Lettre de la DAJ – La CNIL publie son premier dossier thématique consacré à l’identité numérique

Pour son premier « dossier thématique », la Commission nationale Informatique et Libertés (CNIL) propose un panorama des définitions, enjeux et perspectives consacré à l’identité numérique. La CNIL offre, avec ce nouveau format, une vision globale d’un sujet dont les enjeux actuels et à venir sont considérables.

L’identité dans le contexte de la numérisation croissante

L’identité se définit comme l’ensemble des attributs associés à une personne. Elle permet d’accéder à des produits ou des services matériels ou immatériels. Chaque personne peut avoir plusieurs identités en fonction du contexte dans lequel elles sont utilisées (une identité régalienne qui est celle de l’état civil, un nom d’usage, un pseudonyme ou encore une identité sur les réseaux sociaux ou dans le cadre de jeux en ligne par exemple).

Dans un contexte où le numérique se développe toujours plus, les identités numériques sont aussi plus nombreuses et doivent répondre à plusieurs impératifs : il faut garantir à chacun la sécurité de ses données et veiller à la protection des droits fondamentaux et des libertés des individus.

La CNIL rappelle toutefois que l’on ne saurait faire disparaître totalement l’accès physique aux biens et services. Ainsi, le Conseil d’Etat a-t-il rappelé en 2019 que la saisine de l’administration par voie électronique est un droit et non une obligation.

Les usages actuels de l’identité numérique

En France, depuis août 2021, les cartes d’identité délivrées sont des cartes nationales d’identité électroniques (CNIe) et cette évolution est liée à l’adoption d’un règlement européen ayant pour objectif de renforcer la sécurité. Cette CNIe peut également être utilisée pour générer une identité numérique via France Identité et est utilisable pour attester, en ligne, des attributs de l’identité de la personne concernée.

Les enjeux de sécurité et de protection

Selon la CNIL, si l’on peut user de différentes identités dans le monde physique, il doit en être de même dans le monde virtuel. L’utilisation obligatoire de l’identité régalienne doit être limitée à certains cas et les identités multiples et le pseudonymat  doivent être préservés. Les identités multiples permettent en effet de créer des compartiments, d’étanchéifier certains pans de la vie par rapport à d’autres. Il est par exemple fortement déconseillé d’utiliser des identités similaires dans la vie personnelle et la vie professionnelle.

La pluralité des identités est défendue par la CNIL afin d’éviter deux écueils majeurs : une trop grande concentration des informations et les risques que cela comporte en cas de problème de sécurité et le risque de constitution de « fichiers » permettant de suivre chaque individu dans chaque pan de ses activités.

Cette nécessité de concilier sécurité et libertés se retrouve aussi dans le choix de l’architecture de la conservation des données : centralisée ou décentralisée ? Une gestion centralisée offre une base constamment à jour mais risque d’aboutir à une forme de fichage généralisé. Une gestion décentralisée empêcherait une surveillance systématique.

Les perspectives : l’identité numérique européenne

La Commission européenne a présenté, en juin 2021, une proposition de refonte du règlement eIDAS qui vise à créer un système européen de gestion d’identité, l’objectif étant la mise en place d’un dispositif pour une identité régalienne numérique et sécurisée. Dans cette perspective pourrait être mis en place un « Portefeuille Européen d’Identité Numérique » (PEIN). Ce PEIN permettrait de prouver son identité et de stocker des données. La CNIL soutient cette proposition dès lors que celle-ci est gratuite et facultative et qu’elle contient des mécanismes de « divulgation sélective ».

Un autre objectif de la refonte du règlement eIDAS est la création d’un « identifiant unique et persistant » qui serait rattaché à chaque personne. Cela faciliterait les interconnexions entre les systèmes des différents Etats membres. La CNIL est réservée sur ce projet. En effet, il existe un risque de suivi systématisé des citoyens dans tous les pans de leur vie et cela pourrait encourager une interconnexion des fichiers. Le Contrôleur européen des données a également indiqué que cet identifiant unique et persistant n’est pas exempt de risques pour les droits et libertés des personnes.