engager la responsabilité des organisateurs ni des partenaires de l’évènement.
Responsable de la consolidation éditoriale de ce document :
Guy de Felcourt – Association FORUM ATENA
Contact : [email protected]
07/03/2014
2
SOMMAIRE
INFORMATION PRELIMINAIRE
2
SOMMAIRE
3
ILS ONT DIT …
5
OUVERTURE ET INTERVENTION D’HONNEUR
7
Ouverture : Philippe Recouppé, président de Forum ATENA
7
Intervention de l’invité d’honneur : Robin Wilton, directeur de l’Internet Society pour
l’identité et la vie privée.
7
PREMIERE TABLE RONDE : L’IDENTITE NUMERIQUE SOURCE DE CROISSANCE EN EUROPE
9
Diane Mullenex
9
Christian Schunck
10
Marie Figarella
11
Robin Wilton
13
LA PAROLE AUX SPONSORS : ORANGE
15
DEUXIEME TABLE RONDE : QUELLES IDENTITES NUMERIQUES POUR LA FRANCE ?
16
Hervé Lebec
16
Didier Chaudun
17
Charles du Boullay
18
Mathieu Jeandron
19
LA PAROLE AUX SPONSORS : SAFRAN
21
CONCLUSION DE LA MATINEE : QUELS ENJEUX POUR L’ECONOMIE FRANÇAISE ?
22
Intervention de Monsieur Pierre Louette, président du comité « transformation
numérique » du MEDEF
22
LA PAROLE AUX SPONSORS : LA POSTE
24
TROISIEME TABLE RONDE : QUELS NIVEAUX DE SECURITE FACE AUX USAGES ET AUX
RISQUES ?
25
Thierry Piette-Coudol
25
Pascal Chour
26
3
Philippe Clément
28
Franck Leroy
29
Pascal Colin
31
LA PAROLE AUX SPONSORS : NATURAL SECURITY
32
QUATRIEME TABLE RONDE : COMMENT L’IDENTITE NUMERIQUE TRANSFORME LES
USAGES ?
33
Philippe Pasquali
33
François Momboisse
33
Hervé Postic
34
Géraud Felgines
34
François Momboisse
35
Mamadou Ba
35
Philippe Pasquali
35
Sébastien Marché
36
François Momboisse
36
Géraud Felgines
36
Philippe Pasquali
37
LA PAROLE AUX SPONSORS : SOCIETE GENERALE
38
CLÔTURE ET CONCLUSION DE LA JOURNEE
39
Synthèse de Guy de Felcourt, responsable du comité d’organisation
39
Conclusion par André Santini, député et maire-d’Issy-les Moulineaux
39
41
ANNEXE
Biographie des intervenants
4
ILS ONT DIT …
Quelques-unes des citations du colloque :
(Classement par ordre alphabétique des prénoms)
« Les réformes qu’il convient de faire pour devenir un grand pays acteur du numérique restent
nombreuses, mais cela ne pourra se faire que par la mise en place au plus tôt d’une identité numérique,
à l’échelle européenne. » André Santini
« Notre objectif (IdeNUM) est d’arriver à rassembler rapidement quelques millions, voire dizaines de
millions, de clients dans un système qui fonctionne et qui soit pertinent économiquement. » Charles du
Boullay
« Un développement important, que je constate, est l’évolution vers l’utilisation plus intensive des
attributs, plutôt que celui d’un identifiant fixe ou universel. » Christian Schunck
« Accentuer la coopération publique-privée est la seule voie possible pour permettre à l’identité
numérique de rencontrer ses véritables usages. » Diane Mullenex
« Nous pensons que l’État doit aller beaucoup plus loin pour prendre à bras le corps un sujet aussi
important. Il y a besoin d’un vrai porteur politique sur ce sujet, il y a besoin d’un coordinateur des
actions publiques. » Didier Chaudun
« L’approche sur la signature est radicalement différente entre l’Amérique et la France. En matière
d’identité et de signature, ces différences font qu’il faut rester prudent sur les convergences possibles. »
Franck Leroy
« Les données pour les sites marchands sont fondamentales, parce que c’est l’actif de la société et donc
sa valeur de revente. » François Momboisse
« L’identité numérique a vocation à nous permettre de développer des solutions pour aider les Petites et
Moyennes Entreprises, à encourager leurs échanges, améliorer leurs chiffres d’affaire et sécuriser leurs
encaissements. » Géraud Felgines
« Avec une intermédiation numérique croissante, il y a besoin de créer une confiance bilatérale au sein
d’un « cadre de confiance. » Hervé Lebec
« Nous arrivons donc à des solutions totalement dématérialisées et innovantes qui apportent un grand
confort, tant à l’usager qu’aux grandes entreprises de services et aux particuliers. » Hervé Postic
« Une PME, au lieu d’investir dans une base de données pour ses clients, pourrait faire intervenir un tiers
de confiance et identifier ses clients « à la volée » en une sorte de « pay per use ». Plus besoin
d’immobiliser de l’argent ou de la compétence pour gérer les attributs de ces identités. » Mamadou Ba
« Notre conviction est que l’identité numérique doit être inscrite dans un contexte réglementaire et
surtout, permettre la protection de la vie privée. » Marie Figarella
« L’État doit se transformer en profondeur pour moderniser ses systèmes d’information et se mettre à
l’heure du XXIème siècle. » Mathieu Jeandron
« L’ANSSI est attentive à ce que le projet de règlement européen eIDAS comporte des références à des
mécanismes de reconnaissance des certifications sécuritaires, afin d’éviter les incertitudes et les risques
introduits par la directive de 1999. » Pascal Chour
« L’ergonomie est la clé indispensable à la diffusion de l’usage. Le rôle du tiers de confiance est aussi de
faire oublier à l’utilisateur tout ce qu’il y a de contraignant dans la sécurité. » Pascal Colin
« Aujourd’hui, avec les six ou sept plus grands acteurs de l’Internet, on est capable d’identifier plus de la
moitié de la population mondiale. Progressivement une osmose s’est mise en place entre un monde
consumériste et une manne de milliards de clients. » Philippe Clément
« Le choix du fournisseur d’identité numérique appartient ou appartiendra aux consommateurs ou aux
citoyens, en fonction des usages. La question qui leur est posée est de savoir à qui ils vont faire
confiance pour tel ou tel usage. » Philippe Pasquali
« L’identité numérique doit nous permettre de réorienter le débat du numérique vers les usages destinés
aux citoyens et les services apportés par les agents économiques. » Philippe Recouppé
5
« L’identité numérique, c’est pour nous un « facilitateur», c'est-à-dire un élément qui rend les
entreprises ou les usagers capables de faire des choses nouvelles, et d’accéder à de meilleurs services. »
Pierre Louette
« Je crois que si c’est uniquement sur l’utilisation commerciale des données personnelles que l’on
construit l'analyse économique les identités numériques, on va manquer le vrai niveau du défi qui nous
est posé. » Robin Wilton
« La solution pour favoriser l’identité numérique sécurisée dans la santé, c’est de favoriser la
convergence entre la carte professionnelle « CPS » et la carte SIM. » Sébastien Marché
« Une question fondamentale pour nous, les professionnels du droit, est la charge de la preuve. Celui qui
a la charge de la preuve doit se mobiliser pour emporter la conviction du juge. » Thierry Piette-Coudol
-----------------------
Cette année, le thème du colloque « L’identité numérique, relais de la croissance économique » est placé sous
le signe de la contribution de l’identité numérique dans l’innovation et les services, la modernisation des usages
(avec plus de confort, de rapidité et de simplicité), l’amélioration de la compétitivité des entreprises et plus
globalement la croissance économique
-----------------------
6
OUVERTURE ET INTERVENTION D’HONNEUR
OUVERTURE :
PHILIPPE RECOUPPE, PRESIDENT DE FORUM ATENA
Pour cette troisième année du colloque sur l’identité numérique, qui se déroule cette année sur une journée
entière, nous pouvons en premier lieu être satisfaits de l’importance croissante prise par ce sujet qui reflète à la
fois la croissance de l’économie numérique et la place grandissante de Forum ATENA dans ces thématiques.
Pour Forum ATENA, qui vise à favoriser les débats et à faire éclore réflexions, discussions et à promouvoir une
meilleure éducation sur les grands thèmes au carrefour du numérique et des usages, c’est un motif de
satisfaction.
Nous remercions le MEDEF de nous accueillir, c’est important, car il apporte dans ce partenariat l’implication du
monde économique et permet aux entreprises de bénéficier d’une dimension numérique et économique à la
fois.
Nous regrettons l’absence de Madame la Ministre Fleur Pellerin, mais la remercions de l’intérêt qu’elle nous a
manifesté dans son courrier.
Je voudrais également dire quelques mots sur le sujet du colloque : l’identité numérique. Quelle est la place de
l’identité numérique dans l’économie numérique en cours de développement ? C’est clairement une des clefs,
pas la seule, mais une clef fondamentale du développement de cette économie. Nous nous demandons bien
souvent quelle sera la place de la France dans l’économie numérique. Il convient aussi de nous interroger,
quelle peut être le rôle des identités numériques pour nous y aider ?
Plus spécialement, je retiens l’affirmation enrichissante de l’identité numérique pour apporter un climat de
confiance. La confiance permet d’aborder le sujet de l’identité numérique d’une manière plurielle. En tant que
citoyen, que simple particulier, ou en tant qu’entreprise, qu’elle soit petite ou grande, nous pouvons tous
utiliser des identités numériques. Il est important de trouver le moyen que ce soit un facteur de confiance dans
notre utilisation de l’économie numérique.
Néanmoins, il convient que ces identités numériques ne soient pas détournées vers de la surveillance, il ne
faudrait pas passer de la confiance à la surveillance, comme le suggère l’actualité de ces mois-ci avec l’affaire
PRISM, car nous passerions alors de la surveillance à la défiance. La surveillance peut exister seulement s’il y a
des contre-pouvoirs. Nous pouvons utiliser ce jeu de mot un peu facile et dire « On ne peut pas laisser la
surveillance sans surveillance ». Regardons donc, tant aux États-Unis que de ce coté ci de l’Atlantique, quels
sont les contre-pouvoirs que nous avons mis en place ici ou ailleurs, comment nous pouvons améliorer la
transparence ? La dimension de transparence est nécessaire pour créer une économie de confiance. Les
Américains commencent à y réfléchir. En France, la CNIL doit pouvoir nous aider à construire cette dimension
essentielle pour l’identité numérique.
Un dernier point fondamental, l’identité numérique doit nous permettre d’évoluer, en échappant au débat, qui
me semble stérile, sur les infrastructures numériques, pour nous permettre de nous orienter vers celui des
usages, plus constructif. L’Europe me paraît en retard en la matière, et c’est préoccupant. Se focaliser sur les
usages destinés aux citoyens et des services apportés par les agents économiques est un débat beaucoup plus
essentiel pour construire notre économie numérique.
INTERVENTION DE L’INVITE D’HONNEUR :
ROBIN WILTON, DIRECTEUR DE L’INTERNET SOCIETY POUR L’IDENTITE ET LA
VIE PRIVEE.
Pour commencer, je voudrais mettre en évidence l’évolution entre deux concepts d’identité. Le premier, qui
regarde davantage vers le passé, est celui d’un accréditif (titre de créance), comme par exemple une carte
d’identité qui donne la « crédibilité » à une identité car elle est octroyée par un tiers dans le cadre d’un
processus de délivrance homologué. Il y a ici une relation d’authentification par la carte. Il y a aussi une
relation d’identification d’un individu unique parmi une population dans un domaine donné. Le deuxième
concept, plus moderne, vise à construire un profil à partir d’informations connues (les attributs), et qui pourront
m’être utile. Dés lors, le « qui nous sommes » est moins important pourvu que les informations que nous
pouvons attribuer sont d’utilisation « utile ».
L’exemple des informations financières ou de consommations utilisées par le « Big Data » caractérisent cette
deuxième tendance d’extrapoler votre profil (âge, sexe, catégorie socioprofessionnelle, goûts musicaux, choix
éthiques, etc..) via votre usage. Cette deuxième tendance comporte des côtés sombres sur le plan politique
7
(hyper surveillance, espionnage) ou sur le plan commercial de la publicité ciblée et de la monétisation des
données sans consentement de l’individu.
Surtout, la notion du contexte est essentielle car nous sommes habitués en tant qu’ « animal social » à donner
certaines informations à certaines personnes, en fonction du contexte précis, par exemple une conversation
avec un médecin. Détourner une information d’un contexte précis présente à l’évidence des risques importants.
Une des questions surprenantes dans l’identité numérique est aussi l’approche culturelle radicalement différente
d’un pays à l’autre vis-à-vis de l’identité des cartes électroniques (par exemple, sur ce point, l’approche en
Estonie est très différent de celle des États-Unis) ou de l’utilisation des identifiants uniques. Il s’agit d’un calcul
complexe dont les variables principales changent de pays en pays.
Quelques questions importantes : Ces identités vont-elles m’aider à contrôler mes affaires ou à être contrôlé ?
Est-ce que ce que je vais gagner en commodité, je peux le perdre en terme de vie privée ?
Je relève aussi quelques contrastes entre les deux cotés de l’Atlantique. Aux États-Unis, aucune loi
fondamentale n’établit le droit au respect à la vie privée, contrairement à l’Europe (article 8 de la convention
européenne des droits de l’homme). En revanche, il y a plusieurs lois d’application sectorielle comme la santé
(HIPAA), le COPA (protection des enfants en ligne), le Gramm–Leach–Bliley Act (donnée financières), et même
la régulation « Bork » qui traite de la location des cassettes vidéos. Il y a donc un patchwork de lois
sectorielles. La question qui se pose est : Est-ce qu’on veut privilégier les questions de croissance économique
ou les droits sociaux ? Aux États-Unis on entend souvent « à quoi bon la vie privée si l’économie est
moribonde ? ». En Europe on entend plutôt « à quoi bon l’économie si nous vivons dans un monde privé de
liberté ? ». C’est bien sûr entre ces deux grandes conceptions qu’il faut trouver les bons compromis.
8
PREMIERE TABLE RONDE :
L’IDENTITE NUMERIQUE SOURCE DE CROISSANCE EN EUROPE
Avec :
-
Madame Marie Figarella, présidente du groupe Identité Numérique, ACSIEL
-
Maître Diane Mullenex, avocat au sein de Pinsent Masons LLP
-
Monsieur Christian Schunck, coordinateur du projet européen SSEDIC, de l’université Tor Vergata de
Rome
-
Monsieur Robin Wilton, directeur pour l’identité et la vie privée, Internet Society
Modérateur : Guy de Felcourt, Forum Atena
Principales orientations:
Quelles sont les évolutions significatives de l’identité et de l’identification numérique
observées en Europe et dans le monde ?
Quelles sont les perspectives en termes de réalisation, de gouvernance, de schémas
d’organisation et de régulation (Eidas) ?
Quelle est la contribution attendue des services liés à l’identité numérique dans la croissance
économique européenne?
DIANE MULLENEX
Quel est le rôle des identités numériques aujourd’hui pour les acteurs de l’Internet et du ecommerce tel que vous pouvez l’observer ?
C’est un vaste sujet, merci. Le premier constat que chacun d’entre nous peut partager, c’est qu’un quart de la
population mondiale est connectée sur un des réseaux sociaux et, qu'à l'avenir, c'est par le biais de ces réseaux
que les internautes feront des achats, communiqueront avec des amis, joueront à des jeux, s’exprimeront sur
la Toile. Cela représente une masse de données colossale. L’industrie du e-commerce pose la question de savoir
comment utiliser au mieux cette masse de données pour faciliter les transactions. On peut distinguer
aujourd’hui plusieurs objectifs pour ces acteurs du e-commerce.
Plus vite on s’identifie, plus faciles seront la transaction et le paiement. Il y a bien sûr un côté d’incitation à
mieux se connaitre. Une bonne illustration est le 25% de chiffre d’affaire supplémentaire qu’Amazon dit réaliser
grâce à son système de suggestion personnalisé. Plus généralement, l’identité permet d’améliorer la
connaissance du besoin des clients. Optimiser la relation avec le client entre les données et la connaissance de
ses besoins d’un côté, et la qualité de service et de l’offre produit de l’autre. Enfin la monétisation de l’actif
« data » qui pourra être valorisé dans mon activité.
Quelle distinction faites-vous entre l’identité numérique de l’entrée en relation et celle de la
transaction ?
Il y a bien une différenciation nécessaire des niveaux d’identités. Les travaux de la Fondation Kantara sont
intéressants de ce point de vue. Quels niveaux d’identité dois-je avoir pour quel acte et quel consommateur ?
Entre une identité dans le domaine de la santé, dans le domaine financier ou dans notre vie administrative, et
celle utilisée dans le cadre d'actes de consommation simples sur Internet, il y a des différences qui supposent
des niveaux de sécurité clairement distincts.
C’est donc une question de choix stratégique pour les pays d’Europe comme pour les États-Unis que de choisir
l’écosystème qui sera à même de garantir les bons niveaux de sécurité en fonction des usages.
Comment peut-on concilier les objectifs des e-commerçants et acteurs de l’Internet avec les
préoccupations des citoyens sur l’identité numérique ?
Il est parfois de bon ton d’opposer d’une manière un peu manichéenne les intérêts des citoyens soucieux de
préserver leur vie privée, de ceux des acteurs du e-commerce. Pourtant, une comparaison entre deux chiffres :
29% de personnes sont préoccupées par le souci de préserver leur vie privée, mais seulement moins de 10%
modifient le profil de confidentialité par défaut qui leur est attribué. C'est-à-dire qu'au quotidien, peu de
personnes font vraiment l’effort de vérifier leurs identités et leurs données.
Dans toutes les économies qui ont avancé sur les identités numériques, il y a une volonté active des États (par
exemple Australie, Nouvelle Zélande, Espagne, Estonie) de travailler sur ces questions. Le e-commerce
9
contribue au développement de ces identités numériques, mais on ne peut pas dire qu’ils soient « assis sur le
siège du pilote ».
Quelle est la différence d’approche entre les États-Unis et l’Europe sur ces questions ?
Le cadre est différent, notamment sur la vie privée, mais surtout, l’orientation de l’approche est distincte. En
2009, lorsque l’administration Obama s’est saisie de la question de la stratégie sur les identités numériques,
j’observe qu’il y avait la volonté de mettre en place quelque chose de facile, compréhensible et peu coûteux
pour l’État.
Le plus grand sujet en Europe est comment concilier des intérêts nombreux et différents, et cela se traduit
notamment par la question de l’interopérabilité, c’est-à-dire au travers d'un standard commun et d'un futur
cadre de fonctionnement commun de ces identités numériques.
Cette dichotomie sur la manière d’aborder les chantiers crée des incompréhensions, mais de mon point de vue,
on ne peut pas dire qu’il y ait des incompatibilités, c’est plutôt de part et d’autre le reflet de la nécessité
d’ajuster les politiques publiques en la matière.
Quelle est votre vision sur l’évolution des cinq prochaines années ?
En 2018, on nous annonce en moyenne huit objets connectés par personne. Les connections « mobile to
mobile » sont de plus en plus actives et importantes, et l’Internet mobile, les objets connectés et le Cloud
viennent transformer ensemble le monde numérique.
Pour moi, le vrai défi pour l’identité numérique, c’est d’arriver à concilier ces technologies et évolutions de la
pratique notamment via des connexions multi-terminaux. Je pense à la sécurité, à la traçabilité et à la
responsabilité des acteurs, mais aussi la réversibilité des données, tout cela en lien avec le Cloud. Pour
beaucoup d’entreprises, le Cloud est aujourd’hui une obligation. Le Cloud est devenu un non-choix en raison du
coût de l’infrastructure.
Notre réflexion doit donc tendre vers l’identité numérique dans l’utilisation qui en sera faite par les entreprises,
notamment dans le cadre du Cloud et de ses évolutions technologiques.
En conclusion, quel est le message qui vous semble important ?
En ce qui me concerne, le plus important des messages serait d’améliorer la coopération publique-privée sur
cette question. Il est fondamental de mieux comprendre les contraintes respectives afin de pouvoir travailler
ensemble. Accentuer cette coopération est la seule voie possible pour permettre à l’identité numérique de
rencontrer ses véritables usages.
CHRISTIAN SCHUNCK
NB : propos traduits de l’anglais pour la restitution
Pour commencer pouvez-vous nous présenter le projet SSEDIC, son interaction avec
d’autres « Large Scale Pilots » et nous indiquer, sur la base de ce projet, quelles pourront
être vos recommandations auprès de la commission européenne ?
Oui, SSEDIC signifie « Scoping the Single European Digital identity Community ». Cette communauté, c’est en
fait d’abord un réseau d’experts sur l’identité numérique. Au cours de ces trois dernières années, le réseau a
travaillé sur la vérification de faits et sur l’analyse des points importants, dans la perspective de
l’interopérabilité des identités numériques des États Membres. SSEDIC travaille sur la manière dont l’identité
numérique nécessite des mesures particulières dans un certain nombre de domaines clefs, comme la gestion de
l’identité sur le téléphone mobile, la gestion des attributs, l’authentification, et enfin les mécanismes de
responsabilisation. Dans chacun de ces domaines, nous présentons à la commission européenne un ensemble
de recommandations. Après de longs et difficiles débats entre les experts, nous sommes heureux d’avoir atteint
des consensus significatifs sur ce sujet.
SSEDIC est en quelque sorte un projet atypique car il fonctionne plutôt comme un lieu d’échange et de
réflexion. Il est accompagné par d’autres projets, davantage portés sur la mise en œuvre de solutions
techniques. Un des plus connu est STORK qui, dans une première phase, à réussi tester les mécanismes
d’interopérabilité entre les programmes d’identité numérique qui existent dans les États Membres. STORK 2.0
adresse des questions non résolues par STORK, comme l’authentification basée sur des attributs ou sur le
contexte sans une identification unique préalable, ou des domaines particuliers, comme la banque ou la santé,
ou la gestion des mandats en lien avec l’identité des personnes morales. Le projet E-SENS est lui aussi
intéressant car il cherche à rassembler les briques de précédents pilotes comme EPSOS, PEPPOL, STORK 2.0, ECODEX… dans une consolidation d’ensemble. Citons également le projet FUTURE eID dont l’objectif est de créer
une application client e-ID qui puisse supprimer la complexité de nombreux autres systèmes d’identification
existants en réussissant une intégration, tout en améliorant le confort et la sécurité des processus
d’identification numérique.
10
Aux États-Unis, la stratégie fédérale a défini des critères pour le modèle d’adoption de
l’identité numérique : Ces critères sont, par exemple, la facilité d’usage, l’interopérabilité, la
sécurité, le respect de la vie privée, et des mécanismes de responsabilisation. Qu’en est il
pour l’Europe ? Quels seraient selon vous les critères pour le modèle d’adoption de l’identité
numérique en Europe ?
Oui, un modèle européen existe. Lorsque l’on compare les États-Unis et l’Europe, il est important de faire la
part des choses. Les États-Unis forment un seul pays. Ils ont aussi la chance d’héberger les grands acteurs de
l’Internet : Microsoft, Facebook, Google, Apple etc. En Europe nous avons des approches nationales de la
gestion des identités numériques, pour le moins une vingtaine d’approches différentes. Très souvent les
programmes ont été construits avec une insuffisante perspective d’utilisation économique ou commerciale. De
plus, nous avons constaté que par manque de moyens financiers, il y a eu très peu d’intégration entre les
systèmes existants, tant sur le plan technique que dans l’organisation des procédures et la relation entre les
back-offices. Ce manque d’intégration s’est fait spécialement ressentir à l’échelon local et régional.
Nous constatons néanmoins des avancées très intéressantes. Par exemple, lorsque le déploiement des cartes
d’identité électroniques est coordonné à l’authentification via mobile. On peut visualiser un succès de cette
combinaison, par exemple, en Autriche ou en l’Estonie.
On peut dire aussi que le modèle nordique (Suède, Norvège, Danemark) associe souvent des usages d’eadministration avec certains usages économiques, notamment la banque en ligne. L’usage de ces modèles
collaboratifs multi-usages est également prometteur.
Y a-t-il des compromis possible entre la vie privée, la sécurité, et le confort d’usage, par
exemple dans l’identité sur le mobile ?
Chez SSEDIC nous recommandons l’adoption de l’identité numérique sur mobile car elle permet des utilisations
fréquentes et commodes. Sur le compromis entre sécurité et vie privée, il est clair qu’il faut un bon niveau de
vie privé et de sécurité. Parfois cela passe effectivement par une utilisation combinée de deux supports distincts
comme la carte et le mobile. Il faut veiller à la cohérence globale des programmes mis en œuvre.
Dans le projet de règlement européen, il existe deux possibles émetteurs d’identité
numérique : les États membres, qui sont des entités publiques, et des fournisseurs
d’identité privées, qui sont des entreprises. Quelles seront leur responsabilité vis-à-vis de
identités émises, seront-elles équivalentes ou différentes ?
C’est une question importante sur laquelle il nous faut être très attentif. Notre recommandation auprès de la
commission est que l’utilisateur puisse connaitre précisément les niveaux de responsabilisation et de fiabilité qui
peuvent découler de l’utilisation de tel ou tel schéma d’identité. L’autre point clef est qu’au-delà de la
responsabilisation légale de l’émetteur de l’identité, il faut également un écosystème qui puisse fonctionner
techniquement afin d’assurer le suivi, la traçabilité, parfois avec un décalage dans le temps, et la correcte
imputabilité correspondante.
Comment voyez-vous l’évolution de l’identité numérique sur les cinq prochaines années ?
Un développement important, que je constate, est l’évolution vers l’utilisation plus intensive des attributs,
plutôt que d’un seul identifiant, fut-il fixe ou universel. Des attributs comme une adresse, un âge, un agenda,
sont des attributs qui ont beaucoup d’intérêt pour la relation entre un utilisateur et une société de service public
ou commercial. J’entrevois donc une évolution importante dans le rôle de l’identité numérique pour porter et
transmettre, avec le consentement de l’utilisateur, ces attributs clefs, avec un niveau d’assurance adapté, dans
la relation entre un individu et une entreprise ou une administration.
En conclusion, y a-t-il un message que vous souhaitez partager avec l’audience ?
Je souhaiterais délivrer un message sur le futur de SSEDIC. C’est une communauté vivante et active, et après
cette période de funding par la commission européenne, nous invitons tous ceux qui sont intéressés par la
continuité du projet à dialoguer avec nous (www.ssedic.eu).
MARIE FIGARELLA
Pouvez-vous nous dire en introduction ce qu’est l’ACSIEL et en quoi l’identité numérique est
importante pour vous ?
Effectivement l’ACSIEL (Alliance des Composants et Systèmes pour l’Industrie Électronique) est née de la fusion
du GIXEL (Groupement des Industries de l’interconnexion des composants et des sous-ensembles
électroniques) et du SITELESC (Syndicat des Industries de Tubes Électroniques et Semi-Conducteurs). Depuis
dix ans, nous avions un groupe de travail qui s’appuyait sur la carte à puce et qui maintenant s’appelle
« Identité Numérique ». Ce groupe de travail rassemble des entreprises leaders mondiaux de la sécurité
numérique, très actifs. La majorité de leur recherche et développement est réalisée en France, et leur chiffre
11
d’affaire est fait à plus de 85% hors de France. Ces sociétés ont exporté un important savoir-faire et sont
capables de travailler ensemble sur le sujet de l’identité numérique.
Quelle est votre vision sur l’évolution mondiale de l’identité numérique et en quoi les objets
sécurisés ont un rôle à jouer ?
Le premier constat et que l’identité numérique est en marche dans le Monde. Qui n’a pas un « Facebook
connect » ou un « Apple Id », pour se connecter sur les réseaux ? Notre conviction cependant, est que l’identité
numérique doit être inscrite dans un contexte réglementaire, et surtout doit permettre la protection de la vie
privée, par exemple sous forme d’un coffre fort personnel où nous avons notre identité et nos données
sensibles. A notre portée, nous pouvons utiliser des objets portables personnalisés, comme les cartes bancaires
ou les téléphones mobiles. Cela permet d’avoir les données et les clefs pour y accéder.
Nous avons de formidables exemples par le passé, comme la carte SIM qui fait partie de l’identité numérique au
sens de savoir « qui vous êtes pour téléphoner sur un réseau ». Par la standardisation et la mise en place de
l’interopérabilité, il y a eu un fantastique essor de ces solutions.
En 2013 il y aura plus de 7 milliards d’objets portables personnels sécurisés émis dans le monde, c’est un
déploiement massif et les entreprises françaises du secteur sont en pointe dans ce domaine.
Est-ce que ces objets peuvent permettre une vraie interopérabilité sécurisée ?
Oui, nous le pensons. Une des particularités du groupe Identité numérique de l’ACSIEL est d’être une source de
valeur ajoutée avec des spécifications, des outils de tests, des profils de protection, afin de permettre de
transposer le succès de la carte SIM, de la CB ou des passeports sécurisés vers le monde de l’identification
numérique, de l’authentification et la signature.
L’Europe a un rôle fondamental. La législation eIDAS liée à l’agenda numérique 2020, donne clairement les
bases de la mise en place de l’identité numérique en Europe. Notre rôle est de proposer des outils et le
« comment faire », c'est-à-dire la mise en place concrète de cette identité numérique, avec des spécifications
partagées entre des sociétés européennes, notamment franco-allemandes, permettant une véritable
interopérabilité.
Nous croyons que l’Europe peut remporter ce défi de l’interopérabilité. L’Europe en a les moyens et
certainement l’ambition. On commence à le voir dans certains pays : on a parlé de l’Estonie, l’Allemagne. La
France est certes en retard, mais nous pensons qu’elle pourra, par la mise en place de cette régulation et des
outils apportés par les industriels, progresser demain et mettre en place cette interopérabilité.
Entre la prérogative des États membres sur l’identité et la nécessaire coordination
européenne des règles de l’interopérabilité, y a-t-il une question de gouvernance ?
L’identité est du ressort des États membres. Dans le règlement, on parle d’ailleurs « d’identification ».
Néanmoins, Il y a une volonté conjointe de travailler ensemble sur un cadre réglementaire conjoint. Nous avons
tous à l’esprit la directive « Signature Électronique » de 1999, où par manque d’un cadre commun dans la
transposition, nous avons tous des textes d’application distincts. Permettre un cadre d’interopérabilité, c’est
l’objectif de la régulation commune. Nous sommes fortement impliqués et aussi en relation avec l’État français.
Nous avons souhaité favoriser la certification des outils de signature pour que tout le monde soit au même
niveau, sans pour autant entrer dans les choix régaliens de chaque État, ce qui n’est pas notre rôle.
Pensez vous que l’identité numérique pourrait être le déclencheur d’un bien meilleur
fonctionnement de l’économie numérique ?
Oui, Je le crois. L’identité numérique fait partie de la confiance numérique et participera à la croissance. Il
existe une incertitude sur le passage du règlement en 2014. La fenêtre pour que le règlement européen passe
est courte. Nous verrons… Le règlement n’est pas parfait, mais soyons lucides, il constitue une véritable chance
pour l’Europe. C’est un socle qui permet de travailler et qui encouragera fortement le fonctionnement des
usages du numériques en Europe.
L’Europe, sans s’opposer au modèle américain, a aussi clairement un rôle à jouer dans ce domaine.
Comment l’identité numérique peut-elle contribuer, selon vous, à la modernisation des
services, à la compétitivité et à la croissance économique ? Pourriez-vous donner un ou
deux exemples ?
Il existe beaucoup d’exemples, je me contenterai d’en indiquer quelques uns. On a parlé de l’Estonie. Dans ce
cas, ce qui nous frappe, c’est la stratégie bien réfléchie d’utilisation qui a permis d’amortir le coût des
infrastructures. Les applications permettent dès lors d’être construites sur un coût marginal. Par exemple, le
dossier médical qui a un coût de 7 Euros par citoyen. Comment cela contraste avec les difficultés que nous
rencontrons en France sur ce même sujet !
A partir du moment où l’on met en place des infrastructures et une identité numérique forte basée sur une
carte et/ou un objet mobile, on participe à la confiance numérique et aux échanges. Bien entendu il faut laisser
12
le choix entre différents niveaux, mais à chaque fois que l’engagement est nécessaire, une identité forte (avec
authentification et signature) est le garant de la validité des actes réalisés.
C’est aussi un facteur important pour notre croissance. Il suffit de constater que la part de croissance de
l’économie numérique aux États-Unis est deux fois plus forte qu’en France. Accélérer les usages numériques par
l’identité numérique est donc clairement une impulsion pour la croissance dans notre pays.
Auriez-vous un mot de conclusion, sur les évolutions à attendre ?
Si la bataille de l’Internet a clairement été gagnée par les États-Unis, cela ne veut pas dire que nous ne
pouvons pas réaliser des innovations qui fonctionnent globalement en Europe. Le défi de la sécurisation de
l’Internet est aujourd’hui posé et, pour moi, il passe par des identités numériques fiables.
L’entreprise, c’est la vie, et pour protéger nos entreprises et nos vies, nous pouvons compter sur les savoirfaire des industries du secteur. Il nous faut apprendre à proposer ces savoir-faire à l’ensemble des acteurs. De
mon point de vue, nous sommes à un tournant, et face aux pressions sur les identités logicielles et aux risques
cybercriminels, sachons avancer avec des solutions simples, interopérables et efficaces.
ROBIN WILTON
En quelques mots, pouvez vous décrire ce que représente « l’Internet Society »
aujourd’hui, et quel est le sens de son action ?
L’ISOC, c’est une organisation globale avec une implantation partagée à Washington, Genève, Singapour. Cette
organisation sans but lucratif obtient ses fonds via les frais d’enregistrement des racines de l’internet en (.org)
et aussi via des cotisations d’individus – nous comptons environ 70 000 adhérents individuels. L’organisation
est de taille réduite (moins de cent personnes salariées) mais est présente partout avec environ 90 chapitres
dans les pays du Monde.
« L’Internet est pour tout le monde ». C’est le crédo de l’ISOC. Cela veut dire qu’il faut trouver un équilibre
durable entre les intérêts des États, des entreprises et des individus. L’ISOC veille notamment à ce que les
intérêts des individus soient présentés lors des Forums de l’OCDE, de l’IGF ou le Forum Économique Mondial de
DAVOS et ailleurs. Il ne s’agit pas de lobbying mais d’offrir des conseils impartiaux, de préférence au niveau
supranational.
L'ISOC héberge aussi l'IETF (Internet Engineering Task Force) – organisation pour les spécifications des
technologies Internet. Ceci permet une perspective technique unique sur l’évolution de l’infrastructure Internet,
par exemple la migration vers IPV6, l’architecture d’acheminement, la sécurité DNS, et des considérations
similaires.
Quant au développement de l’Internet, l’ISOC fait des expériences sur les points d’échange Internet,
notamment pour favoriser son développement dans les pays émergents.
Ici, en Europe, je crois que c’est aux Pays Bas qu’il y a le plus grand nombre de points d’échange de connexions
Internet.
Dans le domaine de l’identité et de la vie privée, nous promouvons des didacticiels pour apprendre comment
comprendre et gérer son identité numérique, et nous sommes en train de faire la même chose sur les
empreintes que nous laissons sur les réseaux (Digital Footprints).
Quel est votre point de vue sur le règlement européen ? Pensez vous que le projet de
règlement est la bonne manière de s’y prendre pour construire l’identité numérique en
Europe ?
Il y a une nécessaire implication de la politique et des gouvernements. Je suis d’accord avec Madame Marie
Figarella sur ce point. Il faut surtout délier les lois des technologies spécifiques. Un exemple de cette déviance
néfaste est la fameuse « loi des cookies ». Il y avait de bonnes intentions, mais cela s’appuyait sur une
insuffisante compréhension de la technologie. Il ressortait de cela une simplification à outrance entre les bons
cookies et les mauvais cookies, mais sans une recette pour les distinguer facilement (car, à vrai dire, une
distinction facile ne se fait pas).
Sur le modèle de gouvernance et d’organisation, quelle est votre vision ?
Oui, il y a de bonnes idées dans le modèle de gouvernance IDESG proposé aux États Unis, par exemple la base
très rationnelle et construite, on y lit les principes de fiabilités définis (ONB-04-04), ensuite sur la pratique de
cette fiabilité (NIST 800-63 ou maintenant ISO 29115). Les quatre niveaux de fiabilité suffisent pour la gamme
des besoins d’identification, de la plus forte à la moins sécurisée.
Néanmoins, j’entrevois deux questions avec l’IDESG, qui pourraient être gênantes. La première est la
coopération étroite entre les entreprises privées commerciales et le gouvernement. Certes il y a un effet
bénéfique pour l’interopérabilité et l’utilité des services conjoints. Mais après l’affaire Snowden, la révélation de
13
relations très étroites entre des services commerciaux et les services secrets pourraient « polluer le puits » en
créant une confusion des intérêts.
La deuxième question est le manque de fournisseurs de services présents dans les réunions. Cela donne
l’impression de manquer pour l’instant de « momentum » sur la mise en service effective de ces identités.
L’approche de gouvernance européenne ne sera-t-elle pas trop rigide ?
Avec 27 États membres et la limite stricte des prérogatives entre les États Membres et la Commission, c’est un
aspect inévitable plutôt qu’un reproche.
Quels sont les points clef de la gestion des identités numériques dans la transformation de
l’économie ?
Je crois que si c’est uniquement sur l’utilisation commerciale des données personnelles que l’on construit
l'analyse économique les identités numériques, on va manquer le vrai niveau du défi qui nous est posé. De plus,
nous pourrions aussi manquer au respect de la dignité humaine. Il faut vraiment arriver à inscrire l’utilisation
des identités numériques dans l’utilisation de services choisis avec de vraies valeurs ajoutées.
L’Internet de demain, ce sont aussi des milliards d’objet connectés qui communiquent entre
eux et avec des applications sur un serveur. L’identification numérique est là aussi
fondamentale. Quel est le rôle de l’identité numérique dans l’Internet des Objets ?
Je vois une croissance énorme du nombre des identités qui nous entourent. Déjà, chacun de nous, nous avions
une multitude d’identités avec nos différents comptes, et nous observons maintenant un nuage d’objets qui
nous identifient, qui nous entourent sans notre consentement explicite. Cela peut nous préoccuper, d'autant
plus à partir du moment où ces objets sont intelligents et qu’ils commencent à parler entre eux.
De ce point de vue, une expérience intéressante est d'essayer d’avoir deux portables avec deux identités
totalement distinctes. Par exemple non connectés au même service et non identifiés de manière similaire. C’est
un exercice quasiment impossible, tant dans l’acte d’enrôlement que dans l’identification. Imaginez maintenant
avec nos multiples objets communicants : tablettes, Smartphones, ordinateurs de poches, etc... Ce nuage
d’objets nous identifie et nous authentifie.
Une des leçons est, bien entendu, qu’il nous faut faire preuve de sélectivité dans les informations que nous
révélons sur nous même. Heureusement il y a des outils qui vont nous aider à faire cela.
Les outils eux-mêmes ne suffiront pas. Il faudra aussi changer nos habitudes en tant qu’utilisateurs et modifier
l’équilibre entre ce que « je souhaite pour ma vie privée » et ce qui « me plait » dans un certain confort.
Un mot de conclusion ?
Quand nous présentons un billet de cinq Euros à la pâtisserie pour acheter un gâteau, personne n’a besoin de
connaitre notre identité. Sur les réseaux numériques on peut souvent envisager un comportement similaire.
Beaucoup vont prétendre que « si nous n’avons rien à cacher, il n’y a rien à craindre ». Ce n’est pas mon point
de vue. Je pense que « l’être social » que nous sommes, a un besoin inhérent de vouloir cacher quelque chose,
offrir des nuances, des adaptations, des subtilités...
La question de l’identité est aussi de savoir trouver comment pouvoir traduire cette subtilité humaine en ligne.
---------- FIN DE LA TABLE RONDE ----------
14
LA PAROLE AUX SPONSORS : ORANGE
Lors de cette intervention, la société Orange met en valeur les différents usages et compartiments de la vie
personnelle, sociale ou professionnelle dans lesquelles l’identité peut être impliquée via le téléphone mobile.
Orange présente quelques unes de ses actions dans le domaine, en liaison avec ses centres d’innovation et de
recherche. Orange rappelle ses engagements autour de la relation de confiance avec ses clients : la sécurité, le
consentement et le contrôle des données par l’utilisateur, la transparence sur leur utilisation,
l’accompagnement sur la gestion de l’identité et des données.
Pour plus d’information merci de contacter la société Orange.
15
DEUXIEME TABLE RONDE :
QUELLES IDENTITES NUMERIQUES POUR LA FRANCE ?
Avec :
-
Monsieur Didier Chaudun, vice-président, ACN
-
Monsieur Mathieu Jeandron, chef du service stratégie, SGMAP
-
Monsieur Hervé Lebec, vice-président de la commission identité numérique, ACSEL
-
Monsieur Charles du Boullay, président IDEnum
Modérateur : Charles Copin, journaliste
Principales orientations :
Quelles sont les principales visions de l’identification numérique en France ? Quels sont les
projets et les initiatives en cours ?
Pour quels usages et quel modèle économique ?
Quelle est la stratégie de l’État ? Les visions défendues par les Entreprises, Administrations,
Associations du Numérique, sont-elles compatibles ?
Quels enseignements en retirer ?
HERVE LEBEC
Pouvez vous nous rappeler ce qu’est l’ACSEL et la commission identité numérique ?
Bonjour à tous. La commission identité numérique existe depuis 2009 au sein de notre association et vise à
réunir un certain nombre d’acteurs de l’économie numérique afin de réfléchir et d’anticiper vis-à-vis d’un certain
nombre d’évolutions. Dès 2007, nous avions ressenti que les conditions d’accès aux services allaient être
impactées et ordonnées par les notions d’identification, d’authentification, dans un contexte de
dématérialisation, en quelque sorte, à l’époque, « un signal faible » auquel il fallait déjà s’intéresser, car
porteur de l’échange des services dématérialisés de plus en plus fluides.
Depuis, le sujet à pris une importance grandissante entre des acteurs multiples, tant par leur typologie, leur
identité, que par la nature des échanges (interpersonnels ou consommateurs-entreprises) mis en œuvre. Le
débat a pris progressivement une forme technique (l’identité numérique versus l’identité régalienne) et même
acquis une dimension économique avec des impacts de filières, et même de création d’emploi.
Pour nous cependant, il était important de réexaminer la question de l’identité numérique à l’aune du cadre de
la confiance numérique. Il était donc important de s’intéresser à la création d’un cadre de confiance numérique
et objectiver les conditions de la création de ce cadre.
Nous avons décidé de lancer des actions concrètes. Par exemple, nous travaillons à l’élaboration d’une charte
de confiance numérique, une démarche qui réunit un ensemble d’acteurs du numérique qui veulent œuvrer
pour cette confiance. Signalons que, participent à ces travaux aux côtés de l’ACSEL, plusieurs organisations y
compris, Forum ATENA, l’ACN, le SGMAP, etc.
La confiance numérique s’exprime dans un cadre qui veut réunir les entreprises, les pouvoirs publics et les
utilisateurs finaux. Il est d’ailleurs impératif de mettre ces utilisateurs au cœur de l’écosystème envisagé.
On a essayé de préciser cette pensée de la confiance numérique en publiant en juin 2013, un livre sur « la
relation numérique de confiance : des enjeux des identités numériques » afin de donner corps à cette idée et
de créer un cadre de confiance.
On parle d’identité numérique? On parle aussi d’identité dans le monde régalien, c’est
d’ailleurs la base de notre droit… quel lien faut il faire ? Ne faudrait-il pas mieux parler
d’identification numérique ?
Pourquoi pas ? Les mots, on ne les choisit pas. Ne nous trompons pas de débat, la confusion entre l’identité
numérique et l’identité régalienne pourrait nous emmener sur des voies de garage.
Pour nous, ce qui compte, c’est que la relation dans l’accès aux services ne peut pas se faire sans l’échange de
confiance entre celui qui propose et celui qui consomme. Or, il y a de plus en plus une intermédiation
numérique, il y a donc un besoin de créer une confiance bilatérale entre le consommateur et le fournisseur de
services numériques, au sein d’un cadre général.
16
Peut être le mot identification numérique serait-il préférable au mot identité numérique, mais force est de
constater que c’est le mot identité numérique qui s’impose. D’ailleurs le même débat existe sur le mot
numérique. Est-ce que le « numérique » c’est la technique, ou l’organisation sociale, ou les contenus, ou
l’intermédiation entre les uns et les autres ? Ce sont des mots qu’il faut manier avec précaution, en précisant
notre pensée.
Que pensez-vous de la puissance des grands acteurs américains de l’Internet vis-à-vis des
services numériques ? Comment la ressentez-vous ?
Qu’est ce qui est en jeu ? Il existe effectivement sept ou huit grands acteurs aujourd’hui, qui ont su mettre en
place de véritables écosystèmes avec une dimension « service » et une dimension « identification » pour l’accès
à ces services.
La puissance marketing de ces écosystèmes, essentiellement américains, fait que par défaut, ils sont en train
d’imposer des nouveaux standards de comportement. Il y a du bon, comme la simplicité croissante pour les
utiliser, et des interrogations sur le niveau de sécurité et de garantie sur la vie privée. L’actualité nous permet
d’ailleurs une prise de conscience de ces risques à travers ce qui a été mis en lumière, dans l’affaire PRISM.
Nous avons, quant à nous, un rôle à jouer dans l’écologie de notre comportement par rapport à ces
écosystèmes. Nous retrouvons ici l’importance de l’organisation d’un cadre de confiance, y compris dans ses
aspects de régulation. Ne nous laissons pas intimider ici par la puissance de ces écosystèmes. Il nous faut
discuter et coopérer avec notre marge de manœuvre. Nous avons une possibilité d’agir par la réflexion, la
décision et l’action.
DIDIER CHAUDUN
Qu’est ce que « l’Alliance pour la Confiance Numérique » ?
La notion de la confiance numérique est insuffisamment définie, comme nous avons pu le vérifier dans une
enquête récente auprès de plusieurs centaines d’entreprises. Nous travaillons sur ce sujet : qu’est ce que la
filière dans son ensemble et quelle est la bonne segmentation pour fédérer ces acteurs dans leur ensemble ?
L’alliance pour la confiance numérique représente aujourd’hui une filière d’environ 700 entreprises totalisant 13
milliards de chiffre d’affaire (dont 3,5 milliards en France), 80 000 employés dans le monde (40 000 en France).
C’est un secteur qui connait une croissance annuelle de l’ordre de 7%. Ce secteur est très disséminé, il y avait
un besoin de regrouper et de représenter toutes ces entreprises vis-à-vis des enjeux croissants de confiance,
de sécurité et d’identification, et de sensibiliser la société civile, ainsi que de construire un dialogue avec les
pouvoirs publics sur ces sujets.
Le groupe Identité Numérique, qui fonctionne au sein de l’Alliance, a publié plusieurs documents de réflexion et
depuis 2012, nous avons mis en œuvre ces chantiers en y associant une plusieurs fédérations professionnelles,
mais aussi d’autres associations du numérique externes à l’ACN, pour aboutir à la création d’une vraie « feuille
de route de l’identité numérique ». Nous cherchons le dialogue avec toutes les parties intéressées au sujet de
l’identité numérique tant en France qu’en Europe.
Cette année, nous ouvrons un nouveau chantier, c’est la mise en place de la « privacy by design » au sein de
l’identité numérique. Nous voulons aussi contribuer à la création de la charte mentionnée par Monsieur Hervé
Lebec et nous collaborons aussi au conseil de l’industrie de la confiance et de la sécurité (CICS), mis en place à
la demande du premier ministre.
Quel est le modèle de l’identité numérique que vous proposez à l’État ?
Le modèle de l’identité numérique que nous proposons est un modèle ouvert, sachant reconnaître plusieurs
niveaux de sécurité en fonction des usages. Néanmoins pour les usages régaliens ou lorsque des niveaux de
sécurité élevés sont exigés, nous recommandons que les identités émises par des identités privées aient un lien
avec les identités régaliennes et puissent être certifiées sur leurs niveaux de sécurité.
Comment voyez-vous la question de la sécurité de l’identité numérique dans le contexte de
la sécurité différente des supports existants aujourd’hui : titres régaliens, cartes bancaires
ou téléphones mobiles ?
Du point de vue de l’organisation de la sécurité, d’abord il faut revenir au cadre directeur prévu dans notre
feuille de route. Celui-ci prévoit en premier lieu la création d’un cadre réglementaire adapté qui puisse
s’appliquer à tous les émetteurs d’identité numérique. Pour accompagner ce cadre réglementaire, il est prévu
un schéma de certification afin de permettre l’interopérabilité, la sécurité, et le respect de la vie privée et de la
confidentialité des données personnelles. Si nous tenons ces objectifs, une identification mobile pourrait
s’avérer aussi sécurisée qu’une identification régalienne.
Sur le plan de la sécurité technique des supports, nous pensons que la carte à puce électronique, notamment,
permet d’apporter les meilleurs niveaux de sécurité. Mais l’ANSSI, qui interviendra cet après midi, sera sans
17
doute plus à même de donner une opinion fondée. Aujourd’hui les objets sécurisés portables « secure
elements » doivent représenter plus de la moitié de leurs processus de certification.
Sur le plan européen, comment voyez-vous les choses ?
En Europe, aujourd’hui, le point majeur est le projet de règlement sur l’identification électronique et les services
de confiance « Eidas ». C’est un projet qui, de notre point de vue, est structurant. L’Europe est un bloc
économique important. Pour faire face au projet américain NSTIC et pouvoir discuter à égalité avec les ÉtatsUnis, il est important que l’Europe se dote des outils et du cadre réglementaire nécessaires en la matière.
C’est pour cela que nous soutenons ce projet de règlement. Nous souhaitons qu’il soit voté avant la fin de la
législature, sinon il serait reporté vraisemblablement de deux années supplémentaires au minimum, ce qui nous
donnerait un retard considérable sur cette question qui est une réalité mondiale.
Dans le cas où le projet est voté, nous aurons alors à faire face à la mise en place des actes délégués et il nous
faudra alors être vigilants, car il existe parfois une vision trop « consumériste » avec une réduction des coûts
visibles, au détriment de la qualité et de la fiabilité et de la pérennité des solutions mises en œuvre. Sur ce
plan, une meilleure coopération entre l’État et l’Industrie, que nous appelons de nos vœux, doit devenir une
réalité afin que les actes délégués et la législation secondaire vis-à-vis du projet de règlement ne se fassent pas
au détriment de notre industrie et de nos emplois.
Un an après la publication de la feuille de route par l’ACN, quelle est la situation ?
La situation est mitigée. Rappelons-nous d’abord que cette feuille de route est une action citoyenne
d’entreprises dont l’activité est essentiellement internationale, mais qui cherchent à apporter des solutions et
leur savoir-faire pour les problèmes qui se posent au plan national.
Nous nous réjouissons d’ailleurs que cette initiative citoyenne ait reçu l’appui de quinze associations, qui
n’étaient pas des membres de l’ACN et qui nous ont rejoints à cette occasion, pour contribuer à la mise au point
de cette feuille de route.
Un an après, nous sommes contents de certaines initiatives, comme celle d’IDEnum et la consultation du
SGMAP sur l’identité numérique. Cela prouve que le projet que nous avons porté commence à intéresser.
Néanmoins, nous pensons que l’État (Gouvernement et Administration) doit aller beaucoup plus loin pour
prendre à bras le corps un sujet aussi important. Il y a besoin d’un vrai porteur politique sur ce sujet, il y a
besoin d’un coordinateur des actions publiques. Rappelons qu’une quinzaine de personnes travaillent autour de
ces sujets dans divers ministères. Nous devons avoir une coordination et un portage politique. Ne nous leurrons
pas, c’est essentiel. Nous tenons à réaffirmer les besoins pour la France dans le monde international et
moderne d’aujourd’hui, de pouvoir définir, comme l’ont déjà fait presque tous les États de l’OCDE, une vraie
stratégie réfléchie, coordonnée et dotée d’un plan d’action en matière d’identité et d’identification numérique, y
compris pour sa mise en place dans les services publics.
CHARLES DU BOULLAY
Qu’est ce qu’IDEnum ?
IDEnum est d’abord un label permettant de développer une vraie interopérabilité pour l’identification et
l’authentification des personnes physiques, pour accéder aux services en ligne. Aujourd’hui, c’est aussi une
société, mise en place pour démontrer la faisabilité de l’interopérabilité des identités numériques et trouver le
bon modèle économique, grâce à des pilotes sur un premier niveau de périmètre, durant une phase
expérimentale.
La société a été dotée de deux millions d’Euros pour démontrer que cette interopérabilité, c’est possible. Si
nous arrivons à remplir les objectifs fin 2014, la société s’ouvrira pour grandir et développer son écosystème en
France.
Quel est le calendrier d’ici fin 2014 ?
Les premiers travaux des premiers mois ont consisté à bien comprendre ce que souhaitent les acteurs du
marché. Les acteurs du marché sont les internautes et les opérateurs de service. Il nous faut pouvoir mesurer
les bénéfices de sécurité et les bénéfices économiques que ces acteurs vont tirer de la mise en œuvre de
l’identité numérique.
Nous travaillons de manière quotidienne avec nos quatre actionnaires de référence, sur plus d’une dizaine de
millions de clients et multiples usages en cette matière, de la location de voiture jusqu’au travail temporaire.
Nous travaillons pour définir quels seront les pilotes de demain en la matière.
Aujourd’hui, nous sommes en phase de rédaction des cahiers des charges fonctionnels avec les émetteurs
d’identité numérique.
Pour les accepteurs, c'est-à-dire les fournisseurs de services, nous avons aussi fait des études très précises sur
les besoins et la manière dont IDEnum peut y répondre.
18
Nous souhaitons aussi travailler en étroite collaboration avec le secteur privé, l’industrie, et les agences de
l’État. Par exemple, l’ACN, le SGMAP, l’ANTS sont associés à la réflexion sur nos projets et travaux. Il est
important pour nous d’avancer en cohérence avec ce qui se fait ailleurs. Par exemple si demain IDEnum ne
permettait pas d’accéder à un certain nombre de services publics, nous serions passés à coté de quelque
chose !
Quels sont les points critiques, par exemple comment traitez-vous la phase d’enrôlement ?
Le maniement de l’enrôlement est effectivement un point difficile.
Pour nous, il existe deux pré-requis. D’une part un enrôlement d’une identité doit être fait en face à face, car
certaines informations doivent pouvoir être vérifiées. D’autre part, l’utilisateur doit rester maître des
informations qu’il acceptera de diffuser.
Alors comment enrôler 42 millions d’internautes, autant de clients potentiels pour IDEnum ?
En fait, aujourd’hui, nous partons d’un constat : notre banque nous connait déjà en tant que client. De même,
la Poste, si nous avons fait des procurations pour nos recommandés, nous connait également. Dans les travaux
que nous menons, l’idée est d’utiliser les bases existantes, notamment lorsqu’elles sont parfaitement validées,
pour réaliser cet enrôlement et demander aux clients la possibilité de leur créer une identité numérique à partir
de ces informations.
Notre objectif est d’arriver à rassembler rapidement quelques millions, voire dizaine de millions, de clients dans
un système qui fonctionne et qui soit pertinent économiquement.
MATHIEU JEANDRON
Le Secrétariat Général de la Modernisation de l’Action Publique (SGMAP), est une structure administrative qui a
pour vocation d’améliorer la qualité du service public, de réduire les dépenses de fonctionnement, et de
transformation. Un autre de nos objectifs est de transformer l’administration vers plus d’efficacité, via la
simplification administrative, notamment vis-à-vis des entreprises.
Par exemple, nous avons procédé à la mise en place du chantier « dites-le nous une seule fois » pour les
entreprises, permettant de diminuer la charge bureaucratique associée à certains processus. Simplification du
droit et des processus de gestion.
La transition numérique de l’État relève aussi de notre responsabilité. Une prise de conscience qui
progressivement gagne les sphères de l’État. L’État doit se transformer en profondeur pour moderniser ses
systèmes d’information et se mettre à l’heure du XXIème siècle.
Enfin nous essayons d’être un catalyseur de l’innovation au niveau de l’Administration, avec par exemple des
travaux sur « l’open data » ou la prise en compte des initiatives et projets, avec un renouveau méthodologique
comme nos « start-up internes » pour des améliorations de l’action au sein de l’État.
Qu’en est-il du sujet « identité numérique » ?
Le sujet de l’identité numérique n’est pas abouti aujourd’hui. Néanmoins, après les difficultés liées à la censure
du Conseil Constitutionnel, l’État souhaite reprendre le sujet de l’identité numérique et il serait faux de dire que
rien n’est fait.
Par exemple la Direction Générale des finances publiques a publié une stratégie qui prend en considération
l’identité numérique.
Nous avons tous un compte fiscal qui offre une identité numérique. L’idée est donc de vérifier, plutôt que de
repartir de zéro, si cette identité numérique (ou une autre : celle de notre compte d’assuré social, ou
d’allocation familiale) peut être réutilisée par d’autres administrations dans le cadre d’un écosystème de type
fédération d’identité.
En ce qui concerne le règlement européen, nous sommes confiants, au vu des travaux menés et échangés, qu’il
sera adopté, ce qui serait là aussi un progrès important.
Quels sont les axes de priorité de l’action de l’état en la matière ?
La priorité aujourd’hui est la réduction des dépenses inutiles. Heureusement le numérique est là pour nous
aider car il nous faut des réformes structurelles d’organisation.
L’identité numérique, c’est le sujet des interactions entre toutes les administrations et les usagers. C’est un
sujet transverse majeur au sein de l’administration publique.
Jusqu’à présent chaque administration a fonctionné en silos. Il n’y a pas ou peu de lien aujourd’hui au sein des
services de l’État entre émetteurs d’identités et accepteurs d’identités, alors qu’on a tout intérêt à mutualiser ce
dispositif, au profit de la simplicité pour le citoyen et de l’économie pour les systèmes d’information de l’État.
19
Pour nous il n’y a pas d’antagonisme fondamental entre les besoins d’identification au niveau des services de
l’État et celui pour les services privés. Bien entendu des considérations de niveaux de sécurité doivent pouvoir
s’appliquer au cas par cas.
N’y a-t-il pas un risque d’interconnexion des fichiers ?
Nous n’avons pas besoin d’un système centralisé. Au contraire, nous cherchons à privilégier une notion de
fédération ou d’écosystème plus ouvert qui permette une vraie flexibilité des citoyens pour leurs usages vis-àvis de l’administration.
Nous ne souhaitons donc pas d’identifiant unique, mais plutôt une organisation où l’authentification permettrait,
à la demande de l’usager, à l’un des services de l’État d’accéder aux identités créées par un autre servic. Une
administration jouera le rôle de l’authentification pour une autre, mais ne transmettra pas les identifiants à
l’administration pour lequel le service est sollicité. Les normes techniques les plus répandues du monde de
l’internet le permettent.
Prenons l’exemple de la consultation des points sur le permis de conduire. Aujourd’hui, c’est un processus
fastidieux pour obtenir un mot de passe. Demain cela pourrait être à la fois plus facile et plus sécurisé. Pour ce
qui est la sécurité, notre vision est de progresser petit à petit, une fois les dispositifs de base adoptés, afin que
ce ne soit pas au détriment des usages. Notre dispositif, s’il n’est pas idéal, sera toujours mieux que l’image
photocopiée d’une pièce d’identité envoyée par courrier. L’adhésion en confiance et la bonne compréhension
des dispositifs proposés sont fondamentaux : il faut savoir s’appuyer intelligemment sur des moyens répandus
et compréhensibles par tous comme l’envoi de codes par SMS pour confirmer une action.
20
LA PAROLE AUX SPONSORS : SAFRAN
Lors de cette intervention, la société Morpho a présenté plusieurs de ses réalisations dans le domaine de
l’identité numérique en France (Paraphe, autres) et dans le Monde : États-Unis, Inde, Albanie, etc. Un film sur
la plateforme de gestion des identités numériques Morpho a également été projeté.
Pour plus d’informations merci de contacter la société Morpho.
21
CONCLUSION DE LA MATINEE :
QUELS ENJEUX POUR L’ECONOMIE FRANÇAISE ?
INTERVENTION DE MONSIEUR PIERRE LOUETTE, PRESIDENT DU COMITE
« TRANSFORMATION NUMERIQUE » DU MEDEF
Je suis ravi d’intervenir, pour la première fois en tant que président du comité de la transformation numérique
du Medef. La confiance mentionnée dans les travaux et débats de ce matin est une bonne nouvelle, la
simplification administrative aussi !
Quel est le bilan que vous faites sur l’utilisation du numérique aujourd’hui dans les
entreprises ?
Notre conviction est que le numérique transforme tout, autant dans l’économie que dans la vie des citoyens.
Après quinze ans, nous avons vu beaucoup de choses et pourtant nous n’en sommes encore qu’au début.
Le numérique concerne progressivement tous les secteurs. Il est important que tout le monde sache que
l’impact est inévitable, et les transformations sont substantielles. Toutes les entreprises doivent s’y préparer
très sérieusement et de manière approfondie. La bonne nouvelle est que la croissance de l’économie numérique
est réputée contribuer pour plus d’un quart à la croissance de l’ensemble de l’économie. En même temps, c’est
un levier clef pour les PME et les ETI, ainsi que pour la croissance. On le constate dans les statistiques lorsque
ces sociétés ont un recours intensif au numérique. Au Medef, nous encourageons donc les formations aux
compétences numériques et le développement des pratiques et usages numériques au sein des entreprises.
N’oublions pas non plus que nous hébergeons des leaders au sein du secteur du numérique avec des solutions
autour de l’identité numérique, je pense par exemple à des sociétés comme Gemalto, Morpho, Parrot, ou
encore plus récemment Criteo.
Comment voyez-vous le rôle de l’identité numérique pour transformer les usages du
numérique ?
L’identité numérique est pour nous un facilitateur, un enabler comme disent les anglo-saxons, c'est-à-dire, un
élément qui rend les entreprises ou les usagers capables de faire des choses nouvelles, capables d’accéder à de
meilleurs services.
Le premier aspect, c’est son impact sur la confiance. Je reprendrai cette expression : « la confiance, elle se
gagne par goutte et elle se perd par litre ». Nous sommes donc très attachés à créer ce cadre de la confiance,
grâce à l’utilisation d’identités numériques.
Le deuxième aspect, c’est son rôle fondamental dans la facilitation et la gestion des accès aux services. C’est
l’enjeu de réduction de la complexité. Ce serait un grand progrès de simplifier les mots de passe et les accès.
Pour nous, ces deux éléments, à eux seuls, renforceront les usages et contribueront donc à la croissance
économique.
Où en est la France sur ce sujet ? Quelles actions souhaitez-vous ?
Ce que je crois, c’est qu’en France, nous avons besoin de toutes ces initiatives dont on nous a parlé à la
dernière table ronde. Quelque part, ce foisonnement est utile pour avancer. Avoir un cadre européen est aussi
souhaitable bien sûr, et en ce sens le projet de règlement est essentiel pour nous. Nous croyons que ce cadre
nous donnera plus d’homogénéité et de force en Europe.
Il nous faut aussi une stratégie plus forte et plus lisible de l’État, une stratégie qui affirme la souveraineté du
pays et résulte d’une véritable prise de conscience par le gouvernement. De mon point de vue, il y aurait un
risque à ne rien faire car nous nous ferions imposer un choix venant d’autres pays, et je ne crois pas que nous
souhaitions nous résigner à un identifiant universel de type « Facebook », quelles que soient ses qualités par
ailleurs. On doit pouvoir faire mieux sans enfermer les utilisateurs dans un système contraignant.
Ma vision pour la France est celle d’un dispositif d’identité, interopérable avec les identités européennes et
compatible avec de multiples supports sécurisés. Que l’opérateur soit privé ou régalien, le dispositif doit
fonctionner pour des services privés et publics avec des conditions adéquates de sécurité et d’interopérabilité.
Ainsi on pourra l’utiliser pour des télé-procédures de l’administration et pour des services ayant besoin d’une
certaine confidentialité. Je pense par exemple aux opérations liées à l’e-santé, qui permettraient d’ailleurs à ce
secteur de mieux se développer en France.
En conclusion de cette matinée, je vous dirai enfin que nous sommes enchantés d’accueillir au Medef les
travaux de ce colloque, organisé en partenariat avec Forum ATENA, sur un sujet qui gagne progressivement en
importance, tant pour le développement des usages numériques, que pour celui de la compétitivité des
22
entreprises. Dans le cadre d’un paysage économique de plus en plus numérique et globalisé, il y a ici des pistes
de création de valeur dont beaucoup d’entreprises françaises pourront tirer parti pour leur développement
présent et futur.
23
LA PAROLE AUX SPONSORS : LA POSTE
Lors de cette intervention, la société La POSTE a d’abord rappelé son rôle au cœur des transformations du
commerce, visible par exemple dans le fait qu’elle transporte 7 colis sur 10 du e-commerce en France. Ensuite
elle a présenté sa vision autour de l’identité numérique, vision qui souligne la valeur d’un tiers de confiance,
assurant une relation face à face chaque fois que nécessaire, dans un monde que le « plissement numérique »
des territoires d’un individu (vie de famille, vie professionnelle, vie associative…) a tendance à
géographiquement déterritorialiser. Puis la société a détaillé ses activités de gestion des identités numériques,
tant du point de vue de l’enregistrement des clients (facteur assermenté), que de l’utilisation des identités
numériques en ligne par la simplification des accès, l’authentification et la validation des attributs (par exemple
l’adresse) auprès des offreurs de services.
24
TROISIEME TABLE RONDE :
QUELS NIVEAUX DE SECURITE FACE AUX USAGES ET AUX
RISQUES ?
Avec :
-
Monsieur Pascal Chour, division produits et services de sécurité, ANSSI
-
Monsieur Philippe Clément, directeur stratégie « identités », Orange Franck Leroy, expert technique au
CEN et à l’ETSI
-
Monsieur Pascal Colin, président exécutif de la FNTC
-
Monsieur Franck Leroy, expert technique CEN et ETSI
-
Maître Thierry Piette-Coudol, avocat au Barreau de Paris
Modérateur : Guy de Felcourt, Forum Atena
Principales orientations :
Comment sont qualifiés les différents niveaux des identités numériques ?
Pour quel usage et avec quelle garantie ?
Que disent les normes européennes et internationales ?
Comment s’intègrent ces « niveaux d’assurance » au sein de l’ensemble de l’écosystème
numérique : authentification, signature, conservation de la preuve ?
Comment se manifestent les contraintes d’intégrité, de cohérence et d’interopérabilité ?
THIERRY PIETTE-COUDOL
Qu’est-ce qu’un certificat numérique et quels sont les multiples rôles que peut jouer ce
certificat autour des concepts d’identité et d’identification ?
Bonjour. La première question à laquelle il nous parait important de répondre est la suivante : « qu’est ce que
l’identité ? ». Nous, les juristes, nous la définissons comme un signe ou une appellation pour repérer une
personne ou quelque chose au sein d’un groupe. Une identité est un procédé conventionnel, puisqu’elle doit, sur
le plan conceptuel, être acceptée par l’ensemble des membres du groupe.
La deuxième question est « qu’est ce que l’identification » ? C’est un procédé que nous mettons en œuvre pour
informer l’identité du sujet à l’ensemble du groupe.
L’authentification est le stade ultime de l’identification. C’est un procédé permettant de démontrer que
l’identification est bien fiable. On va se tourner vers une autorité régulatrice ou un pouvoir pour faire constater
cette identité et la confirmer à l’ensemble du groupe.
Le certificat numérique ou électronique est aujourd’hui le meilleur moyen de procéder à cette authentification
en faisant appel à un certificateur. De façon générale et globale, un certificat est un ensemble d’informations ou
de données (autour d’un thème) validé par un pouvoir ou une autorité.
Par exemple, ce n’est pas la carte d’identité qui fait votre identité, c’est la loi. La loi décide qui vous êtes, sous
la forme du nom. En sus du nom, la photographie et la date de naissance viennent compléter cette identité,
sous l’autorité de l’administration (ici le Ministère de l’Intérieur). C’est le rôle du certificateur électronique, sous
sa responsabilité, de constater la bonne identité dans son environnement.
L’identité de la personne est donc très souvent présente dans le certificat.
Un certificat électronique (norme X-509 V3), c’est généralement un fichier de quelques octets, dont le point
central est l’identité de la personne, constatée par le certificateur. Il y a d’autres informations à côté, comme
généralement, une clé cryptographique publique qui est celle qui correspond à cette identité.
En fonction de la profondeur, de l’exactitude souhaitée et du type de l’identité, il y aura alors un certificat
d’authentification forte, un certificat de signature, et éventuellement un certificat de chiffrement. Un dernier cas
de figure est le jeton d’horodatage, particulier car il ne s’agit plus de l’identité.
Y a-t-il une correspondance entre la validité technique et la validité juridique d’un
certificat ?
Oui, il existe bien une correspondance, même si il y a un travail important pour pouvoir s’affranchir au
maximum de la complexité technique. Comment s’exprime cette correspondance ? Introduisons d’abord le lien
25
entre le certificat que nous avons expliqué et la signature électronique. Cette signature électronique intéresse
beaucoup les juristes que nous sommes.
Dans les années 90, les juristes ont constaté la création des certificats et des signatures électroniques, et ont
étudié leur reconnaissance. Le législateur énonce alors (dans la directive signature électronique de 1999)
« voilà les paramètres que nous allons rendre obligatoires pour permettre la reconnaissance juridique de ces
signatures électroniques ».
Un exemple pour illustrer cette correspondance, est la révision de la réglementation de l’Organisation pour
l'Harmonisation en Afrique du Droit des Affaires (OHADA). La signature électronique était cantonnée au
partenariat et au droit commercial, désormais son rôle juridique va s’étendre et être reconnue par les nouveaux
textes de l’Union Africaine, pour un développement très large sur ce continent.
Comment voyez-vous l’évolution du rôle du certificat numérique en tant que juriste ?
L’évolution des systèmes à clefs publiques (PKI) est complexe. Mais l’évolution du droit est loin d’être simple
également. Un exemple a été cité ce matin de la difficulté de se faire délivrer rapidement en face à face un
certificat numérique de classe 3 +. Pour vous démontrer la richesse du droit, qui parfois permet de pallier la
complexité technique, je voudrais citer l’exemple de la contractualisation en ligne dans le domaine des
mutuelles et des assurances. Une fois les garanties accordées sur le principe, comment signer en ligne, puisque
le contrat écrit et signé est obligatoire ? On utilise ici un autre système. Un certificat électronique de classe 2
(qui permet néanmoins une signature sécurisée, dans le droit). Pour pallier la faiblesse de ce certificat de
moindre niveau technique, nous allons en revanche réunir davantage d’informations sur l’identité et
l’environnement du signataire pour permettre la contractualisation effective : le nom, le prénom, le numéro de
sécurité sociale, le numéro de téléphone mobile et le numéro de carte bancaire. Tous ces éléments convergent
vers une identité qui peut être vérifiée. Le certificat va être émis à la volée et le signataire se fera envoyer sur
son téléphone mobile le code d’activation du certificat signé par l’assureur. Voici un exemple qui montre
comment le droit peut compenser la technique en fonction des contextes et des usages.
Quelles sont les évolutions à attendre avec, d’une part la possible mise en place du
règlement européen sur l’identité et les services de confiance et d’autre part, la progression
de l’externalisation des données sur le Cloud ?
En tant que juriste, je souhaite que pour l’instant mes données personnelles soient hébergées en France ou du
moins dans l’Union Européenne, je reste donc sur une prudente réserve vis-à-vis des logiques de Cloud.
Pour nous, une question fondamentale est la charge de la preuve. Dans une discussion devant un juge, celui qui
a la charge de la preuve (burden of proof dans le monde anglo-saxon) doit se mobiliser pour emporter la
conviction du juge.
En droit français et dans le futur règlement européen, le juriste dicte ses conditions, notamment par le
paramétrage technique qui fait l’objet d’un contrôle ou audit de qualification.
Ce contrôle du paramétrage sur la signature s’appelle aujourd’hui « signature qualifiée présumée fiable », et
demain avec le nouveau règlement, s’appellera « signature électronique qualifiée ». Si vous respectez le
paramétrage, êtes audités et êtes qualifiés, vous êtes dans une position confortable. C’est à l’autre de faire la
démonstration contraire. Malheureusement, bien souvent dans la réalité, les services, les certificats, les
signatures et l’environnement ne sont pas « qualifiés ». En conséquence vous ne bénéficiez pas de la
présomption de fiabilité, vous êtes simplement dans un cadre de niveau ordinaire, et si vous êtes contesté vous
devez donc « faire des pieds et des mains » pour essayer de prouver votre bon droit.
Le règlement européen va étendre cette logique (la qualification) à l’ensemble des services de confiance. Au
delà de la signature, il y aura le cachet (ou signature des entreprises), la dématérialisation des documents, la
remise électronique et l’horodatage.
PASCAL CHOUR
Pouvez-vous nous nous rappeler ce que représente l’ANSSI aujourd’hui et quelles sont ses
missions ?
L’ANSSI est le lointain successeur du « service du chiffre » qui a subsisté jusque dans les années 1980 et qui
s’intéressait principalement à la cryptologie), auquel a succédé le Service Central de la Sécurité des Systèmes
d’Information (SCSSI), créé en 1986 par le premier ministre de l’époque Laurent Fabius, et qui est devenu la
Direction centrale de la sécurité des Systèmes d’Information (DCSSI) en 2002. L’ANSSI elle-même, créée en
2009, est l’autorité nationale en matière de cybersécurité et traduit la prise de conscience nationale de
l’importance du sujet puisqu’on est passé d’une quarantaine de personnes à l’époque du SCSSI à plus de 300
aujourd’hui.
26
Que pouvez-vous nous dire sur le Référentiel Général de Sécurité (RGS) et son évolution au
cours des dernières années ?
Le RGS propose un ensemble de règles de sécurité applicables aux autorités administratives qui proposent des
téléservices. Le respect de ces règles peut s’appuyer sur des qualifications. La qualification est un label de
sécurité qui s’applique aux produits et qui démontre la conformité du produit aux règles de sécurité, facilitant
ainsi l’homologation du téléservice. La qualification s’applique également depuis peu à des services de sécurité.
Trois niveaux de qualification sont définis : élémentaire, standard ou renforcé. C’est aux autorités
administratives de choisir, en fonction des enjeux, le niveau de qualification des produits qu’ils utilisent.
A l’origine, la qualification s’adressait essentiellement aux administrations ou aux tiers qui travaillaient avec les
administrations. Certaines grandes entreprises commencent à s’appuyer sur ce label pour choisir des
prestataires ou des solutions.
Comment le RGS s’articule-t-il avec les Critères Communs (CC) et les mécanismes de
reconnaissance internationale ?
En préambule, rappelons que les Critères Communs sont une norme internationale pour l’évaluation du niveau
de confiance dans la sécurité d’un produit et qu’ils permettent de certifier ce niveau de confiance.
Les Critères Communs sont régulièrement décriés à cause d’une certaine lourdeur et du coût des évaluations.
Toutefois, ce sont les seuls critères ouverts utilisés aujourd’hui pour la reconnaissance internationale des
certificats dans le domaine de la sécurité. Cette reconnaissance passe par des accords entre États et c’est là le
véritable succès qu’ont permis de créer ces critères.
Aujourd’hui il y a deux accords de reconnaissance :
Le premier est le CCRA. Il s’agit d’un accord international (mondial) ouvert à tous les pays. Le niveau de
reconnaissance des certificats est peu élevé (EAL4 sur une échelle allant de EAL1 à EAL7) et devrait
encore baisser dans l’avenir (EAL2).
Le second est le SOG-IS dont le périmètre est européen et dont les niveaux de sécurité reconnus sont
plus élevés (jusqu’à EAL7 pour certaines technologies).
Pourquoi ce niveau de reconnaissance plus élevé ? Probablement parce que nous connaissons mieux les niveaux
d’expertise des États signataires de l’accord dans ce domaine, ce qui améliore la confiance sur la valeur des
certificats. De plus, dans certains domaines techniques, les signataires européens de l’accord sont engagés
dans des travaux pour améliorer la compétence technique de leurs laboratoires et qu’à la différence du CCRA,
les laboratoires d’un pays peuvent être audités par les autres pays.
A l’initiative des États-Unis, l’accord du CCRA semble aller dans le sens contraire de celui du SOG-IS avec des
niveaux de technicité attendus lors des évaluations qui sont plus faibles qu’auparavant (d’où une baisse du
niveau de reconnaissance). Ces deux visions de la sécurité (SOG-IS, vs CCRA) créent quelques tensions lors
des négociations internationales sur les évolutions des accords.
Il y a aussi un aspect économique derrière la sécurité, puisque les savoir-faire des laboratoires allemands,
hollandais, ou français sont par exemple, particulièrement reconnus sur le plan international, indépendamment
des accords de reconnaissance.
Le lien entre Critères Communs et RGS vient du fait que le RGS utilise les certifications CC pour qualifier les
produits (aux niveaux standard et renforcé). Les critères et les mécanismes de certification existaient, l’ANSSI
(la DCSSI) n’avait aucune raison d’inventer quelque chose d’autre. Par contre, la qualification ajoute des
référentiels spécifiques qui ne sont pas présent dans les critères communs, concernant la cryptologie en
particulier, mais aussi l’authentification.
Comment voyez-vous la cohérence fonctionnelle de l’écosystème : identité, authentification,
signature et services de confiance par rapport à celui existant aujourd’hui au sein du RGS et
vis-à-vis du développement des usages de l’économie numérique ?
J’appartiens plutôt à la « vieille école » qui distingue l’identification et authentification
Le RGS ne parle pas tellement d’identité, mais plutôt des mécanismes pour démontrer qu’une identité est d’un
certain niveau de confiance, essentiellement à travers des critères techniques liés au processus de
l’authentification.
Il faut rappeler que l’ANSSI n’est pas directement impliquée dans les usages. Elle intervient plutôt en soutien
d’autres organisations ou agences pour définir les moyens techniques adaptés pour mettre en œuvre des
systèmes d’authentification.
Pouvez-vous nous dire un mot sur la portée des initiatives entre l’ANSSI et le BSI
allemand ?
Il y a quelques années nous avons été alertés par nos industriels sur de sérieux risques de divergences, voir de
possibles disputes, avec l’Allemagne sur la normalisation pour le passeport électronique. Nous sommes donc
intervenus pour faire converger les travaux entre l’ANTS et l’ANSSI qui travaillaient conjointement et le BSI.
27
Cette coopération a été un succès, à tel point que nous avons pu émettre des documents avec un double logo
français et allemand. Cette coopération s’est étendue récemment à propos d’une norme sécuritaire concernant
les cartes d’identité électroniques.
L’ANSSI et le BSI travaillent régulièrement de concert. Par exemple, sur le sujet des accords de reconnaissance
et la finalité des évaluations sécuritaires, on retrouve régulièrement le tandem franco-allemand qui essaye de
tirer vers le haut, face au tandem US-UK qui cherche à tirer vers le bas le niveau de confiance.
Qu’est ce qui changera dans le paysage de la sécurité si le règlement européen est adopté ?
C’est une question importante. Sur le projet Eidas, il y a, de notre point de vue, une insuffisante reconnaissance
des besoins de sécurité.
Prenons l’exemple des dispositifs de création de signature électronique (SSCD). Dans la directive 1999/93/CE, il
est prévu que si un pays désigne un produit comme étant un SSCD au plan national, il doit être également
reconnu comme SSCD par tous les autres pays, quelque soit son niveau de sécurité réel et, surtout, la
démonstration de ce niveau de sécurité.
C’est ouvrir la porte à un alignement vers le bas alors que l’industrie européenne est une des rares au monde à
être en mesure de répondre aux exigences sécurité souhaitées par certains pays dont la France et l’Allemagne
Certes entre 1999 et 2013, il y a eu peu d’abus en Europe (un problème avec les Pays Bas pour l’essentiel)
mais le risque existe.
Le projet de règlement eIDAS devrait se substituer bientôt à la directive de 1999 sur la signature électronique.
La version d’origine du projet était, de notre point de vue, encore pire que la directive, avec une insuffisance
concernant les niveaux de sécurité et le moyen de les vérifier.
L’ANSSI insiste donc pour que les niveaux de sécurité des produits soient basés sur des accords de
reconnaissance validés tant par les États que par les industriels. Le SOG-IS répond à ce besoin.
On notera que curieusement, alors que l’Europe est à l’origine de la création du SOG-IS, la Commission
Européenne freine pour mentionner cet accord dans les projets de règlements.
Une autre difficulté dans les discussions européennes est une maturité inégale des États sur les questions de
sécurité. Qui plus est, au sein d’un même État, ce ne sont pas forcément les organisations les plus concernées
qui négocient ces points. Tout ceci complique la prise en compte d’exigences de sécurité dans les produits et les
services du domaine des TI, sauf au niveau d’un discours très général mais qui n’engage à rien.
Pour en revenir à eIDAS, l’ANSSI est donc attentive à ce que le projet de règlement comporte des références à
des mécanismes de reconnaissance des certifications sécuritaires afin d’éviter les incertitudes et les risques
introduits par la directive de 1999.
PHILIPPE CLEMENT
Nous avons parlé ce matin des identités des grands acteurs de l’Internet. Avec plus d’un
milliard de ces identités qui fonctionnent aujourd’hui, comment expliquez-vous un tel
succès ?
Cette réalité est saisissante, vous avez raison, lorsqu’on regarde ces grands acteurs de l’Internet. C’est un
parcours impressionnant de la part de ces acteurs, la plupart américains, mais qui à l’origine trouve des racines
dans des besoins précis et reflète une évolution dans les réponses à ces besoins.
Prenons l’exemple de Facebook, le besoin était à la base de pouvoir dialoguer « lorsque je suis adolescent dans
une université, avec d’autres adolescents ». Il ne s’agissait pas à l’époque de constituer une base client, mais
bien plutôt de favoriser la relation sociale.
Pour Twitter, le besoin était différent, il s’agissait de mettre en place un immense pipeline d’information où
chacun pouvait se connecter en tant qu’émetteur ou récepteur de ces informations. Pourtant le résultat
aujourd’hui est que Twitter dispose d’une base considérable de comptes clients et d’identités qui sont
valorisées.
Si l’on prend Google, il y a également des centaines de millions d’identités, avec les moteurs de recherche, la
délivrance de courriels et, avec les cercles Google+, un peu de réseau social.
Aujourd’hui, avec les six ou sept plus grands acteurs de l’Internet, on est capable d’identifier plus de la moitié
de la population mondiale. Progressivement une osmose s’est mise en place entre un monde consumériste et
une manne de milliards de clients.
Voilà pourquoi, il faut maintenant, pour accéder à ces clients, passer par ces intermédiaires fournisseurs
d’identité numérique que sont Google, Facebook, Twitter, Amazon, Linkedin, Paypal, et quelques autres.
Pouvez-vous nous retracer en quelques mots, l’histoire de ces identités globales ?
Je vais essayer de répondre à cette question de manière relativement succincte et simplifiée.
28
Le pionnier en matière d’identités sur Internet, une douzaine d’année en arrière, c’était Microsoft. Peu avant
l’année 2001, Microsoft proposait que l’identité sur l’ordinateur puisse servir pour accéder aux services
marchands. Ce mouvement en fait a déclenché une frayeur de nombreux acteurs économiques, effrayés par
une possible intermédiation monopolistique de Microsoft.
De ce mouvement est née l’ouverture de l’identification des clients. Le premier organisme créé à la suite de
cette démarche fut la LIBERTY ALLIANCE qui avait pour objectif de décentraliser le plus possible l’identification
pour échapper à un risque de monopole. Cette Alliance a généré un cadre appelé IFF IDENTITY FEDERATION
FRAMEWORK, posant les règles de base de communication d’informations sur l’identité des clients. Pour
normaliser ce cadre, il fallait passer par un organisme de normalisation qui fut OASIS. OASIS en a profité pour
mutualiser les acquis de différents projets et protocoles techniques. Ainsi les travaux de SAML, plus ou moins
accepté déjà aux États-Unis, de Liberty Alliance et de Schibboleth, un système universitaire, ont ensemble
permis d’aboutir à la naissance d’un protocole baptisé SAML 2.
SAML 2 est une base moderne de la communication des informations d’identité clients entre plusieurs
entreprises, émetteurs ou prestataires de service, par un dialogue au sein d’un cercle de confiance. Néanmoins
il restait encore un frein vis-à-vis de la volonté d’une ouverture totale des informations sur l’identité. SAML
souffrait d’une contre-indication, qui était le besoin des membres d’un cercle de confiance de contractualiser
entre eux de manière préalable à l’échange des données.
OPEN ID, ou « l’identité ouverte » vient répondre à cette constatation pour promouvoir une ouverture complète
sur la communication des informations d’identité. C’est une réussite sur ce plan mais le défaut d’OPEN ID est le
manque de sécurité progressivement constaté, qui était la contrepartie pénible d’une trop grande ouverture.
Les partenaires d’OPEN ID qui voulaient toujours commercer avec succès, avaient besoin d’un complément plus
sécurisé. C’est là qu’est apparu le protocole OAUTH, complètement dévolu à la sécurité des échanges des
informations sur les ressources d’un utilisateur ou de son environnement proche.
OAUTH était très sécurisé et spécialisé sur l’échange de ressources ou l’autorisation d’accès à certaines
ressources spécifiques. Combiné à OPEN ID, il a donné naissance à une autre convergence appelée OPEN ID
CONNECT. Installé déjà par des acteurs comme GOOGLE, PAYPAL, ce protocole veut rassembler le meilleur des
deux mondes : ouverture et sécurité en matière d’identité et de ressources !
On note aujourd’hui une tendance vers une authentification multi facteurs, quelle est sa
logique ? Se déroule-t-elle généralement via un téléphone mobile ?
Le multi-facteur provient du fait qu’on a besoin d’un deuxième canal distinct (le plus souvent un téléphone
mobile) pour sécuriser davantage l’authentification.
Les banques ont été les premières à développer ces systèmes d’authentification pour améliorer la sécurité du
couple « login-mot de passe », notamment pour des opérations sensibles comme des virements. Aujourd’hui le
monde Internet utilise plus globalement ces techniques pour permettre un meilleur niveau de confiance,
particulièrement pour accéder à des services marchands.
Nous entendons parler d’une initiative du GSMA sur l’identification sur mobile, de quoi
s’agit-il ?
Les fournisseurs de services ont plutôt tendance aujourd’hui à déléguer leurs systèmes d’authentification car
c’est une fonction qui coûte cher et les questions de sécurité deviennent critiques. Pour s’en convaincre, il suffit
de se rappeler les dégâts en termes d’image des failles de sécurité découvertes au cours de ces dernières
années chez des grands noms comme Sony, Yahoo, Linkedin et beaucoup d’autres.
Le constat chez les opérateurs de téléphonie était qu’il existait globalement environ six cent millions de clients
sur le plan européen, en revanche individuellement les opérateurs n’ont pas suffisamment de clients pour
rivaliser avec les OTT. Or la masse critique est un facteur essentiel pour convaincre les fournisseurs de services
d’authentifier leur client à travers les opérateurs de téléphonie.
Les opérateurs ont donc décidé de mettre leurs forces en commun au travers de l’alliance internationale mobile
GSMA qui regroupe plus de huit cent membres, pour présenter une authentification mobile la plus simple et la
plus accessible possible.
L’initiative est en route. Elle regroupe l’identité, mais aussi le messaging, le SMS, et même la facturation, afin
de développer un standard commun sur lequel les développeurs pourront greffer des services et des
applications.
FRANCK LEROY
Quels sont les organismes qui œuvrent à la normalisation du numérique sur le plan
européen et mondial ?
Il existe un grand nombre d’organismes de normalisation du numérique, la plupart ayant un caractère
international. Les organismes les plus connus ont sans doute pour nom l’ISO (International Standard
29
Organisation), le FIPS (Federal Information Processing Standards- US), IETF (Internet Engineering Task Force),
W3C (World Wide Web Consortium).
Dans le domaine de l’identité numérique et des services de confiance, on a sur le plan européen deux
organismes de référence avec le CEN (Comité Européen de Normalisation) qui a en charge les profils de
protection afin d’évaluer sur les critères communs les produits de sécurité, et l’ETSI (European
Telecommunication Standards Institute) qui travaille davantage sur les formats d’échange et les formats des
documents, mais aussi sur les pratiques des prestataires de service, pour s’assurer de leur niveau de sécurité.
Bien entendu, ces organismes ne travaillent pas en vase clos. Il existe des comités de concertation et de travail
conjoints sur les points de jonction entre les différentes couches techniques. Il y a également des travaux
conjoints lorsqu’une norme européenne ou américaine devient une norme internationale.
Quelles sont les principales normes de l’écosystème numérique en vigueur aujourd’hui et
quoi consiste le Mandat 460 de la Commission Européenne ?
Il y a déjà énormément de normes aujourd’hui sur le plan européen. Ces normes, quelles que soient leur objet
(le matériel, les applications, les algorithmes, les formats, les certificats, les pratiques des prestataires) sont
essentiellement axées autour de la signature électronique, puisqu’elles visent à définir des conditions
d’interopérabilité et de sécurité de la législation en vigueur à ce jour.
Pour autant, la Commission Européenne s’est rendu compte que la signature n’était qu’un seul service de
confiance, et pour cela le Mandat 460 vise à créer un cadre technique de l’identité technique et des services de
confiance plus larges.
Il y a six domaines principaux, six chantiers répartis entre le CEN et l’ETSI, afin de produire un cadre normatif
complet pour l’identité numérique, l’horodatage, la signature centralisée, la validation des signatures,
l’archivage, etc.
Ces normes techniques sont au service de la future réglementation, via ce mandat reçu de la commission
européenne.
Par rapport aux normes sur l’authentification, qu’elles soient liées à l’approche américaine
(ISO 29115) ou aux projets pilotes européens (STORK 2), y a-t-il une convergence ? Y aurat-il une interopérabilité mondiale ?
Sur ce plan, il faut considérer que pour l’identité numérique, l’approche des normes ne répond pas seulement à
des questions techniques, mais aussi à des dimensions juridiques et culturelles.
Certaines normes, lorsqu’elles sont essentiellement techniques, deviennent facilement internationales. Par
exemple la norme Xades est devenue internationale car il n’y a pas raison qu’un fichier du format XML soit
traité différemment d’un pays à l’autre du monde. De même, des discussions sur les pratiques des prestataires
de confiance sont en cours avec l’ISO pour développer les normes européennes sur un plan international, au
plan technique uniquement.
En revanche, lorsqu’on arrive sur des impacts juridiques et culturels, les difficultés sont plus grandes.
L’approche sur la signature est radicalement différente entre l’Amérique et la France en matière d’identité et de
signature, et ces différences font qu’il faut rester prudent sur les convergences possibles.
Faites-vous référence à une approche américaine plus centrée sur un faisceau d’éléments et
une approche européenne où la signature est la marque du véritable consentement ?
Oui, l’approche américaine est essentiellement portée sur le faisceau d’éléments pour constituer la preuve,
alors qu’en Europe elle est plus diverse, le faisceau d’éléments est certes utilisable et souvent utilisé, mais
effectivement, le document signé est bien souvent préféré car il peut constituer à lui seul une preuve facilement
démontrable. La signature est même bien souvent obligatoire dans certaines transactions.
Est-ce que la signature sur serveur n’est pas un rapprochement entre le faisceau de preuves
de l’authentification et de l’autorisation d’une part et le consentement signé d’autre part ?
Cela y ressemble, mais pas tout à fait. Il y a des différences. L’organisme de normalisation n’a pas pour
vocation de faire l’innovation, mais bien d’assurer l’interopérabilité et la sécurité.
La meilleure façon d’expliquer la « signature serveur » est sans doute de faire une analogie avec la carte
bancaire que tout le monde connait. La carte bancaire dématérialise mon argent et je peux faire des
transactions. Pourtant, dans la carte bancaire, je n’ai pas mis mon argent. Mon argent est détenu par un tiers
de confiance, de manière sécurisée : ma banque, dûment qualifiée pour le faire.
Cette norme sur la signature électronique va permettre de démocratiser la pratique de la signature électronique
en déléguant ses clefs de signature auprès d’un tiers de confiance qualifié, puis d’utiliser des identités
numériques pour m’authentifier et accepter la contractualisation.
En conséquence, on pourra décorréler les prestataires de service de confiance, les fournisseurs d’identité
numérique, les usagers et les acteurs économiques commercialisant des produits et services marchands. En
30
quelque sorte, on va calquer le modèle carte bancaire dans le monde de la signature en séparant l’identité
numérique de la signature, l’identité numérique devenant le moyen d’activer un service de confiance.
PASCAL COLIN
Vous représentez la Fédération des Tiers de Confiance. Quel est le rôle des tiers de
confiance aujourd’hui et comment évolue ce rôle ?
La Fédération des Tiers de Confiance (FNTC) a pour objectif de faire la promotion des métiers et solutions de
confiance numérique. Nous éditons toute une série de guides sur ce sujet, qui sont téléchargeables sur le site
de la Fédération.
Il y a plusieurs types de tiers de confiance dans le numérique. Essentiellement les « tiers certificateurs », les
« tiers horodateurs », et les « tiers archiveurs »
Les « tiers certificateurs », qui délivrent les certificats électroniques dont nous avons essentiellement parlé,
sont de deux types. Certains sont uniquement opérateurs techniques, d’autres sont autorités de certification ou
d’enregistrement.
Le principe du tiers de confiance, c’est de ne pas être à la fois juge et partie. La séparation des rôles est
essentielle pour permettre la confiance.
Pourquoi s’intéresser aujourd’hui à l’identité numérique ?
Aujourd’hui les documents s’échangent entre des personnes physiques ou morales ou encore entre des
machines.
S’assurer de l’identité des personnes et des machines qui échangent des documents ou des transactions est
fondamental pour établir la confiance numérique. Le rôle des tiers de confiance porte aussi sur la garantie visà-vis de la correcte identification des parties en relation, quelles qu’elles soient.
Quels sont pour vous les points clefs dans le projet de règlement européen au regard de la
confiance ?
L’essentiel pour nous est l’ouverture du marché européen de la confiance numérique.
Avec une identité française, mon identité sera reconnue pour échanger ou commercer avec un Finlandais, un
Grec ou un Allemand. Autrement dit, une PME française pourra commercer avec une autre PME en Europe, sans
s’être rencontrées au préalable, tout en étant dans un bon niveau de confiance, pour faire des affaires. C’est
l’aspect le plus positif de ce règlement. Pour autant, je rejoins les interventions précédentes sur le besoin d’un
bon niveau de sécurité et d’autres améliorations nécessaires, pour que ce règlement soit au service de la vraie
économie.
L’identité numérique apportant plus d’ergonomie, et l’interopérabilité étant appelée à se
développer sur une meilleure harmonisation de la sécurité technique et juridique, n’est ce
pas une opportunité très positive pour les tiers de confiance ?
C’est vrai. On ne peut pas imaginer la confiance numérique sans proposer une bonne ergonomie d’usage. Je
pense qu’on a enfin compris que la complexité d’usage est un frein terrible. La signature électronique est un
bon exemple. Son développement a été handicapé dans le passé par la complexité d’usage. La « signature
serveur » apporte aujourd’hui cette ergonomie des usages puisqu’elle permet de s’affranchir de la complexité
excessive de la signature électronique installée sur un poste client. Il n’y a plus de contraintes sur le terminal,
ni matérielles ni logicielles, et on peut donc faire de la signature très simplement. L’ergonomie est la clé
indispensable à la diffusion de l’usage.
Le rôle du tiers de confiance est aussi de faire oublier à l’utilisateur tout ce qu’il y a de contraignant dans la
sécurité. Il doit assurer la traçabilité des actes, prouver que tel échange a bien eu lieu tel jour a telle heure,
savoir vérifier techniquement une signature numérique. L’opportunité qui se crée à travers la facilité d’usage va
permettre aux tiers de confiance de monter dans la valeur des services proposés.
---------- FIN DE LA TABLE RONDE ----------
31
LA PAROLE AUX SPONSORS : NATURAL SECURITY
Lors de cette intervention, la société Natural Security, a présenté ses expérimentations de paiement
biométrique et rappelé leur vocation à répondre aux besoins des banques et du commerce, notamment par une
évolution de l’EMV et des mobiles. Natural Security a précisé les axes de développement de son standard
d’authentification forte, permettant une authentification grâce à la combinaison de 3 éléments : un objet
personnel sécurisé (basé sur un secure element), la biométrie en remplacement du code PIN et un dispositif de
communication à moyenne portée (1,50 m) évitant toute manipulation. En conclusion, l’alliance Natural
Security et son écosystème (composé de Card schemes, banques, laboratoires de test, organismes de
certification et industriels) a été présentée.
32
QUATRIEME TABLE RONDE :
COMMENT L’IDENTITE NUMERIQUE TRANSFORME LES USAGES ?
Avec :
-
Monsieur Mamadou Ba, directeur du marché services de l’identité, MORPHO
-
Monsieur Géraud Felgines, directeur marketing clients, LA POSTE
-
Monsieur Sébastien Marché, directeur des affaires stratégiques, Orange Healthcare
-
Monsieur François Momboisse, président de la FEVAD
-
Monsieur Philippe Pasquali, responsable de la stratégie dématérialisation, Société Générale
-
Monsieur Hervé Postic, président de l’UTSIT
Modérateur : Clémentine Darmon, EY
Principales orientations :
Comment l’identité numérique contribue-t-elle à moderniser la Société et à changer nos
vies ?
Quelles sont les transformations multisectorielles à l’œuvre ? Quel sont les gains à attendre
pour les citoyens et entreprises ?
Quels sont les critères de simplification, rapidité et confort objectivement mesurables ?
Comment libérer la valeur potentielle de l’identité numérique ? Quels sont les nouveaux
modèles économiques qui accompagnent ces changements ?
Comment visualisez-vous la facilitation des services en Europe, par exemple dans la
Banque, lorsque les identités numériques seront pleinement en fonctionnement ?
PHILIPPE PASQUALI
Projetons-nous dans une situation où les identités numériques seraient pleinement en fonction. Dans cette
hypothèse, imaginons qu’un de nos clients Tchèques vienne en vacances en France. L’interopérabilité
européenne des identités numériques pourrait lui permettre de réaliser à distance des démarches
administratives sans avoir à revenir dans son pays, ou lui permettrait même de régler une situation
problématique telle que la remise à disposition de moyens de paiements, suite par exemple, à la perte de sa
carte bancaire.
Dans le domaine du commerce électronique, comment les identités numériques et les
données impactent la simplicité de l’usage ?
FRANÇOIS MOMBOISSE
Pour les commerçants, on parle pour l’instant plus de données numériques que d’identité numérique. On
identifie le client avec Login et Mot de Passe et le moyen de paiement. En général cela se passe bien et tout le
monde est content.
Le moyen de paiement très majoritaire en France, jusqu’à récemment, est la carte bancaire. Il est vrai
néanmoins que son efficacité a été éprouvée plus récemment par la difficulté de vérifier la bonne identité du
porteur. Cela a été grandement compensé sur le plan de la gestion des risques par l’arrivée des systèmes
d’authentification non rejouables.
Néanmoins ces systèmes ajoutent une complexité aux usagers et sont donc en partis remis en question par
certains e-commerçants.
C’est par exemple le cas avec le premier marchand du monde « Amazon » qui ne souhaite pas le mettre en
œuvre. Beaucoup de commerçants redoutent la perte de vente induite par la complexité du parcours client.
Les personnes veulent un système simple. Un tiers des acheteurs confient leur numéro de carte de crédit à un
marchand ou à un prestataire de paiement. Ils veulent la simplicité de l’achat de répétition en un clic avant
tout. Donc ne ralentissons pas l’achat par des procédures complexes.
33
Il y a souvent une dichotomie sur la perception de la fraude sur Internet entre les autorités financières qui y
voient une fraude (0,26% aujourd’hui) largement supérieure aux paiements dans le monde physique et les
commerçants qui, en comparant avec le taux de démarque dans les boutiques (environ 2%), s’estiment
néanmoins gagnants en ligne.
Les données pour les sites marchands sont fondamentales parce que c’est l’actif de la société et donc sa valeur
de revente. Ces données ont un impact sur la valeur des conseils et suggestions de ces commerçants. En même
temps la sécurité de ces données est aussi très importante pour ces commerçants.
Auprès des « grands facturiers » (par exemple, de grandes entreprises dans le domaine de
l’énergie) quels sont les évolutions d’identification numérique et de parcours client pour le
prélèvement automatique ?
HERVE POSTIC
Dans le cadre du prélèvement automatique, l’actualité, c’est l’entrée en vigueur des moyens de paiement SEPA,
notamment le transfert des prélèvements sur le format européen au début février 2014.
En fait nous passons simultanément en France d’une pratique essentiellement basée sur du papier, avec une
procédure complexe (très souvent non ou mal respectée), faisant aussi intervenir la banque du débiteur à côté
de celle du créancier, vers une procédure non matérialisée bien plus agile, puisque le créancier conserve le
mandat et choisit le moyen pour faire signer le mandat de prélèvement.
Alors qu’auparavant le retour papier n’était guère garanti, avec le nouveau système il y a un grand intérêt pour
permettre de faire signer ce mandat électronique simultanément avec l’engagement contractuel, y compris
lorsque celui-ci se fait essentiellement par téléphone ou par Internet.
Nous avons parlé ce matin des niveaux de signatures, des difficultés d’installer des systèmes ou logiciels. Ici
avec des solutions simples d’usage, qui s’inspirent de l’architecture des modèles « 3D Secure », on est capable
d’intervenir vis-à-vis d’un tiers qui peut certifier que l’identité de Monsieur Dupont est la bonne.
Pour la mise en place d’un mandat appelé à durer plusieurs mois, voire plusieurs années, cela est totalement
justifié.
L’autre difficulté pour nous était de trouver des solutions véritablement interbancaires. Nous en avons trouvé,
qui permettent aujourd’hui aussi de faire intervenir la banque du débiteur pour vérifier l’existence du compte et
son appartenance au demandeur.
Nous arrivons donc finalement à des solutions totalement dématérialisées (ou non matérialisées) et innovantes
qui apportent un grand confort, tant à l’usager qu’aux grandes entreprises de services aux particuliers.
Dans le domaine de la croissance économique, comment se pose la question de l’impact de
l’identité numérique pour libérer la croissance des PME ? Peut-elle créer une impulsion de
confiance pour les petites et moyennes entreprises ? Peut-elle favoriser leur évolution en
taille ?
GERAUD FELGINES
Effectivement, pour les PME, le commerce électronique est à la fois vital pour compléter leur activité
traditionnelle, et en même temps critique car ces acteurs ne sont pas suffisamment outillés et spécialisés. On
est loin des larges capacités des systèmes décisionnels d’Amazon
L’identité numérique a vocation à nous permettre de développer des solutions pour aider les Petites et
Moyennes Entreprises, à encourager leurs échanges, améliorer leurs chiffres d’affaire et sécuriser leurs
encaissements.
Au début de la relation client, c’est un point critique car vous n’avez aucune notion de la fiabilité de votre
interlocuteur.
Prenons l’exemple de la consommation collaborative. Louer sa voiture ou sa maison a un inconnu, c’est critique.
Le besoin de confiance est significatif. Ici l’identité numérique, c’est la corde de rappel, je peux me lancer dans
le vide et je suis sécurisé. On a constaté auprès d’un de nos partenaires « Citizen Card », que les personnes qui
utilisent notre identité numérique réalisent cinq fois plus de transactions que les autres. C’est donc clairement
un facilitateur de confiance et un accélérateur de transactions.
Un autre exemple, pour de plus grands sites de e-commerce, l’intérêt d’utiliser l’identité numérique est la
capacité à se faire livrer à une adresse distincte de celle enregistrée dans le compte client, même si il s’agit
34
d’une première commande. Si l’identité a été vérifiée, la relation entre l’e-commerçant et le client est plus libre,
dés le début.
Faut-il faire une distinction entre les petits et les gros achats, pour l’identité ?
FRANÇOIS MOMBOISSE
Oui, autant le client n’accepte que très peu de contraintes pour les petits achats, autant pour de gros achats, on
assiste à des pratiques de prévention des fraudes plus logiques. Certains sites demandent de pouvoir obtenir
une copie de la carte d’identité scannée par exemple.
Peut-on envisager un modèle de « service d’identité » ? Comment un tel service fonctionnet-il ?
MAMADOU BA
Une PME, au lieu d’investir dans une base de données pour ses clients, pourrait faire intervenir un tiers de
confiance et identifier ses clients « à la volée » en une sorte de « pay per use ». Plus besoin d’immobiliser de
l’argent ou de la compétence pour gérer les attributs de ces identités. D’autant plus que bien souvent ce sont
des attributs qu’il faut vérifier, comme le fait que les clients aient plus de 18 ans, ou qu’ils soient résidents, ou
qu’ils aient un certain diplôme. Nous sommes ici dans des services de validation de certaines dimensions de
l’identité.
Prenons l’exemple d’une entreprise de jeux comme la Française des Jeux. L’attribut de l’âge est la dimension de
mon identité qu’elle a besoin de connaitre au moment de jouer. Si mon identité est validée auprès d’un
fournisseur d’identité tiers de confiance, celle-ci peut certifier de mon âge lorsque je décide de jouer.
Après l’identité du consommateur, abordons celle du citoyen. Connaissez-vous des
exemples intéressants, par votre expérience dans d’autres pays ?
MAMADOU BA
Oui, généralement beaucoup de pays sont plus avancés que nous en matière d’identité numérique et de cartes
d’identité électroniques. Pour prendre nos voisins les plus proches je citerais la Belgique, l’Allemagne et le
Portugal.
Dans d’autres pays, comme l’Albanie, l’identité numérique permet de supprimer une importante part de
bureaucratie administrative et facilite l’éclosion des services en ligne.
En Inde, la plus grande démocratie du monde, ils ont décidé de déployer des identités et à partir de là, les
acteurs économiques peuvent déployer les services et les flux économiques directement aux citoyens identifiés
et à leurs comptes bancaires. Une manière de s’assurer que les prestations sociales, par exemple, ne sont pas
détournées par les trop nombreux intermédiaires.
Sans une identité numérique fiable, on arrive rapidement à une certaine limite.
En Estonie ou en Suède on peut payer un billet de train ou effectuer des prestations de santé sur la base d’un
seul document, comme la carte d’identité électronique.
Il y a donc une immense simplification et une amélioration considérable des usages. Pour autant le niveau de
sécurité est également assuré, ce qui est impératif pour des usages sensibles ou pour le moins structurants.
PHILIPPE PASQUALI
Sur les exemples qui viennent des pays de l’est, on note également une multiplication des services et un impact
sur la croissance économique. Le cas le plus connu est sans doute celui de l’Estonie, avec une très forte
croissance depuis l’arrivée de la carte d’identité électronique et de ses multiples.
Parmi les services fondamentaux pour tous les pays, il y a la santé. Quelles sont les
questions de donnés et d’identité dans le domaine de la santé ?
35
SEBASTIEN MARCHE
En parlant de santé, on s’aperçoit que la donnée est au cœur du domaine de la santé. Ceci est vrai, tant pour
des situations d’urgence que lors de consultations de routine, par exemple pour la délivrance d’un certificat
médical.
Il est fondamental, dans ce domaine, de pouvoir assurer un carrefour de qualité optimale entre le patient
identifié, le bon prestataire de santé, le diagnostic correct et le moment approprié.
De plus, bien souvent, cela doit pouvoir se vérifier alors que le professionnel de santé est en situation de
mobilité. Pour les professionnels de santé, la mobilité est un concept souvent synonyme de proximité ou
d’itinérance dans son environnement de travail : chez un patient, en visite dans un hôpital, par exemple.
Un autre point, c’est que l’informatisation du domaine de la santé a été plus lente par rapport à d’autres
professions. Certes aujourd’hui 90% des professionnels de santé ont des dossiers patients informatisés, mais
seulement deux tiers de ces dossiers sont alimentés régulièrement. Les téléphones portables, très présents,
sont à 95% personnels et seulement 5% professionnels. Il y a donc un problème de confidentialité ou de
confusion dans l’accès aux données sensibles.
La solution, pour favoriser l’identité numérique sécurisée dans la santé, c’est de favoriser la convergence entre
la carte professionnelle CPS et la carte SIM. Une expérience a lieu sur le CHU de Clermont Ferrand pour avoir
accès à des dossiers de patients à distance, suivre des pathologies et expérimenter des usages d’urgence.
Ne s’agit-il pas de permettre aux praticiens de santé de mieux utiliser leur temps
intermédiaire, comme d’autres professions ?
SEBASTIEN MARCHE
Oui, cette expérimentation dans le champ de l’identification numérique mobile est aussi une valeur ajoutée. Elle
permet aux professionnels de santé d’accéder à des informations cliniques de manière plus élargie, dans
l’espace et dans le temps.
Un autre intérêt connexe est de simplifier l’usage de la CPS qui est à la fois obligatoire pour accéder aux
données médicales, mais reste insuffisamment utilisée pour des raisons de manque de confort lorsque le
professionnel de santé n’est pas sur son poste fixe notamment.
Changeons de sujet pour aborder la question des acteurs et de l’évolution du marché.
Quelle est votre vision de l’appétit des données des géants de l’Internet ?
FRANÇOIS MOMBOISSE
La probabilité que le GAFA (Google, Apple, Facebook, Amazon) mène la danse est loin d’être négligeable.
Aujourd’hui tous se battent pour que vous passiez par eux pour l’accès à Internet.
L’évolution est plus mercantile également. Par exemple Google est en train de pousser l’affichage des résultats
des liens promotionnels payants au sein d’une page. Pour Apple, on va s’identifier ou s’authentifier par la
biométrie de manière simple et on leur fera confiance puisqu’on aura acheté un appareil de plusieurs centaines
d’Euros. Le monde Android qui grandit avec les applications, les recherches, les courriers, la musique. Le
monde Microsoft, qui garde ses forces via les entreprises et les applications bureautiques. Amazon vend des
quantités phénoménales de Kindle lui aussi. Tous ces géants développent leur écosystème propriétaire,
respectif. Autant de clusters gigantesques qui vont cohabiter et qui viendront interagir avec nous.
Quel sont pour vous quelques unes des clefs du développement des identités numériques
pour l’avenir ?
GERAUD FELGINES
Pour nous, il existe trois facteurs (sans jeux de mot !) importants.
Le premier facteur, c’est la simplicité d’usage. L’identité numérique doit apporter partout une plus grande
simplification pour les usages ou les services. C’est primordial dans cette approche.
Le deuxième, c’est l’interopérabilité, la connexion par l’identité. Il y a une notion de réseau, d’importance du
réseau d’opérabilité ou d’interopérabilité de ces identités numériques. D’où l’intérêt d’initiatives comme
IDENUM.
36
Enfin la troisième clef de succès des identités numériques, c’est l’apport positif en termes de confiance. Cette
valeur ajoutée est à plus long terme et nécessite un savant équilibre pour les bénéfices des personnes en
relation.
Certes les acteurs américains ont beaucoup d’avance, mais nous comptons sur une saine concurrence où les
aspects de sécurité, de confiance et de proximité auront aussi leur importance.
PHILIPPE PASQUALI
La réponse appartient ou appartiendra aux consommateurs ou aux citoyens en fonction des usages. La question
qui leur est posée est de savoir, d’une part à qui ils vont faire confiance pour tel ou tel usage, et d’autre part
comment va s’articuler l’authentification avec la fourniture d’informations et de données personnelles ?
On peut imaginer que chaque individu détiendra une clef lui permettant d’accéder à un coffre-fort électronique
chez un tiers de confiance qu’il aura lui-même choisi, et qui lui permettra d’accéder à un ensemble
d’informations ou d’attributs stockés dans le Cloud, de manière plus ou moins sécurisée, en fonction des
domaines d’usage.
---------- FIN DE LA TABLE RONDE ----------
37
LA PAROLE AUX SPONSORS : SOCIETE GENERALE
Lors de cette intervention, le groupe SOCIETE GENERALE a présenté des réalisations innovantes autour de
l’identité et des services numériques, comme les services de paiement Paylib, les échanges d’argents via SMS,
le crédit à la consommation complètement dématérialisé, la modernisation de la relation client (réponse aux
questions clients en 30 minutes sur Twitter), la simplification des usages, le tout en amélioration la sécurité. La
Banque a aussi souligné ses orientations et sa volonté d’utiliser le digital au service du client : « la Société
Générale est la banque n°1 de la relation online et entend le rester ».
38
CLÔTURE ET CONCLUSION DE LA JOURNEE
SYNTHESE DE GUY DE FELCOURT,
RESPONSABLE DU COMITE D’ORGANISATION
Au moment de clôturer l’édition 2013 de notre colloque, je voudrais remercier tous les orateurs et participants
pour leurs contributions très intéressantes. Cette journée intense nous a permis de débattre sur des sujets
divers autour de l’identité et de l’identification numérique. Je pense notamment aux enjeux pour l’Europe, à
l’impact dans la compétitivité des entreprises et à la modernisation de l’économie
Les sujets abordés ont été, je le crois, passionnants, tels l’évolution internationale, les projets en France, les
mécanismes de sécurité pour obtenir une confiance adaptée aux différents usages et niveaux de risques. Je
retiens aussi ces débats sur les usages, comment l’identité numérique participe à l’innovation et au
développement de services plus simples et avec plus de valeur. Lors de la dernière table ronde nous avons pu
en appréhender des exemples dans le commerce et le e-commerce, dans le domaine de la santé, dans l’univers
de la banque ou encore dans l’e-administration de plusieurs pays.
Je tiens à adresser mes remerciements aux intervenants et experts venus témoigner, particulièrement ceux
venus de loin, aux animateurs, aux sponsors qui ont permis d’organiser ce colloque dans de bonnes conditions,
aux fédérations et associations ayant accepté d’apporter leur soutien à cet évènement, aux présidents de
Forum ATENA et du comité de transformation numérique du MEDEF pour leur participation et à tous les
membres du comité d’organisation ayant participé aux travaux de préparation, notamment Mr/Mme Beaudet,
Bruckmann, Fages, Ferrière et Pamart, ainsi que d’autres personnes de Forum ATENA.
A tous nous souhaitons vous revoir l’année prochaine, lors de l’édition 2014 du colloque.
J’ai le plaisir d’accueillir maintenant Monsieur André Santini, que je remercie également car il a accepté de
conclure les travaux et échanges de ce colloque.
CONCLUSION PAR ANDRE SANTINI DEPUTE, ANCIEN MINISTRE, MAIRE D’ISSYLES-MOULINEAUX
Monsieur André Santini, bonsoir. Vous êtes député, vous avez été à plusieurs reprises
Secrétaire d'État ou Ministre délégué, vous êtes depuis juillet 2010, Président du conseil de
surveillance de la Société du Grand Paris. Aussi et même surtout, vous êtes depuis plus de
trente ans Maire de la ville d’Issy-les-Moulineaux, une ville qui a su se doter d’un tissu
économique et se moderniser en proposant à ses citoyens et entreprises un ensemble de
services numériques. Pouvez-vous nous rappeler quelques uns des services aux personnes
disponibles dans la ville d’Issy ?
Très sincèrement, je suis persuadé que le numérique a été un bon choix pour notre ville. Cela nous a permis
d’anticiper des évolutions de la vie des habitants de la commune, d’améliorer les infrastructures et d’offrir les
services en ligne à une population connectée. La ville de demain sera une ville où la technologie aura permis
d’améliorer la vie quotidienne, de fluidifier les déplacements et d’accéder à la connaissance universelle dans les
meilleures conditions.
Voici quatre exemples de services numériques dans notre ville :
-Le système « Pay by phone », permettant de payer le stationnement par téléphone mobile. Nous étions les
premiers lors du lancement en 2009. Depuis, nous avons été copiés par plus d’une trentaine de municipalités.
- L’application pour Smartphone « Issy Spot » permet de guider un passant ou un automobiliste, vers un point
d’intérêt dans la ville d’Issy, grâce au principe de la réalité augmentée, et de la géolocalisation.
- L’espace « mon Issy.com » avec la possibilité de configurer selon ses intérêts personnalisés les services de la
ville : sport ou culture, par exemple.
- Une nouvelle plateforme baptisée « smart city », ambitionne de réinventer le « vivre ensemble » entre
particuliers, associations, entreprises et administration, pourront l’utiliser et bénéficier d’une mutualisation des
services numériques d’hyper-proximité. Nous sommes ici aussi dans l’innovation.
En ce moment, on parle beaucoup de votre ville pour un projet lié à l’identification des
objets intelligents : ISSY GRID, pouvez vous nous en dire un mot ?
Il faut remonter quelques années en arrière pour voir d’où vient ce projet. A l’époque nous essayions d’attirer
des entreprises sur la ville d’Issy-les-Moulineaux et nous discutions avec de grands architectes car nous avions
39
noté que la capacité à créer des architectures modernes et adaptées aux futures évolutions des entreprises
était un facteur clef pour que ces entreprises viennent s’installer chez nous.
Deux exemples sont l’immeuble Microsoft (le campus) en forme de trident, ou celui de la tour « Bouygues
Telecom ».
Ces architectes sont venus nous voir en nous demandant si on pouvait utiliser l’énergie excédentaire produite
par ces immeubles. Nous avons alors réuni un groupe de travail d’une dizaine d’entreprises présentes dans
notre ville pour aborder le sujet. Ils ont alors décidé de s’organiser en consortium, pour voir comment réguler
l’énergie et éviter les gaspillages. Ils ont pris le sujet à bras le corps avec beaucoup d’intérêt et d’implication.
C’est un projet complet avec des énergies renouvelables mais aussi une utilisation du numérique et la
recherche d’un modèle économique adopté. L’énergie est produite pendant la journée dans les bureaux et est
utilisée le soir dans les appartements d’un nombre important de logements.
Nous avons débattu toute la journée sur le thème « comment l’identité numérique peut-elle
contribuer à la modernisation des services de l’économie au service de la croissance ? ». De
votre point de vue, quel message aimeriez-vous transmettre aux responsables des
entreprises françaises ici présentes ?
Je souhaiterais leur dire de ne pas avoir peur, de s’y lancer de manière volontariste. Le numérique présente de
formidables opportunités pour croître : dans certains pays asiatiques, il représente la moitié de la croissance du
PIB. En France, nous disposons de nombreux atouts, tels que la qualité de nos infrastructures numériques, le
bon niveau de notre enseignement supérieur, le nombre de créations d’entreprises et même « l’ingéniosité » de
nos entrepreneurs. Il est important de cesser d’envisager le numérique comme un segment autonome de
l’économie, il permet de produire autrement, de manière plus efficace. Il doit être lié au monde de l’entreprise
dans sa globalité.
Les réformes qu’il convient de faire pour devenir un grand pays acteur du numérique restent nombreuses, mais
cela ne pourra se faire que par la mise en place au plus tôt d’une identité numérique, à l’échelle européenne.
Quel regard portez vous sur la question de la de souveraineté numérique, y compris dans le
domaine culturel ?
La culture numérique est inventive, elle nous incite à penser différemment, à inventer sur de nouvelles bases.
Le partage, la collaboration, la contribution, les achats groupés, sont des aspects importants. Frédéric Nietzche
disait que « la culture est ce qui modifie notre regard sur nos objets, notre actualité et notre héritage ». Le
numérique produit de nouveaux objets. Le numérique modifie notre regard sur notre patrimoine. Il émet des
nouvelles perspectives sur ce que sont la personne, l’individu et la collectivité. Le numérique en ce sens est une
culture.
---------- FIN DU COLLOQUE ----------
40
BIOGRAPHIES
L’identité numérique :
relais de la croissance économique
Jeudi 14 novembre 2013, MEDEF (55 Av. Bosquet - Paris 7e)
INTERVENANTS
Mamadou Ba est Chef de Marché chez Morpho (groupe SAFRAN) en charge des services
d’identité numérique. Il totalise bientôt 15 ans d’expérience dans les domaines des télécommunications mobiles, de la gestion des identités et des accès, de la carte à puce et de
la biométrie.
Avant de rejoindre Morpho, il a occupé divers postes chez Gemalto dans les domaines de la
gestion des programmes, des produits, du marketing et du développement commercial.
Mamadou est titulaire d’un diplôme d’ingénieur de l’Ecole Nationale Supérieure des Télécommunications de Paris (Telecom-Paristech).
Charles du Boullay est le Président de la société Idenum depuis 2013. Il est également
Directeur Général de CDC Arkhinéo et Président du Directoire de CDC FAST.
Charles a exercé des fonctions de direction générale et commerciale dans différentes sociétés du secteur des NTIC telles que Xerox Engineering Systems, Genicom et Tally.
Il était précédemment Directeur Général Adjoint de Post@xess, filiale de La Poste et opérateur d’échanges de factures dématérialisées.
Charles est titulaire d’un Executive MBA du groupe HEC.
BIOGRAPHIES
Didier Chaudun est Vice-Président de l’Alliance pour la confiance numérique (ACN). Il
coordonne les travaux sur l’identité numérique. Il occupe également les fonctions de Secrétaire Général du GIXEL Identité Numérique. Directeur –conseiller pour l’identité numérique
de la société Morpho (Groupe SAFRAN). il est également le coordinateur du groupe de travail
sur la biométrie à Eurosmart.
Auparavant il a travaillé pendant plus de dix ans dans le secteur de la carte à puce où il a
exercé des fonctions de responsabilité dans la technologie et le marketing. Il a notamment
développé des projets dans les domaines du Paiement, de l’Identité, de la Santé, des usages
biométriques ainsi que d’autres services gouvernementaux.
Pascal Chour est Chef de division adjoint de la division «Produits et services de sécurité»
et responsable du bureau «politique industrielle et assistance» au sein de l’ANSSI (Agence
Nationale de la Sécurité des Systèmes d’Information), après avoir été Responsable du centre
de certification national de la sécurité des technologies de l’information (2004 à 2012).
Pascal a travaillé quelques années dans les télécommunications à la direction «étude et recherche» d’EDF à Clamart, puis cinq ans comme enseignant chercheur à Supélec. Il a ensuite
été cofondateur et directeur technique d’une société spécialisée dans les applications de la
carte à puce et de la sécurité.
En 1992, il a rejoint la société AQL à Rennes comme directeur des laboratoires et de la sécurité pour créer l’activité sécurité de la société et deux laboratoires de test dont un Centre
d’Evaluation de la Sécurité des Technologie de l’Information agréé par le SCSSI (devenu
DCSSI puis ANSSI).
Philippe Clément est Responsable de la Stratégie et du Marketing de l’Identité Grand
Public pour le groupe Orange. Il définit les programmes d’implémentation sur l’ensemble des
pays couverts par les activités d’Orange.
Philippe a participé dès 2002 à l’élaboration des normes internationales autour d’une identité partagée en occupant différents postes dans les organismes tels que la Liberty Alliance
(chairman du « Business and Marketing Expert Group »), la Kantara Initiative (chairman du
workgroup « ID Selection » puis co‐chairman du workgroup « universal login experience ») et
enfin la GSMA pour une identité multi‐opérateurs.
Philippe intervient par ailleurs dans des conférences internationales sur l’Identité pour y
apporter la vision d’Orange.
Pascal Colin est Président exécutif de la FNTC (Fédération des Tiers de Confiance), membre
fondateur de l’association européenne DTCE (Digital Trust Compliance Europe), et auditeur
de la 62e Session de l’IHEDN (Institut des Hautes Etudes de Défense Nationale).
Pascal dirige aussi la société Opentrust depuis sa création en 2004.
Il a forgé son expérience dans le domaine de la Sécurité des Systèmes d’Information à des
postes de direction au sein de groupes industriels tels que Thales, Morpho (groupe Safran) et
EADS. Ingénieur de formation, il a développé ses compétences au management des affaires
internationales à l’INSEAD de Fontainebleau.
Sous sa direction, Opentrust s’est développé comme un industriel du logiciel et des services
en « Cloud » avec une stratégie de croissance long terme. Aujourd’hui Opentrust est devenu
le leader européen des logiciels et services de confiance en ligne et continu son déploiement
à l’international.
BIOGRAPHIES
Charles Copin est éditeur, journaliste spécialisé dans la monétique, la carte à puce, la
biométrie, l’identité électronique depuis 1983.
Charles a créé le salon CARTES en 1986, puis Identech sur les techniques d’identification et
toute une série d’événements dédiés à ces différents thèmes.
Il est l’auteur de «l’histoire de la monétique» et de «l’histoire de l’identité», et prépare
actuellement un ouvrage sur l’histoire de la carte à puce : « naissance d’une industrie ».
Charles édite la lettre «NO CAS» et le blog www.charlescopin-news.com.
Clémentine Darmon est en charge des publications à caractère prospectif chez EY.
Elle accompagne actuellement le chantier de prospective «2020 Faire gagner la France» du
MEDEF, et participe aux travaux de la Commission Nationale Services, au sein du groupe de
travail «Innovation Service».
Clémentine a auparavant exercé différentes responsabilités au sein du groupe Capgemini,
notamment à la Direction des Ventes groupe, et antérieurement chez Bossard Consultants,
en tant que consultante spécialisée en problématiques de relation client et d’efficacité
commerciale.
Guy de Felcourt est le responsable de l’identité numérique au sein de l’association Forum
ATENA et coordonne les travaux d’organisation du colloque annuel depuis sa création en
2011.
Il préside les travaux de l’atelier identité numérique visant à informer, et éduquer sur l’utilisation des identités pour les services numériques sur différents aspects : marketing, intermédiation commerciale, sécurité, confiance, modernisation et innovation.
Spécialiste des questions d’identité, Guy a écrit un livre sur l’usurpation d’identité et les
données personnelles paru chez CNRS éditions.
Guy exerce actuellement des responsabilités dans une société de service marketing, après
avoir mené une carrière dans la monétique et à l’international.
Géraud Felgines est Directeur marketing Clients de La Poste.
Observateur curieux et actif de la transformation numérique sous ses différentes formes
(e-commerce, réseaux sociaux, digitalisation des échanges…), Géraud pilote l’évolution des
services postaux aux particuliers et aux TPE et leur adaptation aux nouvelles exigences de
ces consommateurs.
Pour Géraud, il s’agit notamment de voir comment les mécanismes de la confiance entre
les particuliers et les organisations se construisent dans ce monde connecté et comment un
tiers de confiance de proximité peut se révéler un accélérateur des échanges numériques,
mais aussi un simplificateur des parcours cross canaux, entre les particuliers et les acteurs
économiques et sociaux de toutes tailles.
BIOGRAPHIES
Marie Figarella est Présidente du Gixel (Groupement des Industries de l’Interconnexion,
des Composants et des Sous-ensembles Electroniques) Identité Numérique (regroupant les
industriels français de la carte à puce et de l’identité numérique).
Elle est aussi Vice-présidente, responsable des relations institutionnelles pour les affaires
gouvernementales au sein de la division Sécurité de Gemalto. Marie a occupé précédemment
le poste de responsable des offres pour les affaires Identité.
Entrée en 1999 en tant que Directeur de projet pour la mise en place du projet de carte
santé en Slovénie, elle a ensuite été responsable de l’équipe de management de projet au
sein du département conseil. Auparavant, elle a travaillé dans le Groupe Sagem au sein de
la division Optronique et Défense et dans la société Matra Transport de 1991 à 1999 où elle
a occupé diverses fonctions dont la mise en place de l’automatisation de la ligne C du métro
de Prague.
Marie est titulaire d’un diplôme d’ingénieur de l’école Centrale Marseille (1987) et d’un
diplôme d’administration des entreprises de l’IAE d’Aix-en-Provence (1988). Elle est auditeur de l’IHEDN (Institut des Hautes Etudes de Défense Nationale), promotion 187 (2011).
Mathieu Jeandron est adjoint au directeur interministériel des systèmes d’information
et de communication (DISIC), au Secrétariat Général pour la Modernisation de l’Action Publique (SGMAP). Après un début de carrière au sein de la DSI du ministère de l’intérieur
sur différents postes opérationnels (infrastructures, projets métiers, stratégie, production
informatique), et une expérience dans le secteur privé, il participe en 2011 à la création de
la DISIC, «DSI groupe» de l’état. Il pilote l’élaboration du cadre stratégique interministériel
définissant les actions prioritaires de modernisation dans un objectif de création de valeur,
de réduction des coûts et d’amélioration du pilotage. Avec son équipe de haut niveau, il
organise l’urbanisation du système d’information de l’état et définit les premiers piliers de
la convergence interministérielle. Il participe à l’élaboration de la charte signée avec le
Syntec numérique visant à améliorer les relations Etat-fournisseur dans le domaine informatique. Au sein du secrétariat général pour la modernisation de l’action publique, auquel la
DISIC est rattachée depuis fin 2012, il est impliqué dans les principales initiatives innovantes
(open data, start-up interne, programme «dites-le nous une fois») et pilote les travaux sur
l’identité numérique.
Mathieu Jeandron, est polytechnicien et ingénieur en chef des mines
Franck Leroy a conçu les architectures des plus grandes infrastructures à clé publique
(Minefi, Miat, Mindef…). Dans le cadre de ses travaux au CEN (Comité Européen de Normalisation) dans le groupe des profils de protection des SSCD (Dispositifs sécurisés de création de
signature électronique), il est l’auteur de la norme européenne sur la signature centralisée.
Agent de liaison à l’ETSI (European Telecommunications Standards Institute), Franck participe aux travaux de rationalisation du nouveau cadre européen sur la signature électronique
notamment dans le domaine des politiques des Prestataires de Services de Confiance.
Franck est aussi Directeur Technique de la société CERTINOMIS
Franck est ingénieur diplômé de l’université d’Orsay (Polytech’Paris-Sud).
BIOGRAPHIES
Hervé Lebec est le fondateur et le PDG de Copilot Partners, cabinet de conseil en stratégie
et en accompagnement de projets liés au numérique.
Au début de sa carrière professionnelle, Franck a développé une expertise métier au sein
d’une Collectivité Territoriale pendant 7 années. Il a ensuite eu un parcours entrepreneurial
réussi : associé de plusieurs entreprises du secteur High Tech, il a fondé en 1994 et dirigé
pendant 7 ans la Web Agency Immedi@ pour la revendre à Wanadoo en 2001.
Sa pratique de consultant est nourrie d’une expérience au sein de grandes organisations. Il
a occupé les fonctions de Directeur du développement et de l’innovation, puis directeur de
Business Unit pour Wanadoo Services Pro et exercé des fonctions commerciales au sein de
Digital Equipment.
Hervé a développé une expertise particulière dans le domaine des identités numériques et
de la confiance numérique. Il est à ce titre le co-rédacteur avec Karine Susini d’un Cahier
Acsel intitulé : «La relation numérique de confiance : des enjeux des identités numériques»
paru en juin 2013.
Pierre Louette est Président du comité de transformation numérique du mouvement des
entreprises de France (MEDEF). Il est aussi Directeur Général Adjoint d’Orange, est en charge
du Secrétariat Général du Groupe (regroupant notamment les directions Juridique, Affaires
publiques, Immobilier et de la Réglementation), d’Orange Wholesale France, des Achats du
Groupe et du programme d’efficience opérationnelle Chrysalid.
Il représente le groupe Orange aux Conseils d’administration de TPSA, l’opérateur historique
polonais, de Dailymotion et de Buyin, la co-entreprise créée par France Télécom et Deutsche
Telekom dans le domaine des achats.
Depuis mars 2012, il est Président de la Fédération Française des Télécoms.
Conseiller technique pour la communication, la jeunesse et les sports au Cabinet du Premier
Ministre de 1993 à 1995, il contribue durant cette période au développement des nouveaux
réseaux de communication, avec le programme des autoroutes de
l’information.
Il devient ensuite Secrétaire général et Directeur de la communication de FranceTélévisions,
puis, à partir de 1996, participe au développement de l’Internet en France à la tête de la
Web agency Connectworld au sein du groupe Havas.
Il poursuit sa carrière en tant que dirigeant d’Europatweb, fonds d’investissement dans
l’Internet créé par M. Bernard Arnault.
DG de l’Agence France-Presse de 2003 à 2005, il est élu PDG en 2005 et le demeure jusqu’en
2010.
Licencié en droit, IEP, ENA, Il est Conseiller référendaire à la Cour des Comptes. Il a 50 ans
et est chevalier de la Légion d’honneur.
Sébastien Marché est actuellement Directeur des Affaires Stratégiques au sein d’Orange
Healthcare, division Santé du Groupe Orange créée en 2007. Orange Healthcare développe
les activités de e-santé en France et à l’international en s’appuyant sur les expertises du
Groupe dans les nouvelles technologies de l’information et de la communication.
En tant que Directeur des Affaires Stratégiques, Sébastien travaille étroitement avec le
Directeur Général d’Orange Healthcare et le Directeur Exécutif d’Orange en se focalisant
sur les partenariats stratégiques, la stratégie santé pour le Groupe et le marketing Produit.
Sébastien a rejoint le Groupe Orange en 2005 comme directeur du Business Développement
pour Orange à Lyon. Avant son arrivée en 2011 à Orange Healthcare, il a tenu différents
postes de directeurs opérationnel dans le Groupe. Il est membre du Comité de Direction
depuis 2005.
BIOGRAPHIES
François Momboisse est depuis 2002 Président de la FEVAD (Fédération du e-commerce et
de la vente à distance).
Il commence sa carrière dans les produits de grande consommation : Procter & Gamble de
1981 à 1992, puis Benckiser de 1992 à 2000, où il sera Directeur Général Belgique puis Président Directeur Général France.
En 2001, il rejoint la Fnac où il sera successivement Directeur Général de Fnac Eveil & Jeux,
Directeur de Fnacmusic, Directeur du développement de fnac.com, France puis International, et enfin Directeur des Relations Institutionnelles.
François est également membre du Conseil d’Administration du Conseil du Commerce de
France et a été membre du Conseil National du Numérique dont il a exercé la vice présidence entre mai 2011 et juillet 2012.
François est diplômé de l’Ecole Polytechnique et MBA de l’INSEAD.
Diane Mullenex est Avocat à la Cour, Solicitor England & Wales au sein du cabinet Pinsent
Masons LLP.
Diane a commencé sa carrière à Singapour en 1994 et a travaillé pendant plus de sept ans en
Inde et en Asie du Sud-Est, avant de revenir exercer en France en 2001.
Diane est une spécialiste des télécommunications, des nouvelles technologies et d’autres
secteurs d’activités réglementées, tels que les jeux en ligne. Elle s’est particulièrement
impliquée dans le droit des sociétés, le droit des affaires internationales et le droit des technologies de l’information et de la communication (TIC) et s’est illustrée en travaillant sur
des opérations complexes nécessitant une véritable coordination entre ces trois domaines
du droit. Elle intervient dans de nombreux dossiers sur la cybercriminalité impliquant le plus
souvent une phase d’expertise judiciaire.
Elle a parmi sa clientèle des prestataires informatiques, des fournisseurs d’accès et de
contenu internet mais également des utilisateurs de produits technologiques. Elle a tout
particulièrement travaillé sur les problématiques de données personnelles liées à la technologie RFID et à la biométrie.
Diane conseille régulièrement les gouvernements sur des problématiques de régulation. Elle
est également Conseiller au Commerce Extérieur, et membre d’Itechlaw et de l’IBA (International Bar Association). Elle a été élue au bureau du Comité Communication en tant que
Vice-Présidente.
Diane a également été promue au titre de Chevalier de l’ordre national du Mérite.
Philippe Pasquali est le Responsable Digitalisation et Amélioration des Processus du
Groupe Société Générale.
Philippe a débuté sa carrière en 1991 au sein du Groupe Air Liquide en tant qu’organisateur
avant de rejoindre en 1995 le cabinet de conseil KPMG Peat Marwick où il a eu la charge de
missions de réorganisation et de transformation. En 1998, dès les prémices de l’Internet,
Philippe a pris la Direction d’un site de bourse en ligne au sein du Groupe AXA. Les processus
mis en œuvre à cette occasion furent 100% dématérialisés. En 2000, il rejoint la Banque de
Financement et d’Investissement de la Société Générale pour conduire des projets internationaux de transformation. En 2010, il devient responsable de la Stratégie Dématérialisation
du Groupe avant d’occuper aujourd’hui le poste de responsable Groupe de la « Digitalisation
et de l’Amélioration des Processus ». A ce titre, il accompagne l’ensemble des directions du
Groupe dans leur programme de transformation.
BIOGRAPHIES
Fleur Pellerin exerce les fonctions de Ministre déléguée auprès du ministre du redressement productif, chargée des petites et moyennes entreprises, de l’innovation et de l’économie numérique, depuis mai 2012.
Auparavant , elle a exercé les fonctions politiques de Membre de l’équipe de campagne de
François Hollande pour l’élection présidentielle de 2012 chargée du pôle «Société et économie numériques» ainsi que d’autres fonctions : elle est ancienne présidente du Club XXIe
siècle, membre du bureau, ancienne trésorière des Entretiens de l’excellence, membre du
bureau, administratrice de l’association Unis-Cité, ancienne administratrice de la Fondation de Royaumont, ancienne membre de la commission des sanctions de l’ARJEL, ancienne
membre du conseil d’administration de la chaîne Public Sénat, ancienne membre du comité
diversité de France Télévisions, membre des jurys de la prep’Ena intégrée de l’Ecole nationale d’administration et des épreuves d’admissibilité de la filière ZEP de l’Institut d’études
politiques de Paris.
Durant sa carrière, elle a été auditrice puis conseillère référendaire à la Cour des comptes,
depuis 2009, directrice associée à Tilder (cabinet de conseil en stratégie de communication), de 2007 à 2008, chargée de mission d’audit externe dans le cadre du commissariat
aux comptes des Nations Unies en Irak, à New-York et Genève et rapporteur auprès de la
Commission permanente de contrôle des Sociétés de perception des droits d’auteur (SPRD),
de 2001 à 2005.
Elève de l’Ecole nationale d’administration, promotion Averroès, elle est diplômée de l’Ecole
supérieure des sciences économiques et commerciales (Essec), et diplômée de l’Institut
d’études politiques de Paris.
Thierry Piette-Coudol est Avocat au Barreau de Paris, et pratique le conseil en dématérialisation documentaire et en sécurisation des échanges électroniques. Il participe à divers
projets mettant en œuvre identification et authentification, comme la signature électronique, les téléprocédures, les données de santé, les élections électroniques, etc.
Pour Thierry, la problématique de l’authentification est largement sortie du Commerce électronique et de l’Administration électronique pour atteindre la société civile avec des agissements répréhensibles comme l’usurpation d’identité.
Au moment où le SGMAP (Secrétariat Général pour la Modernisation de l’Action Publique) a
lancé un grand chantier sur l’Identité numérique, il lui semble nécessaire de revenir sur les
moyens offerts par les Infrastructures de sécurité avec les certificats électroniques.
Hervé Postic est Directeur Général du cabinet de conseil UTSIT.
Saint-Cyrien, Hervé a eu une première expérience courte d’officier de cavalerie avant de se
consacrer depuis 1992 à l’informatique de la relation banque-entreprise.
Depuis 12 ans Hervé dirige le cabinet de conseil UTSIT qu’il a créé et qui intervient auprès
des banques et des grandes entreprises dans les tous les domaines de leurs échanges numériques. Spécialiste reconnu de l’utilisation du réseau SWIFT par les entreprises et des
moyens de paiement SEPA, Hervé assure aussi de des actions de formation au sein du centre
de formation de l’AFTE (Association Françaises des Trésoriers d’Entreprises) et intervient
dans le Master 2 Gestion de Trésorerie de l’Université Paris I Panthéon-Sorbonne.
Chaque année il organise à Paris le colloque Universwiftnet qui rassemble un millier de spécialistes de la relation banque-entreprise.
BIOGRAPHIES
Philippe Recouppé est Président et fondateur de l’association Forum ATENA, une asso-
ciation qui a pour vocation de fédérer et animer le monde du numérique, et qui se situe au
carrefour des entreprises et de l’enseignement supérieur.
Il a successivement fondé Cogitec, entreprise de formation et développement en informatique et télécommunication, puis Cogicom, entreprise centrée sur la formation et le conseil
auprès des opérateurs télécom, en France et dans le monde.
Philippe participe également aux programmes de plusieurs universités où il enseigne dans les
domaines télécom et réseaux.
André Santini est Député UDI des Hauts-de-Seine, et membre de la Commission des affaires étrangères à l’Assemblée nationale.
Il a été secrétaire d’État aux Rapatriés, puis ministre délégué à la Communication auprès du
ministre de la Culture et de la Communication de 1986 à 1988, et secrétaire d’État auprès
du ministre du Budget, chargé de la Fonction publique de 2007 à 2009.
Élu pour la première fois député des Hauts-de-Seine en 1988, il a été vice-président de l’Assemblée nationale de 1997 à 1998. Maire d’Issy-les-Moulineaux, vice-président de la communauté d’agglomération du Grand-Paris-Seine-Ouest, il préside le conseil de surveillance de la
société du Grand Paris depuis 2010.
Il est titulaire d’un doctorat en droit et diplômé de l’Institut d’études politiques de Paris,
de l’Institut des hautes études internationales et de l’École nationale des langues vivantes
orientales, et a été maître de conférences à l’université Panthéon-Sorbonne.
Christian Schunck est Coordinateur du projet européen SSEDIC, chercheur à l’université
Tor Vergata de Rome. Spécialiste des identités électroniques, il a en charge la coordination
du projet européen SSEDIC qui visa à préparer les conditions thématiques et d’organisation
en vue d’une « communauté européenne de l’identité numérique partagée » (Single European Digital Identity Community), notamment sur les aspects de régulation et de modèles
économiques.
En tant que chercheur à l’université Tor Vergata de Rome, Christian travaille sur la gestion
des identités électroniques, la validation des transactions distribuées, et l’analyse des processus permettant les vérifications de sécurité en « temps réel ».
Christian est Docteur en Philosophie (PhD) du Massachussetts Institute of Technology (MIT).
Robin Wilton est le Directeur Technique de sensibilisation pour l’identité et la vie privée
au sein de l’Internet Society. Il participe à de nombreuses initiatives sur l’identité numérique et accompagne des programmes pour le compte d’organismes multilatéraux ou internationaux. Depuis 2001, il s’est spécialisé dans l’identité numérique, la vie privée et des
politiques publiques, la construction d’une stratégie et la coordination de partenariats dans
ce domaine.
Avant de rejoindre l’Internet Society Robin a passé deux ans en tant qu’analyste de recherche de l’identité de Gartner. Il a également été directeur de la vie privée et politique
publique de l’Initiative Kantara.
En plus de l’identité numérique et de la vie privée, ses compétences spécialisées incluent
l’infrastructure à clé publique, la signature électronique, la gestion des identités (SSOFédérations d’identité).
Il fait partie du groupe ITAC (Internet Technical Advisory Committee) de l’OCDE, pour lequel
il a animé une réunion au sujet de la politique du chiffrement. Au Conseil d’Europe, il à
participé à la remise à jour de la Convention 108 pour la protection des personnes à l’égard
du traitement automatisé des données à caractère personnel.
Robin s’intéresse surtout à la manière dont les subtilités de l’identité, la vie privée et la
fiabilité se traduisent – bon gré, mal gré – grâce à la technologie.