Identification à distance dans l’UE : 3 choses à retenir de l’atelier de l’ENISA sur l’identification à distance par vidéo

Share

Ayant eu lieu le 10 mai, l’atelier de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information) sur l’identification à distance par vidéo a rassemblé des prestataires de la vérification de l’identité à distance et des représentants des instances réglementaires de l’UE. Il s’agissait d’une occasion unique pour les acteurs du secteur de nouer des liens, de discuter des problèmes réglementaires et opérationnels auxquels ils sont confrontés, et d’en savoir plus sur les évolutions à venir. Mais, selon notre CPO (Directeur Produit), Tomas Zuoza, au lieu d’aborder un large spectre de problèmes et de nuances, cet événement a révélé plusieurs limites et plusieurs problèmes importants qui impactent, dans une large mesure, tout prestataire de vérification de l’identité à distance au sein de l’UE.

  1. Les prestataires de vérification de l’identité à distance sont plus sous pression que jamais en termes de sécurité et d’expérience utilisateur 

Commençons par l’urgence de garantir une sécurité complète des données, cette dernière étant une préoccupation majeure pour toutes les personnes concernées : les prestataires de vérification de l’identité à distance constatent un énorme changement dans la forme et l’étendue des cyber-attaques. L’accès à des malwares (logiciels malveillants) en est la cause principale : selon le rapport 2023 d’iProov, « Biometric Threat Intelligence », aujourd’hui, seuls 2 à 3% des auteurs de menaces sont des codeurs avancés. Des kits immédiatement utilisables sont en effet désormais accessibles à tout le monde (qui plus est à moindre coût pour la plupart), et il revient donc aux prestataires de service de vérification de l’identité de garder une longueur d’avance. 

Concernant l’expérience utilisateur, il est maintenant évident que les services à distance ne vont pas disparaître. Les méthodes numériques sont préférées aux processus en partie manuels et les solutions pour une vérification de l’identité en self-service et 100% à distance sont, reconnaissons-le, la seule voie à suivre à l’avenir pour les prestataires de vérification de l’identité à distance. Cela étant dit, de nombreux prestataires du secteur des services de confiance n’ont pas encore mis en place de telles méthodes car leur mise en place est entravée par des barrières réglementaires et de subtils problèmes de sécurité.

  1. Les réglementations en vigueur ne reflètent plus la situation actuelle dans ce secteur d’activité, ce qui entrave les prestataires de services

De nouvelles réglementations sont régulièrement adoptées, imposant aux prestataires de services de confiance de sans cesse mettre à jour leurs pratiques pour rester en conformité. Mais, selon Tomas, l’atelier de l’ENISA a clairement montré que, dans la pratique, le tissu réglementaire se contente d’essayer de suivre le rythme de l’état actuel des choses et qu’il n’est prêté que peu d’attention, voire aucune, à l’avenir. Cela se traduit par un cadre réglementaire obsolète, avec des lacunes, et par une pression accrue sur les prestataires de services, contraints de l’appliquer alors que les attentes des clients évoluent et que de nouveaux problèmes de sécurité émergent. 

Autre préoccupation majeure, les disparités entre les réglementations nationales des différents pays membres de l’UE. Selon notre CPO, bien que placés sous la houlette des réglementations européennes, les États membres ont encore des modèles de certification différents pour les prestataires de services de confiance, ce qui leur permet de « faire leur marché » et de se faire certifier partout où les exigences leur sont le plus favorables. 

Mais, ici, le véritable point de crispation, ce sont les restrictions nationales aux méthodes d’identification – en particulier concernant la vérification basée sur la technologie NFC. « Tout peut bien se passer tant que les utilisateurs présentent leur passeport, ce document étant très similaire d’un État membre à un autre. Avec les cartes d’identité, c’est une tout autre histoire : chaque pays a sa propre version, et dans certains pays (en France par exemple) la loi n’autorise pas une vérification de l’identité basée sur le NFC. Les prestataires de services de confiance veulent basculer vers cette méthode NFC parce qu’elle est sécurisée et fiable mais, pour l’instant, concevoir un processus d’identification qui fonctionnerait pour tous les États membres de l’UE n’est pas possible », souligne Tomas. 

  1. Le réseautage et les discussions ouvertes sont capitales pour que les acteurs de ce secteur et les instances réglementaires soient sur la même longueur d’ondes 

Comme l’atelier l’a clairement montré, les prestataires de vérification à distance de l’identité sont tous confrontés aux mêmes difficultés et observent les mêmes tendances. En parler ouvertement est essentiel pour avancer et résoudre les problèmes – tant en termes d’alignement réglementaire que de préparation de l’avenir. « Compte-tenu de la rapidité à laquelle ce secteur évolue, chaque événement est une occasion unique de saisir tous les enjeux et de se remettre au travail, riches de nouvelles informations et de nouveaux enseignements », a déclaré notre CPO.

Protéger l’identification à distance dans toute l’UE est une question de cohérence et de collaboration, ce qui en retour donnera à de tels événements la capacité d’inspirer, voire même de directement influencer les développements à venir. Faisant suite aux conversations qui ont eu lieu lors de cet événement, nous vous partagerons prochainement dans notre blog des informations plus détaillées sur la situation de la fraude, aujourd’hui et à l’avenir.