Identité numérique : "L’État a tendance à avoir une position protectionniste" (ARIADNEXT)

INTERVIEW - La société bretonne, spécialisée dans l'identité numérique, devrait procéder à 35 millions de vérifications d'identité cette année, pour le compte de banques, d'opérateurs télécoms ou encore de l'État. L'occasion, pour Clubic, de dresser le panorama de l'ID numérique en France, avec Marc Norlain, directeur général d'ARIADNEXT.

ARIADNEXT conçoit des solutions d'identité numérique, de contrôle d'identité, de sécurisation de documents et de signature électronique. La société a notamment à son actif la création d'un logiciel en tant que service, idcheck.io, qui vérifie les documents d'identité à distance, pour le compte de nombreuses entreprises. Elle est aussi un vrai intermédiaire lorsque vous effectuez certaines démarches administratives via la plateforme de l'État FranceConnect. Avec un avantage de taille : le luxe de se passer totalement du cloud.

Cofondée par Marc Norlain, son directeur général, et Guillaume Despagne, son président, ARIADNEXT est née en 2010. Basée en Ille-et-Vilaine, près de Rennes, poumon de la cybersécurité française, la société emploie aujourd'hui 85 personnes, avec une croissance assez forte attendue sur les effectifs en 2020, même si le coronavirus devrait avoir quelques conséquences sur le recrutement.

C'est pour discuter de l'identité numérique de manière globale et de son avenir en France, que nous avons interviewé Marc Norlain. Avec l'ancien membre de l'École nationale de la statistique et de l'administration économique (ENSAE), qui estime que la France prend le risque de faire fausse-route, nous avons également abordé le dossier de la carte d'identité électronique, dont l'utilité réelle peut être discutée.

Marc Norlain (© ARIANDNEXT)

ARIADNEXT, un acteur qui compte en France dans la vérification d'identité

Clubic : Avant toute chose Marc, quelle est la principale activité de l'entreprise ?

Notre principal métier, c'est l'identification à distance, par le prisme de la vérification de l'identité. Si vous avez ouvert un compte en banque, à distance, on vous a déjà demandé de scanner votre pièce d'identité, et il y a alors de fortes chances que vous soyez déjà passé sur nos serveurs, puisque nous avons procédé à 20 millions de vérifications d'identité en 2019, et nous nous attendons à en effectuer environ 35 millions cette année, pour le compte de clients essentiellement français.

L'objectif est d'atteindre, cette année, une part comprise entre 15 et 20% du chiffre d'affaires à l'export, essentiellement sur le marché européen. Nous avons généré environ 6,6 millions d'euros de chiffre d'affaires en 2019.

« Notre activité ne ralentit pas avec le coronavirus, puisque les gens ont tendance à consommer plus de services en ligne »

Concernant le profil de nos clients, ceux qui ont une obligation réglementaire de vérifier l'identité de leurs clients, ce sont les opérateurs financiers, les opérateurs de jeux en ligne, une petite part des télécoms également, idem pour les opérateurs de transport. D'autres ne sont pas « obligés » de procéder à une vérification mais préfèrent la privilégier si leur activité présente un risque, comme les loueurs de voiture.

Voilà pour notre activité de tous les jours, qui ne ralentit pas vraiment avec le coronavirus, puisque les gens ont tendance à consommer plus de services en ligne.

L'État est-il votre principal client aujourd'hui, via le dispositif FranceConnect ?

Nous travaillons avec la plateforme, mais cela ne rapporte rien. Aujourd'hui, nous intervenons dans des services où nos solutions sont branchées directement chez le client : des banques, des opérateurs télécoms, des opérateurs de crédits. Mais là, nous parlons plus de vérification de l'identité à distance. C'est l'étape 1 de l'identité numérique.

En 2014/2015, nous avons lancé un programme qui a porté ses fruits sous la forme d'un premier système qui s'appelle Mobile Connect et moi, qui est dans FranceConnect.

« L'État craint que les GAFA arrivent sur le marché de l'identité numérique. Il adopte une position protectionniste »

Aujourd'hui, l'État ne sait d'ailleurs pas vraiment ce qu'il souhaite faire avec FranceConnect. Il a peur que les GAFA arrivent sur le marché de l'identité numérique et a tendance à avoir une position protectionniste. Pour être fournisseur d'identité dans FranceConnect, il faut être validé par l'ANSSI. Il est aujourd'hui étudié la possibilité de nationaliser les fournisseurs d'identité et de faire en sorte qu'il n'y ait que des fournisseurs d'identité publics dans FranceConnect.

Les GAFA ont de positions différentes là-dessus. Chez Google, vous savez que vous êtes le produit. La firme vend votre identité, ou au moins votre comportement, à des tiers.

Guillaume Despagne et Marc Norlain (© ARIADNEXT)

La vision régalienne de l'État sur l'identité numérique

Quelle est la vision véritable de l'État sur l'identité numérique ?

L'État a une approche régalienne de l'identité numérique alors qu'en fait, aujourd'hui, honnêtement, quand avez-vous utilisé votre carte d'identité pour la dernière fois ? Il ne faut pas se tromper de cible. L'identité numérique, si elle ne sert qu'à accéder à des services publics, je pense qu'elle ne servira pas souvent.

Depuis que nous en parlons, soit presque trois ans, l'État n'a toujours pas trouvé de modèle économique ni de vrai mode de fonctionnement. Aujourd'hui, dans FranceConnect, vous n'avez pas votre place si vous êtes étranger potentiellement non-résident en France. Ce qui est problématique. Si vous êtes une entreprise, française, et opérateur de recommandé électronique et que l'on vous dit que pour délivrer un recommandé numérique, il faut que la personne à l'autre bout ait une identité numérique qui corresponde au niveau substantiel au règlement européen... un opérateur français ne sera pas très à l'aise pour délivrer un recommandé électronique à quelqu'un qui est inaccessible par FranceConnect.

« L'État a une approche régalienne de l'identité numérique »

Pour moi, l'enjeu est de permettre à n'importe qui d'avoir un moyen de prouver son identité de façon simple sur Internet, et de ne partager que ce qu'il veut partager, ce qui n'est pas le cas encore aujourd'hui avec FranceConnect, où vous envoyez tout votre état civil.


Nous avions proposé un service qui ne nécessitait d'envoyer que les informations essentielles, dont le fournisseur de services a besoin. Il n'a pas nécessairement besoin de connaître votre date de naissance, mais juste de savoir que s'il y a un litige, il pourra y avoir un recours pour extraire votre identité réelle, notamment pour les commentaires en ligne ou les réseaux sociaux. Tout cela n'est pas encore prévu.

Le RGPD n'amène-t-il pas un peu de confusion là-dedans ?

Non, parce que le gouvernement a été un peu plus loin que le RGPD. L'État a sorti une solution d'identité numérique qui est en expérimentation, Alicem (développée par le ministère de l'Intérieur et l'Agence nationale des titres sécurisés, l'ANTS), qui a défrayé la chronique avec une technologie de reconnaissance faciale, qui prouve que l'utilisateur est le titulaire du titre d'identité. En soi, ce n'est pas gênant, sauf que laisser le développement au ministère de l'Intérieur est un peu maladroit.

De notre côté, nous avons eu plusieurs allers-retours avec la CNIL, qui voulait que l'on mette énormément d'informations sur l'écran de consentement. Nous leur avons dit que plus les infos sont nombreuses, moins les gens lisent. Nous avons fait un écran de consentement sans choix présélectionné et sur lequel les gens optent soit pour le traitement automatique, soit pour le traitement manuel de leurs données biométriques.

« Nous avons nos propres serveurs, notre propre data center »

Si vous voulez consulter vos impôts en vous connectant avec FranceConnect, les impôts ne savent pas avec quel fournisseur d'identité vous vous êtes identifié. De l'autre côté, le fournisseur d'identité ne sait pas que la demande d'identification reçue était pour se connecter aux impôts. Lorsque FranceConnect se déploiera à une échelle plus importante, vous vous connecterez à divers services via le dispositif. Si le fournisseur d'identité sait que cela fait sept fois que vous vous connectez à Ameli cette semaine, il y a un risque qu'il vende cette information à une mutuelle. C'est aujourd'hui le business model de Google et Facebook.

Pour prouver votre identité, il y a, derrière, toute une plomberie technique qui permet d'échanger des informations complémentaires. Par exemple, pour que vous puissiez ouvrir un compte en banque, votre banquier a besoin de vous identifier, de savoir que vous n'êtes pas inscrit sur une liste de personnes exposées politiquement ou condamnées pour blanchiment, votre résidence fiscale et l'origine des fonds déposés sur le compte (l'origine de vos revenus). En agence, votre amenez votre carte d'identité, votre dernier avis d'imposition, un justificatif de domicile et des extraits de compte ainsi que des bulletins de salaire. Ces documents sont photocopiés et envoyés chez un prestataire qui va les scanner. Les quantités d'informations sont hallucinantes au regard de ce qui est demandé par la réglementation. Ce que l'on arrive à faire avec l'identité numérique, c'est à brancher ces sources de données et à les associer à votre identité numérique.


D'un point de vue utilisateur, vous avez un process d'ouverture plus simple ; d'un point de vue banquier, quelque chose de plus lisse, instantané et qui coûte moins cher ; et d'un point de vue RGPD, vous avez juste partagé les informations que vous aviez besoin de partager, et elles restent sous votre contrôle, avec une petite page dans FranceConnect qui vous indique tout ce que vous avez partagé, et avec qui. Vous pouvez même révoquer les partages de longue durée, et ce à n'importe quel moment. Nous n'avons pas franchi l'étape où l'utilisateur sait ce qui est fait de ses données et si elles ont été recopiées ou transmises ailleurs, mais au moins, on sait qui les a consultées et à quel moment.

© Gemalto

La carte d'identité électronique, une fausse bonne idée ?

Où en est-on au niveau de la carte d'identité numérique ?

Pour moi, la carte d'identité électronique et l'identité numérique sont deux sujets séparés. La carte d'identité électronique crée une confusion. Elle est comme votre passeport, dans le sens où elle a une puce à l'intérieur, conforme au standard ICAO 9303. C'est un document de voyage.

« Concernant la carte d'identité numérique, le problème de la durée de vie de la puce va se poser »

En France, nous avons ce fantasme de ce projet de 2012 sur la carte d'identité électronique qui avait aussi une capacité d'identité numérique, qui est un échec que les fonctionnaires du ministère de l'Intérieur n'ont toujours pas digéré. Je ne sais pas si les premières cartes seront capables de cela, mais à terme, c'est ce qui va se passer. Une des possibilités de scénario est que la carte sorte comme étant un document de voyage compatible ICAO 9303, et que la partie identité numérique arrive un peu plus tard sous la forme d'une mise à jour de la carte. Ensuite, il y a le problème de la durée de vie de la puce. Votre carte d'identité durera probablement 10 ans. Je ne suis pas certain que quelqu'un signe un papier dans lequel il garantit que la puce mise dans la carte est sécurisée pour une durée de 10 ans pour un usage d'identité électronique.

En Estonie, il y a quelques années, il y a eu une faille dans la carte d'identité. Il a fallu que les autorités lancent une opération de mise à jour de leur carte. Le problème fut géré de façon idéale. Par contre, nous n'avions pas parlé de la puce, fabriquée par Gemalto, qui est utilisée dans plein d'autres pays. L'Espagne a juste révoqué 12 millions de cartes d'identité. Il nous arrivera forcément la même chose qu'aux Espagnols. Je vous laisse imaginer le coût pour la collectivité.

Le principe de la carte d'identité numérique est un peu mort-né, vous voulez dire ?

Je ne pense pas, ce projet verra le jour. C'est pour cela que le dispositif que l'on défend, qui va être en complément de celui de l'identité numérique pour la carte, est le principe de la dérivation de l'identité. C'est-à-dire que vous faites une carte qui n'a pas forcément d'identité numérique à l'intérieur, mais vous arrivez à dériver l'identité numérique à partir de ce titre-là. Vous êtes capable de sécuriser davantage la carte car vous y insérez moins de fonctionnalités à l'intérieur. Et vous avez, du coup, votre identité numérique soit dans une autre carte, soit dans une clé USB ou dans votre téléphone Ce qui est important, c'est que vous puissiez extraire une identité sûre de votre carte d'identité et la transposer de façon sûre dans un autre périphérique, sécurisé lui aussi. Cette seconde identité numérique n'a pas besoin de durer 10 ans. Il n'est pas anormal d'avoir plusieurs fournisseurs d'identité. Au moins, si l'un est compromis, il en reste un ou plusieurs autres pour que le tout fonctionne. Aujourd'hui, à mettre tous les œufs dans le même panier, on risque de se trouver dans une situation similaire à celle de l'Espagne. Il est difficile d'imaginer une identité numérique à l'épreuve des balles.

« Petit à petit, les cartes de crédit disparaîtront, pour être insérées dans les smartphones »

Pour vous, ne serait-il pas préférable de faire une croix sur la carte d'identité numérique et de privilégier des solutions comme le smartphone, à l'instar un peu de ce que l'on fait désormais avec le paiement ?

En termes de simplicité des usages, nous sommes dans un monde où toutes les cartes de crédit vont petit à petit disparaître pour être insérées dans les smartphones. Ce qui m'embête, avec la stratégie du gouvernement, c'est cette volonté régalienne de vouloir contrôler, fabriquer la carte et l'identité numérique. Tout cela risque de ne pas être pratique et de ne pas très bien marcher. De l'autre côté, Google avance, Apple pourrait faire des annonces en juin sur l'identité numérique. J'ai peur qu'il se passe, avec l'identité numérique, ce qu'il se passe avec les banques. Quand Google et Apple ont sorti leur wallet (porte-monnaie électronique) et leur carte de paiement dématérialisée, tous les banquiers s'offusquaient. Mais aujourd'hui, ils ont tous sorti leur wallet. Regardez le panorama. Les deux dernières banques françaises qui ne souhaitaient pas rentrer dans Apple Pay ont finalement intégré la solution cette année.


Je crains que cette résistance "à la française" nous empêche de réfléchir à une alternative. Il faut faire en sorte de trouver une vraie alternative. Si nous avons juste une opposition de principe et que l'on part dans l'autre sens en disant : "ça, jamais !", on se retrouvera avec une identité numérique régalienne utilisée pour les services publics, et le reste des usages traités par des solutions autres. Il faut que les politiques comprennent ce qui est en train de se passer.

Qu'est-ce qui est fait des données qui transitent par ARIADNEXT ? Comment transitent-elles, et où sont-elles hébergées ?

Nous conservons le moins de temps possible. Dès lors qu'elles sont traitées, si nous n'avons pas besoin de les garder, nous ne les conservons pas. Les protocoles sont sécurisés, les données stockées temporairement chez nous sont chiffrées, et nous sommes audités périodiquement, au moins deux fois par an, sous l'égide de l'ANSSI.

En ce qui concerne l'hébergement, à partir du moment où on crée le document d'identité, nous n'avons jamais envisagé de basculer dans le cloud. Dès le départ de la société, nous avons opéré nos propres serveurs. Nous avons notre data center. Tout est maison. Ce sont les mêmes technologies que chez Google ou Amazon en termes de déploiement, mais ce sont nos administrateurs, nos machines et nos équipements réseaux. Ce qui n'est pas le cas de tous nos concurrents.