Rapport au Président de la République relatif à l'ordonnance n° 2017-1426 du 4 octobre 2017 relative à l'identification électronique et aux services de confiance pour les transactions électroniques


JORF n°0233 du 5 octobre 2017
texte n° 1




Rapport au Président de la République relatif à l'ordonnance n° 2017-1426 du 4 octobre 2017 relative à l'identification électronique et aux services de confiance pour les transactions électroniques

NOR: PRMD1724021P
ELI: https://www.legifrance.gouv.fr/eli/rapport/2017/10/5/PRMD1724021P/jo/texte


Monsieur le Président de la République,
La présente ordonnance est prise en application des 1° et 2° du II de l'article 86 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
Le I de l'article 86 de la loi du 7 octobre 2016 précitée a introduit dans le code des postes et des communications électroniques un nouvel article L. 136 prévoyant que la preuve de l'identité aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique. Cet article prévoit également qu'un moyen d'identification électronique est présumé fiable jusqu'à preuve du contraire lorsqu'il répond aux prescriptions d'un cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information et fixé par décret en Conseil d'Etat. Enfin, l'autorité nationale de sécurité des systèmes d'information certifie la conformité d'un moyen d'identification électronique à ce cahier des charges.
Les 1° et 2° du II de l'article 86 de la loi du 7 octobre 2016 précitée ont quant à eux prévu deux habilitations autorisant le Gouvernement :


- d'une part à prendre toute mesure afin de « faciliter l'utilisation du processus d'identification électronique défini à l'article L. 136 du code des postes et des communications électroniques » ;
- d'autre part à prendre toute mesure « relevant du domaine de la loi afin d'adapter le cadre juridique existant ayant pour objet ou se rapportant à l'identification électronique et aux services de confiance par voie électronique au regard des dispositions du règlement (UE) n° 910/2014 du Parlement et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur » (ci-après le « règlement eIDAS »).


1° Facilitation du processus d'identification électronique :
En matière d'identification électronique, le règlement eIDAS apporte un cadre de référence à l'échelle européenne et introduit notamment les notions de schémas et de moyens d'identification électronique. Il prévoit trois niveaux possibles de fiabilité des moyens d'identification électronique : faible, substantiel et élevé. Ces trois niveaux apportent des garanties différentes concernant le risque de fraude à l'identité. Le règlement eIDAS a en outre prévu un système de reconnaissance mutuelle des moyens d'identification électronique des Etats membres sur les services en ligne des autres Etats membres, dès lors que ces moyens ont fait l'objet d'une notification.
Au-delà de ce système de reconnaissance mutuelle, reposant sur des spécifications et procédures minimales communes précisées dans un règlement d'exécution, le règlement n'impose pas d'obligation particulière en matière d'identification électronique, ne prévoit pas de disposition relative à la preuve de son identité électronique et n'envisage pas de système de certification de ces moyens d'identification électronique. Il s'agit là néanmoins d'un premier pas vers une harmonisation de l'identification électronique à l'échelle européenne.
Afin de bâtir un cadre juridique national pour l'identité électronique au niveau national, à même de compléter efficacement les dispositions européennes, la loi pour une République numérique a introduit dans le code des postes et des communications les notions d'identification électronique et de moyen d'identification électronique et a prévu le cas des moyens d'identification électronique présumés fiables.
En envisageant le seul cas des moyens d'identification électronique présumés fiables, la loi n'a cependant pas pris en compte le cas des moyens d'identification électronique offrant des garanties de sécurité importantes mais différentes de celles requises pour la présomption de fiabilité envisagée dans l'article L. 136 du code des postes et des communications électroniques. Or, il s'agit là de moyens pouvant être intéressants pour certains usages ne nécessitant pas forcément le niveau de garantie associé à la présomption de fiabilité et dont le développement devrait également être encouragé. Cet encouragement à leur développement contribuerait de plus à une élévation globale du niveau de sécurité en matière d'identification électronique.
La présente ordonnance introduit à l'article L. 136 du code des postes et des communications électroniques un système de certification permettant ainsi aux fournisseurs de moyens d'identification électronique d'avoir une référence fiable pour attester de la qualité de leurs moyens d'identification électronique. Ce mécanisme de certification apparaît en effet, par la confiance qu'il engendre, comme le plus susceptible d'encourager le développement et l'usage de moyens d'identification électronique autres que les moyens d'identification électronique présumés fiable.
Ce système est également bénéfique pour les utilisateurs qui auront ainsi des moyens dont ils pourront connaître plus précisément les caractéristiques et revus par un tiers compétent dans le domaine. Le projet permet ainsi, en accroissant la confiance des utilisateurs dans le moyen permettant leur identification électronique, d'encourager et de faciliter l'utilisation des mécanismes d'identification électronique.
2° Adaptation du cadre juridique existant au règlement « eIDAS » :
Le 2° du II de l'article 86 de la loi du 7 octobre 2016 précitée est une disposition technique qui avait pour objectif de donner les moyens nécessaires à une mise en conformité des textes nationaux avec le règlement eIDAS. Au niveau législatif, seule une disposition de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives nécessite une évolution. Il s'agit d'une disposition concernant la validation des certificats : cette mesure n'est aujourd'hui pas utilisée et n'est de surcroit plus nécessaire avec l'entrée en application du règlement eIDAS.
L'article 1er transfère les actuels articles L. 136 et L. 137 du code des postes et des communications électroniques dans le titre Ier du livre III de ce code intitulé « Autres services », en les renumérotant respectivement articles L. 102 et L. 103.
L'article 2 vient modifier l'actuel article L. 136, devenu L. 102, du même code.
Il introduit une définition des notions d'« identification électronique » et de « moyen d'identification électronique », ces dernières n'étant pas définies par ailleurs dans le droit national. Afin d'avoir un cadre harmonisé avec le cadre européen, les définitions proposées sont reprises du règlement eIDAS.
Il complète l'article par trois alinéas :


- le premier alinéa prévoit une possibilité de certification, sur une base volontaire, des moyens d'identification électronique autres que présumés fiables ;
- le deuxième alinéa prévoit la désignation de l'Agence nationale de la sécurité des systèmes d'information comme autorité de certification pour ces moyens d'identification électronique et comme rédacteur des référentiels associés ; ces référentiels feront l'objet d'un avis de la Commission nationale de l'informatique et des libertés ;
- le dernier alinéa renvoie la définition des modalités de la certification à un décret en Conseil d'Etat.


L'article 3 vient abroger un dispositif obsolète et non utilisé de validation des certificats électroniques prévu par l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
Tel est l'objet de la présente ordonnance que nous avons l'honneur de soumettre à votre approbation.
Veuillez agréer, Monsieur le Président, l'assurance de notre profond respect.