Je ne suis pas du tout spécialiste de l'identité numérique. Je m'excuse donc par avance des inexactitudes qui m'échapperaient.
Il m'apparaît nécessaire de clarifier rapidement le modèle économique sur lequel repose l'identité numérique. La révision du Règlement sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) le montre assez. Elle pourrait d'ailleurs figurer parmi les actions notables portées par la future présidence française de l'Union européenne.
On évalue le marché de l'identité numérique à un peu plus d'un milliard d'euros de revenus à l'horizon 2030. Une question se pose : comment permettre aux acteurs français et à l'État de mettre en œuvre une structure économique susceptible de préserver ce marché face à des initiatives déjà lancées par des acteurs privés extra européens tels que Google, Apple, Facebook, Amazon et Microsoft (les GAFAM) ?
Le scénario le plus probable m'apparaît encore être celui où le schéma de l'identité numérique se structurerait autour d'un fédérateur d'identité unique offrant aux utilisateurs le choix d'un fournisseur d'identité, dans l'hypothèse d'un Règlement eIDAS substantiel aux exigences élevées. Ce fournisseur, public ou privé, permettrait d'accéder à l'ensemble des services publics et privés.
Une autre question émerge dès lors : celle des garanties dont bénéficieront les données des citoyens français et européens. Là encore, l'ANSSI tient lieu de source d'inspiration avec sa récente publication d'un référentiel d'exigences en matière de sécurité de l'identité numérique. Dans la révision du Règlement eIDAS, il apparaît primordial de continuer à promouvoir un niveau élevé de sécurité et de préserver les fournisseurs d'identité privés au sein de l'Union européenne, à condition bien sûr qu'ils soient réellement européens et non de simples entités juridiques au siège sis en Irlande ou au Luxembourg. L'identité numérique fonctionne à une double échelle, nationale et européenne.
Franceconnect peut assumer en France un rôle important, aussi bien d'acteur assurant l'ensemble des fonctions requises, que de hub technique pour les fournisseurs.
Quoi qu'il en soit, il est impératif de maintenir au niveau européen les exigences du Règlement eIDAS, destiné, en l'état, à prévenir l'apparition de fournisseurs d'identité numérique extra européens privés. À cela doit s'ajouter ce qui émerge à travers la stratégie européenne relative aux données, les préconisations de l'ANSSI en France, ainsi qu'un projet du ministère de la transformation et de la fonction publique, à savoir l'idée d'un cloud au cœur de l'État, imposant clairement une exigence de localisation de données sur le territoire européen, voire dans le pays concerné. Ce projet obéit au mot d'ordre du commissaire, M. Thierry Breton, soucieux que les données des pays européens restent en Europe.
Il faudra, pour y parvenir, livrer une grande bataille, qui s'avère d'autant plus indispensable qu'aujourd'hui, 90 % des données produites en Europe, personnelles ou non, ne sont pas stockées sur le continent européen, encore moins par des acteurs européens. Il faut s'assurer que la révision du Règlement eIDAS et de la directive NIS, la stratégie européenne en matière de données et les initiatives entre autres françaises dans ce domaine demeurent en cohésion et en harmonie pour se soutenir mutuellement, afin d'éviter la dispersion des capacités, de manière à permettre l'émergence d'un modèle économique hybride acceptable par une majorité d'acteurs européens et par les citoyens eux-mêmes.
On a pu constater une défiance de certains vis-à-vis du rôle de l'État en tant que responsable du traitement des données, contrastant avec leur méfiance moindre envers certains acteurs privés d'envergure. À l'inverse, l'État inspire à d'autres moins de doutes que certaines entreprises privées.
Il semblerait donc intéressant de construire un modèle hybride associant, à la fonction étatique publique, la fourniture de services, en l'occurrence d'identité numérique, par des acteurs privés, en conformité avec des exigences réglementaires et législatives européennes communes, impulsées par les États.