LES LEVIERS D USAGE DANS LA SOCIETE DE L ECONOMIE NUMERIQUE : IDENTIFICATION, AUTHENTIFICATION, SIGNATURE

Transcription

1 LES LEVIERS D USAGE DANS LA SOCIETE DE L ECONOMIE NUMERIQUE : IDENTIFICATION, AUTHENTIFICATION, SIGNATURE

2 Les leviers d usage dans la société de l économie numérique 2/ 140 Charles de Couessin, ID Partners Avec la participation de MMe. Eric Caprioli et Pascal Agosti Cabinet Caprioli et Associés pour le Chapître 5, Le cadre juridique Didier Geiben, GM Consultants Ludovic Francesconi, Gie Cartes Bancaires Pour le Chapître 6, Use case 1 : domaine bancaire

3 Les leviers d usage dans la société de l économie numérique 3/ 140 Cette étude a été réalisée avec le soutien de : Etude Caprioli, Imprimerie Nationale, SFR, ADEC, Orange, GIXEL, Caisse des Dépôts et Consignation, GIE Cartes Bancaires, GM Consultants, Bouygues Télécom, EADS Cassidian, Altenor, Gie SESAM Vitale, Keynectis

4 Les leviers d usage dans la société de l économie numérique 4/ 140 Nous tenons à remercier les personnes suivantes, dont les conseils avisés ont permis l aboutissement du projet : Me Pascal Agosti, Xavier Aubry, Jean-Paul Alaterre, Stéphane Baudais, Alain Bobant, Gérard Bonningue, Vincent Barnaud, Me Eric Caprioli, Didier Chaudun, Pascal Colin, Jean Cueugniet, Jean Pierre Doussot, Maud Franca, Ludovic Francesconi, Didier Geiben, Gwendal Le Grand, Fabrice Mattatia, Marc Meyer, Patrick Montliaud, Rafik Nabli, Marie Nuadi, Thibaut Ravisé, Francis Siegwald, Frédérique Suming, Thibaut de Valroger, Jacques de Varax, Elie Silberztein. Cette étude a nécessité de nombreux entretiens ; que soient ici remerciés les personnes qui se sont prêtées au jeu des questions réponses en apportant l expertise de leur métier : Martine Schiavo (Française Des Jeux), Henri de Maublanc (Aquarelle), Marie Giroud (ACSEL), Hervé Le Bars (DGME), (DGME), Bruno Benteo (Sagem Orga), Daniel Savoyen (Crédit Agricole), Xavier Neboit (FIANET), Agnes Chirouze (FIANET), Frédéric le Guen (FIANET), Alain Dias (FIANET), Patrick Labarre (Mr Gooddeal), Olivier Desbiey (La Poste), Didier Lefevre (Conseil Supérieur du Notariat), Me Jean-François Doucede (Greffe du Tribunal de Commerce de Bobigny), René Pinon (CA Consumer Finance), Ludovic Amoedo (CA Consumer Finance), Laurent Charpentier (Cetelem), Edouard François de Lancquesaing (Paris Europlace), Frédéric Epaulard (ARJEL), Saadoum Bardi (ARJEL), Guillaume Despagne (Ariadnext), François Rosier (Fédération Française des Assurances), Elise Debies (Ministère du Travail, de l Emploi et de la Santé), Nathalie Annaloro (Resocom), Jean-Sylvain Ripoll (Resocom), Bernard Gouraud (BPCE), Frank Leyman (FEDICT), Beyl Bert (FEDICT), Claudine Danguiral (Ministère du Budget, des Comptes Publics et de la Réforme de l Etat, Délégation Nationale à la lutte contre la Fraude), Rémi Favier (Ministère du Budget, des Comptes Publics et de la Réforme de l Etat, Délégation Nationale à la lutte contre la Fraude), Philippe Louviau (Ministère du Budget, des Comptes Publics et de la Réforme de l Etat, Délégation Nationale à la lutte contre la Fraude), Eric Massoni (Ministère du Budget, des Comptes Publics et de la Réforme de l Etat, Délégation Nationale à la lutte contre la Fraude), Jean Gina (Ministère du Budget, des Comptes Publics et de la Réforme de l Etat, Délégation Nationale à la lutte contre la Fraude), Alexandre Stervinou (Banque de France), Sebastien Herniote (ANSSI), Jean François Parguet (ASIP Santé), Thierry Dinard (Altenor), Antonio Queiroz (BNP Paribas), Françoise Lamotte (AXA), Guillaume Monnet (GESTE), Dominique du Chatellier (FEVAD), Xavier Fricout (Oberthur), Baudoin de Sonis (eforum), Slawomir Gorniak (ENISA), Gerald Santucci (Commission Européenne), Marie Figarella (Gemalto), Jean-Pierre Lafon (Thales).

5 Les leviers d usage dans la société de l économie numérique 5/ 140 SOMMAIRE 1 CONTEXTE ET PÉRIMÈTRE DE L ÉTUDE ENJEUX DE L IDENTITÉ EN LIGNE MÉTHODOLOGIE ET PÉRIMÈTRE DE L ÉTUDE CHIFFRES DE L ÉCONOMIE NUMÉRIQUE LES INITIATIVES DE L ETAT VIS-À-VIS DU NUMÉRIQUE LE RAPPORT FRANCE NUMÉRIQUE IDENTITÉ SUR INTERNET FRAUDE À L IDENTITÉ IDENTITÉ VS ATTRIBUTS UN CONTEXTE D ÉQUIPEMENTS FAVORABLE TYPOLOGIE DES ACTEURS LA SPHÈRE PUBLIQUE FICHE D ÉTAT CIVIL, EXTRAIT D ACTE DE NAISSANCE ET EXTRAIT DE CASIER JUDICIAIRE FORMULAIRES CERFA TÉLÉ-DÉCLARATIONS SOCIALES LE DOMAINE SANTÉ LA CARTE VITALE LA SPHÈRE BANCAIRE BANQUES DE RÉSEAUX BANQUE À DISTANCE / BANQUE EN LIGNE LE MARCHÉ DES TITRES SCRIPTURAUX SEPA DIRECT DEBIT LE CRÉDIT À LA CONSOMMATION B2C B2B2C CONTEXTE JURIDIQUE ASSURANCE CRÉDIT LES ACHATS EN LIGNE FRAUDE À L IDENTITÉ POUR LES ACHATS EN LIGNE FRAUDE AUX PAIEMENTS SUR LE WEB LE MO/TO (MAIL ORDER / TELEPHONE ORDER) S ASSURER DU CONSENTEMENT DE L INTERNAUTE LA DIRECTIVE EUROPÉENNE SUR LES SERVICES DE PAIEMENT LES JEUX EN LIGNE CONTEXTE RÉGLEMENTAIRE LES LOISIRS VIDÉO ON DEMAND (VOD) LA LOCATION DE VOITURE LES GREFFES DES TRIBUNAUX DÉMATÉRIALISATION DES PROCÉDURES ADMINISTRATIVES PROCÉDURES MISES À DISPOSITION DES ENTREPRISES LES NOTAIRES LES HUISSIERS DE JUSTICE... 43

6 Les leviers d usage dans la société de l économie numérique 6/ LA LETTRE RECOMMANDÉE ÉLECTRONIQUE LES ASSURANCES E-ASSURANCE NÉCESSITÉ D AUTHENTIFICATION FORTE LOI CHATEL LE VOTE ÉLECTRONIQUE LE CADRE RÈGLEMENTAIRE LE VOTE ÉLECTRONIQUE AU SEIN DES ORDRES PROFESSIONNELS LE VOTE ÉLECTRONIQUE DANS LES SOCIÉTÉS COTÉES LES SOLUTIONS PROPOSÉES FOURNITURE D IDENTITÉ ET INTERMÉDIATION CERCLES DE CONFIANCE LES FOURNISSEURS D IDENTITÉ L IDENTITÉ RÉGALIENNE L INITIATIVE IDÉNUM IDÉNUM VS CNIE LES OPÉRATEURS POTENTIELS IDÉNUM FOURNITURE D IDENTITÉ ET INTEROPÉRABILITÉ ATTENTE DES ACTEURS VIS-À-VIS DE L IDENTITÉ ÉLECTRONIQUE TYPOLOGIE DES ACCÈS EN LIGNE IDENTIFICATION / AUTHENTIFICATION LES ENJEUX DE L IDENTITÉ ÉLECTRONIQUE GAINS DE PRODUCTIVITÉ NOUVEAUX MARCHÉS ROAMING D IDENTITÉ ET CERCLE DE CONFIANCE ACCEPTATION D UNE IDENTITÉ DANS UN CERCLE DE CONFIANCE RÉDUCTION DE LA FRAUDE LA VISION DU CONSOMMATEUR CONFIANCE VS AUTOMATISATION CONFIDENTIALITÉ VS SÉCURITÉ LES COFFRES-FORTS ÉLECTRONIQUES LES CERTIFICATS ÉLECTRONIQUES LES SUPPORTS D AUTHENTIFICATION ANONYMISATION ET TRAÇABILITÉ LE CADRE JURIDIQUE QUELQUES JURISPRUDENCES ÉTRANGÈRES (ETATS-UNIS D AMÉRIQUE) CONCERNANT L AUTHENTIFICATION UNE DÉFINITION EUROPÉENNE DE L AUTHENTIFICATION LES RENVOIS LÉGISLATIFS ET RÉGLEMENTAIRES À LA NOTION D IDENTITÉ NUMÉRIQUE LES INITIATIVES GOUVERNEMENTALES (LABEL IDÉNUM, RGS) SIGNATURE VERSUS AUTHENTIFICATION EVOLUTION ATTENDUE DU CONTEXTE RÈGLEMENTAIRE (FRANCE, EUROPE) : LA CARTE NATIONALE D IDENTITÉ ÉLECTRONIQUE (CNIE) SÉCURITÉ VS PROTECTION DES LIBERTÉS INDIVIDUELLES (DIRECTIVES EUROPÉENNES ET DROIT FRANÇAIS) RESPONSABILITÉ DES ACTEURS... 88

7 Les leviers d usage dans la société de l économie numérique 7/ USE CASE 1 : DOMAINE BANCAIRE LES SOLUTIONS D AUTHENTIFICATION MISES EN ŒUVRE PAR LES BANQUES POUR LEURS USAGES PANORAMA DES SOLUTIONS MISES EN ŒUVRE LE PROTOCOLE 3D SECURE PROBLÉMATIQUE DE LA SOLUTION D AUTHENTIFICATION SITUATION EN EUROPE DS, PREMIERS ÉLÉMENTS DE DIAGNOSTIC UNE INTEROPÉRABILITÉ LIMITÉE DES MÉTHODES D AUTHENTIFICATION LES DRIVERS DU DÉVELOPPEMENT DE L AUTHENTIFICATION FORTE DANS LES SERVICES BANCAIRES LA GESTION DE LA FRAUDE SUR INTERNET L OPPORTUNITÉ DE MÉTHODES D AUTHENTIFICATION INTEROPÉRABLES ET LARGEMENT DIFFUSÉES USE CASE 2 : RÔLE DES OPÉRATEURS MOBILES ET DE LA CARTE SIM DANS L AMÉLIORATION DE LA CONFIANCE DANS LA SPHÈRE NUMÉRIQUE LE MOBILE COMME OUTIL UNIVERSEL POUR LES ACCÈS EN LIGNE AUTHENTIFICATION BI-CANALE AUTHENTIFICATION ET MOBILITÉ IDENTITÉ SUR CARTE SIM TYPOLOGIE DES SERVICES EN LIGNE VISÉS MODÈLE(S) FINANCIER(S) ENRÔLEMENT & CONTRÔLE D IDENTITÉ MODELES ECONOMIQUES ET CHAINE DE VALEURS MARCHÉ ADRESSABLE DE L AUTHENTIFICATION EN LIGNE ADHÉSION OU ENRÔLEMENT AUTHENTIFICATION, OU ACCÈS SÉCURISÉ LE MODÈLE FINANCIER OFFRE DE SUBSTITUTION ET OFFRE DYNAMIQUE LES TYPES DE CERTIFICATS : RÉPARTITION PAR TYPES DE CERTIFICATS SECTEUR BANCAIRE MARCHÉ DE L AUTHENTIFICATION FORTE ET SIGNATURE POUR LA BANQUE DE RÉSEAU MARCHÉ DE L AUTHENTIFICATION FORTE ET SIGNATURE POUR LA BANQUE EN LIGNE LA DÉMATÉRIALISATION DES TITRES SCRIPTURAUX POTENTIEL DE LA BANQUE POUR LES CERTIFICATS LES ACHATS EN LIGNE AUTORISATION DE DÉBIT BANCAIRE NON-RÉPUDIATION DES ACHATS LE CRÉDIT À LA CONSOMMATION LES JEUX EN LIGNE LOCATION DE VOITURES OFFICIERS PUBLICS ET MINISTÉRIELS GREFFIERS DES TRIBUNAUX DE COMMERCE LES NOTAIRES LES HUISSIERS RECOMMANDÉS ET COURRIERS À VALEUR PROBANTE LES ASSURANCES VOTE ÉLECTRONIQUE DES ASSEMBLÉES COTÉES

8 Les leviers d usage dans la société de l économie numérique 8/ LE TRAVAIL TEMPORAIRE LE MODÈLE FINANCIER RÉPARTITION PAR CATÉGORIE DE CERTIFICATS ENRÔLEMENT VERSUS AUTHENTIFICATION LES SECTEURS PORTEURS QUELQUES SCÉNARIOS EXTRÊMES LES LEVIERS DE L AUTHENTIFICATION FORTE NORMES ET STANDARDS : DIRECTIVE ET NORMES SUR LA SIGNATURE ÉLECTRONIQUE TRANSPOSITION FRANÇAISE SPÉCIFICATIONS TECHNIQUES EVALUATION ET CERTIFICATION PUBLICATIONS DES NORMES PLAN D'ACTION EN FAVEUR DE L'UTILISATION DES SIGNATURES ÉLECTRONIQUES DANS LE MARCHÉ UNIQUE RÉVISION DE LA NORME LE CONTEXTE L'HISTORIQUE DES TRAVAUX DE NORMALISATION LA DESCRIPTION DU MANDAT MODUS OPERANDI CEN / TC RÉVISION DE LA DIRECTIVE EUROPÉENNE SUR LE RESPECT DE LA VIE PRIVÉE DANS LES TRANSACTIONS ÉLECTRONIQUES PET, PRIVACY ENHANCING TECHNOLOGIES DÉVELOPPEMENT DE TECHNOLOGIES RENFORÇANT LA PROTECTION DE LA VIE PRIVÉE ACTION À ENTREPRENDRE CONCERNANT LE RESPECT DE LA VIE PRIVÉE STANDARDS ET ARCHITECTURES INFORMATIQUES FÉDÉRATION D IDENTITÉ LIBERTY ALLIANCE OPENID SAML MICROSOFT PASSPORT; WINDOWS CARDSPACE INFOCARD : NOUVEAU SYSTÈME D'IDENTIFICATION UNIFIÉ WS* SOAP

9 Les leviers d usage dans la société de l économie numérique 9/ 140 SOMMAIRE EXECUTIF «Pourquoi des mécanismes pour sécuriser les accès en ligne, alors que l offre est inexistante!». Une assertion suffisamment répandue pour que, la France, précurseur du numérique avec le Minitel, se refuse à réaliser la stagnation de l économie en ligne, faute de mécanisme pour identifier les internautes. Pourtant, si on passe en revue certains blocages persistance des chèques et TIP, répudiation des achats, abstention élevée des votes, risques de blanchiment... des réponses simples pourraient être fournies par des certificats électroniques. Pourtant moult acronymes fleurissent pour attester de l identité - OTP, MMS, 3DS - sans satisfaire l usager, soucieux de simplicité mais méfiant quant les demandes touchent à sa vie privée et que les écrans se multiplient. Ce court rapport vise à quantifier le marché de façon à ce que prestataires d identité et opérateurs de services en ligne puissent positionner leurs offres. On constate des gains de productivité importants dans des secteurs clés comme la banque, tout comme l émergence d acteurs nouveaux pouvant garantir l identité des internautes. Sont également rappelées des notions fondamentales telles anonymat et traçabilité, de même que l adhésion à un cercle de confiance ; un impératif de façon à ce que multiples prestataires puissent rapidement servir de garants d identité pour l accès à une variété de services sur la toile. Nous suggérons quelques modèles financiers, notamment dans le cadre du label IDéNUM, de façon à intéresser un investisseur à la mise en œuvre du cercle de confiance : perception de la licence, rémunération des prestataires d identité au pro-rata des accès sur des sites en ligne.

10 Les leviers d usage dans la société de l économie numérique 10/ CONTEXTE ET PERIMETRE DE L ETUDE 1.1 Enjeux de l identité en ligne Une étude réalisée en avait permis d identifier les secteurs pouvant bénéficier de procédures d authentification forte et de signature pour des accès en ligne. Ce modeste rapport visait à démontrer que la carte nationale d identité électronique (CNIe) pouvait être utilisée sur internet et pas seulement pour contrôler l état civil. Une procédure basée sur la partie eservice de la carte, en complément du mode «voyage» sans contact, dont l usage est proche du passeport 2. Depuis cette étude, le paysage français de l identité s est enrichi de nouveaux titres régaliens. Le permis de conduire, sous l impulsion de la troisième Directive Européenne 3 et de la Norme ISO , pourra contenir des éléments d authentification forts à l égal de la future CNIe. La carte de résident 5, prochainement délivrée aux étrangers établis en Europe, pourra également être utilisée pour des accès sécurisés en ligne. Parallèlement aux projets de l ANTS, le Secrétariat à l Economie Numérique devenu en 2011 Ministère de l Industrie et de l Economie numérique sous la responsabilité d Eric Besson a lancé le 2 Février 2010 l initiative IDéNUM 6 visant à labéliser des fournisseurs d identité sur la base d un cahier des charges issu du RGS 7. Une démarche qui suscite l intérêt des opérateurs télécoms, banques et acteurs du privé susceptibles de délivrer des certificats électroniques qualifiés, c'est-à-dire dans le cadre d un face à face, pour s assurer de l identité du demandeur. Comme le paysage identitaire est particulièrement riche, voire multipolaire, le propos de cette étude est de réactualiser le défrichage de 2007 en fonction des initiatives nouvelles. Les interrogations sont multiples : Les modalités d enrôlement pour un fournisseur d identité? Ses liens avec l identité régalienne? Différents niveaux d authentification forte peuvent ils être envisagés? Les opérateurs de services sont-ils prêts à accepter, indifféremment, de multiples fournisseurs d identité? Et si c est le cas, comment assurer l interopérabilité des procédures d authentification? Quels sont les services requérant des procédures d authentification, voire de signature? L authentification repose-t-elle sur des attributs «génériques» ou 1 Etude d'impact : la signature électronique et les infrastructures à clé publique dans le contexte de l'identité numérique : Quels usages pour les titres sécurisés émis par l'état dans le monde de l'économie numérique? AFNOR Standarmedia Paris L Agence Nationale des Titres Sécurisés (ANTS) sous la direction du Préfet Raphaël Bartolt, en synergie avec le Bundesamt für Sicherheit in der Informationstechnik (BSI), a établi les fondements de la Carte d Identité Européenne (WG 15 Working Group European Citizen Card (TS 15480) basée sur le protocole IAS qui permet à la fois des fonctions «voyage» et sécurisation de l authentification en ligne pour des eservices. La Partie 4 de cette spécification technique (Part 4: Recommendations for European Citizen Card issuance, operation and use) détaille un certain nombre de profils, d usage dont la National ID Card, le e-government Card et le City Card qui détaile les modalités d authentification en ligne. 3 Directive 2006/126/CE du Parlement européen et du Conseil du 20 décembre 2006 relative au permis de conduire (refonte) 4 ISO/IEC :2005 Information technology -- Personal identification -- ISO-compliant driving licence -- Part 1: Physical characteristics and basic data set 5 6http:// 7

11 Les leviers d usage dans la société de l économie numérique 11/ 140 «contextuels»? Et, dans ce cas, comment récupérer des données chez un détenteur? Mais surtout, quel est le modèle financier de l écosystème numérique? 1.2 Méthodologie et périmètre de l étude L approche terrain a été privilégiée, notamment par une enquête auprès des prestataires souhaitant sécuriser les accès sur la toile comme tracer les échanges, qu il s agisse d acteurs privés ou de services publics. L étude s articule en trois parties : fournisseurs d identité notamment l Etat et prétendants au label IDéNUM-, services en ligne nécessitant des mécanismes d authentification forte et de signature administrations, banque, loisirs. et, enfin, des recommandations de mise en œuvre sur la base d hypothèses de revenus. 1.3 Chiffres de l économie numérique Bien que les services en ligne décollent, l internaute moyen a encore du mal à concrétiser une transaction. La préoccupation des fournisseurs, c est donc de proposer des solutions simples, ergonomiques, mais qui satisfassent les juristes, dans la mesure où la fraude cherchera à tirer profit des failles du numérique. Aujourd hui, près de la moitié des transactions en ligne n aboutissent pas 8, comme le remarquent l ACSEL 9 et les fournisseurs de crédits. La vente en ligne déplore l absence d outils de virement bancaire, comme une alternative aux cartes de crédit, 50% des promesses de paiements n aboutissant pas 10. Donc des opportunités pour des mécanismes qui combinent facilité d usage et conformité au cadre juridique. Pourtant cette étude ne traite pas de la fraude, bien que les menaces sur le web justifient la prudence des DSI 11 ; il s agit essentiellement d analyser et quantifier les mécanismes visant à conclure une transaction en ligne de façon à faciliter la mise en œuvre de nouveaux outils. L étude 2009 du CREDOC sur notre perception des technologies de l information 12 pousse à l optimisme, vu les populations actives sur le web 13 et le potentiel de croissance Près d un acheteur sur deux en moyenne abandonne la transaction d achat entre la validation de la commande et le paiement. Bilan annuel 2009 e- commerce en France (ACSEL) Entretien Mr Labarre. Ventadis /Mr Gooddeal 5 Novembre «Le rapport, ISTR (Internet Security Threat Report) publié en septembre dernier par Symantec, révèle que la cybercriminalité devient une activité de plus en plus professionnelle et commerciale, avec des groupes criminels organisés à travers le monde qui s attachent à déployer des attaques en ligne ciblées, élaborées et rentables. Le rapport dévoile les outils vendus en ligne (par exemple des kits de phishing vendus de 35 à 75 euros), conçus par des cybercriminels, pour aider d autres pirates à prendre part à des activités en ligne illégales. Une enquête de Symantec expose que les trois kits de phishing les plus usités sont responsables de 42 % de toutes les attaques de phishing, preuve qu un certain nombre de sites web de phishing sont contrôlés par une seule source. Enfin notons un nombre croissant de serveurs commerciaux clandestins sur lesquels on vend et achète, comme sur un site d enchères, des identités de victimes. Parmi les données proposées, ce sont les cartes de crédit qui remportent le plus vif succès, représentant 22 % de tous les articles mis en vente sur ces serveurs clandestins.et vendues par lots de 10 ou 20 pour la modique somme de 30 centimes d euro environ. On trouve ensuite les comptes bancaires (21 % des articles proposés) ; les mots de passe de courriers (8 %) ; les mailers (8 %) ; les adresses de courriers électroniques (6 %) ; les proxies (6 %) ; les identités complètes (6 %) ; les scams (6 %) ; les numéros de sécurité sociale (3 %). (ZDNet, 21 septembre 2007) 12 La diffusion des technologies de l'information et de la communication dans la société française (2009). Centre de Recherche pour l Etude et l Observation des Conditions de Vie. Paris millions de Français ont effectué l an dernier des démarches administratives ou fiscales sur Internet. Quatre Français sur dix ont effectué, ces douze derniers mois, des démarches administratives ou fiscales sur Internet (+ 3 points par rapport à l an dernier). Ce nombre progresse uniquement grâce à la montée du nombre d internautes car, au sein de ces derniers, la pratique stagne depuis deux ans (56%, contre 58% l an dernier et 57% en 2007). Au final, pas moins de 21 millions de personnes ont eu recours au Net pour mener à bien des démarches administratives ou fiscales l an dernier. 14 En 2008, nous avions noté une pause dans la progression du nombre de personnes déclarant effectuer des démarches administratives et fiscales sur Internet. En juin 2009, on enregistre une nouvelle phase de croissance : 40% de la population ont effectué ce type de démarches, c est-à dire 3 points de plus qu en Cette évolution est corrélée avec celle des télédéclarations de revenus, qui ont stagné en 2008, puis progressé en Il est intéressant de noter qu indépendamment des déclarations de revenus, la fréquentation des sites gouvernementaux ne cesse de croître chaque année9 ; tout se passe comme si les enquêtés se souvenaient mieux de leur déclaration fiscale que des autres démarches administratives qu ils auraient pu effectuer. La courbe de progression du commerce en ligne est sans doute celle qui symbolise le mieux l intégration progressive des TIC dans les modes de vie de nos concitoyens. Songeons qu en 2001, seuls 7% des Français effectuaient des achats par Internet ; huit ans plus tard, on en dénombre 41%, c est-à-dire plus de 21 millions de personnes en France. La vitesse de ces changements donne une idée des bouleversements qu Internet a initiés dans la vie de chacun, et des perspectives pour les années à venir

12 Les leviers d usage dans la société de l économie numérique 12/ 140 Près de 50% des internautes réalisent des démarches administratives et fiscales en ligne. Les sites de l Etat sont aussi consultés que la vente sur internet ; ils se situent, bien avant les téléchargements ou la téléphonie sur le web (Etude CREDOC 2009) Le diagramme ci-dessous permet de comprendre le dynamisme de l écosystème numérique ; les CSP+, vivant en agglomérations et gagnant par mois plus de 3500 euros, devenant les vecteurs de croissance de l internet. Très avertis vis-à-vis des services en ligne, ils privilégient les plus fiables, permettant de finaliser rapidement une transaction. Un constat qui milite en faveur de mécanismes simples mais garantissant l intégrité de la procédure. L étude CREDOC évalue l attrait pour les services en ligne en fonction du type d internaute, mettant en avant le profil du CSP+ vivant en agglomération. Par contre la sécurité du paiement en ligne constitue une résistance majeure et un frein à l usage de l internet. Une réserve qui tend à diminuer avec l âge et le niveau d éducation ; les cadres supérieurs étant suffisamment avertis des garanties et modalités de rétractation C est toujours la sécurité des paiements qui pose le plus de problèmes, même si la citation de cet item ne cesse de diminuer au fil du temps. Pour un quart des internautes, désormais, aucune des modalités proposées ne fait hésiter (+ 10 points par rapport à 2005). Les freins semblent donc de moins en moins prégnants. Au sein des internautes, ce sont les ouvriers (51%) et les moins diplômés (42% des non-diplômés et des titulaires du Bepc) qui craignent le plus les problèmes liés à la sécurité des paiements. Dans quasiment tous les groupes, en quelques années, cet argument a perdu du poids. A contrario, 30% des internautes diplômés du supérieur, cadres ou âgés de 25 à 39 ans considèrent qu aucun des éléments proposés n est susceptible de les faire hésiter à acheter sur la Toile. Etude CREDOC Paris 2009.

13 Les leviers d usage dans la société de l économie numérique 13/ Les initiatives de l Etat vis-à-vis du numérique Le Rapport France Numérique Acteur majeur de l économie numérique en Europe, la France dispose du soutien de l Etat, bien que le projet de carte d identité électronique ait été retardé. Le rapport «France Numérique 2012», rédigé par les équipes d Eric Besson 16, alors Secrétaire d Etat, détaille ainsi 154 mesures ou «Actions» destinées à favoriser les initiatives. Parmi lesquelles un engagement vis-à-vis de la confiance sur le net «L État doit être par ailleurs pilote dans la définition des méthodes de sécurisation et de niveaux de sécurité standard, utilisés par l ensemble des acteurs publics et privés. L usage des certificats et de la signature électronique pourrait être une des solutions à promouvoir. Les certificats permettent en effet de garantir la protection de l accès aux données personnelles. La signature électronique permet par ailleurs de transposer le droit de l écrit et de la signature manuscrite à l ère du numérique. Elle pourra avoir par exemple une application concrète dans des outils transactionnels comme la carte Sésame Vitale V2.» Les actions suivantes visent l établissement d un cadre à la fois juridique et technique pour favoriser la sérénité des échanges 17 dans le monde numérique : Action n 78 : Développer l usage de l authentification pour le grand public. o Généraliser l envoi d accusé de réception électronique pour les services en ligne. o Proposer à partir de 2009 pour l administration électronique des solutions de signature électronique simples et gratuites pour les services qui le nécessitent. o Étudier avant la fin de l année, les conditions d implémentation des fonctions d authentification et de signature électronique sur la carte Sésame Vitale V2. Action n 76 : Déployer à partir de 2009, la carte nationale d identité électronique, sur la base d un standard de signature électronique fortement sécurisé, pour atteindre, à terme, un objectif de 100 % de citoyens titulaires d une carte nationale d identité électronique. o La carte nationale d identité électronique, contribue à refonder le lien entre l État et le citoyen. Internet peut ainsi davantage faciliter la participation directe des citoyens aux processus décisionnels publics, via notamment l organisation de consultations à grande échelle. Internet peut permettre la mobilisation d un nombre important de personnes, à travers un système de pétition en ligne, respectueux de la loi informatique et libertés Identité sur internet En attendant la suite donnée au recours porté auprès du Conseil Constitutionnel, la Loi d Orientation et de Programmation pour la Performance de la Sécurité Intérieure (LOPPSI) 18 a été adoptée par l Assemblée Nationale le 21 décembre Son article modifie l article du code pénal en caractérisant le délit d usurpation d identité sur internet : «Art Le fait d usurper l identité d un tiers ou de faire usage d une ou plusieurs données de toute nature permettant de l identifier en vue de troubler sa tranquillité ou celle d autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d un an d emprisonnement et de d amende. «Cette infraction est punie des mêmes peines lorsqu elle est commise sur un réseau de communication au public en ligne.» 16 France numérique Plan de développement de l'économie numérique. Secrétariat d'etat à la prospective, à l'évaluation des politiques publiques et au développement de l'économie numérique. Dans le cadre de la préparation d'un plan de développement de l'économie numérique, Eric Besson, Secrétaire d'etat à la prospective, à l'évaluation des politiques publiques et au développement de l'économie numérique, a été chargé par le Président de la République et le Premier ministre d'assurer le pilotage et la coordination de l'ensemble des politiques publiques dans le domaine du numérique. Ce plan repose sur quatre priorités : permettre à tous les Français d'accéder aux réseaux et aux services numériques ; développer la production et l'offre de contenus numériques ; accroître et diversifier les usages et les services numériques dans les entreprises, les administrations, et chez les particuliers ; moderniser la gouvernance de l'économie numérique dans le sens d'une adaptation des organisations et modes de gestion conçus avant la «révolution numérique». Ce plan poursuit en outre trois objectifs : garantir l'accès de tous les Français à Internet haut débit ; assurer le passage de la France dans le tout numérique audiovisuel avant le 30 novembre 2011 ; réduire la «fracture numérique». Le rapport détaille les 154 actions associées à ce plan. Paris Octobre Accroître et diversifier les usages et services numériques : Diversifier les usages et les services numériques dans les entreprises, les administrations, et chez les particuliers, c est tout d abord créer un cadre général de confiance, qui passe par la généralisation d outils d authentification électronique, à l instar de la carte nationale d identité électronique pour chaque citoyen à partir de

14 Les leviers d usage dans la société de l économie numérique 14/ 140 Un délit déjà visé par l Action N 87 du Rapport Besson : Action n 87 : Introduire à l occasion de la loi d orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI). o Un délit d usurpation d identité sur les réseaux de communications électroniques. o Garantir la confiance et la sécurité des échanges de données personnelles certifiées en ligne, qui plus est pour des usages évolués tels que des inscriptions ou ouvertures de comptes. o Légitimité aux systèmes de gestion des identités qui se proposeront de lutter contre les délits d usurpation d identité ou de vol ou détournement de données personnelles Usurpation et fraude à l identité sont donc considérées comme des freins au développement de l économie numérique, vu la difficulté de croiser les fichiers. Pourtant, l IGA a conduit une mission visant à constituer une base nationale des pièces d identité perdues ou volées accessibles aux services de l Etat 19. Comme de nombreuses démarches administratives sont réalisées en ligne actualisations de droits, changement d adresse, autres l automatisation des saisies constituerait un important gain de temps mais également de répertorier les titres frauduleux. La gestion de l identité constitue un enjeu auquel les fournisseurs de certificats devront répondre ; la Commission Nationale Informatique et Liberté (CNIL) souhaitant que le minimum de données soient transmises aux prestataires en ligne, voire seulement celles intéressant leur activité : date d obtention du permis de conduire pour un loueur de voiture, attestation de majorité pour un candidat aux jeux en ligne ou montant de l impôt pour l administration fiscale. La multiplicité d identité a été bien détaillée 20 par le consortium FC² dans le cadre d un Livre Blanc 21, notamment la notion de «fédération d identités» qui «peut quant à elle se définir comme la gestion d un ensemble d'identités par un ensemble d'organisations distinctes et inscrites dans un même «cercle de confiance» ou des cercles distincts. Elle permet aux utilisateurs de se connecter une seule fois en utilisant un seul identifiant pour avoir accès à plusieurs services» 22. La délégation permet d authentifier un internaute par un tiers en minimisant la communication de données 23 ; l écosystème se bâtissant autour de fournisseurs d identité et d attributs transmis de façon discrétionnaire et avec le consentement de l usager. 1.5 Fraude à l identité On recense plus de victimes par an d usurpation d identité en France, selon le rapport du CREDOC 2009 ; un préjudice de près d environ 4 milliards d'euros 24 pour la société. Selon l étude, «le coût individuel moyen d'une usurpation d'identité se monte à euros», cumulant détournements (argent, aides sociales, etc.), montant des démarches et frais générés (médecin, frais postaux). Après le remboursement des assurances, le montant moyen restant à la charge de la victime est de euros, bien que, dans certains cas, l'histoire tourne au drame avec interdit bancaire, perte d'emploi, voire emprisonnement. Près d'une victime sur deux avoue être «incapable de savoir comment le fraudeur a réussi à 19 Ensuite, en matière de pièces d identité françaises, l IGA, dans le cadre d une mission relative à la fraude à l identité, a travaillé notamment sur la constitution d une base nationale des pièces d identité perdues ou volées, qui pourrait permettre à l ensemble des administrations, et notamment aux organismes de sécurité sociale, grâce à une simple consultation à distance, de vérifier directement la validité des documents attestant de l identité des personnes considérées. Ministère du budget, des comptes publics et de la réforme de l état. Délégation nationale de la lutte contre la fraude. Paris Décembre Au cœur de la personne, l identité est une notion hautement sensible et symbolique, à tel point qu elle n a aucune définition juridique globale. Dans le dictionnaire de l académie française, l identité, dans le domaine juridique, correspond à "la personnalité civile d un individu, légalement reconnue ou constatée, établie par différents éléments d état civil et par son signalement". elle se réduit donc largement à la sphère «régalienne», comme dans la notion de carte ou document d identité. cette définition omet ainsi d autres domaines d utilisation, dans la sphère marchande en particulier. Selon le contexte, la définition de l identité varie. elle n est pas la même selon que l on se place sur un plan philosophique, sociologique ou encore économique. Il n existe pas qu une seule identité. tous les individus sont dotés de plusieurs identités, qui sont constituées d une somme de données personnelles rattachées à l individu. celui-ci peut donc utiliser différentes identités selon le contexte, et peut souhaiter que ces identités ne soient pas directement reliées entre elles. 21 Livre Blanc Gestion des Identités. Analyse des contextes juridique, socio-économique et sociétal. Consortium FC² - Janvier Idem 23 Une telle plate-forme pose des problématiques telles que celles du consentement de la personne, de la conservation des données personnelles, des responsabilités des acteurs ou plutôt de leur partage des risques, d autant plus que l on sort de la stricte identité de consommateur puisque l intervention de personnes publiques met en jeu le profil de «citoyen». Personnes publiques, personnes privées, institutions mixtes coexistent et l e-administration est au cœur du projet. Idem 24 1,4 milliard de préjudice pour l'unedic, 1 milliard pour la Caisse Nationale d'assurance Maladie (CNAM) et 1 milliard pour la Caisse d'allocations Familiales (CAF) soit un total de 3,874 milliards par an

15 Les leviers d usage dans la société de l économie numérique 15/ 140 obtenir ses données personnelles alors que 86 % des victimes estiment faire le nécessaire pour se protéger des risques», s'inquiète le CREDOC Identité vs attributs L identité se définit comme un ensemble d attributs 26, génériques ou contextuels. Mais l identité «civile» n est pas nécessaire pour des transactions en ligne, d où l usage répandu de pseudos. Le concept de «profils» correspond à un regroupement d attributs : dans un contexte, je suis acheteur, dans un autre, assuré social, et dans un troisième, titulaire de compte en banque ou d un dossier médical. Une alternative au numéro INSEE, dont l usage permettait de tracer les accès sur la toile. L étude consacrée aux profils d internautes par l Université de Paris Dauphine (2006) 27 totalise une moyenne de 12 comptes par individu : achats, banque, réseaux sociaux.. Chaque profil dépendant du type service, l état civil ne constituant nullement un pré-requis. Extrait de l étude de Caroline Lancelot-Miltgen, Centre de recherche DMSP (Dauphine Marketing Stratégie Prospective 2006). L internaute cumule quelques 12 comptes, à la fois pour ses loisirs et des démarches administratives. 1.7 Un contexte d équipements favorable La France se situe en tête des usagers d internet en Europe : 59 millions d abonnés mobiles et un taux de pénétration supérieur à 96% 28. Bien qu encore minoritaire (22%) à la date de cette étude (2011), le parc de smartphones constitue un vecteur de croissance, surtout depuis l apparition des tablettes A4. Compagnons de route de l internaute, elles permettront de procéder à de multiples activités - achats, réservations, Un attribut est un élément constitutif de l identité. Juridiquement, il s agit tout simplement des données personnelles. Selon le dictionnaire de l Académie Française, un attribut est ce «qui est propre et particulier à un être, à quelqu'un ou à quelque chose0». Le Larousse en donne la définition suivante : «une propriété distincte, mesurable, physique ou abstraite appartenant nommément à une entité (individu ou autre)». Les attributs peuvent prendre des formes très variées : état civil de la personne (nom, prénom, date de naissance, etc.) ; qualités (ex. diplôme, nationalité, fonction, employeur) coordonnées postales, téléphoniques, , etc. ; coordonnées bancaires ; données de fidélité ; les certificats qui sont délivrés par des organismes, des services ; les contenus publiés à partir d outils d expression (ex. blogs, avis, wikis) ; les achats (ou ventes) réalisés chez certains marchands ; les données diffusées au travers de réseaux sociaux, sites de rencontre ou mondes virtuels ; les informations fournies par des services de gestion de notoriété et de réputation ; etc. Idem 27 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective). Paris M d abonnés mobiles en France dont 16Msont équipés de la 3G. Mais également 39 M d internautes équipés à 98% avec une liaison haut débit 9 français sur 10 équipés d un mobile. 1 français sur 5 (21,3%) est équipé d un Smartphone.

16 Les leviers d usage dans la société de l économie numérique 16/ 140 ebanking nécessitant à l avenir une «authentification forte 29», vu la vulnérabilité de l équipement 30. L approche Gallery 31 des opérateurs téléphoniques constitue une piste de réflexion de façon à promouvoir des services d identification électronique interopérables. Mais cette «authentification forte» est encore peu développée, faute d ergonomie et d un «support» adapté. Le mot de passe dynamique ne constitue pas un succès, vu la nécessité d outils complémentaires - grille de chiffres, calculette, téléphone qui freinent son usage, l internaute étant, par définition, économe de ses gestes 32. Peu de solutions se démarquent à ce jour, faute de mécanisme fort, combinant ergonomie et cadre légal. Mais on anticipe que des systèmes intégrés «à la Paypal», ne nécessitant pas d outils complémentaires 33, seront bien adaptés à la démarche des internautes. Ainsi, la biométrie ne suscite pas de réticence, du moment que la transaction est réalisée en local (Match On Card) ; elle rend confiant les internautes dans la mesure où ils ont le sentiment d une «propriété» de leur authentification pour éviter l usurpation. 29 Comparativement, l authentification avec mot de passe dynamique est beaucoup moins pratiquée : 31% des internautes utilisateurs de la banque en ligne n y ont jamais eu recours en moyenne, et ils sont 56% seulement à l utiliser au moins une fois par mois (avec des divergences assez fortes en fonction des pays : certains pays d Europe du Nord ont des taux de pénétration très élevés). L une des raisons principales en est la perception de la convivialité par ses utilisateurs jugée nettement inférieure, tout particulièrement dans les pays qui la pratiquent peu. En revanche, la confiance des consommateurs à l égard de ce type de solution est forte et assez homogène en Europe, preuve que la médiatisation des tentatives de fraude et les efforts de pédagogie des banques ont été payants. Livre Blanc FC², idem 30 Mobiles : Un taux d équipement uniformément élevé avec un usage homogène. La pénétration du téléphone mobile reste assez homogène en Europe. Selon les statistiques fournies par Eurostat : le taux d abonnements mobiles (cartes prépayées incluses) par personne y est en moyenne de 96% dans l Europe des 27. En revanche, aucun différentiel d usage notable n apparaît. La consommation de services mobiles reste majoritairement centrée sur la téléphonie et dans une moindre mesure l utilisation de messages courts (SMS). La consommation de services mobiles (Data) reste encore le fait d une fraction très minoritaire (évaluée à moins de 10% des utilisateurs). Le m-commerce reste pour le moment très embryonnaire. 31 Avec le développement de l Internet mobile, les opérateurs mettent en place un portail multi opérateurs, Gallery. Véritable carrefour d audience des mobinautes, il offre un ensemble de services mobiles interactifs et de contenus numériques fournis par des éditeurs et réglés par l utilisateur mobile sur sa facture mobile : 60M de services ont ainsi été facturés en 2009 avec une forte croissance continue (+33%). 32 Comparativement, l authentification avec mot de passe dynamique est beaucoup moins pratiquée : 31% des internautes utilisateurs de la banque en ligne n y ont jamais eu recours en moyenne, et ils sont 56% seulement à l utiliser au moins une fois par mois (avec des divergences assez fortes en fonction des pays : certains pays d Europe du Nord ont des taux de pénétration très élevés). L une des raisons principales en est la perception de la convivialité par ses utilisateurs jugée nettement inférieure, tout particulièrement dans les pays qui la pratiquent peu. En revanche, la confiance des consommateurs à l égard de ce type de solution est forte et assez homogène en Europe, preuve que la médiatisation des tentatives de fraude et les efforts de pédagogie des banques ont été payants. FC² idem. 33 Etude de Gartner : préférence pour les systèmes d authentification faisant appel à un ou deux mots de passe, plutôt qu une authentification nécessitant l adjonction d un système matériel ou logiciel pour renforcer la sécurité.

17 Les leviers d usage dans la société de l économie numérique 17/ TYPOLOGIE DES ACTEURS 2.1 La sphère publique Les services de l Etat se situent en tête des services consultés par les internautes. Preuve que la pédagogie de l eadministration porte ses fruits. Comme le remarque une étude de Cap Gemini, «Le temps n est plus à la conquête mais à la fidélisation» 34. Précédant le rapport «France numérique 2012» d Eric Besson (octobre 2008) l ordonnance du 8 décembre 2005 et les décrets relatifs aux Référentiel Général d Interopérabilité (RGI) et Référentiel Général de Sécurité (RGS) avaient déjà institué le cadre légal des échanges entre usagers et les services public. Ce contexte règlementaire fonde l administration électronique 35, pilier de la réforme et modernisation de l Etat 36. Un décret et un arrêté du 18 juin 2009 sont venus préciser les modalités de mise en œuvre et d exploitation de ce service appelé «Mon. Service- Public.fr» ou MSP. Egalement mis à disposition des usagers, un espace sécurisé de stockage en ligne pour communication aux autorités administratives et services tiers 37. L arrêté de Juin 2009 confirme l intérêt de l Etat pour la sécurité des accès en ligne. En effet, les services de l administration «sont accessibles au choix de l'usager, au moyen d'un identifiant et d'un mot de passe qu'il aura librement déterminé ou d'un code d'accès qui lui aura été adressé sur son téléphone portable sauf dans les cas où une fonctionnalité ou un service requiert un mode particulier d'identification tel un certificat électronique». Et renonçant au numéro INSEE 38, l arrêté recommande que «Le dispositif d'identification des usagers s'appuie sur une fédération d'identités ne conduisant pas à la création d'un identifiant administratif unique des usagers 39.» Dans son Article 3, l ordonnance recommande, pour la gestion d'accès aux téléservices, l un des modes d authentification suivants «L identifiant de connexion choisi par l'usager, le mot de passe choisi par l'usager, le numéro de téléphone portable de l'usager, s'il choisit ce mode d'accès, le certificat électronique de l'usager, s'il choisit ce mode d'accès permettant d'accéder aux services qui requièrent un niveau d'identification plus élevé». L Etat laissant à l usager le choix du mode d authentification (notamment le traditionnel Identifiant / Mot de passe) ; c est à ce jour la DGME qui pilote, sur la base de procédures d authentification par certificats 40 les modalités d accès aux sites détaillés par l ordonnance e-administration Etude Cap Gemini-Consulting / TNS Sofres. Selon une étude réalisée entre le 11 et le 16 juillet 2007 auprès d échantillons représentatifs des populations françaises (1000 personnes), anglaises (600 personnes) et allemandes (550 personnes), il ressort que 75 % des internautes interrogés déclarent se connecter aux sites des services publics. Le temps n est plus à la conquête mais à la fidélisation et l on constate qu avec un taux de «fréquentation régulière» de 28 % (+ 5% par rapport à 2006), la France devance la Grande-Bretagne (22 %) et l Allemagne (10 %). Enfin notons que la France est également en tête en matière de satisfaction des usagers des services publics en ligne (48 % des français ; 42 % des anglais et 23 % des allemands. (Communiqué Cap Gemini, septembre 2007). 35 Tout usager peut adresser une demande, une déclaration ou produire des documents par voie électronique. Sauf dérogation87, l administration, qui doit avoir accusé réception de la demande ou de l information de l usager (si l accusé de réception n est pas instantané, elle doit émettre un accusé d enregistrement), est alors régulièrement saisie et doit traiter la demande sans exiger de l usager une confirmation ou la répétition de son envoi sous une autre forme. De même, tout paiement opéré dans le cadre d un téléservice peut être effectué en ligne et doit faire l objet d un accusé de réception et, le cas échéant, d un accusé d enregistrement. Il est à noter que l accusé de réception ou d enregistrement doit être émis selon un procédé conforme aux règles fixées par le RGS et que la non transmission de l accusé de réception ou son caractère incomplet rendent en principe inopposables les délais de recours à l auteur de la demande. Par ailleurs, un décret qui n a toujours pas été adopté à ce jour, doit préciser les conditions et les délais d émission de ces accusés ainsi que les indications devant y figurer. 36 L ordonnance s applique aux autorités administratives définies à l article 1-I comme «les administrations de l Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L et L du code du travail et les autres organismes chargés de la gestion d un service public administratif». 37 Notamment les organismes de crédit qui exigent les déclarations d impôts 38Il convient de rappeler que l'utilisation du NIR par un organisme privé est soumise à autorisation préalable de la CNIL (article 25-I-6 de la loi informatique et liberté) et que la doctrine de la CNIL tend à cantonner l'utilisation de cet identifiant au secteur social. (Gwendal Legrand CNIL, Février 2011) 39 L'accès aux téléservices des partenaires par le biais de ce téléservice est facultatif et non exclusif d'autres canaux d'accès. L'utilisation de l'espace de stockage est placée sous le contrôle et la responsabilité de son titulaire, qui peut le désactiver ou le clore à tout moment. Hors les cas prévus par la loi, seul l'usager peut accéder aux données contenues dans son espace personnel de stockage. Les partenaires ne peuvent se voir communiquer par le biais de cet espace que les informations et documents dont ils ont à connaître en vertu d'un texte législatif ou réglementaire. 40 Par ailleurs, l ordonnance prévoit que les actes des autorités administratives pourront désormais faire l objet d une signature électronique. A cet égard, l article 8 de l ordonnance précise que la signature «n est valablement apposée que par l usage d un procédé, conforme aux règles du référentiel général de

18 Les leviers d usage dans la société de l économie numérique 18/ 140 Le baromètre CDC ACSEL (2009) confirme que les internautes sont familiers des sites de l administration, notamment pour la déclaration d impôts et les prestations sociales. Aujourd hui sécurisé par une procédure de type mot de passe/identifiant, MSP proposera prochainement un mécanisme d authentification forte CNIe, IDéNUM qui donnera accès à de multiples services. L ergonomie joue un rôle majeur pour que s instaure la confiance, qu il s agisse des services de l Etat ou du secteur privé. Rappelons que la moitié des internautes ne parviennent pas conclure une transaction. Ainsi l homogénéité des visuels et modalités de connexion constituent-ils un facteur de succès des cercles de confiance. Concernant les coffres-forts électroniques, les internautes se montrent encore réservés ; la faculté de déposer en ligne des informations sensibles telles que bulletins de salaires ou déclarations de revenus n a pas aujourd hui séduit nos concitoyens Fiche d état civil, extrait d acte de naissance et extrait de casier judiciaire Les données d état civil peuvent maintenant être demandées en ligne. Bien que la communication d extrait de casier judiciaire d un tiers relève du pénal 43, elle ne présente aucune difficulté pour qui connait mairie et date de naissance de son voisin. La Fiche d état civil Les fiches d'état civil n'existent plus depuis fin Selon les cas, elles sont remplacées soit par la photocopie de la carte nationale d'identité, soit celle du livret de famille. sécurité mentionné au I de l article 9, qui permette l identification du signataire, garantisse le lien de la signature avec l acte auquel elle s attache et assure l intégrité de cet acte». On peut remarquer que cette définition reprend les mêmes fonctions que la signature prévue par le code civil pour les actes en droit privé. 41 Art.4. Les destinataires ou catégories de destinataires habilités à recevoir la communication de ces données sont à raison de leurs attributions respectives et à destination des organismes de la branche concernée : la Caisse des dépôts et consignations, direction des retraites la Caisse des dépôts et consignations, direction du développement du territoire la Caisse nationale d'assurance vieillesse des travailleurs salariés la Caisse centrale de la mutualité sociale agricole la Caisse nationale d'allocations familiales la Caisse nationale de l'assurance maladie des travailleurs salariés l'agence centrale des organismes de sécurité sociale Pôle emploi. 42 Les utilisateurs se méfient de tout stockage de données, même volontaire, sur un espace dédié en ligne de type porte-documents ou coffre-fort47. Dans le cas du pilote MSP (mon.service-public.fr), cette fonctionnalité avait été peu utilisée, notamment par crainte que tous les sites fédérés puissent avoir accès aux données y étant archivées (ex. la CAF qui pourrait avoir accès à ma déclaration d impôt sur le revenu). 43 Avertissement. L extrait de Casier Judiciaire ne peut être demandé que par la personne qu il concerne ou par son représentant légal s il s agit d un mineur ou d un majeur sous tutelle. Il ne peut en aucun cas, même avec l accord du demandeur, être délivré à un tiers (Article 777 du Code de Procédure Pénale. Se faire délivrer l extrait de Casier Judiciaire d un tiers est sanctionné par la loi (Article 781 du Code de Procédure Pénale. L identité que vous indiquerez sera vérifiée par le Service. Elle doit être rigoureusement conforme à votre état civil.

19 Les leviers d usage dans la société de l économie numérique 19/ 140 L Acte de Naissance L acte de naissance est un document juridique attestant de l état civil; un document nécessaire lors de certaines démarches administratives, telles que le mariage et autrefois le renouvellement du passeport. Emanant des services de l administration, c est un acte authentique, signé par un officier d état civil. Aujourd hui, le terme renvoie au document officiel délivré à la suite d'une déclaration de naissance. En droit civil, les actes de naissance s'entendent d'une catégorie d'actes d'état civil, comprenant l'acte de naissance, les jugements portant changements de nom ou de prénoms, ainsi que l'acte de reconnaissance d'un enfant naturel. En marges figure le ou les mariages et, depuis, 1945 le décès. La demande en ligne est ouverte aux particuliers dans le cadre d une démarche administrative. Elle n est pas autorisée aux organismes qui effectueraient des demandes pour le compte d usagers (notaires, organismes sociaux, généalogistes ). Un acte de naissance peut donner lieu à la délivrance de 3 documents différents : la copie intégrale, l'extrait avec filiation et l'extrait sans filiation. La copie intégrale et l extrait avec filiation comportent des informations sur la personne concernée par l'acte (nom, prénoms, date et lieu de naissance), des informations sur ses parents et les mentions marginales lorsqu'elles existent. L'extrait sans filiation comporte uniquement les informations sur la personne concernée par l'acte, ainsi que les mentions marginales lorsqu'elles existent. Les mentions marginales sont les évènements d'état civil qui se sont produits après la rédaction de l'acte d'état civil. Sur un acte de naissance, ce sont, par exemple, les informations relatives aux évènements suivants : Reconnaissance par un parent Acquisition de la nationalité française Modification du nom de famille, Mariage, PACS Divorce, Décisions judiciaires relatives à la capacité de l'intéressé, Décès La copie intégrale de l acte de naissance - ou extrait avec filiation ne peut être demandée que par la personne concernée par l'acte (à condition d'être majeure), son représentant légal ou son conjoint, ses ascendants 44 (parents, grands-parents) ou descendants (enfants, petits-enfants), de même que certains professionnels lorsqu'un texte les y autorise (avocats, pour le compte de leur client par exemple). L extrait sans filiation peut être demandé par toute personne, sans avoir à justifier sa demande ou sa qualité. L extrait d acte de naissance peut être délivré en ligne à «l'intéressé, s'il est majeur ou émancipé, son conjoint, ses ascendants ou descendants, ou une tierce personne» du moment qu il atteste de son identité. Pourtant, nous sommes ici dans un contexte déclaratif, les données d état civil communiquées n étant pas vérifiées par les services de l Etat. Le Casier Judiciaire Le service du Casier Judiciaire National (CJN) 45 mobilise 300 personnes qui délivrent 5 millions d extraits par an. 46 Comme pour les extraits d état civil, les agents de l état vérifient manuellement les informations communiquées : lieu et date de naissance. Vu le nombre de requêtes annuelles (60 millions d Actes de Naissance, 5 millions d extraits de casiers judiciaires), la procédure en ligne constitue un gain de productivité mais l Etat n envisage pas de contrôler si la demande en ligne provient bien de l intéressé lui-même. 44 ou qu il exerce à son égard l autorité parentale, qu il ait été admis à sa tutelle ou à sa curatelle, ou qu il en est reçu mandat Sur la base d un rythme quotidien de 3000 télécopies, 7000 courriers et 2000 appels téléphoniques

20 Les leviers d usage dans la société de l économie numérique 20/ Formulaires CERFA Les formulaires CERFA 47, téléchargeables depuis les sites de l administration, nécessitent que les usagers renseignent leur état civil, mais sans que ces données soient vérifiées par les agents de l Etat. Il est donc envisagé qu elles soient prochainement remplies automatiquement par le biais d un certificat d authentification - future CNIe 48 ou IDéNUM - qui fourniront un accès privilégié à MonServicePublic (MSP) ; la connexion via Identifiant / mot de passe, moins sécurisée, ne permettant pas de pré-remplir ces formulaires Télé-déclarations sociales Les PME ont perçu l intérêt des télé-relations avec les services de l Etat comme le confirment les chiffres du site Net-entreprises.fr 49 des déclarations sociales. Rien d étonnant, dans la mesure où l obligation de paiement dématérialisée a été rendue obligatoire pour toute entreprise redevable de 150,000 euros de cotisations depuis janvier 2009, notamment les DADS-U Déclaration annuelle de données sociales 50 et DUCS Déclarations unifiées de cotisations sociales 51. Notre étude de avait rappelé la nécessité de fluidifier les formalités des petites entreprises dans les termes suivants: «on évalue les démarches administratives à plus de 130 millions de formulaires par an, dont 20 millions pour les DUE (Déclaration Unique d Embauche) et DUE MSA contractées pour l embauche de saisonniers en milieu agricole. Sans compter les 2 millions de DCR 53 qui constituent la base des cotisations versées par les indépendants aux caisses de RSI 54 et URSSAF. L idéal pour le déclarant étant de récupérer son SIRET à partir d une procédure d authentification forte à base de certificats de CNIe et ensuite valider électroniquement son envoi ; une personne physique pouvant signer pour le compte d une personne morale. Dans ce contexte, il n est pas réellement question de sécuriser la connexion aux comptes, vu les faibles risques de fraude, mais plutôt de fluidifier l accès aux services publics». Une constatation qui reste d actualité, d autant plus que la Délégation Nationale à la Lutte Contre la Fraude 55 du Ministère du Budget considère que de petites structures peuvent dissimuler d importantes malveillances 56 (prestations sociales, TVA, IS, etc ). Pourtant, à ce jour, l Etat n envisage pas que les téléprocédures soient couplées à des mécanismes d authentification forte de façon à déjouer fraudes et tentatives de malveillance millions de formulaires sont transmis chaque année 48 Le " Cerfa dynamique ", C'est un formulaire Cerfa que l'on remplit en ligne et que l'on paie avec le "timbre fiscal dématérialisé" que l'ants a mis en place depuis 4 mois et qui fonctionne pour l'office Français de l'immigration et de l'intégration, qui représente déjà plus de 20 % des timbres Visa VLS/TS (Visa Long Séjour/valant Titre de Séjour). À la fin de l'année, on recensera quelque 10 millions de timbres fiscaux dématérialisés." Le Cerfa dématérialisé permet au citoyen de remplir son dossier. Ensuite il demande un rendez-vous avec la mairie où il se trouve et où il retrouvera tout son dossier. Préfet Raphaël Bartolt. Colloque du 8 mars 2011, sur la carte nationale d'identité électronique. Maison de la Chimie, Paris 49 Fréquentation globale du site net-entreprises.fr : 1,3 millions d'entreprises inscrites au 31 janvier 2009 ; 10 millions de télédéclarations effectuées sur l'année entreprises ont transmis leurs données relatives à leurs salariés via net-entreprises.fr entre le 5 janvier et le 16 février 2009, Concernent plus de 80 % des salariés français. 51 4,5 millions de déclarations effectuées sur l'année 2008 soit +58 % / Etude d'impact : la signature électronique et les infrastructures à clé publique dans le contexte de l'identité numérique : Quels usages pour les titres sécurisés émis par l'état dans le monde de l'économie numérique? AFNOR/Standarmedia. Paris Déclaration Commune des Revenus 54 Assurance maladie 55 Direction de la Fraude du Ministère du Budget, des comptes publics et de la Réforme de l Etat. Lutte contre la fraude. Bilan Le rapport récent de la Délégation Nationale de la Lutte contre la Fraude dénonce la montée en puissance d irrégularités aux prestations sociales (plus de 2% des demandes) ; un phénomène qui pourraient être endigué par la mise en œuvre d une «base nationale de pièces d identité perdues ou volées». Il pourrait être possible de demander aux bénéficiaires d actualiser leurs demandes, par un certificat d authentification, de façon à contrôler la légitimité de leurs démarches. 57 L identification forte des cotisants serait d autant plus souhaitable que la majorité des organismes de retraite et prévoyance sont affiliés à Netentreprises. fr l'acoss - Agence centrale des organismes de sécurité sociale - regroupant les Urssaf l'agirc - Association générale des institutions de retraite des cadres l'arrco - Association pour le régime de retraite complémentaire des salariés la CNAV - Caisse nationale d'assurance vieillesse des travailleurs salariés l'unedic - Organisme gestionnaire de l'assurance chômage, représentant les Assédic et le Garp la CNAMTS - Caisse nationale de l'assurance maladie des travailleurs salariés la CCMSA - Caisse centrale de la mutualité sociale agricole représentant les Caisses de MSA le RSI - Régime social des indépendants l'union des Caisses de France du réseau Congés Intempéries BTP

21 Les leviers d usage dans la société de l économie numérique 21/ Le domaine santé La Carte Vitale La Carte Vitale a constitué l un des grands chantiers de dématérialisation de l Etat. Mais c est également la preuve d un important gain de productivité pour le traitement des feuilles de soin. Lancé en 1991, le projet visait une économie de 2 Milliards de Francs, 60,000 techniciens étant affectés à la saisie manuelle d un système informatique centralisé appelé LASER 58. Après 20 ans, les évaluations sont les suivantes : saisie d un formulaire papier 1,74 euros contre seulement à 0,27 Euros pour la FSE 59. Un gain de 1,5 milliards d euros pour la CNAM, sur la base d un milliard de feuilles par an. La carte Vitale garantit le droit des usagers par des attributs sectoriels : (NIR à ce jour), nom, prénom. Le consentement du patient, par la présentation de sa carte Vitale, constitue effectivement sa première utilisation mais d autres applications médicales sont en train de se constituer, qui nécessiteront un mécanisme d authentification forte 60 à l avenir.dans ce contexte, les certificats de la Vitale 2 en font un candidat privilégié pour accéder à des informations sensibles, notamment : Le DMP : authentification du patient et de sa signature pour garantir son consentement vis-à-vis du personnel de santé ou sélectionner un hébergeur pour ses données médicales. Bornes services de la sphère sociale (CNAMTS, MSA, CNAV, CAF, ) : consultation de données personnelles à caractère privé. Assurance maladie : nombreux services en cours de définition - protocole de soins, programme hôpital, services AMC. qui nécessiteront le recueil du consentement de l assuré. Dans la mesure où le NIR constitue l un des attributs permettant d authentifier les ayant-droits, il sera important de préciser dans quelle mesure la CNIe, ou les certificats délivrés par les opérateurs IDéNUM, pourra être utilisée pour accéder à ces services. Par ailleurs, la Carte Vitale ne dispose pas de certificats qualifiés, le support plastique étant envoyé par la Poste ; un handicap par rapport au cahier des charges IDéNUM, qui exige la délivrance des certificats en face à face. Les complémentaires santé pourraient représenter un marché important pour l authentification forte, si les assureurs envisageaint de contrôler l affiliation du demandeur lors d une prestation de soins. Leurs cartes DUO, ou cartes associées 61, dont l architecture est compatible avec la Vitale, bénéficieront-elles d une la CCVRP - Organisme de recouvrement de cotisations de sécurité sociale et des contributions d'assurance chômage des VRP multicartes la caisse des congés spectacles la FFSA-SINTIA - Fédération française des sociétés d'assurances le CTIP - Centre technique des institutions de prévoyance la FNMF - Fédération nationale de la mutualité française 58 Les enjeux de la dématérialisation des feuilles de soin sont économiques. En 1991 selon un rapport de Gilles Taïb, le coût de gestion d'une feuille de soins papier était estimé à entre 15 et 20 francs. En 1998, l'assurance maladie espérait que SESAM-Vitale entrainerait, en régime de croisière, une économie annuelle des charges de deux milliards de francs. En 1998, techniciens saisissaient les feuilles de maladie dans le système informatique national LASER. (Note Wikipedia) 59 Feuille de soin électronique 60 Les applications envisagées sont les suivantes : DMP (contrat hébergeur, habilitation des PS à consulter le DMP, ), protocole de soins, entente préalable, demande de prise en charge AMC, délivrance de traitements/soins particuliers en Etablissements de Santé, Intégrité et confidentialité forte pour la transmission de données médicales à caractère personnel 61 L ouverture de la carte Vitale aux régimes complémentaires en gestion unique et en gestion séparée a été donnée dans la version 1.40 du système de facturation avec la carte Vitale V1 ter. Cette capacité est utilisée par la FNMF (Fédération Nationale de la Mutualité Française), permettant d offrir à ses adhérents un support unique pour les droits AMO et AMC avec la possibilité de mettre à jour les données AMC en carte. Parallèlement la FFSA (Fédération Française des Sociétés d Assurances), au travers de DUO a conduit l expérimentation d une carte dédiée pour le support des droits AMC. Cette expérimentation s inscrit pleinement dans l accord cadre AMO /AMC de 2000 et une étude conduite en 2008 a donné des conclusions probantes sur l opportunité et les conditions de généralisation d une carte complémentaire «associée» à la carte Vitale dans le système SESAM. Pour permettre cette généralisation, dans le respect du principe de neutralité entre le support de droits et la nature des flux générés quel que soit le mode de gestion de la complémentaire, le conseil de surveillance du 10 juin 2009 a donné son accord à la création d un référentiel «cartes associées». Le GIE est à ce jour en charge de l'élaboration de ce référentiel. Pour les complémentaires, la vérification d'identité se pose dans des termes très spécifiques: il s'agit de faire le rapprochement entre l'identité du bénéficiaire portée par la carte Vitale (NIR) servant pour le calcul du remboursement de la part obligatoire, avec l'identité de la même personne portée par la carte associée ( peut être le NIR où un N d'adhérant) servant pour le calcul du remboursement de la part complémentaire. - A ce jour les complémentaires n'ont pas émis le souhait d'une authentification forte de la personne, ni d'une capacité à signer - la carte associée n'impose pas à ce jour pour son exploitation, des certificats d'identité, mais la possibilité technique existe

22 Les leviers d usage dans la société de l économie numérique 22/ 140 procédure d authentification par code PIN à l avenir? Ou seront-elles utilisées conjointement avec des certificats d identité - CNIe ou IDéNUM -? Mais exigera-t-on de telles formalités en pharmacie et face au professionnel de santé? Le Dossier Médical Personnel Créé par la loi du 13 août 2004, le Dossier Médical Personnel (DMP) est un service destiné à coordonner les soins prodigués à un patient dans son parcours médical. C est dans cette perspective qu a été créée l ASIP Santé (Agence des Systèmes d Information Partagés de santé) en s appuyant sur un cadre national : référentiels d interopérabilité, identifiant national de santé, mobilisation des acteurs, accompagnement des utilisateurs 62. Les chantiers sont nombreux : accès aux informations de santé, encadrement des actes de télémédecine, transmission des comptes-rendus de biologie et d hospitalisation, évolution des logiciels de cabinets médicaux pour éviter la double saisie et faciliter l intégration d outils d aide à la décision. Le patient constitue la clé de voute du dispositif dans la mesure où il reste maître de son ouverture et des conditions d'accès. Le procédé se positionne donc comme un catalyseur pour la modernisation et la recherche d une meilleure efficience du système de santé 63. Inauguré en Mars 2011, le DMP nécessite une procédure d enrôlement auprès d un personnel de santé (PS), lui même authentifié par sa carte (CPS) qui permet de tracer tous les accès. Le PS procède à l'ouverture du DMP avec l'accord du patient. Lors de cette ouverture, un INS (Identifiant National de Santé) est attribué au patient, mais on ne peut évoquer d enrôlement au sens strict, car le PS ne contrôle pas l'identité du demandeur. Parmi les candidats potentiels permettant à un patient d accéder à son DMP : CNIe 64, Carte Vitale, et IDéNUM, sans qu une décision aie été prise de façon à privilégier un dispositif, mais l objectif est de laisser le choix à l usager parmi une batterie de procédés. C est à partir de cette procédure d authentification qu il définira les droits d accès du PS au DMP, comme de ne pas livrer une information traitant de sa vie privée. La télémédecine Encadrée par la Loi (HSPT) 65 no du 21 juillet 2009 portant réforme de l hôpital et relative aux patients à la santé et aux territoires, la télémédecine est décrite par l Art. L comme «une forme de pratique médicale à distance utilisant les technologies de l information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d autres professionnels apportant leurs soins au patient. «Elle permet d établir un diagnostic, d assurer, pour un patient à risque, un suivi à visée préventive ou un suivi postthérapeutique, de requérir un avis spécialisé, de préparer une décision thérapeutique, de prescrire des produits, de prescrire ou de réaliser des prestations ou des actes, ou d effectuer une surveillance de l état des patients. «La définition des actes de télémédecine ainsi que leurs conditions de mise en œuvre et de prise en charge financière sont fixées par décret, en tenant compte des déficiences de l offre de soins dues à l insularité et l enclavement géographique.» Visant le droit à une médecine équitable pour tous, quelque soit la situation géographique, la téléconsultation se propose de soutenir la médecine traditionnelle, notamment dans les zones sous- - La carte associée est utilisé par tous les professionnels de santé qui pratiquent le tiers payant AMC: les pharmaciens bien évidemment, mais également les auxiliaires. Entretien Francis Siegwald. GIE SESAM VITALE Jeanne BOSSI, Secrétaire générale de l'asip Santé ; Colloque du 8 mars 2011, sur la carte nationale d'identité électronique. Maison de la Chimie. " À terme, la CNIe pourrait être un moyen offert au citoyen pour s'identifier et s'authentifier pour gérer sur l'internet ses données de santé. Évidemment, nous pensons au dossier médical personnel et à la possibilité pour le citoyen, dès lors qu'il serait doté de cette CNIe de pouvoir accéder à ses données de santé et les gérer en direct. Par exemple créer un DMP, ce que nous ne pouvons faire aujourd'hui parce qu'il n'y a pas de titre sécurisé d'identité pour le citoyen. " 65

23 Les leviers d usage dans la société de l économie numérique 23/ 140 médicalisées, une pratique courante dans des pays comme les États-Unis et la Suisse. Les décrets d application 66 de la Loi HSPT, qui détaillent les modalités de mise en œuvre de la télémédecine, nécessiteront-ils à l avenir la mise en œuvre de mécanismes d authentification forte, vu la nécessité d identifier le patient et documenter son consentement vis-à-vis de l Assurance Maladie et des complémentaires? Il est prématuré d évaluer le potentiel pour des mécanismes d authentification aussi nous contentons nous de rappeler les Définitions : «Art.R Relèvent de la télémédecine définie à l'article L les actes médicaux, réalisés à distance, au moyen d'un dispositif utilisant les technologies de l'information et de la communication. Constituent des actes de télémédecine : «1 La téléconsultation, qui a pour objet de permettre à un professionnel médical de donner une consultation à distance à un patient. Un professionnel de santé peut être présent auprès du patient et, le cas échéant, assister le professionnel médical au cours de la téléconsultation. Les psychologues mentionnés à l'article 44 de la loi n du 25 juillet 1985 portant diverses dispositions d'ordre social peuvent également être présents auprès du patient ; «2 La télé-expertise, qui a pour objet de permettre à un professionnel médical de solliciter à distance l'avis d'un ou de plusieurs professionnels médicaux en raison de leurs formations ou de leurs compétences particulières, sur la base des informations médicales liées à la prise en charge d'un patient ; «3 La télésurveillance médicale, qui a pour objet de permettre à un professionnel médical d'interpréter à distance les données nécessaires au suivi médical d'un patient et, le cas échéant, de prendre des décisions relatives à la prise en charge de ce patient. L'enregistrement et la transmission des données peuvent être automatisés ou réalisés par le patient lui-même ou par un professionnel de santé ; «4 La téléassistance médicale, qui a pour objet de permettre à un professionnel médical d'assister à distance un autre professionnel de santé au cours de la réalisation d'un acte ; «5 La réponse médicale qui est apportée dans le cadre de la régulation médicale mentionnée à l'article L et au troisième alinéa de l'article L La section 2 du décret Conditions de mise en œuvre détaille très précisément les modalités de consultation comme les mesures de sécurité devant être envisagées : «Art.R Les actes de télémédecine sont réalisés avec le consentement libre et éclairé de la personne, en application notamment des dispositions des articles L et L «Les professionnels participant à un acte de télémédecine peuvent, sauf opposition de la personne dûment informée, échanger des informations relatives à cette personne, notamment par le biais des technologies de l'information et de la communication. «Art.R Chaque acte de télémédecine est réalisé dans des conditions garantissant : «1 a) L'authentification des professionnels de santé intervenant dans l'acte ; o «b) L'identification du patient ; o «c) L'accès des professionnels de santé aux données médicales du patient nécessaires à la réalisation de l'acte ; «2 Lorsque la situation l'impose, la formation ou la préparation du patient à l'utilisation du dispositif de télémédecine. «Art.R Sont inscrits dans le dossier du patient tenu par chaque professionnel médical intervenant dans l'acte de télémédecine et dans la fiche d'observation mentionnée à l'article R : 66 JORF n 0245 du 21 octobre Décret n du 19 octobre 2010 relatif à la télémédecine

24 Les leviers d usage dans la société de l économie numérique 24/ 140 «1 Le compte rendu de la réalisation de l'acte ; «2 Les actes et les prescriptions médicamenteuses effectués dans le cadre de l'acte de télémédecine ; «3 L'identité des professionnels de santé participant à l'acte ; «4 La date et l'heure de l'acte ; «5 Le cas échéant, les incidents techniques survenus au cours de l'acte. «Art.R Les actes de télémédecine sont pris en charge dans les conditions prévues aux articles L , L , L , L , L et L du code de la sécurité sociale. Donc un dispositif sécurisé visant la mise en relation des parties, notamment le consentement «exprès» du patient dont la Section 3 (Organisation) précise qu il peut être exprimé par voie électronique. Des dispositions qui vont profondément modifier l éco-système médical de certaines régions, peu riches en personnels de santé. La téléconsultation devenant un acte de soins à part entière, prise en charge par l'assurance-maladie, pratique jusqu'ici interdite en l'absence de contact physique avec le médecin. Ce décret professionnalise une pratique qui fait florès sur le web, grâce à des sites de télé-médecine qui délivrent des conseils médicaux personnalisés. 67 En majorité des avis préalables à une consultation 68. En fonction du site, les prestations sont facturées avec possibilité d'abonnement. Les mutuelles complémentaires ayant flairé le filon en proposant des conseils gratuits à leurs adhérents 69. Les dispositions du décret vont permettre d'aller bien plus loin ; les praticiens envisageant des communications par webcams couplés à des systèmes experts. L exemple de la société suisse Medgate médecins, généralistes et spécialistes spécialement formés, 4200 actes /jour en période de pointe - qui totalise 4,2 millions de clients abonnés par leurs mutuelles, laisse présager de l importance du marché. Face au diagnostic plus ou moins fiable sur internet, la télémédecine va prolonger l exercice de médecins libéraux connaissant déjà leurs patients, désireux d assurer un suivi sans nécessairement se déplacer. Mais on ne peut exclure des appels auprès d un médecin de garde, lors de périodes fériées, donc une relation entre parties ne se connaissant pas au préalable. Si l on considère les dérives ou litiges qui pourraient survenir suite à des diagnostics imprécis, on anticipe la nécessité de mise en œuvre d une procédure sécurisée pour constituer des éléments de preuve : identification du patient, expression du consentement, accès au DMP, signature d ordonnance, prise en charge par l Assurance Maladie et complémentaires... Un mécanisme complexe qu il est prématuré de chiffrer ; mais qui pourra mettre en œuvre des mécanismes d authentification forte à l avenir. 67 Pionnier dans ce domaine, le Dr Loïc Étienne, fondateur de Docteurclic, avait lancé ce type de service en 2000 sur le Web, et même dès 1987 sur Minitel. D'autres ont embrayé. Les échanges se font via une plate-forme sécurisée, avec une réponse en moins de 24 heures. «Médecine générale, suites opératoires, dermatologie, pédiatrie Nous répondons à des questions très variées de pratique quotidienne, indique le Dr Frédéric Dussauze, l'un des trois fondateurs de MedecinDirect, qui a ouvert fin Voir le Figaro Santé Des conseils médicaux personnalisés sur Internet. Sandrine Cabut 26/10/ Le site Depechmed, ouvert depuis avril, s'est lui centré sur les «compléments d'information» après consultation ; pour expliquer un diagnostic, les effets d'un traitement 69 MedecinDirect a noué un partenariat avec le groupe mutualiste Crédit mutuel-mtrl, grâce auquel un million de ses adhérents vont bénéficier gratuitement des conseils médicaux en ligne 70

25 Les leviers d usage dans la société de l économie numérique 25/ La sphère bancaire Banques de réseaux Le rapport entre un détenteur de compte et sa banque peut se résumer à trois modes de transactions : consultation, transaction et contractualisation ; ce dernier mode consignant un engagement juridique entre les parties. Le taux de bancarisation 71 des français est l un des plus élevés d Europe 72 ; 75% de nos concitoyens consultant régulièrement leurs comptes sur internet 73. Près de 24 % d entre eux détiennent des comptes dans plusieurs banques (source IFOP), une flexibilité qui nécessite des outils de consultation performants. Consultation, transactions L accès aux comptes par internet ou ebanking est traditionnellement basé sur une authentification faible de type identifiant/mot de passe. Un niveau de sécurité qui restreint fortement les possibilités de l internaute : virements limités, référencement du destinataire avant tout virement, impossibilité de générer l IBAN d un tiers, à moins de le renseigner au préalable. Pour toute activité touchant aux valeurs mobilières, la confirmation du mot de passe est requise. Conscients des risques d usurpation, les établissements brident les opérations, dans la mesure où le titulaire pourra les répudier et réclamer la restitution de sommes détournées. On ne peut qu être étonné par le taux élevé de connexions aux comptes en banque (80%, source Baromètre CDC- ACSEL), vu les maigres fonctionnalités du ebanking. Contractualisation Faute de certificats de signature, la souscription en ligne de produits financiers est limitée, bien que le français soit actif dans ce domaine 74. La majorité des assurances-vie, Plans ou Comptes Epargne Logement, Livret A, CODEVI étant majoritairement signée en présence de conseillers, dont la pédagogie constitue un facteur clé de conclusion du contrat. Même constat pour les prêts importants - biens immobiliers ou rachats de crédits - ; les éléments de contrat taux, frais, pénalités, hypothèque. sont négociés auprès du conseiller, jamais sur le net. 71 Le taux de bancarisation de la population française s'élève à 99 %, soit l'un des taux les plus élevés d'europe (Rapport Credoc 2010) 72 74,4 millions de comptes à vue en 2008 (+ 8 % en 6 ans). Ils sont destinés aux particuliers et aux professionnels (Banque de France). 73 Enquête Ifop Les enquêtes donnent les chiffres suivants : 149 millions de comptes à terme et comptes d'épargne à régime spécial (livrets, CEL, PEL, LEP...) (source CECEI) 85 % des ménages ont un livret d'épargne (83 % en 2004) et 31 % de l'épargne logement (Insee, enquête patrimoine 2010) Près de 42 % des ménages détiennent au moins un produit d'assurance vie ou d'assurance décès volontaire, contre 35 % en 2004 (Insee, enquête patrimoine 2010) 14,5 millions de personnes possèdent un contrat d'assurance vie en Ils étaient 6,3 millions en 1995 (Rapport IGF 2010) milliards d'euros, c'est le montant des encours de l'assurance-vie à juillet 2010, soit + 92 milliards d'euros collectés depuis début 2010 (Source FFSA)

26 Les leviers d usage dans la société de l économie numérique 26/ 140 A titre d exemple, le pourcentage de Livrets A du Crédit Agricole souscrits en ligne représente une infime minorité des 4-5 millions de contrats attribués chaque année, vu la nécessité de présenter deux pièces d identité et une justification de domicile. Les accès internet Bien que les sites internet soient de plus en plus consultés, ils sont considérés comme un canal d information, au même titre que la presse. Les chiffres sont éloquents quant à la consultation en ligne mais restent fort conservateurs quant il s agit de contractualiser 75. Comme le remarque Serge Henri Saint Michel 76 «les intentions de s informer ou de souscrire à des produits financiers restent plus orientées vers l épargne ou l assurance que vers la consommation en cette période de sortie de crise Les résultats montrent qu Internet est un média clé de l information, au même titre que l agence : on oscille autour des 70% d utilisation envisagée quel que soit le produit concerné. Les scores d Internet sont à peine inférieurs aux scores de l agence.. En revanche, lorsqu il s agit de souscrire, l agence reste de loin le canal phare : elle est à plus de 80% d utilisation envisagée tandis qu Internet ou le téléphone sont envisagés par 1 répondant sur 2 seulement» 77. Ainsi le web est-il considéré comme un canal d information rapide et efficace alors que l agence demeure le moyen du conseil personnalisé Banque à distance / banque en ligne L absence de tout contact «facial» avec les conseillers d agences font de la banque à distance, ou banque en ligne, un candidat idéal pour l authentification forte. Un secteur qui représente plus de 2 millions de clients, en progression annuelle de 25% 78. Sachant que près de 20% de cette population souscrit en ligne à des produits financiers contre 11 % en , la problématique des banquiers «en ligne» est double : nécessité légale d authentifier ces clients virtuels lors de l ouverture de comptes mais surtout documenter toute transaction dématérialisée ; sachant que la banque sur le web est amenée à croitre vu la culture internet des nouvelles générations mais surtout la modicité des frais sur les transactions 80. L ouverture de comptes constitue un droit régi par l Art. L312-1 du Code Monétaire et Financier 81. Bien que les établissements tolèrent la copie de pièces par courrier ou mail, la Loi No du 12 juillet 1990 relative à la participation des organismes financiers à la lutte contre le blanchiment des capitaux provenant du trafic des stupéfiants constitue un rappel à l ordre 82 «Les organismes financiers doivent, avant d'ouvrir un compte, s'assurer de l'identité de leur cocontractant par la présentation de tout document écrit probant. Ils s'assurent dans les mêmes conditions de l'identité de leur client occasionnel qui leur demande de faire des opérations dont la nature et le montant sont fixés par le décret prévu à l'article 24». Ils se renseignent sur l'identité véritable des personnes au bénéfice desquelles un compte est ouvert ou une opération réalisée lorsqu'il leur apparaît que les personnes qui demandent l'ouverture du compte ou la réalisation de l'opération pourraient ne pas agir pour leur propre compte.» Une relation ambigüe 83 entre client et banque bien détaillée par le rapport 84 du consortium FC² La banque et le multicanal : Internet en tête! 77 Ainsi, plus de 17% des Français envisagent de s informer sur un livret ou un compte à terme dans l année à venir, et 14% envisageraient d y souscrire. Ils sont 16% à envisager de s informer sur une assurance (automobile, habitation ) et un peu plus de 13% à envisager d y souscrire. Ils sont près de 15% à souhaiter s informer sur une carte ou un compte courant, et 11% à envisager d y souscrire. Enfin ils ne sont que 8% à souhaiter s informer sur un crédit à la consommation dans l année à venir et 6% à envisager d y souscrire. 78 Tous acteurs confondus, la banque en ligne totalise près de deux millions de comptes en France aujourd'hui avec une croissance annuelle d environ 25%, dont plus de la moitié des adhérents seront recrutés par le web, et non plus par les courtiers (donc sans aucun contact «physique» avec les guichets). Etude Afnor Standarmedia. Paris Benchmark Group, février Enquête auprès de clients de banques françaises 80 Deux autres établissements totalisent près d un demi-milliard d'encours en réduisant leurs droits d entrée à 0,5% au lieu des 3% perçus généralement sur les contrats d assurance vie. Un point non négligeable dans la mesure où les montants négociés sur le web atteignent 20,000 Euros contrairement aux 4,000 Euros contractés en moyenne par les courtiers ; ce qui confirme l attrait de populations averties et relativement aisées, pour la banque en ligne. 81 Toute personne, capable, majeure, qui peut justifier de son identité et de son domicile en France, a droit à un compte bancaire. 82 Chapitre II Autres obligations de vigilance des organismes financiers. Art Livre Blanc Gestion des Identités. Analyse des contextes juridique, socio-économique et sociétal. FC² Paris Il existe des obligations propres au secteur financier en matière de justification de l identité du client. Il est notamment nécessaire de mettre en application les dispositions de la loi du 12 juillet 1990 en matière d identification lors de l entrée en relation d affaires avec un client qui n est pas physiquement présent. En particulier, le client doit présenter une pièce d identité et, normalement, la banque doit effectuer un contrôle de visu. Néanmoins, il est aujourd hui toléré d envoyer les copies des pièces justificatives par courrier, et même de les scanner puis les envoyer par ou les transférer sur le site de la banque.

27 Les leviers d usage dans la société de l économie numérique 27/ 140 Pareillement, un livre blanc de la Banque de France 85 rappelle que «le dossier d ouverture de compte, comprenant notamment l identifiant et le mot de passe du client (ou son équivalent) peut être envoyé par la poste, si possible avec accusé réception. On remarque souvent que le fonctionnement d un compte - y compris la réception de fonds et d instruments financiers n est autorisé qu une fois que la procédure d identification a été achevée». Concernant le contrôle d opérations douteuses, le rapport remarque qu «il est difficile, voire impossible, de savoir si la personne faisant fonctionner le compte est réellement celle qui l a ouvert.» L article 3 de la Directive Européenne sur le blanchiment 86 de 2001 rappelle également le principe d'identification obligatoire sur la base d un document probant. Une précaution qui vise non seulement l ouverture de comptes mais également leur usage, éventuellement au profit d un tiers. En quel cas, l établissement a l obligation d identifier le bénéficiaire. Ainsi est-il conseillé d exiger des «pièces justificatives supplémentaires, des mesures additionnelles de vérification ou de certification des documents fournis ou des attestations de confirmation de la part d'un établissement relevant de la présente directive ou en exigeant que le premier paiement des opérations soit effectué par un compte ouvert au nom du client auprès d'un établissement de crédit relevant de la Directive». De plus, les mouvements de comptes requièrent l attention des établissements bancaires, notamment pour des transactions égales ou supérieures à euros. Une préoccupation partagée par le Code Monétaire et Financier dont l article L rappelle que 88 «Les organismes financiers ou les personnes visées à l'article L doivent, avant de nouer une relation contractuelle ou d'assister leur client dans la préparation ou la réalisation d'une transaction, s'assurer de l'identité de leur cocontractant par la présentation de tout document écrit probant... Pratiquement, lors d une demande d ouverture de compte auprès d un fournisseur de service, la banque X, le client s authentifiera auprès de divers fournisseurs d identité ou d attributs (agence gouvernementale, opérateur télécoms, autre banque) pour récupérer et transmettre tous les documents nécessaires à l ouverture du compte (justificatif de domicile, données d identité». 89 Ce cadre réglementaire strict confirme la fragilité du dispositif mis en œuvre par les banques en ligne : photocopies de CNI et attestations de domicile ou envoi par mail de documents scannérisés ; des pièces aisément falsifiables vu l absence de vérification d intégrité - bande MRZ, laminat et connexion à une base de données de titres perdus ou falsifiés. Mais la communication de documents en ligne continue à représenter un problème pour nos internautes, d où le faible taux d adhérents nouveaux, moins de 10% des 5 millions de comptes créés chaque année Banque de France, «Internet : quelles conséquences prudentielles?», 2001, disponible à l adresse 86 Directive 2001/97/CE du Parlement européen et du Conseil du 4 décembre 2001 modifiant la directive 91/308/CEE du Conseil relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux 87 II. - Pour l'application de l'article L , les organismes financiers et les personnes mentionnés à l'article L vérifient l'identité d'une personne physique par la présentation d'un document officiel en cours de validité portant sa photographie. Ils conservent la copie de ce document ou ses références. Les mentions relatives à l'identité à vérifier comprennent les nom, prénoms ainsi que les date et lieu de naissance. Outre ces mentions, les références à conserver incluent la nature, le numéro, les date et lieu de délivrance du document ainsi que le nom de l'autorité ou personne qui l'a délivré ou authentifié. 88 Livre Blanc Gestion des Identités. Analyse des contextes juridique, socio-économique et sociétal. FC² Paris III. - La vérification de l'identité des personnes physiques peut ne pas avoir lieu en présence de la personne à identifier. Dans ce cas, outre l'obtention d'une copie du document exigé au II, les organismes financiers et les personnes mentionnés à l'article L prennent les dispositions spécifiques et adéquates nécessaires, en adoptant des mesures parmi l'une au moins des quatre catégories de mesures suivantes : 1 Obtenir des pièces justificatives supplémentaires permettant d'établir l'identité du cocontractant ; 2 Mettre en œuvre des mesures de vérification et de certification de la copie de la pièce officielle d'identité mentionnée au II par un tiers indépendant de la personne à identifier ; 3 Exiger que le premier paiement des opérations soit effectué par un compte ouvert au nom du client auprès d'un organisme financier établi dans un Etat membre de la Communauté européenne ou dans un autre Etat partie à l'accord sur l'espace économique européen ; 4 Obtenir une attestation de confirmation de l'identité d'un client de la part d'un organisme financier établi dans un Etat membre de la Communauté européenne ou dans un autre Etat partie à l'accord sur l'espace économique européen. L'attestation mentionne les éléments d'identification cités au II, est adressée directement par cet organisme à la personne demandant l'identification et précise le nom et les coordonnées du représentant de l'organisme l'ayant délivrée. Cette attestation peut également être obtenue d'un organisme financier établi sur le territoire d'un Etat figurant sur la liste établie conformément aux dispositions du quatrième alinéa du IV, qui est en relation d'affaires suivie avec l'organisme financier ou la personne mentionnés à l'article L établis en France et qui déclare avoir procédé à des mesures d'identification équivalentes à celles applicables en France. Les organismes financiers et les personnes mentionnés à l'article L conservent les documents et les résultats obtenus à la suite des vérifications. 90 Répartis entre Boursorama, ING, Fortuneo, Monabanq

28 Les leviers d usage dans la société de l économie numérique 28/ Le marché des titres scripturaux Les moyens de paiement scripturaux se composent d un dispositif technique et organisationnel 91 destiné à garantir la validité d une transaction. Ce terme désigne donc les chèques, virements, mandats, TIPs, de même que les transactions sur la base de cartes de crédit. L usage répandu du chèque fait de la France le champion des paiements scripturaux 92 - plus de 200 par personne et par an contre 130 en moyenne dans la zone euro, un nombre en croissance annuelle de 5% 93. Ainsi, 25% des paiements scripturaux d Europe sont effectués en France! Par contre, la carte de crédit constitue le moyen de paiement le plus utilisé (32 %), bien avant le virement (28 %), le prélèvement (25 %) et le chèque (14 %). Ce tableau de la Banque de France 94 confirme un potentiel important pour des procédés à base de certificats. Prenons l hypothèse que les 3,3 milliards de chèques de en diminution de 5,6% par rapport à se répartiront prochainement à 50/50 entre cartes de crédit (dans le monde physique) et virements (par ebanking). Les mouvements bancaires totaliseront donc (hors cartes de crédit) près de 10 milliards d opérations. Sachant que ces chiffres cumulent particuliers et entreprises, si nous prenons l hypothèse d 1/10 pour des particuliers, ce sont donc 1milliard de virements qui pourraient être opérés prochainement par du ebanking 95, soit un rythme de 24 chèques par an ou un rythme de deux par mois, pour nos concitoyens SEPA Direct Debit Comme le remarque Me Caprioli dans une lettre de la FNTC 96, «Les entreprises ayant une activité dans plusieurs pays européens étaient, jusqu à présent, contraintes d ouvrir des comptes bancaires dans chaque pays de leur activité. Elles avaient aussi la contrainte de gérer et d initier leurs paiements avec des moyens techniques différents dans chaque pays. Elles pourront avec le SEPA, centraliser, si elles le désirent, leurs comptes et leurs moyens de paiement sur un seul pays de la 91 La surveillance des moyens de scripturaux : objectifs et modalités de mise en œuvre (2004). Marc Andries, Carlos Martin, Direction des Systèmes de paiement. Service de la Surveillance des moyens de paiement scripturaux. Banque de France 92 La France reste un des derniers pays européens, avec le Royaume-Uni, où le chèque est fortement utilisé. En effet, les chèques émis en France représentent environ 53 % du volume total enregistré dans l Union européenne (28 % pour le Royaume-Uni) 93 Idem 94 La surveillance des moyens de scripturaux : objectifs et modalités de mise en œuvre (2004). Marc Andries, Carlos Martin, Direction des Systèmes de paiement. Service de la Surveillance des moyens de paiement scripturaux. Banque de France 95 Aujourd hui il est impossible de procéder à un virement bancaire si le bénéficiaire n est pas enregistré au préalable 96 «Du Mandat au Mandat électronique». La dématérialisation du mandat dans les paiements : un des impacts du SEPA 2009

29 Les leviers d usage dans la société de l économie numérique 29/ 140 Communauté Européenne» 97. Le SEPA Direct Debit (SDD) vise à homogénéiser les modalités de paiement - activités récurrentes par TIP, ou d opérations ponctuelles par cartes de crédit - dans un paysage tant national qu Européen. En dehors de ses caractéristiques techniques, le SDD se différencie du prélèvement domestique actuel par 2 caractéristiques ayant un fort impact commercial : Le mandat doit être opéré par le créancier ("creditor mandate flow"). Ce qui lui impose notamment de gérer une base de mandats dématérialisés, et d'être en mesure de produire la preuve d'un mandat auprès de la banque du débiteur. La commission d'interchange disparaît, la banque du débiteur n'a donc aucune source de rémunération pour le traitement d'un mandat SDD Le RuleBook de l'epc 98 propose 2 possibilités pour gérer le mandat de manière électronique : Le "e-mandate" qui repose sur un modèle «4 coins» dans lequel la banque du débiteur met en place un serveur de validation lui permettant de confirmer en ligne son acceptation. La signature électronique du mandat, pouvant se faire par tout moyen conforme à la directive européenne sur la signature électronique. Il est à noter que cette dernière possibilité est valable pour les prélèvements domestiques, même en dehors du cadre du RuleBook puisqu'un écrit électronique a la même force probante qu'un écrit papier Il est probable que le modèle "e-mandate" sera difficile à déployer car il est complexe techniquement et oblige les banques débitrices à mettre en place des serveurs de validation sans contrepartie financière. La Signature électronique du mandat représente quant à elle une opportunité pour les créanciers qui, puisqu'ils doivent désormais gérer le mandat, voudront le faire de la manière la plus simple et la moins coûteuse possible. Plus généralement, le remplacement progressif des moyens de paiement scripturaux tels que TIP ou chèque par virement SEPA, prélèvement récurrent ou même "One Off", constituent un vaste champ d'application pour l'authentification et la signature électronique. En effet, ils ont besoin d'autant de sécurité et d'imputabilité qu'un paiement carte, sans pouvoir s'appuyer sur un modèle économique tel que 3D Secure qui prévoit l'interchange et les moyens de vérification par la banque du débiteur. La procédure de emandate met en œuvre un mécanisme d autorisation entre banques créditeur et bénéficiaire. (Schéma EPC) 97 Leurs relations commerciales et financières seront simplifiées avec des implémentations techniques rendues homogènes par l usage de réseaux télécom, de protocoles de communication et de formats informatiques normés au niveau européen. Les filiales européennes d entreprises hors zone SEPA auront des relations commerciales et financières homogènes avec les entreprises européennes au niveau continental. Les relations commerciales internationales seront donc également simplifiées. Enfin, les entreprises ayant uniquement actuellement une activité nationale, pourront accéder à des paiements ponctuels transfrontaliers plus facilement, profiter des économies d échelles provoquées par la dimension du nouveau marché domestique européen des paiements et enfin, les nouveaux standards de communication et de dématérialisation de ces nouveaux moyens de paiements permettront d accéder à des nouveaux services innovants. 98 European Payments Council

30 Les leviers d usage dans la société de l économie numérique 30/ Le crédit à la consommation Le crédit souscrit en magasin (électroménager, mobilier, loisirs) dispose d un scénario bien rôdé : montants faibles ( euros), pièces justificatives minimales (CNI, chèque ou carte bancaire) et paiement d une première mensualité. En cas de refus du crédit à l issue du délai Scrivener, débit automatique du compte grâce à l empreinte de la carte ou du chèque de caution. Le financeur minimise ainsi le risque d autant que la présence du client et une confirmation en temps réel de sa solvabilité constituent de solides garanties 99. Identifié par l étude AFNOR de 2007 comme un secteur gagnant de l authentification forte, le crédit en ligne peine à garantir l identité de l emprunteur (voire de co-emprunteurs), contrairement à la demande en magasin. Pourtant les chiffres militent en faveur d une adhésion des français au financement différé 100 : 14 millions de ménages détiennent au moins un crédit à la fin 2009, soit 50,8 % des ménages, Près d'un tiers des ménages détient un crédit à la consommation fin 2009 (30,8 %) 31,7 % des ménages ont un crédit immobilier en 2009 (en baisse par rapport à 2008 : 33,8 %) La souscription en ligne achoppe sur la constitution d un dossier de preuves qui soit opposable à l emprunteur en cas de litige et compréhensible par la chaîne du contentieux : huissiers et juges 101. Deux cas se présentent : B2C (crédit non attaché à un bien) et B2B2C (crédit attaché à un bien) B2C Non attaché à un bien, le crédit en ligne, qui permet de disposer d une réserve de trésorerie, représente le cas simple (plusieurs milliards d encours) dans la mesure où l emprunteur n est pas conditionné par l immédiateté d achat. Les pièces à fournir sont identiques au face à face : CNI, Impôts, salaires. Des solutions de certificats ont été mises en œuvre 102 pour des clients en compte, une approche de type «cross selling» qui vise à augmenter les encours d emprunteurs, alors que le gros du marché porte sur la conquête (ou recrutement) de nouveaux clients. A peine 1% des demandes sont dématérialisées - quelques milliers parmi les millions soumises annuellement mais seulement pour des emprunteurs connus B2B2C Le financement est plus complexe lors d une démarche d achat. Pourtant, moins le bien est «impliquant», plus la procédure est dématérialisée ; un voyage se finançant mieux qu un bien immobilier. Totalisant quelques dizaines de millions d euros l an, ce secteur, qui stagne, est appelé à peser plusieurs milliards si des procédures d authentification forte et de signature sont disponibles 103. Le défi, c est la dématérialisation de la chaine de prêt, jusqu au traitement de contentieux, huissiers et juges devant se prononcer à l avenir sur des dossiers électroniques ; faute de jurisprudence la profession marque une expectative. A cet effet, CA Consumer Finance archive les textos des procédures bi-canales destinées à confirmer un consentement par portable. Nos établissements de crédit avouent constater le dynamisme de leurs filiales à l international dont la législation favorise l identification de l emprunteur par numéro unique 104. Preuve de l impatience des financeurs, moult solutions de contournement subtil équilibre entre satisfaction client et appréciation du risque visent à assouplir les délais de réflexion : Receive and Pay, 99 Les banques doivent se conformer au Règlement n du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d investissement. De plus elles sont assujetties à des procédures internes de contrôle encore plus contraignantes. 100 Selon l'enquête de l'observatoire des crédits aux ménages (2009) 101 Entretien Mr Pinon, Directeur juridique CA Consumer Finance ; Mr Amoedo, Chef du service Media Interactifs - Marketing B2C at CA Consumer Finance 102 Quicksign d Altenor avec les certificats de Keynectis 103 Pour des montants d emprunt faibles, le contrôle des pièces est dit simplifié et déclaratif (RIB + CNI) ; concernant des montants supérieurs, (>2000 Euros) 4 pièces justificatives sont alors demandées, notamment le niveau d endettement 104 Comme c est le cas en UK et Hongrie

31 Les leviers d usage dans la société de l économie numérique 31/ 140 eactivation Le bien est expédié avant même l octroi de la somme demandée, avec garantie de paiement par prise d empreinte sur la carte de crédit. Parmi les alternatives, le Crédit Presto 106 qui met en jeu une architecture 3D Secure de façon à s assurer par SMS du consentement de l emprunteur. Même en cas de refus de crédit, le vendeur est payé grâce à sa prise de garantie ; par contre, le financeur aura travaillé pour rien. Et non pour une tentative de fraude mais parce que le dossier est incomplet, mal photocopié ou les justificatifs périmés. D où la préoccupation des financeurs de fluidifier le crédit en ligne, mais par une procédure juridiquement irréprochable Contexte juridique Le crédit, notamment le revolving, fait l objet d une attention de la Commission Européenne et du Ministère de l Economie et des Finances ; l objectif, favoriser la concurrence transfrontière et protéger le consommateur. La Directive 107 sur le Crédit à la Consommation (DCC) 108 trouve sa transposition française dans loi FICP 109 qui vise à limiter les effets du surendettement. Parmi les mesures nouvelles 110, la production de multiples justificatifs (identité, domicile, revenus). Un contexte qui milite en faveur de certificats ; les mieux à même de garantir l identité. On peut même anticiper que l attestation de domicile ne soit plus obligatoire, si le demandeur est identifié de façon certaine. La traditionnelle OPC (Offre Préalable de Crédit) sera prochainement remplacée par un Contrat de Crédit pouvant être signé en ligne «sous réserve de conformité des documents communiqués», laissant au demandeur 14 jours pour se rétracter 111. Le marché de l authentification forte concerne toutes les formes de crédits: B2C, B2B2C, revolving (environ 3 millions de ménages 112 ), mais également le SAV, la moitié des emprunteurs actualisant au moins une fois l an leurs données d état civil. Le gain de productivité est estimé à 30-40% du temps consacré à l examen des dossiers, en cas d une procédure automatisée 113. Considérant que près de 50% des demandes de crédit n aboutissent pas, on prévoit une croissance des financements une fois automatisées les procédures d authentification. Il est donc nécessaire de privilégier les taux de transformation en ligne, la fraude (minime) étant traitée par des mécanismes de scoring entre patronymes, mails et adresses douteuses. Le frein à l octroi de crédit n étant pas tant lié à la fraude qu à la difficulté de finaliser une demande sur la toile. Par contre, ne négligeons pas que de nombreux candidats 105 CA Consumer Finance 106 Cetelem 107 Résolution législative du Parlement européen du 16 janvier 2008 relative à la position commune du Conseil en vue de l'adoption de la directive du Parlement européen et du Conseil concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE (9948/2/2007 C6-0315/ /0222(COD)) 108 Harmoniser les législations des Etats membres en matière de contrats de crédit aux consommateurs pour renforcer l intégration du marché unique. Renforcer le droit de rétractation du consommateur : non plus sept mais quatorze jours pour changer d avis. Prêteur devra également s assurer de la solvabilité du consommateur bénéficiaire, par la création ou l utilisation de bases de données adéquates. Le prêteur consulte le fichier Ficher national des incidents de remboursement des crédits aux particuliers (FICP) de la Banque de France. 109 Fichier de la Banque de France des incidents bancaires de remboursements de crédits aux particuliers (FICP). 110 Obligation pour le crédit en magasin d offrir le choix au consommateur entre crédit renouvelable et amortissable (pour les demandes de crédit d un montant supérieur à ). Obligation pour le prêteur de vérifier la solvabilité de l emprunteur Obligation pour le prêteur de consulter le fichier FICP qui recense les incidents de remboursement sur les crédits des particuliers Sur le lieu de vente, remise obligatoire d une fiche de dialogue et d information à remplir à 4 mains par le vendeur et le consommateur-emprunteur. Cette fiche sera l occasion d un véritable «point budget» pour évaluer si le crédit est adapté à l emprunteur Pour les crédits d un montant important (plus de 3000 euros environ), l emprunteur devra fournir des justificatifs (identité, domicile, revenus) Inscription dans la loi d un «devoir d explication» du prêteur à l égard de l emprunteur. Doublement du délai de rétractation de 7 à 14 jours. Obligation de former à la distribution de crédit les vendeurs des magasins. Interdiction de moduler les commissions payées aux vendeurs selon qu ils distribuent du crédit renouvelable ou amortissable (afin que les vendeurs ne soient pas incités à orienter systématiquement les consommateurs vers du crédit renouvelable). 111 Le client peut bénéficier des fonds à J+2 mais devra rembourser en cas de rétractation 112 Crédit revolving 21% de 14 millions de ménages emprunteurs, soit 3 millions Information CA Consumer Finance

32 Les leviers d usage dans la société de l économie numérique 32/ 140 emprunteurs surfent sur les sites de financeurs pour évaluer les conditions, frais de dossiers et conditions de rétractation. Nous tenons compte de cette fraction d indécis dans nos évaluations Assurance crédit L assurance crédit met en scène une entité juridique différente filiale ou partenaire à qui les informations communiquées relèvent du déclaratif. L assureur fait confiance au financeur, se réservant la faculté de ne pas couvrir le risque en cas de déclaration frauduleuse. Généralement, le contrat d assurance est envoyé par la Poste, avec questionnaire médical ; donc un potentiel important de dématérialisation «de bout en bout», vu les multiplicités de saisies, donc d imprécisions. Contrairement aux contrats d assurance traditionnels, souvent complexes, car dépendants de la situation familiale et professionnelle du souscripteur, la couverture crédit constitue un produit packagé ; donc un cas idéal de souscription en ligne pouvant être signé électroniquement dans la foulée du Contrat de Crédit. 2.5 Les achats en ligne Le ecommerce ne connait pas la crise 114, comme en témoignent les chiffres ACSEL 2009 : 30 millions d internautes, 10 achats chacun, pour un panier moyen de 90 Euros, soit un total par tête de 1000 Euros. Les prévisions 2010 avoisinent un CA de 31 milliards. Selon les estimations de la FEVAD, le ecommerce devrait continuer à progresser au même rythme, soit 38 milliards fin 2011 et plus de 45 milliards en Le baromètre CDC-ACSEL prouve l engouement des français pour le commerce en ligne qui connait une croissance de 40%/an. Les internautes avertis font partie de la catégorie la plus active aux achats sur le web. Chiffres FEVAD : Les grands gagnants sont les sites d enchères (ebay) et réseaux d affiliés (Amazon) qui devancent de quelques points les grossistes du web (PriceMinister, 3Suisses, FNAC ). Par contre, une multitude de petits sites ont émergé (près de 70,000!), sachant que 500 d entre eux concentrent plus de 10,000 transactions mensuelles. 114 Bilan annuel 2009 e-commerce en France : Source ACSEL, l Association pour le Commerce et les Services En Ligne

33 Les leviers d usage dans la société de l économie numérique 33/ 140 Pourtant, la France se positionne derrière les Pays Bas, la Suède, l Allemagne et l Angleterre. Comme le remarque l enquête CREDOC, l acheteur en ligne se situe parmi les CSP+ aux de revenus élevés et résidant en région parisienne 115. Un cas particulièrement intéressant pour les infrastructures à base de certificats : les 15% d acheteurs sur le web qui ne possèdent pas de cartes de crédit. Ils doivent remplir une autorisation de «Débit bancaire» ou rédiger un chèque en fin de parcours ; donc un retour au «brick and mortar» dans ce contexte pourtant dématérialisé. Une catégorie d internautes qui pèse près de 4,5 milliards (15% de 30 milliards d euros) pour quelques 37 millions de transactions. Mais, d après les vendeurs, près de la moitié de ces promesses de paiements différés n aboutissent pas. La solution, c est d accéder à son ebanking par le site de vente, en enchainant une suite d opérations : authentification, appel de l IBAN du bénéficiaire et confirmer son consentement par un mécanisme de certificats. Connaissant les taux pratiqués par les mécanismes de paiement (0,8-1,5%) - Paypal, Visa, MasterCard il n est pas exclu que les vendeurs favorisent à l avenir cette solution de débit bancaire automatisé si la procédure est plus avantageuse ; d autant plus que l usage de certificats constituera une excellent garantie contre la répudiation - source importante de préjudice et constituera une alternative à SD Secure Fraude à l identité pour les achats en ligne Concernant l achat sur le web, on distingue deux principaux types de fraude L utilisation de numéros de cartes usurpés ; L utilisation abusive et détournée de la Loi sur la Sécurité Quotidienne du 15 novembre 2001 permettant à un acheteur identifié et de mauvaise foi de se soustraire à ses obligations de règlement. Dans le second cas, l internaute de mauvaise foi ne pourra renouveler sa fraude dans la mesure où il est immédiatement fiché par des mécanismes de scoring de plus en plus performants. Des résultats impressionnants : 50,000 fraudeurs détectés derrière quelques 100,000 identités «jetables», générées pour une simple transaction. Fia-Net, leader de la lutte contre la fraude sur internet, relève un volume moyen de 2,64 tentatives par «identité», en jonglant avec des multiples attributs : mails, adresses physiques et numéros de téléphone 116. Les tableaux de Fia-Net confirment la pertinence de l adresse pour la vente en ligne, sachant que les fraudeurs privilégient les points de vente 117. Source Fia-Net. Fianet, Livre blanc 2010 La fraude à la carte bancaire sur Internet. Le scoring permet un croisement des attributs susceptibles de dissimuler des tentatives de malveillance. 115 Il existe de nombreux groupes où une majorité d individus passe par Internet pour réaliser certains achats (Graphique 49 et Tableau 54) : les cadres supérieurs (74%), les diplômés (71%), les bénéficiaires des revenus les plus élevés (65%), les ans (plus de 60%), et les habitants de Paris et son agglomération (56%). A contrario, certains groupes restent en retrait : un quart seulement des sexagénaires ou des titulaires de revenus mensuels inférieurs à 900 ont fait des emplettes sur Internet. Les nondiplômés (13%), les retraités (16%) et les septuagénaires affichent des taux plus faibles encore (Etude CREDOC 2009) 116 Le nombre de fraudeurs identifiés dépasse les individus. On observe malgré tout un ralentissement dans l évolution des identités de fraudeurs repérées sur les trois dernières années (+ 81 % de 2006 à 2007, + 60 % de 2007 à 2008, + 42 % de 2008 à 2009). Cette tendance est à corréler avec les nouvelles méthodes des fraudeurs qui utilisent de plus en plus d identités jetables (voir l explosion des réseaux page 15). En moyenne, FIA-NET constate 2,64 fraudes par individu, pour un montant moyen de 295. Fia-Net, Livre blanc 2010 La fraude à la carte bancaire sur Internet. 117 Si le nombre de réseaux a connu une forte évolution, FIA-NET constate que les données liées au renouvellement d informations (identités, adresses, e- mails, téléphones) ont fortement diminué. En effet, en 2008, les fraudeurs organisés en réseaux utilisaient en moyenne 9,38 identités chacun. En 2009, ils n en utilisaient plus que 4,5, soit une diminution de 52 %. Cette diminution se retrouve dans le nombre d adresses (- 48 %), d s (- 49 %) et de téléphones (- 49 %) utilisés.

34 Les leviers d usage dans la société de l économie numérique 34/ 140 Les fraudeurs jonglent avec les multiples attributs : mails, adresses physiques et numéros de téléphone de façon déjouer les mécanismes de scoring. La tactique du fraudeur professionnel devient difficile à appréhender ; longtemps spécialisé en électronique de luxe (iphone, ipad) il achète maintenant des articles courants 118 en mélangeant les identités pour ne pas être détecté 119. Comme l indique Fia- Net, les identités fictives de plus en plus nombreuses - ne peuvent être déjouées que par croisement des attributs - mails, adresses, téléphones, patronymes avec des bases de données d acheteurs suspects. Une tentative de fraude doit se concevoir comme une agrégation d attributs. Comme l indique Fia-Net, «Le nombre d identités employées..atteint son plus haut niveau en 2008 : en moyenne, chaque réseau utilise plus de 9 identités différentes (+ 49 % par rapport à 2007). En deuxième position, les réseaux utilisent de plus en plus d adresses de livraison (8,53 en moyenne en 2008). Le nombre de numéros de téléphones utilisés, qui avait tendance à diminuer, connaît une forte croissance, particulièrement les numéros de portables (qui se renouvellent de plus en plus souvent)». Sans surprise, la fréquence à laquelle les réseaux renouvellent leurs attributs est de plus en plus rapprochée (chaque 2,20 transactions en moyenne), notamment les changements d adresse (toutes les 2,42 transactions). Fia-net, Livre blanc La fraude à la carte bancaire sur Internet. 118 Ceci prouve que si le nombre de réseaux de fraudeurs a augmenté, c est principalement parce que les fraudeurs renouvellent beaucoup plus vite leurs informations. De ce fait, les recoupements sont plus difficiles à effectuer. Les réseaux de fraudeurs tendraient ainsi à se fondre dans la masse des acheteurs honnêtes par des comportements moins facilement identifiables et plus classiques. 119 le fraudeur de 2009 se définirait par son comportement d acheteur classique privilégiant des secteurs d activité à forte croissance et des petits paniers moyens.

35 Les leviers d usage dans la société de l économie numérique 35/ 140 La fraude à l identité ne concerne notre étude que dans la mesure où l acheteur va répudier le paiement une fois l objet livré. C est pourquoi les mécanismes de scoring permettent de déceler les anomalies éventuelles : carte de crédit usurpée, patronyme usurpé, etc Le succès de la vente en ligne (30 milliards de CA, 40% de croissance /an) nécessite que des mesure soient prises Fraude aux paiements sur le web L Observatoire de la sécurité des cartes de paiement de la Banque de France publie chaque année un rapport sur le commerce électronique 120. Le taux de fraude sur les paiements à distance (internet, courrier, téléphone) atteint 0,263% en 2009 contre 0,252 % en 2008 pour un montant cumulé de 82 millions d euros; alors que la fraude aux cartes de crédit dans le monde physique reste l un des plus faibles au monde (0,014%) grâce à l usage du chip et du PIN code 121. Ainsi le paiement en ligne, qui représente 7 % en valeur des transactions, compte-t-il désormais pour 57 % du montant de la fraude. Comme l indique l Observatoire de la Banque de France, les secteurs les plus touchés sont le voyage et la vente en ligne qui totalisent 40% des malveillances. Concernant les jeux sur internet, remarquons que ces statistiques sont antérieures à la Loi relative à l'ouverture à la concurrence et à la régulation du secteur. (Observatoire de la sécurité des cartes de paiement. Banque de France) 120 En partenariat avec la FEVAD qui s appuie sur un échantillon de 33 entreprises de vente à distance représentant 38% du chiffre d affaires des adhérents de la FEVAD 121 Achats en ligne ; fraude augmente en 2009 à 0,263% contre 0,235% en Montant de la fraude : 51,9 millions d euros. 7 fois plus élevé que le taux global (0,263% contre 0,038%).

36 Les leviers d usage dans la société de l économie numérique 36/ 140 Pour les paiements à l international, le taux de fraude atteint 1,350 %, 22 % des transactions totalisant près de 50 % de la fraude. Mais dans ce cas les mécanismes de croisement d attributs adresse, mails, téléphones deviennent inopérants. L identification de l acheteur en ligne apporte-t-elle une réponse pour les achats hors France? Mais ceci nécessiterait une standardisation des procédures d authentification sur le web Le MO/TO (Mail Order / Telephone Order) Autre vecteur de fraude, le paiement par courrier ou téléphone qui répond aux besoins de consommateurs et prestataires : abonnements, vente par correspondance, réservation d hôtels, spectacles ou taxis 122. Dans ces cas, la malveillance dépasse les scores de fraude sur internet 123 vu la possibilité de récupérer le cryptogramme du titulaire de la carte 124. Fortement concurrencée par le web, sa pratique est en diminution S assurer du consentement de l internaute La fourniture de produits ou services en ligne est régie par l Article du Code Civil 125. Le destinataire doit «exprimer son acceptation», puis «L'auteur de l'offre doit accuser réception sans délai injustifié et par voie électronique de la commande qui lui a été ainsi adressée», pour conclure que «La commande, la confirmation de l'acceptation de l'offre et l'accusé de réception sont considérés comme reçus lorsque les parties auxquelles ils sont adressés peuvent y avoir accès». Ce mécanisme d acceptation et d accusé de réception est à l origine du «double clic» familier aux cyberacheteurs. Comme le remarque par Me Caprioli 126 «L Article du Code civil établit une procédure à suivre lors d une commande en ligne. En cas de non-respect des conditions posées, le contrat ne sera pas valablement conclu. (Tout d abord) Acceptation de l offre de contracter : le fameux «clic» sur une icône ou sur un «oui» ou un «j accepte». (qui se décompose comme suit) : Confirmer l accord au «cybervendeur», par «double clic» plus protecteur pour le consommateur. (puis le) Vendeur «doit accuser réception sans délai injustifié et par voie électronique de la commande qui lui a été ainsi adressée» ; (pour éventuellement) Passer la main à l organisme de crédit». On peut s interroger sur la solidité juridique du procédé et suggérer son remplacement par un mécanisme d authentification forte. Vu la réticence des internautes à la multiplicité des écrans, pourquoi ne pas 122 Paiements par carte par courrier ou téléphone («Mail Order/Telephone Order» - MO/TO) : en diminution sensible 109 millions de paiements par carte reçus par courrier ou par téléphone ; 2 % de la valeur des transactions nationales). 123 Pour 2008, il a été relevé un accroissement du taux de fraude pour les paiements par carte par courrier et téléphone : celui-ci était en effet de 0,280 % contre 0,201 % l année précédente. Pour la première fois en 2008, le taux de fraude national pour le canal MO/TO dépassait le taux de fraude sur Internet 124 Le code à usage unique sert au porteur à s authentifier comme le porteur légitime auprès du commerçant. Contrairement au canal Internet qui permet des vérifications informatiques, il peut être difficile d utiliser de tels codes pour les canaux MO/TO. Il conviendrait en effet d empêcher l utilisation abusive de ce code à usage unique, par exemple par un employé indélicat. 125 Article En vigueur depuis le 17 Juin Créé par Ordonnance art. 1 I, III JORF 17 juin Créé par Ordonnance n du 16 juin art. 1 () JORF 17 juin Pour que le contrat soit valablement conclu, le destinataire de l'offre doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, et de corriger d'éventuelles erreurs, avant de confirmer celle-ci pour exprimer son acceptation. L'auteur de l'offre doit accuser réception sans délai injustifié et par voie électronique de la commande qui lui a été ainsi adressée. La commande, la confirmation de l'acceptation de l'offre et l'accusé de réception sont considérés comme reçus lorsque les parties auxquelles ils sont adressés peuvent y avoir accès 126 Le processus de contractualisation en ligne. Eric Caprioli Lettre de la FNTC

37 Les leviers d usage dans la société de l économie numérique 37/ 140 s inspirer d une procédure «à la Paypal» qui, stockant l identifiant, déclencherait l acceptation de l usager par certificat d authentification ou de signature ; la procédure doit être simple et répondre aux exigences règlementaires La Directive Européenne sur les services de paiement 127 En vigueur depuis le 1 novembre 2009, la Directive sur les services de paiement 128 vise à créer un marché d opérateurs financiers, avec des contraintes moindres que les banques. Un texte qui ouvre la voie à de multiples acteurs comme les agences de voyages et opérateurs téléphoniques soucieux de gagner des parts de marché. Le texte propose plusieurs dispositifs de paiement en ligne pour une mise en confiance des parties, notamment l article 4 : 19) "authentification": la procédure permettant au prestataire de services de paiement de vérifier l'utilisation d'un instrument de paiement donné, y compris ses dispositifs de sécurité personnalisés; 21) "identifiant unique": la combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre l'identification certaine de l'autre utilisateur de services de paiement et/ou de son compte de paiement pour l'opération de paiement; 23) "instrument de paiement": tout dispositif personnalisé et/ou ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour initier un ordre de paiement; 24) "moyen de communication à distance": tout moyen qui peut être utilisé pour conclure un contrat de services de paiement sans la présence physique simultanée du prestataire de services de paiement et de l'utilisateur de services de paiement; Partant du concept de «dispositif de sécurité personnalisé 129», la Banque de France 130 recommande la mise en œuvre de «dispositifs d authentification non rejouables». Objectif : garantir le consentement de l acheteur et lutter contre la répudiation du paiement. Cinq mécanismes sont décrits, dont quatre portent sur un code à usage unique: Carte matricielle avec chemin secret : le code à usage unique est produit à partir de la saisie de codes obtenus sur la carte selon un chemin connu seulement de l utilisateur ; «Token» : le code à usage unique est généré par un algorithme placé dans un petit appareil électronique suite à une pression sur un bouton ; Code à usage unique reçu par SMS ; Mini lecteur de carte à puce : le code à usage unique s affiche sur l écran du lecteur après insertion de la carte bancaire du porteur et saisie de son code PIN. 127 Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE Texte présentant de l'intérêt pour l'eee 128 La directive sur les services de paiement (PSD) fournit le cadre juridique nécessaire à la mise en place d'un marché européen unique des paiements. Elle vise à instaurer un ensemble complet et détaillé de règles applicables à tous les services de paiement dans l'union européenne. Son but est de rendre les paiements transfrontaliers aussi aisés, efficaces et sûrs que les paiements effectués à l'intérieur d'un État membre. La directive vise également à renforcer la concurrence en ouvrant les marchés des paiements aux nouveaux venus, ce qui permet d'accroître l'efficacité et de réduire les coûts. Enfin, elle a pour objet de fournir la base juridique nécessaire à la création d'un espace unique de paiement en euros La Directive introduit la notion de «dispositif de sécurité personnalisé», qui peut prendre plusieurs formes. Dans le cadre d un paiement par carte au point de vente (terminal de paiement), le DSP sera la puce sur la carte. Pour un paiement par carte en ligne, le DSP peut prendre la forme d une authentification supplémentaire la BdF ayant en effet depuis 2007 décidé de promouvoir l authentification non rejouable (pour les paiements par carte et les opérations sensibles de banque en ligne). Entretien avec Alexandre Stervinou, Banque de France Novembre Observatoire de la sécurité des cartes de paiement de la Banque de France

38 Les leviers d usage dans la société de l économie numérique 38/ 140 Le code à usage unique par SMS est à l origine du procédé 3D Secure qui transfère la responsabilité du paiement de la banque du vendeur à celle de l acheteur. Vu la réticence des usagers français, il n est pas exclu que d autres mécanismes soient mis en œuvre pour éviter la répudiation de l achat (certificats?) Le cinquième dispositif d authentification non rejouable recommandé par la Banque de France consiste en une clé USB avec certificat électronique. L internaute la connecte à son ordinateur lors du paiement et valide son acceptation par code PIN. Comme le remarque le rapport de la Banque de France : «La clé USB, quant à elle, est perçue comme un objet à la fois familier et moderne. L habitude de sa manipulation dans la vie quotidienne engendre une appropriation immédiate par les internautes et une utilisation intuitive de l outil de sécurisation des transactions en ligne. De plus, elle est associée aux instruments de nouvelle technologie, comme la clé de communication 3G» De plus «Cet outil procure un sentiment de sécurisation fort, émanant d une part de l ensemble du dispositif (certificat électronique, caractère personnel de la clé USB) et, d autre part, de l entrée d un code PIN spécifique à la clé USB pour générer le code à usage unique utilisé lors du paiement sur Internet. Le fait que cet objet puisse être utilisé à la fois chez soi et en mobilité explique qu il soit le plus en conformité avec les pratiques de paiement en ligne des «vigilants». Considérant que la Banque de France 131 n exclut pas de nouveaux mécanismes de type 3D Secure, il peut être envisagé un procédé à base de certificat activé par code PIN pour attester le consentement de l'usager et rendre impossible la répudiation de son achat. 131 Entretien Mr Alexandre Stervinou, Banque de France. Eurosystème.

39 Les leviers d usage dans la société de l économie numérique 39/ Les jeux en ligne Contexte réglementaire Depuis le 12 mai 2010, cette activité est encadrée par la «Loi relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne 132». Chargée de veiller à son fonctionnement, l ARJEL 133 a rendu public le 18 mai dernier un «Dossier des Exigence Techniques» qui détaille les exigences attendues des opérateurs de façon à éviter les dérapages : blanchiment d argent, comme l accès aux mineurs et personnes «interdites de jeu» 134. Ne peuvent jouer en ligne les catégories d individus répertoriées par «l Arrêté du 8 novembre 2010 portant création au profit de la direction centrale de la police judiciaire d un fichier des courses et jeux», notamment : 1o Les personnes physiques exerçant ou ayant exercé une activité professionnelle en rapport avec les établissements de jeux et les champs de courses hippiques, les cynodromes et les terrains de pelote basque, et soumises à agrément, que ce dernier ait été accordé ou refusé ; 2o Les personnes morales dont l activité est liée directement ou indirectement aux établissements de jeux et aux champs de courses ou ayant des intérêts dans ces domaines ; 3o Les personnes physiques ayant des intérêts ou des responsabilités liés aux activités ou aux personnes morales mentionnées aux 1o et 2o ; 4o Les personnes faisant ou ayant fait l objet d une exclusion de salles de jeux ou de champs de courses. Autre préoccupation du régulateur, le «blanchiment» d argent 135, d où un formalisme d enrôlement strict. L internaute peut jouer «anonymement» pendant une durée maximale d un mois (reconductible une fois) après quoi il doit communiquer son état civil 136 : Identité (nom, nom marital, nom d emprunt officiel, prénoms, sexe) ; Surnoms, alias ; Photographie ; Date et lieu de naissance ; Filiation ; Nationalité ; Situation familiale, nom du conjoint ou du Concubin ; Adresses physiques, numéros de téléphone et adresses électroniques ; Professions ; Mandats électifs exercés dans la commune siège de l établissement (à l exclusion de toute mention relative aux opinions politiques) ; Si elles acceptent la transmission de telles informations : la situation patrimoniale et financière permettant de vérifier les conditions de ressources exigées Lors d un entretien avec l ARJEL 137, le secteur totalisait 1,2 millions de comptes pour 0,8 millions en attente de régularisation. Comme on prévoit 10 millions de joueurs en 2017, affiliés à 2,6 sites en moyenne (cf. Italie), ce secteur pourrait totaliser 26 millions de comptes. Du côté prestataires, on dénombre 44 sites 132 Loi n du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne Autorité de régulation des jeux en ligne Prévenir les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme 136 A réception du dossier complet le PMU envoie un code secret au titulaire par courrier à l adresse du compte PMU. A la saisie de ce code secret, le compte PMU sera alors définitivement ouvert. Avec un compte provisoire PMU, il est possible, sur le site pmu.fr : d'enregistrer ses paris sur Internet 7jours/7 et 24h/24 dans la limite des disponibilités techniques d'accès au service ; d'assurer le suivi de ses paris et de vérifier le crédit de ses gains ; de disposer d'informations utiles pour parier et parfois exclusives ; d'approvisionner son compte par carte bancaire, dans la limite de 750 (montant de l'approvisionnement initial à l'ouverture du compte compris). Il n'est pas possible de retirer ses gains et ses approvisionnements tant que le compte PMU n'est pas définitif. 137 Monsieur Epaulard, Directeur Général, Novembre 2010

40 Les leviers d usage dans la société de l économie numérique 40/ 140 pour 30 opérateurs, bien que plusieurs milliers des sites illégaux soient toujours accessibles 138, mais sans offrir les garanties de l Etat. Les encours ne sont pas négligeables : PMU et FDJ totalisant 22 milliards d euros par leurs filières traditionnelles (bureaux de tabac), il n est pas exclu qu une partie soit progressivement réaffectée au web 139. Autre chiffre clé, le «panier moyen» du joueur qui avoisine les 120 Euros mensuels! A ce stade, plusieurs constats s imposent : Risque d erreur de saisie d état civil, une opération souvent externalisée, donc une possibilité de non détection vis-à-vis du fichier des interdits. Dossiers incomplets, relevé d adresse non actualisé Montée en puissance du parc de smartphones, donc une possibilité d usurpation de comptes à authentification faible. L autorité de régulation rappelle que «l agrément ou son renouvellement est notamment conditionné à la démonstration par l entreprise de sa capacité technique, économique et financière à faire face durablement aux obligations attachées à son activité, à la sauvegarde de l ordre public, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, des nécessités de la sécurité publique et de la lutte contre le jeu excessif ou pathologique.selon l'article 21 de la Loi, l'agrément ou son renouvellement est notamment conditionné à la démonstration par l'entreprise de sa capacité technique, économique et financière à faire face durablement aux obligations attachées à son activité, à la sauvegarde de l'ordre public, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, des nécessités de la sécurité publique et de la lutte contre le jeu excessif ou pathologique.» 140. La reconduction de l agrément constitue un défi pour les opérateurs qui, à l échéance de 6 ans, devront confirmer leur vigilance. Aussi doit-on s interroger su les modalités d accès aux comptes à l avenir. Ainsi le PMU rappelle que «(il) se réserve la possibilité de demander à tout moment à un titulaire de compte. d'envoyer la photocopie recto-verso d'un document officiel en cours de validité comportant son nom patronymique et son prénom, sa date et son lieu de naissance ainsi que sa photographie (carte nationale d'identité, passeport, carte de résident...), et/ou un justificatif de son domicile. En cas de non réception de ce(s) document(s) dans un délai porté à la connaissance du titulaire du compte, il sera procédé à la fermeture du compte concerné. 141» Bien entendu, il est prématuré de recommander la mise en œuvre de certificats qui risque de freiner l attrait des joueurs ; par contre, l enrôlement en ligne devrait faciliter la conquête de nouveaux clients, en facilitant la communication de dossiers. La révision de la Loi fin 2011 constitue une opportunité pour simplifier les modalités d adhésion après la période d anonymat d un mois. Autre perspective d usage de certificats, l accès à un compte bancaire depuis le site de jeu, soit pour récupérer un gain, soit pour alimenter son compte. Comme pour les achats en ligne, les certificats offrent une alternative à Paypal et cartes de crédit pour des virements en ligne. 138 Alors que leur accès pourrait être bloqué par les FAI 139 A ce jour, les encours sont les suivants (source ARJEL): Sports en général : 350 Millions, hippisme : 220 Millions ; Poker : 2 Milliards 140 JORF n 0113 du 18 mai 2010 page 9165, texte n 29. Arrêté du 17 mai 2010 portant approbation du cahier des charges applicable aux opérateurs de jeux en ligne 141 PMU : Règlement des paris en ligne

41 Les leviers d usage dans la société de l économie numérique 41/ Les loisirs Vidéo On Demand (VOD) Bien que le marché de la VOD, notamment pour des films adultes, représente un chiffre d affaires conséquent, il est peu probable que les prestataires exigent des preuves d identité, voire de majorité pour les accès en ligne. En général, ces sites demandent la confirmation de l âge par simple clic, tout en mentionnant la nature des contenus. Preuve en est l Affaire Allopass citée par Me Caprioli dans une Lettre de la FNTC «Au nom de l'article du code pénal, la responsabilité des prestataires est souvent engagée. L'affaire Allopass témoigne-telle d'un assouplissement de la jurisprudence? (11/10/2005)». Comme le remarque l avocat «Un juge correctionnel vient d'acquitter le fournisseur d'une solution de paiement électronique, poursuivi pour avoir fourni sa solution à un site sur lequel un mineur a téléchargé, moyennant paiement, des vidéos pornographiques». Bien que poursuivi en justice par les parents du mineur, le site a réussi à dégager sa responsabilité grâce aux informations fournies préalablement au téléchargement de vidéos La location de voiture Identifié par le consortium FC², la location de véhicules constitue l exemple même d une dématérialisation de «bout en bout» 142. D autant plus que la 3 Directive Européenne 143 rend obligatoire, à l échéance du 19 Janvier 2013, la délivrance d un titre sécurisé qui, vu l engagement de l ANTS pour le protocole IAS, disposera de certificats d authentification et de signature permettant d identifier le locataire et signer le contrat à distance. Sur la base des volumes de locations annuelles, nous évaluons dans les paragraphes suivants le potentiel pour des certificats. Mais ce marché reste fort modeste, considérant que nombre de véhicules sont loués par des étrangers de passage en France et qu il n existe pas de standard d authentification en ligne. Le marché des véhicules urbains en location ouvre de nouvelles perspectives. Même si l identité «civile» ne devait pas être nécessairement requise, l authentification sur la base du nouveau permis de conduire (après Janvier 2013) constitue une piste prometteuse pour automatiser la prise en charge du véhicule : validité du permis et facturation du trajet. 2.8 Les greffes des tribunaux Dématérialisation des procédures administratives Les greffiers des tribunaux de commerce témoignent de la capacité de l administration à se réformer et proposer des démarches en ligne. Depuis 2077, il est possible de créer une entreprise sur le web, modifier ses statuts mais également de procéder à de multiples procédures comme l émission d injonctions de payer 144 vis-à-vis de tiers. Les greffiers visant à se positionner comme des acteurs de l e-procès et offrir une gamme de services aux entreprises Procédures mises à disposition des entreprises Le Greffier du Tribunal de Commerce est un officier public et ministériel dont le statut est défini par l'article L741-7 du Code de Commerce. Sous l autorité du Garde des Sceaux, il est délégataire de la puissance publique de l'etat pour l'exécution d actes à caractère authentique. Les fonctions proposées en ligne relèvent de l autorité de son ministère, notamment les modifications statutaires vis-à-vis du RCS :. Changement de gérant, Modification de capital, Transfert de siège, Adjonction d activité 142 Gestion des identités. Analyse des contextes juridique, socio-économique et sociétal. Cas location de voitures p.30. Consortium FC /126/EC Accessibles à partir d Infogreffe

42 Les leviers d usage dans la société de l économie numérique 42/ 140 Requêtes en injonction de payer Immatriculation d une société La procédure se décompose comme suit : Remplir le formulaire en ligne (identification du créancier, du débiteur, du mandataire s il existe et de l objet de la créance), Signer électroniquement la requête, Transmettre les pièces justificatives scannées (factures, mandat.), Payer en ligne par carte bancaire Les données communiquées en ligne sont déclaratives et non vérifiées, tout comme la copie de la CNI, donc une source de fraude et un potentiel pour des mécanismes d authentification forte de façon à repérer les personnes interdites de gestion ou agissant sous des identités multiples 145 ; en effets, les certificats d Infogreffe permettent de signer les données communiquées mais nullement d attester l identité d un internaute. 2.9 Les notaires Comme les greffiers des tribunaux de Commerce, les notaires sont des officiers publics qui opèrent en délégation de puissance publique sous l autorité du Garde des Sceaux ; d où la notion d acte authentique attaché à leur fonction 146. "Les notaires sont les officiers publics établis pour recevoir tous les actes et contrats auxquels les parties doivent ou veulent faire donner le caractère d'authenticité attaché aux actes de l'autorité publique" 147. Aussi l'acte reçu par notaire présente-t-il de nombreuses caractéristiques, qui fondent sa supériorité sur toute autre forme d acte juridique. Autre point fondamental, «l acte authentique a une force probante, qui confère un caractère incontestable aux faits énoncés et constatés par le notaire et vaut à l'acte authentique d'occuper la première place dans la hiérarchie des preuves établie par le Code Civil». Le notaire a donc l obligation de vérifier, à chaque opération, l état civil du demandeur, notamment la jouissance de ses capacités, lorsque l acte modifie son état civil (mariage) ou sert à transmettre un bien. Il n est donc pas envisagé de communiquer en ligne son état civil aux notaires. Par contre, ils sont intéressés à disposer d un espace sécurisé pour échanger des pièces avant la rédaction d un acte : vente, succession, partage. Sa mise en œuvre s inscrit dans une stratégie visant offrir une gamme de services dématérialisés et sécurisés aux particuliers : coffres-forts électroniques, espace notarial 148 et, notamment, la procédure REAL 149 permettant aux études de signer électroniquement des actes authentiques à distance. 145 Dans la mesure où la CNI n est pas obligatoire, ce dispositif n exclut nullement que des mandataires s attribuent l identité de personnes non détentrices d un titre d identité. Des contrôles de cohérence peuvent être réalisés sur la base d adresse comme d attributs complémentaires. 146 Ordonnance du 2 novembre 1945 : «Les notaires sont les officiers publics établis pour recevoir les actes et contrats auxquels les parties doivent ou veulent faire donner le caractère d authenticité attaché aux actes de l autorité publique, et pour assurer la date, en conserver le dépôt, en délivrer des grosses et expéditions.» 147 Idem. Article L'Espace notarial donne au client du notaire les moyens de suivre à tout moment le traitement de son dossier et d'y participer plus activement, sans avoir besoin de systématiquement téléphoner à son notaire ou de prendre rendez-vous avec lui. L'Espace notarial est un service développé par la Chambre interdépartementale des notaires de Paris. Il s'agit de permettre à un office notarial d'offrir à chacun de ses clients un espace confidentiel de travail en ligne au sein duquel des informations pourront être partagées et des projets échangés en toute sécurité. L'Espace notarial est un site Extranet, hébergé au sein du réseau professionnel IntraNotaires dans des conditions optimales de sécurisé et de disponibilité. Les notaires disposent au sein de leur étude des outils qui leur permettent de diffuser leur documentation en garantissant une confidentialité totale. Le notaire maîtrise la consultation des documents, en attribuant des droits d'accès à ses clients, à ses collaborateurs et autres parties prenantes à l'opération, ainsi qu'aux tiers appelés à travailler sur le dossier (banques, avocats, experts comptables ). Le système permet: d'accéder à tout moment aux éléments du dossier (procurations, déclarations, certificats techniques, documents administratifs, plans ) ; de suivre en temps réel l'évolution des projets d'actes successifs; de solliciter des modifications de leur texte; de communiquer des observations sur les propositions des autres intervenants; d'échanger toutes informations et fichiers; de fixer des niveaux d'accès aux informations en fonction de la qualité des intervenants. Ouvert en 2005, l'espace notarial est aujourd'hui un outil de travail utilisé quotidiennement par un grand nombre d'études La carte REAL permet au notaire d'agir plus rapidement en sa qualité d'officier public et de réduire d'autant la durée de traitement d'un dossier. REAL est une carte à puce qui permet à chaque notaire de France et à leurs collaborateurs habilités : d'avoir accès des bases de données professionnelles confidentielles, comme par exemple le Fichier central des dispositions de dernières volontés ; de sécuriser les échanges dématérialisés de la profession avec l'administration (notamment la Direction Générales des Impôts) et ses grands partenaires institutionnels (la Caisse des Dépôts et Consignations, les collectivités locales et territoriales,...). La carte REAL est délivrée par le Conseil supérieur du Notariat selon un protocole destiné à garantir l'exclusivité

43 Les leviers d usage dans la société de l économie numérique 43/ 140 Sachant que les notaires peuvent attester de l identité des quelques 15 millions de nos concitoyens 150 qui défilent chaque année dans leurs études, le Conseil Supérieur n exclut pas de se positionner comme prestataires IDéNUM. Mais aujourd hui la stratégie n est pas arrêtée quant au support et modèle financier Les huissiers de justice Avec les notaires et greffiers des tribunaux de commerce, l huissier de justice constitue une troisième profession libérale réglementée d officiers publics et ministériels agissant en délégation du Garde des Sceaux. Personnage central des contentieux, il détient le monopole pour signifier et exécuter les décisions des tribunaux. Une profession de clercs et employés qui produisent chaque année près de 11 millions d'actes. A la différence du notaire qui requiert auprès de la mairie de naissance la fiche d état civil d un client pour chaque acte authentique, l huissier se contente d une copie de CNI lors de l ouverture d un dossier ; donc des données déclaratives, sans vérification des pièces communiquées, donc pas question d authentification en ligne. Pourtant les huissiers, via l ADEC 151, sont en train de dématérialiser leurs procédures de contentieux ; il leur sera donc nécessaire d intégrer la signature électronique des contrats signés en ligne en cas de défaut de paiement La lettre recommandée électronique La lettre recommandée, longtemps monopole de la Poste, constitue un marché nouveau pour des acteurs qui enrichiront son offre : contenu de l envoi (la Poste peut transmettre des enveloppes vides), archivage à valeur probante et confirmation d identité des parties. En décembre dernier (2010), le Conseil d'etat 152 a exigé des décrets d'application relatifs à l ordonnance de 2005 légalisant le recommandé électronique, décision qui brise de facto le monopole de l'opérateur historique et ouvre le marché à la concurrence 153. Actuellement, les textes ne reconnaissent que la lettre recommandée "postale" (papier), la Poste étant le seul "tiers de confiance" officiellement reconnu 154. Bien que de multiples prestataires se positionnent, ils n'ont aujourd hui aucune valeur juridique en cas de litige. Paru le 2 février 2011, le Décret no entend préciser les modalités d application de l article du code civil qui autorise l envoi d une lettre recommandée relative à la conclusion ou à l exécution d un contrat par courrier électronique. Applicable à sa date de parution, ce décret est destiné aux opérateurs et utilisateurs d envois recommandés. Ce texte 155 précise les caractéristiques de la lettre recommandée par voie électronique : dispositions relatives au dépôt et à la distribution des envois 156 et obligations de l opérateur: avant tout envoi, l utilisateur devant être informé des caractéristiques de la lettre recommandée et connaître l identité du tiers chargé de son acheminement. de son utilisation. Elle constitue à l'heure actuelle un outil de signature électronique entre les notaires et les collaborateurs d'offices notariaux, garantissant leurs identités respectives et l'intégrité du contenu de leurs échanges. Dans un très proche avenir, elle permettra aux notaires de signer des actes établis sur support électronique en leur conférant l'authenticité attachée aux actes notariés, comme le prévoient la Loi du 13 mars 2000 (article 1317, al.2 du Code civil) et son décret d'application du 30 mars Chaque demande d Etat Civil est évaluée à 5 euros par les notaires 151 Association Droit Electronique et Communication Le recours auprès du Conseil d'etat avait été déposé par Document Channel, filiale de STS Group, leader européen des éditeurs de logiciels dans le domaine de la confiance numérique - certification électronique, délivrance et gestion de preuves formelles, vote électronique par correspondance, etc. "Cette décision permet de sortir du flou juridique qui régnait autour de la lettre recommandée électronique depuis l'ordonnance de 2005 et d'ouvrir la porte à des procédures légales, rapides et plus économiques pour tous les acteurs du marché", a souligné STS Group dans un communiqué. 153 "Nous attendons comme les autres opérateurs les dispositions de ce décret qui nous permettront d'être présent sur ce marché des formalités électroniques", a indiqué une porte-parole de la Poste à l'afp. 154 La Poste perd le monopole des recommandés électroniques. L'Expansion.com avec AFP Décret no du 2 février 2011 relatif à l envoi d une lettre recommandée par courrier électronique pour la conclusion ou l exécution d un contrat

44 Les leviers d usage dans la société de l économie numérique 44/ 140 Le texte détaille également les modalités relatives à l identification de l expéditeur, du destinataire ainsi que du prestataire qui assure, le cas échéant, la distribution du recommandé sous forme papier. Sont également fixées les mentions obligatoires que doit comporter la preuve de dépôt et de distribution. Dans le cas d un recommandé électronique imprimé sur papier, il est prévu une procédure pour mise en instance en cas d absence du destinataire. S il s agit d une distribution électronique, la procédure permet d accepter ou refuser l envoi pendant quinze jours. Enfin, le tiers chargé de l acheminement doit mettre à disposition de l utilisateur une adresse électronique et un dispositif lui permettant de déposer une réclamation. Ces décrets répondent aux exigences de l article du Code civil pour qui «le courrier électronique recommandé acquiert force probante lorsque le procédé utilisé pour l envoi d un courrier électronique recommandé répond à quatre exigences» : le procédé doit identifier le tiers qui achemine le courrier électronique recommandé ; le procédé doit désigner l expéditeur du courrier électronique recommandé ; le procédé doit garantir l identité du destinataire du courrier électronique recommandé ; le procédé doit établir si la lettre a été remise ou non au destinataire dudit courrier 157» Ainsi le décret requiert-il de la part de l expéditeur : Son nom et son prénom ou sa raison sociale ainsi que son adresse de courrier électronique et son adresse postale ; Le nom et le prénom ou la raison sociale du destinataire ainsi que son adresse postale ou de courrier électronique ; On remarquera que, faute de mécanismes à base de certificats, le Décret ignore l accusé de réception électronique. Le tiers chargé de l'acheminement du recommandé électronique doit conserver pendant un an ces informations, ainsi que le document original électronique et son empreinte informatique. L'expéditeur a accès, sur demande, au tiers chargé de l'acheminement, à ces informations ainsi qu'au recommandé électronique et son empreinte informatique pendant un délai d'un an. Lorsque l'expéditeur, avec l'accord du destinataire non professionnel, a demandé la distribution par voie électronique, le tiers chargé de l'acheminement informe le destinataire, par courrier électronique, qu'un recommandé va lui être envoyé et qu'il a la possibilité, pendant un délai de quinze jours à compter du lendemain de l'envoi de cette information, de l'accepter ou de la refuser. Le destinataire n'est pas informé de l'identité de l'expéditeur. On perçoit, à la lecture de ces lignes, le potentiel pour les opérateurs de certificats, de façon à confirmer l identité des parties tout comme les modalités de l envoi. Vu la nouveauté du décret d application, des opérateurs vont prochainement se positionner sur ce marché prometteur : la Poste totalisant 200 millions de CA à elle seule pour ses recommandés. Dans ce contexte concurrentiel, le service «Jedépose.com» des huissiers se positionne comme un nouvel acteur en mettant à la disposition des professionnels et particuliers un mécanisme de courrier électronique certifié (DepoMail) et de conservation (AuthentiDoc) qui bénéficie de la garantie de la profession 158. Permettant notamment d «identifier l'émetteur et de garantir l'identité du destinataire mais aussi d'établir que la lettre 157 Vademecum juridique de la dématérialisation des documents. Cabinet d Avocats Caprioli & Associés (Paris, Nice) Sous la direction de Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-Président de la FNTC. Collection Les Guides de la Confiance FNTC 3ème édition Ce service s'inscrit dans le nouvel édifice légal de la dématérialisation, issu de la loi du 13 mars 2000, de la loi pour la confiance dans l'économie numérique du 21 juin 2004 et de son ordonnance du 16 juin 2005 prise en application de l'article 26 de la LCEN ayant pour objectif d'adapter à l'environnement électronique les dispositions législatives subordonnant la conclusion, la validité ou les effets de certains contrats à des formalités et notamment les lettres recommandées. C'est surtout cette dernière ordonnance qui prévoit une section 3 intitulée «De l'envoi ou de la remise d'un écrit par électronique». Elle traite de l'équivalent électronique de l'envoi par lettre simple ou par lettre recommandée dans le cadre de la conclusion ou de l'exécution d'un contrat ainsi que de la remise d'un écrit sous forme électronique (site DépoMail)

45 Les leviers d usage dans la société de l économie numérique 45/ 140 a été effectivement remise à ce dernier, le cas échéant. En outre, lorsqu'un avis de réception accompagne la lettre, celui-ci peut être adressé à l'expéditeur par voie électronique ou par tout dispositif lui permettant de le conserver». Il n est pas exclu que d autres prestataires se positionnent, maintenant que le Décret 159 est paru. Mais la confirmation d identité des parties nécessitera d intégrer l offre d un opérateur CNIe ou IDéNUM de façon disposer d une solution cohérente, de bout en bout. Le recommandé électronique va connaître une concurrence importante, mais il est évident que les services ajoutés vont tirer le marché vers une offre plus complète et riche. Il est fort probable que la Poste «muscle» son offre, en introduisant une composante authentification, lors de l émission. La société Trustmission 160 a récemment communiqué sur une solution «certifiée par un huissier de justice». 159 Décret no du 2 février

46 Les leviers d usage dans la société de l économie numérique 46/ Les assurances e-assurance La souscription d assurances en ligne n est pas très développée dans la mesure où la majorité des contrats sont reconduits tacitement. Aussi les bénéficiaires ne sont-ils pas tentés, comme en Angleterre, de renégocier les primes à la date d anniversaire; d où une concurrence féroce chez nos voisins, mais des montants plus élevés, vu les coûts de conquête. Pour les assureurs, internet c est surtout un comparateur de prix bien plus qu une prise de contrats en ligne. Quelques 15 millions de cotations ont été établies en % santé, 70% assurance automobile 161 -, un marché dominé par le site Assurland.com (2,5 millions de visites mensuelles) 162. Comme pour la banque en ligne, certaines compagnies ont dématérialisé leur relation clientèle, notamment Direct Assurance d AXA qui traite exclusivement par téléphone et internet depuis Des offres «packagées» pour autos, muli-risques habitation (MRH), motos et santé 163. Même politique pour Amaguiz de Groupama, leader de l assurance low-cost. La concurrence sur les prix, comme le turnover des clients - 12% en MRH, 16% pour l auto - risque d accentuer la délivrance de contrats en ligne dans les années à venir. En progrès de 40 % l an, la souscription en ligne représente aujourd hui 100,000 contrats par an mais sans que l opération soit totalement dématérialisée ; la majorité nécessitant un contact conseiller. D après le Benchmark Group, le canal internet 164 seul représente seulement 5 % 165. En référence à l arrêt de la Cour de Cassation du 27 mai 2008, Me Caprioli 166 rappelle le caractère consensuel du contrat d assurance qui ne nécessite pas un écrit d un strict point de vue formel. Aussi les assureurs doivent-ils préconstituer les preuves de l engagement (du) client, «(notamment le) relevé d information du précédent assureur confirmant qu il n avait pas eu d accident». En effet, le rapport de confiance établi entre les parties au moment de la souscription pourra-t-il être caduc en cas de sinistre : «La fiabilité de la procédure de souscription est donc nécessaire et les sociétés d assurance réfléchissent aujourd hui à l ouverture de services de souscription en ligne pour des prestations plus engageantes : les assurances portant sur la vie. Il n est pas exclu que pour des raisons de sécurité juridique et technique, elles aient recours à des moyens et des prestations de signatures électroniques (comme des certificats éphémères par exemple), fournis par des prestataires de services de certification électronique 167». Aujourd hui l assurance a entamé une réflexion de dématérialisation pour répondre à la nouvelle génération férue d internet ; des pistes variées sont explorées : transmission de documents, actualisation d état civil, communication de preuves Source : Assurland. Publié le 17/06/ Avec de très bonnes perspectives de croissance et un poids déjà significatif pour plusieurs acteurs de l assurance (parfois plus de 10 % du chiffre d affaires), Internet tient aujourd'hui un rôle important dans les stratégies de commercialisation. Qu'il s'agisse de solutions de devis, de souscription en ligne ou d'outils web au service du réseau, tous les acteurs intègrent désormais ce canal pour assurer le développement commercial de leurs offres Direct Assurance est une société du Groupe AXA, fondée en Pionnière de l'assurance en direct par téléphone et par Internet, Direct Assurance est devenue rapidement le numéro 1 français de l'assurance automobile en direct ainsi que le leader français de l'assurance sur Internet 164 L offre en ligne existe - véhicules (85 %), logements (78 %) 165 Etude portant sur 35 sites français et 15 européens Vademecum juridique de la dématérialisation des documents. Cabinet d Avocats Caprioli & Associés (Paris, Nice) Sous la direction de Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-Président de la FNTC. Collection Les Guides de la Confiance FNTC 3ème édition Idem 168 Entretien François Rosier FFSA 17 Janvier 2011

47 Les leviers d usage dans la société de l économie numérique 47/ Nécessité d authentification forte Le contrat d assurance porte sur des données déclaratives patronyme, date de naissance, type de véhicule. le prestataire pouvant se désengager en cas de sinistre, si les données s avèrent erronées. La majorité des contrats Responsabilité civile, auto, moto n appliquent donc pas de contrôle d identité. A la différence de la banque dont le titulaire de compte possède une jouissance quotidienne, l assureur couvre un risque, en espérant qu il ne se concrétise pas. Si l on considère la croissance de souscriptions sur le web, on ne peut exclure 169 l usage prochain de certificats ; notamment lorsque la prise d effet est immédiate, comme la conduite d un véhicule. Les produits financiers - assurances-vie (14,5 millions de contrats, progression annuelle 10%, assurances crédits (3,7 millions /an), PERP (62,000 contrats / an) restent majoritairement signés en présence de conseillers d agences ; multiples options étant proposées en fonction de l âge, revenus et situation familiale. On ne peut donc considérer ce secteur comme représentatif de l authentification forte, d autant que le souscripteur n a pas jouissance immédiate de son épargne. Pourtant, on ne peut exclure que le web offre prochainement des produits financiers packagés, comme c est le cas au Royaume Uni, pour diminuer les coûts de gestion. Ainsi, Predica, filiale du Crédit Agricole et LCL, propose ses assurances-vie en ligne. La souscription met en œuvre l'envoi d'un code à usage unique par SMS ou propose l'installation d'un certificat électronique. Par contre, les frais de souscription ne sont pas réduits ; il est donc urgent que la banque revoie sa stratégie si elle veut dynamiser ce canal de vente Loi Chatel Votée par le Parlement le 20 décembre 2007, la loi «pour le développement de la concurrence au service des consommateurs» ou Loi Chatel vise à faire baisser les prix entre prestataires de services en favorisant les conditions de sorties de ces contrats 170. Ainsi, l article L prévoit: que "Le professionnel prestataire de services informe le consommateur par écrit, au plus tôt trois mois et au plus tard un mois avant le terme de la période autorisant le rejet de la reconduction, de la possibilité de ne pas reconduire le contrat qu'il a conclu avec une clause de reconduction tacite. 171 Dans la mesure où l avis d échéance s accompagne d une demande de règlement, l assuré devrait pouvoir procéder à un virement sans plus utiliser chèques ou TIPs. La procédure mettant en œuvre des certificats reste à définir : accès au compte client sur le site de l assureur, authentification à l ebanking, génération de l IBAN du bénéficiaire et signature du consentement. 169 Comme mentionné par le Vademecum de la FNTC 170 Loi n du 28 janvier 2005 tendant à conforter la confiance et la protection du consommateur (1). Titre 1 er : Faciliter la résiliation des contrats tacitement reconductibles. 171 Article L Créé par Loi n du 28 janvier art. 2 JORF 1er février 2005 en vigueur le 28 juillet 2005 Pour les contrats à tacite reconduction couvrant les personnes physiques en dehors de leurs activités professionnelles, la date limite d'exercice par l'assuré du droit à dénonciation du contrat doit être rappelée avec chaque avis d'échéance annuelle de prime ou de cotisation. Lorsque cet avis lui est adressé moins de quinze jours avant cette date, ou lorsqu'il lui est adressé après cette date, l'assuré est informé avec cet avis qu'il dispose d'un délai de vingt jours suivant la date d'envoi de cet avis pour dénoncer la reconduction du contrat. Dans ce cas, le délai de dénonciation court à partir de la date figurant sur le cachet de la poste. Lorsque cette information ne lui a pas été adressée conformément aux dispositions du premier alinéa, l'assuré peut mettre un terme au contrat, sans pénalités, à tout moment à compter de la date de reconduction en envoyant une lettre recommandée à l'assureur. La résiliation prend effet le lendemain de la date figurant sur le cachet de la poste. L'assuré est tenu au paiement de la partie de prime ou de cotisation correspondant à la période pendant laquelle le risque a couru, période calculée jusqu'à la date d'effet de la résiliation. Le cas échéant, l'assureur doit rembourser à l'assuré, dans un délai de trente jours à compter de la date d'effet de la résiliation, la partie de prime ou de cotisation correspondant à la période pendant laquelle le risque n'a pas couru, période calculée à compter de ladite date d'effet. A défaut de remboursement dans ces conditions, les sommes dues sont productives d'intérêts au taux légal. Les dispositions du présent article ne sont applicables ni aux assurances sur la vie ni aux contrats de groupe et autres opérations collectives.

48 Les leviers d usage dans la société de l économie numérique 48/ Le vote électronique Le cadre règlementaire La loi sur la Confiance en l Economie Numérique 172 de 2004 autorise les entreprises à recourir au vote électronique 173 pour les élections de délégués 174, un pas franchi par quelques grosses sociétés 175. Le gain de productivité est considérable 176 : équipements réduits, comptage automatisé, PV.. Pour ce faire, la direction signe un accord d entreprise qui intègre le cahier des charges du système. 177 L unicité du vote est attestée par confirmation électronique, le salarié ne pouvant se prononcer qu une fois. Le décret n du 25 avril 2007 détaille les modalités de mise en œuvre du vote électronique pour les délégués du personnel et comités d'entreprise : confidentialité des données, sécurité d'authentification, d'émargement, d'enregistrement et du dépouillement 178. Considérant les risques de pression, le vote à distance est possible, d où une nécessité d authentification forte. Vu la faible représentation syndicale, ces élections ne constituent pas un marché significatif. Par contre, les prud hommes représentent un enjeu important, considérant l éloignement des bureaux de vote par rapport au lieu de travail et les taux d abstention ; vingt millions d électeurs devant se prononcer tous les 4 ans pour élire plus de 200 collèges. Le vote électronique n est pas uniquement possible dans le champ des élections professionnelles, il peut également être mis en œuvre pour des scrutins de français résidants à l'étranger 179. Le vote électronique répond à une double problématique : authentification des personnes mais surtout garantie d anonymat comme le rappelle la CNIL Le dispositif doit garantir que l identité de l électeur ne peut pas être mise en relation avec l expression de son vote, et cela à tout moment du processus de vote, y compris après le dépouillement (Délibération n ) 180. Ainsi la CNIL prend-elle parti pour des mécanismes d authentification forte de façon à garantir la légitimité du scrutin et l anonymat des décisions : Le système de vote doit prévoir l authentification des personnes autorisées à accéder au système pour exprimer leur vote. Il doit garantir la confidentialité des moyens fournis à l électeur pour cet accès et prendre toutes précautions utiles afin d éviter qu une personne non autorisée ne puisse se substituer frauduleusement à l électeur. La Commission estime qu une authentification de l'électeur sur la base d'un certificat électronique constitue la solution la plus satisfaisante en l'état de la technique. Le certificat électronique doit être choisi et utilisé conformément aux préconisations du RGS Loi n du 21 juin 2004 pour la confiance dans l'économie numérique (1) L'article 54 de la LCEN modifie les articles L et L du Code du Travail en stipulant que les élections professionnelles peuvent s effectuer par voie électronique. 174 Les élections professionnelles en entreprise concernent l élection des délégués du personnel dans les entreprises de plus de 10 salariés, et des membres du comité d entreprise à partir de 50 salariés. 175 la SNCF, le Crédit Agricole ou Siemens (annexe 2). Certaines branches professionnelles ont même signé des accords dans ce sens, preuve de la fiabilité du vote électronique par Internet 176 Il permet de réduire le matériel engagé et donc le coût global des élections (de 30 à 70% par rapport au vote par correspondance). 177 Art. L et L du code du travail 178 Les fichiers comportant les éléments d'authentification des électeurs, les clés de chiffrement et de déchiffrement et le contenu de l'urne ne doivent être accessibles qu'aux personnes chargées de la gestion et de la maintenance du système. Le système de vote électronique doit pouvoir être scellé à l'ouverture et à la clôture du scrutin. Les données relatives aux électeurs inscrits sur les listes électorales ainsi que celles relatives à leur vote sont traitées par des systèmes informatiques distincts, dédiés et isolés, respectivement dénommés "fichier des électeurs" et "contenu de l'urne électronique". Vademecum juridique de la dématérialisation des documents. Cabinet d Avocats Caprioli & Associés (Paris, Nice) Sous la direction de Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-Président de la FNTC. Collection Les Guides de la Confiance FNTC 3ème édition en 2009, pour la première fois, la possibilité de recourir au vote électronique pour une élection nationale, au suffrage universel direct, a été introduite par l ordonnance n du 29 juillet 2009 relative à l'élection de députés par les Français établis hors de France

49 Les leviers d usage dans la société de l économie numérique 49/ Le vote électronique au sein des ordres professionnels Dans une lettre de la FNTC 182, Me Caprioli mentionne les possibilités de vote électronique pour les ordres professionnels à travers l exemple des avocats. Ainsi rappelle-t-il que «Le décret n du 28 octobre 2002 qui institue le vote à distance par voie électronique pour l élection des membres du Conseil national des barreaux est-il venu modifier le décret n du 27 novembre 1991 organisant la profession d avocat. Ainsi, aux termes de l article 28 alinéa 3 «les électeurs peuvent voter à distance par voie électronique lorsque l ordre dont ils relèvent a adopté les mesures techniques nécessaires. Dans cette hypothèse, quinze jours au moins avant la date du scrutin, l ordre porte à la connaissance de ses membres disposant du droit de vote, les modalités pratiques du scrutin et leur adresse un code personnel et confidentiel» Un secteur significatif dans la mesure où les ordres professionnels ont un souci de représentation forte. Le document d identité flanqué d un certificat possèdera une valeur probante à moins que les cartes professionnelles ne possèdent également cette fonction Le vote électronique dans les sociétés cotées A l exception de quelques rares entreprises comme France Télécom, Danone ou BNP Paribas, très peu de sociétés cotées proposent de voter par Internet lors des assemblées générales, bien que le procédé soit autorisé depuis 2001 : «les deux tiers des actionnaires ne reçoivent pas le formulaire de vote, l envoi coûteux d un courrier papier par la Poste est souvent réservé de fait aux actionnaires inscrits au nominatif ou détenant un grand nombre de voix» 183. C est pourtant une demande des petits porteurs notamment Colette Neuville présidente de l Adam comme des jeunes, salariés, provinciaux, retraités, étrangers, et même gérants 184 qui souhaitent participer davantage 185 aux activités des entreprises. De plus «le vote électronique offrira une traçabilité, l assurance que le vote a été pris en compte. Tout sera vérifiable, il n y aura plus de problème de preuve. Alors qu il est déjà arrivé plusieurs fois qu un actionnaire détenant par exemple 4% des voix et votant contre une résolution constate que celle-ci a été adoptée à 98%! Les mémoires du système informatique central conserveront tout pendant trois ans, et au-delà si une contestation est engagée» Les solutions proposées Le vote électronique est encadré par l article L du Code du Commerce qui, comme le remarque Me Caprioli 187, dispose que «tout actionnaire peut voter par correspondance, au moyen d un formulaire dont les mentions sont fixées par décret en Conseil d Etat». De plus, «si les statuts le prévoient, sont réputés présents pour le calcul du quorum et de la majorité les actionnaires qui participent à l assemblée par visioconférence ou par des moyens de télécommunication permettant leur identification et dont la nature et les conditions d application sont déterminées par décret en Conseil d Etat». Un vote qui peut s opérer, soit par voie postale, soit par voie électronique pour faciliter la participation du plus grand nombre 188. De plus Me Caprioli rappelle, sur la base du nouvel article R du Code de commerce, que «les sociétés qui entendent recourir à la télécommunication électronique en lieu et place d un envoi postal pour satisfaire aux formalités prévues aux articles R , R , R , R et R recueillent au préalable par écrit l accord des actionnaires intéressés qui indiquent leur adresse électronique. Ces derniers peuvent à tout moment demander expressément à la société par lettre recommandée avec demande d avis de réception que le moyen de télécommunication 182 Idem 183 Pierre-Henri Leroy, président du cabinet conseil aux investisseurs Proxinvest 184 Les gérants se déplacent rarement. En 2008, un tiers seulement des sociétés de gestion auraient été physiquement présentes à au moins une assemblée. 185 Bien que 90 % des sociétés de gestion françaises participent aux AG peu de gérants se déplacent. En effet, «Le vote par correspondance est la forme prédominante de participation aux assemblées d'émetteurs français, à hauteur de 75 %», précise la dernière enquête de l'afg sur ce sujet 186 Colette Neuville ADAM, 187 Vademecum juridique de la dématérialisation des documents. Cabinet d Avocats Caprioli & Associés (Paris, Nice) Sous la direction de Eric A. Caprioli, Avocat à la Cour, Directeur en droit, Vice-Président de la FNTC. Collection Les Guides de la Confiance FNTC 3ème édition C est également l objectif de la Directive 2007/36/CE du Parlement européen et du Conseil du 11 juillet 2007 concernant l'exercice de certains droits des actionnaires de sociétés cotées. «La présente directive fixe des normes d'exigence minimale afin de faciliter l'exercice des droits des actionnaires dans les assemblées générales des sociétés cotées, notamment sur une base transfrontalière. Elle vise également à prendre en compte les possibilités que représentent les technologies modernes. En matière d'informations à communiquer préalablement à l'assemblée générale, les sociétés doivent: envoyer la convocation au plus tard le vingt et unième jour précédant l'assemblée générale; inclure dans la convocation les informations essentielles (date, lieu de l'assemblée générale, projet d'ordre du jour, description des procédures de participation et de vote, etc.); publier sur le site Internet de la société la convocation, le texte complet des projets de résolution et les informations pratiques essentielles (nombre total d'actions et de droits de vote, documents destinés à être présentés, ou commentaire pour chaque point à l'ordre du jour, éventuellement formulaires de vote).

50 Les leviers d usage dans la société de l économie numérique 50/ 140 susmentionné soit remplacé à l avenir par un envoi postal 189. Ainsi la société doit-elle créer un site 190 pour que les actionnaires puissent confirmer leur intention par écrit et communiquer leur adresse électronique. 191 Au final, l exercice du droit de vote électronique nécessite l identification par un code «fourni préalablement à la séance». A ce jour, l ANSA 192 précise qu elle ne saurait recommander le vote électronique à distance en raison des précautions techniques qu il conviendrait de mettre en œuvre : les solutions techniques seraient-elles insuffisantes au regard des perspectives ouvertes par le Décret du 3 mai 2002? Cette absence de dynamisme découle du manque d outils disponibles, bien que les certificats aient été envisagés comme une alternative aux traditionnels identifiants / mots de passe, sources de contestation en cas de litige. C est pourquoi, Jean-Paul Valuet, président de l ANSA a transmis à la Chancellerie et au Trésor une demande de modification des textes, car seul un système simple pourra être utilisé par les actionnaires. Marcel Roncin, président de l Association française des professionnels des titres (AFTI), prépare activement la mise en place du vote par le Web en Un appel d offres étant attendu (Février 2011) sous l égide de l ANSA et du CFONB 193. Le décret n du 23 juin 2010 qui vise à améliorer l'exercice du droit des actionnaires de sociétés cotées s'applique désormais aux assemblées générales tenues à compter du 1er octobre 2010 (article 9 du décret n ). Pendant une durée ininterrompue commençant au plus tard le vingt et unième jour précédant l'ag, ces sociétés auront l'obligation, en application de l'article R du Code de commerce, de publier sur leur site internet les informations et documents suivants : L'avis de réunion, Le nombre total de droits de vote existant et le nombre d'actions composant le capital de la société à la date de publication de cet avis, en précisant, le cas échéant, le nombre d'actions et de droits de vote existant à cette date pour chaque catégorie d'actions, Les documents que les actionnaires ont le droit de consulter avant l'assemblée, Le texte des projets de résolution qui seront présentés à l'assemblée par le conseil d'administration ou le directoire, Les formulaires de vote par correspondance et de vote par procuration ou le document unique de vote par procuration et de vote à distance, la société pouvant toutefois se dispenser de publier ces formulaires si elle les adresse à tous ses actionnaires. La Commission de Bruxelles s était également emparée du dossier dans une Communication de 2003 intitulée «Modernisation du droit des sociétés et renforcement du gouvernement d'entreprise dans l'union européenne, notamment pour renforcer le droit des actionnaires des sociétés cotées et régler le problème du vote transfrontalier 194. On réalise les gains de productivité et la sécurité des procédures par certificats électroniques ; l activation du PIN permettant d accéder à un compte d actionnaire et ainsi cocher les résolutions ; la signature pouvant être opposable en cas de contestation. L unification de procédures transfrontières permettant à l avenir de se prononcer pour des votes hors du pays de résidence. 189 Idem 190 Article 119. Créé par Décret n du 3 mai art. 20 JORF 5 mai 2002 Abrogé par Décret n du 25 mars art. 3 (V) JORF 27 mars Les sociétés dont les statuts permettent aux actionnaires de voter aux assemblées par des moyens électroniques de télécommunication doivent aménager un site exclusivement consacré à ces fins. 191 La convocation à l AG et un «formulaire électronique de vote à distance» lui sont alors envoyés. L actionnaire doit retourner le formulaire dûment signé au plus tard à quinze heures la veille du jour de la tenue de l assemblée. 192 L'Association Nationale des Sociétés par Actions Le choix du prestataire de services devrait être arrêté au cours de l année Un plan pour avancer» [COM(2003) 284 final]. La directive 2004/109/CE a permis d'apporter des éléments de réponse quant aux informations que les émetteurs doivent divulguer au marché. La présente directive vise à renforcer la protection des investisseurs en facilitant leur accès à l'information et l'exercice de leurs droits, notamment sur une base transfrontalière.

51 Les leviers d usage dans la société de l économie numérique 51/ FOURNITURE D IDENTITE ET INTERMEDIATION 3.1 Cercles de confiance L identité d un individu repose sur autant de profils qu il exerce de relations avec des tiers. Il est tour à tour citoyen, acheteur en ligne, joueur de tennis, boursicoteur, assuré social ou gérant de PME. On ne peut parler d attributs génériques dans la mesure où l anonymat régit le net, l internaute faisant valoir telle ou telle donnée en fonction du prestataire en ligne. La notion de cercle de confiance est partie d un souci de fédérer les attributs chez de multiples acteurs avec qui l individu entretient des relations sociales, commerciales, voire administratives. Ainsi l attribut «adresse» peut-il être détenu de façon privilégiée par le prestataire «Poste», qui, de plus, sera en mesure de l actualiser en fonction de changements de domicile, alors que rien n oblige sa mise à jour dans l état civil, comme c est le cas dans certains pays 195. Bien entendu, aucune consolidation des attributs 196 n existe ; leur communication entre prestataires se faisant sous contrôle exclusif de l ayant droit. Ainsi «l adresse» peut-elle être transmise à des sites d ecommerce pour livraison. Pareillement, l attribut «date de naissance» n intéresse que quelques fournisseurs, soit pour détecter des doublons patronymes identiques dans la même localité ou réserver l accès aux adultes (jeux en ligne, notamment) ; mais, dans ce dernier cas, un critère de majorité suffit. On peut même s interroger sur la pertinence de la date de naissance dans les échanges sur le web, une fois garantie l identité de l internaute? L approche SAML est bien adaptée à une gestion décentralisée des attributs de façon à préserver la vie privée. Les requêtes sont transmises par les détenteurs de données, mais sur demande explicite de l usager. Un cercle de confiance se compose ainsi d attributs contextuels adresse, NIS. autour d un noyau central représenté par l état civil, patronyme, date de naissance. L étude de l Université Paris Dauphine 197 réalisée fin 2004 auprès de 1300 internautes fournit des informations précieuses quant à la transmission de données et les usages en matière d anonymat. «Si certains sont prêts à mentir pour obtenir ce qu ils souhaitent (14% des internautes interrogés le font souvent voire systématiquement), d autres cherchent à conserver une part de secret, en omettant par exemple les champs facultatifs. Une autre solution consiste à recourir à un pseudo. La moitié des répondants préfèrent ainsi l utiliser plutôt que de fournir leur «véritable identité 198». Fort répandu de nos jours sur la toile, le «pseudo» constitue une seconde et «véritable identité numérique», qui tend à surpasser l identité «réelle». 195 C est le cas de la Belgique, notamment. Aucune prestation sociale n est possible si l adresse du bénéficiaire n est pas actualisée 196 Les membres du consortium FC² rappellent l attachement de la CNIL à préserver la pluralité des identifiants -en général- en fonction des besoins sectoriels, plutôt qu une identité numérique unique» [Rencontre avec la CNIL du 26 février 2008] 197 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective). 198 Idem

52 Les leviers d usage dans la société de l économie numérique 52/ 140 Le «pseudo» constitue la seconde identité des internautes. Dans l étude de Paris Dauphine, plus de 80% des personnes interrogées confirment en faire un usage régulier Dans la majorité des cas, l internaute, qui avance masqué, exige des garanties avant de divulguer ses données personnelles. Des offres promotionnelles peuvent favoriser la communication mais, dans une majorité de cas, «les récompenses monétaires sous forme de cadeaux ou d argent sont globalement peu plébiscitées, voire carrément stigmatisées. Pour une grande majorité d internautes en effet, le fait d être payé ne les inciterait pas à donner davantage d informations 199». Numéros de cartes de crédits et coordonnées téléphoniques sont considérés comme des informations sensibles d où la relative stagnation de 3D Secure, qui nécessite d envoyer un numéro de portable à son banquier alors que le mail pseudo dérivé du prénom est facilement transmis. Contrairement à l usage Outre- Atlantique, où les internautes troquent des informations d ordre privées contre des avantages financiers, le français se montre réfractaire à la marchandisation de données personnelles (Etude Paris Dauphine 2004) L étude de Dauphine, qui répartit les d internautes en quatre classes, met le doigt sur un point fondamental : le CSP+, identifié par le CREDOC 200 comme un «pro» du web, appartient à la catégorie des «désintéressés», particulièrement avares de leurs données. Plus on est éduqué, moins on communique d informations 201. Les trois autres classes témoignent d une gradation du niveau de données sensibles communiquées sur la toile : 199 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective). 200 Etude CREDOC 2009 les Français et les technologies de l information. 201 Les Désintéressés partager leurs informations.. si cela ne les implique pas de façon trop importante. Peu friands des avantages.. en échange de données, demandeurs de sécurité et de confidentialité. Contre toute marchandisation de leurs données personnelles, refusant catégoriquement de remplir un formulaire contre une rétribution sonnante et trébuchante. Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective).

53 Les leviers d usage dans la société de l économie numérique 53/ 140 Les Réticents donnent les notes les plus faibles à tous les avantages. offerts. Comportement systématique d évitement.. Position de principe.ne pas délivrer d information, quelle que soit la contrepartie proposée. Les Négociateurs.position de donnant-donnant...délivrer des informations en contrepartie d avantages : meilleur prix, un cadeau, une meilleure personnalisation..pas systématiquement leurs données personnelles mais pris conscience.. qu elles représentent une valeur d échange,. Les Bienveillants délivrent facilement des données personnelles, quelles que soient les circonstances, à condition qu ils obtiennent des garanties en termes de confidentialité et de sécurité. Ils se distinguent aussi par le fait de voir dans la fourniture d informations personnelles un bénéfice hédonique : en répondant, ils ont ainsi le sentiment d être utiles, voire de rendre service.. Ainsi les «Bienveillants» - niveau d étude inférieur à Bac+2 -, sont-ils les plus généreux vis-à-vis des sites en ligne. Ils sont la cible de malveillance, témoins les tentatives de phishing visant à soutirer des informations confidentielles concernant les comptes bancaires et cartes de crédit. L étude de Paris Dauphine corrobore le baromètre CDC- ACSEL sur la réticence à communiquer des données. Les assidus de la toile sont les plus avertis en matière de transmission d informations sensibles.

54 Les leviers d usage dans la société de l économie numérique 54/ Les fournisseurs d identité L identité régalienne La Carte Nationale d Identité Electronique Bien qu elle ait été initiée peu après les années 2000, la Carte d Identité Electronique est mentionnée par Eric Besson, alors le Secrétaire d Etat à l Economie Numérique, dans son Rapport France Numérique 2012, notamment l Action n 76 : la Carte Nationale d Identité Electronique «contribue à refonder le lien entre l État et le citoyen. Internet peut ainsi davantage faciliter la participation directe des citoyens aux processus décisionnels publics, via notamment l organisation de consultations à grande échelle. Internet peut permettre la mobilisation d un nombre important de personnes, à travers un système de pétition en ligne, respectueux de la loi informatique et libertés.» La CNIe constitue donc l un des chantiers de l Etat qui vise à «Déployer à partir de 2009, la carte nationale d identité électronique, sur la base d un standard de signature électronique fortement sécurisé, pour atteindre, à terme, un objectif de 100 % de citoyens titulaires d une carte nationale d identité électronique» Cette carte constitue le versant hexagonal du projet franco-allemand IAS (Identification Authentification Signature) ECC référencé comme CEN/TS , Identification card systems - European Citizen Card 202 par le Comité Européen de Normalisation. Contrairement aux pays qui ne proposent que le volant identitaire, cette initiative répond aux exigences d authentification de services en ligne par une segmentation du titre en deux parties : «voyage» et «eservices» ; d où l activation optionnelle de certificats authentification, et signature délivrés en mairie aux ayants droits. Grâce à cette carte délivrée en face à face - et gratuitement -, l Etat se positionne comme un acteur fort de l économie numérique, capable de proposer une réponse juridique aux services en ligne : authentification par activation du PIN et signature de documents à force probante, grâce à un lecteur USB connecté au PC de l internaute. A la différence des multiples identités «sectorielles» ou «contextuelles» la CNI se présente comme le vecteur d une «d identification générale, comme le précise le rapport Truche 203 : Elle est délivrée par l État ; Elle vise des fins d identification générale et non des usages spécifiques (comme le permis de conduire ou le passeport) ; Le passeport Bien que le passeport dans sa nouvelle version constitue un document hautement sécurisé, il ne peut être utilisé pour des accès en ligne par activation de certificats. Réalisé dans un mode «sans contact» pour un contrôle frontière, il n a pas vocation à être «lu» par l usager, bien qu il soit considéré comme une carte d identité universelle. Le permis de résident Le permis de résident ou carte de séjour - répond à une demande de la Commission Européenne qui vise à réglementer les modalités d installation d étrangers dans les pays de l Union. Carte d identité pour non-natifs de l Union, elle intègre des fonctions IAS similaires à la CNIe. Donc une possibilité de 202 CEN/TS Identification card systems - European Citizen Card Part 1: Physical, electrical and transport protocol characteristics. CEN/TS Identification card systems - European Citizen Card Part 2: Logical data structures and card services. CEN/TS Identification card systems - European Citizen Card Part 3: European Citizen Card Interoperability using an application interface. 1st consultation approved in Oct. 2008, TC approval planned for the end of CEN/TS Identification card systems - European Citizen Card Part 4: Recommendations for ECC issuance, operation and use Ongoing work within preliminary work item (no deadline) 203 Rapport Truche ; Administration électronique et protection des données personnelles. Paris Le titre de séjour est la reconnaissance par l'administration au droit de rester temporairement dans un pays. Pour prouver ce droit, on délivre une «carte de séjour». Une carte de séjour est un document officiel délivré sous certaines conditions par l'administration de certains pays. La carte de séjour documente le droit à la résidence (généralement temporaire, parfois renouvelable) d'un ressortissant étranger. Elle peut également servir ou tenir lieu d'autorisation de travail dans certains pays. En cas de séjour prolongé (plusieurs années), on demande alors un titre de résident.

55 Les leviers d usage dans la société de l économie numérique 55/ 140 s authentifier et signer en ligne, au même titre que le citoyen français : comptes bancaires, jeux, demande de prêts, services de l état. Le permis de conduire Censé être délivré à dater du 19 Janvier 2013, le nouveau permis de conduire répond aux exigences de la troisième Directive (2006/126/EC) qui recommande l usage d une puce électronique. La norme ISO , poussée par de nombreux pays aux registres d Etat civil défaillants, en fait quasiment un «clone» de la CNIe. Les fonctions accessibles en «contact et sans contact» permettent d intégrer des certificats d authentification et de signature de façon à faciliter les démarches en ligne : demande de carte grise, location de véhicules L initiative IDéNUM Historique Lancé par la Secrétaire d Etat à l Economie Numérique le 1 Février , l initiative IDéNUM vise à labéliser des fournisseurs d identité en provenance du secteur privé 207 sur la base d un cahier des charges 208 dérivé du Référentiel Général de Sécurité 209. "Le produit IDéNUM se présente sous la forme d un dispositif physique sécurisé dans lequel se trouvent des «éléments propres» à son propriétaire, que ce dernier peut déverrouiller, par un code PIN. Ces «éléments propres» sont deux bi-clés cryptographiques l une dédiée à l authentification, l autre à la signature électronique pour lesquelles chaque clé publique a été certifiée 210. Ce programme propose aux cybercitoyens de prouver leur identité en ligne mais également de signer des documents ou transactions en recourant aux mécanismes cryptographiques asymétriques des certificats ; une initiative qui pourra être conduite en parallèle à la délivrance de CNIe, dont il peut constituer une extension. En effet, les certificats IDéNUM ne seront délivrés qu après contrôle d un titre d identité en cours de validité. Spécifications techniques Sur la base du RGS 211, le programme IDéNUM vise un haut niveau de sécurité 212 mais surtout l interopérabilité entre services ; condition fondamentale pour familiariser les internautes avec des accès sécurisés en ligne 213. Notamment les exigences du RGS version 1.0 telles que spécifiées dans les annexes [RGS_A_8] et [RGS_A_7] : Politique de Certification Type «Signature électronique» 214, niveau de sécurité trois étoiles (***) pour des certificats électroniques de type «particulier» de signatures. Politique de Certification Type «Authentification» 215, niveau de sécurité trois étoiles (***) pour des certificats électroniques de type «particulier» d authentification. La politique de certification devant respecter les exigences suivantes : 205 Information technology Personal identification ISO-compliant driving licence Sur les fonctions d authentification : Chapitre 3.2 du RGS : - annexe B3 du RGS : - annexe A2 du RGS : - annexe A7 du RGS : JORF n 0029 du 4 février Texte n 1. Décret n du 2 février 2010 pris pour l application des articles 9, 10 et 12 de l ordonnance n du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives 210 IDéNUM. Cahier des charges. Version de travail 09/07/ Ses modalités d élaboration et de publication sont précisées au décret n , dit «décret RGS». La première version du [RGS] a été rendue officielle par arrêté du Premier ministre en date du 6 mai Les spécifications IDéNUM sont très largement dérivées du Référentiel Général de Sécurité ([RGS]) issu de l ordonnance n du 8 décembre 2005, dite «ordonnance téléservices». 213 Le Cahier des charges cite des services en ligne tels que : consultation en ligne de factures, ouverture en ligne d un compte bancaire, virements et transactions bancaires, inscription d enfants en crèche, à la cantine, à la bibliothèque, inscription sur les listes électorales, démarches d état civil, demandes d allocation CAF ou de congé parental. 214 version 2.3 du 11 février Idem

56 Les leviers d usage dans la société de l économie numérique 56/ 140 Procédure de vérification de l identité des futurs porteurs d un produit IDéNUM ; Fonction de génération des éléments secrets du porteur et de remise au porteur ; Utilisation d un numéro d identification du porteur du produit IDéNUM ; Nommage explicite des porteurs dans les certificats de signature électronique et d authentification ; Clés cryptographiques de l autorité de certification utilisées pour signer les certificats électroniques ; Vérification de la révocation d un certificat électronique ; Procédure de déblocage du produit IDéNUM ; Vérification de l adresse mail du porteur du produit IDéNUM présente dans les certificats électroniques ; Gabarit des certificats électroniques. Procédure de vérification de l identité des futurs porteurs d un produit IDéNUM L enrôlement constitue la phase critique de l offre, aussi la vérification d identité est-elle effectuée lors d un face à face physique avec le candidat à l obtention du certificat 216 sur présentation d un titre en cours de validité: CNI ou passeport pour les ressortissants français ; Passeport émis conformément au règlement (CE) n 2252/2004 du Conseil européen du 13 décembre 2004 pour les ressortissants de communauté européenne ; Carte de séjour dans les autres cas. De plus, le Cahier des charges propose d introduire des bonnes pratiques sur les vérifications à effectuer pour s assurer de l authenticité des documents produits 217. Identification des détenteurs Dans un premier temps, les certificats IDéNUM ne seront délivrés qu à des individus majeurs avec confirmation de leur mail. Comme leur nom figurera dans le certificat, l anonymat n est pas possible 218. Le programme IDéNUM a suscité l intérêt de moult prestataires potentiels, soit qu ils disposent du «face à face», indispensable à la délivrance d un certificat qualifié, soit qu ils détiennent une infrastructure: support (puce électronique) et réseau de télécom pour activation des CRL. L initiative IDéNUM s inscrit dans un contexte visant à respecter la vie privée des citoyens, en ne transmettant que le minimum de données. Par contre, rien n exclut que les fournisseurs d identité Banques, telcos, autres - saisissent à l enrôlement des attributs spécifiques à leurs métiers. Des données qui pourront être récupérées par adhésion à un cercle de confiance, mais sur consentement explicite de l ayant droit IDéNUM vs CNIe Il est vraisemblable que les deux initiatives soient conduites en parallèle, chacune dynamisant l autre. La possibilité de disposer d une CNIe, délivrée par les services de l Etat, pourrait ainsi favoriser l usage d autres supports d identité provenant du secteur privé. On anticipe que la future CNIe constitue un socle à partir duquel les usagers se constitueront des identités multiples en fonction des besoins en ligne. Une perspective séduisante mais qui nécessite une forte 216 Tel que prévu aux chapitres III et IV.3 de [RGS_A_7] et [RGS_A_8] 217 Mise en œuvre de bonnes pratiques visant l intégrité des titres, voire la formation du personnel à cette tâche. S assurer par exemple: que le titre d identité présenté est un original (exemples d indices de falsification : aspect récent d une pièce d identité prétendument délivrée il y a plusieurs années, lieu de délivrance différent du lieu du domicile indiqué au recto du document) ; de l absence de caractères d imprimerie de mauvaise qualité, mal disposés, de fautes d orthographe ; que les numéros de la pièce d identité ne sont pas tamponnés mais imprimés ; de l absence de grattage, gommage ou surcharge ; de l absence d invraisemblance des renseignements mentionnés sur la pièce d identité présentée (exemples : âge du porteur ne correspondant pas avec l âge donné par le document, absence de ressemblance avec la photo d identité) ; documents faux (ex : aspect récent d une pièce prétendument délivrée il y a plusieurs années, permis de conduire indiquant l arrondissement de la ville dans laquelle il a été délivré, lieu de délivrance différent du lieu du domicile indiqué au recto du document ).] 218 Dans le cadre d IDéNUM, il est précisé, vis-à-vis des chapitres III.1 de [RGS_A_7] et [RGS_A_8], que les noms des porteurs dans les certificats électroniques ne peuvent être ni anonymes ni pseudonymes. Les noms et prénoms portés sur le titre d identité présenté doivent être employés.

57 Les leviers d usage dans la société de l économie numérique 57/ 140 interopérabilité entre fournisseurs de services, les internautes étant peu enclin à changer de moyen d authentification en fonction du site accédé. Le succès des smartphones et tablettes, de plus en plus riches en fonctionnalités, va certainement favoriser le marché des certificats sur cartes SIM, vu le peu de sécurité des mécanismes de type identifiant / mot de passe et le souhait des usagers de procéder à toute opération en ligne, même en mobilité Les opérateurs potentiels IDéNUM Les Banques Déjà pionnière en certificats, grâce à sa Politique d Acceptation Commune (PAC) 219, définie sous l égide du CFONB, la banque se positionne comme un acteur potentiel de l initiative IDéNUM, la PRIS/RGS devenant la référence du secteur en matière de certificats numériques. Une stratégie 220 en cohérence avec les infrastructures de confiance mises en place vis-à-vis de services en ligne et télé-procédures de l administration 221. La PAC s aligne sur SWIFT 222, standard mondial, de façon à s assurer l interopérabilité dans un contexte de transaction à l international 223 et un fort niveau d ouverture sur le monde non bancaire. Même approche pour des signatures en ligne opposables en cas de litige Politique d Acceptation Commune PAC. Réf. : Version 2.0 CFOMB 02 juin La PAC répond aux besoins des promoteurs d applications communes ou propres aux établissements bancaires et financiers déclarées conformes à la PAC, mais peut être élargie à des applications spécifiques pour répondre à des besoins des : Établissements bancaires et financiers de pays tiers, Partenaires tiers non bancaires (français ou de pays tiers)» Et encore : «Par ailleurs, la PAC permet à un émetteur de certificats attestés conformes à la PAC de plus largement diffuser ses certificats, un porteur de certificat d élargir les cas d usage de ses certificats. Idem 221 Idem 222 L intérêt de la PAC c est de s appuyer sur des normes d interchange puissantes héritées de SWIFT et Etebac5. Ainsi la PAC reconnait-elle les organisations qui ne sont pas reconnues comme adhérentes à la PAC, uniquement dans des fonctions d acceptation, c'est-à-dire dans un rôle de promoteur d applications, à la condition que : L organisation précise systématiquement et très clairement qu elle n est pas adhérente à la PAC Ses applications acceptent l ensemble des certificats des AC attestés conformes à la PAC L organisation s engage à respecter les évolutions de la PAC au niveau des fonctions d émission : nouvelle AC référencée, suppression d un AC ou d une gamme de certificats La mise à niveau doit se faire dans les 3 mois suivant la publication sur les sites officiels de la nouvelle version de la PAC L organisation respecte les règles déontologiques associées à la PAC, tant au niveau de l application acceptrice de certificats que de l organisation ellemême L organisation informe l émetteur de certificats, en cas d incidents L organisation respecte les droits de propriété intellectuelle sur la PAC En aucun cas, une organisation non adhérente à la PAC ne peut engager la responsabilité d une organisation adhérente, en faisant référence à la PAC. 223 Pour jouer ce rôle d AC mondiale les banques se sont naturellement tournées vers leur coopérative (Swift) qui a donc développé une solution ayant beaucoup de similitudes avec Etebac 5 et susceptible d être acceptée par des banques de nombreux pays, à commencer bien entendu par la France. Cette solution est en cours de test par une dizaine d entreprises, des banques et les éditeurs de logiciels. Le pilote prendra fin cet été et les banques commenceront à commercialiser les certificats de Swift à l automne N 271 Juillet-Août 2010 La Lettre du trésorier Signature électronique des ordres de paiement : un peu de vocabulaire. Par Hervé Postic, associé Utsit. Le remplacement d Etebac 5, que ce soit par Ebics profil TS ou Swift, introduit une modification dans la gestion des dispositifs de sécurité et des preuves. Quelques précisions de vocabulaire sont utiles pour aborder ce changement. 224 Politique d Acceptation Commune PAC. Réf. : Version 2.0 CFOMB 02 juin 2009

58 Les leviers d usage dans la société de l économie numérique 58/ 140 La PAC vise à un fort niveau d interopérabilité de façon à ce que les certificats bancaires puissent être utilisés dans des secteurs non financiers. Les certificats et de signature ont ainsi une vocation intersectorielle, sachant que la banque dispose déjà d une demande «intérieure» forte. La stratégie de la sphère bancaire vis-à-vis du label IDéNUM n est pas arrêtée à ce jour. Un comité de pilotage a été constitué après l annonce de la Secrétaire d Etat de l initiative de façon à préciser les points suivants 225 : Gouvernance Objectifs Modèle économique Périmètre Certificats qualifiés La réflexion se poursuit, notamment la possibilité que les certificats bancaires puissent être utilisés par d autres secteurs. Vu le potentiel interne (ebanking, souscription de produits financiers, crédit à la consommation, virements, banque en ligne, etc ), la banque dispose d un «marché intérieur» qui lui permet de rebondir sur d autres activités nécessitant de s identifier en ligne. Reste à préciser le modèle économique. Les opérateurs téléphoniques Soucieux de diversifier leurs offres de service, les opérateurs téléphoniques ont saisi l intérêt du programme IDéNUM, d autant plus que l ouverture d un compte, et le face à face client, leur confère une forte légitimité pour délivrer des certificats qualifiés. L enrôlement constitue la phase critique; mais des prestataires se positionnent pour combiner saisie des données d état civil 226 et contrôle des pièces. L enjeu, c est l intégrité du titre d identité - CNI ou passeport - par vérification de la bande MRZ mais surtout du laminat 227 et cohérence des données : adresse, références bancaires du chèque de caution ou de la carte de crédit 228. Détenteurs privilégiés des données d état civil, nos opérateurs entendent se positionner comme des acteurs de l identité en proposant des certificats d authentification et de signature, mais également en embarquant des certificats tiers pour des fournisseurs d identité ne possédant pas de support 229. Les opérateurs ne sont pas les seuls à disposer du «face à face» client ; aussi sera-t-il essentiel de s accorder sur une norme d enrôlement à base de titres d identité - CNI, passeport, carte de résident, permis de conduire et justificatifs d adresse, factures EDF, RIB. Une investigation est en cours pour que 225 Entretien Daniel Savoyen, Crédit Agricole. 226 Patronyme, nom, date de naissance, adresse Le contrôle des pièces d identité est du même niveau que la police des frontières 228 La société Ariadnext propose ce type d équipement. La personne qui signe et filmée. Une demande de certification CSPN, Certificat Securité Premier Niveau de l ANSSI est en cours 229 C est actuellement la réflexion de SFR, Madame Stéphane Baudais

59 Les leviers d usage dans la société de l économie numérique 59/ 140 des codes barres puissent certifier l intégrité de documents aujourd hui falsifiables 230. Les acteurs sont nombreux : banque à distance, crédit à la consommation, la poste. L approche kiosque des opérateurs télécoms pourrait être une voie à explorer de façon à mutualiser l infrastructure de saisie. Les opérateurs télécoms se positionnement comme des acteurs majeurs de l identité sur internet. En effet le mobile, c est une possibilité de s authentifier sur n importe quel PC, n importe ou dans le monde sans lecteur USB, clé ou carte additionnelle ; le certificat du portable permettant de confirmer l identité de l internaute indépendamment du poste d accès. C est donc une stratégie d accès qui combine mobilité et authentification bi-canale, comme proposé par 3D Secure. Bénéficiant d un support sécurisé 231 et d un réseau pour détecter les certificats suspects, ils regardent aujourd hui les secteurs sur les quels positionner leur offre. Rappelons que la Banque de France recommande multiples «dispositifs de sécurité personnels» de façon à confirmer l identité d un internaute lors d achats en ligne. Pourquoi ne pas activer un certificat comme alternative à la communication d un SMS entre téléphone et PC? Dans ce contexte, le service de l opérateur devient plus substantiel que la transmission d un code, donc générateur d une offre d authentification forte à préciser. On peut anticiper les comportements d un internaute vis-à-vis des services en ligne. Mais, d ici quelques années, il est possible que les tablettes remplacent les PC, en leur adjoignant la connectivité des portables. Il est donc justifié que les opérateurs téléphoniques se positionnent sur cette offre par des solutions d authentification et de signature. Domaine CNIe IDéNUM PC IDéNUM SIM Services de l état ebanking Cession valeurs mobilières Virements Souscription produits financiers Banque en ligne : enrôlement Consultation des comptes Virements Souscription produits financiers Souscription de crédit B2C Souscription de crédit B2B2C Jeux en ligne : enrôlement Jeux en ligne : Accès ebanking Achats en ligne : accès ebanking Achats en ligne : non répudiation Vote électronique : enrôlement Vote électronique : vote Reconduction contrat assurance Souscription contrat assurance Location de voiture Travail temporaire : prise de contrat Si l ergonomie des téléphones est encore limitée pour boursicoter, acheter en ligne ou remplir une procédure administrative, l essor des smartphones, mais surtout des tablettes, va dynamiser ce marché et offrir aux opérateurs un rôle privilégié ; les internautes devenant de plus en plus enclins à des activités en ligne, non plus à domicile mais lors de déplacements Un code à barres d'identification des documents : " Nous avons un programme de travail avec le Ministère de l'intérieur et Michel Bergue qui est le délégué fraude, sur le code barres 2D Datamatrix qui permet de capter une partie de l'identité, l'adresse, et de l'inclure dans un secret que nous sommes en mesure de lire et de savoir y compris à distance si l'on se trouve face à un vrai ou un faux document. " Préfet Raphaël Bartolt. Conférence 8 mars 2011, sur la carte nationale d'identité électronique. Maison de la Chimie ; Paris 231 SIM L A ce jour, 9 français sur 10 sont équipés d un mobile, et seulement 1 sur 5 (21,3%) possède un Smartphone. Mais une très forte progression est attendue de la part de ces équipements de mobilité.

60 Les leviers d usage dans la société de l économie numérique 60/ 140 Le notariat Les notaires reçoivent aujourd hui près de 15 millions de personnes dans leurs études pour rédiger des actes authentiques ; ils bénéficient donc d un face à face privilégié par rapport aux autres officiers publics et ministériels. A la différence des banques et opérateurs téléphoniques qui se contentent de vérifier l intégrité d un titre d identité, ils ont accès au fichier d Etat civil, notamment à la capacité juridique d un individu, donc des données essentielles pour qui veut ouvrir un compte bancaire ou souscrire un prêt. Si l on établissait une gradation des fournisseurs d identité, en fonction des attributs disponibles, les notaires se verraient sans doute attribuer une place privilégiée. En effet, tirant profit de leur «marché domestique», les notaires pourraient se positionner comme des fournisseurs d identité dans le cadre du programme IDéNUM. Comme précisé dans le chapître précédent, la mise à disposition d un espace de travail sécurisé entre études et usagers nécessitant un dispositif d authentification forte carte à puce, clé USB l usager pourrait l utiliser à d autres fins une fois remis par le notaire : accès aux services de l administration, comptes bancaires, jeux en ligne..suivant un modèle financier à définir. La profession n a pas pris de décision concernant l initiative IDéNUM, mais elle réfléchit à son positionnement vis-à-vis d autres acteurs comme les banques et opérateurs téléphoniques qui disposent d un support (carte à puce, SIM) et d un réseau permettant d identifier les certificats fraudés. Quelle peut être la «matérialisation» d une offre des notaires : carte, clé USB, certificat logiciel? Mais une alliance avec un fournisseur d identité dans une architecture SAML V peut également être envisagée? La Poste Bénéficiant d une délégation de service public, la Poste est habilitée à contrôler l identité des destinataires de courriers recommandés. Un face à face dont bénéficient à la fois facteurs et bureaux de poste, qui, de plus, sont en mesure de confirmer l adresse. Deux attributs majeurs qui confèrent à l opérateur historique une position de choix dans le paysage de l identité, connaissant son besoin de relais de croissance 234, suite à la perte du monopole des courriers de moins de 50 g. En Mai 2010, le groupe devenait l un des lauréats 235 de l appel d offre du plan de relance du Secrétariat d État chargé de la Prospective et du Développement de l Economie numérique par son projet «IDENTIC». Une offre de service qui le positionne comme un acteur de la confiance sur internet «en visant la distribution d une identité numérique certifiée qui sécurise de manière optimale les échanges électroniques. 236» 233 In order to access protected resources at a service provider, users authenticate to their identity provider ("thinking locally" because they do not need to authenticate to a remote service provider, just an identity provider with which they have a closer trust relationship). Based on this authentication, they are then able to access resources at one or many service providers ("acting globally"). Federation is the dominant movement in identity management today. Federation refers to the establishment of business agreements, cryptographic trust, and user identifiers or attributes across security and policy domains to enable more seamless cross-domain business interactions. Just as web services promise to enable integration between business partners through loose coupling at the application and messaging layer, federation does so at the identity management layer insulating each domain from the details of the others" authentication and authorization infrastructure. OASIS SAML V2.0 Executive Overview. Committee Draft 01, 12 April Perte du monopole en date du 1 Janvier Comptant parmi les 44 projets retenus (sur 340) 236 IDENTIC : une identité numérique certifiée. «Le groupe La Poste a candidaté à l appel à projets sur le Web innovant lancé par le secrétariat d État chargé de la prospective et du développement de l économie numérique dans le cadre du plan de relance. Comptant parmi les 44 projets retenus (sur 340), "IDENTIC" vise à ancrer le Groupe comme un acteur majeur de l Internet de la confiance en visant la distribution d une identité numérique certifiée qui sécurise de manière optimale les échanges électroniques.» Seule grande entreprise de services sélectionnée par le jury avec de jeunes pousses et acteurs du monde du web, le groupe La Poste montre ainsi sa capacité d innovation et sa volonté de travailler au développement de l internet de la confiance. Le projet IDENTIC réunit trois partenaires aux compétences complémentaires : le groupe La Poste, la jeune pousse MyID.is Certified et le laboratoire CEREGE de l Université de Poitiers dans le but de développer une offre à même de fournir aux individus une Identité Numérique Certifiée (INC). L innovation du projet IDENTIC est à la fois technologique et organisationnelle. Elle s appuie d une part sur une procédure en ligne crytpée et d autre part sur la remise en face-à-face de l INC par un agent de La Poste. L originalité de la solution retenue réside dans la complémentarité de cette solution à la fois «click» et «mortar» avec cryptage mais aussi dans la vérification de la pièce d identité et la remise en main propre de l INC. La certification d une identité numérique a vocation à renforcer la confiance dans toutes les activités en ligne. Le Web 2.0 a conduit à un réel développement des usages sur Internet à travers de multiples formes de participation en ligne. La création de profils sur les réseaux sociaux numériques, de blogs, de multiples comptes d utilisateurs (pseudos, s, avatars ) associés à la publication de données personnelles, la croissance du e-commerce comme celle du nombre de joueurs en ligne portent au tout premier plan la question de l identité des individus en ligne. Certaines problématiques se révèlent particulièrement complexes notamment en ce qui concerne les questions d identification lors d achat en ligne, de gestion d identités multiples ou d usurpation d identités sur le Web. Les initiatives récentes au travers de la charte pour la promotion de l authentification sur Internet montrent la nécessité de disposer de solutions d authentification adaptées. C est dans ce contexte caractérisé à la fois par une demande forte de la part des internautes et d une réelle volonté de l Etat que s inscrit le projet IDENTIC.

61 Les leviers d usage dans la société de l économie numérique 61/ 140 Grâce au support de la startup française MyID is Certified 237, un agent délivre en face à face une Identité Numérique Certifiée (INC). L idée à terme étant de proposer un portail d accès par une démarche de type «LaPoste Connect», inspirée de FaceBook. IDENTIC permet de vérifier l identité et l adresse, deux attributs précieux pour le ecommerce de façon à éviter la fraude lors d achats en ligne. Une labellisation est même envisagée par un sigle de type «Identité vérifiée par la Poste» 238 pour mettre en confiance les commerçants. IDENTIC n utilise pas de certificats ; la procédure basée sur identifiant / mot de passe, visant essentiellement des applications de ecommerce. Par contre l opérateur historique a débuté une réflexion dans le cadre d IDéNUM par le biais de sa filiale Certinomis, opérateur de certification. L accord passé avec SFR pour une offre MVNO - opérateur alternatif - permettra à l opérateur de disposer d un parc de téléphonie, donc de cartes SIM. Donc un portfolio de services et canaux de distribution varié pour combiner les offres, notamment sur mobiles. Considérant que la Poste dispose également de Digicoffre, un service de coffre-fort électronique sécurisé 239, le groupe sera en mesure de proposer une gamme complète de services en ligne. 3.3 Fourniture d identité et interopérabilité Le cercle de confiance met en œuvre une relation entre prestataires de services et fournisseurs d identité, dont certains détiennent des attributs pouvant intéresser les autres. Le «recours à un tiers» utilisé pour vérifier l identité prend son origine dans le droit. Ainsi «l acte de notoriété», exigé pour la transmission d un bien après décès, est-il dressé par un officier public ou ministériel en présence de témoins qui attestent de l identité d une personne et leur relation avec le défunt. Une tradition ancienne qui privilégie les rapports entre individus à l état civil 240. Le recours à un tiers constitue le fondement du cercle de confiance, l identité étant confirmée par un fournisseur, tel un notaire dans la cadre d une transaction. Dans ce contexte, la notion de «jeton passif» corrobore celle d attributs numéro unique, qualité, photographie, - à la différence d un «jeton actif» qui contient une information «secrète», pouvant être déclenchée par son détenteur, clé USB ou la carte à puce. Les fournisseurs d identité délivrent des certificats électroniques authentification et signature - permettant d établir un lien biunivoque avec un individu. Il est fondamental que ces prestataires s inscrivent dans un contexte normatif de façon à assurer une interopérabilité technique minimale, c est ce qu on appelle une infrastructure à clé publique. Le «Cercle de confiance» permet de respecter la vie privée en ne conférant aux prestataires que le minimum des données nécessaire à leur activité. La CNIL vise au respect de ce principe afin d éviter la constitution de bases de données centralisées. De plus, elle rappelle que les sphères d intervention des secteurs public et privé doivent être respectées avec, pour chacune, un identifiant différent ; d où une pluralité d identités, en fonction de besoins sectoriels plutôt qu une identité unique, les attributs pouvant être répartis entre plusieurs fournisseurs (Etat civil, prestataires ). 237 Créé en avril 2007, MyID.is Certified se positionne comme une plate-forme française de certification d'identité sur Internet. Ce service permet par exemple de prouver que son utilisateur est bien l'auteur d'une photo postée sur un réseau social ou d'un commentaire sur un blog. Concrètement, MyID.is se présente comme une page Netvibes, à la différence que MyID.is agrège l'ensemble des contenus produits sur Internet par son utilisateur sur une seule page Web. Cette plate-forme peut également stocker des mots de passe. Plusieurs niveaux de sécurité permettront de définir quelles informations l'internaute rend publiques ou privées. Le service est encore en bêta privée Entretien avec Olivier Desbiey. Strategic Marketing Inteligence. La Poste Innovation & e-services Development Division 239 DigiCoffre est un véritable coffre-fort numérique personnel pour conserver de façon sécurisée et durable vos fichiers numériques. 7 jours sur 7 et 24h sur 24, (l internautepeut) déposer et protéger (ses) contenus électroniques : documents bureautiques (textes, tableaux, présentations), fichiers multimédia (musiques, vidéos, photos) ou toutes pièces sensibles numérisées (copies de Carte Nationale d Identité, copies de factures, contrats ou bulletins de salaire). Une façon simple, efficace et sécurisée de maîtriser une copie de sauvegarde. L'accès à DigiCoffre est sécurisé par un mot de passe personnel et confidentiel. Les échanges entre l ordinateur et DigiCoffre sont chiffrés. Les fichiers numériques conservés dans (le) coffre-fort DigiCoffre sont également chiffrés pour en garantir la confidentialité. Ces fichiers sont régulièrement sauvegardés automatiquement par DigiCoffre. DigiCoffre garantit l intégrité des fichiers déposés, la datation des actions effectuées et l authentification des utilisateurs Ces témoins seront évidemment majeurs, non mariés entre eux et non parents du défunt mais auront par contre bien connu celui-ci.

62 Les leviers d usage dans la société de l économie numérique 62/ 140 De façon à préserver la vie privée, l anonymat constitue l une des règles du web, mais ceci n exempte nullement le fournisseur d identité de conserver les données exigées lors de l enrôlement. Ainsi la Directive européenne sur la Signature électronique, dans son attendu 25, légitime-t-elle le recours à un pseudonyme dans la mesure où celui-ci contribue à une protection des données 241, mais «Il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification des personnes conformément au droit communautaire ou national». Les fournisseurs d identité sont régis par le Décret du 30 mars qui détaille leurs obligations juridiques, notamment l article 6-II 243 prévoyant à leur charge, l'obligation «de conserver, éventuellement sous forme électronique, toutes les informations relatives aux certificats électroniques qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique ou d'utiliser des systèmes de conservation des certificats qui garantissent que l'introduction de la modification des données est réservée aux seules personnes autorisées à cet effet par le prestataire et que toute modification de nature à compromettre la sécurité du système puisse être détectée». Un cadre strict dans la mesure où l anonymat sur le web exige en contrepartie une confirmation de l identité, de façon à garantir la traçabilité des usagers au cas où des malveillances surviendraient. Ainsi, le certificat électronique comporte-t-il des mentions obligatoires : nom du porteur, clé publique, autorité de certification, signature de cette autorité et durée de validité Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques Il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification des personnes conformément au droit communautaire ou national; Décret n du 30 mars 2001 pris pour l'application de l'article du code civil et relatif à la signature électronique II. - Un prestataire de services de certification électronique doit satisfaire aux exigences suivantes : a) Faire preuve de la fiabilité des services de certification électronique qu'il fournit ; b) Assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d'un service d'annuaire recensant les certificats électroniques des personnes qui en font la demande ; c) Assurer le fonctionnement d'un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce certificat ; d) Veiller à ce que la date et l'heure de délivrance et de révocation d'un certificat électronique puissent être déterminées avec précision ; e) Employer du personnel ayant les connaissances, l'expérience et les qualifications nécessaires à la fourniture de services de certification électronique ; f) Appliquer des procédures de sécurité appropriées ; g) Utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu'ils assurent ; h) Prendre toute disposition propre à prévenir la falsification des certificats électroniques ; i) Dans le cas où il fournit au signataire des données de création de signature électronique, garantir la confidentialité de ces données lors de leur création et s'abstenir de conserver ou de reproduire ces données ; j) Veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de création correspondent aux données de vérification ; k) Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique. l) Utiliser des systèmes de conservation des certificats électroniques garantissant que : - l'introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ; - l'accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ; - toute modification de nature à compromettre la sécurité du système peut être détectée ; m) Vérifier, d'une part, l'identité de la personne à laquelle un certificat électronique est délivré, en exigeant d'elle la présentation d'un document officiel d'identité, d'autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ; n) S'assurer au moment de la délivrance du certificat électronique : - que les informations qu'il contient sont exactes ; - que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ; o) Avant la conclusion d'un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d'un certificat électronique : - des modalités et des conditions d'utilisation du certificat ; - du fait qu'il s'est soumis ou non au processus de qualification volontaire des prestataires de services de certification électronique mentionnée à l'article 7 ; - des modalités de contestation et de règlement des litiges ; p) Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l'information prévue au o qui leur sont utiles. 244 Les arrêtés du 31 mai 2002 (art. 7) et du 26 juillet 2004 fixent les conditions dans lesquelles ces prestataires peuvent demander à être reconnus comme «qualifiés», après évaluation et selon une procédure d'accréditation des organismes de qualification décrite dans ce même arrêté. Ces organismes sont eux mêmes accrédités par le Comité français d'accréditation (Cofrac) et la Direction centrale de la sécurité des systèmes d'information (DCSSI) contrôle la délivrance des accréditations.

63 Les leviers d usage dans la société de l économie numérique 63/ ATTENTE DES ACTEURS VIS-A-VIS DE L IDENTITE ELECTRONIQUE 4.1 Typologie des accès en ligne Identification / authentification L identité peut être considérée comme un profil, matérialisé par des cartes, badges, laissez-passer.. qui attestent d une légitimité vis-à-vis d une entité : nation, entreprise, club sportif, assurance maladie.. Ses attributs sont tant «génériques» - date de naissance, patronyme, etc. que «contextuels» numéro d affiliation, grade dans une entreprise. Seul l Etat est en mesure de faire le lien entre les identités, grâce aux obligations légales des fournisseurs. Comme recommandé par la CNIL, le prestataire gradue les modalités d accès en fonction de la criticité du service, ainsi de nombreuses téléprocédures ne nécessitent-elles qu une simple identification. L authentification forte s inscrivant dans un cadre règlementaire qui nécessite l archivage même électronique d un dossier de preuve. Une procédure non nécessaire lorsqu il s agit de consulter des feuilles de soins, points retraite ou le montant de son impôt. Par contre, dès que le fournisseur de service a l obligation d archiver des éléments de preuve, l authentification forte se justifie, qu il s agisse de prestataires privés banque, ecommerce ou des services de l Etat. Dans le cas d une authentification, la simple «déclaration» de données ne suffit pas, le service en ligne exigeant que l internaute active une preuve code secret, mot de passe, biométrie attestant d un lien biunivoque entre lui-même et l identité qu il revendique. D où les trois modes d authentification couramment utilisés Authentification par connaissance ( Ce que l on sait ). o Il s agit traditionnellement de mots de passe ou de codes secrets (PIN). Authentification par propriété ( Ce que l on a ). o Cartes à puce, clé USB, jeton, clé.. Authentification by caractéristique ( Ce que l on est ). o Recours à la biométrie de façon à confirmer telle ou telle caractéristique de l usager. Il est traditionnellement accepté qu une combinaison des trois modes d authentification constitue un moyen plus sur que le recours à l un ou l autre des procédés, voire une combinaison de ceux-ci. La Directive 99/93/EC 245 définit le cadre juridique de la Signature Electronique, notamment par l article 5.1, l équivalence entre certificat électronique et signature manuelle. Mais, reste posée la légitimité d une relation biunivoque entre signature et identité. Sans doute une question qui sera traitée dans le cadre d une nouvelle mouture de la Directive. Enfin, la signature électronique ne peut être refusée par les tribunaux au motif qu'elle est établie par un procédé électronique, qu'elle soit qualifiée ou simple. En revanche, la signature qualifiée bénéficie de la présomption de fiabilité ce dont ne dispose pas la signature simple. Une signature électronique est dite qualifiée si elle répond aux exigences décrites en annexe de l'arrêté du 26 juillet relatif à la reconnaissance de la qualification des prestataires et l'accréditation des organismes qui procèdent à leur évaluation. Cette annexe vise la norme AF Z74-400, traduction française de la spécification technique de l'etsi (European Technical Specification Institute) TS "exigences relatives aux autorités de certifications électroniques 247 délivrant des certificats qualifiés" Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques 246 Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation 247 La demande d'accréditation adressée par un organisme à un centre d'accréditation doit comprendre les éléments suivants :

64 Les leviers d usage dans la société de l économie numérique 64/ 140 Le protocole IAS Initié par la France et l Allemagne dans le contexte du projet de carte d Identité Européenne, le protocole IAS constitue une avancée majeure, tant d un point de vue sémantique que juridique. En effet, s identifier ne signifie nullement s authentifier apporter une preuve d identité - et en aucun cas signer un document, qui entérine une relation contractuelle entre parties. Les spécifications IAS sont basées sur les standards suivants ISO 7816, ISO CWA (Secure Signature Creation Device) CWA E-Sign (Application Interface for Smart Card used as Secure Signature) Le CWA - CEN Workshop Agreement - définit le cadre technique de façon à promouvoir l usage de cartes à puce comme SSCD «Secure Signature Creating Device (SSCD)» 249. Le protocole IAS se compose de trois blocs : Bloc identitaire o Accessible seulement aux autorités habilitées o Contient les données faciales de la carte: photos numérisée, minuties biométriques, Bloc d authentification o Mécanisme qui prouve la propriété de la carte. o Authentification qualifiée par Code PIN Bloc de signature électronique o Code PIN pour signature électronique 4.2 Les enjeux de l identité électronique Augmenter les taux de transformation en ligne constitue la préoccupation majeure des prestataires de services, sachant que la moitié des tentatives d achats n aboutissent pas. Même constat pour les demandes de crédits ou les promesses non honorées de paiement hors internet. Les solutions à base de certificats se situent donc à la conjonction de deux préoccupations, augmenter les taux de transformations tout en constituant un dossier de preuves. Le succès d un service de paiement comme Paypal confirme que la mise en mémoire de données sensibles comme des numéros de carte de crédit est perçu comme acceptable s il est protégé par un mot de passe. Bien entendu, il est illusoire de prétendre doubler les ventes ou la prise de crédits en ligne par des procédés à base de certificats. Nombre d internautes surfent sur les sites sans conclure, une fois précisées les conditions de vente, de livraison, voire de crédit, par soucis de s informer. Pourtant un pourcentage non négligeable de ces curieux du web est découragé par des écrans multiples, ou même des demandes de confirmations réitérées. C est précisément cette population qui peut être confortée par des procédés simplifiés, mais qui satisfassent les juristes. 1. Les statuts de l'organisme, son règlement intérieur et tout autre texte régissant son fonctionnement ; 2. Les noms et qualités des dirigeants de l'organisme et des membres de son conseil d'administration ou des organes en tenant lieu ; 3. Les noms et les qualifications des personnels de l'organisme prenant part à la procédure d'évaluation ; 4. La description des activités de l'organisme, de sa structure et de ses moyens techniques ; 5. Les comptes des deux exercices précédents ; 6. La description des procédures et des moyens qui seront mis en œuvre par l'organisme pour évaluer les prestataires de services de certification électronique en vue de reconnaître leur qualification, compte tenu des normes ou prescriptions techniques en vigueur. L'organisme demandeur doit en outre signaler au centre d'accréditation les liens éventuels qu'il a avec des prestataires de services de certification électronique. En ce cas, il doit préciser les mesures qu'il compte mettre en œuvre pour éviter tout conflit d'intérêts. L'organisme demandeur doit disposer, conformément à la clause e de la norme NF EN 45012, d'une structure en son sein qui préserve son impartialité. Cette structure doit notamment comprendre un représentant de la direction centrale de la sécurité des systèmes d'information, un représentant de l'agence pour le développement de l'administration électronique et un représentant de la direction générale de l'industrie, des technologies de l'information et des postes EN defines the basic requirements for an SSCD that fulfils the generic IAS-services (Identification, Authentication and Digital Signature). EN specifies additional requirements for an SSCD that fulfils the generic IAS-services (Identification, Authentication and Digital Signature).

65 Les leviers d usage dans la société de l économie numérique 65/ Gains de productivité Les gains de productivité se situent essentiellement lors de la constitution d un dossier l enrôlement dont la communication de pièces, parfois périmées ou de mauvaise qualité, pénalise la performance des sites en ligne. Gains de productivité et taux de transformation ne sont pas contradictoires. Comme le contrôle d identité constitue une partie importante du dossier client, l intérêt du certificat est double : affranchir l internaute de sa preuve d identité et le prestataire du contrôle par recours à un tiers, sorte de notaire virtuel. De plus, l attribut «adresse» demandé par souci d éviter les homonymies, ne sera plus nécessaire, dans de nombreux cas, du moment que l identité est certifiée. Difficile de quantifier le gain de productivité par certificats, d autant plus que la part «identitaire» d un dossier ne bénéficie pas d une comptabilité analytique, des frais de marketing et communication étant nécessaires, même dans le cas de procédures en ligne! Rappelons les hypothèses de notre étude de 2007, encore actuelles dans la mesure où l authentification forte ne s est pas imposée sur le marché de l internet : «Les établissements de crédit connaissent actuellement une croissance moyenne du nombre de prêts d environ 10 à 12% par an. Bien que les offres via internet soient encore mineures aujourd hui (inférieur à 20%), ce sont celles qui connaissent la plus forte progression, aux dépens des canaux traditionnels comme les grandes enseignes ou le télémarketing. Ici, les frais moyens de conquête peuvent être estimés à plus de 200 Euros par client, si l on intègre la somme des coûts tels que marketing, rédaction /envoi /retour du contrat, traitement et vérification des pièces, suivi de dossier 250. Un ratio de l ordre de 5% si on évalue l encours moyen des prêts à 4000 Euros 251» 252. Grâce à des certificats, nous envisagions que «le rapport entre prêt moyen et coût de conquête pourrait diminuer de 5% à 3,75%, soit un gain de productivité de plus de 200 Millions d Euros si on estime le total d encours des établissements de crédit à plus de 14Mds Euros. Pareillement, le traitement du cross-selling, entièrement géré sur le web, deviendrait relativement modique, l ensemble de la relation avec le client étant dématérialisée sachant que le contrôle de pièces actualisées reste indispensable, même pour un client connu. Dans ce cas, le ratio encours / conquête tombe à 3%, d où un gain de productivité de plus de 600 Millions d Euros sur un total estimé de 10 Mds d Euros en cross-selling». Des hypothèses encore valables, vu l absence de procédés d authentification et de signature en ligne malgré la maturité des prestataires Nouveaux marchés Le marché de l authentification se compose d une multitude de niches pesant entre 20 et 200 millions, voire davantage, faute d une «killer application» qui, par un succès d usage, entrainerait d autres marchés. On rêve d un effet Minitel à paiement différé ; ce qui n a aucune chance de se reproduire, vu que nous sommes dans un marché du contrôle d accès et non de contenus. On anticipe que les prestataires de services en ligne ne modifieront pas leurs systèmes d information activation du PIN, CRL avant que le marché de l authentification ne fasse preuve de maturité, certainement quelques années. Il pourrait donc être envisagé d externaliser cette procédure auprès d intermédiaires qui assureraient ce mécanisme auprès des détenteurs d attributs. 250 Dans cette étude, et suite aux entretiens réalisés, nous estimions la gestion de la preuve d identité à 5-10 Euros, une hypothèse qui nous parait encore pertinente aujourd hui. 251 Nous avions évalué ce chiffre comme une moyenne entre les crédits revolving (750 à 2000 Euros), les crédits consommation ( Euros) et les rachats de crédits ( K Euros) 252 Etude Standarmedia Afnor 2007

66 Les leviers d usage dans la société de l économie numérique 66/ Roaming d identité et cercle de confiance A partir d un «bouton» authentification, la procédure appelle un écran présentant le panel de fournisseurs d identité auprès duquel l internaute a souscrit un abonnement. En fonction du service, l intermédiaire procède aux opérations suivantes : communication d attributs, ou requête auprès d autres prestataires de données complémentaires : majorité, adresse, date de naissance.., sous contrôle de l ayant droit Appelons IDP (Identiy Provider) les fournisseurs d identité et SP (Service Provider) les prestataires de services en ligne. Lorsque l internaute se connecte à un SP, il est dans le mode «roaming» des opérateurs de téléphonie mobile à l international ; charge au prestataire local d identifier le titulaire de l abonnement pour percevoir sa partie de revenus. C est aussi le cas des fournisseurs Wi-Fi dans les lieux publics qui demandent à l usager de s authentifier auprès d une liste de telcos. Ce «roaming d identité» correspond à la problématique du cercle de confiance ; l internaute se connectant comme le voyageur chez un prestataire (SP) dont il n est pas client. Comme il dispose de plusieurs fournisseurs d identité (.IDP) - ANTS, Banques, telcos, notaires - il privilégie celui qui garantit le maximum d interopérabilité. Cette fonction d intermédiaire d identité broker - est similaire à celle assurée par les prestataires de paiement. Bien qu un internaute soit client de MasterCard ou Visa, il souscrit un compte chez Paypal qui valide la demande et se rémunère sur le montant de la transaction. L appartenance à un «cercle de confiance» évite à l ensemble des prestataires en ligne (SP) de signer des accords bilatéraux avec tous les fournisseurs d identité (IDP) 253, une procédure fastidieuse qui limiterait, à terme, le nombre d IDP et SP ; chaque nouvel intervenant devant formaliser une relation contractuelle avec les parties en présence. Dans ce contexte, la rémunération du service de certification d identité se partage entre l IDP titulaire de l enrôlement - et le cercle de confiance qui garantit l interopérabilité des acteurs. Cette approche est celle d InfoCard de Microsoft, conçu comme un «point d entrée» (Single Sign On) vis-à-vis de sites sécurisés, à la différence près que toute interaction entre l usager et prestataires devra être activée par certificat ; l identifiant/ mot de passe n offrant pas suffisamment de garanties. Dans la mesure où les solutions de SSO, voire de coffres-forts électroniques, ambitionnent de se positionner vis-à-vis de services en ligne, il est fondamental qu elles incorporent à l avenir des mécanismes d authentification forte à base de certificats; réciproquement les offres de SSO du marché constituent une piste privilégiée pour le développement de projets d identité dans la mesure où elles s appuient sur des architectures solides et pourront contribuer au développement de nouveaux standards sur l ensemble de la chaîne de traitement. 253 Mais ceci nécessite d intéresser les multiples intervenants fournisseur d identité, fournisseur d attributs, intermédiaire d identité à la manière dont le réseau Visa se rémunère, même si Paypal assure la transaction lors d un achat en ligne.

67 Les leviers d usage dans la société de l économie numérique 67/ Acceptation d une identité dans un cercle de confiance Le Schéma figuré cicontre (Wikipedia, SAML) décrit le mécanisme de recherche d attributs par protocole SAML. Le fournisseur de services demande des attributs complémentaires qui sont transmis par le fournisseur d identité, sur contrôle explicite de l usager. Le schéma 254 SAML ci-dessus nécessite que le prestataire de services en ligne (SP) ait au préalable passé un accord avec le fournisseur d identité (IDP), notamment le principe d une rémunération en échange d un gain de productivité sur le contrôle d identité. Si ce n est le cas, il fera appel à un cercle de confiance ou «opérateur de roaming d identité», comme décrit ci-dessus. Le rôle du «cercle de confiance» nécessite la mise en œuvre d un répertoire (Directory) de prestataires de services (SP) et fournisseurs d identité (IDP) avec qui sont signés des accords de partage des revenus. Ce schéma est décrit par les spécifications du mécanisme de la Swiss ID 255 dans sa version de Juin 2010 qui met en œuvre les composants suivants : Fournisseur d identité (IDP). Autorité d authentification basée sur les standards SAML 2.0 Service de requête (Claim Assertion Service (CAS). Une autorité de requête d attributs basée sur SAML 2.0. Architecture Client / Serveur pour authentification forte et demande d attributs complémentaires Fournisseurs de services (SP) dont les procédures d authentification forte et la demande d attributs est basée sur SAML 2.0 Répertoire (Directory) faisant le lien avec d autres fournisseurs d identité de façon à communiquer des attributs complémentaires Wikipedia 255 SuisseID Specification. Digital Certificates and Core Infrastructure Services. Version 1.3 June 10, SuisseID Specification. Digital Certificates and Core Infrastructure Services. Version 1.3 June 10, The Core Infrastructure consists of two distinct services: a. Identity Provider (IdP). An authentication authority according to the SAML 2.0 standards [17]. Its purpose is to confirm identity by means of SAML 2.0 assertions; b. Claim Assertion Service (CAS). An attribute authority according to the SAML 2.0 standards acting as a distributor of SAML 2.0 attribute assertions. 2. Client/User: Recent browser technology is required to support the web frontend usage pattern (Web SSO and web-based attribute query). Other usage patterns can be applied, such as document signing and Identity Selectors that support the information card paradigm using WS-Trust identity and attribute assertions; 3. Applications: Service Providers integrate services and applications into the CAI, possibly taking advantage of the rich functionality offered by the IdP/CAS. For Web SSO and web-based attribute queries, applications will use SAML 2.0 HTTP POST profile; 4. Directory- & Assertion Services: Directory and database providers may introduce additional IdP and CAS services to provide business-relevant assertions about the certificate owner, like "the person is a registered notary" or "the person is a registered medical doctor".

68 Les leviers d usage dans la société de l économie numérique 68/ 140 L autorité de certification (IDP) héberge à la fois des données «génériques» du demandeur mais également des attributs complémentaires qui pourront être requis par certains services : date de naissance, adresse, etc Par contre il est fondamental d appartenir à un Cercle de Confiance grâce auquel fournisseurs d identité (IDP) et prestataires de services (SP) pourront échanger des données, sans nécessairement devoir passer des accords bilatéraux (Cahier des Charges Swiss ID Digital Certificates and Core Infrastructure Services). 4.3 Réduction de la fraude Typologie de la fraude L Observatoire de la sécurité des cartes de paiement de la Banque de France 257 a défini une typologie de la fraude en fonction de l origine des malveillances : Carte perdue ou volée : le fraudeur utilise une carte de paiement à l insu de son titulaire légitime, suite à une perte ou à un vol ; Carte non parvenue : la carte a été interceptée lors de l envoi au titulaire légitime par l émetteur. Ce type de fraude se rapproche de la perte ou du vol. Cependant, il s en distingue, dans la mesure où le porteur peut moins facilement constater qu un fraudeur est en possession d une carte lui appartenant;. Carte falsifiée ou contrefaite : une carte de paiement authentique est falsifiée par modification des données magnétiques, d embossage ou de programmation. La contrefaçon suppose la création d un support donnant l illusion d être une carte de paiement authentique et/ou susceptible de tromper un automate ou une personne quant à sa qualité substantielle. 257 En France, l Observatoire de la sécurité des cartes de paiement, publie chaque année un rapport qui inclut les données concernant le commerce électronique grâce à un partenariat avec la FEVAD qui s appuie sur un échantillon de 33 entreprises de vente à distance représentant 38% du chiffre d affaires des adhérents de la FEVAD.

69 Les leviers d usage dans la société de l économie numérique 69/ 140 La fraude sur les paiements à distance est en hausse constante (0,263 % en 2009) pour un montant évalué à 52 millions d euros. Un taux encore plus élevé pour les paiements transnationaux, qui représentent 7% de la valeur des transactions, et comptent désormais pour 57% du montant de la fraude. Un pourcentage à relativiser, vu la croissance du commerce sur la toile (+40%/an) et la valeur des paiements à distance (+ 17,1 % en valeur, 19,7 % en volume) Transformation vs fraude Augmenter les taux de transformation constitue l objectif majeur des prestataires de services en ligne, bien d avantage que lutter contre la fraude. Si l on évalue à près de 50% les transactions de ecommerce (30 milliards d Euros) non abouties, résorber les taux d échec pèse bien plus lourd que les quelques 0,26% de fraude sur les cartes de crédit. Rappelons le point suivant «La fraude sur les cartes de paiement, principal moyen de paiement utilisé en France, reste faible. Comme près d un acheteur sur deux en moyenne abandonne la transaction d achat entre la validation de la commande et le paiement, les e-commerçants sont à priori réticents à renforcer la sécurité du paiement au risque de complexifier la transaction et d augmenter encore le taux d abandon. 258» Par contre, et vu la croissance du commerce électronique (40%/an), le montant estimé de la fraude aux cartes de paiement constitue un potentiel d environ 50 millions d euros, devant permettre à des intermédiaires de proposer des solutions à base de certificats? - et éventuellement rebondir sur d autres secteurs 259 nécessitant une sécurité des paiements en ligne 260. Dernier point à investiguer, les achats en ligne depuis l étranger, dont le taux de fraude est 5,5 fois plus élevé que celui constaté en France : 1,44% contre 0,26%! Vu les travaux entrepris par les CEN /CENELEC /ETSI 261 sur la révision de la Directive 99/93 et les enjeux du programme STORK, l identité transfrontière constitue un «Use Case» majeur pouvant favoriser le ecommerce ; un mécanisme à base de certificats confirmation de l identité du porteur? - devant contribuer à minimiser les tentatives de répudiation au paiement depuis l étranger Consortium FC², Gestion des identités, analyse des contextes juridique, socio-économique et sociétal. Paris Rappelons que l Inspection Générale de l Administration travaille à la mise ne œuvre d une base nationale des pièces d identité perdues ou volées dans le cadre d une mission relative à la fraude. Il parait essentiel que cette base soit accessible aux fournisseurs d identité, notamment au stade de l enrôlement, de façon à ce que les procédures d authentification en ligne puissent endiguer les tentatives de fraude. 260 En France, le taux de fraude sur les achats en ligne augmente en 2009 à 0,263% contre 0,235% en Le montant de la fraude en ligne s élève à 51,9 millions d euros. Le taux de fraude sur Internet reste très élevé par rapport aux transactions physiques: le taux est presque 7 fois plus élevé que le taux global (0,263% contre 0,038%). Rapport Banque de France. Fraude aux cartes de crédit sur le commerce en ligne. Paris Le 22 décembre 2009, la Direction Générale Entreprises et Industrie, Politique de l'innovation Industries TIC pour la compétitivité et l'innovation de la Commission Européenne a confié un mandat (M460) aux organismes Européens de normalisation (CEN, CENELEC et ETSI) dans le domaine des technologies d information et de communication appliquées aux signatures électroniques. Le propos de ce mandat est de réactualiser le contenu de la directive 1999/93/CE, texte adopté par le Parlement européen et le Conseil en décembre 1999 de façon à établir un cadre juridique pour la signature électronique et pour les fournisseurs de services de certification au sein du marché intérieur.

70 Les leviers d usage dans la société de l économie numérique 70/ La vision du consommateur Confiance vs automatisation La communication de données sur le web constitue une préoccupation des internautes ; ainsi la relative stagnation du procédé 3D Secure par SMS nécessite-t-elle une réflexion préalable à la mise en œuvre de nouveaux mécanismes. La multiplicité des écrans suscite en général la réticence des usagers et fait chuter les taux de transformation. L acceptation d un périphérique d authentification relève du contexte culturel ; ainsi une étude de Gartner mentionne 262 la préférence des usagers pour l authentification à un ou deux mots de passe, plutôt que l adjonction d un système matériel ou logiciel. Alors que le Gie Cartes Bancaires constate l inverse 263 en France. L expérimentation MSP (mon.service-public.fr), conduite par la DGME, fait état de difficultés rencontrées par les usagers pour installer les lecteurs de cartes aux PC. Cette problématique de «mass market» ne doit pas être sousestimée, notamment la question du coût du terminal gratuit ou prix symbolique une réflexion qui a été au cœur du succès Minitel il y a plus de 20 ans!. Alors que la biométrie est majoritairement considérée comme une donnée «sensible», son usage pour une connexion sécurisée ne semble pas rebuter les internautes et la majorité des enquêtes converge sur ce point 264. Cette acceptation de la biométrie, qui n est pas neutre, pourra être considérée comme une alternative au Code PIN pour des accès distants, comme c est le cas dans certains pays ayant implémenté leur CNIe. Il est vrai que les technologies de MOC, Match On Card, permettant de contrôler l identité en local (1 :1) limitent les craintes quant à une capture de cette donnée sensible. 262 Livre Blanc, Gestion des Identités, Analyse des Contextes juridique, socio-économique et sociétal. Consortium FC² 263 Enquête Médiamétrie, Gie CB. Selon une étude Groupement des Cartes bancaires sur l authentification42, 65 % des internautes sont favorables à l utilisation d un boîtier (lecteur de carte à puce avec clavier) connecté à leur PC. 264 Pour le choix d une méthode d authentification renforcée, les consommateurs semblent séduits par les systèmes biométriques (reconnaissance vocale, empreinte digitale, réseau veineux, reconnaissance d iris, etc.). Ils sont sans doute rassurés par le fait de toujours porter leur sésame sur eux, à condition bien entendu que les techniques d identification considérées soient fiables. C est ce que souligne une étude menée par Unisys43 en mai 2006 dans 14 pays. Elle confirme la préférence exprimée par des utilisateurs pour des techniques d identification biométriques (66%), devant les technologies de type lecteur de cartes à puce (46%), jeton de sécurité (42%), ou le rajout d un mot de passe supplémentaire (15%).

71 Les leviers d usage dans la société de l économie numérique 71/ 140 Cette perception «positive» de la biométrie est relayée par la CNIL qui précise ne pas avoir d objection vis à vis de procédés d authentification biométrique dans les cas suivants 265 : Match On Card (1 :1) Système sans trace Détection du «caractère vivant» de l internaute, exemple réseau veineux (et non une empreinte pouvant être copiée) du doigt Confidentialité vs sécurité Caroline Lancelot-Miltgen 266, dans son étude de Paris-Dauphine, a bien perçu que la transmission de données sur la toile nécessite un rapport de légitimité entre l internaute et le service 267. Davantage en confiance vis-à-vis d un compte dont il est titulaire, il se méfie des sites qui, sous prétexte d avantages remises, facilités de paiement débutent la procédure par une enquête, nécessitant la transmission de données sensibles : numéro de téléphone, adresse, etc Ainsi distingue-t-elle 4 critères qui conditionnent la transmission des données 268 : Confidentialité perçue : Confiance dans la capacité du récipiendaire à garder les informations confidentielles lien avec la sécurité perçue Sensibilité perçue : Degré de sensibilité de l information Pertinence perçue : Légitimité, proportionnalité de la demande d information par rapport au type de transaction Equité perçue : rapport coût / bénéfice perçus Par contre, le web constitue l auberge espagnole des pseudos 269, mais ceci n est nullement contradictoire dans la mesure où l anonymat constitue un sésame d usage, contrairement au processus d enrôlement, nécessairement rigoureux à des fins d enquête en cas de malveillance. Parmi les données sensibles et sources de prudence, numéro de carte de crédit et coordonnées téléphoniques, en raison des risques de divulgation. Ceci peut expliquer, partiellement, le peu d enthousiasme suscité par 3D Secure, d autant que le numéro de portable, davantage que celui du domicile, est considéré comme une donnée critique. Par contre l , en majorité un pseudo, est communiqué sans réserve. 265 Entretien avec Monsieur Gwendal Legrand. CNIL. 266 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratégie Prospective. Etude Dauphine Février L internaute et ses données. Ce qu on dit, ce qu on fait. 267 Avant toute chose, pour accepter de se dévoiler, une majorité de cyberconsommateurs attendent des garanties de confidentialité des informations divulguées et de sécurité en cas de transfert des données. Ces garanties constituent tout à la fois un préalable, un pré requis, une assurance et s avèrent donc indispensables à l établissement de la confiance. Viennent ensuite des avantages de nature utilitaire tels que des réductions de prix, un meilleur service ou des offres davantage personnalisées. Ce type de bénéfices peut constituer, pour certains internautes au moins, une contrepartie intéressante, susceptible de les encourager à répondre. En revanche, les récompenses monétaires sous forme de cadeaux ou d argent sont globalement peu plébiscitées, voire carrément stigmatisées. Pour une grande majorité d internautes en effet, le fait d être payé ne les inciterait pas à donner davantage d informations. Idem 268 Rappelons que la CNIL exige deux principes de bases de la collecte de données, à savoir que la collecte doit être loyale, et que les données collectées doivent être utilisées uniquement pour la finalité pour laquelle elles sont été collectées. Gwendal Legrand CNIL Février Si certains sont prêts à mentir pour obtenir ce qu ils souhaitent (14% des internautes interrogés le font souvent voire systématiquement), d autres cherchent à conserver une part de secret, en omettant par exemple les champs facultatifs. Une autre solution consiste à recourir à un pseudo. La moitié des répondants préfèrent ainsi l utiliser plutôt que de fournir leur «véritable identité». Très répandu de nos jours sur le web, le pseudonyme constitue donc désormais une véritable identité numérique, qui tend parfois à surpasser l identité «réelle». Idem

72 Les leviers d usage dans la société de l économie numérique 72/ 140 Comme indiqué par le baromètre CDC-ACSEL 270, l internaute fait d abord confiance à l Etat puis aux opérateurs privés en matière de communication de données : La transmission d attributs d identités entre administrations est acceptée par 57% des internautes En revanche la majorité des internautes rejettent cette possibilité avec des opérateurs privés La réticence des internautes vis-à-vis de partenaires privés doit être prise en compte dans la perspective de cercles de confiance. Le baromètre CDC- ACSEL rapporte cette défiance bien que la communication d attributs se fera sous contrôle exclusif de l usager. Rappelons l importance de l ergonomie, sachant que près de la moitié de transactions en ligne n aboutissent pas. La multiplicité des écrans, comme la facilité d usage du site, sont des éléments déterminants du processus de confiance. Les familiers du web sont prompts à suspecter une malveillance ; quant aux populations moins averties, elles seront facilement découragées par des procédures complexes. Un point fondamental, l homogénéité des procédures d authentification dans les cercles de confiance de façon à ce que les automatismes prennent le pas sur la suspicion. Le succès d un Paypal, bien qu il mémorise des informations sensibles, vient de la facilité de mise en œuvre du mécanisme de paiement Les coffres-forts électroniques Les coffres-forts électroniques n ont pas encore bonne presse ; disposer en ligne des données sensibles feuilles d IR, bulletins de salaire n est pas ressenti comme un besoin par nos concitoyens ; réticence qui se justifie par l absence de procédures d authentification en ligne. Le consortium FC² rappelle que «Dans le cas du pilote MSP (mon.service-public.fr), cette fonctionnalité avait été peu utilisée, notamment par crainte que tous les sites fédérés puissent avoir accès aux données y étant archivées (ex. la CAF qui pourrait avoir accès à ma déclaration d impôt sur le revenu) 271». La crainte de divulgation d informations reste forte, bien que toute garantie ait été donnée aux bénéficiaires quant à la non communication des données. Par contre, la CNIL exclut à ce jour le stockage de données santé dans ce type de dispositifs Les certificats électroniques Bien qu ils ne soient pas encore rentrés dans l usage, les certificats bénéficient déjà d un capital de confiance. Ainsi le baromètre CDC- ACSEL rappelle que 3/4 des internautes, ayant fait leur déclaration d impôts en ligne, ont utilisé un certificat électronique et que son utilisation les a rassurés (80%) Baromètre Caisse des Dépôts/ACSEL La confiance des Français dans le numérique Baromètre Caisse des Dépôts/ACSEL La confiance des Français dans le numérique. Mars Livre Blanc, Gestion des Identités, Analyse des Contextes juridique, socio-économique et sociétal. Consortium FC² 272 Article L du code de la santé publique. Communication de Gwendal Legrand CNIL. Février Baromètre Caisse des Dépôts/ACSEL. La confiance des Français dans le numérique 11 mars 2010

73 Les leviers d usage dans la société de l économie numérique 73/ 140 Il est possible que les récents débats sur la future Carte Nationale d Identité Electronique aient mis en confiance les futurs usagers car les chiffres traduisent une forte adhésion au procédé. Le total de personnes intéressées avoisine les 50%, score très honorable, avant même que le programme ait été lancé (Baromètre CDC- ACSEL) Publié en Mars 2010, le baromètre CDC-ACSEL reflète la perception des français vis-à-vis de l économie numérique. Faisant une large part au projet de CNIe, il est antérieur à l initiative IDéNUM visant à diversifier la fourniture de certificats pour des services en ligne. Il est donc opportun de pondérer ces réponses, le paysage identitaire s étant diversifié depuis cette enquête. Point positif, nos concitoyens se montrent fort réceptifs vis-à-vis des projets d identité de l Etat : La carte d identité paraît attractive pour près de la moitié des individus (internautes ou non-internautes), et très attractive pour une personne sur six. Au final, 20% des internautes seraient tout à fait prêts à utiliser la CNIE, et 37 % seraient potentiellement utilisateurs. A cet égard, la présentation du concept de CNIe répond bien à un souci d accès en ligne sécurisés. «La carte d identité électronique vous permettra de faire tout ce que vous pouviez faire avec la version actuelle de votre carte d identité : prouver votre identité, voyager en France et en Europe. De plus, grâce à l ajout d une puce électronique (comme sur les cartes bancaires), la carte d'identité électronique permettra d accéder à des services en ligne. En l'insérant dans un lecteur connecté à votre ordinateur, vous pourrez prouver votre identité par Internet en toute sécurité, apposer une signature électronique (grâce au certificat qu elle contient) et ainsi signer en ligne des documents, compléter des documents et formulaires

74 Les leviers d usage dans la société de l économie numérique 74/ 140 officiels de manière sécurisée, de faire des démarches administratives à distance Elle peut également servir à remplir automatiquement vos informations personnelles lors d'achats sur Internet, ou de pièce d identité lors de la réservation de voyages ou d'hôtels, location de véhicule, etc, sans avoir à ressaisir des données vous concernant 274». Près de 60% des internautes sont disposés à utiliser leur CNIe pour des services en ligne (Baromètre CDC ACSEL) Comme le sondage s accompagne des modalités de connexion en ligne, nos internautes font preuve d une forte maturité vis-à-vis de procédés d authentification et de signature. Autre point pertinent du baromètre CDC-ACSEL «La facilité d usage et le gain de temps potentiels sont les principaux avantages perçus, y compris parmi les internautes non-intéressés», preuve que la qualité des écrans et l ergonomie contribuent à augmenter les taux de transformation, préoccupation majeure des prestataires. Par contre, l enquête rappelle que «Les freins à l usage sont multiples, les plus forts étant liés aux risques d usurpation d identité, de mauvais fonctionnement, de confidentialité, et également au fait de ne pas utiliser Internet». Des réticences qui pourront être levées sur la base de garanties fortes, vu le capital confiance dont bénéficie la future CNIe. Egalement fondamental, un souci «à la Paypal» de ne pas ressaisir les données 275 ; «La simplicité d emploi, et notamment le fait d éviter de ressaisir les informations sont les principaux avantages perçus par les internautes». Par contre «la centralisation des données des identités constitue un frein important, associé au manque de sécurité perçu 276». Un souci partagé par la CNIL qui affiche sa préférence vis-à-vis de multiples prestataires d identité, de façon à éviter de tracer les accès en ligne comme de consolider des informations ; des mécanismes pouvant contribuer au profilage des internautes. Le baromètre CDC-ACSEL rappelle que le point «fort» d une CNIe vient surtout de l ergonomie et de la facilité d usage ; preuve que ces mécanismes permettront d augmenter les taux de transformation vis-à-vis de services sur la toile. Par contre, la communication de données personnelles, même s il n est pas prioritaire, est mentionnée par le quart des usagers. 274 Baromètre Caisse des Dépôts/ACSEL. La confiance des Français dans le numérique 11 mars Rappelons que Paypal est également le premier service permettant des transferts de fonds sur internet entre particuliers avec un niveau de sécurité généralement perçu comme acceptable et qu'il est possible d'alimenter son compte Paypal par chèque ou par virement bancaire. On peut également souligner que l une des grandes innovations de Paypal est de permettre à un individu ne souhaitant pas utiliser sa carte bancaire en ligne de pouvoir tout de même payer électroniquement. Gwendal Legrand. CNIL. Février Idem

75 Les leviers d usage dans la société de l économie numérique 75/ Les supports d authentification Dans le cadre de cette étude, nos concitoyens se montrent très conservateurs vis-à-vis des nouveaux supports d identité, le format papier traditionnel ou celui des cartes de crédit paraissant bien plus rassurants que les clés USB ou téléphones mobiles 277. A la question «En ce qui concerne votre état civil, quel support Préférez-vous pour prouver votre identité?» Le sondage confirme un fort conservatisme des usagers. (Etude IDATE/ACSEL) Mais ces réponses doivent être nuancées dans la mesure où, lors de cette enquête (2009), des offres de type IDéNUM n étaient pas encore d actualité ; d autant plus que nos voisins helvétiques ont globalement plébiscité les clés USB pour l identifiant Suisse ID (95%), un dispositif qui ne demande pas de lecteur additionnel et peut être facilement transporté avec l usager lors de déplacements. Autre élément important, la nécessité de prendre en compte smartphones et tablettes PC qui, à terme, en embarquant des certificats, ont vocation à se positionner comme des outils de la confiance. 4.5 Anonymisation et traçabilité Anonymisation et traçabilité ne sont pas des concepts antinomiques, une assertion confirmée tant par la réglementation que les technologies disponibles. La traçabilité pouvant être assurée à plusieurs niveaux de la chaîne de confiance : Emission d un certificat d authentification Cette procédure s inscrit dans le cadre de la Directive Européenne 1999/93/CE du Parlement européen et du Conseil du 13 décembre , dont l attendu 25 rappelle que les dispositions relatives à l'utilisation de pseudonymes dans des certificats ne doivent pas empêcher les États Membres d exiger l'identification des personnes conformément au droit communautaire ou national. Une mesure rappelée par le Cahier des Charges IDéNUM, issu du RGS, pour sa procédure d enrôlement des usagers 279. D une part, un certificat contenant peu de données conforme aux recommandations CNIL qui souhaite que le minimum soit communiqué -, de l autre, l état civil de l internaute, qui reste propriété du fournisseur d identité, pouvant être communiqué en cas de malveillance. Enrôlement Même si les données transmises sont minimales, les procédures d enrôlement à des sites en ligne sont rigoureuses, vu la nécessité de prévenir les tentatives de malveillance, notamment le blanchiment de fonds. Ainsi, les opérateurs de jeux en ligne préservent l identité sous forme de pseudos mais ont une obligation légale de détenir l état civil de l internaute. 277 Les supports traditionnels tels que le papier ou la carte à puce gardent leur crédibilité. Un début d intérêt pour l authentification par la biométrique, notamment pour les non-internautes qui la jugent sans doute plus rassurante. Les supports tels que le mobile, l ordinateur ou la clé USB ne sont pas encore perçus comme des supports d identité, tant par les internautes que les noninternautes. 278http:// 279 Sur les fonctions d authentification : Chapitre 3.2 du RGS : - annexe B3 du RGS : - annexe A2 du RGS : - annexe A7 du RGS :

76 Les leviers d usage dans la société de l économie numérique 76/ 140 Une fois le pseudo établi, le joueur se présente en anonyme sur la toile, mais le prestataire mémorise ses accès dans un dossier de preuves ; ainsi le PMU rappelle que «Le joueur accepte que tous ses échanges avec le PMU concernant la plateforme de jeux : s, SMS et appels téléphoniques soient enregistrés et conservés. Ces enregistrements seront la propriété du PMU et pourront être utilisés comme preuve dans le cas d un litige, ou pour améliorer le service à la clientèle. 280 Une précaution qui répond à la demande de l ARJEL de gestion des traces 281 des joueurs. 280 PMU, Règlement des paris en ligne Arrêté du 17 mai 2010 portant approbation du cahier des charges applicable aux opérateurs de jeux en ligne Description détaillée du frontal relative au stockage sécurisé des traces : stratégie détaillée employée pour la création des traces ; architecture technique et fonctionnelle détaillée ; désignation des sous-traitants ou fournisseurs éventuels ; spécification détaillée ; précision des différents algorithmes employés ; spécification précise du déroulement de la cérémonie de clés nécessaire ; spécification et rôle des bi-clés utilisées ; politique de sécurité ; analyse de risques effectués ; rapports de tests effectués ; codes sources ; documents d administration et d exploitation ; procédures mises en place notamment en terme de protection contre les accès non autorisés ; procédures mises en place notamment en terme de protection contre les accès non autorisés. Fourniture du certificat de sécurité a minima de premier niveau du coffre-fort (ou fourniture du calendrier d obtention accompagné d une note du centre d évaluation ou du centre de certification attestant que la procédure de certification a été engagée). Description détaillée des mécanismes d authentification et de confidentialité mis en place (entre le joueur et le frontal, entre les différents modules du frontal, entre le frontal et la plate-forme). Description détaillée de la cérémonie envisagée pour l initialisation du coffre. Description détaillée des mécanismes d authentification des personnes physiques au coffre. Description détaillée de l outil de collecte à distance des fichiers de traces. Description détaillée de l outil de validation et d extraction des fichiers de traces. Description détaillée des mesures de sécurisation du frontal. Description détaillée des fonctions d administration des utilisateurs du frontal : spécifications détaillées ; code source ; rapports de tests. Etc

77 Les leviers d usage dans la société de l économie numérique 77/ LE CADRE JURIDIQUE 5.1 Quelques jurisprudences étrangères (Etats-Unis d Amérique) concernant l authentification L instauration d un régime de confiance sur les réseaux numériques repose sur un pré-requis simple : imputer une action ou une opération à une personne déterminée. A défaut, comment la confiance pourrait elle exister? Dès lors, on comprend bien l importance de la phase d authentification pour tout service de l Internet, notamment en raison de l essor de la cybercriminalité et de la fraude. Cette prise de conscience induit de soumettre les acteurs économiques aux nouvelles exigences liées à la sécurisation de leurs activités, notamment via l authentification et l identité numérique. Ce phénomène de responsabilisation encore en développement, a reçu récemment une confirmation de la part de la justice américaine. Ainsi, dans une décision du Tribunal «de première instance» de l Illinois, dans une affaire Shames Yeakel vs Citizen Financial Bank en date du 21 août 2009 (Case 07 C 5387)282, les juges ont accueilli favorablement la plainte d une victime d une cyber-attaque sur son compte bancaire en ligne, déposée contre l établissement bancaire. L établissement bancaire a été condamné. Ce jugement remettait en cause l authentification à facteur unique (un seul canal d identification comme l identifiant/mot de passe) pour protéger l accès aux comptes bancaires en ligne. Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En février 2007, une personne non identifiée a accédé, à partir d une autre adresse IP que celle utilisée par les Epoux, à l un des comptes qu ils possédaient, en utilisant l identifiant et le mot de passe de l épouse. Cette personne a ensuite effectué un virement électronique d un montant de US$ à partir du compte. L argent a été alors transféré vers une banque se situant à Hawaii pour finalement être envoyé vers une banque en Autriche. Quand le vol a été découvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme en question. Par la suite, Citizens Financial a décidé d engager la responsabilité des Epoux en exigeant le remboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à Citizens Financial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures de sécurité nécessaires pour protéger leur compte. Les revendications étaient, en effet, fondées sur la violation des dispositions des Truth in Lending Act, Fair Credit Reporting Act (FCRA) et Electronic Funds Transfer Act, ainsi que sur le non respect du droit coutumier. L un des points intéressants du dispositif du jugement a trait à l authentification au moment de l accès aux comptes bancaires via Internet. Citizens Financial Bank exigeait l utilisation de mots de passe créés par ses seuls clients. Un expert de la sécurité informatique auprès de la banque a considéré que les mesures de sécurité mises en place étaient «raisonnables et ne constituaient pas la cause du transfert non autorisé». Toutefois, les Epoux ont soutenu que les pratiques de sécurité de Citizens Financial Bank ne satisfaisaient pas aux normes généralement admises. Leurs revendications s appuyaient largement sur un rapport émis en 2005 par le Conseil Fédéral d Examen des Institutions Financières (FFIEC). Ce document a dénoncé l utilisation d authentification à facteur unique pour protéger l accès aux comptes bancaires en ligne comme étant un moyen de sécurité «insuffisant». En effet, en tant qu élément unique pour assurer la sécurité des accès aux comptes, cette méthode n est pas adaptée aux transactions à haut risque, liées à l accès aux données privées du client et aux mouvements des fonds vers les personnes tierces. Le Conseil estime que les techniques d authentification utilisées par les établissements financiers doivent être proportionnées aux risques liés à leurs produits et services. Dans le rapport, on retrouve une liste non exhaustive de différentes solutions technologiques et méthodologiques qui peuvent être mises en place par ces institutions financières afin de procéder à l authentification de leurs clients. Cette liste comprend notamment l utilisation de mots de passe, de numéros personnels d identification (PINs), de certificats électroniques, de supports physiques tels que les 282 Commentaire par Eric Caprioli, Première décision américaine concernant l'authentification par voie électronique d'un client bancaire, Communication Commerce Electronique (LexisNexis) n 4, Avril 2010, comm. 41.

78 Les leviers d usage dans la société de l économie numérique 78/ 140 smart cards ou les clés USB, de mots de passe uniques (OTPs) ou d autres types de «tokens», de l identification biométrique etc. Ainsi, ces méthodes d authentification forte sont plus fiables et permettent de prévenir des cas de fraude plus efficacement. Par exemple, la protection assurée par l utilisation d un mot de passe et d un identifiant est une authentification à un facteur (l utilisateur fournit uniquement une information qu il possède) tandis qu une méthode d authentification forte exige une combinaison d un élément que l utilisateur possède (ex. smart card) avec une information qu il détient (ex. code PIN). Le FFIEC recommande donc aux établissements financiers d adopter des mesures d identification forte pour mieux protéger les transactions à risque, les usurpations d identité, les fraudes commises sur les comptes etc. De surcroit, en février 2007, le prestataire technique en charge de la gestion de la sécurité de son site avait adressé à Citizens Financial Bank un rapport de sécurité qui mettait en avant un nombre considérable de «vulnérabilités et abus de sécurité qui ont eu lieu durant le mois précédent, y compris l apparition d un programme visant à usurper les mots de passe». La notion d authentification concerne non seulement les établissements bancaires mais aussi toute autre société réalisant des actes de commerce par voie électronique. Ainsi, en application de la loi de New York, il a été récemment décidé dans l affaire The Prudential Insurance Company of America v. Dukoff and Estate of Shari Dukoff, en date du 18 décembre , qu une partie au contrat qui souhaite faire respecter une signature électronique sur un contrat d'assurance est tenue d'apporter une preuve qui permette de vérifier l'identité de la personne ayant apposé ladite signature. A l occasion de cette affaire, le juge procède aussi à définir la notion d une signature électronique qui permet l authentification lors de la signature des contrats en ligne. En effet, au sens de l article III relatif à la signature et aux enregistrements électroniques (ESRA) de la loi de l'état de New York (NYS Technology Law, datant du 28 septembre 1999)284, une signature électronique doit être entendue comme un son, un symbole ou un procédé électronique, attaché ou logiquement associé avec un enregistrement électronique et réalisé par une personne qui a l'intention de signer ledit enregistrement ( 302 de la loi en question). Une fois ces conditions satisfaites, une signature électronique peut être utilisée par une personne au lieu d'une signature manuscrite et ce procédé doit avoir exactement le même effet juridique. Cependant, en jugeant le régime légal insuffisamment restrictif, le juge de la présente décision impose une exigence supplémentaire en estimant qu une signature électronique ne peut pas être considérée valable en absence d un identifiant unique et personnel permettant une authentification et une association de cette signature à l ensemble des données transmises. En l espèce, la partie plaignante invoquait qu une simple case à cocher dans un formulaire sur l Internet peut constituer une signature électronique valable mais à condition que l'assureur soit en mesure de vérifier que la personne signant électroniquement le document en question est bien celle qui sera considérée comme partie au contrat. D'ailleurs, la présente décision n'est pas restée sans suite, puisque la jurisprudence postérieure est déjà intervenue pour confirmer la solution retenue. En effet, dans la décision Adams vs. Quiksilver, Inc., 2010 Cal App. Unpub. LEXIS 1236 du 22 février les juges ont estimé que lorsque plusieurs parties avaient accès à un contrat conclu en ligne, il appartient à celle qui cherche à faire respecter cette convention de prouver quelle partie a effectivement signé le contrat. 5.2 Une définition européenne de l authentification Pendant longtemps, en l absence d une définition juridique 286 précise de l authentification en tant que telle, il a fallu se référer aux dispositions relatives à la signature électronique en tant que méthode 283 United States District Court, Easterb District of New York, The Prudential Insurance Company of America vs Dukoff and Estate of Shari Dukoff, Case -07-CV /12/2009, Communication Commerce Electronique (LexisNexis), Novembre 2010, comm. 116, Eric A. Caprioli Il existe des définitions techniques de l authentification, elles ne sont pas prises en compte dans le cadre de la présente analyse qui se situe sur un plan juridique.

79 Les leviers d usage dans la société de l économie numérique 79/ 140 d authentification. L article 2 de la directive 1999/93/CE 287 du 13 décembre 1999 du Parlement européen et du Conseil, sur un cadre communautaire pour les signatures électroniques la définit comme «une donnée sous forme électronique, qui est jointe ou liée logiquement à d autres données électroniques et qui sert de méthode d authentification». En outre, un certificat qualifié qui constitue un dispositif sécurisé de vérification d une signature électronique est défini par l article 2-9 de la directive comme «une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l identité de cette personne». D autres textes européens, comme les différentes directives européennes relatives à la facture électronique et aux marchés publics se fondent également sur des procédés de signature électronique 288. La première définition à part entière de l authentification apparaît avec le Règlement communautaire n 460/2004 du 10 mars instituant l Agence européenne chargée de la sécurité des réseaux et de l information (ENISA). Selon son article 4-e, l authentification doit être interprétée comme «la confirmation de l identité prétendue d entités ou d utilisateurs». 5.3 Les renvois législatifs et réglementaires à la notion d identité numérique Les outils de diffusion sur le Web 2.0 ne manquent pas pour s exprimer : les blogs, les chats, les forums de discussion, les plateformes de partage multimédia, les réseaux sociaux, les wikis, etc. L explosion rapide de tous ces espaces de communication et d expression pose alors avec acuité la question de l identité numérique, notion confuse et complexe que les travaux les plus récents en sciences humaines et sociales tentent de circonscrire. Le basculement dans l'ère du tout numérique consacré par plusieurs lois 290 s'appuie notamment sur des normes techniques permettant d'identifier avec un degré de confiance suffisant les interlocuteurs utilisant un ensemble de systèmes d information ou des systèmes de traitement automatisé de données (STAD). Les différentes formes de «signature numérique», les protocoles d'identification et de chiffrement des flux de données constituent autant de garanties techniques sur lesquelles reposent la régularité et la sécurité des transactions. Toutefois, l'usage courant du pseudonyme (qui est un moyen d identification d un individu sous couvert d anonymat) constitue un obstacle dans la recherche de certitude d une véritable identité numérique. Ainsi, l'identité sous forme numérique échappe pour l heure à toute attribution par une autorité publique, c'est-àdire que les éléments qui la composent ne relèvent pas de l'identité juridique de la personne. Pourtant, dans la mesure où elle se trouve au cœur d une réflexion nationale voire européenne dans le cadre du renforcement de la confiance numérique, touchant à des tels problèmes que l e-réputation, la protection des données personnelles ou encore le respect de la vie privée sur l Internet, différents textes législatifs et réglementaires s y réfèrent. Actuellement, au moins quatre textes peuvent s'appliquer à la protection du nom d une personne à proprement dit, mais dans des cas très spécifiques. 287 J.O.C.E., L 13 du 19 janvier 2000, p. 12 et s. V. notamment : Pierre Catala, Le formalisme et les nouvelles technologies, Defrénois 2000, p.897 s. ; Eric A. Caprioli, La loi française sur la preuve et la signature électroniques dans la perspective européenne, J.C.P. éd. G, 2000, I, 224 et La directive européenne n 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, Gaz. Pal octobre 2000, p. 5 et s. Eric A. Caprioli, Sécurité et confiance dans les communications électroniques en droits français et européen, in Libre droit, Mélanges Ph. Le Tourneau, Dalloz, 2008, p. 155 et s., disponible à l adresse Voir par exemple : Directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés dans les secteurs de l eau, de l énergie, des transports et des services postaux (J.O.U.E. n L 134 du 30/04/2004, p. 1 et s.)et directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 relative à la coordination des procédures de passation des marchés publics de travaux, de fournitures et de services (J.O.U.E. n L 134 du 30/04/2004, p. 114 et s.) ; Directive n 2010/45/UE du Conseil du 13 juillet 2010 modifiant la directive 2006/112/CE relative au système commun de taxe sur la valeur ajoutée en ce qui concerne les règles de facturation (J.O.U.E L. 189 du 22 juillet 2010, p. 1 et s). 289 J.O.C.E L 077, 13 mars 2004, p.1 et s. 290 Notamment la loi sur la confiance en l'économie numérique du 21 juin 2004, JO n 143 du 22 juin 2004, p et s.

80 Les leviers d usage dans la société de l économie numérique 80/ 140 Le premier, l'article du code pénal, concerne l utilisation d une fausse identité (au sens de l Etat civil) : «Est puni de six mois d'emprisonnement et de 7500 euros d'amende le fait, dans un acte public ou authentique ou dans un document administratif destiné à l'autorité publique et hors les cas où la réglementation en vigueur autorise à souscrire ces actes ou documents sous un état civil d'emprunt : o 1 De prendre un nom ou un accessoire du nom autre que celui assigné par l'état civil ; o 2 De changer, altérer ou modifier le nom ou l'accessoire du nom assigné par l'état civil.» L'article du code pénal concerne la prise du nom d'un tiers dans des circonstances qui pourraient engendrer à son encontre des poursuites pénales, un tel agissement étant puni de 5 ans d emprisonnement et de euros d amende. De plus, selon l alinéa 3 de cet article : «Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l'état civil d'une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers.» En outre, l article 781 du code procédure pénale dispose : o o o «Quiconque en prenant un faux nom ou une fausse qualité, s'est fait délivrer un extrait du casier judiciaire d'un tiers est puni de euros d'amende. Est puni des mêmes peines celui qui aura fourni des renseignements d'identité imaginaires qui ont provoqué ou auraient pu provoquer des mentions erronées au casier judiciaire. Est puni des mêmes peines celui qui se sera fait délivrer par l'intéressé tout ou partie des mentions du relevé intégral visé à l'article du présent code.». Enfin, selon l article du code pénal, modifié par l Ordonnance n du 19 septembre art. 3 (V) JORF 22 septembre 2000 en vigueur le 1er janvier 2002, «Le fait de se faire délivrer indûment par une administration publique ou par un organisme chargé d'une mission de service public, par quelque moyen frauduleux que ce soit, un document destiné à constater un droit, une identité ou une qualité ou à accorder une autorisation est puni de deux ans d'emprisonnement et de euros d'amende. o Est puni des mêmes peines le fait de fournir une déclaration mensongère en vue d'obtenir d'une administration publique ou d'un organisme chargé d'une mission de service public une allocation, un paiement ou un avantage indû.» Ce dernier texte, régulièrement appliqué, bénéficie d'un régime de cumul des peines, dérogatoire du droit commun. En faisant référence à d'éventuelles sanctions pénales, il pose une condition particulièrement restrictive. On comprend que les capacités de détournement et la facilité de passage à l'acte offerte par les réseaux de communications électroniques aient appelé une initiative législative pour sanctionner l'utilisation de l'identité d'un tiers ou de ses données personnelles. Cependant, il convient de noter qu ici, ce n est pas l usurpation de l un ou plusieurs des identifiants numériques de la personne (ex : adresse de messagerie, noms de domaine, pseudonyme virtuel, ), qui est réprimée, mais seulement l usage des données d identification figurant à l état civil dont le nom de famille, prénoms, domicile, ce qui ne permet pas d appréhender des comportements tels que le phishing ou le spoofing. Ce vide juridique en matière d usurpation d identité a inspiré le sénateur Michel Dreyfus-Schmidt qui a déposé, en 2005, une proposition de loi 291 visant à punir toute personne détournant l identité d autrui sur l Internet, le but étant de lutter contre ce nouveau phénomène mais également de limiter la pratique du phishing. A l époque, le gouvernement ayant considéré que le droit pénal était complet, la proposition n a pas été retenue. Plusieurs parlementaires estimaient, en effet, que le délit d escroquerie, en raison de sa 291

81 Les leviers d usage dans la société de l économie numérique 81/ 140 formulation neutre (voir l article du code pénal), permettait de répondre efficacement à l usurpation d identité sur l Internet 292. A l heure actuelle, il y a plusieurs projets de réforme en discussion, certaines au Sénat, d autres à l Assemblée nationale et qui traitent toutes de l usurpation de l identité, l objectif étant d établir un fondement légal clair et précis quant à son application par les tribunaux. Parmi ces textes, on distingue notamment la proposition de loi relative à la pénalisation de l'usurpation d'identité numérique, présentée devant le Sénat le 6 novembre par Madame le Sénateur Jacqueline Panis et ayant pour but d insérer dans le code pénal un nouveau type d infraction relatif au vol d identité sur l Internet, permettant de cumuler les peines relatives à celle-ci avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise. L idée d un nouvel article incriminant spécifiquement l usurpation d identité sur Internet a continué ensuite son chemin pour donner lieu au dépôt d un projet de loi le 27 mai La Loi d orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) a réintroduit le concept d usurpation d identité numérique qui pourrait bientôt figurer dans le Code pénal puisque le texte a été adopté par l Assemblée Nationale en première lecture le 16 février 2010 pour être ensuite adopté par le Sénat le 10 septembre 2010, sous une forme plus sécuritaire, à travers une trentaine d amendements introduits du côté du gouvernement. Cette nouvelle loi inclurait un article dans le Code pénal : «Le fait d usurper l identité d un tiers ou une ou plusieurs données de toute nature permettant de l identifier en vue de troubler sa tranquillité ou celle d autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d un an d emprisonnement et de d amende. Cette infraction est punie des mêmes peines lorsqu elle est commise sur un réseau de communication électronique ouverte au public». En outre, dans certains secteurs, l identification fiable du client constitue un prérequis essentiel pour toute relation commerciale. Ainsi, sans prétendre à l exhaustivité, on notera : Pour le secteur bancaire. L article L du Code monétaire et financier prévoit : ««I.-Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la préparation ou la réalisation d'une transaction, les personnes mentionnées à l'article L identifient leur client et, le cas échéant, le bénéficiaire effectif de la relation d'affaires par des moyens adaptés et vérifient ces éléments d'identification sur présentation de tout document écrit probant. Elles identifient dans les mêmes conditions leurs clients occasionnels et, le cas échéant, le bénéficiaire effectif de la relation d'affaires, lorsqu'elles soupçonnent que l'opération pourrait participer au blanchiment des capitaux ou au financement du terrorisme ou, dans des conditions fixées par décret en Conseil d'etat, lorsque les opérations sont d'une certaine nature ou dépassent un certain montant. II.-Par dérogation au I, lorsque le risque de blanchiment des capitaux ou de financement du terrorisme paraît faible et dans des conditions fixées par décret en Conseil d'etat, il peut être procédé uniquement pendant l'établissement de la relation d'affaires à la vérification de l'identité du client et, le cas échéant, du bénéficiaire effectif. III.-Les personnes mentionnées au 9 de l'article L satisfont à ces obligations en appliquant les mesures prévues à l'article L ».». Les articles R et s. du même Code prévoient les modalités propres à assurer cette identification. Cette disposition législative se résume en un sigle «KYC» (Know Your Customer) qui constitue désormais un véritable sésame pour tout déploiement d un service financier à distance. 292 V. Eric Caprioli, Le phishing saisi par le droit, Communication Commerce Electronique (LexisNexis), n 2, Février 2006, comm. 37. Sur l usurpation d identité, v. également, Fabrice Matthios, Le phishing bientôt saisi par la loi?,communication Commerce Electronique (LexisNexis). n 9, sept

82 Les leviers d usage dans la société de l économie numérique 82/ 140 Pour le secteur des jeux en ligne, le législateur a fixé de nombreuses mesures de sécurité informatique en prévoyant notamment, à la charge de l opérateur candidat, de préciser «les modalités d accès et d inscription à son site de tout joueur et les moyens lui permettant de s assurer de l identité de chaque nouveau joueur, de son âge, de son adresse et de l identification du compte de paiement sur lequel sont versés ses avoirs [ ]» (art. 17). Les mesures de vérification d identité constituent donc une exigence essentielle pour tout candidat. L une des méthodes permettant d assurer cette vérification est relative à l approvisionnement du compte joueur. En effet, conformément à l article 17, cet approvisionnement ne peut être réalisé «qu au moyen d instruments de paiement mis à disposition par un prestataire de services de paiement établi dans un Etat membre de la Communauté européenne ou un Etat partie à l accord sur l Espace économique européen[ ]». Dès lors, la vérification d identité relève en partie du prestataire de services de paiement (établissement de paiement et établissement de crédit au sens de l art. L du C.M.F suite à la transposition de la directive 2007/64 du 13 novembre 2007 (J.O U.E. du 5 décembre 2007, p.1 et s). Cela ne signifie pas pour autant que l opérateur pourra se défausser de cette vérification d identité. L art. 38 de la loi prévoit, en outre, que les opérateurs doivent mettre à disposition permanente de l ARJEL (autorité de régulation des jeux en ligne) entre autres - les données portant sur l identité de chaque joueur, son adresse et son adresse de courrier électronique ainsi que le compte du joueur. Les opérateurs doivent donc disposer d une base de données à caractère personnel détaillée et respecter les exigences de la loi Informatique, Fichiers et Libertés (article 19). Là encore, rappelons que l article 34 de cette dernière loi prévoit la mise en place de mesures de sécurité à l initiative du responsable de traitement. L objectif principal consiste à préserver la sécurité des données et, à ce titre, le responsable du traitement occupe un rôle prépondérant, de même que l opérateur joue un rôle considérable dans le processus de protection et de vérification des données utilisées pour le site de jeux. Enfin, un autre texte législatif faisant référence à la notion de l identité numérique est la proposition de loi relative à la protection de l identité, déposée au Sénat par Jean-René Lecerf le 27 juillet et qui vise à moderniser la carte nationale d identité, en l équipant de puce électronique sécurisée contenant des données biométriques ainsi que, facultativement, d un système d authentification à distance de la signature électronique. Cependant, il faut noter que là aussi, ce n est pas l usurpation de l identité-même qui se voit sanctionnée, mais plutôt un accès frauduleux dans une base, l entrave ou l altération du fonctionnement de la base ou l introduction, la modification ou la suppression frauduleuse de données. Par conséquent, du point de vue juridique, nous nous trouvons dans une situation largement ambiguë, qui relève à la fois d un vide juridique, d une jurisprudence quasi inexistante et d une multitude de dispositions applicables en vertu de textes qui ne saisissent qu un ou plusieurs éléments du concept sans pour autant l embrasser en totalité. La notion reste donc toujours très difficile à cerner, alors que la myriade d éléments qui constituent l identité sous forme numérique est diversement saisie par le Droit. Ces éléments relèvent par conséquent de statuts juridiques divers, plus ou moins protecteurs (ex. conditions contractuelles d utilisation des sites Web pour les «traces numériques» ou la Loi Informatique, fichiers et Libertés du 6 janvier 1978, modifiée, pour les données personnelles, avec des décisions de la jurisprudence). Aucun domaine de la société (institutions publiques, entreprises) n étant à l abri des préoccupations portées par l identité sous forme numérique notamment en matière d accès à des informations sensibles, de recrutement et d image véhiculée, les premiers problèmes d ordre juridique viennent souligner le caractère sensible de ces questions et mettent en évidence leur complexité V. François Coupez, L usage des réseaux sociaux dans l entreprise et le Droit, A titre d exemple, peut être cité le projet de loi allemande du 25 août 2010 concernant la protection des données à caractère personnel des salariés et qui vise, notamment, à interdire aux employeurs de consulter le profil Facebook et les messages publiés par les candidats à l embauche. En France, même si l obligation de s informer s impose à celui qui recrute (CA Nancy 27 mars 2002 SARL Comabois c/dacquembronne, n 00/01923 ; CA Montpellier 5 février 2002), il ne peut pas utiliser les informations mises en ligne par les candidats (en vertu de l art. L du code de travail).

83 Les leviers d usage dans la société de l économie numérique 83/ Les initiatives gouvernementales (label IDéNum, RGS) Le gouvernement français a depuis longtemps présenté une volonté d amorcer la transition vers la société de l information en permettant au citoyen de disposer de téléservices et d un accès direct par voie électronique aux autorités administratives (administrations, collectivités territoriales, ). L amélioration de la sécurité des infrastructures, des échanges et des données est un facteur clé de succès de cette transition. Ainsi, le RGS (Référentiel Général de Sécurité), rédigé par l Agence Nationale de la Sécurité des Système d Information (ANSSI) et par la Direction Générale de la Modernisation de l Etat (DGME), a été pris en application de l article 9 de l ordonnance du 8 décembre Il définit un ensemble de règles de sécurité s imposant aux autorités administratives dans le but de sécuriser leur système d information dans le cadre d échange des informations par voie électronique. Le RGS s applique à des fonctions comme la signature électronique, l'authentification, la confidentialité ou encore l'horodatage 298. Son décret d application a été publié au Journal Officiel du 4 février , suivi d un arrêté ministériel en date du 6 mai qui approuve la version 1.0. Désormais, les règles formulées dans le RGS s imposent à l'ensemble des autorités administratives telles que définies à l article 1-I de l ordonnance n du 8 décembre 2005, mais aussi à leurs prestataires et aux fournisseurs de solutions de sécurité (horodatage, signature, confidentialité, etc). Les règles énoncées dans le RGS devront être appliquées : Dans un délai de trois ans à compter de la publication de l arrêté pour les téléservices et systèmes en service ; Dans un délai d'un an pour ceux en cours de réalisation ; Et d'emblée pour les téléservices et systèmes déployés après octobre Ces règles sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont elle est responsable. Rappelons que l objectif principal du RGS est de développer la confiance des usagers et des administrations dans leurs échanges électroniques. Il apporte également des éclairages nécessaires sur la marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier celles concernant l'analyse de risques et l'homologation de sécurité d'un système d'information. En effet, en encourageant les administrations à adopter une approche globale pour la protection de leurs systèmes d information, le RGS propose d avoir recours à une analyse systématique des risques, ce qui permet une amélioration continue de la sécurité des systèmes d information. Le RGS se présente ainsi comme un cadre adaptable aux enjeux et aux besoins spécifiques de chaque autorité administrative, en précisant les exigences techniques et les moyens de protection pertinents en termes de produits de sécurité et d offre de services de confiance. Par ailleurs, le RGS constitue le fondement de la mise en place du label IDéNum, à l initiative du Secrétariat d Etat à l Economie Numérique, lancé le 1 er février Il consiste à fédérer les outils d'authentification émis par différents acteurs, en garantissant un niveau homogène de sécurité et d interopérabilité. Un outil labellisé pourrait ainsi donner accès à tous les services en ligne, publics ou privés, de ce niveau de sécurité, ce qui devrait créer une unification des moyens d authentification très 297 Ordonnance n du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JO n 286 du 9 décembre 2005, p et s. E. A. Caprioli, Des échanges électroniques entre les usagers et les autorités administratives d une part, et entre ces dernières d autre part, JCP éd. A et CT, 2006, n 1079, p. 432 et s. 13 Décret n du 2 février 2010 pris pour l application des articles 9, 10 et 12 de l ordonnance n du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JO 4 février 2010, p JORF n 113 du 18 mai 2010, texte n Il est également prévu l élaboration d une annexe relative à l archivage

84 Les leviers d usage dans la société de l économie numérique 84/ 140 diversifiés sur le marché. Les émetteurs pourront dès lors proposer à leurs clients un nouveau service, plus utile dans la vie courante. Ce label sera spécifié, testé et validé par les acteurs de l économie numérique eux-mêmes et viendra compléter la liste des solutions de signature électronique déjà certifiées et régulées par le ministère de l économie et des finances en prévoyant les produits IDéNum. Ce produit se présente sous la forme d un dispositif physique sécurisé dans lequel se trouvent des «éléments propres» à son propriétaire, que ce dernier peut déverrouiller, par un code PIN. Ces «éléments propres» sont deux bi-clés cryptographiques l une dédiée à l authentification, l autre à la signature électronique pour lesquelles chaque clé publique a été certifiée. En tant que tel, il pourrait être constitué comme une solution provisoire dans l attente de la Carte Nationale d Identité Numérique. Le produit INéNum devrait pouvoir être obtenu auprès des prestataires de services de certification électronique (PSCE) dont l offre IDéNum sera attestée comme étant conforme aux exigences techniques, figurant dans le cahier des charges. Du fait de sa référence expresse au RGS, les produits et les téléservices référencés par l ordonnance du 8 décembre 2005 seront automatiquement acceptés par toutes les autorités administratives qui disposent des services électroniques. Les services privés seront également autorisés à accepter les produits selon qu ils sont référencés ou non. Le label IDéNum s affichera sur les sites qui le reconnaissent et les internautes pourront choisir librement leur fournisseur. Ainsi, le label permettra de fournir aux internautes un moyen fiable d identification pour simplifier leurs démarches en ligne (accès à ses comptes administratifs, abonnement à des services payants, souscription de services ou de contrats ), en unifiant le marché et en facilitant les formalités quotidiennes des administrés et des citoyens. Qui plus est, le label permettra au public de bénéficier de produits d identification et de signature électronique de qualité garantie et d identifier facilement les services en ligne qui acceptent ces produits Signature versus authentification Le fait de vouloir opposer signature et authentification ne semble pas fondé juridiquement, étant donné que la seconde est contenue dans la première. Au surplus, il n existe pas de disposition légale spécifique applicable à l authentification en dehors des stipulations contractuelles qui pourraient découlées des conventions nouées entre les parties. En effet, l article du Code civil dispose : «La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. [ ]Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache.». La signature électronique peut donc être considérée comme un moyen d authentification, en ce sens qu elle permet de vérifier l identité du signataire, mais sans toutefois se limiter à ce seul aspect dans la mesure où la signature permet également de manifester la volonté du signataire, de consentir à un acte (l aliéna 1 er de l article : «Elle manifeste le consentement des parties aux obligations qui découlent de cet acte.»). 5.6 Evolution attendue du contexte règlementaire (France, Europe) : la carte nationale d identité électronique (CNIE) Le gouvernement français, par le biais de son Ministre de l intérieur, vient de prévoir le lancement du projet instaurant la carte nationale d identité électronique en En effet, les enjeux sociaux, politiques, culturels et juridiques du passage de la carte nationale d identité à une carte électronique sont très importants302. La première initiative est apparue en 2005 avec le programme INES (Identité Nationale Electronique Sécurisée) lancé par le Ministère de l Intérieur. C était un projet global qui consistait à fusionner, simplifier et sécuriser les procédures de demande de passeport et de carte nationale d identité, à améliorer la gestion de ces titres dans des nouvelles applications, à délivrer des titres hautement sécurisés 301 V. Fédération Nationale des Tiers de Confiance (FNTC), Vademecum juridique de la dématérialisation des documents, rédigé par le Cabinet d avocats, Caprioli & Associés, 3 ème éd., avril 2010, p. 42, disponible sur le site de la Fédération Nationale des Tiers de Confiance, V. étude d impact AFNOR, La signature électronique et les infrastructures à clé publique dans le contexte de l identité numérique : quels usages pour les titres sécurisés émis par l Etat dans le monde de l économie sécurisée, décembre 2007, disponible sur le site

85 Les leviers d usage dans la société de l économie numérique 85/ 140 conformes aux exigences européennes et internationales et, enfin, à offrir aux citoyens les moyens de prouver leur identité sur l Internet et de signer électroniquement, afin de favoriser le développement de l administration électronique. Longtemps suspendue à l adoption d un projet de loi relatif à l identité, la Carte Nationale d Identité Electronique devait voir le jour en Elle devait comprendre les principales données relatives à son titulaire, en partie écrites sur le support physique et en partie enregistrées sur une puce électronique. Les informations mentionnées sur la carte devraient être relatives à l état civil (nom, prénom, sexe, date et lieu de naissance), la nationalité, l adresse, la signature manuscrite, l organisme de délivrance de la carte ainsi que le numéro de la carte. Sur la puce, les données seraient divisées en blocs distincts et étanches, par des moyens de cryptographie. Ainsi, on y retrouverait un bloc confidentiel «identité» (accessible aux seules autorités habilitées), contenant une photo numérisée et deux empreintes digitales (ou plus) numérisées ; un bloc «authentification de la carte» servant à prouver de manière automatique l authenticité de la carte ; un bloc «identification authentifiée du porteur» permettant, par le biais d un code secret, d accéder aux services en ligne privés et publics ; un bloc «signature électronique» permettant se signer électroniquement des documents présentés sous forme de messages, fichiers, sous divers formats ; et, enfin, un bloc «portfolio personnel» proposant, à titre facultatif, de stocker des informations complémentaires (ex. numéro de permis de conduire, numéro fiscal). 303 En tant que telle, la Carte Nationale d Identité Numérique aurait pour objectif de mieux garantir l identité contre les risques d usurpation et de détournement, de lutter contre le terrorisme, d autoriser l authentification du porteur en vue de l utilisation de téléservices dans les relations avec les administrations et la signature électronique pour les services commerciaux sur l Internet ainsi que de simplifier les demandes de documents d identité électronique et leur renouvellement. Objet de vives discussions voire de polémiques chez certains, le projet ayant pour objectif d instaurer la Carte Nationale d Identité Numérique est relancé par le Gouvernement pour Et c est sans doute une donnée très positive pour la sécurité juridique dans les échanges électroniques. Par ailleurs, étant donné que la diffusion du passeport électronique sur tout le territoire est en bonne voie, la Carte Nationale d Identité Numérique sera décisive en termes de confiance pour le développement de la dématérialisation et du commerce électronique sécurisé 304. Les citoyens bénéficieront d une véritable identité civile, numérique ayant la même reconnaissance que les titres papier. Par exemple, les acteurs du marché pourront s appuyer sur l identité numérique des titulaires de la CNIE pour l enregistrement des titulaires des certificats d identification électronique, nécessaires aux déploiements de procédés de signature électronique pour signer des contrats avec une sécurité adapté. On peut également penser à la sécurisation des moyens d authentification des personnes pour accéder à des comptes (bancaires, jeux, ), à des services ou à des informations de nature très diverses (espaces de stockage, coffre-fort électronique, ). La sécurité du commerce électronique passera par la possibilité de vérifier l identité numérique des personnes et l identification des objets incorporels ou des entités (ex : utilisation de certificats de serveurs pour un logiciel ou un site web). Selon l Agence Nationale des Titres Sécurisé, cette carte permettra de réaliser des économies sur le cycle de production global des titres sécurisés (comprenant également les passeports biométriques). S il y a des économies d échelle pour l ANTS, celles-ci sont moins évidentes pour les communes qui risquent notamment de faire face à un afflux de demandes. Les sénateurs ont du reste reconnu que la mise en œuvre de la carte d identité électronique devrait conduire à réviser le mode d indemnisation des communes pour l enrôlement des données des titres sécurisés, l idée d une indemnisation en fonction du nombre de titres a même été évoquée. 303 v v. FNTC, Vademecum juridique de la dématérialisation des documents, 3 ème éd., avril 2010, p. 41. Disponible sur les sites : et

86 Les leviers d usage dans la société de l économie numérique 86/ Sécurité vs protection des libertés individuelles (directives européennes et droit français) En droit, il existe plusieurs types de liberté : les libertés fondamentales, les libertés publiques, les libertés individuelles ou collectives. Inviolables de manière générale, ces libertés peuvent se trouver limitées de manière plus ou moins importante en fonction de la notion de sécurité (qui peut être publique, intérieure, extérieure, ou porter sur les personnes et les biens). En effet, il convient de noter que cette dernière est souvent la cause invoquée dans l utilisation de l ordre public, proclamé comme «droit fondamental» conditionnant «l exercice des libertés individuelles et collectives». Le texte de référence en matière de libertés individuelles reste la Convention de sauvegarde des Droits de l'homme et des Libertés fondamentales du 4 novembre 1950 qui, elle-même, justifie un nombre limité de restrictions à certaines libertés, notamment dans son article 8 2 : «Il ne peut y avoir ingérence d une autorité publique dans l exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique, à la défense de l ordre et à la prévention des infractions pénales». Les litiges sont portés devant la Cour européenne des droits de l homme de Strasbourg (CEDH). Au regard des dangers existants sur l Internet (cybercriminalité, usurpation d identité, fraude, failles de sécurité dans les systèmes d information, contrefaçon en ligne ) et des risques de terrorisme, l État considère devoir aménager des régimes d exception à certaines libertés en vue d assurer la tranquillité et la sécurité illustrant la nécessité de prendre en compte l ordre public. Cependant, bien au-delà des problèmes de sécurité en ligne, cette nouvelle forme de contrôle amène à une réduction des zones de liberté du cyberespace. Une Convention internationale s applique aux pays membres du Conseil de l Europe (ex : la France, la Principauté de Monaco) : la Convention n I08 du 28 janvier 1981 du Conseil de l'europe pour la protection des personne à l'égard du traitement automatisé de données à caractère personnel, ainsi que le Protocole additionnel n 181 du B novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données. 305 En ce qui concerne les Etats membres de L Union européenne, la Directive européenne n 46/95 du 24 octobre 1995 est le support juridique majeur sur le plan de la protection des données personnelles. Elle fixe le cadre juridique applicable aux données à caractère personnel non seulement pour les traitements dans les pays de l Union européenne mais aussi avec les pays tiers destinataires de transferts de données personnelles. Ce texte devrait faire l objet d une révision au cours de l année 2011 pour s adapter aux nouveaux enjeux en termes de protection : moteurs de recherche, hébergement des données dans le Cloud computing, RFID, réseaux sociaux,, m-commerce, biométrie, contrôle de postes virtualisés, ou encore en imposant la généralisation du Correspondant à la protection des données (CIL) ou la notification des attreintes aux données personnelles. Le processus de révision a été lancé en 2010 par la Commission européenne. La loi Informatique, Fichiers et libertés 306 demeure le texte phare en matière de protection des données à caractère personnel, face aux défis nés du développement des communications électroniques (convergence de l informatique et des télécommunications). Cette loi détermine les attributions de la CNIL. Dans la mesure où un grand nombre de fichiers ou de bases de données contenant des données personnelles doivent lui être déclarées (certains même soumis à autorisation), et sous réserve de la désignation d un Correspondant à la Protection des Données (CIL), cette autorité indépendante est chargée du respect de la conformité à la loi des traitements de données à caractère personnel dans la sphère privée comme dans la sphère publique. Cette problématique paraît particulièrement pertinente au vu des différents dispositifs de vidéo-protection ou de géo-localisation mis en place dernièrement. 305 Disponible à l adresse : Loi n relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978, modifiée par la loi du 4 août 2004 qui a transposé la directive de 1995 en droit français.

87 Les leviers d usage dans la société de l économie numérique 87/ 140 Ainsi, la CNIL veille à ce que face aux besoins de sécurité mis en avant par différents organismes, un individu puisse toujours disposer d un droit individuel à l information préalable, d un droit d accès aux données le concernant, d un droit d opposition, d un droit de rectification ou encore d un droit à l oubli (effacement ou anonymisation des données après une durée définie par le responsable du traitement). De plus, il existe une obligation de sécurité des données personnelles qui pèse sur le responsable du traitement en vertu de l article 34 de la Loi du 6 janvier 1978 (il doit prendre toutes les précautions utiles) et de l article 35 lorsqu un sous-traitant intervient. Le non respect de ces obligations peut entrainer des sanctions pénales ou de la CNIL La réduction du périmètre de la vie privée au profit du développement des normes sécuritaires est un débat médiatique, intéressant tant les citoyens que les entreprises depuis déjà plusieurs années. La rapidité de développement des techniques permettant de contrôler l activité des individus (telle que la biométrie, les réseaux sociaux, la géolocalisation 307, les RFID 308, ) a été telle que la nécessité de protéger juridiquement leur vie privée a parfois eu du mal à suivre le rythme imposé par les innovations. La CNIL met ainsi en avant le risque pour les individus de voir restreindre leurs libertés sans même s en rendre compte, avec l incessante évolution des technologies de protection, de contrôle, de surveillance et l augmentation des textes législatifs et réglementaires permettant leur utilisation. Ce risque ne concerne pas que la France, mais tous les pays susceptibles de traiter des données à caractère personnel. Dès lors que des transferts de données personnelles s effectuent à partir de pays qui restreignent les exportations de données, pour des opérations de sous-traitance ou autres, les prescriptions légales doivent être impérativement respectées notamment en ce qui concerne le formalisme imposé pour encadrer les transferts demande d autorisation, utilisation de Binding Corporate Rules ou des contrats-types de l Union européenne. Entre sécurité et libertés, la voie de l équilibre semble souvent délicate à trouver. Ce sont les nécessités de sécurité qui vont servir à légitimer les atteintes aux libertés fondamentales. Pour protéger de façon pragmatique les individus contre les intrusions dans leur sphère privée, il faut d abord admettre la légitimité de la lutte contre les crimes par la prévention, et donc la surveillance, pour ensuite trouver les moyens appropriés, à savoir les plus respectueux possible des libertés fondamentales, et les meilleures garanties pour les citoyens. Il est, en effet, difficile de concilier les intérêts en présence, mais c est pourtant vers cet équilibre qu il faut tendre pour éviter tout débordement liberticide ou libertaire... De son côté, la loi Godfrain du 5 janvier relative à la fraude informatique traitait des peines encourues en cas de vols ou de destructions de données. Dans la mesure où la nature même des informations traitées par les technologies de l'information et de la communication rend les données personnelles encore plus sensibles, ce texte paraît crucial dans ce qu il pénalise les intrusions non autorisées aux systèmes d information. Cependant, en France, les textes relatifs au numérique, liés aux notions de sécurité, d économie d administration, ou de culture, se sont multipliés au cours de la dernière décennie. On peut analyser cet accroissement normatif par le fait sans doute de la modification de la position de l État face aux technologies de l information et vers le développement d une administration électronique. Ainsi, la loi pour la confiance dans l'économie numérique 310 (LCEN) qui transpose la directive européenne 2000/31/CE du 8 juin sur le commerce électronique et certaines dispositions de la directive du 12 juillet sur la protection de la vie privée dans le secteur des communications électroniques a fait l objet d une polémique à l échelle nationale, notamment de la part des acteurs de 307 La CNIL a tenté d encadrer le développement de la géolocalisation des véhicules des employés par GPS dans une recommandation du 16 mars 2006 (disponible sur le site leur mise en œuvre ne pouvant être justifiée que par un nombre limité de finalités. 308 Eric Caprioli et Pascal Agosti, L identification par Radio fréquence et le droit, Confidentiel Sécurité, n 128, décembre 2005, p. 2 et s. 309 Loi n 88-19, JO du 6 janvier 1988, p Loi n du 21 juin 2004, JO du 22 juin 2004, p et s. 311 Directive n 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique», JOCE du 17 juillet 2000 L 17 8/ Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JOCE n L 201 du 31/07/2002 p

88 Les leviers d usage dans la société de l économie numérique 88/ 140 l Internet. Les sujets les plus vivement débattus étaient la responsabilité des hébergeurs et des FAI, la publicité par voie électronique (opt-in ou opt-out), l élargissement des facultés d intervention des collectivités territoriales en matière d établissement de réseaux de communication électronique ou encore l introduction d un nouveau article relatif à la détention et la mise à disposition d équipements conçus pour commettre les faits d intrusion dans un système ou d entrave au fonctionnement de ce système (art du code pénal). Les textes de lois ne sont pas rédigés de manière à mettre en exergue les exigences de sécurité. Les polémiques actuelles portent sur le projet de Loi d orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI), comme elles ont pu porter sur la loi n sur la sécurité quotidienne du 15 novembre , la loi n du 18 mars 2003 sur la sécurité intérieure 314 ou la loi dite «Perben II». Au contraire, le législateur préfère les termes de confiance (loi pour la confiance dans l économie numérique, loi n du 26 juillet 2005 pour la confiance et la modernisation de l'économie 315 ). En effet, la confiance renvoie à un sentiment, très certainement de sécurité quant à l organisation du marché numérique ou électronique sans que les deux notions (confiance et sécurité) soient pour autant synonymes. Les métiers de la confiance ont une incidence sur toutes les activités de l économie numérique en termes de sécurité de l information en général, que ce soit au niveau de l infrastructure (les réseaux numériques, les sites web, les serveurs) ou au niveau des échanges électroniques entre les sujets de droit. 5.8 Responsabilité des acteurs La responsabilité civile de droit commun des acteurs en matière d authentification repose sur les articles 1382 et 1383 du code civil et sur les engagements qu ils ont contractés. Ainsi, leur responsabilité peut être mise en jeu à condition qu il y ait eu une faute, un préjudice subi par la victime et un lien de causalité entre cette faute et ce préjudice. A côté des éventuels délits civils dont des tiers peuvent être victimes, le contrat commercial entre le prestataire des services d authentification ou le vendeur de moyens matériels et/ou logique et son client utilisateur jouera un rôle essentiel avec des obligations de résultat sur des éléments objectivement quantifiables et des obligations de moyens atténuées ou renforcées selon les obligations concernées et le résultat des négociations. Comme nous l avons vu, aux Etats Unis, les entreprises doivent mettre en œuvre des mesures d authentification considérée comme suffisantes eu égard aux services en cause. Une authentification forte sera nécessaire pour les services bancaires par exemple. On peut donc penser que le juge attendra qu en matière d authentification les acteurs aient un comportement diligent (entreprise commerciale, industrielles, banques et assurances sur l Internet, autorités administratives, ). La certification ou la labellisation des produits d authentification, associées au respect de l état de l art du marché, constituera, sans doute, un élément de preuve permettant de démontrer la fiabilité de l authentification. 313 J.O du 16 novembre 2001, p J.O. du 19 mars 2003, p J.O. du 27 juillet 2005, p

89 Les leviers d usage dans la société de l économie numérique 89/ USE CASE 1 : DOMAINE BANCAIRE 6.1 Les solutions d authentification mises en œuvre par les banques pour leurs usages Panorama des solutions mises en œuvre Afin d augmenter le niveau de sécurité des services offerts à leurs clients, et en particulier pour le paiement à distance et l accès aux compte, - en cohérence avec les exigences de la Banque de France - les banques ont commencé à mettre en place en différentes méthodes d authentification forte dites «non rejouables». Ces nouvelles méthodes d authentification rompent avec les mécanismes statiques précédemment utilisés, en particulier le couple «identifiant mot de passe» et la date de naissance utilisés de manière transitoire pour le paiement sécurisé. Le déploiement de ces méthodes d authentification est toutefois un processus long, nécessitant un enrôlement plus ou moins lourd. C est la raison pour laquelle il subsistera encore quelques temps une part résiduelle de clients non enrôlés, car peu ou pas actifs sur l internet. Fin 2010, environ 60 % des usagers étaient équipés d une méthode d authentification forte, mais leur utilisation restait encore limitée pour le paiement en raison du faible équipement des commerçants. Dans un souci de simplicité, d acceptabilité par les utilisateurs et de maîtrise des coûts, les banques ont opté majoritairement pour deux méthodes, qui sont aujourd hui les plus répandues (voir tableau cidessous). Principales méthodes d authentification forte mises en œuvre par les banques en France Méthode Description Fourniture d un OTP (mot de passe à usage unique) par SMS ou via serveur vocal interactif (SVI). Lecteurs de cartes bancaires (CAP) ou tokens permettant de générer des mots de passe à usage unique Afin de s authentifier pour valider la transaction, le client reçoit sur téléphone mobile ou en appelant un serveur vocal un mot de passe qu il saisit ensuite sur le site internet. Le client a reçu un lecteur de carte de type «calculette» de sa banque. Pour s authentifier, il insère sa carte bancaire dans ce lecteur, saisit un identifiant ainsi que son code PIN. Le lecteur lui fournit un mot de passe à reporter sur le site internet comme dans le premier cas. D autres méthodes d authentification devraient apparaître dans le futur. Les certificats électroniques en font partie, tout comme des méthodes innovantes pour l internet mobile. La signature électronique connaît, elle aussi, un développement plus timide, par le biais de certificats logiciels. Elle trouve un intérêt majeur pour la souscription en ligne : ouverture de comptes épargne ou souscription à des produits financiers, demandes de crédit, etc. De manière croissante, les banques auront donc à leur disposition une panoplie de méthodes disponibles, qu elles pourront adapter à différentes catégories d utilisateurs (plus ou moins actifs) et environnements en fonction du niveau de sécurisation. Ainsi, un achat de montant élevé sur un site hors Europe est-il potentiellement plus sensible qu une acquisition de faible coût en France.

90 Les leviers d usage dans la société de l économie numérique 90/ Le protocole 3D Secure Le protocole 3D-Secure est applicable en France depuis le 1er octobre Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, ce système de sécurisation permet de limiter le risque de fraude lié aux tentatives d'usurpation d'identité. Pour cela les banquiers acquéreur et émetteur doivent disposer de la solution qui permet de s'assurer, lors de chaque paiement par carte sur un site de e- commerce, qu elle est bien utilisée par son titulaire. Les sites de e-commerce acceptant ce type d'authentification peuvent alors apposer sur leurs pages les logos "Verified by Visa" ou "MasterCard SecureCode". La mise en œuvre de ce protocole va de pair avec l activation du «Liability Shift». Le commerçant obtient ainsi une garantie de paiement, sinon le risque est porté par le banquier émetteur qui authentifie le porteur de carte par le moyen qu il juge adapté. D autre part, le commerçant ne reçoit plus d impayés liés à la fraude (vol de fichiers) et évite les contestations du type «ce n est pas moi qui ait fait la transaction» (vol du n de carte + CVV), qui représentent 80% des fraudes sur Internet (source FEVAD). Mais cela ne le dispense pas des audits de sécurité imposés par Visa et Mastercard. Dernier avantage, Visa annonce une commission d interchange moins élevée pour les transactions 3D-Secure Problématique de la solution d authentification L impact de 3 D Secure sur le processus d achat n est cependant pas neutre ; la demande d un code pouvant dérouter, voire interrompre l achat. On évoquerait une perte de 10 à 15% du taux de transformation sur les sites à cause de la complexité du procédé. Ce qui explique que nombre de commerçants ont préféré reporter sa mise en œuvre. L approche des banques est donc prudente vis à vis des porteurs : Certaines envoient systématiquement une demande d'inscription (gratuite), par exemple en même temps que le relevé de compte. Le taux de retour est dans ce cas assez faible. D'autres intègrent la démarche d'enregistrement au premier achat 3D Secure. Point bloquant, l écran de validation 3DS, qui différe de celui du vendeur! Bien que le code ne doive pas être confondu avec le PIN de la carte bancaire, il fonctionne sur le même principe de trois essais. En cas d'échec, la carte risque de ne plus pouvoir être utilisée pour des achats sur les sites affiliés 3 D Secure, à moins de contacter sa banque pour déblocage. Autre faiblesse du procédé, la demande de date de naissance, pendant les premiers mois de sa mise en œuvre ; une donnée quasiment publique qui a longtemps freiné les internautes ; mais aujourd hui, c est le code SMS qui prévaut.. Par ailleurs, les études de la Banque de France 316 attestent que les internautes ne sont pas prêts à troquer la sécurité pour une facilité d utilisation. 316 Banque de France. Observatoire sur les moyens de paiement. 2010

91 Les leviers d usage dans la société de l économie numérique 91/ 140 La Banque de France a conduit en 2007 et 2010 une enquête sur la perception de la sécurité des cartes de paiement par les porteurs. Par rapport à 2007, l enquête 2010 atteste d une plus forte perception de sécurité de la part des porteurs Ainsi, les «Avertis» sontils passés de 28% à 39%. 6.2 Situation en Europe Le fait que le marché français peine à déployer 3D Secure est connu depuis assez longtemps. Dés 2003 une communication précipitée des banques avait braqué les poids lourds du e-commerce avec l annonce d une mise en place obligatoire du procédé. Ils estimaient 317 être mis devant le fait accompli, sans concertation préalable vis-à-vis d une communication trop technique (3D Secure, V by V, Idtronic, Cryptogramme visuel ), anticipant la réticence des consommateurs. A l époque, le risque des grands e-commerçants était gérable et ils étaient prêts à l assumer. Depuis, la situation a changé : 300 millions de transactions, 30 milliards de CA, dont les 2/3 réalisés par sites marchands 318. Donc la nécessité de faire évoluer la gestion des risques par rapport aux débuts de la vente en ligne. Mais aujourd hui le constat est le suivant : la réticence à 3DS provient essentiellement des commerçants, non des internautes. En effet, le marché français apparaît assez isolé en Europe. Le panorama Ogone 319, mené au premier trimestre 2010, témoigne d un fort blocage, avec seulement 13 % des transactions sur 3DS, contre une moyenne européenne de 48 % 320. Ainsi le marché anglais, le plus dynamique d Europe totalise-t-il 96 % de transactions 3D Secure, et le Benelux plus de 80% DS, premiers éléments de diagnostic Concernant la relative stagnation de 3DS, plusieurs points sont à souligner : 317 Voir l étude de février 2004 menée par GM Consultants pour l ACSEL (Association pour le Commerce et les Services en Ligne) 318 soit deux fois plus qu à fin Ogone est un prestataire de paiements sécurisés 320 la part des transactions authentifiées en Europe sur le total des transactions 3D-Secure a progressé et est passée de 48 % en mai 2009 à 69 % en février 2010.

92 Les leviers d usage dans la société de l économie numérique 92/ 140 Les grands e-commerçants n'ont pas donné l'exemple. Bien au contraire, au travers de leurs associations (FEVAD, ACSEL), ils ont mis en avant le risque de perte de CA du à 3D Secure et sont dans une posture de résistance. Selon Ogone, 13,4 % des transactions 3DS en France donnent lieu à un abandon contre 9,7 % en moyenne en Europe. Toujours selon Ogone, 3DS accroit le temps d'achat de 100 s à 200 s, sur la partie paiement. 3D Secure a mauvaise presse auprès des acteurs du e-commerce, notamment les petits prestataires. Un buzz négatif circule sur le Net entre commerçants et bloggeurs 321. Peu de consommateurs semblent connaitre l existence même de 3DS, et quand bien même ils seraient informés, la majorité ignore sa procédure de mise en œuvre. Les banques elles mêmes sont fort discrètes vis-à-vis de leurs clients. Des messages sont transmis via un relevé de compte mais sans être renouvelés. Le marché Anglais demeure une référence. Pourquoi le procédé est il largement au Royaume Uni? Est-ce parce que les banques (moins nombreuses qu en France sur un marché de l acquiring très concentré) ont appliqué un même système donc plus facile à adopter? Est-ce parce que la communication a été meilleure à tous les niveaux de la chaîne : acheteurs, commerçants, réseaux commerciaux et centres d appels? Est-ce parce que les commerçants britanniques sont plus exposés à la fraude? En France, le marché de l acquiring est moins concentré et chaque émetteur propose son système d authentification (date de naissance, boitier Xiring, SMS/OTP, ) comme un facteur de concurrence. Une absence de règles qui, combinée à une communication maladroite, explique partiellement la situation d échec de 3DS. Autre point faible, le manque de communication quant au transfert de responsabilité vers la banque du porteur, élément déterminant de succès. 6.4 Une interopérabilité limitée des méthodes d authentification A l échelle française, les banques marquent une avance sur la fourniture de moyens d authentification forte à leurs clients. Aucun autre acteur économique ne peut se prévaloir d une telle expérience de déploiement auprès de particuliers. Pour autant, ces mécanismes, non interopérables, ne peuvent être utilisés que dans le cadre de l établissement émetteur. Développer l interopérabilité constitue un défi majeur : moyen d authentification unique signifie une multitude d usages mais surtout, une taille critique et un effet «volume». La mutualisation des infrastructures enrichit le potentiel de revenus et justifie des investissements pour des méthodes d authentification nouvelles, notamment les certificats électroniques. Toutefois, la mise en œuvre de méthodes d authentification interopérables induit des coûts : référentiels communs, exigences de sécurité et contrôles tout comme l acceptation d un modèle économique et d une fonction de gouvernance. 321 Comme ce témoignage sur un blog d un web agency «Après quelques mois d utilisation du 3D Secure imposé par les banques, nous confirmons à notre échelle le constat d un échec total en terme d impact sur les ventes. Plusieurs clients s inquiétant d une forte chute de leur CA en ligne (parfois proche des 30%) suite à la mise en œuvre de 3DS ont demandé à leur banque de le désactiver. Dans la foulée, nous avons pris le parti de conseiller aux autres de faire de même»

93 Les leviers d usage dans la société de l économie numérique 93/ Les drivers du développement de l authentification forte dans les services bancaires La gestion de la fraude sur Internet Dans le domaine bancaire, la fraude via le canal internet continue de se développer, à la fois en valeur absolue et relative. De manière générale, la cybercriminalité et l usurpation d identité en ligne sont en plein essor. Les attaques se multiplient, sous de nouvelles formes (les botnets, les hacktivistes, etc.) et touchent de nouveaux types de terminaux, en particulier les smartphones dont l usage se développe rapidement. Dans un contexte de développement et d enrichissement des services en ligne, la nature et le niveau de la fraude constituent un levier majeur pour l introduction massive de moyens d authentification forte et de signatures électroniques L opportunité de méthodes d authentification interopérables et largement diffusées Les certificats électroniques constituent un potentiel majeur pour la «société numérique» ; la confiance dans les services en ligne devant contribuer à dématérialiser des usages plus complexes (y compris ceux encadrés par la loi tels que les ouvertures de comptes bancaires). De par leur normalisation au niveau international et grâce au RGS), les certificats constituent une réponse à la fois technique et juridique aux problèmes d interopérabilité. Nombre de pays ont déjà initié des programmes de certificats électroniques interopérables, parfois pilotés par des banques, comme mentionné dans le tableau ci-dessous: Pays Nom Création Emission Acceptation Nombre de titulaires Estonie Carte d identité Tous nationale services 2002 Etat + banques/ Telcos 1,4 million (mobile ID) Commentaires Obligatoire Prix : 16 (5 ans). Le certificat inclut une adresse au L Etat estonien soustraite l émission et l usage de la CNIe à une société fondée par 2 banques (Swedbank et SEB) et 2 opérateurs télécoms. Norvège BankID 2003 Banques Services publics, services privés, banques 2,5 millions (+70% de la pop adulte) 1,3 million de transactions PKI par jour NB : projet de CNIe en Norvège. Suède BankID / e- legitimation 2003 Banques Services publics, banques 2 millions La banque Nordea et l opérateur TeliaSonera émettent des certificats e- legitimation indépendamment de BankID. La Suède a également lancé une Carte d identité électronique en 2005 qui

94 Les leviers d usage dans la société de l économie numérique 94/ 140 Pays Nom Création Emission Acceptation Nombre de titulaires Autriche Label sur la base certificats sur supports certifiés (Bürgerkarte) 2003 Etat Services publics, services privés, banques? 2006 : Commentaires embarque des certificats électroniques. Non obligatoire La fonctionnalité «carte de citoyen» pour l usage en ligne est déconnectée du support de la carte d identité et peut être activée gratuitement sur différents types de supports (y compris carte bancaire). Quels que soit le support, le processus d enrôlement se conclut par une activation du certificat en ligne : le client demande un code qui lui est envoyé par la poste, et qu il doit ensuite saisir sur le site dédié. Espagne Plate-forme de validation 2006 Etat, collectivit és locales, acteurs privés, 1 banque Services publics (180 services) 4,2 millions (citoyens ayant utilisé un certificat en ligne) En complément de la carte d identité électronique obligatoire lancée la même permet de réaliser l interopérabilité entre 12 fournisseurs de certificats, y compris l Etat espagnol (dans le cadre de la CIE) ainsi que l Etat portugais (CIE portugaise). La banque Banesto 322 est l un des 12 fournisseurs. Danema rk NemID PROJET Banques Services publics privés, banques et - Déclinaison de BankID (Norvège), projet piloté par BBS / PBS. Source : Porvoo Group 16 (mars 2010), Porvoo Group 15 (mai 2009), EU E-ID interoperability for PEGS report (juillet 2009) - Austrian citizen card. 322 La banque Banesto (Banco Español de Crédito) fait partie du Groupe Santander. C est l'une des principales banques espagnoles avec plus de 3 millions de clients et 1600 agences.

95 Les leviers d usage dans la société de l économie numérique 95/ USE CASE 2 : ROLE DES OPERATEURS MOBILES ET DE LA CARTE SIM DANS L AMELIORATION DE LA CONFIANCE DANS LA SPHERE NUMERIQUE 7.1 Le mobile comme outil universel pour les accès en ligne Le mobile peut être utilisé de deux façons pour une authentification forte : faire le lien avec un PC pour confirmer l identité du porteur (authentification bi-canale) ou connexion en mobilité ; la seconde possibilité devenant de plus en plus actuelle, vu la croissance attendue des smartphones et tablettes qui, à l avenir, mixeront les possibilités des PC et mobiles Authentification bi-canale Comment connecter son PC à un site sécurisé, sans lecteur de carte ni clé USB? C est précisément la force des mobiles. L internaute, où qu il soit - chez lui, en mobilité, voire à l étranger - peut confirmer son identité en activant un certificat sur son portable, dont il a communiqué les coordonnées. Ainsi tous ses accès sur son compte sont-ils sécurisés sans équipement autre que son téléphone. Une procédure d accès quasiment universelle pouvant bénéficier du parc de portables. Mais elle a l avantage de pouvoir être mise en œuvre n importe ou, sur le lieu de travail, en voyage, dans un business center sans risque de capture de l identité de l internaute, dans la mesure où le téléphone confirme l identité, le PC n étant utilisé que pour la navigation sur les sites. La procédure bicanale ne nécessite aucun lecteur additionnel. En communiquant sont numéro de portable, l usager peut activer le certificat de sa carte SIM et confirmer son identité. (Exemple d authentification (Document SFR) 1 3 Exemple d'une identification pour un acteur de jeux en ligne Le client clique sur "je m'identifie via SFR" et saisit son numéro de mobile Le client est informé du statut de sa demande sur le site tiercé.fr Internet website Plateforme ID num Une requête d'identification est envoyée pour ce numéro de mobile avec certaines données clients à vérifier (nom, prénom, date de naissance ) Mobile signature platform Le message crypté est vérifié et si OK et comparaison OK : l'identification est réussie et le client peut accéder à son compte Un message comprenant des données de contexte est envoyé à la carte SIM 2 Un SMS est renvoyé à la plateforme avec OK/KO des données comparées et l'empreinte du message cryptée M. XXX, vous souhaitez vous identifier sur tiercé.fr.fr OK KO Le client saisit son code personnel sur son mobile Veuillez saisir votre code secret de certificat SFR * * * * * * OK - Une comparaison des données envoyées et des données du certificat est réalisée - L'empreinte du message d'identification est signée avec la cléf privée du certificat La relative stagnation de 3D Secure par SMS, qui répond à la demande de la Directive Européenne sur les moyens de paiements de «dispositif de sécurité personnalisé 323», nécessite de s interroger sur l ergonomie du procédé. La confirmation d OTP pourrait s effectuer sur mobile par activation d un certificat sans ressaisie du code par le navigateur. Un mécanisme qui pourrait générer d avantage de revenus pour l opérateur téléphonique que la simple transmission d un SMS. 323 La Directive Européenne propose le concept de «dispositif de sécurité personnalisé ou DSP» qui peut prendre plusieurs formes. Pour un paiement par carte en ligne, le DSP peut prendre la forme d une authentification supplémentaire. La Banque de France recommande de promouvoir l authentification non rejouable, dont 3D Secure constitue un procédé. Entretien avec Alexandre Stervinou, Banque de France Novembre 2010.

96 Les leviers d usage dans la société de l économie numérique 96/ 140 Dans le paysage des services en ligne, les opérateurs mobiles disposent de quatre atouts leur permettant de se positionner comme des acteurs majeurs : Un réseau de plusieurs milliers de points de vente grâce auxquels le client est présent en «face à face» Une carte SIM sécurisée Une disponibilité du terminal à tout moment Plus de 90% de la population adressable Dans le cas illustré ci-contre l internaute souscrit un contrat d assurance. L activation du certificat lui permet de signer en ligne et garantit la prise d effet immédiate. Un SMS lui confirme la validité de la transaction (Document SFR) écran mobile 3 4 écran mobile (facultatif) écran mobile écran mobile Description de Confirmation l opération:»sou Entrer le code que le contrat scription OK spécifique vu Entrer le code est signé d assurance auto sur le PC et secret du Cliquer sur assurland. l écran du certificat OK pour Montant annuel mobile 5 terminer de 621,37» Référence dossier OK / cancel Cancel Choix donné au client : annulation définitive ou en attente 24Hrs (tbc) puis est périmée automatiquement (avec msg d info au client lui expliquant cela) 2 Lancement du processus de signature Accès au site du SP et souscription à assurance en ligne 1 Cas où signature périmée Info que la transaction est périmée Cliquer sur OK pour terminer 6 SMS ou de confirmation finale au client SMS et de confirmation finale au client Authentification et mobilité L internet mobile en France représente à ce jour plus de 4 millions d usagers avec un taux de croissance significatif : près de 3 millions de nouveaux équipements seront vendus en 2011, dont 1 millions de tablettes 324, tirées par le succès de l ipad. Ce parc constitue un potentiel significatif pour des accès sécurisés en ligne. En effet, pouvant être dérobés facilement, smartphones et tablettes justifient un renforcement des procédures de connexion de type mot de passe / identifiant de façon les utiliser en mobilité. Dans un premier temps, bien adaptée à des accès de type «consultation /transactions» : banque en ligne, transaction de valeurs mobilières, achats sur la toile., la tablette permettra, à l avenir, de réaliser des démarches plus complexe : ouverture de comptes, souscription de contrats, virements bancaires.mais ceci nécessite que la carte SIM dispose de certificats d authentification et de signature Identité sur carte SIM L identité sur SIM ne doit pas être restreinte à la connexion en ligne ; la confirmation de l identité à partir du mobile peut également être envisagée dans le monde réel. La Bundesdruckerei allemande propose des initiatives en ce sens, à partir du protocole de communication NFC. Ces initiatives doivent être suivies avec attention dans la mesure où l authentification du porteur devra nécessairement être confirmée par activation d un certificat. 324 Le chiffre d affaires des appareils smartphones fait un bond en avant spectaculaire. L institut d analyse et d étude Gfk vient de publier une prévision pour cette année: plus de 2,7 millions de smartphones seront vendus. L internet mobile est en pleine explosion avec plus de 4,2 millions d utilisateurs.le taux de croissance de ce métier est clairement explosif.

97 Les leviers d usage dans la société de l économie numérique 97/ Typologie des services en ligne visés Nos concitoyens se situent dans un écosystème numérique parmi les plus riches d Europe 325. Vu le succès des smartphones, on s attend à une floraison d applications sur mobiles. Il n est donc pas surprenant que l authentification forte soit considérée comme une offre de services différenciante par les opérateurs. Solution qui sera d autant appréciée qu elle ne sera pas facturée à l usager mais au prestataire chez qui elle induit un gain de productivité et permet la constitution d un dossier de preuves opposable en cas de litige. Le Baromètre CDC ACSEL 2010 sera sans doute à réactualiser avec la percée des smartphones ; la connexion à internet devenant un état intrinsèque du mobile. Etude AFMM (Association Française du Multimédia Mobile). 20% des usagers se connectent plusieurs fois par jour, un taux qui sera revu à la hausse, vu la croissance du parc de smartphones. L étude AFMM 326 confirme que le smartphone constitue un relais de croissance de l ecommerce. Parmi les utilisateurs mobiles, ceux équipés de Smartphones et plus spécifiquement d iphones sont ceux qui achètent le plus : près d un utilisateur d iphone sur 2 (44%) a déjà effectué un achat sur l Internet mobile (hors applications depuis l Appstore). Et précisément ce sont les CSP+, identifiés par l étude CREDOC comme accros de l internet, qui seront également les pionniers du mobile M d abonnés mobiles en France dont 16M équipés de la 3G o 39 M d internautes équipés à 98% avec une liaison haut débit o 9 français sur 10 équipés d un mobile o 1 français sur 5 (21,3%) est équipé d un Smartphone. 326 Le guide du Micro-Paiement AFMM (Association Française du Multimédia Mobile) Les profils des acheteurs en ligne de contenus et services diffèrent légèrement selon les canaux où s effectue l achat : ainsi, si les acheteurs sur Internet fixe sont plutôt des hommes (57,3%), ils sont un peu plus âgés sur l Internet fixe (36,1% de 35 à 49 ans) que sur l Internet mobile (31,7% ont entre 15 et 24 ans). Ils sont majoritairement CSP+ (38,1% sur le fixe et 35,3% sur mobile). Etude AFMM 2010

98 Les leviers d usage dans la société de l économie numérique 98/ 140 Le rôle des opérateurs téléphoniques peut se résumer comme suit : Fournisseurs d'identité car connaissance client et face à face pour un usage "n importe où n'importe quand, et avec n'importe quel moyen d'accès au web", sans aucun matériel supplémentaire autre que le mobile et sa carte SIM e Hébergeur de certificats Tiers, du fait de la simplicité d'usage des certificats mobiles-sim 7.3 Modèle(s) financier(s) A la différence des offres de contenus dont le consommateur rémunère la fourniture de biens et services, le marché de l authentification porte sur le contenant, c'est-à-dire les modalités d accès. Dans ce cas, le prestataire rémunère celui qui lui garantit la légitimité du consommateur à se connecter. Bien entendu, la rétribution de l intermédiaire est répercutée sur les frais de gestion. Il est prématuré de proposer un modèle financier dans la mesure où prestataires de services (SP) et fournisseurs d identité (IDP) étudient comment se positionner dans le cadre du programme IDéNUM. Comme la part de contrôle «identitaire» des services en ligne est bien perçue comme une charge par les opérateurs de services, on trouvera dans les paragraphes suivants une évaluation de ce marché adressable. Sur la base de ce marché potentiel, il appartiendra aux opérateurs téléphoniques d évaluer comment proposer cette offre nouvelle à leurs clients sachant que d importants investissements devront être réalisés : modification des cartes SIM, enrôlement en face à face, mais, surtout, mise en œuvre d accords avec les prestataires en ligne. La possibilité de nouer des partenariats vis-à-vis d autres fournisseurs d identité apparait comme une stratégie très pertinente vu le potentiel du parc de portables et la facilité de mise en œuvre du procédé bi-canal d authentification. Ainsi, la location d un emplacement de carte SIM constitue-t-elle une option dans la mesure où certains fournisseurs d identité potentiels (notaires) ne disposent pas aujourd hui d un support sécurisé pour les accès en ligne. Concernant les prestataires de services, l adhésion à un cercle de confiance labélisé IDéNUM constitue certainement le procédé le plus efficace permettant d éviter la multiplicité des accords. Qu il s agisse d un modèle licence ou d un mécanisme basé sur le nombre de transactions, l approche économique des opérateurs devra être concurrentielle par rapport aux coûts de saisie et authentification détaillés dans les paragraphes suivants Enrôlement & contrôle d identité La saisie d état civil et adresse des abonnés répond à une exigence légale des opérateurs. Des prestataires se positionnent sur ce segment de marché qui vise à automatiser l extraction des données à partir de titres d identité et contrôler leur cohérence avec les attestations de domicile et pièces de banque 328. Sachant que 328 Au départ, SFR entendait se réserver la solution qu il développée avec Cryptolog de dématérialisation complète de la souscription de contrats au point de vente. Il la mettra finalement à disposition des banques, des assurances et même de ses concurrens opérateurs. La solution avait été baptisée AriadNext. La partie visible est une tablette graphique, développée par SFR suivant un cahier des charges spécifié par Marc Norlain, alors responsable IT fraudes et prévention du risque de SFR. Elle intègre un scanner par défilement, qui capte les identifiants figurant au bas des cartes nationales d identité et des cartes bancaires, que les souscripteurs doivent présenter avant toute souscription. La cohérence de ces identifiants est immédiatement vérifiée en ligne en interrogeant les listes noires. Les justificatifs de domicile traditionnels ne sont donc plus demandés, mais l adresse est malgré tout contrôlée. Si aucune incohérence n est détectée, une demande de certificat est envoyée à Cryptolog qui émet alors immédiatement un certificat client d une durée de vie de 30 minutes. Le contrat peut alors être signé par le souscripteur manuellement sur la tablette et avec ce certificat, puis avec le certificat personne morale de SFR. Il est ensuite conservé, et par SFR (pour les besoins de son service client) et par Cryptolog (pour l archivage à valeur probaoire). Depuis son déploiement dans les boutiques SFR, AriadNext n a cessé d être récompensée par des distinctions. Elle a remporté le Démat Award de la Fédisa au salon Documation En juin 2009, elle a été lauréate du concours national d aide à la création d entreprise de technologies innovantes du ministère de l enseignement supérieur et de la recherche. En juillet dernier, elle a été finaliste du 5e Carrefour des possibles organisé à Rennes par la Fing, la région Bretagne et Télécom Bretagne. Elle sera également finaliste au 11e Tremplin Entreprises les 12 et 13 février prochains au Sénat. "Devant l ampleur de l intérêt rencontré, annonce Marc Norlain, nous avons décidé de créer une spin-off autour de cette technologie." AriadNext est donc sur le point d être constituée en société commerciale, développant et commercialisant "une solution de dématérialisation de contrats au point de vente pour les opérateurs, les banques et les assurances". AriadNext devrait également intégrer la dématérialisation de l APA (Autorisation de prélèvement automatique), sa signature électronique par le souscripteur et sa transmission sécurisée à la banque du créancier (SFR ou autre) ainsi qu à la banque du débiteur, via la messagerie SepaMail, que le groupe BPCE (Banque Populaire Caisse d Epargne) veut mettre en place au niveau européen. Un pilote est prévu entre SFR et BPCE. L objectif est non seulement de dématérialiser cette APA, mais aussi de combattre la fraude au RIB par un contrôle de cohérence en temps réel. L application permettra la révocation en ligne et le changement de domiciliation en temps réel.

99 Les leviers d usage dans la société de l économie numérique 99/ 140 la fraude à la souscription est évaluée à 5%, ce type d équipement génère déjà un fort gain de productivité pour un coût évalué à moins d un euro contre les 6 euros occasionnés par la saisie des multiples documents. Le renouvellement du parc de mobile (plus de 20 millions d unités vendues chaque année) constitue une opportunité très conséquente pour les opérateurs qui entendent se positionner sur ce marché. Si on totalise les 4 millions d usagers disposant d internet mobile aux 3 millions de futurs détenteurs de smarphones et tablettes attendus en 2011, on appréhende bien l ampleur et le potentiel du parc mobile. Comme mentionné dans les pages précédentes, même si le smartphone donne l image d un équipement de consultation en ligne, on anticipe - grâce à l ergonomie des écrans qu il se positionne bientôt comme un terminal multi-fonction, destiné tant aux transactions et consultations qu à la contractualisation d offres sur la base de signatures. AriadNext permettra également l insertion du certificat électronique dans les cartes SIM des abonnés mobiles pour autoriser la signature électronique avec un mobile.

100 Les leviers d usage dans la société de l économie numérique 100/ MODELES ECONOMIQUES ET CHAINE DE VALEURS 8.1 Marché adressable de l authentification en ligne L authentification en ligne n est pas une offre de contenu mais du contrôle d accès à ces contenus ; rien de commun avec les services de téléchargement sur mobiles ou PC. Pas non plus de fichiers volumineux, mais une transposition dans le monde de l immatériel des relations avec le secteur privé : relevés de comptes, transactions, contrats, formulaires..le modèle de revenus n est donc pas basé sur l usage, mais un droit d accès, versé par le fournisseur à celui qui minimise ses coûts de traitement. Prenons l hypothèse que les certificats sont fournis gracieusement à l usager ; le fournisseur de services en ligne (SP) réalisant un gain de productivité si un prestataire d identité (IDP) lui communique certains attributs de l internaute conformément au cadre règlementaire : nom (pas toujours nécessaire), date de naissance (utile pour distinguer des homonymes, mais est-ce necessaire si l identité est attestée?), adresse (idem), âge (c est le cas des jeux en ligne). Le marché adressable correspond à deux types de coûts générés aujourd hui pour le traitement de l identité : l adhésion, lorsqu on souscrit pour la première fois à un service et l authentification, quant on s y connecte de façon sécurisée. Ce marché adressable permet d évaluer le potentiel de revenus pour des solutions alternatives à base de certificats ; mais c est également un plafond ne devant pas être dépassé en termes de coûts pour les services en ligne, sans quoi les prestataires n auront pas d intérêt à remplacer les procédures de contrôle manuel telles qu elles existent aujourd hui Adhésion ou enrôlement Cette phase correspond à la procédure d examen, par les employés du service en ligne (SP), du dossier communiqué par un client potentiel recruté par divers moyens - coupon-réponse, téléphone ou internet - : photocopie du titre d identité, attestations de domicile (EDF, Télécom), bulletins de salaire, RIB Nos préposés contrôlent leur cohérence, de même que le libellé du formulaire de souscription. Les pièces sont examinées visuellement de façon à s assurer de leur intégrité ; de plus, des croisements sont opérés avec des bases de données d adresses et de personnes suspectes (fichier positif, interdits de jeux, autres ). Cette phase d enrôlement est critique dans la mesure où les pièces seront opposables en cas de litige. Ainsi le financeur devra-t-il attester du consentement d un emprunteur, voire d un co-emprunteur, c'est-à-dire des signatures sur les contrats de souscription. Ce dossier d adhésion est envoyé par la poste, plus rarement scanné et communiqué en ligne. C est précisément cette phase qui connait les taux de rejet les plus importants : mauvaise qualité des photocopies, attestation de domicile ancienne, titre d identité périmé, etc D après nos informations, ce coût de contrôle strictement «identitaire» se situe entre 5 et 15 euros (prenons l hypothèse médiane de 10 euros) : chiffre qui exclut les frais - marketing, commerciaux, communication inhérents à un dossier client. Ne retenons donc que 20% du montant de «conquête» évalué à euros, suivant le type de contrat souscrit (banque en ligne, crédit à la consommation, autre ). Les frais non «identitaires» devant persister même si des certificats sont utilisés à l avenir pour les accès en ligne Authentification, ou accès sécurisé Cette phase correspond au contrôle de cohérence entre les attributs soumis lors d un accès en ligne et ceux dont dispose le SP, suite à l enrôlement de l internaute. A ce stade, le client est déjà répertorié dans la base du SP, mais celui-ci sécurise les accès pour des opérations sensibles : virements, transactions, etc.grâce à cette authentification, l internaute pourra également souscrire à de nouveaux produits en attestant de son consentement ; mais cette fois, par une signature, comme décrit dans la phase d enrôlement ci-dessus. 329 Pour le secteur du crédit à la consommation, le coût de conquête d un dossier client représente un montant de euros, voire d avantage.

101 Les leviers d usage dans la société de l économie numérique 101/ 140 Sachant que des mécanismes comme la version SMS de 3DSecure coutent 7 centimes aux banques, le montant de l authentification forte par certificats devra nécessairement être inférieur à ce plafond. Sinon, des solutions de type SMS l emporteront au détriment d architectures à base de certificats Le modèle financier Sachant que le coût de traitement «identitaire» du dossier client est perçu comme une charge par le prestataire de services en ligne (SP), trois modèles financiers pourraient être envisagés : gratuité, rémunération à l accès et adhésion à un cercle de confiance. Gratuité Dans cette perspective, le SP dégage un important gain de productivité. L identité de l internaute lui est garantie, de même que la légitimité les signatures électroniques lui permettant de souscrire des contrats en ligne. Dans ce cas, l IDP ne peut être qu un représentant de l Etat qui favorise le dynamisme de l économie numérique sans contrepartie de revenus. Mais on imagine mal des acteurs privés se positionner comme fournisseurs d identité, faute de retour financier. Rémunération à l accès Dans ce cas, le SP rémunère l IDP qui lui certifie l identité de l internaute, à chaque connexion, qu il s agisse d une adhésion au service, de souscription à des offres en ligne ou d une authentification forte. Cette formule présente plusieurs inconvénients : Négociation d accords préalables entre tous SP et IDP Modification du système d information du SP pour mise en œuvre d un mécanisme d authentification Rémunération par les SP de multiples IDP On imagine la complexité du procédé : petits SP (ex. jeux en ligne) devant signer avec de multiples IDP, importantes modifications du SI vis-à-vis d un marché encore émergeant, modalités d authentification propriétaires, etc. Mais surtout paiement d une redevance immédiate aux IDP, une charge qui s ajoutera au coût d équipes de contrôle «manuels» devant être maintenus, le temps que la dématérialisation du procédé permette de réduire ces effectifs. Connexion à un cercle de confiance La connexion à un cercle de confiance réunissant à la fois IDP et SP sur la base d un label garantissant la qualité de l enrôlement - de type IDéNUM - semble pouvoir contribuer au développement des services en ligne. Dans ce cas, il n est plus nécessaire que tous les SP formalisent des accords avec les IDP. En effet, chaque SP signe un accord de licence global lui donnant accès à tous les internautes titulaires de certificats IDéNUM, quelques soient leurs IDP. Inversement, tout internaute affilié à un fournisseur d identité IDéNUM peut s enrôler et s authentifier auprès de n importe site en ligne labélisé IDéNUM. Cette méthode possède plusieurs avantages : Déporter l authentification auprès d un mécanisme mutualisé, géré par IDéNUM, ne nécessitant pas la modification du SI des SP Rémunération par IDéNUM des IDP, au pro-rata des accès aux SP, sans nécessiter d accord bilatéraux préalables entre fournisseurs d identité (IDP) et prestataires de services (SP). La mise en œuvre d un tel cercle de confiance nécessiterait de solliciter un investisseur (Institutionnel ou privé) qui participerait à la mise en œuvre du dispositif IDéNUM, notamment participer à la constitution du système par les tâches suivantes :

102 Les leviers d usage dans la société de l économie numérique 102/ 140 Labellisation des IDP et SP Mise en œuvre du mécanisme d authentification déporté Gestion de la licence IDéNUM (perception des redevances, rémunération des parties) La création d un cercle de confiance réunissant les acteurs IDéNUM permet aux IDP et SP de faire l économie de relations bi-partites, lourdes à mettre en œuvre et qui risquent de pénaliser les usagers. En effet, chaque IDP n aura pas nécessairement formalisé un accord avec les tous les SP pouvant intéresser un internaute. L approche basée sur un cercle de confiance IDéNUM permettrait de solliciter rapidement quelques poids lourds de l économie numérique opérateurs téléphoniques, banques candidats IDP IDéNUM - mais également les SP potentiels - banques, assureurs, organismes de crédit de façon à ce que les internautes puissent immédiatement disposer d un parc important d IDP et SP, sans que ceux-ci négocient des accords préalables. Le label IDéNUM garantissant le haut niveau de confiance entre les parties. Le modèle financier IDéNUM rester à préciser, mais déjà les grandes lignes en sont perceptibles : Acquittement d une licence IDéNUM par tous les IDP Acquittement d une licence IDéNUM par tous les SP Versement d une redevance par les SP au prorata des demandes d authentifications et de signatures sur la base des ordres de grandeur précisés ci-dessus : enrôlement / signature 10 euros, authentification 0,06 euros. Versement d une rémunération aux IDP au prorata des demandes d authentifications et de signatures provenant d internautes détenteurs de certificats IDéNUM. Cette opportunité apparait fort attractive pour l investisseur participant à la mise en œuvre du projet. Grâce à la licence IDéNUM, de très nombreux prestataires de services pourraient se trouver en mesure de proposer des offres, la partie authentification en ligne freinée aujourd hui par l absence de solutions à base de certificats devant être activée par l adhésion des IDP au cercle de confiance IDéNUM. L investisseur étant ainsi intéressé à la gestion de la licence IDéNUM suivant un modèle financier à définir Offre de substitution et offre dynamique Le marché adressable de l authentification en ligne correspond à deux types d offres : une offre dite de substitution - qui transpose des mécanismes du monde réel - et une offre dite dynamique, dopée par l effet web et les certificats. Globalement, ce marché pèse près d un milliard d euros au bout de cinq ans, le temps que les services en ligne soient rentrés dans l usage des internautes. Qu il s agisse de services nouveaux ou de gains de productivité, ce montant doit être comparé aux coûts de déploiement d infrastructures à clés publiques qui nécessitent une logistique importante : génération de certificats, exploitation, SAV, révocation.. Grâce au Cercle de Confiance, le marché de l identité sera morcelé entre multiples IDP, dans la mesure où nos concitoyens seront sollicités par de multiples fournisseurs : l Etat - pour le renouvellement ou la délivrance d une CNIe-, les opérateurs téléphoniques qui envisagent cette offre comme un relais de croissance mais également les divers acteurs de l économie qui bénéficient d une relation privilégiée avec leurs clients : banques, notaires, la Poste. C est pourquoi il nous parait essentiel de ventiler ce marché en fonction du type de certificats détenus par les usagers mais également de leur perception vis-à-vis des prestataires en ligne : quel certificat pour quel service?

103 Les leviers d usage dans la société de l économie numérique 103/ Les types de certificats : Les détenteurs de certificats se répartissent en trois classes : CNIe : Sachant que 10% de nouveaux titres sont délivrés annuellement, nous suggérons que seulement 25% des ayant droits optent pour l activation du certificat inclus dans la puce lors du lancement de la nouvelle carte. IDéNUM PC : majoritairement les banques, mais également d autres détenteurs du label - notaires, la Poste, santé - dont nous supposons que 2,5% des usagers sont motivés par cette option la première année. IDéNUM SIM : envisageons que 2,5% des détenteurs soient intéressés par des certificats l année du lancement de l offre : changement de portables un marché majoritairement dopé par les smartphones et tablettes ou demande de détenteurs actuels de smartphones 331. Des certificats délivrés par les opérateurs téléphoniques mais également par tout autre acteur ayant noué des accords avec ceux-ci (banques, la Poste, autre ) Cette distinction en trois classes est essentielle de façon à détailler la répartition de marché en fonction du comportement des consommateurs. Quoique l usager s attende à l interopérabilité des certificats, nous l imaginons confiant à utiliser un certificat de banque pour des opérations financières. Mais il est fort probable qu avec l essor des tablettes - et la possibilité de se connecter en mobilité - ces portables de nouvelle génération permettent de réaliser toute opération en ligne, les cartes SIM possédant des certificats d authentification et de signature. Il n est pas exclu que les CSP+ cumulent plusieurs types de certificats : CNIe, portable, tablettes, banques.. La connexion en mobilité constitue le champ idéal des cartes SIM, et aucun service en ligne n y échappera. Les smartphones constitueront ainsi un fort vecteur de croissance sachant que près de la moitié du parc est renouvelé chaque année. Par ailleurs les certificats sur mobiles permettent de s authentifier en toutes conditions par la procédure bi-canal décrite ci-dessus ( 7.1.1). Le portable permettant de confirmer par activation du certificat d authentification - l identité de l internaute connecté à un site internet. Un mécanisme qui constituera un fort vecteur d adhésion aux certificats, vu qu elle ne requiert aucun équipement additionnel (carte, lecteur de carte, clé USB). La CNIe est favorablement perçue par la majorité des acteurs de l internet, mais les usagers de la toile n auront-ils pas le souci de diversifier leur mode d accès en fonction du type de site? Le baromètre CDC- ACSEL marque une forte confiance en une identité délivrée par l Etat, mais, dans la mesure où les usagers n ont pas été interrogés sur leur perception de procédés alternatifs à la CNIe, cette question reste en suspens. Quoiqu il en soit, gageons qu ils feront choix d un procédé qui, fourni gracieusement, leur garantira l accès à un maximum de services en ligne ,3 millions de téléphones portables auraient été vendus en France sur l'année 2008 selon une étude publiée en novembre 2008 par GfK. Les utilisateurs changent de téléphone tous les 23 mois en moyenne et même tous les ans pour les plus jeunes (12-14 ans).! 331 Rappelons que l internet mobile compte près de 5 millions de clients et que 3 millions de nouveaux équipements seront vendus cette année

104 Les leviers d usage dans la société de l économie numérique 104/ Répartition par types de certificats On trouvera ici des hypothèses prudentes, vu la nouveauté du procédé. Bien entendu, nombre d usagers disposeront de plusieurs certificats : CNIe, PC et SIM. Quelle sera leur attitude? Deux hypothèses se présentent : soit utiliser le certificat offrant le maximum d interopérabilité, soit utiliser une approche métier, c'est-à-dire utiliser le certificat adapté au site : CNIe pour les services de l Etat, IDéNUM banques pour des applications financières, etc. Mais est-il imaginable que l internaute puisse ainsi changer d identifiant en fonction du site? Un outil logiciel lui facilitera-t-il cette tâche? Population française adulte (Millions) 50 % de CNIe / population française chaque année 10% % population CNIe utilisant des certificats en A1 25% % population française titulaires de certificat IDéNUM PC en A1 2,5% % population française titulaires de certificat IDéNUM SIM en A1 2,5% Restreignant nos internautes à une population adulte, nous nous baserons sur les chiffres suivants dans les paragraphes à venir : 50 millions d individus, 10% de CNIe délivrée chaque année et un pourcentage ambitieux (1,8) de croissance annuelle de certificats IDéNUM, mais qui se justifie, vu la modicité des estimations au démarrage (2,5%). Sur cette base, le nombre de certificats délivrés en première année est fort modique un cumul de 4 millions se répartissant entre CNIe et opérateurs IDéNUM. Mais leur montée en puissance suit la progression de la CNIe délivrée à raison de 10% de la population adulte ; les détenteurs IDéNUM suivant une pente plus douce. Ainsi, en année 5, nous totaliserions 36 millions de certificats ; chiffre plausible sachant que nombre d internautes en possèderont plusieurs et que les smartphones vont d emparer du marché. Ils se répartissent comme suit : 10 millions de certificats de CNIe sur un total de 25 millions de titres distribués (soit 40%) 13 millions de certificats IDéNUM PC. Un chiffre non excessif sachant, notamment, le souci des banques de sécuriser les accès aux comptes (plus de 70 millions de comptes) et qu ils en seront les principaux bénéficiaires. 13 millions de certificats IDéNUM SIM, comprenant les certificats opérateurs et ceux d IDP ayant noué des accords avec les telcos. Une estimation fort raisonnable - sur un total d environ 50 millions d équipements vu le dynamisme de l internet mobile et l intérêt de l authentification bi-canale. La progression du nombre de détenteurs de certificats tient compte à la fois de la délivrance de la CNIe et de la promotion faite par les opérateurs IDéNUM. Nb de certificats (millions) Y1 Y2 Y3 Y4 Y5 CNIE IDéNUM PC IDéNUM SIM Cumul Le total cumulé de 36 millions de certificats en Année 5 ne doit pas sousestimer que nombre d internautes en possèderont plusieurs et adapteront leur mode d accès en fonction du site.

105 Les leviers d usage dans la société de l économie numérique 105/ 140 Les certificats de CNIe sont d abord majoritaires, considérant que 10% de nouveaux titres sont délivrés chaque année et posant comme hypothèse que seuls 25% des ayant-droits opteront pour l activation du certificat. La croissance forte des certificats IDéNUM délivrés par les banques et opérateurs mobiles permet de dépasser en Année 5 le nombre de certificats de CNIe. Pour chaque service en ligne, le montant du marché adressable tient compte à la fois : Du pourcentage de détenteurs de certificats, D une répartition vis-à-vis du secteur concerné, prenant l hypothèse que le certificat de banque est bien perçu dans l éco-système financier, quoique tout autre certificat puisse être accepté. Des statistiques du marché (nombre de prêts par an, produits financiers souscrits, etc ). Les revenus se répartissent comme suit : enrôlement (10 euros) et un certain nombre de connexions (6 centimes d euros) basées sur les pratiques d usage : une fois la semaine pour un compte bancaire, davantage pour la banque en ligne, les détenteurs d action étant plus actifs, vu la modicité des frais de transactions. La progression sur cinq ans n est pas la même dans tous les secteurs ; les certificats n ayant pas, notamment, vocation d augmenter le nombre de véhicules loués. Par contre, les usagers seront d avantage enclins à utiliser l accès en ligne pour échanger des documents avec leurs notaires. Tout au contraire, les secteurs dopés par la dynamique des certificats prêts à la consommation B2B2C connaissent une double progression : d abord proportionnelle au nombre de détenteurs mais aussi grâce à la facilité de réaliser une transaction en ligne. Dans les pages suivantes, nous privilégions les secteurs dont il est anticipé que les certificats contribueront soit à un gain de productivité (ebanking), soit à créer une dynamique, vu les taux de transformation lorsqu il s agit de contrôler des dossiers justificatifs. Dans cette évaluation, nous ne tenons pas compte du secteur médical dans la mesure où le contrôle d identité ne constitue pas une obligation. Concernant le DMP, les premiers patients commencent tout juste à ouvrir leurs dossiers auprès des personnels de santé, sur la base d identifiant / mot de passe ; mais il n est pas question de contrôler l identité du patient. Quant à la Télémédecine, la loi HSPT et ses décrets d application sont encore trop récents pour qu une obligation de contrôle d identité soit rendue nécessaire. Connaissant le peu de maturité de nos concitoyens pour la médecine sur internet, il est prématuré d avancer des chiffres. Mais gageons que ce secteur connaitra une progression forte dans les années à venir vu le vieillissement de la population, comme la nécessité de faciliter la reconduction de soins. Il est également possible que les assurance santé s emparent du marché renouvellement en ligne de prescriptions et diagnostics - de façon à minimiser les consultations. Par contre, des secteurs prometteurs comme la banque, le crédit à la consommation et les assurances justifient que soit évalué le potentiel pour des infrastructures à base de certificats, vu les coûts manuels de traitement des dossiers et la modicité des taux de conquête en ligne, voire même la difficulté de signer électroniquement des avenants avec des clients en compte.

106 Les leviers d usage dans la société de l économie numérique 106/ Secteur bancaire % de détenteurs de certificats pour ebanking 90% % de détenteurs de certificats CNIe pour ebanking 10% % de détenteurs de certificats Idénum PC pour ebanking 45% % de détenteurs de certificats Idénum SIM pour ebanking 45% Authentification forte ebanking ( ) 0,06 Souscription produits financiers ebanking ( ) 10 Nb consultation ebanking par an / banque de réseau 52 Nombre de souscription de produits financiers / an, réseau et banque en ligne 0,5 % de détenteurs de certificats pour banque en ligne 8% % de détenteurs de certificats CNIe pour banque en ligne 10% % de détenteurs de certificats IDéNUM PCpour banque en ligne 25% % de détenteurs de certificats IDéNUM SIM pour banque en ligne 65% Enrôlement banque en ligne ( ) 10 Nb consultation par an / banque en ligne 104 % de détenteurs de certificats CNIe pour titres scipturaux 40% % de détenteurs de certificats IDéNUM PCpour titres scripturaux 35% % de détenteurs de certificats IDéNUM SIM pour titres scripturaux 25% Nombre de titres scripturaux /an pour détenteurs de comptes 24 Dématérialisation titres scripturaux 1 La banque constitue le poids lourd de l authentification forte et un motif d intérêt des internautes pour les certificats, dont nous avons évalué à 90% le taux d usage pour des activités de ebanking. Un pourcentage qui s applique à la population cible de la première année (25% de certificats de CNIe, 2,5% IDéNUM PC et SIM). On anticipe même que certaines banques pourraient les rendront obligatoires - comme les calculettes d algorithmes secrets et grilles de correspondance de chiffres pour des opérations sensibles telles que des virements ou la souscription de contrats en ligne. Le couple traditionnel Identifiant / mot de passe ne donnant accès qu aux services limités du ebanking traditionnel. Prenons également l hypothèse que l internaute se sent en confiance avec son certificat de banque pour des opérations de ebanking, quoique d autres certificats devront être compatibles, comme ceux de cartes SIM pour y accéder à partir de smartphones et tablettes. S il possède des comptes dans différents établissements, gageons que son choix se portera sur celui qui offre le maximum d interopérabilité, par souci d ergonomie et de simplification. Million ( ) Y1 Y2 Y3 Y4 Y5 Total Banques de réseau Authent forte banque de réseau Contractualisation banque réseau Banque en ligne Enrôlement banque en ligne Authent. Forte banque en ligne Contractualisation banque en ligne Toutes banques Titres scripturaux Total banques Marché de l authentification forte et signature pour la banque de réseau Le marché de l authentification forte peut se décomposer comme suit : consultations (confirmation d identité) et souscription (signature) à des produits financiers. Peu pratiquée aujourd hui sur internet, par manque d outils fiables, la prise de contrat en ligne est amenée à croitre pour des produits packagés ne nécessitant pas l intervention d un conseiller financier (CODEVI, Livret A, PEL.) Consultations Les limites aux fonctions de ebanking milite en faveur de procédés d authentification forte; une alternative séduisante au fastidieux identifiant / mot de passe devant être régulièrement modifié. Partant de notre hypothèse 6 centimes d euros pour un accès sécurisé- le marché adressable de la consultation en ligne représentera en Année 5 prés de 40 millions d euros sur la base d une consultation 332 hebdomadaire 333. Un % des européens accèdent à leur compte en banque sur une base mensuelle ou hebdomadaire. Nous privilégions la base hebdomadaire, vu l importance des comptes professionnels. 333 Nous prenons comme hypothèse les 74,4 millions de comptes à vue (particuliers et professionnels) répertoriés en 2008, sachant que les comptes professionnels sont davantage consultés que les comptes de particuliers (mouvement de trésorerie, produits financiers).

107 Les leviers d usage dans la société de l économie numérique 107/ 140 montant fort modique, qui porte sur une simple connexion sans prendre en compte les possibilités offertes, une fois le ebanking sécurisé, notamment la dématérialisation des traitements scripturaux (TIP, Chèques, virements). Souscription à des produits financiers Sur la base du coût de traitement de l identité 10 euros et d une souscription tous les deux ans à des produits financiers, le marché de la prise de contrats sur internet représenterait presque 60 millions d euros en Année 5. Nous anticipons que la vente de produits packagés se généralisera pour atteindre un CA d authentification et de signature plus conséquents. Ce montant modique se justifie par l usage courant de négocier actuellement ce type de contrats auprès de conseillers financiers, plutôt que d y souscrire en ligne Marché de l authentification forte et signature pour la banque en ligne La banque en ligne, par nécessité de dématérialisation de bout en bout, constitue également un secteur prometteur ; d autant plus que l internaute a un profil de boursicoteur accédant régulièrement à son compte et procédant fréquemment à des transactions de valeurs mobilières, vu la modicité des frais. Comme pour la banque de réseau, il nous semble que seul le détenteur de certificats pourrait, à l avenir, prétendre à des fonctions évoluées virement, achat / vente de valeurs mobilières, sans limitation de montant -, l identifiant / mot de passe ne donnant accès qu à des opération très limitées. Nous anticipons deux consultations hebdomadaires - taux fort prudent et vraisemblablement en dessous de la réalité, vu l usage croissant des smartphones et tablettes chez les CSP+. Comme pour la banque en ligne, le marché de l authentification forte se décompose en enrôlement (contrôle des pièces d identité, signature de contrats), consultation (confirmation d identité), souscription de produits financiers (confirmation d identité et signature de contrats). Notre estimation porte sur le nombre de comptes ouverts annuellement (5 millions) dont 1/3 pourraient se porter sur la banque en ligne ; ces nouveaux clients devant se rajouter aux 2 millions de comptes en ligne existants 334. Comme mentionné précédemment, le contrôle d identité est évalué à 10 euros, l authentification forte, à 6 centimes d euros La dématérialisation des titres scripturaux emandate, chèques, TIPS, virements en ligne devront constituer les nouvelles fonctions du ebanking, très attendues des particuliers, qu il s agisse de la banque de réseau ou de la banque en ligne. Nous proposons des hypothèses prudentes sur la base de deux virements mensuels, soit 24 paiements par an, un rythme sans doute inférieur à la réalité, vu les multiples règlements opérés par les particuliers : assurances, syndics d immeuble, télécoms, électricité, taxes.. etc. Cette procédure est plus complexe qu une authentification forte, dans la mesure où elle nécessite les étapes suivantes: Accès sécurisé au compte débiteur Mise en relation avec la banque du bénéficiaire Attestation par signature du consentement du débiteur. Une succession d opérations que nous évaluons à 1 euro pour les banques, sur la base du coût moyen de traitement d un chèque par les banques ; sans compter le cout du timbre pour les particuliers. La dématérialisation des titres scripturaux représente une facilité pour les internautes qui pourront honorer leurs créances directement, notamment générer l IBAN d un bénéficiaire sans formalités préalables ; cette démarche n étant possible aujourd hui que pour des virements réguliers et des comptes répertoriés à l avance. 334 Actuellement 17% des clients en ligne souscrivent à des produits financiers. Nous anticipons une progression, considérant que les banques vont opter pour des produits de plus en plus packagés : livrets, PEL Notre estimation se base sur une souscription toutes les deux ans.

108 Les leviers d usage dans la société de l économie numérique 108/ 140 La dématérialisation des titres scripturaux représente l un des grands enjeux de l ebanking. Le particulier devrait pouvoir se passer de chèques, mandats, TIPs...et virer directement des montants auprès de bénéficiaires en générant leur IBAN à partir d une fonction sécurisée et en attestant de son consentement par une signature électronique Potentiel de la banque pour les certificats Au bout de cinq ans, ce marché adressable réseau, banque en ligne dépasse les 400 millions d euros. Quelle peut être la stratégie des acteurs : investir dans les infrastructures à base de certificats de façon à gagner en productivité et adresser d autres secteurs? Nouer des accords avec des IDP, sans se positionner comme IDP? Difficile de répondre à ce stade, mais l adhésion au Cercle de Confiance IDéNUM permet au banques de se situer à la fois comme IDP fournisseurs d identité et SP - fournisseurs de services (crédit, produits financiers, etc ). En adhérant au cercle de confiance, la banque IDP peut tout d abord gagner en productivité, mais surtout adresser un nombre importants de SP, intéressés par la garantie d identité fournie par le label.

109 Les leviers d usage dans la société de l économie numérique 109/ Les achats en ligne % Acheteurs en ligne / population française 55% % Acheteurs en ligne sans carte de crédit 15% Nombre d'achats / an 10 Autorisation d'achat en ligne ( ) 0,06 Autorisation de débit bancaire en ligne ( ) 2 % de détenteurs de certificats CNIe pour achats en ligne 15% % de détenteurs de certificats IDéNUM PCpour achats en ligne 30% % de détenteurs de certificats IDéNUM SIM pour achats en ligne 55% % Acheteurs en ligne avec carte de crédit 85% Autorisation de débit bancaire Concernant l apport de certificats, le commerce sur internet ne constitue un secteur porteur que par cette tranche d acheteurs sans cartes de crédit, environ 15%, qui représentent un CA de 15 milliards (sur 30 milliards). Par ailleurs, sachant que la moitié des engagements de paiements sans carte ne parviennent pas au vendeur : courrier mal libellé, compte non approvisionné, chèque invalide, rétractation.. On peut donc estimer un fort «manque à gagner» sur ces paiements hors cartes, d autant plus que moult vendeurs sur les sites d enchères refusent les services de Visa, Paypal, etc vu le pourcentage des commissions. Seule solution, mais qui exige une authentification forte : l accès, depuis le site de vente, au compte bancaire de l internaute, puis du bénéficiaire suivant une procédure sécurisée qui confirme l autorisation de débit. Evaluons-la forfaitairement à 2 euros, bien moins que le pourcentage perçus par les Paypal et cartes de crédit sur les transactions en ligne. De plus, l authentification forte évitera la répudiation éventuelle de la transaction. Totalisant 21 millions au bout de 5 ans, ce secteur ne constitue pas réellement un marché attractif, preuve que le paiement n est pas l axe privilégié des certificats, au contraire de la vérification d identité et la signature de contrats en ligne. Toutefois on peut anticiper que nombre de vendeurs pourraient encourager cette forme de paiement, et ainsi éviter les frais perçus par les circuits traditionnels (Visas, MasterCard, Paypal). Dans ce cas, le faible pourcentage (15%) d achats sans carte pourrait fortement grimper et représenter un marché plus conséquent, vu la croissance de la vente en ligne. Million ( ) Y1 Y2 Y3 Y4 Y5 Total Achats en ligne Débit bancaire Non répudiation Total achats en ligne Non-répudiation des achats La répudiation des achats constitue un préjudice pour les acteurs de paiement en ligne comme Paypal, MasterCard, Visa (85% des transactions) Le relatif échec de 3D Secure sur SMS justifie qu on s interroge sur l opportunité de procédures à base de certificats. L activation pouvant s opérer à deux niveaux : soit par le navigateur - clé USB, carte connectée au PC, logiciel? - soit par une procédure bicanale avec certificat de portable. Le coût de cette transaction devant être inférieur à 7 centimes d euros, montant facturé aux banques pour 3DS.

110 Les leviers d usage dans la société de l économie numérique 110/ Le crédit à la consommation % Acheteurs en ligne avec carte de crédit 85% % de détenteurs de certificats pour crédits B2C 30% % de détenteurs de certificats CNIe pour crédit B2C 20% % de détenteurs de certificats IDéNUM PCpour crédit B2C 70% % de détenteurs de certificats IDéNUM SIM pour crédit B2C 10% % de détenteurs de certificats pour Crédits B2B2C 60% % de détenteurs de certificats CNIe pour crédit B2B2C 15% % de détenteurs de certificats IDéNUM PCpour crédit B2B2C 30% % de détenteurs de certificats IDéNUM SIM pour crédit B2B2C 55% % détenteurs de certificats pour revolving 20% % de détenteurs de certificats CNIe pour crédit revolving 25% % de détenteurs de certificats IDéNUM PCpour crédit revolving 60% % de détenteurs de certificats IDéNUM SIM pour crédit revolving 15% Authentification forte revolving ( ) 1,00 Nombre d'accès / an revolving 4 Souscription crédit ( ) 10 Nombre de demandes / an 2 Comme la Directive sur le Crédit à la Consommation (DCC) - Loi Lagarde en France - obligera les financeurs à proposer un crédit amortissable, les offres en ligne vont connaitre un vif succès si des certificats permettent de simplifier la procédure de souscription. A titre d exemple, le paiement en trois mensualités constitue un produit d appel qui séduira tant les internautes aisés que les emprunteurs habituels. Aussi l un de nos établissements de crédit anticipe-t-il une croissance de ses encours de 20 à 800 millions pour des financements attachés à un bien (B2B2C) dès que des certificats en ligne sont disponibles. Nous anticipons deux demandes par an, considérant que nos usagers achèteront des équipements de plus en plus couteux (électroménager, hi-fi) en faisant appel à des crédits ou paiements étalés, une fois automatisée la procédure en ligne. Le montant du marché adressable - près de 200 millions en cinquième année constitue l un des plus gros potentiels pour des certificats, d autant plus le marché de la vente sur internet continue sa progression à un rythme de 40% l an. Concernant le crédit non attaché à un bien, B2C, marché moins tributaire de l immédiateté, la progression vient surtout de la conquête de nouveaux clients, impossible à formaliser en ligne ; seuls les emprunteurs déjà en compte pouvant en bénéficier aujourd hui. Ce marché (contrôle de cohérence des pièces d identité et signature d un contrat : 10 euros) représentera quelques 75 millions en Année 5, avec une croissance de 10% l an. Million ( ) Y1 Y2 Y3 Y4 Y5 Total Crédit consommation B2C B2BC Revolving Total crédit La Commission Européenne, via la Directive sur le Crédit (DCC), entend homogénéiser les modalités de financement mais également faire jouer la concurrence entre établissements bancaires hors pays d origine. Mais encore faut-il que des règles communes puissent s appliquer pour l authentification des usagers en ligne. Le programme STORK devrait fournir des éléments concrets en ce sens. Chiffres et taux proposés tiennent compte du marché comme de la montée en puissance des smartphones qui vont dynamiser les achats en ligne, et par conséquence, les demandes de crédit. L internaute pouvant procéder à une demande de crédit depuis sa tablette, les certificats d authentification et de signature pouvant être activés en mobilité.

111 Les leviers d usage dans la société de l économie numérique 111/ Les jeux en ligne % de détenteurs de certificats pour jeux en ligne 20% % de détenteurs de certificats CNIe pour jeux en ligne 10% % de détenteurs de certificats IDéNUM PCpour jeux en ligne 15% % de détenteurs de certificats IDéNUM SIM pour jeux en ligne 75% Enrôlement pour jeux en ligne ( ) 7 Accès compte bancaire pour jeux en ligne ( ) 1 Nombre d'accès compte bancaire / an pour jeux en ligne 4 Nombre d'enrôlement / joueur 2,5 Bien que la régulation des jeux en ligne soit récente, l authentification forte peut être envisagée lors des phases suivantes : Enrôlement du joueur dans le cadre de la révision de la loi fin 2011, l ARJEL n excluant pas un dossier électronique. Nous évaluons à quelques 7 euros le traitement de l identité et du formulaire signé 335. Accès au compte bancaire pour augmenter sa mise de jeu ou récupérer un gain. L enrôlement ne constitue pas un marché important, comparé à la banque et le crédit. Mais, comme pour la vente en ligne, l accès, depuis le site, à son compte bancaire pourra représenter un montant plus conséquent si les jeux en ligne gagnent en popularité. Million ( ) Y1 Y2 Y3 Y4 Y5 Total Jeux en ligne Enrôlement Accès compte bancaire Total jeux en ligne Location de voitures % de détenteurs de certificats pour location de voitures 15,00% % de détenteurs de certificats CNIe pour location de voitures 25,0% % de détenteurs de certificats IDéNUM PC pour location de voitures 40,0% % de détenteurs de certificats IDéNUM SIM pour location de voitures 35,0% Nombre de location annuelle 1 Location en ligne ( ) 10 Si l on évalue à 7,6 millions 336 les locations annuelles, un volume en croissance, nous suggérons que 10% des démarches pourraient être réalisées en ligne, ce secteur n étant pas un facteur d acceptation des certificats. Sur la base d un coût de traitement de 10 euros par dossier identité, permis de conduire -, on totalise quelques 2 millions par an, revenu relativement modique mais qui pourrait être dynamisé par les projets de mise à disposition de véhicules par les municipalités. Quelles seront les modalités de mise en œuvre? Comment contrôler que le «locataire» dispose de ses points? Une information qui n est pas accessible aux loueurs aujourd hui! Ne serait-ce pas une piste à investiguer? D autant que les municipalités pourraient étendre leur offre à des déplacements plus importants, non limités au périmètre de la ville et demander une confirmation d identité, pour éviter des fraude ou vols de véhicules. Million ( ) Y1 Y2 Y3 Y4 Y5 Total Location véhicules Signature contrats Nous nous basons sur 3 Euros, le prix moyen proposé pour la frappe d une page. L enrôlement pour les jeux en ligne nécessitant la saisie d informations provenant de multiples documents : CNI, quittances, etc

112 Les leviers d usage dans la société de l économie numérique 112/ Officiers publics et ministériels Les officiers publics et ministériels ne constituent pas réellement un marché pour la mise en œuvre de certificats. Hormis le notaire qui contrôle l identité de son client pour chaque authentique, les huissiers et greffiers des tribunaux de commerce se contentent d une simple copie du titre d identité, sans procéder à son contrôle ou a une confirmation d identité Greffiers des tribunaux de commerce Concernant les greffiers des tribunaux de commerce, l Etat n entend pas, à ce jour, contrôler l identité des entrepreneurs - 283, 487 immatriculations, 228,656 radiations pour le RCS 2009 ; idem pour les modifications statutaires. Bien que la production d une CNI soit obligatoire, ni le titre, ni son intégrité ne sont contrôlés. Toutes ces opérations peuvent être opérées en ligne aujourd hui mais sans nécessité d authentification de l internaute. Il n est pas même question d interroger le fichier STIC 337 de façon à détecter des personnes interdites de gestion ou susceptibles de malveillances. La situation des auto-entrepreneurs est identique (environ 500,000 par an) ; leurs données d état civil ne sont pas contrôlées Les notaires Vu leur obligation de contrôler les pièces, les notaires sont les plus gros clients des registres de mairies qui leur délivrent chaque année plus de 16 millions de fiches d état civil ; un coût interne chiffré à 5 euros par demande mais qui permet d actualiser des attributs fondamentaux comme la jouissance des facultés civiques, notamment la mise sous tutelle du demandeur. Il n est donc pas question pour les particuliers de produire leurs titres d identité en ligne, le notaire opérant cette démarche pour le compte de son client. Par contre, les notaires se préoccupent aujourd hui de la création d un espace sécurisé pouvant accueillir les pièces d un dossier: documents d hypothèque, titres de propriété, courriers de syndic, justificatifs de succession sachant que 5 millions d actes authentiques sont rédigés chaque année. Vu la position de force des notaires vis-à-vis de l identité, on peut anticiper qu ils définiront eux même la procédure d accès par des certificats d authentification remis à leurs clients. Ils disposent donc d un marché intérieur important leur permettant de rebondir sur d autres secteurs Les huissiers Comme mentionné précédemment, les huissiers se contentent d une copie de CNI, sans contrôle de son authenticité. Par ailleurs, les études de province ne disposent pas d une infrastructure informatique permettant de contrôler ces données. Mais il pourrait être envisagé, à l avenir, la mutualisation d une infrastructure entre intervenants, de même que la création d un espace sécurisé de transmission de pièces pour l instruction d un dossier, à l image des notaires. 337 Le STIC (Système de Traitement des Infractions Constatées) est une base de donnée interconnectant les fichiers policiers et répertoriant toute personne ayant été concernée par une procédure judiciaire (crimes, délits et contraventions diverses et variées), qu'elle soit mise en cause ou bien... victime, et quand bien même le mis en examen est blanchi. Créé par la loi n du 21 janvier 1995, le STIC entre en activité officielle sans ses décrets d'application. Au 1er janvier 1997, il comportait les noms de 2,5 millions prévenus, 2,7 millions de victimes, portant sur 5 millions de procédures et 6,3 millions infractions. Certaines données remontent à (Source: SGP, syndicat majoritaire des gardiens de la paix).

113 Les leviers d usage dans la société de l économie numérique 113/ Recommandés et courriers à valeur probante La Poste enregistre un CA d'un milliard d'euros grâce à quelques 200 millions de lettres recommandées par an un service standard sans vérification de l identité des parties ni archivage de contenu pour un coût moyen de 3 euros pour des courriers inférieurs à 20g. Une offre enrichie authentification des parties, archivage à valeur probante, horodatage pourrait aisément être facturés le double à l usager. Par contre, il n est pas excessif de prévoir à l avenir une hausse des courriers à valeur probante, dans la mesure où le courrier traditionnel sera remplacé par des mails. Nombre d'accès pour communication de pièces 4 Nb de recommandé par personne / an émission 2 Nb de recommandé par personne / an réception 2 % de détenteurs de certificats pour recommandés 75% % de détenteurs de certificats CNIe pour recommandés 30% % de détenteurs de certificats IDéNUM PC pour recommandés 45% % de détenteurs de certificats IDéNUM SIM pour recommandés 25% Courrier à valeur probante, émission ( ) 3 Courrier à valeur probante, réception ( ) 3 Notre évaluation se base sur 2 courriers émis par adulte (50 millions), mais également 2 courriers en réception. ; supposant que notre internaute opte vis-à-vis de son syndic - ou de sociétés dont il est actionnaire - pour une formule lui permettant de recevoir par internet ses convocations, PV, résolutions... Concernant le pourcentage de détenteurs de certificats en Année 1 utilisant les recommandés électroniques, supposons qu il soit de 75% de notre cible décrite au 8.2 ; en effet, nos internautes, ayant opté pour l activation de certificats de CNIe ou des offres IDéNUM, sont des familiers du web, connectés régulièrement à leur ebanking et qui saisissent le gain de temps du courrier électronique à valeur probante. Sur ces bases très prudentes, il n est pas étonnant que ce marché dépasse les 100 millions en Année 5, donc la moitié du revenu actuel de la Poste pour ses recommandés. Nous sommes dans le cas d une offre de substitution, mais qui risque d être dynamisée par le web et les certificats, le potentiel devant dépasser les 200 millions dès la sixième année Million ( ) Y1 Y2 Y3 Y4 Y5 Total Poste Recommandés émission Recommandés réception Total recommandés

114 Les leviers d usage dans la société de l économie numérique 114/ Les assurances Nombre de contrats assurances / personne 1,3 % de détenteurs de certificats pour assurances 90% % de détenteurs de certificats CNIe pour assurances 20% % de détenteurs de certificats IDéNUM PC pour assurances 50% % de détenteurs de certificats IDéNUM SIM pour assurances 30% Reconduction de contrat ( ) 2 Souscription de contrats assurance 10 Pro-rata nouveaux contrats souscrits en ligne 8% Nombre de contrats assurance vie / population française croissance /an 3,00% % de détenteurs de certificats pour assurances-vie 80% % de détenteurs de certificats CNIe pour assurances-vie 45% % de détenteurs de certificats IDéNUM PC pour assurances -vie 45% % de détenteurs de certificats IDéNUM SIM pour assurances-vie 10% Souscription de contrats assurance vie ( ) 10 Souscription assurance emprunteur 5 Million ( ) Y1 Y2 Y3 Y4 Y5 Total Assurances Reconduction contrats Souscription nouveaux contrats Assurances vie Assurance emprunt B2C Assurance emprunt B2BC Total assurances Les assurances ne sont pas tributaires d un contexte réglementaire qui exigerait le contrôle d identité pour toute souscription. Par contre, la profession s interroge sur la nécessité d évoluer, notamment de proposer un mode web à une clientèle jeune et aguerrie aux réseaux sociaux. Comme mentionné dans les pages précédentes, la Loi Chatel devrait permettre de reconduire son contrat tout en procédant au paiement par ebanking et ainsi éviter chèques ou TIPs. Partant d hypothèses prudentes : 1,3 contrat par personne, avec un taux de pénétration de certificats de 60% - notre internaute est un pro de l internet et un coût unitaire de 2 euros pour procéder à l opération de ebanking (authentification forte, mise en relation avec la banque du bénéficiaire, virement avec attestation du consentement), nous obtenons un potentiel d environ 30 millions euros en cinquième année. Un marché très modeste au regard de la banque. Mais répétons le, la majorité des contrats sont encore souscrits auprès des agents, les sites internet servant essentiellement à comparer les prix. L absence de contrôle «fort» d identité explique également ce marché quelque peu décevant. Par contre, on ne peut négliger la possibilité très proche de souscription de contrats sur internet, vu la guerre des prix sur les assurances MRH et automobiles. Le choix se déterminant à 10 euros près, la souscription en ligne permettra de faire l économie d un conseiller pour des contrats standards. Partant d un taux de 8% de nos détenteurs de certificats en première année procédant à une souscription en ligne, cette activité représente une dizaine de millions en année 5. Un chiffre fort modeste et amené à croitre vu la concurrence sur les prix. Ce sont essentiellement les activités financières qui vont drainer les besoins d authentification forte. Les assurances vie, produit phare des classes aisées, commencent à être souscrites en ligne comme nous le remarquions dans notre étude de «En effet, les perspectives de croissance du secteur suivent l engouement des internautes pour le web. Ainsi l un des grands acteurs du domaine envisage-t-il un encours supérieur au milliard d Euros en 2010 en dématérialisant sa gestion de contrats d assurance vie. Deux autres établissements totalisent près d un demi-milliard d'encours en réduisant leurs droits d entrée à 0,5% au lieu des 3% perçus généralement sur les contrats d assurance vie. Un point non négligeable dans la mesure où les montants négociés sur le web atteignent 20,000 Euros contrairement aux 4,000 Euros contractés en moyenne par les courtiers ; ce qui confirme l attrait de populations averties et relativement aisées, pour la banque en ligne». 338 Standarmedia. Afnor Paris Etude d'impact : la signature électronique et les infrastructures à clé publique dans le contexte de l'identité numérique : Quels usages pour les titres sécurisés émis par l'état dans le monde de l'économie numérique?

115 Les leviers d usage dans la société de l économie numérique 115/ 140 Environ 15 millions de nos concitoyens sont aujourd hui titulaires d un contrat d assurance vie, avec un taux de progression de 10% l an, soit 2% de la population française. Vu les perspectives accrues d accès à des produits packagés, gageons que 3% d internautes souscriront en ligne une fois ce type d offre disponible. Si 60% d entre eux disposent de certificats, le marché d authentification forte totalisera moins d une dizaine de millions d euros au bout de 5 ans. L assurance crédit constitue également un vecteur de croissance, grâce à la progression des achats en ligne (40%, l an) et des crédits attachés à un bien (B2B2C). Bien qu actuellement ce contrat soit dissocié de l Offre Préalable de Crédit, on peut anticiper que les internautes se voient bientôt proposer une offre packagée financement / assurance dès que des certificats d authentification et de signature seront disponibles. Sur la base des perspectives de crédits détaillées au 8.5, le marché de l assurance pourrait totaliser environ 120 millions en année 5 (B2C et B2B2C réunis) Vote électronique des assemblées cotées Faute d outil d authentification forte, le vote électronique n est pas encore proposé aux actionnaires de sociétés cotées. Ce marché potentiel reste encore limité, le boursicoteur - détenteur d un volume d actions assez modique ayant davantage un souci de profits que de participer à la stratégie des entreprises. Par ailleurs, ce type de vote ne justifie pas l acquisition de certificats par nos concitoyens. Sur la base de ces hypothèses, supposons que nos détenteurs de valeurs mobilières (15% de la population) soient équipés à hauteur de 1% de certificats. Leur vote en ligne représenterait un marché de quelques millions en année 5 ; un montant qui risque de croitre avec l usage des certificats, le pourcentage en Année 1 ayant été volontairement minimisé. Nombre de contrats assurance vie / population française croissance /an 3,00% % de détenteurs de certificats pour assurances-vie 80% % de détenteurs de certificats CNIe pour assurances-vie 45% % de détenteurs de certificats IDéNUM PC pour assurances -vie 45% % de détenteurs de certificats IDéNUM SIM pour assurances-vie 10% Souscription de contrats assurance vie ( ) 10 Souscription assurance emprunteur 5 Million ( ) Y1 Y2 Y3 Y4 Y5 Total Vote électronique Sociétés cotées Le travail temporaire Le travail temporaire représente un secteur particulièrement attractif pour l authentification en ligne, vu la nécessité de signer les contrats, par risque de les voir requalifiés en CDI. Majoritairement pourvue de portables, la population visée constitue une cible idéale pour les opérateurs téléphoniques ; le travailleur en détachement pouvant ainsi valider son engagement par une signature de SIM. % travailleurs temporaires / population française 2,5% % de détenteurs de certificats pour travail temporaire 50% % de détenteurs de certificats CNIe pour travail temporaire 10% % de détenteurs de certificats IDéNUM PC pour travail temporaire 30% % de détenteurs de certificats IDéNUM SIM pour travail temporaire 60% Contrat de travail temporaire ( ) 5 Nb de contrats / an 4 Le volume du travail temporaire représente en France 2,5% de la population active salariée, à comparer à un taux moyen d'utilisation du CDD de 5% entreprises de travail temporaire (ETT) ont ainsi développé un maillage de agences de proximité pour les salariés en recherche d'emploi. En 2004, ces entreprises ont géré emplois équivalents plein temps (Statistiques INSEE, voir tableau cidessous). Compte tenu de la durée moyenne des missions et de la rotation du personnel, ce sont plus 2 millions de salariés qui ont été concernés pour une moyenne de 4 emplois par individu.

116 Les leviers d usage dans la société de l économie numérique 116/ 140 Statistiques INSEE Prenant l hypothèse que seulement la moitié de cette population dispose de certificats en Année 1 (1,25%), ces contrats de ligne pourraient générer une dizaine de millions par an. Un chiffre encore assez modique, mais qui risque de croitre, si les employeurs rendent obligatoire l usage des certificats pour leur personnel temporaire, par souci d efficacité et de conformité à la loi. Million ( ) Y1 Y2 Y3 Y4 Y5 Total Travail temporaire Prise de contrat

117 Les leviers d usage dans la société de l économie numérique 117/ Le modèle financier Répartition par catégorie de certificats Globalement, c est le total consolidé qui compte (environ 1 milliard d euros en Année 5), si la répartition des revenus entre certificats - CNIe, IDéNUM PC, IDéNM SIM - devait susciter des réserves. Nos hypothèses se veulent prudentes et soucieuses de préfigurer un comportement consommateur : quel mode d authentification pour quel service? Si, dans un premier temps, l usager se sent plus à l aise avec un certificat de banque pour du ebanking et des opérations connexes comme la souscription de crédit, on anticipe que l interopérabilité constituera un facteur de succès. En effet, on imagine mal notre internaute changeant de certificats voire de support (carte, clé USB, SIM?) en fonction du service en ligne, à moins que cette opération ne soit réalisée par des outils logiciels, l usager n ayant plus qu à cliquer pour attester de son consentement. Millions ( ) Y1 Y2 Y3 Y4 Y5 CNIE IDéNUM PC IDéNUM SIM Cumul Enrôlement versus authentification Les premières années, les certificats sur PC nous semblent bien adaptés à des opérations d enrôlement (souscription), vu la nécessité de scanner des justificatifs - quittances, bulletins de salaires, attestations d IR jusqu à ce que les usagers réalisent la possibilité de les gérer en ligne dans des coffres-forts électroniques. En effet le PC à domicile, par son confort et la quiétude de l usager, permet de comparer les offres, lire attentivement les contrats, les remplir et les signer pour transmission en ligne. Les revenus dépendent du mode de connexion de l usager. Mais on anticipe que l interopérabilité des certificats jouera un rôle majeur ; l internaute étant peu disposé à modifier son mode de connexion en ligne. Evaluée à environ 10 euros hors frais de conquête et marketing la vérification des données d identité et de leur cohérence avec les contrats est une opération effectuée manuellement aujourd hui qui permet de quantifier le marché adressable. Autrement dit, le déploiement d une infrastructure à clés publiques permettant de s authentifier et de signer en ligne est-il compétitif par rapport au coût humain dont nous évaluons les montants ci-dessus? C est précisément ce mécanisme d enrôlement qui génèrera le plus de revenus car il vise à remplacer une tâche couteuse, mais indispensable aux juristes qui souhaitent disposer d un dossier de preuves, opposable en cas de litige. Ils sont actuellement dans l attente de solutions informatiques qui puissent garantir un niveau équivalent de légitimité aux dossiers «papiers». Comparé à l enrôlement, l authentification, que les prestataires en ligne ne rémunéreront pas plus de 6 centimes d euros génèrera des revenus plus faibles. Bien qu on se connecte de multiples fois, c est l activité «amont» qui sera la plus rémunératrice pour les prestataires, vu l intérêt des détenteurs de certificats pour les services en ligne banque, jeux, etc qui, tous, nécessiteront un enrôlement préalable. L enrôlement à un service, comme la souscription de contrats, représente la partie la plus rémunératrice dans la mesure ou elle remplace le contrôle des pièces d identité et sa cohérence avec un contrat Millions ( ) Y1 Y2 Y3 Y4 Y5 Total

118 Les leviers d usage dans la société de l économie numérique 118/ 140 Total enrôlement Total authentification Total services en ligne Bien que le PC paraisse aujourd hui l outil idéal d enrôlement et de fourniture en ligne de justificatifs, on ne peut sous-estimer l essor des tablettes qui faciliteront les usages en mobilité, vu leur confort de lecture. En effet, on anticipe que des internautes équipées de tablettes procéderont à des activités en ligne, lors de déplacements en TGV, Thalys, Eurostar. : achats, prise de crédit, assurance crédit, ebanking, grâce à des certificats embarqués. Le remplacement de la moitié du parc de mobiles chaque année (plus de 20 millions d appareils) constituant une opportunité pour les opérateurs téléphoniques. L usage de certificats favorisera également le recours aux coffres-forts électroniques, grâce à un accès sécurisé. Les procédures d enrôlement, opérées dans un premier temps par PC, seront donc réalisées sur tablettes, l usager pouvant s authentifier et signer en ligne, tout en joignant les justificatifs RIB, attestation d IR, bulletins de salaires téléchargés à distance en mobilité et même en avion, l internet étant maintenant accessible sur longs courriers 339. En Année 5, PC et SIM deviennent des acteurs prépondérants du marché de l authentification forte. Mais on ne peut exclure qu à l avenir les tablettes prennent progressivement le pas sur les PC en combinant mobilité et ressources de l ordinateur. Les opérations connexes à la banque constitueront le poids lourds de l authentification forte. Il est donc fondamental que les établissements financiers s accordent sur des stratégies communes avec les opérateurs téléphoniques de façon à garantir les accès en ligne tant par PC que par portables ; sans oublier la procédure d authentification bi-canale, qui permettra de s authentifier par son mobile, sans équipement additionnel. Interopérabilité des certificats, ou mise à disposition de certificats bancaires dans les cartes SIM Différents modes opératoires et modèles financiers sont envisageables, mais les deux secteurs devront trouver des modes de partenariat de façon à favoriser l usage des certificats. 339 Service OnAir, Joint Venture Airbus SITA

119 Les leviers d usage dans la société de l économie numérique 119/ Les secteurs porteurs Cinq années après la mise en œuvre de projets «certificats», les grandes tendances commencent à se dessiner. Considéré comme un portail, l ebanking devra donner accès à toute une gamme de services sécurisés : dématérialisation des titres scripturaux, en remplacement des chèques, TIPs, virements, mandats, virements et transactions non plafonnées de titres.des opérations en ligne qui justifient un mode d accès sécurisé et constituent le plus fort potentiel en termes de marché adressable pour des infrastructures à base de certificats. Millions ( ) Y5 Total banques 429 Achat en ligne 25 Crédit Consommation 283 Jeux en ligne 32 Location de véhicules 2 Notaires 15 Recommandés 110 Assurances 186 Vote électronique Sociétés cotées 2 Travail temporaire 15 Total consolidé Le crédit à la consommation, et ses produits dérivés comme l assurance crédit, apparaissent comme des secteurs majeurs - parce que l offre est packagée, tirée par la croissance de la vente en ligne - et qu elle ne nécessite pas de conseillers. Ainsi le paiement différé, ou en trois versements, connaîtra-t-il une forte éclosion, une fois les juristes acquis à la prise de contrat en ligne, opération qui pourra s effectuer en quelques clics avec des certificats sur PC ou smartphones. Atteignant un revenu de près de 300 millions en Année 5, tous établissements confondus, qu il s agisse de financements de biens ou non, ce montant représente environ 3% d un total d encours évalué à plus de 15 milliards.

120 Les leviers d usage dans la société de l économie numérique 120/ 140 La banque constitue un poids lourd pour des infrastructures à clés publiques. En parallèle au ebanking, qui permet d accéder aux comptes de façon sécurisée, c est la dématérialisation des titres scripturaux qui représente le plus gros marché. Un domaine connexe à la banque, comme le crédit à la consommation, constitue également un potentiel important, vu les difficultés de souscrire un contrat en ligne. Million ( ) Y1 Y2 Y3 Y4 Y5 Revenus Banques de réseau Authent forte banque de réseau Contractualisation banque réseau Banque en ligne Enrôlement banque en ligne Authent. Forte banque en ligne Contractualisation banque en ligne Toutes banques Titres scripturaux Total banques Achats en ligne Débit bancaire Non répudiation Total achats en ligne Crédit consommation B2C B2BC Revolving Total crédit Jeux en ligne Enrôlement Accès compte bancaire Total jeux en ligne Location véhicules Signature contrats Notaires Espace sécurisé Communication pièces Total notaires Poste Recommandés émission Recommandés réception Total recommandés Assurances Reconduction contrats Souscription nouveaux contrats Assurances vie Assurance emprunt B2C Assurance emprunt B2BC Total assurances Vote électronique Sociétés cotées Travail temporaire Prise de contrat Total Les services publics sont absents de ce palmarès, l Etat n envisageant pas de procéder à une authentification forte pour ses services en ligne, et encore moins de rémunérer un prestataire (IDP) qui confirmerait l identité. C est véritablement le domaine régalien, où la CNIe acquiert toute sa légitimité. Quoique, par application de l ordonnance de 2005, l administration électronique devra accepter tous les outils répondant au RGI et au RGS, et pas seulement la CNIe. Les assurances sont essentiellement «tirées» par des produits packagés, comme la couverture de crédit, les contrats traditionnels étant majoritairement souscrits par des conseillers en agence. Mais vu la guerre des prix, on ne peut négliger, à moyen terme l essor de la souscription en ligne. Remarquons également quelques secteurs porteurs comme la lettre recommandée électronique, qui représentera en année 6 le CA actuel de la Poste pour cette activité. On anticipe que de multiples acteurs vont se positionner sur des offres différenciantes : authentification des parties, horodatage, archivage des envois, transmission mixte électronique / paper, etc Les quelques secteurs, qui totalisent plus de 100 M sur 5 ans méritent une attention particulière. Tirés par une dynamique de l offre, ils risquent de susciter de nouveaux comportements - achats, jeux, - peut-être différents de ceux observés aujourd hui et connaître des taux de croissance plus conséquents que ceux proposés dans nos tableaux Quelques scénarios extrêmes Les chiffres tentent de coller au mieux à la réalité du marché ; nos hypothèses ne se veulent ni avantageuses, ni pessimistes dans la mesure où les services sont murs mais souffrent aujourd hui d une faiblesse de l identité en ligne.

121 Les leviers d usage dans la société de l économie numérique 121/ 140 Cette position médiane tient au fait que nous avons, à chaque fois, pondéré notre population d adeptes par des taux qui se veulent refléter la prudence des internautes. Même si le certificat de CNIe est activé lors de la délivrance du titre en mairie, l internaute ne l utilisera pas systématiquement, d autant plus que les services en ligne n auront pas modifié leurs modalités d accès en conséquence. De façon à étayer ce scénario «médian», il peut être représentatif de moduler quelques paramètres et évaluer leur impact. Un scénario pessimiste consisterait à simplement baisser le taux de croissance des certificats d une année à l autre. En effet, partant d un pourcentage d adhésion particulièrement faible en première année (25% d activation des certificats de CNIe, 2,5% de certificats IDéNUM), nous avons anticipé une campagne promotionnelle des certificats particulièrement dynamique - de l ANTS pour la CNIe et des opérateurs IDéNUM. Doù un taux de croissance ambitieux, qui permet de totaliser 36 millions de certificats en Année 5, quasiment répartis à part égale entre CNIe et opérateurs IDéNUM (PC et SIM). Scénario pessimiste Le scénario pessimiste proposé conserve les pourcentages d usagers pour chacun des marchés identifiés, mais sur la base d un taux de croissance très faible (1,1). Dans ce contexte, effectivement les certificats ne convainquent pas et le marché reste quasiment atone entre l Année 1 et l Année 5. A peine 10 millions de certificats sont délivrés au bout de cinq ans. Même les opérateurs téléphoniques n ont pas su doper ce marché prometteur, avec 2 millions de certificats délivrés alors que le parc de smartphones et tablettes devrait comprendre une vingtaine de millions d unités! Dans ce scénario pessimiste, les opérateurs ne parviennent pas à convaincre les usagers de l intérêt des certificats. Tout juste 10 millions de certificats sont délivrés en cinq ans et les revenus potentiels ne dépassent pas les 300 millions au bout de cette cinquième année. Nb de certificats (millions) Y1 Y2 Y3 Y4 Y5 CNIE IDéNUM PC IDéNUM SIM Cumul Millions ( ) Y1 Y2 Y3 Y4 Y5 CNIE IDéNUM PC IDéNUM SIM Cumul Scénario optimiste Le scénario optimiste part des mêmes bases : ne pas modifier la population cible de la première année (25% d activation des certificats de CNIe, 2,5% de certificats IDéNUM). Par contre, nous anticipons une politique très volontariste des banques visant à encourager l usage des certificats, en échange d une réduction des frais de gestion et de tenue de comptes. Dans ce contexte, l internaute se montre beaucoup plus motivé aussi le taux d usage des certificats pour chacun des secteurs clés devient-il plus conséquent (banque en ligne, 70% ; dématérialisation des titres scripturaux, 60% ; acheteurs en ligne optant pour le débit bancaire, 30% ; crédits B2C, 50% ; crédits B2B2C, 70% ; joueurs en ligne, 40% ; contrats d assurance, 20%, etc ). Les chiffres obtenus - grâce à un fort taux d adhésion des internautes - confirment que certains secteurs clés, comme la finance, pourraient se positionnent comme des acteurs volontaristes aidant au succès des certificats. De forts gains de productivité seraient observés auprès de leurs services, tout en générant de nouveaux revenus en tant que fournisseurs d identité pour des secteurs non-financiers. Bien que le volume de certificats en Année 1 soit identique à celui de notre hypothèse médiane, c est le taux d adhésion qui permet de dynamiser ce marché. Nb de certificats (millions) Y1 Y2 Y3 Y4 Y5 CNIE IDéNUM PC IDéNUM SIM Cumul Dans ce contexte, le revenu potentiel pour les certificats atteint le milliard dès l Année 4 et croit de 50% par an. Millions ( ) Y1 Y2 Y3 Y4 Y5 CNIE IDéNUM PC IDéNUM SIM Cumul

122 Les leviers d usage dans la société de l économie numérique 122/ 140 Dynamique de l offre vs substitution Le tableau ci-dessus permet de distinguer les offres de substitution de celles qui vont dynamiser le marché. La première constituant l équivalent dématérialisé des procédures opérées dans le monde réel. Dans ce cas, le recours aux certificats vise un gain de productivité, pas nécessairement des fonctions nouvelles ou une croissance du marché. Beaucoup de secteurs s apparentent à cette catégorie ; pas question de revenus supplémentaires, par contre, de substantielles économies qui justifient l implémentation de solutions sécurisées en ligne. C est le cas des notaires ; on ne signera pas plus d actes authentiques, une fois créés des espaces d échanges sécurisés avec les particuliers.

123 Les leviers d usage dans la société de l économie numérique 123/ 140 Par contre, le couplage du web aux certificats contribuera à dynamiser des marchés aujourd hui handicapés par l absence de solutions d authentification forte. C est le cas de secteurs suivants : courriers à valeur probante, jeux en ligne, crédit B2B2C, banque en ligne, virements. des activités émergeantes mais qui seront portées par l activation de certificats. Concernant le crédit attaché à un bien, rappelons que les attentes des financeurs sont de 40 fois le montant des encours actuels Les leviers de l authentification forte La CNIe, qui n a pas de connotation sectorielle, est considérée positivement par l ensemble des acteurs de l économie. Annoncée à maintes reprises, elle satisfait des domaines très variés, soucieux d identifier de façon sure les internautes. Activé par code PIN, le certificat d authentification permettra de se connecter à l ensemble des services du secteur privé et de l Etat. La banque constitue l un des acteurs privilégiés de l authentification forte, pas tant pour l accès aux comptes que par la possibilité de rebondir sur des activités connexes comme les virements dématérialisés, le crédit ou les achats en ligne. Un éco-système de plusieurs centaines de millions d euros pour les opérateurs de certificats, qui représente 50% du potentiel adressable. Un marché «domestique» conséquent qui devrait inciter les banques à proposer rapidement des applications pilotes, à partir des premières délivrances de CNIe ou en se positionnant comme IDP IDéNUM. Restent à définir procédures d enrôlement et modèles financiers. Mais comme les offres de crédit en ligne vont constituer l un des puissants moteurs de ce marché, il devrait être possible de déterminer des synergies entre le compte bancaire et demandes de financement. L économie numérique attend son acteur lourd de l authentification forte, qu il s agisse de l Etat avec la CNIe ou des acteurs IDP,SP - IDéNUM adhérant à un cercle de confiance pouvant rapidement dynamiser le marché. Pas question ici d une situation de type «d œuf et poule» dans la mesure où de nombreuses applications proposent déjà des services en ligne «à minima» faute de prestataires d identité électronique intersectorielle qui permette de sécuriser les transactions : ebanking, eassurance, télémédecine, téléprocédures qu il s agisse de gains de productivité ou de conquête de marchés.. Les pages précédentes confirment un point fondamental : les multiples offres de service disponibles sur le web connaissent une phase de stagnation faute d outils d authentification : le ebanking est à peine plus évolué qu un service Minitel, alors que le détenteur de compte devrait être en mesure de dématérialiser ses paiements ou effectuer des virements à des comptes tiers ; le crédit attaché à un bien (B2B2C) maintes fois mentionné constitue le parent pauvre des financeurs, alors les achats en ligne croissent de 40% par an et que les encours devraient représenter quelques milliards contre les dizaines de millions actuels. Banques, crédits et paiement en ligne doivent être considérés comme un écosystème homogène et privilégié, un marché «intérieur», pouvant justifier le déploiement d infrastructures à clés publiques dans la mesure où les mêmes acteurs sont impliqués. Autre point essentiel, la banque se situe à la convergence d activités privées et professionnelles ; dans un cas, l internaute agit en tant que personne morale pour des mouvements de trésorerie, dans l autre, c est une personne privée pour ses besoins propres. Mais quelque soit le contexte, l authentification et la traçabilité de ses actions doivent pouvoir être réalisées par un outil d authentification forte, qui peut être identique, considérant que sa fonction de mandataire social est un attribut de son identité. Une question se pose, qui est l usager type de l authentification forte? A la lecture des histogrammes cidessus, la forte concentration d activités autour de la banque privilégie un internaute soucieux d optimiser la gestion de ses comptes. Qu il procède à des virements, contracte un emprunt pour des facilités de trésorerie ou acquière des biens ou services, c est un actif du web mais aujourd hui limité dans ses opérations en ligne. Pas de virement sans déclarer au préalable le destinataire, ni de contrats sans courriers recommandés. 340 Un marché d environ millions qui devrait dépasser les 8 milliards, si une solution d authentification forte permet d authentifier le demandeur et constituer un dossier de preuves en cas de litige.

124 Les leviers d usage dans la société de l économie numérique 124/ 140 Partant du fait que 71% des internautes se connectent régulièrement à leurs comptes bancaires (Etude CREDOC), le déploiement d une infrastructure à clés publiques autour de cet écosystème, mais avec une vocation intersectorielle, devrait permettre de facilement rebondir sur des secteurs connexes : contrats d assurances, courriers recommandés à valeur probante. Bien que le secteur bancaire constitue une cible privilégiée, on anticipe un positionnement majeur des acteurs de téléphonie mobile, vu l essor des tablettes, pour des accès sécurisés en ligne. En effet, l ipad et ses clones qui, très prochainement, constitueront un support de lecture et loisirs vont également disposer de certificats pour permettre à l internaute de se connecter à son compte bancaire et régler électroniquement ses factures. Certains opérateurs sont ouverts à ouvrir leur carte SIM à des secteurs tiers, une piste à explorer sachant que les applications connexes à la banque pèsent plus de la moitié de l authentification forte. Restent à préciser les modèles de revenus entre parties.

125 Les leviers d usage dans la société de l économie numérique 125/ NORMES ET STANDARDS : 9.1 Directive et normes sur la signature électronique La directive du Parlement européen et du Conseil du 13 décembre 1999 définit le cadre communautaire pour les signatures électroniques. Son objectif, rappelé dans l article 1er de la directive, est de : «faciliter l utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre pour les signatures et certains services de certification afin de garantir le bon fonctionnement du marché intérieur». De plus «Elle ne couvre pas les aspects liés à la conclusion et à la validité des contrats ou d autres obligations légales lorsque des exigences d ordre formel sont prescrites par la législation nationale ou communautaire ; elle ne porte pas non plus atteinte aux règles et limites régissant l utilisation de documents, qui figurent dans la législation nationale ou communautaire.» Transposition française 341 La Directive 99/93 a été transposée dans la législation française en plusieurs étapes, notamment par les textes suivants : - la loi n du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique, - la loi n du 21 juin 2004 pour la confiance dans l économie numérique, notamment son article 33 qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés, - la loi n du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, qui transpose, dans son article 5 l article 8 de la directive, relatif à la protection des données (nouvel article 33 dans la loi du 6 janvier 1978 modifiée), - le décret n du 30 mars 2001, pris pour l application de l article du code civil et relatif à la signature électronique, modifié par le décret n du 18 avril 2002, - le décret n du 18 avril 2002 relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information, - l arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l accréditation des organismes qui procèdent à leur évaluation Spécifications techniques 342 Le document CWA 14169, produit par le CEN, propose des profils de protection (présentés respectivement dans les annexes A, B et C) correspondant à trois types de dispositifs de création de signature électronique différents : - PP SSCD type 1 : l annexe A correspond au dispositif qui génère les données de création de signature électronique et de vérification de signature électronique, - PP SSCD type 2 : l annexe B correspond au dispositif qui crée la signature électronique à partir des données de création de signature électronique et des données à signer, - PP SSCD type 3 : l annexe C regroupe les deux fonctions précédentes : générer les données de création de signature électronique et de vérification de signature électronique et créer la signature électronique à partir des données de création de signature électronique et des données à signer. Lorsque les données de création de signature électronique et de vérification de signature électronique sont générées par le prestataire du service de certification, le module cryptographique qu il utilise doit être évalué et certifié. La spécification technique CWA peut être utilisée à cet effet. Des profils ou cibles de protection, autres que ceux définis sous l égide de l EESSI, peuvent être utilisés, à condition qu ils couvrent les exigences de la directive et du décret. En vue de l attribution du certificat de 341 Secrétariat général de la défense nationale. Direction centrale de la sécurité des systèmes d information. Sous-direction des opérations. Bureau conseil Signature électronique. Point de situation. MEMENTO. Version Idem

126 Les leviers d usage dans la société de l économie numérique 126/ 140 conformité, ils doivent être acceptés au préalable par l ANSSI ou un organisme désigné à cet effet par un Etat membre de la Communauté européenne Evaluation et certification Pour bénéficier de la présomption de fiabilité du procédé de signature électronique, il est nécessaire, entre autres, que le dispositif de création de signature soit certifié. L article 3.II du décret du 30 mars 2001 précise les conditions suivant lesquelles le dispositif de création de signature électronique est certifié conforme aux exigences de l article 3.I en ces termes : «Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies au I : 1 Soit par le Premier ministre, dans les conditions prévues par le décret n du 18 avril 2002 relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information. La délivrance du certificat est rendue publique ; 2 Soit par un organisme désigné à cet effet par un Etat membre de la Communauté européenne.» Le décret n du 18 avril 2002, relatif au schéma d'évaluation et de certification, a renforcé les bases juridiques du schéma français de certification qui reposait jusqu'ici sur un avis du Premier ministre de Il complète également le décret de signature électronique du 30 mars 2001, en fixant les règles de certification des produits de sécurité et notamment des dispositifs sécurisés de création de signature. En se plaçant dans le cadre du décret , l évaluation du dispositif à certifier doit avoir lieu dans un centre agréé par l ANSSI. Ces établissements réalisent des évaluations suivant des critères normalisés : les ITSEC (de moins en moins utilisés) ou la norme IS (aussi appelée "Critères Communs" (CC)). L évaluation permet de certifier la conformité d un dispositif à une cible de sécurité qui peut être conforme à un profil de protection. L évaluation, préalable à la délivrance d un certificat de conformité au décret, doit s appuyer sur une cible de sécurité qui couvre complètement les exigences du décret (article 3.I) et dont le niveau d assurance est acceptable en fonction de l environnement choisi. Pour couvrir les exigences de l article 3.I du décret énoncées plus haut (Définition), un dispositif sécurisé de création de signature électronique complet doit assurer au minimum les fonctions suivantes: La génération des données de création (clé secrète) et de vérification (clé publique) de signature électronique, La création de la signature électronique. Chacune de ces fonctions peut être réalisée par un module distinct et faire l objet d un certificat de conformité. Les produits évalués en vue d une attribution d un certificat de conformité au décret devront par ailleurs être soumis à une analyse des mécanismes cryptographiques qu ils utilisent. Cette analyse est réalisée par l ANSSI. L attribution du certificat de conformité pour le dispositif sécurisé de création de signature électronique fait l objet d une procédure spécifique du schéma français de certification : SIGP- 01 Certification de conformité des dispositifs de création de signature électronique.doc Publications des normes La Commission Européenne, après avis du Comité article 9 mis en place par la directive, a publié dans une décision en date du 14 juillet 2003 des références de normes s appliquant d une part aux dispositifs de création de signature électronique et, d autre part, aux modules cryptographiques utilisés par les prestataires de service de certification. Un produit évalué et certifié conforme à une norme référencée dans la décision de la Commission sera alors présumé conforme aux exigences de la Directive et du décret correspondant :

127 Les leviers d usage dans la société de l économie numérique 127/ 140 L annexe III de la directive et l article 3.I du décret pour le dispositif de création de signature électronique : référencement du CWA 14169, Ll annexe II.f de la directive et l article 6.II.g du décret pour le module cryptographique utilisé par le prestataire de service de certification : référencement des CWA et Plan d'action en faveur de l'utilisation des signatures électroniques dans le marché unique 343 Le 28 novembre 2008, la Commission Européenne proposait un Plan d'action en faveur de l'utilisation des signatures et de l'identification électronique pour faciliter la fourniture de services publics transfrontaliers. Ill s inscrit dans le cadre de la stratégie de Lisbonne, par lequel l'ue s'engage à améliorer l'environnement juridique et administratif ; administrations, entreprises et citoyens devant pouvoir communiquer en ligne. Une première étape a été franchie grâce à la Directive sur les signatures électroniques qui établit leur reconnaissance juridique et définit le cadre visant à promouvoir leur interopérabilité. Depuis sa publication, plusieurs initiatives relatives au marché intérieur prévoient que les entreprises puissent utiliser des moyens électroniques pour communiquer avec les organismes publics, exercer leurs droits et mener des activités commerciales à l'étranger. Maintenant, la Directive Services oblige les États à faciliter les procédures et formalités pour des prestataires situés à distance, notamment leur identification transfrontalière et l'authentification des données communiquées en ligne. L'objectif du Plan d action décidé en Novembre 2008 est donc d instituer un cadre global d'interopérabilité des systèmes de signature et d'identification électroniques pour simplifier les communications transfrontalières entre citoyens et entreprises. Ce plan d action se base sur des faiblesses de la Directive de 1999, notamment l'interopérabilité et la reconnaissance d une identité électronique transfrontière ; deux points qui limitent leur utilisation entre pays 344. Les Etats Membres ayant reconnu l'importance de systèmes identitaires interopérables et s étant engagés à qu entreprises et particuliers puissent bénéficier de moyens électroniques aux niveaux local, régional ou national et conformes à la réglementation sur la protection des données, pour s'identifier auprès des services publics de leur pays ou d un autre État membre. La Commission entend s impliquer dans la mise en œuvre de ce plan d'action, en étroite collaboration avec les États Membres de façon à garantir la cohérence des mesures, l harmonie règlementaire et la conduite de projets pilotes. Des actions qui s inscrivent dans le suivi du réexamen du marché unique. Les États Membres sont invités à fournir à la Commission toutes information utile en vue d'assurer l'interopérabilité transfrontalière. 9.3 Révision de la norme Le contexte Le 22 décembre 2009, la Direction Générale Entreprises et Industrie, Politique de l'innovation Industries TIC pour la compétitivité et l'innovation de la Commission Européenne a confié un mandat (M460) aux organismes Européens de normalisation (CEN, CENELEC et ETSI) sur les signatures électroniques 345. Le propos de ce mandat est de réactualiser le contenu de la directive 1999/93/CE, de façon à établir un 343 Communication de la Commission au Conseil, au Parlement européen, Comité économique et social européen et au Comité des régions - Plan d'action en faveur de l'utilisation des signatures électroniques et de l'identification électronique pour faciliter la fourniture de services publics transfrontaliers dans le marché unique /* COM/2008/0798 final */ À cet égard, le plan d'action i2010 pour l'e-gouvernement, adopté par la Commission européenne le 25 avril 2006, considère que les systèmes interopérables de gestion de l'identification électronique (e-id) figurent parmi les éléments clés de l'accès aux services publics 345

128 Les leviers d usage dans la société de l économie numérique 128/ 140 cadre juridique pour la signature électronique et les fournisseurs de services de certification au sein du marché intérieur. L'état actuel de la normalisation européenne sur la signature électronique provient de l'eessi, le "European Electronic Signature Standardization Initiative", cadre institutionnel destiné à coordonner les organismes européens de normalisation CEN et ETSI suite à deux précédents mandats de la Commission. Grâce à la Décision de la Commission 2003/511/EC, des normes pour les produits de signature électronique ont été publiées, conformément à l'article 3 paragraphe 5 de la Directive. Cependant, a cause de problèmes de reconnaissance mutuelle et d'interopérabilité transfrontalière, la Commission a fait connaitre son intention de résoudre les freins juridiques et techniques constatés par de nouveaux travaux de normalisation. Le Plan d Action adopté en 2008 vise ainsi les actions suivantes :. mettre à jour ou élargir la Décision de la Commission 2003/511/CE 346 établir une liste des prestataires de services de certification qualifiée, fournir des orientations et instructions pour la mise œuvre de signatures électronique d'une manière interopérable L'historique des travaux de normalisation Les activités de l'eessi ont été initiées en 1999, sous la tutelle du CEN et de l'etsi, conduisant à la production de CEN Workshop Agreements (CWA) et de TS (Spécifications Techniques) 347 sur une série de sujets relatifs à la signature électronique. Les travaux ont été clôturés en octobre 2004, après leur publication. La table cicontre précise le statut des livrables de normalisation européens sur la signature électronique. Le Mandat M460 vise à identifier les manques et proposer des actions correctives dans le cadre de la Directive Services. Ces rapports portent sur une série de produits matériels et logiciels, voire certaines composantes, ainsi que des services aux prestataires de certification : émission et gestion de certificats, répertoires, validation de signature, horodatage, d'archivage (à long terme). Outre la normalisation européenne, le Plan d Action vise à intégrer les normes internationales traitant de la signature électronique, dont la plupart n'ont pas changé depuis que l'eessi a débuté ses travaux, /511/CE: Décision de la Commission du 14 juillet 2003 relative à la publication des numéros de référence de normes généralement admises pour les produits de signatures électroniques conformément à la directive 1999/93/CE du Parlement européen et du Conseil (Texte présentant de l'intérêt pour l'eee) [notifiée sous le numéro C(2003) 2439] 347 Les spécifications techniques d'etsi (TS) sont normatives et les rapports techniques d'etsi (TR) sont informatifs.

129 Les leviers d usage dans la société de l économie numérique 129/ 140 notamment les activités de l ISO 348. Enfin, plusieurs États membres ont développé leur cadre national de normalisation ; un élément à prendre en compte dans le cadre de ces travaux. Le schéma ci-dessous précise le cadre actuel de normalisation de la signature électronique et des services associés 349 : Fourniture des services de certification livrant des certificats sûrs qualifiés et non- qualifiés Secure Signature Creation Devices (SSCD) Produits relatifs à la création et/ou à la vérification des signatures électroniques Fourniture de certification/services sûrs autres que la délivrance de certificats: o Services de support à la signature électronique: horodatage, production et validation de signatures, services d'archivage (à long terme) o Services utilisant la signature électronique: courriers recommandés et d'autres services à identifier La description du mandat Confié à une structure bi-polaire CEN/ETSI, le mandat de la Commission demande tout d abord une analyse critique de la littérature relative aux travaux de normalisation sur la signature électronique à l'échelle européenne et mondiale. Ainsi, les tâches suivantes seront-elles effectuées dans une première étape: 348 Une liaison formelle a été établie entre l'etsi et l'iso pour des activités concernant la signature électronique. Le premier objectif de la liaison a été d'établir la signature avancée par PDF comme profil d'une TS de l'etsi qui a abouti à TS partie. Les TS parties 3 à 5 ont été soumis à ISO comme améliorations recommandées par l'etsi aux formats de signature PDF dans les normes ultérieures d'iso Toutes les parties de TS peuvent être actuellement utilisées conjointement avec ISO utilisant le mécanisme d'extensions de PDF même avant qu'elles soient incluses directement dans la norme ISO

130 Les leviers d usage dans la société de l économie numérique 130/ 140 Inventaire des normes sur la signature électronique : par pays, au niveau européen et pour le reste du monde Définition d une classification appropriée Identification du champ d'application des normes sélectionnées Analyse des lacunes en normalisation pour des améliorations futures; dentification des actions à conduire pour des améliorations à court terme Mise à jour de certains CWA : CWA 14169:2004, CWA :2003, CWA :2004 et CWA :2004. La seconde étape comprend les tâches suivantes: Définir un cadre européen de normalisation des signatures électroniques et des instruments juridiques applicables. Analyser la série de normes connexes (mise en correspondance des exigences de la Directive Signature électronique et des autres instruments juridiques applicables); Proposer des orientations et instructions pour l'interopérabilité transfrontalière par des normes appropriées. Proposer des orientations sur la vérification de la conformité des produits, systèmes ou services qui mettent en œuvre les normes Modus operandi Les instituts de normalisation sont en train de définir un mécanisme de coopération qui inclut les acteurs économiques de façon à parvenir à un consensus rapide ; la Commission ayant recommandé une consultation très large des parties avec l objectif de parvenir rapidement à des normes européennes (EN) Des CWA (CEN Workshop Agreement) ou TS (Technical Specifications) sont envisagés mais la Commission leur préfère un statut "EN" de façon à refléter un large consensus d Etats Membres. Est également recommandée, une coopération internationale avec des organismes tels que l'iso/iec et l'uit, ainsi qu'avec des institutions de l internet comme l'ietf, l'oasis ou le W3C. L objectif étant de répondre aux besoins du secteur économique, mais sans négliger la législation de protection des données de l'ue (Directive 95/46, 97 /66). Pour répondre à ces exigences, CEN, CENELEC et ETSI ont détaillé auprès de la Commission un programme de travail qui précise les travaux en cours pour les 48 prochains mois. 9.4 CEN / TC 224 Les travaux de révision sont conduits dans le cadre du Technical Committee CEN/TC224: Standards for ebusiness and egovernment. «Personal identification, electronic signature, cards and their related systems and operations». Ce TC a été créé en 1990 avec l objectif de développer des standards dans le domaine des cartes et des technologies associées : interfaces utilisateurs, porte monnaies électroniques et autres applications. Depuis 2005, le TC a intégré les signatures électroniques dans un contexte de egovernment de façon à garantir l interopérabilité des échanges commerciaux en Europe. Aujourd hui le TC 224 comprend les 6 groupes de travail ci-dessous 350 : NTC224_standardsforeBusinessandeGovernment.pdf

131 Les leviers d usage dans la société de l économie numérique 131/ 140 Le WG15 (European Citizen Card) traite du cadre normatif de la Carte d Identité Européenne (European Citizen Card), par les spécifications techniques suivantes : TS ECC physical, electrical, and transport protocol characteristics (under revision) TS ECC logical data structures and security services (under revision) TS ECC interoperability using an application interface (under publication) TS Recommendations for ECC insurance, operation and use (under progress) Future part 5: Overview of ECC standard and implementation guidelines (under progress) Sous l autorité de l Allemagne, le WG 16 (Smart cards used as Secure Signature Creation Device ) travaille sur deux projets de signatures électroniques EN : Application Interface for smart cards used as Secure Signature Creation Devices - Part 1: Basic services EN : Application Interface for smart cards used as Secure Signature Creation Devices - Part 2: Additional Services C est dans ce cadre que sont traités les protocoles d authentification en ligne, sous forme d amendements à EN /2 : New algorithm e.g. AES (Advance Encryption Standards) for Secure Messaging New formally and cryptographically proven password based authentication protocols New formally proved privacy protocols e.g. for online Id management Alignments related to Web services and cards Le WG 17 traite des profils utilisateurs pour les signatures électroniques. Grâce au mandat M460 de la Commission Européenne, les travaux du CWA (CEN Workshop Agreement) sur les profils de protection vont maintenant faire l objet d une TS, Spécification Technique. De même pour les travaux du CWA sur les systèmes de confiance de gestion de certificats pour des signatures électroniques. Ce Mandat 460, qui porte sur une durée de 4 années, est actuellement le centre de gravité de l ensemble des travaux sur la signature électronique en Europe. Le support de la Commission, tout comme l engagement de deux organismes de normalisation comme le CEN et l ETSI sont des gages de succès ; mais il est important que les acteurs des services en ligne manifestent leur intérêt et leurs préoccupations.