[André Viau – 31/03/2021] Éditorial

Les premières CNIE (carte nationale d’identité électronique) ont été émises ce mois de mars en France. C’est une étape hautement symbolique du déploiement des identités numériques dans notre pays qu’il convient de souligner. Il est bon de voir la France progresser dans l’adoption des nouvelles technologies alors que la situation sanitaire montre chaque jour le besoin pressant d’utiliser l’identification à distance. Ce serait même une occasion de se réjouir.

Pourtant le bilan de l’action gouvernemental reste en demi-teinte

C’est d’ailleurs le sens, du message envoyé par les députés Christine Hennion et Jean-Michel Mis, co-rapporteurs de la mission parlementaire sur l’identité numérique, qui viennent d’écrire à Marlène Schiappa pour regretter qu’aucun calendrier n’ait été annoncé sur la mise en place d’une offre régalienne d’une identité numérique et des services associés.

C’est un décret du 14 mars de cette année qui organise la mise en place de la nouvelle carte nationale d’identité. La France se conforme enfin au règlement européen de 2019 qui demande aux Etats membres de doter leurs citoyens d’un titre d’identité sûr, comportant une image faciale et deux empreintes digitales dans des formats numériques interopérables. Le règlement indique par ailleurs que les cartes d’identité qui ne satisferont pas aux exigences européennes cesseront d’être valides en août 2031. Les titres ayant une validité maximale de 10 ans, il était indispensable que la nouvelle carte nationale d’identité soit émise en France sur tout le territoire au plus tard en août 2021.

Le progrès est incontestable : le format de la carte (ID-1, identique à une carte bancaire) est pratique, la carte est difficilement imitable, elle permettra de de justifier son identité sur tout le territoire européen, de franchir certaines frontières hors de l’Union européenne. Les services compétents pourront lire les données d’identité contenues dans la puce électronique comme ils le font aujourd’hui pour un passeport.

Soulignons quelques points importants :

-l’autorité publique française a fait le choix de la gratuité du titre. Rappelons que notre ancienne carte d’identité devait autrefois porter un timbre fiscal et que ce n’est qu’à partir de 1998 que la délivrance de la carte d’identité n’entraine aucune dépense pour le titulaire.

-les principes établis par la loi Informatique et liberté sont respectés avec des mesures spécifiques en plus du consentement, ainsi le titulaire peut refuser que l’image numérisée de ses empreintes digitales soit conservée dans un fichier électronique au-delà d’un délai de 90 jours à compter de la délivrance du titre.

Mais ces points positifs ne sauraient masquer la déception qu’expriment les deux députés et que partagent beaucoup de personnes intéressées. La France est un des derniers pays de l’Union à n’avoir pas doté ses citoyens d’une véritable identité numérique régalienne capable de permettre un accès facile et sécurisé à de nombreux services numériques. Vingt ans après la Belgique et l’Estonie, ou encore dix ans après l’Allemagne, pays qui à l’automne prochain, aura aussi un document d’identité dématérialisé dérivé installé sur son téléphone mobile avec lequel le citoyen allemand pourra accéder plus facilement aux services numériques. En France du chemin reste à parcourir :

  • Les travaux de la mission interministérielle sur l’identité numérique menés avec célérité et compétence n’ont pas encore trouvé leur conclusion ;
  • La consultation des entreprises en vue de fournir les dispositifs assurant le fonctionnement de l’écosystème numérique doit aller à son terme ;
  • La question de l’utilisation du nouveau titre pour accéder à des services bancaires, ou à ceux de la Sécurité Sociale n’est pas encore traitée ; Que dire de la possibilité pour nos citoyens de voter électroniquement ou d’accéder à leurs services de santé en ligne en toute sécurité ?
  • Les incontestables progrès de France Connect qui compte aujourd’hui plus de 20 millions d’utilisateurs et permet l’accès à de très nombreux services numériques, doit encore pouvoir intégrer la CNIE dans un dispositif général ouvrant sur un niveau de confiance élevé ;
  • Dans le domaine de l’identité numérique notre pays a des atouts : Les industriels français de l’identité sont des champions mondiaux et ils équipent nombre de pays étrangers ; nous avons des ambitions justifiées dans le domaine de la cybersécurité ; nos écoles, nos ingénieurs, nos starts ups sont performants et innovants.

Les outils technologiques nécessaires pour doter les Français d’une identité numérique fiable sont disponibles, les études et consultations nécessaires ont été menées à bien. La situation sanitaire demande un déploiement rapide des solutions.

On peut comprendre la prudence du gouvernement face au risque d’une contestation politique – et médiatique – sur le thème d’une menace aux libertés individuelles.  Mais le succès des premiers opérateurs qui proposent des identités numériques avec France-Connect, démontre l’intérêt de la population pour un dispositif offrant à tous un accès simple et sûr aux services en ligne publics et privés.

 L’exemple de la Suisse où les citoyens, consultés à l’occasion du projet de loi sur l’identité numérique, ont refusé semble-t-il que les solutions d’identification relèvent uniquement du secteur privé (voir notre information sur ce sujet) devrait rassurer notre gouvernement sur la voie du déploiement d’une ou deux solutions d’identité régaliennes et pour un usage effectif de ces solutions pour l’accès aux services.

A l’heure où tous les pays du monde progressent dans la réalisation des écosystèmes d’identité numérique : osons poser la question à notre gouvernement : Que nous manque-t-il pour avancer ? Faut-il comme dans le cas de la CNIE attendre un nouveau règlement de Bruxelles pour pouvoir faire d’autres pas en avant ?

André Viau, préfet (H) et cofondateur de l’ID Forum

read more
Gwendoline LEGROS[André Viau – 31/03/2021] Éditorial

[Guy de Felcourt – 20/03/2021] Suisse : le gouvernement amené à revoir sa copie sur son projet d’écosystème d’identités numériques

Le 7 mars dernier les résidents de la Suisse étaient invités à se prononcer par référendum sur la nouvelle loi la loi fédérale sur les services d’indentification électronique (LSIE) après que celle-ci eut été approuvée par le Conseil fédéral et le Parlement. https://www.admin.ch/gov/fr/accueil/documentation/votations/20210307/loi-federale-sur-les-services-d-identification-electronique.html

L’originalité de cette loi était que le gouvernement suisse déléguait totalement l’émission des titres d’identité électronique au secteur privé, le gouvernement ayant lui un rôle de gouvernance et contrôle de l’écosystème, ainsi que de garant de la fiabilité des informations issues des registres de l’Etat, réputés parmi les plus fiables sur le plan européen et mondial.

Lors du référendum environ 35% des participants se sont prononcés en faveur du projet contre une majorité d’environ 64% qui a manifesté une opposition. Le gouvernement Suisse doit donc revoir sa copie pour créer l’écosystème national suisse de l’identité et peut être envisager que le gouvernement ou un service public puisse devenir aussi un émetteur d’identité électronique au service de la population.

Guy de Felcourt

read more
Gwendoline LEGROS[Guy de Felcourt – 20/03/2021] Suisse : le gouvernement amené à revoir sa copie sur son projet d’écosystème d’identités numériques

[Guy de Felcourt – 20/03/2021] France Connect et l’identité numérique_ La Poste : l’heure de la pré-notification

C’est bien le projet français de pré-notification d’un premier schéma d’identité sur le plan européen dans le cadre du règlement eIDAS.  

Cette pré-notification a été effectuée au mois de Mars 2021 vis-à-vis de la commission européenne et vise le tandem « identité numérique » du groupe La Poste le fédérateur d’identités FranceConnect, également nœud d’interopérabilité français. La demande vise une notification au niveau de confiance substantiel.

Rappelons d’ailleurs que les deux parties ont déjà chacune obtenu de l’ANSSI une attestation de conformité de ce niveau pour leurs activités nationales.

La réponse de la commission et du groupe de concertation des Etats Membres est attendue pour juillet 2021.

Fort de ses 21 millions d’utilisateurs uniques, FranceConnect poursuit son évolution et vient récemment d’être intégré en France sur les services de Pole Emploi. En parallèle les API se multiplient aussi permettant aux utilisateurs et offreurs de services d’échanger des données contextuellement pertinentes en complément du flux de l’identification France Connect.  

Guy de Felcourt

read more
Gwendoline LEGROS[Guy de Felcourt – 20/03/2021] France Connect et l’identité numérique_ La Poste : l’heure de la pré-notification

[Guy de Felcourt – 09/04/2021] L’Allemagne va lancer une version numérique mobile de sa carte d’identité

Le ministre de l’Intérieur allemand a indiqué récemment que l’Allemagne se prépare à lancer une version mobile de sa carte d’identité avant la fin de l’année 2021. (Source Associated Press)

Cette version utiliserait en grande partie l’architecture de sécurité (SE, SDK, Applets, App, TSM) construite par le projet OPTIMOS 2.0 avec plusieurs partenaires industriels et financé par le ministère fédéral de l’économie allemand. La confidentialité des données étant assurées à la fois par les sécurités des interfaces et des possibilités de stockage sur les composants embarqués.

La version mobile dérivée utilisée pour l’identité permettrait aussi dans un deuxième temps d’alimenter d’autres titres ou services sur mobile, comme le permis de conduire et/ou l’application de l’identité en santé. D’après nos informations la version mobile de l’identité allemande serait lancée (et peut être notifiée) avec un niveau de confiance substantiel, contre un niveau de confiance élevé aujourd’hui pour la carte.

Guy de Felcourt

read more
Gwendoline LEGROS[Guy de Felcourt – 09/04/2021] L’Allemagne va lancer une version numérique mobile de sa carte d’identité

[Webinar ID FORUM – 18/03/2021] Données et Identités des organismes sociaux : comment gérer le risque et maitriser la fraude ?

Retour sur la dernière conférence Web de l’ID FORUM

Ce fut une matinée intense sur un sujet important. Au cours de cette Web Conférence organisée par l’ID Forum plusieurs magistrats experts et spécialistes représentants des secteurs publics et privés ont pu débattre et proposer des orientations pour mieux utiliser les données et les identités au sein de la sphère sociale. Les objectifs sont de concilier l’augmentation des bénéfices pour les usagers, de combattre la fraude organisée et d’améliorer la performance de gestion.

Dans son introduction Guy de Felcourt, cofondateur de l’ID Forum a souligné la dimension complexe, la sensibilité, l’importance et l’actualité de ce sujet. Il a rappelé que dans son ensemble la protection sociale c’est 790 milliards d’Euros en France (chiffres 2018), la France étant le pays le plus généreux d’Europe avec 31.7% du PIB qui y est consacré, sans doute d’avantage en ces années de crise sanitaire. Les enjeux sont donc considérables pour les finances publiques, pour l’équité et pour le bon respect de la solidarité nationale.

Madame Véronique Hamayon, Conseillère Maitre et présidente de section a la Cour des Comptes est intervenue soulignant le rôle de la Cour des Comptes dans le contrôle des organismes sociaux et précisant le champ couvert par la Cour dans ses rapports sur les erreurs et sur les fraudes. Après avoir rappelé que « on ne combat bien que ce que l’on connait bien » elle a insisté sur le besoin de progresser dans l’estimation de la fraude au sein de la plupart des organismes sociaux. Les avances déjà réalisées sont certes réelles et les efforts notables dans le combat contre la fraude, mais il reste encore de grandes marges d’optimisation des résultats. Il existe ainsi une nécessité d’automatiser davantage de contrôles a priori sur les données afin de fiabiliser les situations, que ce soit celles des professionnels de santé ou celles des usagers. Par exemple les rapporteurs ont noté que des actes médicaux incompatibles entre eux ne sont pas vérifiés préalablement par des algorithmes. L’interopérabilité des données et la simplification administrative (comme la Déclaration Sociale Nominative) permettent d’améliorer les choses néanmoins. Les annonces récentes du gouvernement reflètent que le message a été entendu, il reste encore à prendre la mesure de l’ampleur de la fraude et des efforts de prévention à mener. Une étude de l’université de Portsmouth suivie chaque année sur plusieurs pays d’Europe, indique qu’une moyenne envisageable des montants de la fraude aux prestations sociales se situerait annuellement autour de 30 milliards d’Euros à titre indicatif pour la France. Cette estimation demande à être affinée, mais nous pouvons considérer que au vu de l’attachement des Français à leur sécurité sociale, nous sommes bien face à une entaille portée au pacte républicain.

 Madame Elise Debiès, Directrice de l’Institut des Hautes Etudes de la Protection Sociale, a rappelé quelques étapes de la construction de la protection sociale en France soulignant l’objectif d’intégration de l’ensemble de la population. La sociologie du travail modifie les besoins de protection. Ainsi le travail sur « le parcours professionnel » des personnes est devenu plus éclaté dans le monde actuel aux situations plus précaires et plus mobiles géographiquement. Cette consolidation et suivi d’un parcours individuel aux situations alternées prend donc beaucoup d’importance grâce mais aussi à cause du numérique. Le cas des travailleurs des plateformes est de ce point de vue emblématique. Au sein de la protection sociale, le virage numérique a été pris avec de grands référentiels (RNIPP, SNGI) pour irriguer les systèmes sociaux, puis avec le RNCPS pour constituer une vision du patrimoine social et favoriser le dialogue entre les acteurs. Enfin le DRM (dispositif de ressources mutualisés) permet de déterminer les conditions de ressources. L’usager peut accéder au PNDS (portail numérique des droits sociaux) pour connaitre les données connues et gérées par l’administration. Le numérique pousse à une perception fonctionnelle de gestion des droits individuels, c’est bien mais cela repose la question de comment remettre du collectif et de la solidarité dans notre nouvelle pratique sociale et aussi comment pallier la fracture numérique. L’automatisation et la simplification (par exemple le DLNF -Dites-le nous une fois) sont un progrès mais présentent aussi un risque de ruptures de la protection faute d’une information suffisante. Le droit à l’erreur et le droit d’accès et de rectification aux informations personnelles, sont des ouvertures réelles et d’ailleurs de plus en plus utilisées de recours.  Sur un plan juridique, la multiplicité des droits applicables limite les efforts de simplification généralisés. Mais ceux-ci existent néanmoins pour des situations définies comme celui des créateurs d’entreprises ou pour les situations de mobilité européennes.

Monsieur Frédéric Gaven, expert dans la transformation digitale du secteur public, a commencé son intervention en expliquant quelles ont été les politiques ministérielles, pour faire naitre la coordination et décloisonner les organismes sociaux à partir des années 2000 et souligné quelques initiatives comme la création de la DNLF (Direction Nationale de la Lutte contre la Fraude) ou des CODAF (Comités Opérationnels Anti-Fraude). Il a ensuite expliqué quelles étaient les prestations les plus fraudées et typifiées certaines fraudes comme les fausses déclarations de ressources dans la branche famille, ou la surfacturation d’actes dans la branche Maladie. Il a aussi mis en lumière certains mécanismes de fraude organisés comme celui ayant conduit à la fraude internationale au médicament Subutex ou celui des comptes collecteurs de prestations parfois signalés par Tracfin avant leur évaporation. Pour lui, un axe fondamental de travail est le renforcement de la coopération et des signalements ainsi que le besoin d’accroitre les contrôles de prévention utiles tant pour éliminer les erreurs que les indus ou les fraudes. Répondant à une question sur les sources d’inspirations potentielles en Europe, il relève plusieurs aspects intéressants chez nos voisins, comme le croisement protecteur des données en Belgique, la spécialisation de la DHS britannique sur le traitement social et les fraudes, ou encore l’utilisation de la carte de citoyen biométrique au Portugal pour fiabiliser les domaines sociaux et fiscaux ou l’interconnexion entre le citoyen et l’administration en Estonie. Sur la question essentielle d’une meilleure interopérabilité des données, Mr Gaven entrevoit des progressions possibles sur les données de l’Etat Civil, sur la fiabilisation du SNGI, sur les titres de séjours et les résidences hors du territoire national, et enfin dans l’utilisation du DRM. Vis-à-vis de l’utilisation des technologies, la méthodologie et l’accompagnement sont essentiels. Une meilleure coopération avec le secteur privé est de ce point de vue possible. Des applications qui semblent porteuses d’avenir se situent par exemple dans le « machine learning » -l’apprentissage automatique supervisé et non supervisé – ou dans le RPA (Robotic Process Automation) tel que l’automatisation des contrôles de cohérence au sein même du processus de production. Le Paiement à bon droit ainsi que la performance de gestion en sortiront très probablement renforcés.

Monsieur Pierre Lelièvre, Vice-Président Identité numérique de la Société IDEMIA a introduit les activités de son groupe vis-à-vis du secteur public, activités axées sur la création d’un environnement de confiance numérique pour permettre l’accès à tous types de services tant dans le monde physique que digital. Partenaire depuis plus de 40 ans des gouvernements pour l’identité civile, IDEMIA a élargi ses services à l’ère numérique autour du concept d’identité augmentée. Un exemple de ce type de services est la contribution d’IDEMIA à la réalisation du système d’entrée et sortie dans l’Union Européenne. Les nouvelles technologies ont redéfini les attentes des utilisateurs et par conséquent le mode de proposition des services. La mise à disposition numérique des services gouvernementaux a considérablement augmentée depuis 2014, c’est une tendance de fond dans tous les pays. Or cette demande de faire un maximum de choses en ligne et en mode distant s’est traduite par un besoin d’identification et d’authentification. Or ces solutions d’identification et d’authentification n’ont pas toujours évolué à la même vitesse. C’est dommage car on note que les problématiques de fraude et d’usurpation des identités sont fortement corrélées. Dans le cadre de la sphère sociale et publique, on peut penser que pour renforcer le paiement à bon droit il faut d’une part aller chercher le consentement de l’utilisateur et d’autre part remonter à la source de confiance qui est offerte par les gouvernements. Ceux-ci peuvent certifier les informations y compris moyennant des documents sécurisés embarquant une puce. Les gouvernements portent une responsabilité importante dans la mise en place d’un cadre de confiance pour l’identité nationale numérique, qui soit utilisable par les différentes parties prenantes et donc de mettre en place un écosystème adapté. Cela comprend aussi la possibilité de valider l’authenticité des documents et d’établir leur lien avec leurs porteurs. Si l’on cherche une lecture plus internationale on peut distinguer à ce sujet les pays européens qui promeuvent d’avantage une approche documents (puce électronique embarquée, vérification des certificats, biométrie) par exemple l’Estonie, et d’autres plutôt plus vers une approche système comme l’Inde. On constate que dans le contexte sanitaire de tels systèmes permettent de piloter des politiques publiques en assurant le paiement à bon droit de subventions (agriculteurs, étudiants) à distance. La crise sanitaire a renforcé la demande sur l’identification à distance. On constate une grande complémentarité entre la biométrie – technologie devenue très fiable – et l’intervention humaine, pour l’accompagnement et l’éducation dans l’utilisation des données.

Monsieur Alexandre Negadi, Consultant Senior auprès du Secteur Public pour la société SAS Institute, présente l’expérience du groupe SAS Institute. Son fondateur issu de la NASA a été au cœur de l’évolution des statistiques mondiales et a débuté les activités de SAS dans le secteur public. Aujourd’hui les administrations françaises comme celles d’autres pays utilisent fortement les technologies SAS. Dans les dernières années, on note des évolutions significatives de SAS Viya vers l’Open Source et aussi la capacité de travailler avec des options de containerisations dans le Cloud. Comment sécuriser un écosystème informatique pour déployer l’information est une question qui reste critique et auquel les systèmes statistiques sont aussi confrontés. En matière de lutte contre la fraude, l’administration connait des difficultés pour faire évoluer ses systèmes : outils technologiques et capacités humaines d’accompagnement de la transformation des processus métiers. Aujourd’hui Mr Negadi recense cinq défis principaux pour moderniser la fonction de contrôle au sein des organismes sociaux : construire la donnée exploitable pour l’information, améliorer les méthodes et les outils d’enquête, automatiser les activités à faible valeur ajoutée, améliorer la couverture (vision 360) des risques, et enfin faire progresser la cohérence globale. Concilier le meilleur de l’humain et des technologies est un point essentiel pour venir à bout de ces défis. Dans tous ces projets l’informatique doit être au service de la protection sociale. La connaissance du terrain, l’expérience métier et la capacité d’accompagnement sont essentielles pour une correcte mise en place de ces procédés. Questionné sur la transition vers les nouvelles méthodes de traitement de données (IA, Cloud, open source) il faut y aller mais avec une solide gestion de projet et une vision cible bien établie. Les mondes statistiques doivent cohabiter et évoluer. Il existe une progression et une complémentarité dans les capacités de protection contre les fraudes des administrations, entre les moyens d’analyse de vulnérabilité à la fraude, les plateformes de détection rapide qui ensuite permettront de générer des modèles de détections à priori, les moyens de vérification d’identité et de détection de Bots, puis enfin de générer des alertes de détection de fraude en temps réel, à mesure que de nouvelles menaces émergent. Il y a toute une ingénierie à construire entre gestion des événements et intégration des processus.

En synthèse des échanges, Madame Hamayon a rappelé que la lutte contre la fraude est une exigence constitutionnelle, insistant sur la réflexion sociétale nécessaire et sur les dimensions d’accompagnement et d’l’organisation. Madame Debiès a présenté l’objectif de cadre confiance qui bien utilisé, permet de prévenir les erreurs et les fraudes plutôt que de les corriger à postériori ce qui est beaucoup plus difficile et souligné que le RGPD loin d’être un frein à ce cadre en était un moteur. Monsieur Frédéric Gaven a insisté lui sur la nécessité d’être volontaire dans ce combat contre la fraude et sur la complémentarité avec les efforts de simplification et aussi la garantie vis-à-vis des droits des bénéficiaires. Pour Monsieur Pierre Lelièvre, nous sommes sur la bonne voie dans la création d’un cadre de confiance numérique et l’industrie française peut supporter et accompagner utilement le gouvernement dans cette voie. Monsieur Alexandre Negadi rappelle quant à lui, qu’il ne faut pas se priver de mettre en place les clés de la réussite. En France il existe une possibilité de le faire rapidement si l’on engage aussi bien les fonctions d’accompagnement avec la mise en place des outils de nouvelle génération, afin de répondre aux enjeux importants de la situation actuelle et à venir.

Vous pouvez revivre ce moment et retrouver la vidéo de cette conférence Web de l’ID Forum en cliquant sur le lien :

L’équipe ID Forum

read more
Gwendoline LEGROS[Webinar ID FORUM – 18/03/2021] Données et Identités des organismes sociaux : comment gérer le risque et maitriser la fraude ?

[Guy de Felcourt – 22/03/2021] La KYC digitale s’envole et les exigences entrent en vigueur pour les PVID, alors qu’un nouveau règlement AML se profile à l’horizon

La KYC est un sujet majeur parmi ceux suivis par la communauté professionnelle de l’ID Forum. Avec la crise sanitaire le rôle de l’identité numérique ne cesse de prendre de l’importance pour la consolidation de la KYC dite digitale. Que ce soit pour les processus d’identification à distance, pour la sécurisation des authentifications ou pour la certification des attributs ou d’informations liées aux situations de la KYC, les périmètres d’application s’étendent et les bonnes pratiques se structurent sous l’influence des autorités de tutelle et des organismes de standardisation.

Ainsi la e-KYC ou segment de la KYC à distance va progresser fortement et selon « GLOBE NEWSWIRE » ce segment qui représentait environ 250 millions de USD en 2019 dépassera très probablement le milliard de dollar au plus tard en 2026 avec un taux de croissance moyen annuel supérieur à 20%.

En France, l’ANSSI a publié sur son site une version actualisée et désormais applicable, de son nouveau référentiel d’exigence pour les nouveaux PVID : prestataires de vérification d’identité à distance. https://www.ssi.gouv.fr/uploads/2021/03/anssi-referentiel_exigences-pvid-v1.1.pdf. L’autorité des systèmes d’information a aussi indiqué que les évaluations de conformité pour les opérateurs PVID vis-à-vis des niveaux de confiance substantiels et élevés commenceront au mois d’Avril de cette année.

La gestion du risque de blanchiment se généralise avec les crypto-monnaies, les actifs numériques et la globalisation des flux transactionnels dans un contexte sanitaire qui incite à l’utilisation de ces instruments. Dans ce contexte l’Europe ne souhaite pas se contenter de la sixième directive AML entrée en vigueur le 3 décembre 2020, qui pourtant élargit les responsabilités des personnes morales et qui doit d’ailleurs être mises en place par les institutions financières avant le 3 juin 2021.  Après que les Etats aient en novembre dernier autorisé la création d’un régulateur supranational au sein de l’UE pour superviser les institutions financières en matière de lutte contre le blanchiment et le terrorisme (AML /CFT), le Vice-Président exécutif de l’UE Valdis Dombrovskis, a indiqué que la Commission travaillait également sur un projet de règlement AML uniforme pour tous les pays de l’UE. Voici donc un domaine ou l’évolution législative et réglementaire va continuer à être importante au cours des prochaines années. Un sujet que nous suivrons de près, lors des différents évènements de l’ID Forum.

Guy de Felcourt

read more
Gwendoline LEGROS[Guy de Felcourt – 22/03/2021] La KYC digitale s’envole et les exigences entrent en vigueur pour les PVID, alors qu’un nouveau règlement AML se profile à l’horizon

[Sondage – 18/03/2021] Comment sécuriser prés de 800 milliards d’Euros de dépenses annuelles de protection sociale ?

Retrouvez les propositions de la communauté professionnelle de l’ID Forum

Au cours de notre conférence web du 18 mars 2021 les membres de la communauté professionnelle ont pu se prononcer sur les mesures les plus efficaces par le biais de trois sondages distincts. Retrouver ci-dessous les classements sur les mesures privilégiées par les votes :

Quels sont les obstacles majeurs dans la prévention des irrégularités, des indus et des fraudes dans le domaine de la protection sociale ? 
 
La rigidité des processus et des outils. Pas assez d’innovations technologiques33%
Une organisation en silos et un déficit de coordination sur le plan national24%
Un manque de volonté politique devant une question sensible24%
La complexité juridique et une forme de bureaucratie administrative  16%
L’insuffisante adaptation à la mobilité sociale professionnelle et internationale03%
Comment les identités et les données peuvent-elles améliorer la fiabilité de la protection sociale ? 
 
Renforcer la certification des attributs et des droits par des tiers de confiance30%
Favoriser le cadre de l’intéroperabilité des données 24%
Développer des processus d’identification à distance modernes de types eKYC23%
Faire davantage de Datamining et d’Intelligence Artificielle sur de grands ensembles de données19%
Améliorer la qualité des registre utilisés04%
Parmi ces mesures, lesquelles vous paraissent les plus prometteuse pour prévenir les irrégularités et la fraude ? 
 
Exiger à tous les organismes sociaux une évaluation annuelle de la fraude et un plan d’action 27%
Améliorer la coopération avec le secteur privé dans la détection des irrégularités et la fiabilisation des données24%
Renforcer la coopération européenne 18%
Pour le bénéficiaire, passer du régime du déclaratif ouvert à celui de contrôleur/contradictoire17%
Création, au sens juridique d’un domicile social, et/ou alignement de celui-ci sur le domicile fiscal.14%

Guy de Felcourt

read more
Gwendoline LEGROS[Sondage – 18/03/2021] Comment sécuriser prés de 800 milliards d’Euros de dépenses annuelles de protection sociale ?

[Elodie Poulain (ARIADNEXT) – 28/03/2021] Identité numérique et vérification d’identité à distance : les pièces manquantes de l’économie numérique

La pandémie actuelle a rendu plus aigu encore le besoin de solutions d’identification en ligne fiables, répondant aux exigences des régulateurs et des risk managers. Elle a aussi jeté une lumière crue sur le relatif échec du déploiement de solutions d’identité numériques largement diffusées et utilisées à l’échelle européenne, ce malgré l’impulsion donnée par la Commission européenne par le biais du règlement eIDAS.

En effet, aujourd’hui seuls 15 des 27 États membres, comptant pour à peine plus de 50% de la population européenne, offrent une identité numérique et encore celle-ci n’est-elle que rarement utilisable en dehors des services publics. On peut imaginer que le règlement 2019/1157 qui fixe un nouveau standard pour les cartes d’identité européennes sera l’occasion, mais cela prendra du temps. En France, le succès relatif de France Connect ne doit pas masquer les carences de la stratégie française en matière d’identité numérique.

La Commission en est bien consciente et résume parfaitement la situation dans son étude d’impact sur la révision du règlement eIDAS. Elle va donc prendre des mesures pour accélérer le déploiement de l’identité numérique en Europe. C’est un des enjeux majeurs de la révision du règlement eIDAS et de l’initiative EUid qui devrait être annoncée en juin 2021.

Qu’il s’agisse de permettre la délivrance d’une identité numérique à distance, de répondre aux exigences des directives LCB-FT ou à celles du règlement eIDAS concernant l’identification des individus pour la remise d’un certificat qualifié ou d’un recommandé électronique, la vérification d’identité à distance est un service essentiel.

De nombreux fournisseurs de solution proposent des services qui ont vocation à vérifier une identité à distance, reposant sur des technologies qui vont de la simple photo à la vidéo, entièrement automatiques ou au contraire opérées par des humains ou bien encore hybrides. La grande disparité de niveau de garantie de ces solutions ne permet pas d’établir un cadre de confiance unique et freine donc l’adoption de ces solutions. C’est un autre des enjeux majeurs de la révision eIDAS : définir un cadre clair permettant d’évaluer le niveau de garantie des solutions de vérification d’identité à distance de façon homogène et de garantir ainsi leur reconnaissance mutuelle dans tous les Etats membres.

La commission pourra s’appuyer sur de nombreux travaux qui ont été menés sur ce sujet. En particulier, l’ENISA a publié en mars 2021 une excellente analyse sur les méthodes de vérification d’identité à distance. L’ETSI a de son côté constitué un groupe de travail qui a proposé une spécification technique des exigences portant sur l’identification à distance (ETSI TS 119 461). En France l’ANSSI a publié en mars 2021 le référentiel très abouti des exigences portant sur les PVID (Prestataires de vérification d’Identité à Distance).

ARIADNEXT s’est préparée et a même accompagné cette évolution de la vérification d’identité à distance. Notre mission est de soutenir nos clients et de leur apporter les solutions les plus adaptées à leur métiers et à leurs contraintes réglementaires.

read more
Gwendoline LEGROS[Elodie Poulain (ARIADNEXT) – 28/03/2021] Identité numérique et vérification d’identité à distance : les pièces manquantes de l’économie numérique

[Newsletter ID FORUM – Décembre 2020]

IDENTITÉ NUMÉRIQUE DANS LE DOMAINE DE LA SANTÉ : L’HEURE EST VENUE
 
L’INTERVIEW DE MICHEL VENET  

ID Forum : Bonjour Michel Venet. Vous travaillez pour le GIE SESAM-Vitale sur des sujets liés à l’identité numérique en santé. Pouvez-vous nous expliquer quelles sont les activités de ce groupement, dont souvent seul le nom est connu par le grand public ?

Michel Venet :Le GIE SESAM-Vitale est un opérateur de près de 200 salariés dans le périmètre des échanges sécurisés entre les professionnels de santé et les organisations d’assurance maladie obligatoire et complémentaire. A ce titre, il participe à la mise en œuvre de la stratégie gouvernementale du numérique en santé.Pour tous les services aux professionnels de santé intégrés dans un logiciel y compris les services en ligne, le GIE SESAM-Vitale a la charge de l’intégration de ces services dans leurs systèmes d’information, leur déploiement et leur support, via les industriels dont il est l’interlocuteur de référence.Il assure également la bonne intégration des solutions d’authentification des professionnels de santé, qui utilisent la carte CPS et de sa version dématérialisée la eCPS, et des assurés, avec la carte Vitale et l’appli carte Vitale. Il est d’ailleurs le concepteur et l’opérateur de ces deux systèmes d’authentification dédiés aux assurés.Et pour les services liés à la télétransmission des feuilles de soins électroniques, le GIE SESAM-Vitale porte une responsabilité plus large en étant l’opérateur de l’infrastructure technique. En 2019, ce service a été utilisé par 372 000 médecins libéraux pour près de 1,3 milliard de feuilles de soin électroniques.  

ID Forum : Quels sont les principaux enjeux de l’identité numérique dans le domaine de la santé ? 

Michel Venet : Les enjeux de l’identité numérique dans le domaine de la santé sont de trois ordres. Le premier est de permettre un accès sécurisé aux données de santé, par la personne concernée elle-même ou par d’autres acteurs dûment autorisés ayant besoin d’y accéder. Le deuxième est celui de l’identito-vigilance qui permet d’assurer que les bons soins sont prodigués aux bonnes personnes. Pour le troisième qui est l’enjeu de lutte contre la fraude aux prestations sociales, il s’agit de s’assurer que les remboursements de prestations se fassent uniquement pour les personnes disposant de droits à jour.

ID Forum : On parle de l’identité numérique au singulier, mais finalement ne devrions-nous pas en parler au pluriel puisqu’il y en a plusieurs ?

Michel Venet : Il y a effectivement plusieurs identités. Dans le domaine de la santé, plusieurs acteurs interviennent et tous ont besoin d’être identifiés en fonction de leur rôle.Il y a d’une part le professionnel de ce domaine, médecin, infirmier, celui qui appartient au corps médical en général mais également celui qui fait partie du personnel administratif. 

Retrouvez l’intégralité de l »interview en cliquant sur le lien ci-dessous : Interview  SESAM VITALE
 
   
ACTUALITÉS

Identification à distance : l’ANSSI publie un premier référentiel avec appel à commentaires

Conséquence de la situation sanitaire, les besoins d’identification à distance sont devenus prioritaires en Europe et dans le monde. De quoi accélérer les services des prestataires spécialisés notamment ceux faisant appel à la biométrie et aux techniques de détection du vivant derrière un smartphone ou un appareil numérique.Pour autant les exigences de qualité, de sécurité et de vie privée restent importantes, notamment lorsque l’on vise les niveaux de confiance substantiels et/ou qualifiés. En France, l’ANSSI vient de publier un important référentiel d’exigences pour les prestataires de services de vérification d’identité à distance, comportant un ensemble de mesures techniques et organisationnelles. L’ANSSI effectue un appel public à commentaires sur ce projet de référentiel. Les documents sont consultables et téléchargeables sur le site de l’ANSSI :https://www.ssi.gouv.fr/actualite/appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-verification-didentite-a-distance-pvid/
Sur le plan européen, l’ENISA et l’ETSI s’intéressent également au sujet de la normalisation des pratiques européennes d’identification à distance vis-à-vis du règlement eIDAS. Un groupe de travail[1] est organisé par l’ETSI pour progresser sur ce sujet.
[1] ETSI Specialist Task Force 588

Actifs numériques : Extension de la vérification des identités : une opportunité pour les opérateurs d’identité numérique en France ?

Par une ordonnance[1] du 9 décembre dernier, le gouvernement français vient d’étendre aux cryptoactifs les obligations en matière de vérification d’identité. Il s’agit d’étendre la lutte contre le blanchiment d’argent et le terrorisme.Jusqu’à présent étaient concernés uniquement les conservations d’actifs pour le compte de tiers ou les transactions avec des monnaies officielles ayant cours légal (crypto to fiat) par exemple pour réaliser des virements SEPA. A partir du mois de Juin prochain seront inclues aussi les activités d’échange d’actifs numériques contre d’autres actifs numériques (dits « crypto-to-crypto ») et les plateformes de négociation d’actifs numériques. Ces services devront donc se soumettre aux obligations LCB-FT[2] du code monétaire et financier.Concrètement, les prestataires de services sur actifs numériques (PSAN), ne pourront plus détenir des comptes anonymes et devront enregistrer leurs clients et vérifier leurs identités. Pour faciliter cette réalisation, l’ordonnance ouvre aux PSAN la possibilité de recourir à des tiers pour la mise en œuvre de leurs obligations de vigilance à l’entrée en relation d’affaire.Potentiellement les opérateurs de vérification d’identité et de KYC, tout comme les fournisseurs de solutions, ou les fédérations de type France Connect pourraient en bénéficier. Non pas tant que les volumes soient significatifs aujourd’hui, mais le marché présente deux scénarii d’évolution intéressant. Le premier concerne une possible généralisation de ces règles dans l’Union Européenne ou dans les préconisations du GAFI[3]. Le deuxième est l’évolution attendue du marché vers les monnaies numériques, sortes de crypto monnaies officielles stabilisées et garanties qui seraient promues soit par les banques centrales (CDBC) soit par des acteurs privés d’envergure international qui obtiendraient l’autorisation d’émission au sein du système monétaire et financier.Un sujet qui est aussi en lien avec les thèmes de l’identification numérique à distance et de portabilité de la connaissance clients (KYC). Deux sujets que l’on retrouvera dans les journées de l’ID Forum en Avril prochain.
[1] Ordonnance 2020-1544
[2] Lutte contre le Blanchiment et le Financement du Terrorisme
[3] Groupe d’Action Financière promu par le G20  


Contact commercial ID FORUM : Gwendoline Legros (glegros@ceis.eu


WEBINAR ID FORUM 

Retour sur la dernière conférence Web de l’ID FORUM« Cloud Mobile et Identité : un trio numérique gagnant » ?

Pour accompagner l’explosion des services délivrés via les applications mobiles et les API des plateformes numériques, de nombreux écosystèmes tentent d’optimiser au sein de leur architecture le trio formé par le Cloud, le mobile et les identités.Dans cette conférence, l’ID Forum a exploré quels sont les enjeux véritables de ce trio perçu comme gagnant ? Grâce à nos invités tous experts du domaine, nous avons pu décrire les défis pour combiner ces trois pratiques, chercher comment optimiser l’expérience client avec les besoins de gestion et la sécurité.  

>>>REPLAY

Si vous êtes partenaire de l’ID Forum, n’hésitez pas à nous envoyer vos actualités pour les partager avec la communauté professionnelle française et européenne de l’ID Forum, dans nos prochaines newsletter.
 

Pour proposer un article contactez-nous à l’adresse suivante : contact@id-forum.eu
Pour devenir partenaire : glegros@ceis.eu
Pour s’inscrire à la Newsletter et pouvoir participer aux évènements : contact@id-forum.eu  
 

L’équipe ID Forum Consultez le site de l’ID Forumwww.id-forum.euhttps://twitter.com/IDforum_eu 
read more
Gwendoline LEGROS[Newsletter ID FORUM – Décembre 2020]

[WEBINAR ID FORUM – 10/12/2020] Cloud Mobile et Identité : un trio numérique gagnant » ?

Retour sur la dernière conférence Web de l’ID FORUM

Pour accompagner l’explosion des services délivrés via les applications mobiles et les API des plateformes numériques, de nombreux écosystèmes tentent d’optimiser au sein de leur architecture le trio formé par le Cloud, le mobile et les identités.

Dans cette conférence, l’ID Forum a exploré quels sont les enjeux véritables de ce trio perçu comme gagnant ? Grâce à nos invités tous experts du domaine, nous avons pu décrire les défis pour combiner ces trois pratiques, chercher comment optimiser l’expérience client avec les besoins de gestion et la sécurité.

Dans un premier temps Madame Coralie Héritier du groupe ATOS est intervenue pour présenter les évolutions de l’identité comme un service dans le Cloud (IDaaS). Ce marché a été accéléré par la situation sanitaire et permet aux entreprises de se recentrer sur leurs métiers en déléguant a des tiers la gestion et la sécurité. Après l’examen des enjeux pour l’organisation, et des critère et standards sur le marché, l’attention s’est portée sur la conciliation des besoins de volumétrie élevée (émission et vérification d’identités industrielles en temps réel) avec des impératifs de sécurité et de confidentialité. Des exemples ont été passés en revue tant dans des secteurs comme les services financiers et le domaine de la santé ainsi que sur les pilotes vis-à-vis des infrastructures de transport intelligent et de véhicules connectés avec les exigences supplémentaires de fiabilité et de haute disponibilité.

Ensuite, Monsieur Didier Hugot du groupe THALES, a exposé les grands enjeux de la transformation numérique en entreprise liés à la protection des identités et des données. Partant du constat d’hétérogénéité voir de fragmentation du paysage numérique actuel, il a expliqué l’évolution de la gestion de la sécurité avec la mise en œuvre des politiques zéro-trust (sur l’ensemble des périmètres réseaux, matériels, comptes) associés à la gestion dynamique des risques et l’authentification continue et adaptative. Du rôle des proxies à la gestion des appareils mobiles ou à la stricte séparation des tâches entre service et sécurité, c’est un ensemble des bonnes pratiques de sécurité et de recommandations qui ont été préconisées et détaillées, allant jusqu’à la protection des données au cœur des applications et traitements.

Consultés sur les concepts de sécurité dont le besoin est le plus ressenti par les organisations en ce moment, la communauté ID Forum a mis en avant la politique de sécurité Zero Trust (33%) et l’authentification continue (28%).

Parmi les concepts de sécurité suivants laquelle souhaitez-vous mieux connaitre ou intégrer dans votre organisation ? 
(Une seule réponse possible) 
1.  Cyber – résilience14%
2. Authentification multifacteur (MFA)10%
3. Politique de sécurité « Zéro-Trust »33%
4. Authentication continue28%
5. SASE (Secure Access – Secure Edge)15%

Monsieur Olivier Senot du groupe DOCAPOSTE a présenté quant à lui le nouveau projet de Cloud souverain européen baptisé GAIA-X. Revenant sur la prise en compte des leçons de l’histoire (projet Andromède, Initiative SWIPO,), il a insisté sur les dimensions d’ouverture (open standards), de flexibilité et de réalisme du projet tout en assurant un positionnement de transparence, réversibilité des données et gouvernance européenne assumée. Après avoir évoqué le concept des espaces de données sectoriels, Olivier a développé une analyse juridictionnelle des types d’offres possible des fournisseurs de Cloud au sein de Gaia X et de la dimension juridique européenne.  Pour terminer Olivier a évoqué le calendrier de déploiement, et la part de la commande publique Franco-Allemande dans le déploiement du projet.

La communauté de l’ID Forum présente interrogée en ligne sur ses attentes vis-à-vis du projet a mis en avant l’avantage d’avoir une solution Cloud ou « transparence et réversibilité sont garanties dès l’origine » (48% des personnes interrogées) suivi de la réponse aux contraintes sur l’extraterritorialité des données de certaines législations internationales (22% des personnes interrogées)

Quelle est votre priorité pour un projet de Cloud souverain européen comme GAIA X ? 
  
(Une seule réponse possible) 
1. Avoir une solution Cloud ou transparence et réversibilité sont garanties dès l’origine48%
2. Bénéficier d’une solution Cloud compatible RGPD15%
3. Faire de l’IA ou du big Data sur des données volumétriques avec des outils adaptés11%
4. Répondre aux contraintes sur l’extraterritorialité des données de la législation amer/internationale22%
5. Ne sais pas/ ne me sens pas concerné4%


La conférence a ensuite abordé un autre point important : quelles sont les réponses apportées par l’IAM et ses évolutions aux trio « Cloud Mobile et Identité » ? Ceci grâce à l’intervention de Olivier Morel du groupe Ilex International. Olivier a rappelé les enjeux de la gestion des identités et des rôles pour les entreprises en matière de sécurité, de conformité réglementaire, mais aussi de transformation digitale et de ROI du compte d’exploitation des organisations. Il a ensuite analysé le double mouvement de standardisation des modules de Cloud IAM et d’intégration conforme aux objectifs et contexte de chaque entreprise, et en s’adaptant aux environnements de croissante exigence de mobilité, à la complexité des couches de sécurité et au bon fonctionnement de l’ensemble du SI.

Une partie significative de l’intervention a concerné le « Customer IAM » ou l’IAM Client qui se développe de plus en plus dans les activités B to C ou B to B to C. Les enjeux de gestion, de protection des données et de consolidation multicanale favorisent ces nouvelles pratiques. En conséquence, le CIAM lui-même est amené à s’interfacer tantôt avec les processus de vérification d’identité et de connaissance client (KYC), tantôt avec les modules de relation client (CRM). Interrogée en ligne, la communauté de l’ID Forum a aussi indiqué ses priorités dans le déploiement de solutions d’identités cloud-mobiles vis-à-vis des clients, insistant sur la qualité de l’expérience client et les opportunités commerciales et de performance de gestion.

CIAM : Quels sont pour vous les perspectives offertes avec l’environnement Cloud/mobile pour l’identité de vos prospects et clients ? 
  
(Une seule réponse possible) 
1. Améliorer l’expérience client en rendant nos services accessibles partout et 24h/2438%
2. Conquérir de nouveaux clients ou utilisateurs23%
3. Homogénéiser nos services dans plusieurs pays/continents2%
4. Bénéficier de la conformité des plateformes spécialisées14%
5. Optimiser la performance, le cout et la sécurité23%

Pour terminer, nous avons abordé le sujet du chiffrement de bout en bout, de la gestion des clés et de la protection des identités avec Mr Louis Abraham responsable du projet Secrecy-Me. L’intervenant s’est penché sur les applications de messagerie et leurs conditions de sécurité cryptographique pour les utilisateurs. Il a analysé les contributions distinctes de la cryptographie et de la gestion des identités et la question de la maitrise et la génération des clés par l’utilisateur sous différents environnements.

En conclusion ce fut une matinée dense et riche d’enseignement, sur les enjeux et les stratégies de gestion et de sécurité du trio Cloud Mobile et Identité au bénéfice des organisations.

Vous pouvez revivre ce moment et retrouver la vidéo de cette conférence Web de l’ID Forum en cliquant sur le lien :

read more
Gwendoline LEGROS[WEBINAR ID FORUM – 10/12/2020] Cloud Mobile et Identité : un trio numérique gagnant » ?