Le portefeuille numérique européen s’apprête à révolutionner la gestion de l’identité numérique en Europe, en offrant à tous les citoyens un moyen sécurisé et reconnu d’utiliser leur identité dans l’ensemble des États membres. Des millions de personnes pourront y stocker et présenter des attestations électroniques d’attributs d’identité, tandis que les institutions publiques et privées pourront utiliser ces informations de manière fiable.
Pour garantir l’adoption et la sécurité de ce portefeuille numérique, toutes les parties prenantes (citoyens, organismes publics, entreprises, etc.) doivent avoir l’assurance que le dispositif repose sur des principes de confiance et de sécurité solides.
Dans cette perspective, des travaux de standardisation sont en cours, et iDAKTO participe activement à leur élaboration. Voici d’ores et déjà un panorama du fonctionnement du futur EUDI Wallet et des mécanismes de confiance sur lesquels il repose.
Les différentes entités et leur rôle dans l’écosystème de confiance
| Fournisseurs de PID Personal Identity Data Providers Ces entités sont responsables de la vérification et de la validation de l’identité d’un individu, jouant ainsi un rôle clé dans l’établissement de la confiance entre l’identité physique et numérique. Elles doivent respecter un niveau de garantie élevé (LoA High) et se conformer aux exigences du règlement européen et de ses actes d’exécution. De plus, elles publient des listes de portefeuilles compatibles. | Fournisseurs de portefeuilles Wallet Providers Ces entités, qu’il s’agisse d’États membres ou d’acteurs mandatés, doivent garantir qu’au moins un fournisseur de PID est en mesure d’émettre des identifiants compatibles avec leur solution. Elles peuvent aussi publier des listes des fournisseurs d’identités et d’attestations compatibles, permettant aux utilisateurs de s’assurer que leurs données seront reconnues par un portefeuille donné. |
| Fournisseurs d’attestations électroniques d’attributs Attestation Providers Ces organismes délivrent des attestations électroniques permettant de certifier des attributs spécifiques d’un utilisateur, comme ses droits, qualifications ou caractéristiques personnelles. Par exemple, elles peuvent attester de la validité d’un permis de conduire, de l’éligibilité à des services publics ou de tout autre élément nécessitant une preuve vérifiable dans l’écosystème numérique. | Fournisseurs de services Relying Parties Les fournisseurs de services exploitent le portefeuille pour offrir un accès sécurisé à leurs plateformes. L’acceptation du portefeuille peut être volontaire ou imposée par la réglementation. Parmi les entités soumises à cette obligation figurent les États membres pour leurs services en ligne, les banques et entreprises nécessitant une authentification forte, ainsi que les grandes plateformes numériques (VLOP) qui exigent une identification vérifiée pour l’accès à leurs services. |
Les entités appelées à faire partie de cet écosystème et à interagir avec le portefeuille numérique européen, situé au centre du dispositif, doivent respecter différents prérequis :
- Être enregistrées sur des listes de confiance.
- Être identifiées/authentifiées grâce à des certificats électroniques
Figure 1 : Trust Model Schema – Source : ARF
Les listes de confiance, piliers du modèle de confiance du portefeuille numérique européen
Introduit par le règlement eIDAS en 2014, le concept de listes de confiance impose aux États membres d’établir, de maintenir et de publier des « listes fiables de prestataires de services de confiance qualifiés et des services qu’ils fournissent ».
Au cœur de l’écosystème du portefeuille européen d’identité numérique, ce modèle de listes est étendu à l’ensemble des acteurs de l’écosystème et joue un rôle fondamental en garantissant la fiabilité et l’interopérabilité du système. Toute entité opérant dans cet environnement devra y être enregistrée, assurant ainsi une transparence et une sécurité accrues à l’échelle européenne.
Sur les listes de confiance figurent les entités, les services qu’elles mettent en œuvre ainsi que des informations associées comme des certificats électroniques permettant d’authentifier ces entités.
L’enregistrement sur les listes de confiance et les obligations des entités sont régis par le règlement eIDAS et ses règlements d’exécution. Cette inscription nécessite l’adoption de pratiques strictes en gestion et audit, en particulier pour les prestataires qualifiés.
Les obligations et les processus d’enregistrement dans les listes
Pour les fournisseurs de portefeuille numérique
Chaque fournisseur de portefeuille numérique devra s’enregistrer sur une liste de confiance dédiée, gérée au niveau national.
Cet enregistrement inclut à la fois l’inscription du fournisseur lui-même et celle de sa solution de portefeuille certifiée sur la liste de confiance dédiée dans son État membre.
Une fois cette étape validée, l’État membre notifie officiellement le fournisseur de portefeuille à la Commission européenne. Si les processus d’enregistrement et de notification sont concluants, les certificats racines de confiance (Trust Anchor) du fournisseur sont intégrés dans une liste de confiance dédiée aux fournisseurs de portefeuilles.
Lors de l’émission d’un PID (identifiant personnel) ou d’une attestation, le fournisseur de PID ou d’attestations peut s’appuyer sur ces racines de confiance pour vérifier l’authenticité d’une attestation d’une unité de portefeuille (WUA) signée par le fournisseur de portefeuille. Cela garantit que l’interaction se fait avec une unité de portefeuille authentique et approuvée.
Une fois enregistré, le fournisseur de portefeuille numérique pourra activer des unités de portefeuille pour les utilisateurs finaux.
Prérequis et obligations :
- Certification du portefeuille garantissant la sécurité de la conception,
- Certification fonctionnelle garantissant que toutes les fonctionnalités sont implémentées et que le wallet est interopérable avec des entités,
- Veille continuelle, gestion d’incidents,
- Assistance technique pour les utilisateurs.
Pour les fournisseurs d’attestations électroniques d’attributs qualifiés et du secteur public (Pub/Q-EAA Providers)
Ces entités devront s’inscrire sur une liste de confiance spécifique, gérée au niveau national, et obtenir un certificat d’accès.
Ce certificat d’accès, délivré par une autorité de certification (Certificate Authority / CA), permet aux fournisseurs d’attestations de s’authentifier auprès des wallets et de garantir leur légitimité dans l’écosystème.
Afin de permettre aux tiers de valider les attestations électroniques d’attributs émises, le certificat racine de confiance (Trust Anchor) est également inscrit sur une liste de confiance dédiée aux fournisseurs d’attestations.
Les autorités de certification, chargées de délivrer les certificats d’accès, doivent elles aussi être inscrites sur une liste spécifique afin d’assurer transparence et sécurité dans le processus.
Obligations :
Les fournisseurs d’attestations doivent se conformer à plusieurs exigences, notamment :
- La publication des conditions générales et de la politique du service,
- L’évaluation des risques,
- Le respect des exigences en matière de sécurité et de gestion.
Les fournisseurs d’attestations du secteur public doivent se soumettre à un audit, probablement basé sur le standard existant, et atteindre un niveau de fiabilité équivalent à celui des fournisseurs qualifiés en matière de vérification d’identité et d’attributs.
Les fournisseurs de PID (PID Providers) suivent un processus similaire à celui des fournisseurs d’attestations électroniques d’attributs.
Pour les fournisseurs de services
Tout fournisseur de services souhaitant interagir avec les portefeuilles numériques doit également s’inscrire sur une liste de confiance spécifique, gérée au niveau national, et obtenir un certificat d’accès.
Comme pour les autres entités, un certificat d’accès est délivré par une autorité de certification et permet aux fournisseurs de services de s’authentifier auprès des wallets.
Ces autorités de certification sont inscrites sur une liste spécifique, nommée “Relying Party Instance Access CA”, garantissant ainsi la fiabilité du processus.
Enfin, un certificat d’enregistrement spécifique est délivré aux fournisseurs de services, précisant les types de données qu’ils sont autorisés à demander aux utilisateurs.
Prérequis & Obligations :
Les fournisseurs de services doivent s’inscrire selon les modalités établies par la Commission Européenne en fournissant leurs coordonnées, l’utilisation prévue du portefeuille numérique ainsi que la liste exhaustive des données qu’ils sollicitent auprès des utilisateurs, garantissant ainsi une transparence totale dans le traitement des informations personnelles.
| Deux points cruciaux restent à clarifier concernant les listes de confiance Qui sera responsable de la gestion des listes de confiance existantes et à venir ? À ce jour, les organismes responsables de la gestion des listes existantes et futures n’ont pas encore été désignés. Chaque État membre devra nommer une autorité nationale chargée de créer, mettre à jour et publier ces listes. Par ailleurs, de nouvelles listes seront nécessaires pour répondre aux besoins de l’écosystème de l’EUDI Wallet. Quels seront les formats des nouvelles listes de confiance ? Les normes actuelles doivent être adaptées aux exigences de l’écosystème EUDI. Un travail est en cours pour définir ces formats, car le standard ETSI TS 119 612 ne prend pas en compte certains fournisseurs, tels que ceux de portefeuilles, de PID ou d’autorités de certification. De nouvelles normes seront nécessaires pour ces catégories spécifiques. |
En résumé
La réussite et l’adoption du futur portefeuille numérique européen dépendent en grande partie de la confiance que les utilisateurs lui accorderont pour gérer leur identité numérique de manière autonome.
En s’appuyant sur des concepts éprouvés associés au règlement eIDAS, le « modèle de confiance » assure la fiabilité, la transparence et l’interopérabilité des services de confiance. Cependant, des mises à jour sont nécessaires pour s’adapter aux spécificités du nouvel écosystème du wallet, notamment concernant la gestion et le format des listes de confiance.
À mesure que nous progressons vers la mise en œuvre de l’EUDI Wallet, la collaboration et les efforts de standardisation seront cruciaux pour établir un environnement de confiance solide. Grâce à son implication active dans des organes de normalisation tels que l’ETSI, iDAKTO s’engage à apporter plus de confiance et de sécurité au sein de cet écosystème.
