L'équilibre entre simplicité et fiabilité

Rapport du 117e Congrès des notaires de France - Dernière date de mise à jour le 31 janvier 2021

C'est par le biais de la procédure d'authentification que le détenteur d'une identité numérique active son titre d'identité numérique et se trouve ainsi identifié sur le service numérique convoité. De la sécurité recherchée dans l'usage de l'identité numérique dépend la facilité ou la complexité de la procédure d'authentification.

– Classement des moyens d'identification électroniques. – L'annexe du règlement d'exécution du 8 septembre 2015 pris en application du règlement eIDAS par la Commission européenne CE, règl. d'exécution, 8 sept. 2015, fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'art. 8, § 3, du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché́ intérieur. a classé les moyens d'identification électronique selon trois catégories en fonction du niveau de garantie qu'ils offrent à leurs utilisateurs dans le tableau suivant :

– Critères de distinction. – Il ressort de ce tableau deux critères de distinction des moyens d'identification électroniques : les facteurs d'authentification et l'usage du matériel.

La même annexe du règlement d'exécution du 8 septembre 2015 distingue trois catégories de facteurs d'authentification pour lesquels il est ici proposé quelques exemples d'utilisation :

a) « Facteur d'authentification basé sur la possession », un facteur d'authentification dont il revient au sujet de démontrer la possession.

Par exemple : le téléphone portable recevant un SMS de confirmation.

Ce facteur d'authentification est fréquemment utilisé par les banques ou établissements émetteurs de cartes de paiement : lors d'un achat en ligne, la plateforme de vente adresse une requête en paiement à l'établissement émetteur de la carte. Pour s'assurer de l'identité de l'acheteur, l'établissement bancaire demande à l'acheteur d'entrer sur son clavier téléphonique un code qu'il vient d'adresser par SMS au titulaire de l'instrument de paiement.

b) « Facteur d'authentification basé sur la connaissance », un facteur d'authentification dont il revient au sujet de démontrer la connaissance.

Par exemple : le login ou la réponse à une question personnelle.

Il s'agit du facteur d'authentification le plus fréquent ; il est utilisé par la quasi-totalité des services numériques. Pour s'identifier sur un service numérique, l'usager doit entrer un mot de passe.

c) « Facteur d'authentification inhérent », un facteur d'authentification qui est basé sur un attribut physique d'une personne physique, et dont il revient au sujet de démontrer qu'il possède cet attribut physique.

Par exemple : la reconnaissance faciale ou par empreinte digitale.

Le grand public retrouve ce facteur d'authentification dans la plupart des appareils connectés mobiles. Il sert, en premier lieu, d'authentification pour l'accès à l'appareil. Par un effet induit, si la machine a retenu certains facteurs d'authentification basés sur la connaissance de son propriétaire, alors, à l'usage, ce facteur d'authentification inhérent se substituera au facteur d'authentification basé sur la connaissance, en toute transparence pour le service.

L'incrémentation d'intelligence artificielle dans la gestion des facteurs d'authentification permet également la substitution factuelle du facteur d'authentification basé sur la connaissance : lorsque l'appareil pareillement équipé reçoit un SMS de confirmation, il va automatiquement faire le lien avec la demande d'entrée de code faite à l'utilisateur et proposer de l'insérer.

– Biométrie pour authentifier ou pour identifier. – Concernant ce dernier facteur, il s'agit en l'espèce de la biométrie prise comme méthode d'authentification. Ce cas doit être strictement distingué de la biométrie prise comme méthode d'identification. En cas d'authentification, l'utilisateur présente à un système un attribut physique que le système a précédemment enregistré et attend spécifiquement. En cas d'identification, le système d'information auquel est présenté un attribut physique le compare à sa base de données pour identifier la personne.

– Moyens d'identification matériels. – Enfin, l'exigence de détention du titre physique et une certaine facilité de révocation en cas de perte, de disparition ou de vol, pouvant être considérées en pratique comme une forme de sécurité, un titre d'identité numérique matériel peut exister sans qu'aucun des trois facteurs d'authentification précités ne soit nécessaire à son activation. Dans ce cas, l'authentification consiste en la simple présentation de l'objet. Loin d'être anodin, ce principe de fonctionnement est notamment retenu par les émetteurs de cartes bancaires dites « sans contact ».

L'équilibre entre simplicité et fiabilité

Moderniser et encadrer le contrat dans le monde numérique

L'adaptation du droit des contrats au monde numérique

La sécurisation de la pratique du contrat numérique

Protéger la personne et le citoyen dans le monde numérique

Les attributs numériques de la personne

La mort dans le monde numérique

Valoriser et transmettre le patrimoine dans le monde numérique

Le patrimoine immobilier

Le patrimoine familial

L'équilibre entre simplicité et fiabilité