La certification des moyens d’identification électronique

1 – En Bref

L’article L. 102 du Code des postes et des communications électroniques établit en France le cadre relatif à l’identification électronique au service en ligne et introduit la présomption de fiabilité des moyens d’identification électronique et les modalités de leur certification. Les exigences de sécurité applicables à ces moyens d’identification électronique, qu’ils bénéficient de la présomption de fiabilité ou non, s’appuient sur les dispositions du règlement européen no 910/2014, dit règlement « eIDAS », et en particulier du règlement d’exécution no 2015/1502 associé. Le décret n° 2022-1004 du 15 juillet 2022 fixe les modalités de certification, par l’ANSSI, des moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens.

2 – A qui s’adresse cette réglementation ?

Les dispositions de l’article L. 102 et les textes en découlant s’adressent aux fournisseurs de moyens d’identification électronique souhaitant, sur une base volontaire, bénéficier d’une certification de leurs moyens d’identification électronique par l’ANSSI.

3 – Que contient cette réglementation ?

3.1- La présomption de fiabilité

La présomption de fiabilité prévue par le III de l’article L. 102 du Code des postes et des communications électroniques entraîne, en cas de litige, un renversement de la charge de la preuve.

Ainsi toute personne physique ou morale invoquant l’usurpation ou l’altération d’une identité reposant sur l’utilisation d’un moyen d’identification électronique présumé fiable, devra apporter la preuve que ce moyen n’était en réalité pas fiable et présentait des failles ayant permis l’usurpation ou l’altération de cette identité.

Un moyen d’identification électronique est présumé fiable si et seulement si :

il est conforme aux exigences d’un cahier des charges, établi par l’ANSSI et pris par décret en Conseil d’État;
la conformité à ces exigences a été certifiée par l’ANSSI.

Le cahier des charges s’appuie sur les exigences du règlement d’exécution n^o 2015/1502 pour le niveau de garantie « élevé » auxquelles il ajoute des exigences particulières.

Le décret n^o 2022-1004 définit ce cahier des charges, codifié aux articles R. 54-16 à R. 54-27 du Code des postes et des communications électroniques.

3.2 – Le référentiel d’exigences de sécurité pour les moyens d’identification électronique

Le référentiel d’exigences de sécurité pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie :

Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ;
Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ;
Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI.

Référentiel d’exigences de sécurité pour les moyens d’identification électronique

3.3 – Les modalités de certification des moyens d’identification électronique

La certification est une décision, délivrée par l’ANSSI, permettant d’attester :

pour les moyens d’identification électronique présumés fiables, de la conformité aux exigences du cahier des charges mentionné plus haut, conformément au III de l’article L.102 ;
pour les moyens d’identification électronique autres que présumés fiables, de la conformité aux exigences du référentiel d’exigences pour le niveau choisi (substantiel ou élevé), conformément au IV de l’article L.

L’ANSSI ne délivre pas de décision de certification pour les moyens d’identification électronique visant le niveau de garantie faible.

La procédure de certification des moyens d’identification électronique est définie aux articles R. 54-5 à R. 54-15 du Code des postes et des communications électroniques et suivent le processus de l’ANSSI détaillé à ce lien.

La décision de certification a une durée de validité maximale de 2 ans. Pour maintenir la certification, le fournisseur de moyens d’identification électronique renouvelle le processus précédent, préalablement à l’expiration de la décision de certification.

En cas de manquement aux exigences applicables, aux conditions et réserves fixées par la décision de certification ou en cas de changement des circonstances de droit ou de fait ayant permis de prononcer la décision de certification, l’ANSSI peut décider d’abroger la décision de certification ou de l’assortir de conditions restrictives. Le respect du contradictoire permet au fournisseur de moyens d’identification de faire valoir ces arguments ou, au minimum, de présenter un plan d’action permettant d’adresser les manquements qui lui sont reprochés.

4 – Quel est le rôle de l’ANSSI ?

L’ANSSI pilote, en lien avec les services concernés par la gestion de l’identité, l’élaboration du cahier des charges permettant d’établir la présomption de fiabilité des moyens d’identification.

L’ANSSI est en charge de la rédaction du référentiel d’exigences de sécurité pour les moyens d’identification électronique et de la publication de ce référentiel sur son site Internet.

L’ANSSI prend les décisions de certification des moyens d’identification électronique, assure le suivi des certifications délivrées et peut abroger les décisions de certification.

5 – Pour aller plus loin

Références réglementaires

Référence	Lien
Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE	Règlement 910/2014 – eur-lex.europa.eu
Règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, paragraphe 3, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur	Règlement d’exécution (UE) 2015/1502 – eur-lex.europa.eu
Article L. 102 du Code des postes et des communications électroniques	Article L102 – Code des postes et des communications électroniques – Légifrance (legifrance.gouv.fr)
Décret n^o 2022-1004 du 15 juillet 2022 fixant les modalités de certification de moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens	Décret n° 2022-1004 du 15 juillet 2022 fixant les modalités de certification de moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens – Légifrance (legifrance.gouv.fr)

Renvoi aux autres contenus connexes de l’ANSSI

Ressources	Lien
Le règlement eIDAS	Le règlement eIDAS \| Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr)
Le référentiel PVID	Publication du référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID) \| Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr)
La certification	Certification \| Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr)
La liste des produits qualifiés	Produits de sécurité qualifiés \| Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr)
La liste des schémas d’identification électronique notifiés à la Commission européenne	Schémas d’identification électronique notifiés – europa.eu