Histoire et enseignements du projet e-ID en Allemagne 2010-2013

Nouvelle carte d’identité sécurisée ou accélérateur de l’économie numérique ?


La Carte e-ID allemande a été lancée en novembre 2010 après quatre ans de préparation, et un soin tout particulier sur les conditions de succès et d’adhésion.

Plus de 21 millions de carte d’identité de nouvelle génération sont en circulation, l’infrastructure nationale d’identité numérique est construite et son cadre juridique aujourd’hui est clairement défini.

La vision de cet ambitieux programme de modernisation de l’État repose sur une idée forte : l’enjeu est d’étendre au monde numérique tous les usages traditionnels pour en obtenir les avantages de gain de compétitivité, de réactivité, d’ubiquité, de potentiel d’amélioration et d’innovation des services publics que des échanges en ligne peuvent apporter à l’activité socio-économique d’une nation.

Pourtant le succès auprès du public, mesuré par l’usage de l’identité électronique, n’est pas au rendez-vous fin 2013.

C’est sans compter le temps propre à ce type de projet et certainement sous-estimer l’ampleur des changements politiques, culturels, juridiques et des choix d’aménagement du territoire qu’ils induisent. Ce programme ne prend son sens qu’au regard du projet de société auquel il contribue, des valeurs de confiance et de cohésion d’une communauté qu’il renforce et de la pratique du lien social que l’on entend conduire. Sa modernisation fournira alors les usages numériques nombreux requérant la déclinaison des identités que cet équipement nouveau sécurise.

Le bénéfice d’une telle transformation est bien davantage politique que strictement économique. Sans cette vision globale, il est quasi impossible de justifier les efforts considérables d’une telle mutation.

L’Allemagne comme tant d’autres nations en fait l’expérience. Elle apprend, en prenant l’initiative, combien le projet né pourtant de la technologie et du droit est bien loin d’être technologique.

Ce voyage d’hiver 2013 en Allemagne, nous permet donc de revisiter bien des enseignements après plus de 10 ans de programmes e-ID en Europe.

Un programme national audacieux et une volonté d’innovation

Parmi les grands pays européens, reconnaissons à l’Allemagne une audace et une volonté politique forte au plus haut de l’État pour moderniser le pays et donner à sa population des outils qui fassent gagner tous les corps sociaux en compétitivité, bien-être et en amélioration du cadre de vie.

Dès 2006, l’Allemagne a pris la mesure de l’imbrication de son programme ambitieux de modernisation numérique de l’État, publié à Berlin dans sa plate-forme e-Gov 2.0 avec le cadre de confiance et de sécurité exemplaire permettant aux pouvoirs publics allemands d’assurer une continuité la plus parfaite possible entre le monde physique et le monde numérique.

Faits et chiffres du programme*

  • 21 millions de nouvelles cartes d’identité sans contact et 2,2 millions de titres de séjour électroniques ont été délivrés à fin 2013.
  • Des certificats d’autorisation pour 147 services chez 106 fournisseurs ont été accordés : 40% sont des services de l’e-Gouvernement et 60% des services de l’e-Business.
  • Le taux de mise en service, c’est-à-dire l’activation de la fonction d’identification en ligne, se situe à 28% après trois ans d’exploitation
  • Ce programme est considéré comme l’un des plus grands projets informatiques des pouvoirs publics allemands. Une nouvelle infrastructure informatique a été créée pour plus de 60 millions de citoyens fédéraux. Au total, 23.000 collaborateurs dans plus de 5.300 administrations ont été formés aux nouveaux processus de travail.
  • Des lecteurs de carte ont été mis à disposition gratuitement dans la phase de démarrage pour accélérer l’usage de l’identification en ligne.
  • Des services en ligne ont été proposés dès le lancement de la nouvelle carte d’identité grâce à un programme de soutien aux fournisseurs de services issus de l’économie et de l’administration.
    • L’État a choisi une politique faisant de l’e-ID une Carte d’Identité officielle à fonction d’identification en ligne plutôt qu’une logique d’identité électronique délivrée au citoyen et qui pourrait être intégrée sur d’autres cartes (bancaires, santé, carte de ville…) comme en Autriche.
  • Le cadre de protection des données est très complet un avec contrôle par le titulaire de la carte d’identité qui peut décider quelles données sont transmises.
  • Identification exclusivement : la Carte e-ID n’accepte pas d’autre service, c’est-à-dire que le composant électronique ne contient aucune zone mémoire pour d’autres données.
  • La Carte ne contient pas de certificats d’authentification X.509 (signature électronique certifiée) pour des raisons de protection des données et que les données de la carte d’identité liée à la personne ne puissent pas être transmises à des tiers sous forme « authentifiée ».
  • Il a été décidé de ne construire aucune banque de données centralisée (architecture décentralisée).
  • L’utilisation numérique de l’e-ID fonctionne sur le principe du volontariat : Les citoyens peuvent à tout moment activer et désactiver la fonction d’identification en ligne.

(*) Source Kompetenzzentrum Öffentliche IT, Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS, Octobre 2013

Une vision techniciste et l’obsession juridique et sécuritaire

Cette vision d’avenir fut détournée par le crédo que la technologie portait en elle-même tous les espoirs de progrès. Le caractère trop marqué du sceau de l’innovation technologique allemande et la crainte de ne pas maîtriser les innombrables impacts dans tous les domaines administratifs, sociaux et économiques entraîna une prise de leadership par les experts juridiques et les experts de la sécurité.

Avec l’idée obsessionnelle du zéro défaut et zéro risque, l’e-ID allemande est ainsi née dans un cadre de sécurité des échanges et des données personnelles extrême et un carcan juridique complexe.

En 2012, de nombreux problèmes juridiques ont été aplanis : diverses adaptations légales étaient nécessaires pour pouvoir utiliser la fonction d’identification en ligne. Outre la loi sur les documents, la loi-cadre sur le droit des télé-déclarations, l’ordonnance sur la signature et la loi sur le blanchiment d’argent ont été adaptées pour que la nouvelle carte d’identité puisse être utilisée. En particulier la fonction d’identification en ligne de la nouvelle carte d’identité et du titre de séjour électronique comme équivalent électronique de la forme physique n’est intervenue qu’en 2013, avec la loi sur l’e-Gouvernement.

Malgré cela, la signature avec la carte d’identité n’est toujours pas possible. L’activation en ligne, prévue à l’origine, de la signature électronique est encore en phase d’essai.

Toutes ces péripéties ont créé le sentiment d’immaturité et que le temps de la généralisation de cette novation est encore à venir.

Quand l’Allemagne a peur de sa propre puissance

De fait, l’appréhension juridique et sécuritaire qui a entouré le projet doit se lire avec, en mémoire, les débuts techniques douloureux du projet et plus profondément avec la connaissance des séquelles traumatisantes de l’histoire allemande et de ses facteurs de résonances : administration centrale, monde numérique incontrôlable, fichiers et traçabilité potentielle qui l’accompagnerait.

Des failles de sécurité tout de suite après le lancement*, la dépendance vis-à-vis du système d’exploitation, du navigateur et de certaines versions de navigateur, et divers retards avant que l’application AusweisApp soit aussi disponible pour Linux (au bout de sept mois) et MacOS (plus d’un an) ont nui à la confiance accordée au logiciel et son usage.

Ces débuts difficiles, relayés largement par la presse, ont conforté les appréhensions, la méfiance et le scepticisme des citoyens vis-à-vis de ce système de l’Etat fédéral.

L’État allemand se trouva ainsi dans le devoir culturel de respecter ces sentiments chez ses administrés. Ainsi le cadre de protection des données et de la vie privée s’en est-il trouvé renforcé, complexifiant d’autant la fluidité de l’usage de l’e-ID.

(*) Source  : même document du Fraunhofer Institut FOKUS octobre 2013

A la recherche de l'application phare

Cette initiative est un véritable programme de transformation sociétale, qui permet la plus grand fluidité du monde physique au monde numérique, entre citoyens, entreprises et administrations dans un continuum juridique sécurisé, traçable et auditable en cas de besoin. C’est donc un élément d’équipement de la modernité d’une nation.

Et il n’y a pas plus d’application en ligne phare qui en justifie l’investissement, qu’il y aurait de service phare sur une autoroute qui innerverait un territoire justifiant sa construction à lui seul et garantissant sa rentabilité dès sa mise en service. L’efficacité, le gain de temps, la sécurité, la proximité en sont les moteurs de départ. Les services suivent ensuite, lentement mais sûrement.

L’Allemagne a bien cherché à convaincre des fournisseurs et grands éditeurs mondiaux de services de l’e-Commerce d’accepter l’e-ID allemande comme média d’identification à leurs offres, arguant que cela leur amènerait un marché potentiel. Mais ces fournisseurs ont montré toutefois peu d’intérêt pour intégrer une solution allemande dans leur portefeuille, car le marché cible leur semblait trop petit.

Par ailleurs les banques déclinèrent également les incitations de l’État à utiliser l’e-ID dans leurs services en ligne car elles avaient déjà mis en œuvre diverses solutions d’identification sécurisée pour leur offre de banque en ligne.

De fait l’énergie pour rechercher des partenaires de départ, occulta sans doute l’opportunité de stimuler le marché par un marketing intense de produits dérivés de l’e-ID et un packaging de services dont la sphère privée pourrait se servir dans une logique de co-marquage permettant aux opérateurs et éditeurs de bénéficier de l’image de confiance de l’État. Ce choix avait été pourtant fait en Belgique, en Estonie et en Autriche avec succès.

Le difficile choix entre mouvement et sécurité

L’expérience allemande est susceptible d’éclairer les raisons d’une adhésion plutôt décevante au démarrage dans nombre de pays.

La vision de cet ambitieux programme de modernisation de l’État repose sur l’extension au monde numérique de tous les usages traditionnels pour plus de compétitivité et d’amélioration pour tous les acteurs de la nation.
Ces potentiels se réaliseront si la fragilité principale du monde numérique est dûment sécurisée, à savoir qu’à distance l’on ne peut être certain de l’identité de celui avec qui on échange. Il s’en déduit que le cœur de tout le programme de modernisation numérique repose sur la sûreté de l’Identité et le cadre de confiance qui garantit cet univers numérique riche de promesse. Et personne mieux que l’État peut, au plus haut niveau d’une nation, garantir cette confiance de manière permanente et universelle.

Mais :

  • S’agit-il de garantir la confiance régalienne et protéger les identités dans le monde numérique, c’est à dire l’inviolabilité du lien social qui unit universellement le citoyen à la collectivité ?
     

  • Ou bien s’agit-il seulement de moderniser le support du média d’identification, à savoir, la Carte Nationale d’Identité et de la rendre électronique ?

Tout l’enjeu du succès se trouve derrière la bonne compréhension de cette question. L’Estonie et l’Autriche ont fait le pari de la première option, avec le succès que l’on sait. L’État génère un jeton identitaire que le citoyen peut inclure sur divers supports dont le téléphone mobile, multipliant ainsi l’usage du lien identitaire sécurisé régalien pour toute forme d’échanges avec les services collectifs (E-ticketing compris en Estonie).

La Belgique en unifiant de manière fluide le cadre de confiance avec un seul média, avec une politique audacieuse de transparence et un accompagnement marketing intensif auprès des fournisseurs de service et de la population a quelque peu compensé la restriction média que la rigidité d’une approche trop contrainte par une vision « Carte d’Identité » a pu générer.

Ce n’est certes pas facile pour des pouvoirs publics d’admettre qu’il va de l’innovation comme de la vie, elle est risque permanent par nature. Faut-il stimuler l’adaptabilité des citoyens et leur faire confiance ou donner raison à leur défiance en les surprotégeant ?

Depuis 2012, l’Allemagne a profondément revu ses aménagements juridiques et assoupli son cadre sécuritaire. La dynamique est revenue dans le projet et le taux d’usage de l’e-ID allemande a favorablement progressé en 2013.
Personne ne gravit les marches d’un escalier inconnu quatre à quatre. L’art du changement est d’associer la force du mouvement avec l’intelligence du temps.