Le 8 juillet 2020, je suis intervenue en réunion commune de la commission des affaires économiques et de la commission des affaires européennes de l’Assemblée Nationale pour y présenter la mission sur l’identité numérique que j’ai présidée pendant huit mois.
J’ai salué le travail réalisé par deux collègues rapporteurs et les administrateurs de l’Assemblée Nationale qui nous a permis de réaliser l’audition d’un cinquantaine de spécialistes, acteurs et citoyens mobilisés par le numérique.
Nous y faisons des propositions en rappelant les principes qui doivent guider la mise en place d’un dispositif de sécurisation.
Nous sommes favorables à la mise en place d’une carte d’identité nationale numérique et faisons une quarantaine de propositions et recommandations ( cf plus bas).
Vous trouverez le texte ayant servi de base à mon intervention orale devant la commission commune le 8 juillet 2020 (ci-après).
Retrouvez la vidéo de la séance de la commission des affaires européennes de présentation du rapport de la mission « Examen du rapport d’information présenté en conclusion de la mission d’information, commune avec la commission des Affaires économiques, sur l’identité numérique »
Et dans la presse nationale
https://www.nextinpact.com/news/109159-identite-numerique-alicem-cest-fini-bienvenue-a-cnie.htm
Le texte ayant servi de base à mon intervention orale devant la commission commune le 8 juillet 2020.
Intervention orale de Mme Marietta Karamanli, Présidente de la mission d’information
Madame la Présidente,
Monsieur le Président,
Mes chers collègues,
De nombreuses questions en suspens
A l’ère du numérique, la dématérialisation des démarches administratives, la multiplication des services en lignes et des outils numériques de démocratie participative posent la question d’une redéfinition de l’identité des usagers et citoyens.
Elle s’accompagne d’une préoccupation fondamentale qui est celle de la lutte contre l’usurpation d’identité sur internet.
Cette question est d’autant plus importante que la gestion de l’identité en France est une prérogative de l’État depuis la création de l’état civil.
Dans un espace numérique grandissant où les acteurs privés se sont déjà saisis de la question de l’identification, il convient de s’interroger, entre autres, sur la définition de l’identité numérique, des interactions, parfois concurrentes, entre pouvoirs publics et secteur privé, ou encore des moyens techniques de mis en œuvre.
La période récente de l’état d’urgence sanitaire illustre combien les nouvelles technologies numériques peuvent avoir un impact sur vies et nos façons de travailler.
Face aux risques il importe que l’usager ou l’utilisateur justifie son identité de manière sécurisée auprès du fournisseur de service en ligne.
Cette justification est essentielle pour certaines opérations comme l’accès à une prestation de l’État ou d’une collectivité territoriale, ou la réalisation d’un virement depuis son espace bancaire en ligne.
Ces considérations ont conduit les pouvoirs publics à développer des dispositifs permettant précisément aux internautes de s’authentifier en ligne, à l’instar de FranceConnect depuis 2016 ou, plus récemment, de l’application Alicem.
Alors que la France doit mettre en place de nouvelles cartes nationales d’identité électronique à partir de l’été prochain pour se conformer au droit européen, le Gouvernement a lancé, en 2018, une mission interministérielle consacrée au déploiement d’un parcours d’identification numérique sécurisé, qui doit piloter la mise en place des solutions régaliennes.
C’est dans ce contexte, marqué par une accélération récente du chantier de l’identité numérique en Europe et en France, que l’Assemblée nationale a choisi de se saisir elle aussi de cette question, qui concerne déjà et concernera sûrement davantage à l’avenir l’ensemble de nos concitoyens.
La méthode de notre mission d’information
Pendant près de huit mois, cette mission d’information que j’ai eu l’honneur de présider, accompagnée de mes collègues, Christine Hennion et de Jean-Michel Mis, co-rapporteurs, a entendu plus d’une cinquantaine de personnes dans le cadre de la quarantaine d’auditions que nous avons organisées.
Nous avons choisi d’auditionner largement l’ensemble des acteurs concernés, en commençant par les chercheurs et les universitaires, puis les associations, ainsi que les administrations publiques et les acteurs économiques.
Nous avons également souhaité entendre des représentants de pays étrangers et avons ainsi eu le plaisir de recevoir des représentants des ambassades de Belgique, du Danemark et d’Estonie.
Ces auditions étaient publiques et elles ont également fait l’objet, à chaque fois que cela était techniquement possible, d’une retransmission en vidéo sur le site de l’Assemblée nationale, afin de permettre à chacun de suivre nos réflexions.
Nous avons également souhaité solliciter plus largement nos voisins européens et avons adressé un questionnaire à une dizaine d’entre eux, par l’intermédiaire du centre européen de recherche documentaire parlementaire, un réseau cogéré par l’Union européenne et le Conseil de l’Europe, qui met en place un partage d’informations entre les Parlements.
Le confinement a été un moment particulier où nous avons sollicité les acteurs de l’identité numérique d’une façon différente, par le biais de contributions écrites ; nous remercions vivement la dizaine d’acteurs qui a pu répondre de façon très circonstanciée à nos sollicitations malgré le contexte.
Au-delà de nos auditions, nous avons voulu, dès le début de la mission d’information, solliciter plus largement l’ensemble des internautes. Pendant deux mois, nous avons mis en place une consultation en ligne sur le site Internet de l’Assemblée nationale, qui a fonctionné sur le modèle d’un forum, permettant aux contributeurs de réagir aux commentaires laissés par d’autres internautes. Cette plateforme nous a permis de collecter plusieurs centaines de commentaires de qualité et particulièrement enrichissants, que nous avons ensuite versés à nos travaux.
Je remercie, au nom de la mission d’information, l’ensemble des acteurs qui nous ont fait partager leur expérience et ont contribué à nourrir nos réflexions.
Les co-rapporteurs présenteront dans le détail les conclusions de nos travaux, mais permettez-moi d’insister dès maintenant sur un point qui m’a semblé particulièrement important : c’est le besoin d’instaurer une relation de confiance entre les citoyens et les solutions qui seront développées.
Il y a près de 50 ans, le projet SAFARI a été le premier échec dans la mise en place d’une identité numérique régalienne en France.
Le moment, la méthode, l’objet même du traitement ont conduit au refus légitime d’un identifiant unique centralisé et à une prise de conscience de la nécessité de faire autrement.
Les pouvoirs publics considèrent cette distanciation avec un objectif politique comme significative, et ce, pour faire différemment.
Nos auditions nous ont permis de réaliser à quel point la méfiance demeure, notamment vis-à-vis du dispositif d’authentification par reconnaissance faciale Alicem, qui a suscité la polémique mais aussi, et de manière plus inquiétante, vis-à-vis de l’action publique de manière générale.
Des principes pour guider l’action publique et garantir son acceptabilité par nos concitoyens et assurer son contrôle
Dans ce contexte, il nous semble essentiel de faire prévaloir des principes importants :
-la transparence ;
-la proportionnalité ;
– la collégialité de l’expertise et son caractère contradictoire pour avancer en ayant à l’esprit que l’outil doit être approprié au sens d’adapté au but poursuivi et approprié au sens où il est accepté par nos concitoyens.
Nous avons ainsi le souci de mieux associer les citoyens, les universitaires et l’ensemble des acteurs du numérique à ces questions qui les concernent afin de développer des dispositifs consensuels, adaptés à tous, tout en faisant preuve de pédagogie dans le développement de ces nouveaux outils, dont chacun mesurera l’intérêt au fur et à mesure du développement des usages.
Je vais laisser à présent Christine Hennion et Jean-Michel Mis vous présenter les conclusions du rapport d’information de notre mission.
Je vous remercie pour votre attention.
Marietta KARAMANLI
…
Comme vous avez pu le constater, la mission formule de nombreuses recommandations.
Si toutes sont utiles, toutes n’ont pas la même « opérationnalité « si j’ose dire.
Certaines sont des points d’attention.
D’autres sont des demandes explicites et expresses.
D’autres, encore, déterminent des points d’étape dans un processus qui demandera par définition du temps et devra s’adapter aux solutions et questions technologiques qui, par nature, tendent à se renouveler.
Cela rend d’autant plus nécessaire que les moyens à mettre en œuvre soient cohérents entre eux, soient déployés en articulation des uns et des autres.
Quatre grands domaines d’actions sont concernés :
Premier domaine, celui des solutions techniques et des moyens dédiés : d’une part, les solutions existantes à conforter, à améliorer, à garantir en termes de droits ou de sécurité ; d’autre part les solutions alternatives qui sécurisent mais ne centralisent pas ou celles qui répondent aux limites et risques de la reconnaissance faciale ; ce sont aussi les points de sortie que constituent le Carte nationale d’identité -E (comme électronique) ou la signature numérique…
Deuxième domaine : celui des publics à mobiliser (acteurs du numérique, collectivités locales), à convaincre et à associer (nos concitoyens, les chercheurs et les entreprises), à inclure (les publics les plus éloignés de l’usage du numérique), à former (les jeunes scolaires et toutes celles et tous ceux qui poursuivent leurs formations au long de la vie ou encore les agents publics) ;
Troisième domaine : celui des valeurs et principes à privilégier : l’anonymat en principe et l’identification quand elle est nécessaire ; la sécurité des données ; la transparence des mécanismes ; le maintien des alternatives à la dématérialisation ; la pluralité des expertises scientifiques et techniques ; l’enjeu de modèles économiques nouveaux qui soient gagnants pour la collectivité, les entreprises et les usagers ;
Quatrième et dernier domaine : celui du droit à appliquer, du bon niveau de l’intervention normative en tenant compte des règles applicables européennes (ex RGPD), nationales (avec ou non un ajout constitutionnel sur les droits au et par le numérique de nos concitoyens) !
La mission a bien conscience de l’ampleur du sujet, de la nécessité d’une balance équilibrée entre droits et techniques et elle a inscrit son travail dans un cheminement dont une partie reste à faire et dont le sens peut évoluer.
Je vous remercie, une nouvelle fois pour votre attention.
Liste des recommandations du rapport
Recommandation n°1: Encourager les utilisations à titre expérimental et avec les garanties nécessaires de l’identité numérique régalienne par les acteurs privés, afin de leur permettre de s’approprier cette nouvelle solution .
Recommandation n°2 : Réaliser un bilan public d’Alicem afin d’assurer la confiance dans la solution d’identité numérique développée par le Gouvernement.
Recommandation n°3 : Adjoindre une fonction de signature électronique certifiée au dispositif d’identité numérique en cours de développement.
Recommandation n° 4: Poursuivre l’ouverture de FranceConnect à un nombre croissant de services publics et privés, en continuant de contrôler de façon transparente le respect des conditions générales d’utilisation de la plateforme par ses différents partenaires.
Recommandation n°5 : Intégrer la solution d’identité numérique régalienne au sein du fédérateur d’identité FranceConnect.
Recommandation n° 6 : Valoriser les retours d’expérience issus des expérimentations d’AidantsConnect et déployer ce service et si possible avant la fin de l’année 2020 sur l’ensemble du territoire national. Garantir pour la personne aidée la transparence des décisions prises en son nom par l’aidant dans le cadre de l’utilisation d’AidantsConnect.
Recommandation n° 7 : Réaffirmer le principe de l’interdiction de l’utilisation des données personnelles traitées par les solutions d’identité numérique régaliennes à des fins commerciales, publicitaires et sécuritaires posant problème quant à la protection des droits des citoyens et l’indiquer clairement aux utilisateurs.
Recommandation n° 8 : Mettre en place des contrôles réguliers du respect des engagements pris par les partenaires de FranceConnect et assurer la publicité de leurs résultats selon une périodicité déterminée.
Recommandation n° 9 : Assurer un travail de veille sécuritaire constant sur la carte nationale d’identité, en lien avec les acteurs experts de ce domaine.
Recommandation n° 10 : Travailler à l’élaboration de parcours d’identité numérique fluide, à partir de FranceConnect, en particulier dans le cas où un niveau d’authentification supplémentaire est nécessaire pour réaliser, sur le site d’un même fournisseur de services par exemple, une tâche nécessitant un niveau supplémentaire de sécurité.
Recommandation n° 11 : Fixer des objectifs ambitieux de déploiement de la CNIe, en privilégiant une cible inférieure à 10 ans (4 à 5 ans au maximum) afin de combler le retard français en matière d’identité numérique.
Recommandation n° 12: Renforcer la communication au sujet de FranceConnect et de la future solution d’identité numérique régalienne, pour en expliciter l’intérêt pour le citoyen, les garanties et l’ensemble des usages offerts à court et moyen termes.
Recommandation n° 13 : Renforcer l’association des collectivités au projet d’une identité numérique régalienne en leur garantissant un niveau d’information élevé, en les incluant dans la mise en place de la délivrance de cette identité et en soutenant la mise en œuvre d’expérimentations locales.
Recommandation n° 14 : Définir précisément, en concertation avec les collectivités, une « feuille de route » pour le déploiement de l’identité numérique en leur sein, afin de favoriser la création de synergies. Créer un comité de pilotage chargé de suivre coordonner son déploiement, en lien avec les collectivités.
Recommandation n°15 : Créer des équipes-projets en lien avec l’équipe centrale dédiées à son application sur le terrain.
Recommandation n°16 : Déployer des formateurs sur l’ensemble du territoire, notamment dans les lieux de délivrance de l’identité numérique.
Recommandation n° 17 : Définir un modèle économique de l’identité numérique favorisant l’apparition d’offres de fournisseurs d’identité privés, afin de donner le choix aux citoyens dans ce domaine.
Recommandation n° 18 : S’appuyer sur des standards permettant l’intégration dans les solutions des fournisseurs de services pour faciliter le parcours utilisateur.
Recommandation n°19 : Définir un modèle économique garantissant la gratuité de l’usage de l’identité numérique pour les citoyens, pour assurer son déploiement rapide et massif, mais dans lequel le recours par des fournisseurs de services à l’identité numérique régalienne serait payant, afin de consolider le marché de l’identité numérique
Recommandation n° 20 : Présenter les éléments principaux du modèle économique de l’identité numérique retenu, afin de permettre aux acteurs économiques d’orienter leurs investissements dans ce domaine et aux citoyens d’avoir une première vision de sa structuration.
Recommandation n°21: Intégrer le déploiement de l’identité numérique en France dans le cadre du prochain plan de relance.
Recommandation n° 22 : Poursuivre les efforts en matière d’éducation au numérique dans les établissements scolaires, y compris dans les programmes d’enseignement moral et civique, y en mentionnant spécifiquement les enjeux de protection des données personnelles et d’usurpation d’identité soulevés par l’identité numérique.
Recommandation n° 23 : Renforcer la formation continue aux outils numériques, en y intégrant les questions relatives à de l’identité numérique.
Recommandation n° 24 : Mettre en place un volet numérique dans tous les parcours d’insertion professionnelle et dans les bilans professionnels.
Recommandation n° 25 : Assurer la formation du corps associatif et des aidants numériques afin de garantir un accompagnement au numérique des publics fragiles de qualité.
Recommandation n° 26 : Accroître les financements aux associations qui se substituent aux services de l’État dans l’accompagnement numérique des publics fragiles
Recommandation n° 27 : Proposer la délivrance d’une identité numérique à tous les moments clé de la vie du citoyen, y compris à l’occasion du service national universel.
Recommandation n°28 : Lancer une réflexion interministérielle sur les mineurs et l’identité numérique.
Recommandation n° 29 : Afin de garantir la pleine effectivité du dispositif juridique de l’identité numérique des personnes décédées, adopter le décret prévu à l’article 85 de la loi « informatique et libertés » concernant les directives générales qu’une personne décédée peut définir à propos de la conservation, l’effacement et la communication de ses données personnelles.
Recommandation n° 30 : L’anonymat doit demeurer la situation par défaut et l’authentification en ligne doit être réservée aux seuls services qui nécessitent de connaître l’identité de l’utilisateur.
Recommandation n° 31 : Inscrire la protection des données personnelles dans le domaine de la loi à l’article 34 de la Constitution.
Recommandation n° 32 : Mettre en place une alternative physique à la reconnaissance faciale dans le cadre de la phase d’enrôlement des solutions d’identité numérique régaliennes.
Recommandation n° 33 : Renforcer les moyens de la CNIL.
Recommandation n° 34 : Développer des solutions d’identité numérique inclusives qui prennent en compte les besoins et les fragilités des publics les plus éloignés du numérique.
Recommandation n° 35 : Maintenir des alternatives physiques à la dématérialisation des services publics.
Recommandation n° 36 : Étendre le recours au Pass Numérique.
Recommandation n° 37 : Mettre l’identité numérique au cœur des réflexions sur la dématérialisation des services publics, que cette solution doit faciliter.
Recommandation n° 38 : Mettre en place une réflexion associant usagers, élus et agents des administrations afin d’accompagner la dématérialisation des services publics en favorisant la montée en compétence des agents publics et en maintenant le lien avec les administrés Oui
Recommandation n° 39 : Élever le niveau de l’ensemble des personnels de la fonction publique sur les sujets numériques par un vaste plan de formation.
Recommandation n° 40 : Déployer rapidement le dossier numérique du citoyen.
Recommandation n° 41 : Développer des solutions d’identité numérique transparentes, qui informent les utilisateurs sur le cheminement et les conditions d’accès et de partage de leurs données personnelles à des tiers.
Recommandation n° 42 : Favoriser le développement d’alternatives à l’identité numérique régalienne, comme l’identité numérique auto-souveraine, en exploitant les possibilités offertes par la blockchain (en utilisant / privilégiant une technologie de stockage et de transmission d’informations où les informations envoyées par les utilisateurs et les liens internes à la base sont vérifiés et groupés à intervalles de temps réguliers en blocs, formant ainsi une chaîne de contrôle ?
Recommandation n° 43 : À l’étape de la conception des solutions d’identité numérique, associer les citoyens, les universitaires et les corps intermédiaires (acteurs et groupements du numérique) , à la définition des besoins et des attentes des utilisateurs.
Recommandation n°44 : Engager une réflexion sur la gouvernance et le contrôle des questions numériques pour assurer davantage de lisibilité et un niveau de confiance plus élevé des citoyens.
Recommandation n° 45 : Évaluer la pertinence d’un encadrement législatif des solutions d’identité numérique
Source photo : capture d’image à partir de la vidéo de la commission sur le site de l’Assemblée Nationale
