Actualités

RSS

Identité numérique : le grand cafouillage européen

Le Règlement confiance numérique définit le concept de « schéma d’identification », qui vise à établir des moyens d’identification électronique interopérables entre les acteurs du secteur public des Etats membres. Le Règlement, sans le rendre obligatoire, incite les entreprises du secteur privé à utiliser ces schémas. Les notions d’identification électronique, moyen d’identification électronique et authentification sont définies par le Règlement, mettant fin à la confusion souvent opérée entre l’identification et l’authentification :

 

-          «identification électronique» : processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale

-          « moyen d’identification électronique» : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne

-          « authentification» : un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique

 

Le Règlement prévoit trois niveaux de garantie des moyens d’identification : faible, substantiel ou élevé.

 

La DSP2 ne définit pas l’identification, mais comprend deux définitions pour l’authentification :

 

-          «authentification»: « une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur d’un instrument de paiement spécifique, y compris l’utilisation de ses dispositifs de sécurité personnalisés ou le contrôle de documents d’identité personnalisés; »

-           «authentification forte du client»: « une procédure de validation de l’identification d’une personne physique ou morale reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance, possession et inhérence, qui sont indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »

 

Sauf dérogation basée sur le risque lié à une opération, les prestataires de service de paiement devront appliquer une authentification forte pour tout paiement électronique.

 

Au plan purement formel, le Règlement confiance numérique et la DSP 2 ne sont pas contradictoires :

-          La DSP 2 dit, comme le règlement, que l’authentification permet de vérifier une identité.

-          Le règlement définit quant à lui des niveaux d’identification, et la DSP2 des niveaux d’authentification (simple, et forte) : cela n’a rien d’incohérent non plus, puisqu’il ne s’agit pas de la même opération.

 

L’incohérence est plus profonde : c’est que la DSP 2 utilise le terme « authentifier » là où il s’agit en fait d’« identifier ». L’authentification suppose en effet de faire un lien entre des données d’identification, qui seraient déjà connues du prestataire, et les données dont se sert la personne pour s’authentifier. Or, dans certains cas, il s’agira directement d’une opération d’identification, et non d’authentification, dans la mesure où le prestataire ne connaîtra pas au préalable la personne.

 

Il serait extrêmement fâcheux que cette incohérence subsiste en l’état dans le texte définitif de la DSP 2, faute à rendre encore plus illisible ces notions déjà confuses d’identification numérique et d’authentification.

« Retour


Isabelle Renard

Isabelle Renard est ingénieur de formation. Elle a effectué la première partie de sa carrière dans un grand groupe industriel, dont plusieurs années aux...Lire la suite

Actualités

FNTC

Isabelle Renard est membre expert de la FNTC

Gestion des cookies - ©Cabinet IRenard Avocats - Tous droits réservés Site web avocat Absolute Communication - Réalisation : Agence answeb

Actualités

RSS

Identité numérique : le grand cafouillage européen

Le Règlement confiance numérique définit le concept de « schéma d’identification », qui vise à établir des moyens d’identification électronique interopérables entre les acteurs du secteur public des Etats membres. Le Règlement, sans le rendre obligatoire, incite les entreprises du secteur privé à utiliser ces schémas. Les notions d’identification électronique, moyen d’identification électronique et authentification sont définies par le Règlement, mettant fin à la confusion souvent opérée entre l’identification et l’authentification :

 

-          «identification électronique» : processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale

-          « moyen d’identification électronique» : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne

-          « authentification» : un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique

 

Le Règlement prévoit trois niveaux de garantie des moyens d’identification : faible, substantiel ou élevé.

 

La DSP2 ne définit pas l’identification, mais comprend deux définitions pour l’authentification :

 

-          «authentification»: « une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur d’un instrument de paiement spécifique, y compris l’utilisation de ses dispositifs de sécurité personnalisés ou le contrôle de documents d’identité personnalisés; »

-           «authentification forte du client»: « une procédure de validation de l’identification d’une personne physique ou morale reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance, possession et inhérence, qui sont indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »

 

Sauf dérogation basée sur le risque lié à une opération, les prestataires de service de paiement devront appliquer une authentification forte pour tout paiement électronique.

 

Au plan purement formel, le Règlement confiance numérique et la DSP 2 ne sont pas contradictoires :

-          La DSP 2 dit, comme le règlement, que l’authentification permet de vérifier une identité.

-          Le règlement définit quant à lui des niveaux d’identification, et la DSP2 des niveaux d’authentification (simple, et forte) : cela n’a rien d’incohérent non plus, puisqu’il ne s’agit pas de la même opération.

 

L’incohérence est plus profonde : c’est que la DSP 2 utilise le terme « authentifier » là où il s’agit en fait d’« identifier ». L’authentification suppose en effet de faire un lien entre des données d’identification, qui seraient déjà connues du prestataire, et les données dont se sert la personne pour s’authentifier. Or, dans certains cas, il s’agira directement d’une opération d’identification, et non d’authentification, dans la mesure où le prestataire ne connaîtra pas au préalable la personne.

 

Il serait extrêmement fâcheux que cette incohérence subsiste en l’état dans le texte définitif de la DSP 2, faute à rendre encore plus illisible ces notions déjà confuses d’identification numérique et d’authentification.

« Retour


Droit des affaires Droit des nouvelles
technologies