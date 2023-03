Alors que les citoyens de l’Union européenne se préparent à une transformation profonde dans la manière de créer et de gérer leur identité et leurs données personnelles, de contrôler l’utilisation de leurs données par des tiers et, plus généralement, de vivre leur vie numérique avec un portefeuille d’identité numérique, de nombreux travaux sont en cours sur la législation, les normes et la facilité d’utilisation du projet eIDAS 2.0.

L’architecture et le cadre de référence [Architecture Reference Framework (ARF) v1.0.0] pour des solutions interopérables de portefeuille d’identité numérique a été publié par la Commission européenne en février, un an après l’ébauche. Des projets pilotes à grande échelle menés par des consortiums sont en cours pour développer des cas d’utilisation des portefeuilles numériques tels que les paiements transfrontaliers. Le code d’un modèle de portefeuille est en cours d’élaboration dans le cadre du partenariat Scytales/Netcompany-Intrasoft, et devrait être publié dans le courant de l’année, mais peu d’informations ont été communiquées à ce sujet.

L’ARF est la base de la mise en œuvre de référence du projet et permettra la réalisation de projets pilotes. Il est également quelque peu conceptuel, traitant de notions telles que les instances de portefeuilles et les solutions. Il y a également des lacunes importantes sur des questions telles que les identifiants uniques.

Intesi Group, une autorité de certification italienne, a organisé un séminaire en ligne pour tenter d’expliquer le cadre. Dans « Demystifying the EUDI Wallet Architecture Reference Framework », Peter Altmann, de l’agence suédoise DIGG pour l’administration numérique, a expliqué la signification de certains éléments, en passant du chapitre 1 au chapitre 4 et au chapitre 6 pour plus de clarté.

L’ARF est un document en constante évolution

L’ARF n’étant qu’un tout premier projet, il s’agit d’un document en constante évolution, a déclaré Altmann. Il fait partie d’une boucle de feedback. Ses spécifications alimenteront l’implémentation de référence (IR), qui constitue la base et le support des projets pilotes à grande échelle (LSP – large-scale pilots), dont les feedbacks et les propositions alimentent à leur tour l’ARF.

En tant que document, il n’a pas de valeur juridique, explique Altmann, mais il est faux de dire que les fournisseurs de services locaux ont toute latitude pour expérimenter. Ils doivent se concentrer sur des « solutions prêtes à la production autour des cas d’utilisation ».

Les implémentations nationales des portefeuilles doivent être basées sur l’IR, mais peuvent inclure leur propre logiciel en visant à être open source et à ne pas utiliser de modules et de plugins optionnels. Il existe un ensemble minimum de modules, mais les détails sur ces domaines sont en attente.

Il en va de même pour les détails des « services centraux » à l’écosystème, les parties prenantes attendant la communication officielle de la Commission.

États, solutions et instances des portefeuilles numériques – il suffit d’ajouter le DPI

Le terme « solution » devient un peu plus concret car il désigne l’ensemble de la mise en place du portefeuille. Elle fait partie du « cycle de vie » du portefeuille. Un fournisseur de portefeuille EUDI (portefeuille européen d’identité numérique) fournira une « solution de portefeuille ». Le fournisseur est un rôle, tandis qu’un portefeuille individuel, téléchargé et installé, est une instance de portefeuille.

La solution de portefeuille commence à l’état de « candidat », nécessitant la certification d’un État membre de l’UE. Une fois certifiée et mise à disposition, la solution passe à l’état de solution de portefeuille valide. Ce changement d’état est hérité par toutes les instances de portefeuille EUDI liées à cette solution.

Les instances de portefeuille changent également d’état. Une fois téléchargées et installées, elles sont dans un « état opérationnel » avec des fonctionnalités limitées. À ce stade, elles ne sont pas liées à l’identité d’une personne, mais peuvent toujours être utilisées pour des articles non personnalisés tels que des billets de train ou des cartes de fidélité.

Lorsque l’utilisateur associe ses données personnelles identifiables (DPI) à l’instance de portefeuille, celle-ci est alors reconnue comme une instance de portefeuille EUDI valide et pleinement fonctionnelle.

Toutefois, certaines questions restent en suspens. Chaque État membre décidera des modalités d’application du DPI. Chaque solution de portefeuille EUDI doit être certifiée et répertoriée, mais les modalités ne sont pas encore claires. De même, chaque fournisseur de DPI doit figurer sur une liste de confiance, explique Altmann.

Normes et exemples d’utilisation

L’ARF est basé sur des normes et des spécifications. Celles-ci ne sont pas nécessairement idéales, car elles correspondent à ce qui était disponible publiquement et ne tiennent pas compte des cas d’utilisation. Cela ne signifie pas qu’il s’agit de normes privilégiées, précise Altmann.

En fait, l’absence de normes et de spécifications techniques mûres pousse à développer des options open-source. La Commission discute actuellement de la possibilité d’avoir davantage de bibliothèque open-source, mais on n’en sait pas beaucoup plus à ce sujet.

Altmann prend l’exemple de la sécurité et explique que toutes les fonctionnalités de protection de la sécurité ne doivent pas nécessairement se trouver sur l’appareil lui-même, car un pays peut avoir des dispositifs de sécurité externes.

Il sera très difficile de répondre à toutes les exigences des cas d’utilisation eIDAS avec une seule solution, déclare Altmann : « Je dirais même que c’est impossible ». Selon lui, l’ARF v1.0.0 tient compte de cette situation.

Il existe actuellement deux configurations pour Solutions, mais d’autres pourront être ajoutées. Le type 1 est axé sur l’attestation DPI et la non-exportabilité des secrets, ce qui a une incidence sur la sauvegarde, la récupération et la prise en charge de plusieurs appareils, précise-t-il.

Le type 2 est destiné aux cas d’utilisation non satisfaits par le type 1. Ainsi, si les attestations proviennent de la même configuration (toutes deux de type 1 ou toutes deux de type 2), elles peuvent être utilisées ensemble. Ce n’est pas nécessairement le cas lorsqu’elles proviennent de configurations différentes.

Identifiant unique à confirmer

On ne sait pas encore exactement ce que seront les identifiants uniques – un numéro unique, éventuellement à vie, par personne – pour les individus, comment ils seront définis, comment ils seront générés. La question épineuse de l’identifiant semblait pouvoir être supprimée, mais elle a été gérée, au moins sur le plan conceptuel.

Altmann explique que l’attestation DPI contient des attributs eIDAS obligatoires et facultatifs. Les attributs obligatoires représentent « l’intersection de ce que tous les États membres peuvent fournir », bien que la partie relative à l’identifiant unique ne soit pas claire.