Etude prospective sur les potentialités économiques liées ...

Étude prospective sur les potentialités économiques liées à l’utilisation de la carte

d’identité électronique et de lasignature électronique

Etud

e

Etude prospective sur les potentialités économiques liées àl’utilisation de la carte d’identité électronique et de la

signature électronique

Rapport fi nal: juin 2008

2

Service public fédéral Economie, P.M.E., Classes moyennes et EnergieRue du Progrès, 50B - 1210 BRUXELLESN° d’entreprise : 0314.595.348http://economie.fgov.be

tél. 02 277 51 11

Pour les appels en provenance de l’étranger :tél. + 32 2 277 51 11

Editeur responsable : Lambert VERJUS Président du Comité de direction Rue du Progrès, 50 B-1210 BRUXELLES

Dépôt légal : D/2008/2295/84

0505-08

Vous trouverez cette étude:

• http://economie.fgov.be > informations économiques > études• Infoshop SPF Economie Rue du Progrès, 48 B-1210 Bruxelles Tél. : 02 277 55 76 ouvert tous les jours ouvrables de 9h à 17h00• Bibliothèque Fonds Quetelet City Atrium - 2ème étage Rue du Progrès, 50 B-1210 Bruxelles Tél. : 02 277 55 55 Fax : 02 277 55 53 ouvert tous les jours ouvrables de 8h30 à 16h30 E-mail : [email protected]

La reproduction de données afi n de les utiliser dans d’autres études est autorisée à condition de mentionner clairement et précisément la source. Le contenu de cette étude reproduit l’opinion de ses auteurs et non celle du SPF Economie, P.M.E., Classes moyennes et Energie.

http://economie.fgov.be

mailto:[email protected]


3

« Créer les conditions d’un fonctionnement compétitif, durable et équilibré du marché des

biens et services en Belgique. »

Table des matières

Management Summary 6

Introduction 7

Méthodologie 8

Sources et informations consultées 10

1 Contexte général de l’eID 11 1.1 La carte eID 11 1.2 Les fonctionnalités de la carte eID 13 1.3 Positionnement des différents SPF concernés 17

2 Contexte juridique de l’eID 19 2.1 Cadre légal de la carte d’identité électronique 19 2.2 La vie privée 20

2.2.1 Cadre légal 20 2.2.2 Traitement des données d’identification (excepté le numéro de registre national) 20 2.2.3 Accès direct aux informations du Registre national 21 2.2.4 Utilisation du numéro de registre national 21

2.3 Droits en tant que citoyen 24 2.4 Carte pour étrangers 24 2.5 Kids-ID 25 2.6 Solutions futures pour la protection de la vie privée 26 2.7 Signature électronique 27

2.7.1 Cadre et valeur juridique de la signature 27 2.7.2 Archivage et horodatage électronique 28

2.8 Vol d’identité 35 2.9 Conclusions concernant le contexte juridique de l’eID 36

3 Contexte technique de l’eID 37 3.1 Démystification de l’eID 37

3.1.1 Aspects techniques de l’eID 37 3.1.2 Aspects techniques de l’utilisation de l’eID 42

3.2 Problèmes techniques de l’eID 48 3.3 Possibilités technologiques pour la prochaine génération de cartes 51 3.4 Conclusions sur le contexte technique de l’eID 56

4 Contexte économique de l’eID 57 4.1 Cadre économique 57 4.2 L’e-commerce (ou commerce électronique) 59

4.2.1 Cadre général de l’e-commerce (ou commerce électronique) 59 4.2.2 L’e-commerce (ou commerce électronique) en Europe 61 4.2.3 Le commerce électronique en Belgique 62

4.3 Motivations de l’utilisation de l’eID par les entreprises 67 4.4 Opportunités et obstacles à l’utilisation de l’eID selon les modèles commerciaux 68 4.5 Conclusions sur le contexte économique de l’eID 75

5 Contexte psychologique de l’eID 76 5.1 Consultation des utilisateurs 76

4

5.2 Contacts avec les organisations de consommateurs 78 5.3 Enquête auprès des entrepreneurs néerlandophones 78

5.3.1 Résultats de l’enquête 79 5.3.2 Résultats des discussions avec les entrepreneurs 88

5.4 Enquête auprès des entrepreneurs francophones 90 5.4.1 Résultats de l’enquête 91 5.4.2 Conclusions sur la comparaison des enquêtes francophone et néerlandophone 100

5.5 Enquête et forum de discussion chez les adolescents (Internet) 101 5.6 Conclusions sur le contexte psychologique de l’eID 104

6 Contexte international de l’eID 107 6.1 Introduction 107 6.2 Analyse des développements relatifs à l’eID dans quelques pays 108

6.2.1 L’Estonie 109 6.2.2 L’Autriche 109 6.2.3 La Finlande 110 6.2.4 L’Italie 110 6.2.5 La Suède 110 6.2.6 L’Espagne 111 6.2.7 Le Portugal 111 6.2.8 Singapour 111 6.2.9 Les Pays-Bas 112 6.2.10 La France 112 6.2.11 L’Allemagne 113 6.2.12 Le Royaume-Uni 113

6.3 Tableau comparatif 114 7 Analyse des applications de l’eID 115

7.1 Classification des applications de l’eID 115 7.2 Analyse des applications de l’eID existantes 117

7.2.1 Composants 117 7.2.2 Applications prêtes à l’emploi 118 7.2.3 Personnalisation 129

7.3 Suggestions pour les applications eID à venir 131 7.4 Conclusions des applications eID 133

8 Études de cas 134 8.1 Étude de cas Mutualité chrétienne 135 8.2 Étude de cas Partage de voitures 136 8.3 Étude de cas Ethias 137 8.4 Étude de cas iDTV 139 8.5 Étude de cas eBay 141 8.6 Étude de cas « porte-monnaie électronique » 143 8.7 Étude de cas Espaces de discussion sécurisés avec l’eID 146 8.8 Étude de cas Certipost 148 8.9 Étude de cas Isabel 150 8.10 Étude de cas Carte REAL 152 8.11 Conclusions des études de cas 155

9 Recherche scientifique relative à l’eID 156 9.1 Recherche dans des universités et des centres de recherche 156 9.2 Recherche dans les écoles supérieures 158 9.3 Description de deux projets : adapID et eIDea 160

10 Conclusions et recommandations 165

10.1 Conclusions 165 10.2 Recommandations 171

5



Annexes 173

Annexe 1 : Terminologie 174

Annexe 2 : Sources consultées 183

Annexe 3 : Listes des personnes contactées 185

Annexe 4 : Quelques autorités de certification importantes 190

Annexe 5 : Questionnaire ateliers entrepreneurs 192

Annexe 6 : Présentation de quelques appareils mobiles 195

Annexe 7 : Fiches applications eID 196

6

Management Summary

La carte d’identité électronique (eID) a été introduite en Belgique en 2003. C’était un des développements les plus prometteurs pour la promotion et l’évolution de l’e-gouvernement et un exemple pour d’autres pays. Mais la carte n’a pas connu le succès espéré ; les applications eID n’ont été disponibles que très lentement, la population n’était pas prête à installer le lecteur et le logiciel de communication/échange, toutes sortes de problèmes au niveau de la protection de la vie privée ont émergé, au niveau technique l’infrastructure n’était pas encore mise au point et il y avait des lacunes importantes au niveau juridique.

La carte, avec ses fonctionnalités d’identification, d’authentification et de signature électronique, peut également être utilisée par l’industrie et le secteur privé. Tant les grandes entreprises que les PME et les particuliers peuvent profiter de la disponibilité de cette technologie. Il y a beaucoup de possibilités : l’automatisation des processus qui peut générer des gains de temps importants et des files d’attente beaucoup plus courtes, etc.

Il est clair qu’il y a une marge de croissance importante du nombre d’applications utilisant l’eID. On se pose la question de savoir pourquoi, à présent, il n’y a pas encore tellement d’applications.

Dans notre étude nous avons recherché les obstacles et les stimulateurs au développement de l’utilisation de la carte. Quelles étaient les raisons de nature psychologique, économique, technologique ou juridique à la base du refus de l’utilisation de cette carte? En parallèle nous avons essayé de faire un inventaire des applications existantes, et nous avons exploré les éléments clé de leur succès ou de leur échec.

Voici nos conclusions principales : un entrepreneur investira uniquement sur base d’une analyse coûts-bénéfices positive et à condition que l’environnement technique et juridique soit stable. Un projet basé sur l’eID ne peut réussir que s’il n’y a pas trop d’obstacles pour les utilisateurs finaux et si le projet optimise le processus dans sa totalité.

Nos conseils s’adressent au gouvernement et plaident pour une approche intégrée du projet eID.

Il faut mettre en place un encadrement dont un plan de communication est une partie essentielle. Ce dernier doit se focaliser sur un message positif qui met en évidence les possibilités de l’eID et de la signature électronique.

Il faut un cadre juridique clair, complet et stable, afin que les entrepreneurs et les citoyens comprennent ce qui est autorisé et ce qui ne l’est pas.

Il faut prévoir un support technique qui facilite le passage vers l’eID tant pour les entrepreneurs que pour les utilisateurs,. Un logiciel de communication/échange qui est adapté au besoins réels des entrepreneurs, un helpdesk qui est disponible au moment nécessaire, vont permettre à l’entrepreneur de se sentir soutenu dans le développement des applications.

Finalement un climat de confiance doit être créé. D’une part par la mise en place d’une campagne de communication bien réfléchie et d’autre part par la mise en évidence des initiatives positives et par la stimulation de l’utilisation de l’eID.

Une fois que les citoyens et les entrepreneurs auront expérimenté les avantages de l’utilisation de la signature électronique et/ou de l’eID, ils seront plus motivés pour utiliser la carte.

7



Introduction

En septembre 2007, le SPF Economie nous a confié la réalisation d’une étude sur les potentialités de la carte d’identité électronique.

Le titre de l’étude, « Étude prospective sur les potentialités économiques liées à l’utilisation de la carte d’identité électronique et de la signature électronique », comporte de nombreux aspects.

Ces aspects ont donné lieu à une recherche d’informations sur les éléments essentiels suivants :

Que recouvre le concept de « carte d’identité électronique » ? Quelles en sont les fonctionnalités? Quel est le matériel nécessaire pour pouvoir utiliser efficacement la carte?

Quel est le cadre juridique? Existe-t-il une protection suffisante de la vie privée? Une signature électronique a-t-elle la même valeur juridique qu’une signature manuscrite? Qu’est-ce que l’horodatage? Les entreprises peuvent-elles utiliser l’eID? Qu’est-ce que le vol d’identité?

Quelles sont les caractéristiques techniques de la carte? En quoi consistent les clés? En quoi consistent les certificats? Que faut-il pour sécuriser la carte?

Qu’est-ce que le cadre économique? En quoi consistent l’e-commerce (ou commerce électronique) et l’e-business? En matière d’utilisation de la carte, quels sont les inhibiteurs et les stimulateurs? Quels modèles commerciaux pouvons-nous distinguer?

Qu’est-ce que le contexte psychologique? Quelle est la position des entrepreneurs par rapport à l’utilisation de la carte? Observe-t-on une différence dans le comportement des jeunes et des adultes?

Quels sont les développements au niveau international?

Quelles applications peut-on déjà trouver sur le marché? Comment peut-on les répertorier? Existe-t-il des applications spécifiques méritant d’être approfondies dans des études de cas?

Quels sont les projets pour les prochaines générations de l’eID? En quoi consistent la vision et la stratégie? Quelles sont les études menées dans les universités?

Avant de débuter l’étude proprement dite, nous avons organisé un entretien personnel avec les membres du comité de pilotage (voir en annexe). Durant cet entretien, des idées concernant l’objet de l’étude ont été échangées. Nous avons pu ainsi brosser un aperçu de la problématique grâce aux différents angles d’approche des personnes concernées.

Ces entretiens nous ont amené à poser une série de constats et à établir une liste de sujets donnant lieu à étude complémentaire.

Portée de l’étude

L’étude se limite aux potentialités de l’eID en dehors de l’e-gouvernement. Nous nous sommes intéressés au monde des entreprises mais aussi aux organisations, associations et professions libérales.

L’objectif n’est certainement pas de faire de cette étude un ouvrage de référence académique ni de dresser une liste exhaustive des applications de l’eID. C’est un instantané de la situation dans le domaine des inhibiteurs et des stimulateurs de l’utilisation de l’eID, qui vise à formuler des conseils pratiques pouvant aider à l’exploitation du potentiel de la carte par le secteur privé.

8

Méthodologie

Le contexte de notre sujet est à la fois juridique, psychologique, technologique et économique. Compte tenu de la dualité de l’approche des différents mondes, avec d’un côté, l’imprécision et la marge d’interprétation liées au monde juridique et psychologique, et d’un autre côté, la précision et la rigueur de la technologie et de l’économie, nous avons abordé l’étude de la manière suivante :

Informer : rassembler des faits, d’une part, et des interprétations, d’autre part

Structurer et analyser

Conclure

Dans une première phase, lors des premiers entretiens, il est rapidement apparu que nous avions affaire à une matière complexe suscitant beaucoup de confusion, que la question était toujours considérée d’un point de vue restreint, et que de nombreux préjugés subsistaient sur le sujet. Pour délimiter correctement la problématique, il importait de prendre en compte le point de vue et les préoccupations des diverses parties concernées. Les nuances dans les définitions et la terminologie faisaient obstacle à la communication.

Lors de la collecte des informations, nous avons consulté les différents départements des pouvoirs publics impliqués dans la réalisation de la carte eID, en organisant plusieurs interviews et entretiens individuels.

Nous avons ensuite recherché les applications existantes en dehors de l’e-gouvernement. Il s’agit d’un bon baromètre afin d’évaluer le niveau d’acceptation de la technologie eID dans l’industrie. Nous sommes partis de la liste en ligne du Fedict publiée sur http://eid.belgium.be. À nouveau, nous avons été rapidement confrontés à des préjugés et des obstacles techniques. À la suite de contacts établis avec plusieurs projets de recherche et dans le monde académique, nous avons découvert l’importance des investissements et la perspective de résultats intéressants à court terme.

Les utilisateurs ont également été consultés. Par le biais des organisations professionnelles, nous avons eu accès à une multitude d’entreprises qui ont collaboré avec enthousiasme aux divers ateliers et enquêtes.

Grâce à des recherches documentaires, nous avons défini les termes, concepts et tendances. Nous avons également analysé le mode d’implémentation et l’évolution de l’utilisation de l’eID à l’étranger.

Dans une deuxième phase, nous avons tenté d’organiser la multitude d’informations et de définir une structure efficace pour rapprocher les différentes applications. Nous avons cherché une structure pouvant aider les entreprises à déterminer si une solution est disponible à partir de leur problématique.

Nous avons mené l’analyse en groupe. Cette analyse comporte différents aspects :

Le contexte juridique

Le contexte technique

Le contexte économique

Le contexte psychologique

Pour certaines applications, nous avons cherché une description plus détaillée. Il nous a semblé que la motivation et les alternatives à certains choix apportaient une contribution intéressante au contexte.

Nous avons en partie utilisé les ateliers et les enquêtes comme caisse de résonance et confirmation de certaines tendances se dégageant de l’analyse.

http://eid.belgium.be

9



Dans une troisième phase, nous avons recherché des modèles dans les différents contextes afin d’établir une synthèse des recherches accomplies. Cela nous a conduit à formuler des conclusions et des recommandations.

Guide de lecture

Compte tenu de l’importance de la terminologie et des définitions, nous présentons en annexe un aperçu des termes spécifiques utilisés dans ce rapport. Il peut être important pour le lecteur (la lectrice) de conserver la signification de ces termes en regard du texte pour une interprétation correcte du contenu. Notre objectif n’est pas ici d’asseoir la définition des termes. Nous souhaitons simplement communiquer avec clarté. La signification du terme authentification et les nuances entre signature numérique et électronique revêtent le plus d’importance. Il nous faut signaler d’emblée que nous avons toujours utilisé dans cette étude l’expression « signature électronique » alors que le terme exact est « signature numérique ». Nous avons opéré ce choix pour éviter toute confusion car la législation parle toujours de signature électronique.

Eu égard à la complexité de la matière traitée, le chapitre 3 a été consacré à la démystification de la technologie. Nous voulions ainsi éviter de donner raison à ce professeur qui nous déclarait lors d’un entretien : « quand on ne comprend pas, on invente ». Nous tentons dans ce chapitre de présenter brièvement et dans un langage compréhensible les aspects techniques de l’eID.

L’analyse du contexte juridique, économique, psychologique et international nous fournit également une direction pour des analyses basées sur des faits (chapitres 2, 4, 5 et 6).

Les annexes reprennent le détail des différentes applications actuelles ayant servi de base à nos recherches. Dans le chapitre 7, nous approfondissons les caractéristiques des différents groupes d’applications et dans le chapitre 8, nous analysons quelques applications spécifiques sous la forme d’études de cas.

Dans le chapitre 9, nous présentons un aperçu des recherches scientifiques menées dans le domaine de l’eID.

Enfin, le chapitre 10 présente le résultat de cette étude, avec les conclusions et les recommandations.

Rappelons à nouveau que cette étude n’a nullement pour objectif d’être un ouvrage de référence académique ni d’établir des listes exhaustives d’applications.

10

Sources et informations consultées

Pour cette étude, nous avons consulté un large éventail de sources d’informations et interrogé de nombreux acteurs. La liste complète des institutions, organisations et entreprises contactées figure en annexe.

L’interrogation des membres du comité de pilotage est un élément déjà abordé dans l’introduction. Les résultats de ces entretiens nous permettent de délimiter la mission et de la situer dans un contexte plus vaste.

En plus du SPF Economie, nous avons aussi contacté d’autres institutions gouvernementales fédérales concernées par l’eID, à savoir le SPF Intérieur, Fedict, le SPF Sécurité Sociale et l’Agence pour la Simplification Administrative de la Chancellerie du Premier Ministre. Ils nous ont expliqué le contexte de la préparation, du planning et du lancement de l’eID ainsi que toutes les problématiques qui y sont rattachées.

Nous avons également recherché les synergies et les conflits au niveau européen. À cet effet, nous avons contacté des entreprises internationales, nous avons consulté nos collègues étrangers chez IBM et nous avons établi des contacts avec la Commission européenne.

Pour avoir un aperçu de la recherche scientifique, les principaux acteurs contactés furent les universités, les hautes écoles et autres centres de recherches en charge de l’étude concernant l’eID.

Pour connaître le point de vue des entrepreneurs, nous avons contacté l’Unizo, la FEB et un réseau wallon d’universités et d’entreprises (Infopole – Cluster ICT). C’est de cette manière que nous avons pu interroger les entreprises, à travers des enquêtes et des ateliers.

De plus, bon nombre d’autres acteurs concernés ont été interrogés, comme l’organisation de consommateurs Test-Achats et le CRIOC (Centre de Recherche et d’Information des Organisations de Consommateurs), Agoria, le VVSG, etc.

Une série de sociétés et organisations qui intègrent l’eID dans leur fonctionnement ont aussi été contactées, par exemple Ethias ou les Mutualités chrétiennes. Celles-ci ont été largement examinées dans les études de cas.

Pour conclure, un grand nombre de fabricants d’applications de l’eID ont été questionnés.

11



1 Contexte général de l’eID

1.1 La carte eID

La carte d’identité électronique est la pièce d’identité légale du Belge. A l’heure actuelle, la vieille carte en papier est encore en train d’être remplacée par la nouvelle carte électronique mais en 2009 chaque Belge âgé de douze ans et plus devrait en principe disposer d’une eID.

Comment est la carte ?

Sur la nouvelle carte d’identité électronique se trouvent les mêmes données que sur les vieilles cartes en papier ainsi que quelques données supplémentaires. Il y a toutefois beaucoup de malentendus au sujet de ce qui se trouve ou non sur la carte. Beaucoup de gens pensent que la carte comprend de l’information ‘sensible’, comme le dossier médical, le casier judiciaire, etc.

Ceci n’est toutefois pas le cas. De manière à éclaircir ce qui se trouve réellement sur la carte, nous en faisons un relevé :

Les données qui peuvent être lues à l’oeil nu sont :

Le nom

Les deux premiers prénoms

La première lettre du troisième prénom

La nationalité

Le lieu et la date de naissance

Le sexe

Le lieu de délivrance de la carte

La date de début et de fin de validité de la carte

La dénomination et le numéro de la carte

La photo du détenteur

Les signatures du détenteur et du fonctionnaire communal

12

Le numéro d’identification du Registre national

Un hologramme qui reprend la photo du détenteur et une partie de son numéro de registre national

Les données qui peuvent être lues de manière électronique :

Le nom

Les deux premiers prénoms

La première lettre du troisième prénom

La nationalité

Le lieu et la date de naissance

Le sexe

Le lieu de délivrance de la carte

La date de début et de fin de validité de la carte

La dénomination et le numéro de la carte

La photo du détenteur

Le numéro d’identification du Registre national

Le lieu de résidence principal du détenteur

Les clés d’authentification et de signature (clés publiques)

Les certificats d’authentification et de signature

La certification accréditée du prestataire de service

L’information nécessaire à l’authentification de la carte et à la protection des données lisibles électroniquement reprises sur la carte, ainsi que les certificats qualifiés y afférents

Les autres mentions imposées par la loi

Les données qui se trouvent sur la carte, mais qui ne peuvent pas être lues, même pas de manière électronique :

Les clés privées

Le code pin

Seules les autorités peuvent changer les données sur l’eID. L’eID refuse les adaptations qui ne sont pas signées par le Registre national.

Les données qui ne se trouvent pas sur la carte :

État civil

Composition de famille

Historique des lieux de résidence

Informations au sujet de la profession et de la sécurité sociale

Informations au sujet du permis de conduire, milice, élections

Historique des consultations du dossier

13



Ces données ne sont donc pas publiques mais peuvent bien être lues et contrôlées via l’application « Mon dossier », qui est mis à disposition par les autorités (Fedict). Il s’agit d’une application de manière à consulter votre dossier personnel dans le Registre national. Chaque Belge peut lire ses données personnelles à l’aide de l’eID et vérifier les instances qui ont lu les données. Le but est, d’une part, de créer une certaine forme de transparence, d’autre part de donner aux gens la possibilité d’identifier les erreurs et de communiquer la correction à la commune.

Il y a seulement moyen de lire ces propres données, pas de les manipuler. Il est évident que les données des autres personnes sont inaccessibles.

En quoi consiste la carte ?

La carte en tant que support physique de données a les caractéristiques suivantes :

Sur la carte, une puce (microprocesseur) contenant toutes les données a été insérée, de manière à en permettre une lecture électronique.

Matériau de la carte : polycarbonates pour l’eID et PVC pour la Kids-ID. La Kids-ID est la carte d’identité électronique pour les enfants de moins de douze ans, cette carte sera traitée dans le chapitre ‘Contexte juridique de l’eID’.

Soudure de la puce : la colle est adaptée au matériau. Dans la phase de démarrage, on utilisait un autre type de colle qui a généré des problèmes au niveau de la soudure de la puce. Surtout chez les hommes qui ont souvent leur portefeuille dans la poche arrière de leur pantalon, la puce se détachait de la carte, suite à quoi ils devaient demander une nouvelle carte.

De quoi a-t-on besoin pour utiliser la carte ?

Pour utiliser la carte de façon électronique, on a besoin des éléments suivants :

Un lecteur de carte : une liste avec les points de vente des lecteurs de cartes est disponible sur le site web : http://www.cardreaders.be

Le software pour installer le lecteur de carte ainsi que celui pour utiliser les applications eID (middleware), peuvent être trouvés via le site web : http://www.eid.belgium.be

1.2 Les fonctionnalités de la carte eID

L’eID a trois fonctionnalités : l’identification, l’authentification et la signature électronique. Ces fonctionnalités peuvent être expliquées à un utilisateur à l’aide de la figure ci-dessous.

http://www.cardreaders.be

http://www.eid.belgium.be

14

Identification : la présentation de l’identité, donc montrer qui on est. Ceci se fait sans utiliser le code pin.

Authentification : c’est le processus au cours duquel on vérifie si une personne est celle qu’elle prétend d’être. En d’autres mots, l’authentification garantit l’identité des individus ou des organisations avec lesquelles on communique. Pour l’authentification, le code pin est nécessaire.

Signature électronique : c’est la signature des formulaires de façon électronique. Le code pin est utilisé ici. Quand on signe avec l’eID, ceci a la même valeur juridique qu’une signature manuscrite.

Les fonctionnalités et leur processus sont expliqués ci-après et ultérieurement dans le rapport.

Identification

L’identification est la fonctionnalité la plus simple. On utilise l’identification pour la transmission correcte d’informations, par exemple dans un hôtel, à la réception d’une entreprise, etc.

Le processus pour s’identifier est facile et rapide. La seule chose à faire est de placer la carte dans un lecteur de carte. Toutes les données apparaissent alors automatiquement sur l’écran du PC, dans une application spécialement conçue ou non.

Authentification

L’authentification avec l’eID permet de se connecter aux sites web protégés d’une façon sécurisée. Le principe est expliqué dans le schéma1 ci-dessous.

1 En réalité, le processus est fortement automatisé, de sorte que l’utilisateur n’a guère conscience de ces différentes étapes, tant et si bien que les étapes 5 à 8 sont parfaitement transparentes pour lui. L’utilisateur ne sera en général confronté qu’à des messages signalant si la signature est valable ou non.

Exacte, facile, rapide Haute protection

Juridiquement contraignante

Signature

Identification

Authentication

Par exemple un contrat

Par exemple accès sécurisé aux sites Web

(avec code pin)

(avec code pin)(sans code pin)

Exacte, facile, rapide Haute protection

Juridiquement contraignanteSignatur

e

Identification

Authentification

Par exemple

Par exemple à la réception d’une organisation (avec code pin)

(sans code pin)

15



Source : mémoire « eID : qu’est-ce que c’est, comment ça marche et quelles sont les possibilités offertes? » (Alexander Goossens)

Signature électronique

Avec la signature électronique, on peut signer en toute sécurité des contrats électroniques, des factures, des e-mails, etc.

Comment apposer une signature électronique ?

Le principe d’apposition d’une signature électronique est expliqué dans le schéma ci-dessous.

16


Comment déterminer si une signature électronique est valable ?

Le contrôle de la validité d’une signature électronique est expliqué dans le schéma ci-dessous.


17



1.3 Positionnement des différents SPF concernés

Ci-dessous nous listons les différents organismes publics qui sont directement concernés par l’eID. Nous trouvons ceci essentiel pour comprendre la chaîne de processus complète concernant la production, la diffusion et l’utilisation de l’eID et pour examiner si l’harmonisation se fait de façon optimale.

SPF Intérieur :

Législation autour de la reconnaissance de la carte d’identité électronique

Administrateur du Registre national (les données)

Éditeur de la carte ; la délivrance elle-même se fait par les communes

Helpdesk ([email protected]) pour les fonctionnaires publics (communes)

Helpdesk (02/518 21 16 /17) pour les cartes perdues/volées (citoyens)

Éditeur de la kids-ID

Éditeur de la carte pour étranger

SPF Économie :

Auteur de la reconnaissance (législation) de la signature électronique et tiers de confiance

Engagement du point de vue « faire des affaires », plutôt que représentant des entreprises

Reconnaissance des autorités de certification et de leur contrôle

Le service de la protection des consommateurs, entre autres, au sujet du commerce électronique

Fedict :

Soutien technique lors de la réalisation de la carte et de la signature électronique

Développement du middleware et des applications qui utilisent l’eID et la signature électronique

Soutien technique aux SPF pour le développement des applications qui utilisent l’eID et la signature électronique

Propriétaire du site web www.eid.belgium.be

Helpdesk ([email protected]) pour les questions techniques

Chancellerie du Premier Ministre : ASA - Agence pour la Simplification Administrative :

Stimuler la demande unique de données

Coordonner l’eGov, stimuler la coopération entre les SPF pour aligner les processus de backoffice




18

SPF Sécurité sociale :

Intégration de la carte SIS et de l’eID

Gérer la base de données des mandats pour les médecins et le personnel médical

Est pour beaucoup d’organisations l’intermédiaire pour l’obtention d’informations du Registre national

SPF Justice :

Réglementation de l’utilisation et de l’abus de l’eID et la signature électronique

Le projet Phénix utilisera l’eID pour identifier les personnes et leurs mandats de manière à ce qu’elles obtiennent l’accès à l’information et aux applications accordées

A côté des SPF, l’Union européenne joue aussi un rôle important dans la création d’un cadre législatif.

Union européenne :

Réglementation :

o Dirigeant : la réglementation doit être respectée par les États membres. La législation des différents États membres doit être conforme à cette réglementation.

o Standardisant : un nombre de dispositions auxquelles les cartes et les données doivent satisfaire de manière à ce qu’une forme minimale de conformité et de compatibilité soit présente.

o Réglementaire : une économie de marché ouverte doit être possible.

Après ce relevé des principaux acteurs participant activement à l’eID, les contextes juridique, technique, économique et psychologique de l’eID seront décrits dans les chapitres suivants.

19



2 Contexte juridique de l’eID

La carte d’identité électronique permet de prouver l’identité de manière digitale. C’est une nouvelle évolution dans notre société. Comme il s’agit ici d’identité et de vie privée, il est nécessaire que l’on observe de plus près la législation.

L’eID s’inscrit au sein d’un cadre juridique large. Il existe des règlements et des directives qui ont été adoptées au niveau européen. Au niveau fédéral aussi, des lois anciennes ont été adaptées, de nouvelles lois votées, des arrêtés royaux et ministériels promulgués et des circulaires envoyées. À côté d’un simple inventaire de la législation, il est aussi nécessaire d’examiner de plus près quelques questions juridiques. Comment cela se passe-t-il au niveau de l’usage du numéro de registre national ? Est-il possible de représenter votre entreprise avec l’eID ? Que faire de l’archivage et de l’horodatage électronique des contrats qui ont été signés électroniquement ?

Nous donnerons un aperçu du contexte juridique dans les paragraphes suivants.

2.1 Cadre légal de la carte d’identité électronique

La loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques (Moniteur belge du 28 mars 2003) prévoit le principe de la création d’une carte d’identité électronique.

Suite au projet pilote impliquant onze communes, la décision a été prise de poursuivre la mise en œuvre générale de la carte électronique, cela après une évaluation positive du Conseil des Ministres et de la commission compétente de la Chambre des Représentants, par l’arrêté royal du 1er septembre 2004 (Moniteur belge du 15 septembre 2004).

Depuis le 25 mars 2003, quelques arrêtés exécutifs ont été pris :

Arrêté royal du 25 mars 2003 (M.B. 28 mars 2003) relatif aux cartes d’identité.

Arrêté royal du 25 mars 2003 (M.B. 28 mars 2003) portant des mesures transitoires relatives à la carte d’identité électronique

Arrêté ministériel du 26 mars 2003 (M.B. 28 mars 2003) déterminant le modèle du document de base en vue de la réalisation de la carte d’identité électronique

Arrêté royal du 30 novembre 2003 (M.B. 12 décembre 2003) modifiant l’arrêté royal du 25 mars 2003 portant des mesures transitoires relatives à la carte d’identité électronique

Arrêté royal du 5 juin 2004 (M.B. 21 juin 2004) déterminant le régime des droits de consultation et de rectification des données électroniques inscrites sur la carte d’identité et des informations reprises dans les registres de population ou au Registre national des personnes physiques

Arrêté royal du 1er septembre 2004 (M.B. 15 septembre 2004) portant des mesures transitoires relatives à la carte d’identité électronique

Arrêté royal du 13 février 2005 (M.B. 28 février 2005) déterminant la date d’entrée en vigueur et le régime du droit de prendre connaissance des autorités, organismes et personnes qui ont consulté ou mis à jour les informations reprises dans les registres de population ou au Registre national des personnes physiques

20

Arrêté royal du 7 décembre 2006 (M.B. 12 janvier 2007) fixant les spécifications et la procédure d’enregistrement des appareils de lecture pour la carte d’identité électronique et modifiant l’arrêté royal du 13 février 1998 relatif aux spécifications des appareils de lecture de la carte d’identité sociale

Arrêté royal du 18 janvier 2008 (M.B. 28 février 2008) modifiant l’arrêté royal du 25 mars 2003 portant des mesures transitoires relatives à la carte d’identité électronique

Art. 95 de la loi programme du 15 juillet 2004

2.2 La vie privée

2.2.1 Cadre légal

En ce qui concerne la vie privée, les lois suivantes sont à prendre en considération :

Loi du 8 août 1983 organisant un registre national des personnes physiques

Loi du 19 juillet 1991 relative aux [registres de la population, aux cartes d’identité, aux cartes d’étranger et aux documents de séjour] et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques

Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel

2.2.2 Traitement des données d’identification (excepté le numéro de registre national)

La loi sur la protection de la vie privée entend par ‘traitement’ : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel (Art. 1§2).

Les données personnelles ne peuvent être traitées que dans un des cas suivants :

Lorsque la personne concernée a indubitablement donné son consentement

Lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

Lorsqu’il est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance

Lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

Lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

Lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi (Art. 5)

21



2.2.3 Accès direct aux informations du Registre national

On ne peut recevoir d’information ou d’accès direct que lorsqu’il y a une autorisation du comité sectoriel. L’accès ou la communication est également possible pour certains groupes (Art. 5 Loi sur le Registre national). Ces groupes ont été énumérés dans le paragraphe intitulé ‘utilisation du numéro de registre national’.

2.2.4 Utilisation du numéro de registre national

Cadre légal

Le numéro de registre national ne peut pas être utilisé par tout le monde. Son utilisation est strictement réglementée. Ainsi il ne peut être utilisé que lorsque le comité sectoriel en a donné l’autorisation à certaines personnes restrictivement énumérées par la loi sur le Registre national, (Art. 8 Loi sur le Registre national).

Les groupes qui peuvent utiliser le numéro de Registre national moyennant une autorisation par un comité sectoriel sont (Art. 5 Loi sur le Registre national) :

Les autorités publiques belges

Les organismes publics ou privés de droit belge pour les informations nécessaires à l’accomplissement de tâches d’intérêt général

Les personnes physiques ou morales qui agissent en qualité de sous-traitants des autorités publiques belges

Les notaires et les huissiers de Justice

L’Ordre des pharmaciens

L’Ordre des barreaux flamands et l’Ordre des barreaux francophones et germanophones

Tout le problème du numéro de registre national est qu’il ne peut pas être utilisé sans autorisation du comité sectoriel, mais qu’il se lit de manière standard sur la carte d’identité électronique. Avec l’eID actuelle, il est impossible de lire les données de manière sélective. Dès que l’eID est introduite dans le lecteur de carte, toutes les données sont lues. En outre, les certificats d’authentification et de signature électronique contiennent aussi à côté du nom le numéro de registre national. Lors de la signature électronique d’un e-mail, le numéro de registre national est aussi envoyé.

L’extrait suivant de l’article 8 de la Loi sur le Registre national mérite toute notre attention :

« L’autorisation d’utiliser le numéro d’identification du Registre national est octroyée par le comité sectoriel du Registre national visé à l’article 15, aux autorités, aux organismes et aux personnes visés à l’article 5, alinéa 1er ».

La discussion qui est menée ici, est : « qu’entend-on par le terme ‘utiliser’ ? » Ce terme est très large et susceptible d’être interprété de différentes manières :

Dans une interview avec une personne de l’administration fédérale, il nous a été assuré qu’on ne peut utiliser le numéro de registre national qu’à condition d’avoir une autorisation du titulaire du numéro.

22

Un autre interviewé nous disait que le numéro de registre national peut être utilisé, donc lu, stocké, sauvegardé, etc, dans une entreprise, tant que ces données restent en interne. Une base de données avec les numéros de registre national ne peut donc pas être transmise à des tiers.

D’autres affirment que la lecture du numéro est admise, ce qui n’est pas le cas pour son stockage ni sa sauvegarde.

D’autres affirment que le numéro de registre national peut être connecté à un numéro d’identification qui peut être utilisé en interne au sein de l’entreprise (via un hachage), mais uniquement de façon telle que le numéro de registre national ne puisse en aucune manière être retrouvé sur base du numéro d’identification interne.

D’autres affirment encore que la lecture simple du numéro de registre national est tout simplement interdite.

Utilisation du numéro de registre national par les entrepreneurs

Beaucoup d’entrepreneurs interrogés se sont posé toutes sortes de questions concernant l’utilisation :

Pouvons-nous faire un contrôle d’accès avec l’eID ?

Pouvons-nous utiliser le numéro de registre national de manière à chercher des personnes dans une base de données ?

La plupart des entrepreneurs sont assez convaincus que le numéro de registre national peut être utilisé comme clé unique dans une base de données d’entreprise, en d’autres termes ils ne se soucient pas trop ou ne sont pas trop conscients des conséquences juridiques de cette situation.

Un certain nombre d’entrepreneurs (par exemple Ethias) lie le numéro de registre national à un numéro d’identification interne de telle façon que cela ne fonctionne que dans un seul sens. C’est le cas chaque fois que vous vous connectez. Le système voit le numéro de registre national, le connecte au numéro d’identification interne et ensuite l’application utilisera ce numéro d’identification interne.

Dû à la confusion relative à l’utilisation du numéro de registre national, certains entrepreneurs établissent eux-mêmes des directives, comme par exemple le stockage du numéro de registre national des visiteurs pour la période de la visite, quelques jours de plus, une semaine, ou encore un mois.

Avis de la commission de la protection de la vie privée

La Commission de la protection de la vie privée a toujours interprété de manière restrictive le droit d’utiliser le numéro du Registre national. Le motif invoqué était d’éviter la banalisation de l’utilisation du numéro de registre national. En effet, il faut éviter la jonction de banques de données personnelles qui permettrait des profilages dépassant les objectifs de chacune de ces bases de données. Les entreprises pourraient alors lier les bases de données réciproques et apprendre beaucoup d’informations concernant les citoyens.

La commission a maintenu sa jurisprudence concernant l’utilisation du numéro de registre national en s’opposant à l’utilisation par d’autres personnes que celles visées à l’article 5 de la Loi sur le Registre national, même dans le cadre d’une mission d’intérêt général.

23



Problématique d’échange de données à l’aide du numéro de registre national

Des interviews avec des entrepreneurs et des citoyens, il ressort que beaucoup de gens pensent que via l’eID, des données peuvent être retrouvées concernant leurs dossiers personnels auprès de l’administration (par exemple leur profil social, le casier judiciaire,…). Ils ne sont pas trop conscients du fait que :

ces données ne se trouvent pas sur l’eID

ces données ne sont pas plus facilement consultables avec l’eID qu’avec l’ancienne carte d’identité, parce que ces données ne peuvent être consultées que par des personnes autorisées, par exemple le personnel de la fonction publique, qui utilisent le numéro de registre national à cette fin, ce qui était également le cas avec l’ancienne carte d’identité

Le schéma ci-dessous peut préciser cela :

Gouvernement

Public

NRN

Numéro de Registre National

Registre national

NRN

Finances

NRN

Sécurité Sociale

NRN

Justice

Entreprise D

Entreprise A

NRN

Contrôle

Entreprise C

NRN

Stockage et liens pas autorisés!NRN

Nom

Adresse

Nationalité

Naissance

Photo

Clés

Entreprise B

NRN

Gouvernement

Public

NRN

Numéro de Registre National

Registre national

NRN

Finances

NRNNRN

Finances

NRN

Sécurité Sociale

NRNNRN

Sécurité Sociale

NRN

Justice

NRNNRN

Justice

Entreprise DEntreprise D

Entreprise A

NRN

Entreprise A

NRNNRN

Contrôle

Entreprise C

NRN

Entreprise C

NRNNRN

Stockage et liens pas autorisés!NRN

Nom

Adresse

Nationalité

Naissance

Photo

Clés

Entreprise B

NRN

Entreprise B

NRNNRN

Les bases de données de l’Administration

Les bases de données de l’administration qui contiennent des données uniques et qui sont souvent utilisées comme référence, sont dénommées « source authentique ». Le contenu de ces sources de données authentiques et la maintenance de ces données sont réglementés par des procédures strictes (par exemple, la déclaration de naissance pour l’enregistrement dans le Registre national, la publication dans le Moniteur pour la création d’une société en vue de son incorporation dans la banque carrefour des entreprises). Pour la précision des informations, ces sources authentiques sont utilisées comme référence par les autres institutions publiques.

Des exemples de sources authentiques sont : le Registre national, la Banque Carrefour de la sécurité sociale et la Banque Carrefour des entreprises. L’accès aux sources authentiques est réglementé de manière sévère et tombe sous le contrôle d’un comité.

Une informatisation poussée et une tendance à la « Meilleure Gestion Administrative », obligent l’autorité à rechercher les données du citoyen et de l’entreprise dans ses propres fichiers, afin de ne pas déranger le citoyen et l’entreprise avec des questions concernant toujours les mêmes

24

informations. Des codes uniques simplifient et accélèrent les recherches d’informations. Le numéro de registre national (NRN) est utilisé comme code unique pour identifier chaque citoyen.

Bases de données d’entreprise

Les entreprises gardent des données qui sont nécessaires à la conduite de leurs affaires. Elles utilisent en général un numéro d’identification unique pour chaque client (ce qui n’est d’ailleurs pas toujours le cas, parfois un numéro d’identification unique est gardé par dossier, ce qui fait que plusieurs numéros d’identification s’appliquent au même client). La problématique de lier le numéro de registre national au numéro d’identification unique a déjà été décrite ci-dessus.

Les bases de données d’entreprise ne peuvent pas stocker le numéro de registre national et ne peuvent pas échanger leurs données liées au numéro de registre national.

Conclusions concernant l’utilisation du numéro de registre national

Nous constatons clairement qu’il existe une grande imprécision sur ce qui est permis et ce qui ne l’est pas concernant le numéro de registre national et qu’il existe des interprétations diverses qui se répandent, prennent une vie propre, indépendamment de leur véracité.

Il y a beaucoup de confusion au sein des entrepreneurs : d’une part, l’utilisation de la carte est promue et d’autre part, ils entendent que la carte serait peut-être inutilisable, à cause de la lecture du numéro de registre national.

Il y a une imprécision auprès de la population concernant le lien entre l’eID et l’information personnelle stockée dans les bases de données de l’administration.

2.3 Droits en tant que citoyen

En tant que citoyen, vous avez les droits suivants par rapport aux informations reprises au Registre national et sur votre carte d’identité :

Droit d’accès : droit d’accès aux données personnelles dans la base de données et sur votre carte.

Droit de correction : droit de corriger les informations si celles-ci sont inexactes ou incomplètes.

Droit d’information : vous avez le droit de contrôler quelles administrations et personnes ont eu accès à vos données personnelles durant les six derniers mois, à l’exception de certaines autorités.

Toutes les opérations ci-dessus peuvent être exécutées par le citoyen via l’application « Mon Dossier » du Registre national. Ces opérations sont gratuites (Art. 6 Loi du 25 mars 2003 et AR du 5 juin 2004).

2.4 Carte pour étrangers

Jusqu’à présent une carte pour étranger était délivrée à chaque étranger de plus de 12 ans, qui avait acquis un droit ou un permis de séjour en Belgique. Il s’agissait de cartes cartonnées délivrées en différentes couleurs et qui étaient créées de façon décentralisée au niveau communal.

25



Les cartes précédentes n’adhéraient plus depuis longtemps à l’image de l’administration publique moderne et dynamique : elles étaient démodées, mal protégées et ne permettaient pas à l’étranger de s’immerger complètement dans la société électronique.

Le remplacement de ces anciens documents par des cartes électroniques, qui ont un niveau élevé de conformité avec les cartes d’identité électroniques dont disposent déjà les Belges (eID), permet de satisfaire aux besoins actuels.

La délivrance des titres de séjour électroniques doit permettre à la Belgique de se conformer au règlement (CE) n° 1030/2002 du Conseil du 13 juin 2002 établissant un modèle uniforme de titres de séjour pour les ressortissants de pays tiers. Ce règlement oblige les États membres à délivrer aux étrangers des titres de séjour qui correspondent au modèle déterminé dans le règlement qui comprend certaines mentions et une partie lisible par machine.

Un projet visant la délivrance de cartes pour étrangers a été lancé dans trois communes pilotes : Anvers, Uccle et Tubize. Le mercredi 20 décembre 2006, le ministre Patrick Dewael a délivré pour la première fois des nouveaux titres de séjour pour des étrangers hors UE lors d’une conférence de presse qui s’est tenue à la maison communale d’Uccle.

Normalement les applications eID actuelles peuvent aussi fonctionner avec les cartes pour étrangers du fait que la technologie et la structure des données sont identiques.

Les principales lois et les principaux AR relatifs à la carte pour étranger sont :

La loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques

La loi du 15 décembre 1980 sur l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers

L’Arrêté royal du 8 octobre 1981 sur l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers

L’Arrêté royal du 5 juin 2004 déterminant le régime des droits de consultation et de rectification des données électroniques inscrites sur la carte d’identité et des informations reprises dans les registres de population ou au Registre national des personnes physiques (Moniteur belge du 21 juin 2004)

2.5 Kids-ID

L’arrêté royal du 18 octobre 2006 (M.B. du 31 octobre 2006) relatif au document d’identité électronique pour les enfants de moins de 12 ans modifie l’arrêté royal du 10 décembre 1996 relatif aux pièces d’identité pour les enfants de moins de douze ans. Il vise le remplacement de l’actuel certificat d’identité en carton par un document d’identité électronique, en ce qui concerne les enfants belges.

La délivrance du document d’identité électronique pour les enfants belges de moins de 12 ans se fait à la demande de la personne ou des personnes exerçant l’autorité parentale sur l’enfant concerné. La durée de validité du document est de maximum 3 ans. Ce document permet une identification rapide de l’enfant, tant à l’intérieur qu’à l’extérieur du Royaume.

La Kids-ID est donc un document d’identité et de voyage, mais offre aussi d’autres avantages :

26

L’identification électronique est possible dès six ans. Les données reprises sur la puce permettent d’utiliser la carte sur Internet, pour surfer et chatter de manière plus sûre, mais offre aussi d’autres possibilités d’utilisation électronique. Elle pourrait, par exemple, être utilisée à l’avenir comme carte de bibliothèque, carte de membre d’un club de sport,…

La mention sur tout document d’un numéro de téléphone central unique (+32 (0) 78 150 350), accessible 24h/24, 7j/7, à contacter si l’enfant a un problème ou est en danger. Les parents peuvent, s’ils le souhaitent fournir une liste de numéros de téléphone à joindre en cas d’urgence. Ces numéros de téléphones sont composés automatiquement en cascade en appelant le numéro de téléphone central. Le fait d’opter pour un numéro de téléphone central associé à un système en cascade présente plusieurs avantages :

o Plus aucune donnée personnelle d’un tiers n’est mentionnée sur le document.

o Plusieurs numéros de contact peuvent être communiqués, de telle manière qu’en l’absence de réaction au premier numéro, on puisse passer au numéro suivant jusqu’à ce qu’il y ait une réaction.

o Le système est flexible dans la mesure où un numéro de contact qui n’est plus pertinent peut être supprimé et/ou modifié.

La meilleure sécurisation du document. Différents éléments de sécurité de l’eID ont été implémentés sur le document afin de le rendre plus difficilement falsifiable.

Sur la Kids-ID à côté du numéro de registre national, se trouve un code barres qui peut être utilisé pour scanner. Le code barres est le numéro de la carte ID. Ce numéro change si une nouvelle carte est créée (par exemple en cas de perte). Il ne s’agit donc pas d’un numéro unique par personne, comme le numéro de registre national.

Une phase pilote de distribution du document d’identité électronique pour enfants de moins de douze ans est en cours dans six communes du Royaume à savoir : Koekelberg, Ottignies-Louvain-la-Neuve, Liège, Houthalen-Helchteren, Bornem et Ostende.

2.6 Solutions futures pour la protection de la vie privée

À cause des imprécisions autour de l’usage du numéro de registre national, nous avons recherché des solutions éventuelles pour ce problème :

Quant à la meilleure protection des données d’identité sur la carte (nom, adresse,…) :

o Une possibilité est de crypter les données lors de la lecture, de sorte que le numéro de registre national par exemple n’est en grande partie plus lisible ; les problèmes susmentionnés concernant l’utilisation du numéro de registre national seraient résolus. Ici, il faut remarquer qu’il est déjà possible de laisser lire uniquement certaines données, par l’installation d’une interface. Mais ceci n’empêche pas que les données soient toujours lues par le système lui-même dans leur intégralité, même si elles sont invisibles dans l’application. De cette façon, le stockage et l’utilisation du numéro de registre national sont toujours possibles.

o Une autre possibilité est l’utilisation des justificatifs d’identité (ceci est expliqué en détail au chapitre « Contexte technique de l’eID »). Il s’agit de certificats, émis par des tiers de confiance, qui ne peuvent pas être reliés à l’identité de la personne. Ainsi un certificat peut être émis ; dans ce dernier, il est mentionné que la personne a plus de 18 ans par exemple, sans donner son âge.

o Une autre possibilité est d’utiliser la « technologie zero knowledge » (ceci est aussi expliqué au chapitre « Contexte technique de l’eID »). Le principe est de prouver

27



qu’un certain fait est correct, sans dévoiler le fait même. Dans ce cas, la carte ne donne pas toutes les données en une fois ; le système lui pose une question. Par exemple : si on veut contrôler l’âge des visiteurs à l’entrée d’une discothèque, seul l’âge des visiteurs sera visible ; l’adresse ou le numéro de registre national ne seront pas visibles.

Quant au danger d’un cheval de Troie (dans le monde informatique, il s’agit d’un programme qui est installé à l’insu de son utilisateur et qui en installe un autre. Ce programme permet à des personnes malveillantes d’avoir accès au PC infecté et donc de causer préjudice aux données de l’ordinateur ou à la vie privée de son utilisateur). Un verrou doit être mis sur la carte elle-même, de façon à ce que les données ne puissent plus être lues. À l’heure actuelle, le middleware crée un verrou qui empêche une application tierce de lire les données de la carte, mais cette protection n’existe plus si vous arrêtez l’application qui fait appel au middleware. Si vous laissez la carte dans le lecteur, un cheval de Troie peut alors lire les données sur la carte. De plus, si ce verrou existe dans le middleware du gouvernement, ce n’est peut-être pas toujours le cas dans les middleware développés par les entreprises. Pour cette raison, il semble préférable que la protection soit installée sur la carte. On peut faire en sorte que l’application, pour laquelle l’eID est utilisée, demande si la carte peut bien être lue. Une autorisation sera demandée explicitement auprès du propriétaire, le programme illicitement introduit n’aura aucun effet néfaste tant que le propriétaire laisse sa carte dans le lecteur.

Quant aux certificats : le numéro de registre national est incorporé dans les certificats. Il y a donc un problème lors de l’apposition de la signature électronique. Fedict pense enlever le numéro du certificat mais comment alors vérifier si un certificat appartient à une personne? D’autres pays européens ont trouvé une solution pour une telle problématique, en Autriche, par exemple (voir le chapitre « Contexte international de l’eID »).

Quant à la législation : une autre manière de régler la question du numéro de Registre national est d’adopter une réglementation qui évite le problème. Par exemple, une loi pourrait stipuler que l’utilisation du numéro de Registre national n’est pas problématique s’il s’agit simplement d’une application qui lit le numéro, sans effectuer aucun autre traitement.

2.7 Signature électronique

2.7.1 Cadre et valeur juridique de la signature

Le cadre juridique de la signature électronique comprend les lois suivantes :

La loi du 20 octobre 2000 introduisant l’utilisation de moyens de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire.

La loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification.

La loi du 19 juillet 1991 relative aux registres de la population, aux cartes d’identité, aux cartes d’étranger et aux documents de séjour et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques.

La loi du 21 mars 2003 relative au commerce électronique.

La validité juridique de la signature électronique est déterminée au niveau européen par la directive européenne relative à la signature électronique du 13 décembre 1999. Selon cette directive, tous les états membres doivent veiller à ce que la signature électronique basée sur un certificat électronique qualifié jouisse de la même validité qu’une signature manuscrite. La Belgique a transposé cette directive dans la législation nationale par la loi du 9 juillet 2001.

28

Cette loi comporte une distinction entre différentes sortes de signatures électroniques :

La signature ‘simple’ : données sous forme électronique jointes ou liées logiquement à d’autres données électroniques et servant de méthode d’authentification. On peut parfaitement comparer cette signature avec un nom en bas d’un document ou d’un e-mail. Une signature numérisée appartient aussi à cette catégorie.

La signature ‘avancée’ :

o Est liée uniquement au signataire ;

o Permet l’identification du signataire ;

o Est créée par des moyens que le signataire peut garder sous son contrôle exclusif ;

o Est reliée aux données auxquelles elle se rapporte de telle façon que toute modification ultérieure des données puisse être détectée.

Il s’agit d’une signature, créée par un système comparable à l’eID, à la différence que ce système n’est pas géré ou contrôlé par une instance compétente. Un exemple est Isabel.

La signature qualifiée (définition par abus de langage2) : une signature avancée créée par un dispositif sécurisé, basée sur un certificat qualifié et délivré par un prestataire de service de certification répondant aux conditions de l’annexe II de la loi. Dans le cas d’eID, le prestataire de services est Certipost.

Nous pouvons résumer la valeur juridique de la signature électronique comme suit : chaque signature électronique simple et avancée est admissible comme moyen de preuve. Toutefois, le juge apprécie lui-même le caractère probant. Une signature électronique qualifiée est par contre automatiquement assimilée à une signature manuscrite. Le juge n’a aucune liberté d’appréciation à cet égard.

2.7.2 Archivage et horodatage électronique

Loi du 15 mai 2007

La possibilité d’apposer une signature électronique constitue un grand progrès dans le monde numérique. Mais ce progrès a aussi généré des problèmes : la confiance dans les relations humaines est souvent basée sur des rencontres physiques, des obligations écrites et signées par écrit, le cas échéant expédiées par recommandé et remises par le facteur à la personne en question. Il était donc nécessaire d’instaurer un climat de confiance dans le monde virtuel dans lequel les parties ne s’entendent ou ne se voient plus. Ce climat a été créé par les prestataires de services de confiance (tiers de confiance) pour des services comme la certification, l’horodatage électronique (horodatage), l’archivage, etc.

Depuis quelques années, il y avait déjà une demande pour un cadre juridique en vue de garantir la fiabilité de ces services de confiance. La loi de 2001 relative à la signature électronique était trop limitée quant au terrain applicatif, parce que le terrain applicatif ne comprend que l’intervention de la personne tiers de confiance dans le cadre de l’utilisation des signatures électroniques et des

2 La loi du 9/7/2001 ne définit pas la signature qualifiée en tant que telle, mais par abus de langage et dans un souci de concision, cette appelation désigne une signature avancée créée par un dispositif sécurisé, basée sur un certificat qualifié et délivré par un prestataire de service de certification répondant aux conditions de l’annexe II de la loi.

29



certificats d’identité. Si la conclusion, la cession et la conservation d’un acte juridique sont visées dans un cadre électronique global, il faut alors aussi réfléchir dans un contexte plus large aux conditions auxquelles d’autres services de confiance doivent satisfaire (par exemple : l’impartialité, l’obligation de confidentialité,…).

La loi du 15 mai 2007 fixant un cadre juridique pour certains prestataires de services de confiance se rapporte particulièrement à quatre services : l’archivage, l’horodatage électronique (horodatage), les envois recommandés et le blocage transitoire de sommes versées. Pour ces services, un certain nombre d’exigences qualitatives minimales est déterminé qui sont communes pour les quatre services de confiance et un système de contrôle et de sanctions pénales y est rattaché. Avec cette loi, en Belgique, le premier fondement d’un cadre juridique a été posé provisoirement pour les prestataires de services de confiance.

Dans l’exposé des motifs, nous retrouvons le point de départ du législateur : « Le marché des services de confiance est actuellement en avance, mais ceci est accompagné de difficultés et d’un niveau de qualité fluctuant. L’absence d’un cadre juridique donne lieu à des obstacles. En premier lieu, il y a le fait que certains prestataires de service peu consciencieux offrent des services qui sont techniquement et aussi juridiquement insuffisamment fiables. Ensuite, il y a le manque de normes minimales ; les clients des services peuvent donc difficilement vérifier en quel prestataire de service ils peuvent avoir confiance, et donc aussi quel service peut couvrir leurs besoins au maximum. Finalement il y a le risque que les juges risquent d’être confrontés à des problèmes juridiques préoccupants en ce qui concerne de tels services, pour lesquels le droit commun apparaît insuffisant. ».

Archivage électronique

La possibilité d’un archivage électronique des documents constitue un grand progrès :

Beaucoup moins d’archives physiques sont nécessaires : il peut donc être meilleur marché sur le long terme.

La signature électronique des documents qui sont archivés implique que le contenu de ces documents ne peut pas être changé.

Les backups se font beaucoup plus rapidement et plus facilement.

On peut facilement vérifier quels documents ont été consultés et qui a copié ou imprimé certaines données (fraude).

On peut retrouver des documents de façon beaucoup plus rapide grâce à un index ou à la recherche sur des mots-clés.

On peut transmettre les documents de façon beaucoup plus rapide depuis les archives électroniques.

Il y a toutefois aussi quelques problèmes/challenges :

Techniquement : la garantie à long terme de stabilité et de lisibilité numérique des données.

Juridiquement : la confusion sur ce qui peut/doit être archivé électroniquement. On discutera de ce sujet ci-après.

La question de savoir si l’archivage électronique est autorisé se pose auprès de nombreuses administrations, d’entreprises et de particuliers. La question de savoir si l’on peut archiver ou non dépend de deux éléments :

Est-ce que la version numérique du document est un document légal ?

30

Si la loi détermine expressément la validité d’un document sous forme numérique, alors il n’y a aucun problème. En général, la loi se tait toutefois à ce sujet et le contexte doit renseigner si un certain document peut être établi de façon valable sous forme numérique. La théorie de l’équivalence fonctionnelle donne le cadre pour effectuer une analyse semblable. On examinera plus tard si l’objectif de la condition est atteint. Quand une condition ne peut pas être implémentée de façon numérique ou que le but n’est pas atteint, la version numérique d’un document n’a alors pas de valeur légale (ou en tout cas pas la même que le document analogique).

Le document peut-il être sauvegardé uniquement sous forme numérique ?

Dans des cas très exceptionnels, la loi impose expressément sous quelle forme les documents doivent être sauvegardés. En général, la loi se tait à ce sujet. Comme point de départ, les documents sont sauvegardés sous leur forme originale. Le législateur a instauré lui-même plusieurs exceptions à ce principe ; par exemple, plusieurs services publics ont obtenu le droit de convertir leurs pièces papier en photocopies ou microphotocopies, copies magnétiques, électroniques ou optiques. Il s’agit entre autres de pièces qui ne peuvent être créées de manière valable que sous forme papier. Les dispositions d’exception mentionnent à chaque fois que la photocopie a la même valeur de preuve que la pièce originale. En général, les pièces originales sont détruites.

En dehors de ces exceptions, il apparaît que la législation n’est pas toujours cohérente. Il peut arriver que l’archivage sous forme originale ne suffise pas pour une raison quelconque. Ainsi la comptabilité peut être établie sous forme numérique, mais selon la loi comptable, le grand livre et le livre d’inventaire doivent être sauvegardés dans des registres papier. Le fisc accepte bien la version numérique, aussi longtemps que l’immuabilité des imputations est garantie.

Du texte ci-dessus, on peut de nouveau constater que le cadre légal est imprécis et compliqué. Cela conduira indubitablement à beaucoup de questions et de doutes chez des entrepreneurs ou particuliers qui veulent garder et archiver leurs documents de manière électronique.

Horodatage électronique (e-timestamping)

Les services pour l’horodatage électronique sont un élément important pour la protection des services de télécommunications modernes comme par exemple pour la conclusion de contrats électroniques, EDI (Electronic Data Interchange), la protection des IPR (Intellectual Property Rights), les services multimédia, etc.

L’horodatage électronique est une technique cryptographique qui permet de lier les informations du temps aux documents électroniques. Ainsi, on peut par exemple vérifier quand un document a été créé et contrôler qu’il n’a plus été modifié entre-temps. Pour connecter le temps correct à un document (signé) électronique, on ne peut pas simplement utiliser l’horloge du PC parce que celle-ci peut être adaptée manuellement, ce qui permet la fraude.

En général, une telle technique est basée sur le concept d’un tiers de confiance (trusted third party) qui exploite le service d’une façon impartiale. En plus, on utilise aussi des primitifs de protection comme les signatures électroniques et les fonctions de hachage cryptographique pour assurer qu’un horodatage ne peut pas être falsifié. La manière dont fonctionne l’horodatage est décrite dans la figure ci-dessus.

31



Source : Wikipedia

Certipost est un exemple d’un tiers de confiance qui offre un service d’horodatage électronique. Une date et un temps de référence sont joints aux données électroniques à l’aide d’une signature électronique du prestataire d’horodatage. Il y a trois caractéristiques :

Interface communication : l’horodatage électronique est offert via une simple interface web. L’utilisateur peut s’authentifier à l’aide de cette interface et commander des e-Timestamps. Tout ceci se déroule via https (c’est comme un simple site Web mais avec une couche en dessous qui code les données expédiées d’une façon sécurisée, de manière à ce que ces données entre votre ordinateur et le serveur web ne puissent pas être interceptées), ce qui garantit la confidentialité de la communication.

Serveurs pour l’horodatage électronique : les serveurs créent les timestamps et les signent de façon numérique. Après la réception d’une demande d’horodatage, le serveur d’horodatage délivrera une réponse qui contient l’horodatage marqué (timestamp token).

Source de temps universel : on fait appel à une horloge de temps très précise, fiable et incontestablement correcte. Les serveurs d’horodatage sont synchronisés régulièrement avec cette source de temps universel.

Les avantages possibles3 de l’horodatage sont :

Valeur probante : l’horodatage électronique fournit la preuve (juris tantum4) que les données existaient à un certain moment et que depuis ce moment-là le contenu n’a pas été modifié.

3 Certains de ces avantages ne seront acquis que si certaines conditions légales sont respectées.

4 juris tantum: c’est-à-dire est admissible comme preuve par défaut mais dont la valeur est contestable/renversable à condition de démontrer le peu de crédit à accorder à cette preuve. On parle aussi dans ce cas de preuve réfragable par opposition à la preuve irréfragable qui qualifie une situation non démonstrative, mais présentant l’aspect d’une présomption absolue c’est-à-dire qu’elle ne peut être

32

Gestion des risques : les entreprises peuvent s’assurer contre les risques de confiance et d’intégrité. À l’aide de l’horodatage électronique, on peut prouver l’intégrité des enregistrements électroniques.

Signature électronique : la technologie de l’horodatage est connectée à une signature électronique. Pour cette raison, la dimension complémentaire d’irréfutabilité est ajoutée.

Certains de ces avantages ne seront acquis que si certaines conditions légales sont respectées.

La loi du 15 mai 2007 donne comme ci-dessus le cadre légal des conditions auxquelles doit satisfaire un prestataire de services d’horodatage électronique.

Ce qui n’est pas réglementé toutefois :

Une définition de critères précis auxquels un processus d’horodatage doit répondre pour pouvoir être légalement reconnu, notamment au niveau des serveurs de temps

Quelles sont les entreprises qui sont certifiées pour offrir de tels services ?

Comment l’eID doit-elle être utilisée ?

Ceci peut conduire à une certaine réticence chez les gens à l’égard de l’usage d’un tel ‘horodatage’. S’il n’y a aucun standard - et qu’on n’est donc pas certain de la valeur juridique du procédé - les gens ne considéreront pas ceci comme une sécurité supplémentaire lors de l’apposition d’une signature électronique ou lors de l’archivage de leurs documents.

Le problème de standardisation constitue aussi un problème lors de l’apposition de la signature électronique et des certificats y afférents. Au niveau européen, on est conscient de cette problématique. Pour plus d’informations, nous vous renvoyons à l’étude relative à la standardisation effectuée par SEALED (http://www.esstandardisation.eu/).

Actuellement, il n’est pas encore possible de signer un document avec l’eID et de l’horodater en même temps. Certipost travaille cependant à solutionner cette problématique.

Mandat

L’eID a un caractère intuitu personae, ce qui signifie qu’elle est toujours associée à une personne physique. Il n’existe pas d’eID au nom d’une société.

Conclure un contrat avec une entité se fait en signant le contrat avec la personne déléguée par la société. Ce dernier signe au nom et pour le compte de la personne morale. Dans ce cas, il est en soi moins important de savoir qui est cette personne qui signe, mais bien, en vue de la validité du contrat, de savoir en quelle qualité cette personne signe et si elle dispose des procurations nécessaires.

Quand les partenaires du contrat sont physiquement présents lors de la signature d’un contrat, on peut confirmer leur qualité (avec les compétences y liées) à l’aide des documents prévus lors de la signature écrite. Bien qu’assez compliqué, ce système a prouvé sa fiabilité.

Quand les parties veulent toutefois s’engager à distance, on se trouve dans une autre situation. À côté du nom de la personne qui peut être prouvé par l’utilisation de l’eID, nous n’avons pas d’informations sur la relation de cette personne X avec son entreprise. Des documents éventuels qui contrecarrée par une preuve contraire (la présomption irréfragable est parfois désignée par l’expression latine « juris et de jure »).

http://www.esstandardisation.eu/

33



démontrent que quelqu’un est administrateur délégué d’une société peuvent être envoyés. Eventuellement on peut penser à une photocopie électronique de l’acte de fondation avec la signature électronique qualifiée du notaire. La question qui se pose automatiquement est de savoir si le notaire peut être identifié en tant que notaire à l’aide de son eID. Nous pouvons nous poser encore plus de questions sur la personne qui signe : quelle est sa compétence ? Peut-elle engager légalement l’entité dans n’importe quelle situation ? Son mandat est-il assez large? Le mandat a-t-il été limité dans le temps ?

Tant qu’une solution globale n’a pas été trouvée pour cette problématique, l’eID ne sera pas utilisée comme dispositif pour la signature électronique dans le monde des entreprises. Dans ce contexte, on doit indiquer que d’autres solutions existent déjà pour l’apposition d’une signature électronique au nom de la société. Une entité peut être ici le détenteur d’un certificat. Le prestataire de service de certification tient un registre avec l’identité et la qualité de la personne physique qui représente l’entité et qui utilise la signature attachée au certificat, de telle façon que lors de chaque utilisation de cette signature, l’identité de la personne physique puisse être retrouvée (Art. 8§3 la loi 9 juillet 2001). Cette solution a toutefois des désavantages, à savoir une procédure compliquée, un coût pour l’utilisateur ; il faut aussi tenir compte des aspects techniques lors de l’utilisation.

Pour cette raison deux solutions possibles sont à envisager avec l’eID :

eID relié aux bases de données (tiers de confiance)

Le système visé par l’UNIZO comporte trois volets : le système doit permettre de vérifier les mandats quand on fait appel aux services électroniques. Ensuite, le système doit offrir un support lors de l’enregistrement des mandats. Enfin, le système doit être capable de fournir une aide lors de la gestion des mandats à travers le temps.

Vérification de mandats (voir ci-dessous pour une illustration graphique) : quand une personne X utilise l’eID pour, par exemple, la conclusion d’un contrat avec une personne Y qui agit au nom d’une société, la personne X doit pouvoir vérifier si la personne Y est mandatée à cette fin dans la base de données. La personne X pose la question à la base de données et la base de données répond. L’accès à cette base de données est accordé via une plate-forme, à l’aide d’un portail. La base de données des mandats peut être consultée librement par chaque citoyen. Dès que des personnes externes sont mandatées (p.ex. des comptables), par exemple à l’aide d’une procuration, il n’est pas évident que le grand public puisse consulter ces informations dans la base de données, mais bien la partie qui souhaite établir un acte juridique avec la personne concernée. Quant aux administrateurs et directeurs étrangers, l’eID ne peut pas jouer un rôle à l’heure actuelle.

34

Enregistrement des mandats : logiquement les mandats doivent être enregistrés préalablement dans cette base de données. Ceci peut se faire en principe par le fournisseur de mandat lui-même (sur base de l’acte qui lui accorde le mandat pour mandater lui-même), et ceci à l’aide de sa carte d’identité électronique. Actuellement, on travaille dans les systèmes existants (p.ex. la BCSS) avec un ou plusieurs ‘administrateurs locaux’, une personne physique au sein d’une société est mandatée en tant que personne de contact avec la base de données.

Gestions des mandats : il est évident que le système qui est utilisé comme `source authentique’, doit être cohérent (pas éparpillé) et par conséquent être géré et exploité au sein de l’administration fédérale afin de garantir la continuité et l’évolution des services de base. Finalement, le système doit veiller à ce que l’opération effectuée obtienne un horodatage à l’aide d’une date fixe. Le document électronique qui se présente, est oblitéré en quelque sorte au même moment que l’apposition de la signature. Ceci est nécessaire parce que de cette façon une référence est apposée, ce qui permet de vérifier la validité du mandat.

Créer des certificats de mandat

Une autre solution possible peut consister en la création de mandats avec l’eID. Avec l’eID, une procédure est initialisée qui crée un certificat de mandat (la nouvelle signature électronique). Ce nouveau certificat a les mêmes fonctionnalités que le certificat original sur l’eID. La nouveauté de ce certificat dérivé est qu’il contient les informations sur le mandat donné. Dans ce système, la sécurité incorporée reste toutefois l’eID. L’activation du certificat dérivé se fait à l’aide de l’eID originale. Le nouveau certificat n’est pas viable sans l’eID qui l’a créé.

Ce système ne fonctionne pas avec une base de données gérée centralement. Ceci est à déplorer car la création de certificats complémentaires se traduit bien entendu par un coût élevé pour l’entrepreneur. L’avantage est que cette méthode de travail peut être appliquée directement car il ne faut pas attendre l’administration pour une quelconque mise en œuvre (source : Unizo).

Personne X Personne Y (au nom d’une société)

contrat

La base de données des mandats

trusted third party

Vérification mandat /

Confirmation mandat

35



2.8 Vol d’identité

Selon l’Identity Theft Resource Center, il y a quatre catégories de vol d’identité :

Le vol d’identité financière : utiliser l’identité de quelqu’un d’autre pour se procurer des biens et des services.

Le vol d’identité criminelle : se présenter comme quelqu’un d’autre lorsqu’on est pris sur le fait lors de la perpétration d’un délit.

Clonage de l’identité : dans la vie quotidienne, se présenter comme quelqu’un d’autre en utilisant les informations relatives à cette personne.

Le vol d’identité commerciale : utiliser le nom de la société de quelqu’un d’autre pour obtenir un crédit.

En 2004, une augmentation du vol d’identité avec des sosies a été constatée par la police fédérale. Le fraudeur dispose des véritables papiers d’identité d’une personne à laquelle il ressemble, avec ou sans déguisement. Il est difficile de combattre cette fraude car aucun faux papier n’est utilisé.

En Belgique toutefois, il y a une meilleure protection contre le vol d’identité que, par exemple, au Royaume-Uni ou aux États-Unis. Dans ces pays-là, vous pouvez déjà prouver votre identité avec une facture de téléphone. Chez nous, l’identité est prouvée avec la carte d’identité et, en cas de vol, le helpdesk du Registre national peut être averti par la police pour désactiver la carte. Lors de la demande d’une nouvelle carte, des questions de contrôle peuvent être posées pour contrôler la personne qui demande la carte. Mais apparemment, ceci ne suffit pas pour offrir une protection efficace contre le vol d’identité. Car l’augmentation du vol d’identité ressort des statistiques de l’Office central pour la répression des faux : en 2002, seulement dix cas ont été constatés ; en 2003, il y en avait 75 et, dans la première moitié de 2004, il y en avait 92.

Les banques connaissent aussi des problèmes de vol d’identité. Elles devraient donc être en mesure de faire un contrôle approfondi des documents d’identité qui leur sont soumis. Lire la puce et par exemple demander l’adresse seraient un bon début.

De meilleurs contrôles et des papiers d’identité avec des données biométriques autres que la photo sont nécessaires. D’une interview avec Fedict, il ressort que l’apposition des données biométriques sur la pièce d’identité sera peut-être rendue obligatoire par l’UE dans un proche avenir. La question est de savoir quelles données viendront sur la carte : empreintes digitales, scan de l’iris,…

36

2.9 Conclusions concernant le contexte juridique de l’eID

Il manque un cadre juridique précis et complet pour l’eID : il faut encore légiférer surtout dans le domaine des standards, des mandats, de l’archivage et de l’horodatage électronique.

Les règles sur la vie privée et l’utilisation du numéro de registre national sont équivoques. Il n’y pas de clarté au sujet ce qui est admis et non admis. Cette clarté doit venir de façon urgente, surtout s’il s’agit d’applications concrètes qui sont intéressantes pour les entrepreneurs. Si ce n’est le cas, ceci restera un obstacle quant à l’utilisation de la carte eID.

Le fait que d’une part le numéro de registre national se trouve sur la carte et soit lu par défaut, d’autre part, soit entremêlé dans les certificats, pose des problèmes. Quelques solutions sont présentées pour les futures cartes :

o Crypter des données

o La technologie zero-knowledge

o Justificatifs d’identité anonymes

o Modifier la législation

Il y a beaucoup de confusion sur les données qui se trouvent sur la carte. Beaucoup de gens pensent qu’avec la carte vous avez accès aux données sensibles comme le statut social, le casier judiciaire, etc. Ceci est aussi un grand inhibiteur à l’utilisation de la carte.

La Belgique a, grâce à la carte d’identité et au système du Registre national, un système assez bien sécurisé lorsqu’il est question de vol d’identité. Ceci ne se manifeste toutefois pas dans les informations. Pour cette raison, beaucoup de gens pensent que le vol d’identité est aussi réel qu’aux États-Unis ou au Royaume-Uni.

La signature électronique est très utile pour sceller le contenu d’un document et cela, de manière beaucoup plus sécurisée qu’une signature écrite.

37



3 Contexte technique de l’eID

Dans ce chapitre, les facettes suivantes sont traitées :

Démystification de l’eID : nous essayons de formuler une réponse aux questions :

o Qu’est-ce que c’est ? Les aspects techniques de l’eID

o Comment l’utiliser ? Les aspects techniques lors de l’utilisation de l’eID

Les problèmes techniques de l’eID

Les possibilités technologiques pour la prochaine génération de cartes

Conclusions sur le contexte technique de l’eID

3.1 Démystification de l’eID

Dans le cadre de cette étude, nous avons mené une enquête auprès des entrepreneurs et des utilisateurs. Un certain nombre de participants ont répondu négativement à la question de savoir s’ils possédaient une carte d’identité électronique. Lorsque nous avons montré notre carte, il ressortait qu’ils possédaient quand même l’eID mais ne réalisaient pas que leur nouvelle carte était une carte d’identité électronique. Pour la plupart des gens, les données électroniques sont invisibles et donc abstraites. Le problème des choses invisibles se situe dans le fait qu’on commence à s’imaginer toutes sortes de choses.

Une raison importante pour laquelle l’utilisation de l’eID est tellement difficile à lancer réside dans le fait qu’il s’agit d’un sujet très complexe. D’une part, il y a les aspects juridiques, et d’autre part le contexte technique compliqué avec non seulement les aspects technologiques, la puce avec une mémoire et une capacité de traitement, le middleware, le développement d’applications, la sécurisation des connexions Internet, etc, mais aussi les aspects de cryptographie très particuliers et difficiles (certificats, autorités de certification, authentification, signature électronique, etc).

D’où le titre de ce chapitre « Démystification de l’eID ». Un chapitre dans lequel nous donnons au lecteur (à la lectrice) la possibilité de se familiariser avec le contexte technique et dans lequel nous tentons de présenter ce sujet complexe d’une façon compréhensible.

3.1.1 Aspects techniques de l’eID

Avant l’ère de la carte d’identité électronique, il y avait la carte d’identité en papier. La carte d’identité en papier était délivrée par un fonctionnaire communal assermenté qui se portait garant de la concordance des informations sur la carte d’identité et de l’identité de la personne - les données sur la carte étant les coordonnées, l’adresse et la photo. La carte d’identité en papier était créée dans la commune du domicile principal du citoyen.

L’évolution de la mobilité, des relations d’affaires et de la technologie a créé le besoin :

De produire les cartes d’une manière plus efficace

De produire les cartes d’une manière plus sécurisée

38

D’un contrôle d’identité à distance

De traiter les données électroniquement, d’une manière correcte et simplifiée.

Le résultat est une carte, une smartcard, qui contient non seulement des données visuelles mais également des données électroniques, stockées sur une puce. Cette puce est un microprocesseur avec une mémoire limitée et une capacité de traitement limitée. Le processus entier de création de la carte se fait à partir d’un point central et est soumis à des règles et des contrôles très stricts. Ceci est très important car des erreurs d’identité et un mauvais usage de l’identité peuvent avoir des conséquences considérables.

Pour la création et la sécurisation des données électroniques et de la carte, deux concepts importants sont utilisés : la délivrance d’un certificat qui est relié à un certain nombre de clés. Le certificat et les clés constituent un ensemble irréfutable de l’identité de l’individu. Les clés sont utilisées de manière à coder les informations. L’objectif du codage n’est pas spécialement de rendre les informations illisibles, mais plutôt de bien établir le rapport irréfutable entre les informations et l’identité de la personne qui envoie les informations, aussi bien pour l’authentification (fourniture de la preuve de votre identité) que pour la signature électronique d’un document. Seuls ceux qui disposent de la clé correcte peuvent décoder les informations et ainsi établir le lien avec l’identité de l’individu.

Pour le reste, la lecture des certificats et des clés sur la carte est protégée par un code pin. Pour cette raison, vous devez être présent(e) physiquement et donner votre consentement pour lire les informations au sujet des certificats - évidemment à condition que vous ne dévoiliez pas votre code secret à des tiers.

Certificats

Un certificat est, dans ce contexte, un certificat électronique d’identité. Ceci peut être l’identité aussi bien d’un individu que d’une entité, par exemple, une organisation. Si nous parlons des certificats de l’eID, il s’agit de la première catégorie, c’est-à-dire celui lié à un individu.

Le certificat est un fichier d’ordinateur, stocké dans une liste officielle électronique, une base de données, qui est accessible au public. Si nous parlons dans le cadre de cette étude d’un certificat, il s’agit donc toujours d’un certificat numérique ou électronique.

Il va de soi que la création d’un certificat doit se faire avec le plus grand soin. Le processus entier pour créer un certificat doit être décrit de manière précise et doit être suivi strictement lors de l’exécution. L’exécution est soumise à des contrôles sévères. L’organisation qui crée le certificat est l’autorité de certification (CA). Ceci est décrit en détail dans le paragraphe « Remise des certificats : rôles et responsabilités ».

Le certificat comprend, entre autres, les informations suivantes :

Le numéro d’identification du certificat

Le numéro de registre national de l’individu

Le nom de l’individu

La date de la création et la durée de validité du certificat

La clé publique pour le décodage des informations concernant l’individu (voir l’explication PKI dans le paragraphe suivant)

La clé publique et l’identité de l’autorité de certification

Deux certificats sont créés par individu :

39



Certificat pour l’authentification : de manière à démontrer votre identité, donc un lien irréfutable avec votre identité.

Certificat pour la signature électronique : celui-ci établit, d’une façon électronique, un rapport irréfutable entre le contenu d’un document électronique et votre identité.

En dehors des données personnelles et la photo numérisée de l’individu, la puce de l’eID comprend ces deux certificats plus les clés correspondantes. Lors de la remise de la carte, le certificat pour l’authentification est activé d’office et l’individu a la possibilité d’activer ou non le certificat de signature.

Le certificat d’authentification est disponible sur l’eID ordinaire, donc à partir de 12 ans, et également sur la Kids-ID pour les enfants dès l’âge de 6 ans. Le certificat de signature est disponible dès l’âge de 18 ans.

Lorsqu’un certificat n’est plus valable, par exemple quand l’eID est détruite, perdue ou volée, le certificat arrive sur la « Certificate Revocation List » (liste CRL). Si quelqu’un essaie quand même de s’authentifier ou de mettre une signature électronique, par exemple avec une carte volée, l’opération peut être bloquée ou annulée.

A cet égard, nous remarquons qu’une connexion de réseau est essentielle pour consulter la version actuelle de la liste CRL « en temps réel ». Cela se fait à l’aide de l’OCSP, le Online Certificate Status Protocol. Une autre manière (moins sécurisée) consiste à garder localement une copie de cette liste CRL et de l’actualiser régulièrement. A l’heure actuelle, la liste CRL a une taille d’environ 36 mégaoctets. Pour cette raison, l’autorité de certification prévoit une liste qui comprend uniquement les modifications. Cette liste incrémentielle est créée toutes les trois heures.

Clés publiques et privées

Pour la gestion des certificats numériques, les autorités belges ont choisi le système PKI (infrastructure à clé publique).

Une PKI est un système avec chaque fois deux clés intimement liées. Chaque paire est unique et comprend d’un côté une clé publique - lisible par tout le monde - et de l’autre côté une clé privée qui est absolument secrète. Le propriétaire du certificat est le seul qui possède la clé privée. La clé privée ne peut être utilisée que sur la carte. Il est impossible de l’enlever ou de la copier à un autre endroit.

Le destinataire du message utilisera la clé publique pour identifier l’expéditeur du message. De cette façon, le destinataire peut vérifier si la combinaison de la clé publique et l’identité de la personne est en rapport avec le certificat. Ceci garantit que la communication provient d’une certaine source et qu’elle n’a pas été modifiée par rapport au moment de la transmission par cette source.

L’eID contient donc pour chaque certificat une clé publique et privée, aussi bien pour le certificat d’authentification que pour le certificat de signature.

La clé privée pour l’authentification est utilisée de manière à vous identifier. Avec la clé publique, cette authentification peut ainsi être contrôlée par des tiers.

La clé privée pour la signature électronique est liée au contenu d’un document lors de la création d’une signature électronique. Avec la clé publique, le destinataire du document peut contrôler si la signature électronique, donc l’identité du signataire, est exacte et si le contenu correspond à celui qui a été signé.

L’infrastructure intégrale de la PKI (l’autorité de certification, la base de données des certificats, la liste CRL, les cartes eID, etc) a été mise au point et entretenue sur l’ordre des autorités. Elle est disponible pour toutes sortes d’applications, également hors de l’e-gouvernement.

40

Les autorités belges ont désigné Certipost pour la création et la gestion des certificats qualifiés sur l’eID.

Technologie smartcard

L’eID belge est une carte basée sur la technologie Java smartcard. Une smartcard contient une puce microprocesseur. Cette technologie est utilisée, entre autres, pour :

La téléphonie mobile : Les opérateurs de gsm utilisent les Java smartcards pour stocker des données dans un portable, les cartes SIM.

Services financiers : les sociétés de cartes de crédit et les banques utilisent la technologie dans les cartes bancaires.

Pièces d’identité électroniques : le contrôle de l’identité par des entreprises ou des services publics. Ainsi, des données générales et/ou des données biométriques (comme le scan de l’iris ou les empreintes digitales) peuvent être stockées sur la carte.

Environ un milliard de smartcards circulent dans le monde entier. Chaque carte est personnelle et protégée par un code pin (PIN = Private Identification Number).

Les smartcards sont extrêmement sécurisées du fait qu’elles ont des possibilités cryptographiques incorporées et pour cette raison elles stockent les clés privées d’une manière sécurisée.

Il est important que ces clés privées ne puissent pas être retrouvées. La clé privée est activée par le code pin. Étant donné qu’il y a deux certificats sur l’eID belge, il y a deux codes pin en théorie. Jusqu’à présent, les autorités belges ont choisi d’aligner ces deux codes pin, de manière à ne pas causer de problèmes de confusion auprès de la population.

Remise des certificats : rôles et responsabilités

La CA (Certification Authority ou autorité de certification) est l’éditeur des certificats numériques. La CA ne donne un certificat qu’après contrôle du demandeur d’un certificat sur un certain nombre de points. La provenance d’un certificat est assurée de façon irréfutable car la CA signe électroniquement les certificats qu’elle émet. Plus le contrôle précédant la distribution d’un certificat est sévère, plus sûr sera le certificat.

La CA joue un rôle de confiance et tout qui utilise les certificats doit pouvoir comprendre quelles normes sont utilisées par la CA. Pour cette raison, la CA établit une Certification Practice Statement dans laquelle tout le monde peut lire quelles sont les règles utilisées par la CA.

CPS (Certification Practice Statement) : le document qui contient une description des procédures utilisées lors de la distribution, la gestion, le retrait et la prolongation des certificats. Dans le CPS, un utilisateur de certificats peut retrouver avec quel soin la CA traite les certificats dans ses services. Un utilisateur peut se faire une opinion au sujet de la fiabilité de la CA en consultant la CPS. La CPS contient une description détaillée des procédures utilisées concernant la politique de gestion et le management des certificats, les modalités des audits périodiques qui doivent être effectués, l’infrastructure et la sécurisation physique, le contrôle du personnel, etc.

Contrôle des CA : la chaîne des certificats : Le principe d’une chaîne d’authentification ou de certification est basé sur le fait que chaque autorité supérieure contrôle les autorités qui dépendent d’elle. Ces contrôles se passent sur base de la CPS établie (Certification Practice Statement). Au plus haut niveau, l’authenticité est assurée par une Root Certification Authority. Pour l’eID belge, il s’agit de la Belgium Root CA.

41



o Root Certification Authority (Root CA) : c’est la Certification Authority du gouvernement qui remet le certificat de plus haut niveau (certificat racine) aux CA qui dépendent d’elle.

o Certification authority (CA) : produit les certificats numériques. L’environnement de production des certificats consiste en un environnement ICT (centre informatique) fortement sécurisé qui d’habitude est géré 24/7. Les processus de gestion ICT de la CA doivent garantir que les services sont constamment disponibles et extrêmement fiables. Ceci pose des contraintes fortes tant sur les moyens ICT utilisés que sur l’organisation de gestion de la CA.

o Registration Authority (RA) : La Registration Authority est responsable de l’exécution du processus d’enregistrement. Ce processus consiste en l’enregistrement de la demande, la vérification de l’identité du demandeur et la remise du certificat à cette personne. La confiance qu’on peut avoir dans un certificat est déterminée en grande partie par la qualité du processus d’enregistrement.

o Certification Service Provider (CSP) : Les tâches de la RA et de la CA peuvent être effectuées par plusieurs organisations. Il n’y a toutefois qu’une seule partie responsable ; il s’agit du Certification Service Provider (CSP). Le CSP est la partie qui remplit la partie exécutive d’une PKI sur base de la politique qui est développée par la Policy Authority.

o Policy Authority (PA) :Il faut un système de normes auquel toutes les parties opérantes au sein de la PKI se tiennent afin de garantir qu’il s’agit d’un seul niveau constant de fiabilité. Pour garantir l’application de ce système de normes, il faut continuer à contrôler cette application. Pour cette raison, un organisme a été mis au point qui est responsable de la garantie de qualité au sein de la PKI. Cet organisme s’appelle la Policy Authority (PA).

Le « Citizen Certificate » est le certificat sur l’eID belge qui comprend aussi bien le certificat d’authentification que le certificat de signature. Au plus haut niveau, le « Citizen Certificate » est relié à un « Belgian Root Certificate ».

Les acteurs qui sont impliqués dans le processus de certification de l’eID belge sont :

Root certification authority (Root CA) : Belgium Root CA

Certification authority (CA) : Certipost

Registration Authority (RA) : Les communes (agissent pour le Registre national)

Certification Service Provider (CSP) :

o Fedict : pour le « Belgian Root Certificate »

o Certipost : pour le « Citizen Certificate »

42

Policy Authority (PA) : Fedict

Au dessus de la Belgian Root CA, il y a encore le certificat GlobalSign. Ceci est nécessaire car ce certificat est présent dans la plupart des logiciels de navigation (Microsoft Explorer, Firefox, etc) et est reconnu par les logiciels de navigation en tant qu’autorité fiable.

Quelques autorités importantes de certification sont décrites en annexe, entre autres Certipost, GlobalSign, VeriSign et Getronics Pinkroccade.

3.1.2 Aspects techniques de l’utilisation de l’eID

Le chapitre « Contexte général de l’eID » décrit les différents usages de la carte d’identité électronique, notamment l’identification, l’authentification et la signature électronique.

Une infrastructure doit être mise sur pied avant que nous puissions utiliser l’eID.

Il est évident que les données électroniques de la carte ne peuvent pas être lues sans lecteur de carte eID et le pilote du lecteur de carte y afférent.

En plus, le software doit être installé de manière à créer le lien entre l’eID et les applications eID. Nous appellons ce software le middleware.

Les applications eID utiliseront les données pour l’accomplissement de certaines tâches (par exemple, imprimer un badge de présence, l’enregistrement des participants, accorder l’accès à certaines données, etc).

Finalement, une connexion au réseau sera nécessaire pour échanger les données avec les autres utilisateurs.

Il faut prêter attention à la compatibilité et aux standards quand on utilise plusieurs cartes ou quand on travaille dans un contexte international.

3.1.2.1 Lecteurs de carte eID

Le Service Public Fédéral Technologie de l’Information et de la Communication (Fedict) établit une sélection et homologue les lecteurs de carte que l’on peut utiliser dans le cadre de l’eID.

Fedict fait une distinction entre les lecteurs de carte suivants.

Lecteur de carte eID ordinaire sans clavier numérique : le code pin est tapé sur le clavier de l’ordinateur (aussi nommé « lecteur de carte transparent »). Ce lecteur de carte a l’avantage qu’il est facilement disponible et bon marché. Le désavantage de ce lecteur de carte, c’est que le code pin pourrait être intercepté par des programmes appelés « spyware » (ceci sera traité infra lors de l’examen des problèmes relatifs à la vie privée).

43



Lecteur de carte eID avec clavier numérique : avec ce lecteur de carte (aussi nommé « secure pinpad cardreader »), le code pin est tapé sur le clavier du lecteur de carte, donc pas sur le clavier de l’ordinateur. Ces lecteurs de cartes permettent aux utilisateurs dans un magasin ou à un guichet de taper, en toute discrétion, le code pin lors de l’authentification.

Lecteurs de carte intégrés dans le clavier de l’ordinateur : en général, il s’agit d’un lecteur de carte ordinaire qui se trouve logé dans le clavier. Il existe également des claviers avec un lecteur de carte relié au clavier. En général, ceci est indiqué par « secure PIN entry » dans la description du produit.

Lecteurs de carte qui peuvent être intégrés dans un ordinateur portable : ceux-ci peuvent être intégrés dans un emplacement PCMIA. Aujourd’hui, certains ordinateurs disposent déjà des lecteurs de carte intégrés. Pour les modèles plus anciens, la carte PCMIA est achetée et intégrée séparément.

Lecteurs de carte mobiles : sont utilisés, entre autres, par la police pour la lecture de données (principalement l’adresse). Il existe sur le marché des modèles qui peuvent lire uniquement les données, d’autres peuvent aussi les stocker et les échanger plus tard, lors d’une connexion avec un ordinateur, par exemple, pour contrôler la validité d’un certificat.

Digipass eID : Il existe sur le marché un Digipass eID qui génère des mots de passe dynamiques et uniques, mais avec ce Digipass, l’eID est uniquement utilisée de manière à débloquer l’appareil, la clé privée sur l’eID n’est en fait pas utilisée. En principe, cet appareil peut être utilisé en combinaison avec un système PKI pour l’eID, de manière à contrôler si les certificats sur l’eID sont encore valables par exemple, mais selon le producteur il n’y a pas encore de demande à l’heure actuelle. Plus d’informations au sujet des différents modèles de Digipass peuvent être retrouvées dans le chapitre « Contexte économique de l’eID », dans le paragraphe concernant le « Home banking ».

On trouve sur le site Internet de Fedict « www.cardreaders.be » un relevé des modèles de lecteurs de carte approuvés avec, par modèle, un relevé des spécifications et une liste des fournisseurs de ces lecteurs de carte. Une installation du middleware et du pilote d’un lecteur de carte sera nécessaire pour la plupart de ces lecteurs de carte.

3.1.2.2 Middleware : l’interface entre l’eID et l’application eID

Les fournisseurs des lecteurs de cartes offrent du middleware spécifique pour la communication avec leur hardware. La plupart des producteurs d’applications eID intègrent ce middleware dans leurs applications. Il existe aussi des applications pour lesquelles une installation préalable de middleware n’est pas nécessaire, ce qui est en soi convivial. Un exemple : digIDs, une plate-forme eID pour les applications web. Puisque le middleware est intégré dans l’application web, l’utilisateur

http://www.cardreaders.be

44

lui-même n’est pas obligé d’installer le middleware. Le software nécessaire est appelé automatiquement à partir de l’application. L’utilisateur doit seulement surfer vers le site web, introduire l’eID dans le lecteur de carte et l’enregistrement est effectué.

« Service Téléticket » est une application qui est basée sur la plate-forme digIDs (pour une réservation en ligne, entre autres, des billets de concerts et de matches de foot). Elle est également utilisée par « TMAB Business Events » pour l’inscription en ligne d’événements, par exemple le Congrès e-Government.

Fedict offre aussi du middleware. En tant qu’élément du processus d’homologation des lecteurs de carte, Fedict contrôle si les lecteurs de cartes sont conformes à ce middleware et vice-versa. Il faut remarquer que le middleware de Fedict ne supporte que l’eID et pas d’autres smartcards.

Des accords et des standards sont importants de manière à simplifier et stabiliser le ce processus d’intégration.

Standards pour les interfaces entre la smartcard et les applications

Pour que les applications puissent communiquer avec les smartcards, il existe deux standards :

Le standard PKCS#11, aussi connu sous le nom CrypTokI, soit Cryptographic Token Interface. Ce standard a été mis au point par la société RSA et a été mis dans le domaine public. Le middleware PKCS#11 est disponible pour beaucoup de smartcards sur plusieurs plates-formes comme Linux, Windows, BSD, UNIX etc.

Le standard CSP (Cryptographic Service Provider), aussi connu comme MS CAPI. Ce standard a été mis au point par Microsoft et est uniquement disponible sur les plate-formes Windows. Une application ne s’adressera jamais directement à ce CSP, mais toujours à l’aide d’une interface, notamment le Crypto API (Application Programming Interface).

La figure ci-dessus est un schéma de la construction des composants lors de la mise au point des applications qui veulent utiliser les données sur la smartcard.

Software des autorités pour l’eID

Les autorités (Fedict) mettent un software à disposition pour l’utilisation de l’eID et pour la mise au point des applications pour l’eID. Ce software a été basé sur les standards susmentionnés

45



(PKCS#11 et CSP) pour les fonctions cryptographiques de la smartcard (authentification et signature électronique). L’interface PKCS#15 est utilisée pour la lecture des données ordinaires.

Belgium Identity Card Run-time :

Ceci est une application pour lire, valider et imprimer le contenu de l’eID. Ce software comprend trois fonctionnalités qui peuvent être téléchargées en un paquet :

Card service : ce composant s’installera sur votre ordinateur et détectera chaque carte insérée dans le lecteur de carte à puce. S’il s’agit d’une eID, il présentera toutes les fonctions disponibles au middleware. Ce module comprend aussi les fonctionnalités qui empêchent un intrus d’utiliser votre eID à votre insu.

Data Middleware : ce composant communiquera avec le ‘Card service’ pour présenter de façon standardisée les données d’identité dans la carte aux applications qui veulent accéder à ces informations.

Crypto Middleware : ce composant communiquera avec le ‘Card service’ pour activer les fonctions cryptographiques pour l’authentification et la signature qui exigent la saisie d’un code secret.

Belgium Identity Card Developer’s Kit :

Ce Software Development Kit (SDK) pour l’eID est destiné aux développeurs qui veulent créer une interface avec les applications existantes et/ou qui veulent créer de nouvelles applications avec l’eID. Ce kit comprend, entre autres, les bibliothèques nécessaires (utilisant des API : Application Programming Interfaces) pour la compilation des programmes ainsi que des exemples de code source. Il est mis à disposition dans les versions Microsoft, Mac et Linux.

Approche générique de l’Identity & Access management – support de plusieurs plates-formes

Dans ce paragraphe, nous examinons en détail les solutions « Identity & Access Management » qui supportent plusieurs cartes : des eID provenant de plusieurs pays ou d’autres smartcards comme, par exemple, Bancontact, Isabel, Visa ou des tokens USB.

En général, de telles solutions sont achetées dans le cadre d’une approche globale des identités et de la gestion d’accès, par des grandes entreprises ou des organisations qui ressentent ce besoin et peuvent utiliser à cet effet un budget relativement plus élevé. Ces plates-formes ont l’avantage qu’elles peuvent être intégrées entièrement dans des solutions complètes pour l’organisation (en général les plates-formes sont mises au point sur mesure pour l’organisation) et elles sont ouvertes pour d’autres cartes en dehors de l’eID.

Notez que le middleware des autorités (Fedict) et par conséquent toutes les applications qui sont mises au point à base de ce middleware, ne supporte que l’eID belge. Ceci n’exclut pas que Fedict

APPLICATION

Lecteur

46

– sur l’ordre d’autres services publics fédéraux - mette au point des applications qui permettent aussi l’utilisation d’autres cartes, comme la carte Isabel.

Voici quelques exemples de composants dans les applications Identity & Access Management :

eID Safe Sign Identity Client (AET) : middleware cryptographique pour une authentification puissante avec des smartcards, tokens USB et/ou des cartes SIM dans les systèmes PKI. Cette technologie a été utilisée sur l’ordre des autorités flamandes lors des élections municipales pour la communication entre EDS-Telindus et les présidents des bureaux de vote. Via la carte eID du président, les listes électorales ont été transférées à l’aide d’une connexion sécurisée en ligne avec une signature électronique.

PK Suite (Intesi) : offre la possibilité d’intégrer une PKI dans les applications de software, notamment pour l’identification, l’authentification et la signature électronique via l’eID ou d’autres smartcards, y compris l’horodatage et la gestion des certificats.

Certains fournisseurs de software offrent des « service packs » qui peuvent être intégrés comme composants dans une application déterminée. Les utilisateurs peuvent intégrer l’eID, avec un minimum d’efforts. Un exemple : le « eID Service Platform » provenant de « the eID Company » qui offre du travail sur mesure à base de conditions spécifiques. Ils mettent au point, par exemple, des « packs » professionnels adaptés aux besoins des fleetmanagers ou des courtiers d’assurance, par exemple, ou des « packs » de fonction qui assurent le contrôle d’âge, le contrôle du code postal, etc.

Un exemple d’application qui utilise le concept « Single Sign-On » (SSO) est « OneSign » d’Imprivata. C’est une plate-forme d’authentification grâce à laquelle l’on peut se connecter au réseau à l’aide d’un seul mot de passe (ou l’eID) et où un accès peut être accordé à toutes les applications. Pour chaque application, à l’arrière-plan, des mots de passe uniques et puissants sont créés et des modifications éventuellement nécessaires de mot de passe, sont générées automatiquement pour les utilisateurs. Pour cette raison, les problèmes liés au fait de gérer différents pseudos et mots de passe sont résolus. En outre, OneSign prévoit l’enregistrement complet et le rapportage des actions exécutées par les utilisateurs.

Construire des applications pour l’eID

Le middleware offert par les autorités (Fedict) peut être utilisé pour construire des applications qui utilisent l’eID. Celui-ci a toutefois plusieurs restrictions :

Il est uniquement utilisable pour l’eID. Si un producteur veut mettre au point une application qui supporte plusieurs smartcards, il devra utiliser un autre middleware commercial, comme l’un de ceux décrits ci-dessus.

Il offre une bonne assistance pour les environnements PC, mais des adaptations supplémentaires seront nécessaires pour d’autres environnements. Comme il ressort de l’étude de cas d’iDTV, (voir le chapitre « Études de cas ») il n’existe par exemple pas encore un middleware adapté aux développeurs permettant une intégration simple de l’eID dans la télévision numérique interactive.

La Belgique est un pionnier dans le déploiement de l’eID à une échelle aussi grande et générale. Beaucoup d’applications sont spécifiques à l’environnement belge (pensons à toutes les applications e-gouvernement) ou sont « first of a kind ». Peu de standards ont été mis en place, l’environnement n’en est encore qu’aux balbutiements.

Le cadre adapID

Les autorités investissent dans la recherche pour favoriser une approche générique et la mise au point de composants de manière à ne pas réinventer la roue à tout moment. A cette fin, un cadre

47



(framework) est établi dans le projet adapID (advanced applications for electronic IDentity cards en Flandre). Ce cadre adapID permettra aux développeurs d’applications de construire des applications sensibles au niveau de la vie privée.

Le cadre est présenté dans le schéma suivant.

Source : Présentation deuxième commission utilisateur e-IDea (30-01-08) - Kristof Verslype

(version provisoire - work in progress)

Le cadre contient les composants suivants :

Credential Manager : pour la gestion des credentials des utilisateurs (des credentials sont des certificats anonymes qui permettent de dévoiler des données sélectionnées qui ne sont pas liées à l’identité, voir également ci-après dans cette étude). Ici un module d’un tiers de confiance (par exemple Certipost) peut être intégré.

Credential Handler : veille à ce que les credentials puissent être utilisés.

Privacy Manager : note les informations dévoilées ainsi que la partie à laquelle elles ont été dévoilées et donne un avertissement en temps utile, par exemple.

Deanonymizer : annuler l’anonymat lors d’un mauvais usage (ce composant sera hébergé probablement dans le Credential Handler).

Communication : pour garantir l’intégrité et la confidentialité du trafic réseau (par exemple, le support des connexions sécurisées en cachant l’adresse IP).

TAS : Trusted Archival Service : pour la protection de l’intégrité des documents électroniques. En utilisant un TAS, l’intégrité des documents peut être assurée au-delà de la durée de vie du certificat avec lequel le document a été signé (le certificat de signature sur l’eID n’a qu’une validité de 10 ans, par exemple).

Policy Manager : établit les règles standard pour montrer ou non tout ou partie des credentials. Si le policy manager ne peut pas prendre une décision lui-même, l’utilisateur devra décider quels attributs de certains credentials seront montrés.

48

Le but du projet adapID n’est pas de livrer un produit de software commercial mais un cadre dans lequel toutes sortes de fournisseurs peuvent participer. Ces fournisseurs proposent des implémentations pour un ou plusieurs composants. Ainsi, par exemple, différentes implémentations pour le Credential Handler peuvent faire en sorte que vous pouvez utiliser l’eID belge, l’eID autrichienne ou les certificats standards x.509, par exemple. Ces fournisseurs ne proposent pas nécessairement l’implémentation complète, mais peuvent aussi – par exemple s’occuper de sous-composants pour que le middleware existant pour l’eID belge puisse être intégré dans le cadre.

Afin d’augmenter la convivialité du cadre, une couche additionnelle sera encore construite au dessus de la couche fonctionnelle, de façon à rendre les couches sous-jacentes invisibles au maximum pour les développeurs d’applications.

Le projet adapID sera analysé dans son intégralité dans le chapitre « Recherche scientifique sur l’eID ».

3.1.2.3 Relevé d’applications eID

Un relevé et une description d’un certain nombre d’applications existantes et une classification sont repris dans le chapitre « Analyse d’applications eID ».

3.2 Problèmes techniques de l’eID

Sur base des entretiens avec les différents acteurs interrogés (producteurs, utilisateurs et utilisateurs potentiels d’applications eID) et des sources consultées, une énumération des éléments techniques observés et considérés comme des freins à l’utilisation de l’eID est reprise ci-après. Bien entendu, ce sont des arguments subjectifs qui ont été développés dans un contexte particulier. Une analyse approfondie de ces observations sera donc nécessaire pour arriver à l’essentiel.

Matière technique complexe :

Le sujet est particulièrement difficile pour la plupart des gens : l’installation d’un simple programme sur un ordinateur est pour beaucoup d’entre eux déjà très compliqué.

Il y a un fossé considérable entre les internautes et les analphabètes de l’Internet.

Il faut disposer de tous les outils, qui ne sont pas présents par défaut sur l’ordinateur : le lecteur de carte, le pilote du lecteur de carte, le middleware, les applications, les certificats, etc.

Il faut installer la version correcte du middleware et prendre soi-même l’initiative de manière à tenir le software à jour et à télécharger les nouvelles versions.

Il n’y a pas de « helpdesk » pour le citoyen (sauf pour les cartes perdues/volées).

Utilisation insuffisante des lecteurs de carte eID :

Il ressort des différentes études que seule une petite minorité des possesseurs d’une eID dispose également d’un lecteur de carte. Ceci a comme conséquence que seule une partie limitée des détenteurs utilise effectivement son eID.

En outre, il ressort des mêmes études que l’utilisateur ne souhaite pas investir dans un lecteur de carte si il/elle ne peut pas en profiter personnellement. La création d’une situation gagnant-gagnant est donc déterminante pour la réussite.

Pour cette raison, les autorités ont pris l’initiative de diffuser gratuitement les lecteurs de cartes parmi la population : un lecteur de carte gratuit a été fourni à toutes les personnes de douze

49



ans, lors de la distribution de la nouvelle eID. L’utilisateur doit toutefois installer le middleware lui-même. Pour une personne de douze ans comme pour une personne n’ayant pas de bonnes connaissances en informatique, ceci n’est pas une sinécure. Le mode d’emploi n’a pas été adapté au niveau de connaissance de la personne de douze ans et une Hot Line n’est pas disponible. Les autorités sont donc parties de l’hypothèse d’une certaine connaissance ICT alors que celle-ci n’est généralement pas présente auprès d’une personne de douze ans.

Défauts d’origine technique :

Les observations suivantes ont été communiquées :

« La puce se détache ». En effet, il ressort qu’une erreur de fabrication est intervenue lors du premier lot de 100 000 cartes. Une colle fautive a été utilisée pour la fixation de la puce sur la carte. 7 millions de cartes ont été distribuées à ce jour (04/2008), donc le nombre de défauts représente moins de 2%. Etant donné ce faible pourcentage, les autorités ont choisi de les remplacer gratuitement, lors du retour de la carte défectueuse.

« Usure des contacts ». La nécessité d’établir un contact à chaque fois avec l’eID lors de la lecture des informations implique que les points de contact sont sensibles à l’usure. Le contact peut être troublé par la présence d’un excès d’humidité ou bien par une mauvaise implantation du lecteur de carte. Un des problèmes consiste à trouver des lecteurs de carte adaptés et d’un prix abordable qui continuent à fonctionner dans différentes conditions atmosphériques. Par exemple, lors de l’utilisation de l’eID comme badge d’accès dans les parcs de recyclage (voir l’étude de cas « porte-monnaie électronique »).

La perception des défauts techniques est plus grande que le nombre réel de défauts. Ceci ressort aussi des enquêtes (voir ci-après). Les raisons sont les suivantes :

Une grande disponibilité est exigée pour certaines applications. Par exemple, pour le contrôle d’accès physique avec l’eID. Même dans le cas d’un faible pourcentage de défauts techniques ceci est ressenti comme un handicap et on est obligé de mettre au point un système parallèle, par exemple avec d’autres badges. Pour cette raison, un certain nombre d’entrepreneurs contactés n’a volontairement pas choisi l’eID, mais un système alternatif dans lequel ils gardent le contrôle sur les badges.

Une deuxième raison qui explique l’écart entre la perception et la réalité se trouve dans le fait que les gens se souviendront mieux d’un problème que de toutes les opérations réussies. Il est ressorti des interviews qu’un certain nombre de gens « avait entendu parler des cartes dont la puce s’était détachée ». Un seul incident peut donc être cité plusieurs fois dans les interviews.

Nous avons recherché les causes sous-jacentes à ces défauts techniques observés et nous pouvons conclure qu’il n’y a pas de problèmes fondamentaux avec la carte eID.

Problèmes de lenteur :

Il a été remarqué plusieurs fois que les systèmes ne sont pas assez rapides lors d’une grande affluence et sous la pression du temps.

Le lecteur de carte doit identifier une nouvelle carte – éventuellement initialiser

L’application doit lire les données et vérifier éventuellement les certificats

La solution se trouve dans :

un hardware plus rapide

un meilleur middleware

une infrastructure optimisée (bande passante, capacité des serveurs, etc)

50

Bien entendu, la « lenteur » est de nouveau une observation subjective qui est sujette à discussion.

Problèmes de compatibilité limitée pour certaines plates-formes :

Les développeurs des solutions software visent d’abord les plates-formes les plus utilisées (par exemple MS Windows) et seulement dans un second temps les environnements utilisés moins fréquemment (par exemple Mac).

Problèmes relatifs à la vie privée :

Il ressort des entretiens que la lecture électronique et le stockage des données ne sont pas considérés par la plupart des entrepreneurs comme des violations de la vie privée. Néanmoins, il apparaît que ces pratiques n’en posent pas moins de véritables questions relatives à la vie privée, notamment parce que la Commission de la protection de la vie privée utilise des normes sévères pour consentir à l’utilisation du numéro de registre national. Les observations ci-dessous ont été communiquées par différentes parties, entre autres les chercheurs des applications sensibles de nature délicate au niveau de la vie privée, comme l’adapID et l’eIDea.

La carte est toujours lue entièrement. Il n’y a, à l’heure actuelle, pas de possibilité de limiter l’accès aux données.

o Si un programme, par exemple un programme de chat sur Internet, vous demande d’introduire votre carte eID dans le lecteur de carte de manière à déterminer votre âge, le programme lira automatiquement les autres données (photo, adresse,…) stockées sur la carte sans que l’utilisateur le sache.

o Si la commune décide de mettre un lecteur de carte eID à l’entrée de la piscine communale car les adolescents et les habitants de la commune doivent payer moins, il n’y a rien qui puisse garantir à l’utilisateur que seulement l’adresse ou l’âge de cette carte soient lus.

Cela veut donc dire qu’avec l’eID actuel il est impossible de cacher les données personnelles présentes sur la carte. A cet égard, il faut remarquer que ce problème existait aussi avec la version en papier de la carte d’identité, où toutes les données - y compris le numéro de registre national – pouvaient aussi être lues.

Les certificats sur l’eID contiennent également, hors le nom, le numéro de registre national. Le numéro de registre national sera donc transmis lors de la signature électronique d’un e-mail.

En général, les certificats sont stockés sur l’ordinateur à partir duquel vous utilisez l’eID. Il vaut mieux les enlever après usage.

Dans le middleware des autorités, l’option pour contrôler la validité des certificats via l’OCSP et la CRL est désactivée par défaut. Il est donc recommandé de l’activer par défaut.

Problèmes de hardware et software non sécurisés :

Les observations ci-dessous concernant le danger « du vol d’identité » relatif aux applications sensibles au niveau de la vie privée pour l’eID, ont été faites au sein du groupe de travail d’eIDea :

Lors de la saisie du code pin sur le clavier de l’ordinateur (avec des lecteurs de carte qui ne disposent pas d’un écran et d’un clavier), le code pin peut être enregistré par un éventuel « spyware » dans l’ordinateur.

o Ainsi, un programme nocif peut vous faire signer un document sans que vous ne le remarquiez, par exemple, pendant que vous pensez que vous êtes seulement en train de vous connecter.

51



o Ainsi, lors de la signature d’un document, vous n’êtes pas certain(e) de signer le document que vous voyez sur l’écran, à l’arrière-plan, un programme nocif peut vous faire signer un autre document.

Il importe d’avoir confiance dans l’ordinateur sur lequel vous tapez le code pin et dans le middleware utilisé. Pour cette raison, il faut un « certified middleware ». En plus, il est préférable d’utiliser un lecteur de carte eID sécurisé (avec écran et clavier) ou (mieux encore) avec un Digipass (création de mots de passe dynamiques et uniques ou « authentification challenge-response »).

Les lecteurs de carte avec écran et clavier ne retiennent pas particulièrement l’attention des autorités. Les autorités peuvent pourtant jouer un rôle important dans le domaine.

Les serveurs web doivent se présenter à l’utilisateur comme un tiers de confiance. En tant qu’utilisateur vous recevez parfois à l’heure actuelle le message « Avez-vous confiance en ce certificat ? ». Ce n’est pas l’utilisateur qui doit décider. Les serveurs web doivent fournir de la fiabilité.

Différences au niveau européen :

Les procédures de certification et les demandes sont différentes par pays. Ainsi, il n’y a aucune uniformité dans la gestion des certificats et du système PKI (outsourcing, insourcing). En outre, chaque pays utilise d’autres systèmes d’identification. Ceci a pour résultat que la valeur du certificat peut être différente d’un pays à l’autre.

Il n’y a pas une Root-CA européenne :

Par conséquent, la signature électronique n’est pas utilisable dans les autres pays. Il y a quelques initiatives à ce sujet mais aucune solution n’a été trouvée jusqu’à présent.

3.3 Possibilités technologiques pour la prochaine génération de cartes

Dans la recherche de nouvelles technologies, il est évident que, d’une manière ou d’une autre, on préfère aller à la rencontre des problèmes et des insuffisances existants relatifs à l’eID, au middleware et aux applications.

RFID (Radio Frequency Identification)

La RFID (l’identification par ondes radio) est une technologie utilisée pour stocker et lire à distance, les « tags » RFID qui se trouvent sur ou dans les objets. Cette technologie peut offrir une réponse au problème de la puce de contact et aux problèmes relatifs à la rapidité.

Ces tags RFID peuvent être passifs ou actifs. Les tags passifs n’ont pas leur propre source d’énergie : ils utilisent le champ électromagnétique d’un lecteur pour induire un courant dans la puce. Pour cette raison, le signal ne se déplace pas sur une longue distance (de quelques centimètres à environ deux mètres). Les tags actifs ont eux-mêmes une batterie pour activer la puce et peuvent émettre un signal sur une plus longue distance (de quelques centaines de mètres jusqu’à même quelques kilomètres).

Une deuxième distinction : les possibilités de lecture et d’écriture. Il y a notamment des tags RFID avec uniquement des possibilités de lecture et des tags RFID avec les possibilités de lecture et d’écriture.

52

Les tags RFID se distinguent également par la fréquence radio utilisée. En général, on peut dire que plus la fréquence est élevée, plus longue sera la portée de lecture. Des fréquences plus élevées posent toutefois plus de problèmes avec le métal et l’humidité.

La quantité de données peut également différer, de quelques bits jusqu’à plus de 1 mégabyte. Toutes ces possibilités se traduisent bien entendu aussi dans le prix : un tag passif simple ne coûte pas plus de trente eurocents. Des tags RFID complexes qui sont par exemple connectés aux capteurs qui mesurent en outre la température ou l’humidité, sont beaucoup plus chers (parfois jusqu’à 100 euros la pièce).

Il est d’usage de stocker un numéro d’identification unique arbitraire (GUID : Globally Unique Identifier) dans la mémoire du tag.

Les avantages du RFID sont :

Un contact physique n’est pas nécessaire, comme par exemple avec les cartes bancaires, et de plus grandes distances sont possibles que dans le cas de code barres

Bonne résistance à l’humidité, aux influences météorologiques et à la saleté

Plusieurs centaines de codes peuvent être lus rapidement, en quelques secondes – donc rapide

Les désavantages de RFID sont :

Les possibilités d’écriture/lecture du tag RFID peuvent permettre que la fraude soit commise de façon non perceptible, donc on peut rencontrer des problèmes avec la protection de la vie privée.

Grâce à la grande portée en envoi/réception, il peut y avoir une « collision » : la lecture des tags RFID non concernés peut troubler le traitement des données.

Beaucoup de systèmes informatiques ne sont pas encore aménagés pour pouvoir traiter l’abondance de détails. Du middleware spécifique sera mis au point pour y remédier.

La technologie RFID coûte cher.

Puces mémoire compartimentées et « multi-application smartcards »

Grâce à l’évolution de la technologie et de la standardisation du système d’exploitation de la carte à puce, il est aujourd’hui possible d’installer plusieurs applications avec des données spécifiques sur une carte. Une belle illustration est le Bio-Java Card, développé par le « Institute for Infocomm Research » à Singapour qui est décrit schématiquement ci-dessous :

53



Credentials anonymes

Un credential anonyme est un autre nom pour un certificat anonyme et est une réponse au problème qui se pose du fait de la mention du numéro de registre national et du nom de la personne dans le certificat.

Les credentials anonymes sont distribués par des tiers de confiance et permettent de dévoiler les données qui ne peuvent pas être liées à l’identité.

Différence entre les certificats d’identité et les credentials anonymes (les certificats anonymes)

Chaque certificat d’identité est public et peut être suivi immédiatement et automatiquement pendant qu’il se déplace à travers les systèmes. Pour cette raison, l’identité du détenteur peut être recherchée. Ceci permet aux organisations et aux individus de constituer des dossiers personnels très précis, avec des informations détaillées sur, par exemple, la situation financière d’une personne, son historique médical, son style de vie, ses habitudes, ses préférences, son domicile, etc. Les dossiers peuvent être liés et actualisés sans intervention humaine. Les individus ne peuvent pas refuser ces actions. Ceci aboutit à toutes sortes de risques et pratiques discutables au niveau de la vie privée.

Si les certificats d’identité sont similaires aux passeports et autres documents d’identité en papier, les credentials anonymes sont similaires à un ticket d’autobus ou un ticket de cinéma, notamment des objets qui ne contiennent que des informations qui ne peuvent pas être liées à l’identité de leur détenteur. Pour cette raison, les credentials anonymes sont mieux protégés contre un vol d’identité qu’un certificat d’identité. En effet, ils offrent la possibilité de ne dévoiler que des données spécifiques.

A cette fin, des certificats anonymes sont créés auprès de sources fiables (tiers de confiance) comme par exemple une banque ou un assureur de soins. Ceux-ci donnent la preuve, par exemple dans le cas d’un assureur de soins, que le propriétaire a droit à une certaine allocation. La prochaine fois que l’utilisateur a besoin de prestataire de soins, il reçoit un nouveau certificat anonyme, de façon à ce que le prestataire de soins ne sache pas qu’il s’agit du même patient.

L’avantage principal des credentials anonymes est qu’ils permettent aux individus de déterminer eux-mêmes quand, comment, et dans quelle mesure les informations à leur sujet sont dévoilées aux autres et dans quelle mesure les autres peuvent tracer ou lier ces informations.

Exemple : la transmission anonyme des données de carte de crédit aux magasins web

L’utilisation des credentials anonymes est un exemple de la transmission anonyme des données de carte de crédit aux magasins web en utilisant des certificats anonymes qui sont émis par les banques ou les organisations de carte de crédit et qui peuvent être utilisés pour les opérations financières sur le web. Les magasins ne verront plus le numéro de carte de crédit, seul le certificat d’authenticité avec lequel la validité de l’opération peut être contrôlée.

Pour l’utilisation de ces applications, aussi bien le consommateur que le magasin doivent disposer du software spécifique. Quand le consommateur achète un CD ou un livre en ligne, ses cartes de crédit ou ses données bancaires sont cryptées et expédiées (numéro et échéance) au magasin. Le software contrôle les données auprès de la banque ou de la société de carte de crédit et utilise les algorithmes d’encryptage pour communiquer au magasin que les données sont correctes.

Puisque le paquet avec les données encryptées n’est utilisé qu’une seule fois lors de chaque transaction, il n’y a pas de possibilité d’abus. Du reste, la méthode n’est pas tout à fait anonyme. Les voleurs ne peuvent pas se cacher derrière les credentials. La police ou la police judiciaire peuvent encore lire les données en cas de soupçons de fraude.

Idemix (Identity Mixer) d’IBM est un exemple d’application de credentials anonymes. Ceci sera expliqué dans ce chapitre.

54

Technologie Zero-knowledge

Description de la méthode

Les solutions qui sont basées sur des credentials anonymes reposent sur le système d’un tiers de confiance. Une autre manière d’effectuer les opérations sans violer la vie privée est de faire appel à la « zero-knowledge technology ».Un algorithme mathématique sera utilisé dans cette technologie. Le concept de base est simple : les données personnelles sont protégées au mieux si elles ne sont pas débloquées du tout.

Un « Zero-knowledge proof » ou « protocole zero-knowledge » est une méthode interactive au sein de la cryptographie où une partie apporte la preuve à une autre qu’une déclaration – d’habitude mathématique – est vraie, sans donner les informations au sujet de la déclaration elle-même. La première partie est appelée « l’utilisateur » (en anglais « prover »), la deuxième partie est appelée le « contrôleu r» (en anglais « verifier »), L’utilisateur est celui qui donne la preuve (la déclaration), le contrôleur est celui qui contrôle la déclaration.

Une « Preuve zero-knowledge » a les caractéristiques suivantes :

Cohérence : si l’utilisateur et le contrôleur suivent tous les deux correctement le protocole, le contrôleur devra accepter la déclaration, il sera convaincu par l’utilisateur de la vérité.

Bien-fondé : si la déclaration est fausse, l’utilisateur (trompeur) ne peut pas convaincre le contrôleur, il ne pourra livrer une preuve valable, du moins qu’avec une faible probabilité.

Zero-knowledge : si la déclaration est vraie, le contrôleur, sans prendre contact avec l’utilisateur, ne peut obtenir rien d’autre que le fait que la déclaration est vraie, et donc pas des informations au sujet de la déclaration elle-même.

Les deux premières caractéristiques sont d’usage dans des systèmes de preuve interactifs généraux. La troisième est celle qui rend la preuve « zero-knowledge ».

Les preuves zero-knowledge sont surtout utiles pour les systèmes d’authentification où une partie veut apporter la preuve de son identité à une deuxième partie grâce aux informations secrètes (comme un mot de passe) mais qui ne veut pas communiquer ce secret à la deuxième partie. Ceci est appelé « une preuve de connaissance zero-knowledge ».

Les preuves zero-knowledge ne sont pas des preuves dans le sens mathématique car il existe toujours une petite chance qu’un utilisateur plus trompeur puisse convaincre le contrôleur d’une fausse déclaration. Toutefois, il existe des techniques pour réduire cette marge à une valeur négligeable.

Applications zero-knowledge

Une des applications zero-knowledge les plus utilisées au sein des protocoles cryptographiques est de forcer un comportement honnête comme condition pour protéger la vie privée.

Grosso modo, l’idée consiste à obliger un utilisateur de prouver, en utilisant une preuve zero-knowledge, que son comportement est correct selon le protocole. Pour des raisons de bien-fondé (voir ci-dessus) nous savons que l’utilisateur doit agir honnêtement pour pouvoir fournir une preuve de façon valable, car autrement il ne pourra pas convaincre le contrôleur. Puisqu’il s’agit de zero-knowledge, l’utilisateur ne dévoilera pas de secrets de sa vie privée lors de la fourniture de la preuve.

Le professeur Jean-Jacques Quisquater de l’UCL a effectué une recherche sur des preuves zero-knowledge et a expliqué ceci dans sa publication « How to Explain Zero-Knowledge Protocols to Your Children » d’une façon simple à l’aide d’une histoire.

55



Idemix

Idemix, qui est une abréviation pour « Identity Mixer », est un concept qui a été développé par le « Zurich Research Laboratory » d’IBM en collaboration avec Novell et Parity Communications. Idemix est basé sur le principe suivant : la meilleure manière de protéger de l’information est de ne pas la divulguer, c’est-à-dire limiter l’information au minimum nécessaire via un système « credential anonyme ».

La méthode d’Idemix est la suivante : l’utilisateur fait un login sur un site web, il sélectionne un pseudonyme et s’enregistre. Ensuite, l’utilisateur reçoit une série de certificats qui sont signés électroniquement. Ces certificats peuvent être utilisés lors d’une visite suivante. Pour garder l’anonymat, les certificats sont présentés uniquement sous forme codée, et le chiffrement change chaque fois qu’on ouvre le programme. Ceci empêche de contrôler le comportement d’une personne sur le site web.

Possibilités pour les prochaines générations de cartes eID

Tous les Belges recevront une carte eID d’ici fin 2009. Ensuite le remplacement de la première génération des cartes eID commencera. Quoique nous voyions des évolutions dans la technologie relative à la carte eID, il n’est pas certain que de nouvelles technologies seront ajoutées. Peut-être y aura-t-il besoin d’un peu d’espace pour une certaine acclimatation de la population et une « maturation » des applications relatives à l’eID.

À court terme, nous voyons quand même quelques évolutions qui seront quasi imperceptibles pour le citoyen :

L’intégration de mises à jour du software et des standards

Se conformer aux normes et obligations européennes/internationales

L’utilisation de l’espace libre sur la puce

Quelques pistes de réflexion à moyen terme :

L’intégration de la carte SIS (ceci a déjà été décidé formellement) - l’eID sera utilisée comme lien vers une base de données centrale ; les données de la carte SIS ne seront donc pas écrites sur l’eID.

L’intégration des données biométriques : la discussion ne se limite pas à la question de « quelle est la technologie à utiliser ? », mais porte aussi sur « quelles sont les données biométriques à stocker ».

A plus long terme on pense à :

Activer probablement deux codes pin différents ; un pour l’authentification et un pour la signature numérique, de manière à être compatible avec les softwares commerciaux.

Modifier les certificats de façon à ce que ceux-ci deviennent anonymes – peut-être une modification de la législation.

L’intégration du permis de conduire : l’eID sera utilisée comme lien vers une base de données centrale, les données du permis de conduire ne sont donc pas écrites sur l’eID. Lorsque la police décide de retirer le permis, une note est faite dans la base de données. La personne ne doit donc pas déposer sa carte d’identité.

Tous les problèmes ne pourront pas être résolus par une évolution continuée de la technologie ; pour le moins, une déontologie devra être établie, une sorte de code de conduite, aussi bien auprès des utilisateurs qu’auprès des fournisseurs d’applications eID.

56

3.4 Conclusions sur le contexte technique de l’eID

Les conclusions suivantes se rapportent principalement aux problèmes techniques relatifs à l’eID.

Les problèmes techniques dûs aux imperfections techniques du matériel (carte, lecteur de carte, middleware,…) sont minimaux. Il ne s’agit que d’un pourcentage très faible de défauts techniques.

La perception des défauts techniques est plus grande que le nombre effectif de défauts.

La complexité du sujet et l’absence de connaissances de base relatives à ces aspects contribuent au sentiment négatif des gens concernant l’eID, notamment :

o Peu de gens comprennent la technologie derrière l’eID.

o La matière virtuelle est insaisissable pour beaucoup d’entre eux.

o L’utilisateur final compte sur un « install and play », il n’a pas le temps ou il ne prend plus le temps de se renseigner au sujet des aspects techniques.

o On est insuffisamment au courant des possibilités de l’eID.

o On n’a pas assez la possibilité d’acquérir l’expérience avec l’eID dans un environnement bien encadré. En d’autres termes, les autorités ne sont pas conséquentes quant à l’utilisation de l’eID pour les applications e-gouvernement.

o Toutes sortes d’histoires négatives au sujet des problèmes de software, la qualité de la carte, le mauvais usage de l’identité sur Internet et la violation de la vie privée, troublent la confiance dans l’eID.

o Par l’absence de situations gagnant-gagnant précises, on se retourne contre l’eID, on n’en voit pas l’utilité, on la trouve trop difficile et on ne cherche pas à en savoir plus ou à en exploiter les possibilités.

o L’absence de compatibilité entre les différents systèmes rend la gestion de ces applications très difficile (mix de e-banking et e-gouvernement).

o Il n’y a pas de Hot Line où l’on peut s’adresser avec des questions et des problèmes.

Le grand avantage de l’utilisation de l’eID pour l’authentification sur un site web, c’est qu’elle offre une meilleure protection comparée à l’utilisation d’un nom d’utilisateur et un mot de passe. L’authentification avec l’eID est appelée : authentification « two-factor », car vous devez non seulement connaître une donnée précise (votre code pin), mais vous devez aussi disposer d’un objet (votre carte eID).

o L’authentification avec le nom d’utilisateur et le mot de passe est une authentification « one-factor » car vous devez seulement connaître une donnée, mais vous ne devez pas disposer d’un objet.

o Il existe également une authentification « three-factor », avec un troisième facteur, notamment quelque chose que vous devez être. Il s’agit donc de données biométriques, comme votre empreinte digitale ou le scan de votre iris, qui pourraient être intégrés dans la prochaine carte eID.

57



4 Contexte économique de l’eID

Ce chapitre explique le contexte économique de l’eID. Nous examinons le cadre économique dans lequel l’eID peut être placé et analysons en profondeur le commerce électronique. Les différents modèles commerciaux sont également abordés dans ce cadre.

Après ce schéma général, l’analyse se concentre sur l’eID proprement dit. Nous examinons les motivations de l’utilisation de l’eID, c’est-à-dire la réponse à la question : « Pourquoi une entreprise ou une organisation choisit-elle d’utiliser l’eID ? ». Nous analysons ensuite les opportunités liées à l’utilisation de l’eID dans chacun des modèles commerciaux.

4.1 Cadre économique

Il est malaisé de placer l’eID dans un cadre économique précis. En effet, il existe d’innombrables possibilités et opportunités. Il est toutefois possible de subdiviser la plupart de ces opportunités en deux catégories, à savoir l’e-commerce (ou commerce électronique) et l’e-business.

Dans la pratique, l’e-commerce et l’e-business sont souvent utilisés sans distinction. Il existe toutefois une différence essentielle entre les deux :

L’e-commerce (ou commerce électronique) se limite en fait au commerce électronique s’effectuant via l’Internet indépendamment du lieu et du moment. Exemples de l’eID dans l’e-commerce (ou commerce électronique) : la commande de tickets via l’Internet en utilisant l’eID comme authentification, le commerce sur eBay avec l’eID (voir l’étude de cas) et le chat avec l’eID. Dans le dernier exemple, ce n’est pas le chat proprement dit qui constitue l’activité commerciale, mais la publicité qui est placée au-dessus ou à côté des espaces de discussion (« chatrooms »).

La notion d’e-business est plus étendue et se rapporte aussi à l’ensemble de l’organisation : le processus d’achat et de vente, la distribution, les services offerts aux clients, les contacts avec les partenaires commerciaux, etc. Exemples de l’eID dans l’e-business : l’accès aux données salariales avec l’eID, un système d’identification par badge avec l’eID et l’horodatage avec l’eID.

Des modèles économiques peuvent être définis dans le cadre de ces deux catégories. Le client achète un produit ou un service à une entreprise. Le client peut être tant un individu (consommateur) qu’une entreprise. Ce fait nous permet de scinder l’économie sur la base du niveau d’implication des parties :

1. Business-to-Consumer (B2C) est une expression désignant le commerce entre les entreprises et les consommateurs. Il s’agit, en règle générale, d’entreprises vendant spécifiquement aux consommateurs, par exemple, les supermarchés, les magasins de vêtements, les agences de voyages, etc.

2. Business-to-Business (B2B) est une expression désignant le commerce interentreprises. Des exemples en sont les entreprises qui vendent des pièces ou des matières premières ou les banques d’affaires et les entreprises-hôtes qui n’opèrent pas sur le marché des particuliers. Les consommateurs ordinaires ne peuvent pas faire d’achats auprès des entreprises B2B. Le terme est également utilisé pour désigner une section déterminée au sein de l’entreprise. La division B2B sera dès lors consacrée au service industriel, cependant que d’autres départements de l’entreprise pourront également vendre aux particuliers.

58

3. Business-to-Government (B2G) désigne le commerce entre les entreprises et les autorités. Ce commerce est généralement réglementé par des procédures d’achat strictes. La commande sera, selon la nature de la procédure, attribuée à l’entreprise présentant l’offre la plus intéressante. L’Internet ouvre la possibilité de lancer des enchères inversées, où l’autorité publie la commande à pourvoir et les entreprises peuvent faire une offre durant un temps limité

4. Business-to-Employee (B2E) est la forme commerciale dans laquelle les entreprises mettent des produits et services à la disposition de leurs travailleurs. Il s’agit généralement de processus internes qui sont automatisés. Exemples de telles solutions :

o Communications d’entreprise o Horodatage o Demande de congé o Rapports de frais

D’autres exemples de B2E sont l’extension de polices d’assurance ou la possibilité d’acheter du matériel à des conditions avantageuses.

5. Consumer-to-Consumer (C2C) est une forme d’activité commerciale qui s’est développée sur l’Internet, et dans laquelle des particuliers commercent entre eux. Dans un environnement organisé, une tierce partie remplit le rôle d’intermédiaire. Le vendeur propose son ‘produit’ sur le site web de la tierce partie et l’acquéreur achète sur le site web de la tierce partie. Le tiers n’assume aucune responsabilité, mais propose parfois une protection des acheteurs, comme le fait, par exemple, eBay. Le tiers se fait indemniser – généralement une indemnité fixe – pour la mise à disposition de son site web. C’est un marché qui se développe et qui présente un potentiel considérable. Les points principaux à prendre en considération sont :

o Le contrôle de qualité : articles interdits, marchandises volées, contrefaçon… o La garantie de paiement o L’utilisation de différentes modalités de paiement (carte bancaire, carte de crédit,

virement...) o La livraison correcte des articles

6. Consumer-to-Business (C2B) désigne un modèle commercial dans lequel des particuliers proposent des produits et services aux entreprises. C’est un modèle de commerce inversé, stimulé par les facteurs suivants :

o Grâce à l’Internet, les entreprises sont en mesure de communiquer directement avec les particuliers, de manière interactive – il existe, dans la conception traditionnelle des affaires, peu de contact direct, à plus forte raison de communication interactive.

o La technologie étant devenue moins onéreuse, le particulier aussi possède l’accès à des systèmes performants qui lui permettent de réaliser certains produits et services et de les mettre sur le marché à des prix très compétitifs.

Pour chacun de ces modèles commerciaux, nous pouvons définir des opportunités pour l’utilisation de l’eID, tant dans le contexte de l’e-commerce (ou commerce électronique) que de l’e-business. Nous y reviendrons plus loin dans ce chapitre.

59



4.2 L’e-commerce (ou commerce électronique)

Ce chapitre présente le cadre général de l’e-commerce (ou commerce électronique), l’importance du commerce électronique dans l’ensemble du commerce, la position occupée par la Belgique en Europe en matière d’achats en ligne et le rôle que l’eID peut jouer dans la protection accrue des transactions sur l’Internet.

4.2.1 Cadre général de l’e-commerce (ou commerce électronique)

La popularité de l’Internet a entraîné un accroissement explosif du commerce électronique, avant tout parce que vendeurs et acheteurs peuvent accéder à des coûts relativement faibles à un marché mondial devenu beaucoup plus transparent grâce à l’Internet.

Cadre juridique et pratique de l’e-commerce (ou commerce électronique)

L’Internet est un phénomène sans frontière. En ‘achetant’ des biens et services, l’acheteur conclut un contrat d’achat avec le vendeur. Les lois et règlements du pays d’origine du vendeur s’appliquent au contrat de vente. Le droit à la vie privée ou les droits des consommateurs ne sont pas protégés de la même manière dans tous les pays. Au niveau européen, ces matières sont régies par des Directives. Au niveau mondial, elles peuvent toutefois entraîner des problèmes.

La Directive européenne concernant la protection des consommateurs en matière de contrats à distance stipule que pour tout contrat à distance, le consommateur dispose d’un délai d’au moins sept jours ouvrables pour se rétracter. Lorsque ce droit de rétractation est exercé par le consommateur, le fournisseur est tenu au remboursement des sommes versées par le consommateur, sans frais.

o Ces dispositions sont transposées en droit belge et figurent plus particulièrement dans l’article 80 de la loi sur les pratiques du commerce. Cet article va même plus loin en prévoyant qu’aucun paiement quelconque ne peut être exigé du consommateur avant la fin du délai de renonciation de 7 jours ouvrables. La Belgique est le seul État membre de l’Europe à imposer une obligation aussi extrême au vendeur.

o En pratique, on intervient uniquement contre une violation de cette loi en cas de plainte.

La Directive européenne sur le commerce électronique date de 2000 et la législation belge de 2003, mais de nombreuses pratiques et tendances apparues entre-temps doivent être rapidement réglementées. La technologie est beaucoup plus rapide, la législation est incapable de suivre car l’élaboration d’une nouvelle législation constitue une longue procédure. Il est dès lors question de régulation plutôt que de nouvelle législation.

Il existe au niveau européen un réseau judiciaire en matière civile et commerciale visant à faciliter la collaboration entre les États membres dans ces domaines.

Les États de l’UE ont pris de nombreuses initiatives en vue de rédiger une nouvelle réglementation. Il importe de collaborer dans ce but car le commerce électronique dépasse les frontières. La Belgique fait partie des pionniers en matière de lancement d’initiatives législatives concernant le commerce électronique.

Il existe des problèmes avec des vendeurs provenant d’États non membres de l’UE. Relevons, par exemple, les problèmes rencontrés avec des vendeurs malhonnêtes de Chine et de Thaïlande. On tente alors d’intervenir en localisant l’endroit d’où les vendeurs opèrent afin de déterminer leur identité.

60

Des accords ont été conclus entre les opérateurs belges. Si un vendeur étranger établit un contrat avec des opérateurs belges et que des problèmes surviennent, les opérateurs peuvent bloquer le numéro, même si le commerçant se trouve à l’étranger. Il serait souhaitable que de tels accords soient plus souvent conclus avec les acteurs économiques. Cela permet une réaction relativement rapide (une initiative législative est beaucoup plus longue).

De nombreux pays ont créé un label de qualité pour les entreprises qui s’engagent à respecter le code de déontologie du commerce électronique. En Belgique, ce label s’appelle ‘BeCommerce’ (aux Pays-Bas ‘Thuiswinkel Waarborg’).

L’ABMD et BeCommerce

L’Association Belge du Marketing Direct

L’Association Belge du Marketing Direct (ABMD) rassemble plus de 450 entreprises qui fournissent ou utilisent des services de « marketing direct » dans le but de garantir le professionnalisme dans le secteur et de renforcer la confiance des consommateurs.

BeCommerce

BeCommerce regroupe des entreprises qui vendent des produits ou services aux consommateurs en Belgique par l’Internet, par catalogue, par correspondance, etc. Ces entreprises sont aussi membres de l’ABMD. La plate-forme BeCommerce défend les intérêts de ces entreprises et favorise l’échange de connaissances afin d’offrir au consommateur la relation de confiance qu’il mérite.

Les entreprises membres respectent le code de déontologie de l’ABMD et se soumettent aux décisions du Comité de surveillance qui agit en tant qu’instance de médiation dans les conflits entre consommateurs et entreprises.

Le label BeCommerce

Une entreprise obtient un label BeCommerce lorsqu’elle respecte le code de déontologie de l’ABMD en plus de la législation belge rigoureuse. Ce code fixe pour les entreprises des règles concernant :

la protection de la vie privée

l’utilisation de la liste Robinson, sur laquelle peuvent s’inscrire les personnes qui ne souhaitent plus recevoir de publicités nominatives

le traitement des plaintes par le Comité de surveillance

la vente à distance

le démarchage téléphonique dans un but publicitaire et/ou commercial

la communication avec les consommateurs

Toutes les entreprises membres de l’ABMD sont reconnaissables au label ‘marketing direct’.

61



4.2.2 L’e-commerce (ou commerce électronique) en Europe

Accès à l’Internet

Le tableau ci-dessous présente les statistiques concernant l’accès à l’Internet et la présence de connexions large bande dans tous les États membres européens (chiffres Eurostat).

En ce qui concerne l’accès à l’Internet, les chiffres montrent que la Belgique enregistre en 2007 un résultat supérieur à la moyenne européenne (60 pour une moyenne de 54) mais par rapport aux pays voisins, ce résultat est relativement faible (Pays-Bas : 83, Luxembourg : 75, Allemagne : 71, Royaume-Uni : 67). Parmi les pays frontaliers, seule la France enregistre un résultat inférieur (seulement 49, qui s’explique par l’utilisation du Minitel). Les pays scandinaves enregistrent des résultats relativement élevés (Suède : 79, Norvège : 78, Danemark : 78 et Finlande : 69) tandis que les pays du Sud et les Etats membres d’Europe de l’Est enregistrent des résultats inférieurs à la moyenne.

La part du commerce électronique dans l’ensemble des échanges commerciaux

Le tableau ci-dessous présente le pourcentage de recettes générées via l’Internet par rapport au chiffre d’affaires total pour tous les États membres de l’Union européenne (chiffres Eurostat). Seules des entreprises de 10 travailleurs et plus ont été interrogées. L’année indiquée concerne l’année de l’enquête (les chiffres correspondent donc à l’année précédente).

En Belgique, la part du commerce électronique s’élève à 3,4% (en 2007, chiffres 2006). Il est difficile d’établir une comparaison avec les autres pays européens étant donné l’absence de données pour de nombreux pays.

Ces chiffres permettent toutefois de conclure que la Belgique n’enregistre pas un résultat élevé, du moins quand on compare les chiffres à ceux des pays d’Europe du Nord (Irlande, Royaume-Uni, Norvège).

62

Le commerce électronique présente assurément un potentiel important, comme en témoignent les 15.000 boutiques en ligne aux Pays-Bas, qui ont toutes pu conquérir une part de marché.

4.2.3 Le commerce électronique en Belgique

Utilisation de l’Internet

D’après les chiffres de BeCommerce, 4,26 millions de personnes utilisent l’Internet chaque jour :

31% recherchent des informations relatives à des produits et services (par ex. des informations d’achat : prix d’un produit, adresse d’un magasin)

29% utilisent l’e-banking

25% visitent des espaces de discussion (« chatrooms ») tels que MSN Messenger

15% font autre chose

Enquête du SPF Economie : le consommateur belge et l’Internet

But de l’enquête

La Direction générale Statistique et Information économique du SPF Economie a mené, dans le courant du deuxième trimestre 2007, une enquête auprès de 10.404 personnes dans la tranche d’âge de 16 à 74 ans, interrogées en face à face et par téléphone, afin d’étudier les tendances dans la société de l’information.

63



Résultats

Disponibilité d’un PC et de l’Internet dans les ménages belges

En 2007, 67% des ménages belges, comportant au moins une personne âgée de 16 à 74 ans, possédait un ou plusieurs PC, contre 57% en 2006.

La disponibilité de l’Internet a également augmenté. En 2007, 60% des ménages belges disposaient d’une connexion à l’Internet, contre 54% en 2006 et 50% en 2005. Ce sont principalement les familles monoparentales qui ont investi dans l’achat d’un PC et d’une connexion à l’Internet en 2007.

Parmi les 40% de ménages qui ne disposent pas d’une connexion à l’Internet, la moitié dit ne pas en avoir besoin ou ne pas en vouloir. C’est environ le même pourcentage qu’en 2006. 13% avancent comme raison qu’ils peuvent accéder ailleurs à l’Internet. Les trois quarts de ces ménages n’y ont pas accès pour des raisons financières ou faute de connaissances informatiques nécessaires.

Utilisation de l’ordinateur

L’utilisation de l’ordinateur au sein de la population belge est passée de 67% au premier trimestre 2006 à 70% au premier trimestre 2007. Logiquement, le nombre de personnes qui n’a jamais utilisé un ordinateur diminue, mais les personnes à faible niveau d’études, les personnes âgées, les chômeurs et les inactifs (à l’exception des étudiants) restent fortement représentés dans ce groupe.

Utilisation de l’Internet

67% de la population belge s’est connectée à l’Internet au premier trimestre 2007, contre 58% en 2005 et 62% en 2006. La fracture numérique a donc tendance à diminuer lentement. Les personnes à faible niveau d’études, les personnes âgées, les chômeurs et les inactifs (à l’exception des étudiants) restent néanmoins fortement représentés dans la population belge qui n’a jamais utilisé l’Internet.

Activités en ligne

En ce qui concerne la communication, l’Internet est principalement utilisé pour l’envoi et la réception d’e-mails : presque tous les groupes enregistrent ici des résultats élevés, y compris dans la population plus âgée. Un répondant sur trois fréquente les espaces de discussion (« chatrooms »), surtout au sein de la population plus jeune. La téléphonie en ligne gagne également en popularité, sans toutefois dépasser 16%.

La recherche générale d’informations sur des biens et services constitue une autre activité importante. Viennent ensuite la recherche d’informations sur les voyages et la santé ainsi que les jeux en ligne. Un répondant sur quatre affirme lire des journaux ou magazines en ligne, mais 3% seulement sont des utilisateurs enregistrés. L’Internet banking connaît une forte augmentation : de 46% en 2006 à 52% en 2007.

E-commerce

Environ un Belge sur cinq ayant déjà utilisé l’Internet affirme avoir commandé des biens ou services via l’Internet au cours du premier trimestre 2007. Il s’agit principalement de voyages ou de séjours de vacances et de billets pour des événements. Cette proportion passe à un Belge sur trois pour les répondants qui affirment avoir déjà commandé des biens ou services via l’Internet.

64

La figure ci-dessus indique que le nombre de commandes de biens ou services reste à peu près identique. La Région de Bruxelles-Capitale enregistre un résultat supérieur à la Flandre et à la Wallonie.

Enquête sur le commerce électronique auprès des PME flamandes

But de l’enquête

Pour cette étude, l’Unizo a mené une enquête en ligne auprès de 450 PME en 2006. À noter que ce type de sondage permet uniquement d’atteindre des entreprises disposant d’une connexion à l’Internet. Ce n’est toutefois pas un problème en soi car les statistiques montrent que plus de 90% des entreprises disposent d’une connexion à l’Internet. Il convient toutefois d’en tenir compte lors de l’interprétation des résultats : à tout le moins, l’Internet ne constitue pas un obstacle insurmontable pour le répondant qui accepte de participer à une enquête en ligne.

Résultats

Aperçu succinct des résultats :

70% des PME ont déjà acheté des produits via l’Internet. 30% n’ont jamais acheté de produits via l’Internet.

Un entrepreneur sur cinq seulement sait qu’une législation spécifique s’applique à l’achat et à la vente sur l’Internet. Cela n’empêche toutefois pas les entreprises d’effectuer des achats sur l’Internet.

Environ 80% des PME possèdent leur propre site web mais seule une entreprise sur cinq effectue des ventes via son site web (18,7%). Dans 19% des cas, le paiement peut s’effectuer directement sur le site. La grande majorité (81,3%) ne vend pas (encore) via le site.

La place de marché virtuelle eBay n’est que rarement utilisée par les entreprises comme canal de vente (complémentaire). Seul 3,6% de l’ensemble des entreprises vend des produits sur eBay. Parmi les PME qui effectuent déjà des ventes via un site web, les vendeurs eBay représentent 19%.

Belgique 2006 Belgique 2007 Bruxelles 2007 Flandre 2007 Wallonie 2007

65



Enquête sur le commerce électronique auprès des PME wallonnes

But de l’enquête

Pour cette étude, l’AWT (Agence Wallonne des Télécommunications) a interrogé au total 2024 PME wallonnes sur les résultats de l’année 2006 à travers une enquête écrite envoyée par la poste. En plus des questions sur l’utilisation de l’ICT, l’étude s’est également penchée sur les besoins et les projets des entreprises en matière d’ICT.

Résultats

Site web propre : 58% des PME wallonnes possèdent un site web ou une page web, soit 7% de plus qu’en 2005 (60% si l’on considère uniquement les PME connectées à l’Internet). 7% des PME envisagent d’avoir un site web au cours des 12 prochains mois.

A titre de comparaison, 63% des PME flamandes et bruxelloises disposent d’un site web ou d’une page web, alors que la moyenne nationale est de 60% (source : enquête fédérale de Statbel sur l’automatisation des entreprises, 2006).

À noter que les chiffres de cette étude (et de la base de comparaison) sont inférieurs aux chiffres de la précédente enquête sur le commerce électronique menée par l’Unizo auprès des PME flamandes, ce chiffre étant de 80% (nombre de PME possédant leur propre site web). Cela tient au fait qu’il s’agit d’une enquête postale alors que l’enquête de l’Unizo a été menée en ligne, ce qui rend impossible une comparaison des chiffres (la même remarque s’applique également aux chiffres des ventes et des achats en ligne).

Ventes en ligne : 12% des PME wallonnes affirment vendre des produits ou services de manière électronique. Ce résultat traduit une stagnation par rapport aux années précédentes.

Achats en ligne : 42% des PME ont acheté des produits/services de manière électronique, soit 3% de plus qu’en 2005. Ce pourcentage est de 44% si l’on considère uniquement les PME connectées à l’Internet (c’est-à-dire 95% de l’ensemble des PME).

Les produits les plus vendus via l’Internet sont :

o le matériel de support (« fournitures ») : 72%

o les matières premières : 50%

o les services en ligne (numériques) : 11%

o les services (classiques) : 7%

Les achats en ligne ne sont donc, en majeure partie, pas liés à l’activité de base. De plus, les processus de support des achats en ligne ne sont que faiblement intégrés dans la gestion administrative. Seules 39% des PME qui ont acheté des matières premières de manière électronique ont intégré ce processus dans la gestion administrative et seuls 44% des achats électroniques ont été suivis d’un paiement électronique (Isabel n’étant pas pris en considération).

Pour 64% des PME qui effectuent des achats sur l’Internet, la majeure partie des fournisseurs se situe en Belgique. 74% ne recourent pas à des fournisseurs étrangers pour leurs achats en ligne et seules 18% d’entre elles utilisent l’Internet afin de comparer les prix de leurs fournisseurs.

Ces données (et d’autres chiffres de l’étude) permettent de conclure qu’une grande part des PME wallonnes qui effectuent des achats via l’Internet agit de la sorte parce que leurs fournisseurs habituels leur ont proposé ce service à un moment donné.

66

Tendances relatives aux échanges commerciaux en ligne

Augmentation du nombre de transactions en ligne

La confiance des consommateurs belges dans le commerce électronique augmente à vue d’œil, et cela se traduit par une augmentation significative du nombre de ventes en ligne. D’après les statistiques de chiffres d’affaires de BeCommerce, les ventes en ligne ont doublé en 2006 (en hausse de 99%) par rapport à 2005. En 2005, les Belges ont dépensé 1,67 milliard d’euros dans les achats à distance. Deux tiers de ces achats ont été effectués via l’Internet. Les voyages et les tickets d’événements représentent 450 millions sur ce total de 1,2 milliard d’euros.

Le nombre d’utilisateurs fut de presque trois millions en 2006. Selon les estimations, ceux-ci ont dépensé environ 2 milliards d’euros sur l’Internet en 2006.

D’après Ogone, le spécialiste belge des paiements électroniques, le nombre de transactions de paiements électroniques a augmenté d’environ 70% en 2007 (par rapport à 2006) pour atteindre 6 millions de transactions. Cela représente un montant total de 650 à 700 millions d’euros. Ogone affirme que les ventes via l’Internet sont encore loin d’avoir atteint leur plafond dans notre pays. D’après les prévisions, la croissance se poursuivra au même rythme en 2008. La Belgique semble avoir entamé un sérieux mouvement de rattrapage par rapport à ses voisins. Le marché belge des ventes en ligne présente toutefois d’importantes failles.

Une meilleure protection des achats en ligne

L’un des principaux obstacles aux achats sur l’Internet tient à l’idée persistante chez les consommateurs belges que les paiements en ligne n’offrent pas la sécurité requise. Cela ressort notamment du « Trust Index » de BeCommerce, une enquête que BeCommerce mène en collaboration avec le bureau d’études de marché InSites. D’après celle-ci, 47% des personnes interrogées estiment peu sûr d’effectuer des paiements en ligne en ligne au moyen d’une carte de crédit (chiffres 2006).

Pour réduire les obstacles au commerce électronique chez les consommateurs, ces derniers doivent être sensibilisés à l’amélioration des systèmes de contrôle sur les boutiques en ligne (label de qualité BeCommerce). Les paiements en ligne ont notamment été rendus plus sûrs et plus accessibles grâce aux fonctions de paiement via les comptes Home banking. L’utilisation du Digipass a considérablement amélioré la sécurité de ces comptes au cours des dernières années.

67



Ces sites Home banking relativement sûrs permettent d’effectuer des achats dans les boutiques en ligne.

Les paiements en ligne au moyen d’une carte de crédit telle que VISA, MasterCard ou American Express offrent aussi une protection supplémentaire grâce, notamment, aux technologies de cryptage (SSL). La saisie des numéros de carte s’effectue via des plate-formes sécurisées reconnaissables par le consommateur à l’adresse web (commençant par https au lieu de http) et à l’icône cadenas indiquant que le système de paiement est certifié. Ces plate-formes sont de plus en plus souvent gérées par des entreprises spécialisées telles qu’Ogone, qui respectent les normes strictes de la Payment Card Industry (PCI). Depuis des années, les boutiques en ligne belges ne conservent plus de banques de données de numéros de cartes de crédit car celles-ci peuvent être la cible de personnes non autorisées.

L’ajout d’un mot de passe à la carte de crédit a aussi permis l’apparition depuis quelque temps d’une méthode de paiement en ligne par carte de crédit encore plus sûre intitulée « Verified by Visa » et « MasterCard Secure Code ». Celle-ci fonctionne de la même manière que les nouveaux systèmes Home banking des banques belges.

Le consommateur est également protégé par la législation belge : en cas de vol ou de perte de la carte de crédit, le propriétaire n’est responsable qu’à concurrence d’un montant de 150 euros. En cas d’utilisation abusive des données de la carte de crédit du consommateur sans perte ou vol de la carte, le consommateur est même entièrement remboursé.

4.3 Motivations de l’utilisation de l’eID par les entreprises

Pour comprendre les décisions qu’une entreprise prend en matière d’utilisation de l’eID dans le cadre de ses activités, examinons les motivations possibles. Nous illustrerons ces motivations au moyen d’exemples provenant de l’e-commerce (ou commerce électronique), de l’e-business et d’exemples concrets de l’utilisation de l’eID.

Les entreprises recherchent :

La maximisation du profit, à travers :

o La diminution des coûts de production Exemple : si les autorités mettent gratuitement à disposition le système PKI avec les certificats afférents, il n’est pas nécessaire d’investir dans ce poste lors de la création de nouveaux services ou produits.

o La diminution des coûts de vente Exemple : lorsqu’une entreprise décide de faire des affaires via l’Internet, elle ne doit pas investir dans des magasins et leur aménagement. Les marchandises peuvent, de ce fait, être vendues à un meilleur prix.

o La diminution des coûts de distribution L’étude de cas de la Mutualité chrétienne en est un bon exemple. Celle-ci propose des services via l’Internet et recourt à l’eID pour l’authentification des personnes. La fourniture de services de manière électronique permet de réduire sensiblement le nombre de courriers expédiés par la poste, ce qui diminue les coûts de distribution (timbres).

o La diminution des frais généraux Exemple : la signature numérique à l’aide de l’eID entraînera une énorme efficacité au niveau du processus et des coûts.

68

L’accroissement du chiffre d’affaires, à travers :

o Un segment de marché accru Exemple : une petite PME locale atteint un segment de marché bien supérieur en offrant des services via l’Internet.

o De nouveaux produits Exemple : la création de l’eID a permis aux entreprises de lancer sur le marché de nouveaux produits tels que le terminal Police Mate, les lecteurs de cartes, les modules permettant d’apposer une signature électronique avec l’eID, etc.

Le raccourcissement des processus opérationnels :

Exemple : l’utilisation de l’eID à la Vlaamse Maatschappij voor Watervoorziening (société flamande des eaux). Chaque année, la VMW traite environ 150.000 demandes de déménagement (sur 1.060.000 clients). Lorsque cette opération s’effectue sur papier, elle dure environ une semaine. Tous les formulaires doivent être établis en trois exemplaires et le risque d’erreur dans les données est élevé. Toute erreur dans une facture ou un document coûte environ 100 euros à l’entreprise. Un déménagement peut désormais être demandé par voie électronique via l’eID. Cette méthode de travail a permis de réduire le processus des demandes de déménagement de 13 étapes à 3 étapes et d’améliorer considérablement l’efficacité.

L’amélioration de la qualité :

La VMW peut à nouveau être citée en exemple, mais sur le plan de l’exactitude des données. L’enregistrement via l’eID assure une lecture correcte des données. Cela permet d’améliorer la qualité.

La diminution des risques :

Exemple : l’identification avec l’eID sur eBay réduirait le risque de confrontation à des acheteurs ou des vendeurs malhonnêtes.

L’amélioration de l’image de marque et de la notoriété par le marketing :

On peut difficilement donner un exemple de l’eID comme incitant marketing. Les entreprises considèrent comme un frein de ne pas pouvoir publier le logo de l’entreprise sur la carte.

Ces motivations sont similaires pour une organisation non marchande, même si le facteur de profit doit être remplacé par l’intérêt général mis en avant par l’organisation.

4.4 Opportunités et obstacles à l’utilisation de l’eID selon les modèles commerciaux

Sans perdre de vue les motivations commerciales, examinons comment l’utilisation de l’eID peut apporter une plus-value dans chacun des modèles commerciaux.

Business-to-Consumer (B2C)

L’eID peut jouer un rôle à ce niveau étant donné qu’il est question de commerce avec des particuliers qui peuvent s’identifier avec leur eID. Il faut toutefois se demander dans quels cas une identification est requise.

69



L’e-commerce (ou commerce électronique)

Dans le commerce électronique, les informations relatives aux moyens financiers de la personne (par exemple, la carte VISA) suffisent généralement pour effectuer la transaction.

Il convient de se demander si une protection accrue avec l’eID est nécessaire dans ce domaine.

À l’heure actuelle, la plupart des paiements en ligne s’effectuent via les fonctions de paiement du Home banking ou par carte de crédit. Comme indiqué ci-dessus, de nombreuses mesures ont été prises pour améliorer la sécurité des paiements en ligne :

le label de qualité BeCommerce pour les boutiques en ligne

les fonctions de paiements via le compte Home banking (protection par Digipass)

les paiements par carte de crédit via des plate-formes sécurisées (par ex. Ogone)

l’ajout d’un mot de passe à la carte de crédit (« Verified by Visa » et « MasterCard Secure Code »)

la protection par la législation belge en cas de vol ou de perte de la carte de crédit

Dès lors, faut-il encourager l’utilisation de l’eID comme authentification pour les achats en ligne étant donné que :

de nombreuses mesures de sécurité ont déjà été prises pour les paiements par carte bancaire ou carte de crédit

la carte de crédit sert à la fois d’identification et de moyen de paiement

les commerçants n’y ont aucun intérêt spécifique : le paiement est plus important que l’authentification (à vrai dire, les commerçants se soucient peu de savoir si le demandeur est ou non le propriétaire légitime de la carte VISA)

la carte de crédit est généralement acceptée (dans le monde entier)

Dès lors, un aspect évident de sécurité doit être lié aux transactions en ligne pour justifier l’utilisation de l’eID.

L’eID ne peut être utile que dans le cas de transactions spécifiques liées à des aspects de sécurité, par exemple, le contrôle de l’âge lors de l’achat d’articles interdits aux enfants, tels que des cigarettes ou des billets de la Loterie nationale.

Il existe sur le marché certaines applications qui donnent accès à des distributeurs automatiques après avoir contrôlé l’âge sur l’eID. Ces applications sont évoquées plus loin dans ce rapport. Ces applications prêtes à l’emploi ne nécessitent pas un investissement important et conviennent par conséquent très bien aux PME.

La communication avec les clients

L’eID offre d’autres opportunités dans la communication entre les entreprises ou les organisations et leurs clients, par exemple via l’Internet. Exemples :

Ethias : utilisation de l’eID pour permettre aux clients d’accéder à leur portefeuille d’assurances en ligne (projet pilote, voir l’étude de cas Ethias).

Mutualité chrétienne : utilisation de l’eID pour permettre aux utilisateurs d’accéder aux services en ligne, tant pour les travailleurs que pour les membres de la MC, afin de consulter leur dossier et des informations personnalisées (voir l’étude de cas Mutualité chrétienne).

Ces études de cas montrent qu’il existe des opportunités pour l’utilisation de l’eID dans la communication entre les entreprises et leurs clients. Les études de cas citées offrent des exemples d’applications présentant peu d’aspects de sécurité cruciaux étant donné qu’il ne s’agit pas de

70

transactions financières. Pour cette raison, ces applications utilisent des lecteurs de cartes « ordinaires » : le code pin est introduit via le clavier de l’ordinateur.

Étant donné que ces applications ont peu de chances de constituer une cible intéressante, les risques de piratage sont (théoriquement) faibles. Il existe toutefois un risque d’utilisation abusive indirecte, si le code pin de l’eID est découvert et utilisé abusivement dans d’autres applications impliquant des transactions financières. Par exemple, si le même code est utilisé pour l’eID et la carte bancaire ; une étude de Safeboot a, en effet, montré que 60% des consommateurs utilisaient un seul code dans des applications différentes!

Les applications de banque en ligne reposent toutefois sur le principe du Digipass. Même en cas d’utilisation conjointe avec la carte bancaire dont le code aurait été dérobé, ces applications restent protégées par le principe des mots de passe dynamiques ou de « challenge-response authentification » (voir ci-dessous).

Home Banking

Le domaine de la banque en ligne, et plus particulièrement la réalisation de transactions financières, est lié à des aspects de sécurité essentiels. Ces applications emploient dès lors toujours un système sécurisé. Le Digipass est le plus utilisé. Il en existe plusieurs types :

le Digipass qui génère des mots de passe uniques dynamiques liés au temps : une nouvelle valeur est générée à intervalles réguliers.

le Digipass fonctionnant suivant le principe « Challenge-response » (question-réponse) : le système envoie aux fins de contrôle un « challenge » (données aléatoires) et, sur la base de la clé privée, une réponse est calculée et renvoyée.

Les deux types de Digipass peuvent être utilisés seuls, c’est-à-dire sans autre support de données, ou conjointement avec un support de données, par exemple une carte bancaire, la carte SIM d’un GSM, un token USB ou la carte eID.

Si le Digipass est utilisé en combinaison avec un système PKI, une clé privée est nécessaire. Deux possibilités se présentent : soit le Digipass constitue lui-même le support d’une clé privée, soit on utilise la clé privée du support de données (la carte bancaire, la carte SIM, le token USB ou l’eID).

Le Digipass est principalement utilisé en Belgique par les banques et les compagnies d’assurances qui le proposent souvent conjointement avec la carte bancaire. Il n’existe pas encore de Digipass fonctionnant simultanément avec la carte bancaire et l’eID. Par conséquent, les personnes qui possèdent un Digipass avec une carte bancaire et souhaitent également utiliser l’eID, par exemple, pour apposer une signature électronique, doivent aussi acquérir un lecteur eID.

Possibilités d’utilisation du Home banking avec l’eID :

L’eID peut aussi être utilisée conjointement avec un Digipass car elle contient une clé privée, tout comme une carte bancaire.

Bien qu’il existe déjà sur le marché un Digipass eID générant des mots de passe dynamiques uniques, l’eID sert uniquement, sur ce Digipass, à débloquer l’appareil, la clé privée de l’eID n’étant pas encore utilisée. Cet appareil peut, en principe, être utilisé conjointement avec un système PKI pour l’eID, par exemple, pour contrôler la validité des certificats de l’eID, mais aux dires du fabricant, il n’y aurait pas encore de demande en ce sens.

La banque Keytrade utilise l’eID pour permettre aux utilisateurs de se connecter sur son site portail, mais pour les opérations spécifiques liées à des aspects de sécurité, elle emploie un Digipass ne fonctionnant pas avec l’eID.

Pourquoi les banques n’ont-elles pas encore adopté ce système? Plusieurs raisons sont évoquées :

L’eID n’est pas commercialisable, ce qui est très important pour les banques (voir ci-dessous).

71



Compte tenu de l’existence d’un Digipass fonctionnant avec la carte bancaire, il n’y a pas besoin de Digipass pour l’eID.

Les pouvoirs publics n’ont pas informé suffisamment le secteur bancaire des possibilités de l’eID.

Les banques souhaitent exercer un contrôle complet sur la carte, ce qui est plus aisé avec un système propre.

Conclusion : Même s’il est, en principe, possible d’utiliser l’eID au lieu de la carte bancaire pour accéder aux applications de banque en ligne, les banques ont choisi de conserver des systèmes basés sur la carte bancaire ou des applications recourant à une autre méthode d’authentification.

Limitations de l’eID

Une première limitation de l’eID tient au fait que seuls les Belges disposeront de l’eID. Dans les autres pays, soit l’eID n’existe pas, soit le système est incompatible, et de plus, les non-Belges habitant en Belgique ne disposeront pas de l’eID.

Pour cette raison, l’utilisation de l’eID n’est pas opportune pour les entreprises ou les organisations visant ce segment de marché, par exemple, les hôtels. Il existe toutefois sur le marché des applications eID pour l’enregistrement des clients dans les hôtels (voir le chapitre consacré aux applications eID), celles-ci permettent aussi de compléter les données manuellement.

Plusieurs universités, par exemple, l’Université de Gand et la KULeuven, utilisent l’eID pour l’inscription de leurs étudiants, mais pas comme badge d’accès, car un système alternatif doit être développé pour un groupe trop important de la population, les étudiants étrangers et les professeurs invités.

Une deuxième limitation de l’eID est qu’elle n’est pas commercialisable : vous ne pouvez par exemple, pas y faire apparaître le logo de l’entreprise. L’eID ne présente donc aucune valeur de marketing. C’est la raison pour laquelle certaines entreprises ont choisi d’utiliser l’eID uniquement pour l’identification – par exemple, pour l’enregistrement des clients d’un dancing – mais pas pour l’accès, une autre carte est utilisée à cette fin. L’utilisation d’une carte distincte offre non seulement un avantage marketing – impression du logo de l’entreprise – tout en permettant de réclamer un prix, par exemple la carte de membre d’un club sportif.

Une troisième limitation de l’eID tient à l’impossibilité de remplacer immédiatement la carte en cas de perte. Il faut donc toujours disposer d’un système parallèle avec des badges d’accès classiques.

Le chapitre consacré aux applications eID présente certaines applications spécifiquement conçues pour l’enregistrement des visiteurs aux événements, dancings, etc.

Business-to-Business (B2B)

Dans le commerce inter-entreprises, les partenaires commerciaux sont généralement bien connus. Il s’agit d’un réseau de dirigeants d’entreprises qui font des affaires ensemble. Cette forme commerciale se base sur la confiance mutuelle et l’on est conscient de ce qu’un comportement non conforme peut être sanctionné dans tout le réseau.

La confiance mutuelle repose sur des aspects commerciaux – chiffre d’affaires, résultats, moyens financiers, offre de produits, etc – et pas sur l’identité de la personne qui par exemple signe un bon de commande. L’autorité liée à la signature d’un bon de commande est déterminée par des procédures internes indépendantes de la personne concernée.

Pour ces raisons, le potentiel d’utilisation de l’eID est réduit et les entreprises utilisent des systèmes internes fermés comme Isabel.

72

L’eID peut toutefois être utilisé lorsque des procédures formelles et des mesures de sécurité sont d’application, par exemple, pour les affaires traitées avec le gouvernement, dans lesquelles tout est réglé par des procédures strictes qui requièrent des signatures officielles de personnes mandatées. L’eID peut être utilisé dans ce cas, mais les entreprises qui possèdent un système interne (tel qu’Isabel ou quelques produits de Certipost) disposent généralement de certificats d’entreprise, permettant la signature électronique, qui peuvent alors être utilisés.

Pour les indépendants et les petites PME qui n’investissent pas dans un système interne, l’eID peut être utilisé dans leurs contacts avec les autorités, comme cela existe déjà pour Tax-on-web : le dirigeant d’entreprise et le comptable peuvent utiliser ce service avec leur eID, c’est-à-dire en leur nom propre.

Business-to-Government (B2G)

Le commerce entre les entreprises et les autorités est généralement fort réglementé par des procédures d’achat strictes. Si à l’avenir, les autorités annoncent les marchés via l’Internet et prévoient la possibilité de soumissionner en ligne, l’eID pourra constituer un instrument utile pour l’authentification et la signature électronique de documents. Cette question ne sera pas approfondie car elle fait partie de l’e-gouvernement. Toutefois, il faudra veiller à ce que cela n’avantage pas les entreprises belges par rapport aux autres, ce qui constituerait alors une entrave à la libre circulation des biens et des services.

Business-to-Employee (B2E)

Les processus de communication entre employeur et travailleur sont de plus en plus automatisés en utilisant l’Internet ou l’Intranet. Caractéristiques types de ces processus :

Les informations échangées entre les parties sont pour la plupart confidentielles, par exemple, les informations relatives au salaire, aux maladies, à l’invalidité, à la situation familiale, etc.

Les informations concernant la gestion des affaires et les produits sont également protégées, en fonction du profil du travailleur.

La multiplicité d’applications, la complexité des systèmes ICT, le télétravail, la politique de sécurité des entreprises alimentent le besoin d’une approche intégrée avec un système d’identification unique (« single-sign-on »).

L’eID offre de nombreuses opportunités à ce niveau, notamment pour :

L’inscription de nouveaux travailleurs

La connexion au réseau de l’entreprise, la consultation d’informations personnelles, l’horodatage – tant au bureau qu’en télétravail

La signature électronique de documents de l’entreprise et la sécurisation de documents et d’e-mails

L’accès au réseau pour les partenaires de l’entreprise via un Extranet sécurisé

73



L’eID peut également offrir une alternative au badge d’entreprise, par exemple, pour l’accès aux bâtiments, au parking, au restaurant d’entreprise. Le tableau suivant présente tous les aspects du badge d’entreprise combinés à l’utilisation de l’eID et d’un autre système.

Aspects du badge d’entreprise

eID Autre système

Certificats et système PKI Mis à disposition gratuitement par les autorités

Requiert un investissement

Technologie Carte contact avec puce Plusieurs possibilités : RFID, puces mémoires compartimentées...

Coût du badge Uniquement en cas de perte ou de vol (quelques dizaines d’euros)

Coûts variables de quelques euros à 50 cents pour les grandes quantités

Disponibilité (perte ou vol du badge)

Temps d’attente, coût élevé Remplacement immédiat, faible coût

Durabilité Sensibilité à l’usure des contacts Possibilité d’opter pour des systèmes plus durables, par ex. RFID

Protection de la vie privée Données personnelles sur l’eID e.a. numéro de registre national

Seules les données liées à la fonction du travailleur figurent sur la carte : l’entreprise peut décider elle-même du contenu de la carte

Indépendance Liée au cadre réglementaire de l’eID Indépendance en ce qui concerne le cryptage utilisé et l’utilisation des emplacements de mémoire

Possibilités d’application Possibilités d’application moindres Possibilités d’application illimitées : solde restaurant, solde chèques repas...

En conclusion, l’eID peut offrir une opportunité d’utilisation intéressante comme badge d’entreprise dans les PME – à condition de résoudre les problèmes liés à la vie privée et au numéro de registre national – car elle permet d’économiser différents coûts. Dans les grandes entreprises, ces avantages ne compensent toutefois pas les inconvénients, notamment la disponibilité, l’usure de la carte, l’absence d’indépendance, les possibilités d’application limitées, etc.

Le chapitre consacré aux applications présente certaines applications spécifiquement conçues pour la communication entre l’employeur et le travailleur, par exemple l’inscription de nouveaux travailleurs, la connexion au système, l’horodatage, le contrôle d’accès physique, etc.

Consumer-to-Consumer (C2C)

Le commerce entre consommateurs offre de nombreuses possibilités d’utilisation de l’eID. Ces dernières se situent essentiellement dans le commerce électronique.

La différence avec le B2C est que dans le C2C, le vendeur est un consommateur et pas une entreprise Internet soumise à la législation et aux labels de qualité définis par le secteur ; il ne risque pas de ruiner sa « réputation » en cas de pratiques malhonnêtes.

Si une entreprise doit répondre à une législation spécifique, par exemple, l’identification des commerçants, le numéro de registre de commerce, etc, la réglementation et les obligations sont quasiment inexistantes dans le domaine C2C. De plus, le consommateur reste anonyme, ce qui ouvre la porte aux fraudeurs.

74

Certaines places de marché en ligne telles qu’eBay ont mis en place des évaluations de fiabilité, mais celles-ci peuvent être contournées par de fausses inscriptions.

Les principaux problèmes auxquels l’eID peut offrir une solution ont trait à la fraude et à l’accès des mineurs d’âge.

Fraudes possibles

Certains articles ne parviennent pas aux acheteurs

Certains articles sont d’origine frauduleuse, par exemple, des articles volés

Des produits illégaux sont mis en vente, par exemple, des organes

Certains commerçants tentent d’éluder ainsi l’impôt

Il existe une initiative conjointe du SPF Economie et de la police : eCops. Ce guichet électronique permet de signaler une fraude : toutes les informations relatives aux entreprises malhonnêtes sont stockées dans une banque de données commune.

Problèmes liés aux mineurs d’âge

Le commerce électronique soulève de nombreux problèmes liés aux mineurs d’âge : pour le moment, ceux-ci ne doivent pas s’identifier et peuvent donc acheter et vendre librement.

Le problème des mineurs d’âge se pose de manière d’autant plus aiguë qu’il est aujourd’hui possible d’effectuer des paiements par SMS. Les enfants ne peuvent théoriquement pas conclure de contrat, mais la jurisprudence l’accepte pour de petites dépenses, sans l’autorisation des parents. Cette situation comporte des risques car où se trouve la limite entre petites et grandes dépenses? Quelle forme de contrôle exercer?

L’authentification avec l’eID peut apporter une solution à ces deux problèmes. Celle-ci permettrait d’améliorer la sécurité des transactions en ligne en garantissant l’identité de la personne.

Authentification avec l’eID sur des places de marché en ligne telles qu’eBay

L’utilisation de l’eID comme moyen d’authentification sur des places de marché en ligne telles qu’eBay permettrait de sanctionner les fraudes en établissant la preuve du contrat, les coûts pourraient donc être remboursés.

Les commerçants malhonnêtes qui se font passer pour de simples consommateurs afin de contourner la réglementation et d’éluder l’impôt pourraient ainsi être plus facilement confondus.

Le principal obstacle avec eBay est que l’entreprise est internationale mais que l’investissement ne porterait ses fruits qu’en Belgique. Il faut se demander s’il existe des abus à suffisamment grande échelle pour justifier un investissement dans une application sur la base de l’eID et si les obstacles – par exemple économiques, psychologiques ou techniques – ne décourageraient pas son utilisation.

Cette analyse est menée de manière approfondie dans l’étude de cas sur eBay.

Mineurs d’âge

L’authentification permet de vérifier l’âge d’une personne. S’il apparaît que celle-ci est mineure, on pourra automatiquement lui refuser la vente.

Consumer-to-Business (C2B)

Dans ce modèle commercial qui voit les particuliers proposer des produits et services aux entreprises, l’eID peut avoir son utilité étant donné que ce modèle recouvre principalement des transactions effectuées via l’Internet. Le particulier qui propose ses services peut utiliser l’eID pour

75



l’identification, l’authentification et la signature électronique de documents dans sa relation avec l’entreprise pour laquelle il accomplit des services.

4.5 Conclusions sur le contexte économique de l’eID

Si nous considérons les modèles commerciaux, les principales opportunités pour l’utilisation de l’eID se situent dans le B2C, le C2C, le B2E et le C2B.

o B2C (Business-to-Consumer) : par exemple, pour l’authentification de clients sur un site portail et la signature électronique de contrats

o C2C (Consumer-to-Consumer) : par exemple, pour l’authentification des utilisateurs sur des sites d’enchères en ligne

o B2E (Business-to-Employee) : par exemple, pour l’inscription des nouveaux travailleurs, la connexion sur les réseaux de l’entreprise, la signature électronique de documents de l’entreprise et l’utilisation de l’eID comme badge d’entreprise

o C2B (Consumer-to-Business) : par exemple, un particulier qui propose ses services peut utiliser l’eID pour l’identification, l’authentification et la signature électronique de documents dans sa relation avec l’entreprise pour laquelle il accomplit des services.

Sur le plan strictement économique, un commerçant doit être assuré de la solvabilité de l’acheteur. Dans ce cas, la carte de crédit offre une certitude suffisante et l’eID se révèle superflu. L’eID peut être utile dans des cas spécifiques, liés à des aspects de sécurité ou réglementaires, par exemple, pour contrôler l’âge et permettre ou non de visiter certains sites web ou d’acheter certains articles.

Le fait que seuls les Belges disposent de l’eID entraîne des problèmes majeurs dans notre économie mondialisée. Il faut, en effet, toujours disposer de systèmes parallèles pour l’identification et l’authentification des non-Belges. L’utilisation d’une carte bancaire ou de crédit se révèle dès lors beaucoup plus pratique.

La signature électronique pourrait être utilisée pour signer les contrats de vente en ligne. En pratique, cela concerne uniquement les contrats d’assurance et pas la vente de biens de consommation.

Le respect de la vie privée joue également un rôle majeur dans le contexte économique : un contrat de vente signé doit-il exister pour chaque transaction? Dans l’affirmative, serait-il nécessaire de s’authentifier lors de chaque transaction? Beaucoup de personnes considèrent justement que la possibilité de réaliser des transactions de manière anonyme via l’Internet constitue un avantage.

76

5 Contexte psychologique de l’eID

Le contexte psychologique de l’eID est analysé dans ce chapitre. Nous examinons la manière dont les différents acteurs impliqués se positionnent vis-à-vis de l’eID, leurs attitudes vis-à-vis de l’eID et quels sont les avantages et les obstacles à l’utilisation de l’eID pour eux.

Ce chapitre est divisé comme suit :

Consultation des utilisateurs

Des contacts avec les organisations de consommateurs

Enquête auprès des entrepreneurs néerlandophones

Enquête auprès des entrepreneurs francophones

Enquête et forum de discussion chez les adolescents (Internet)

Conclusions sur le contexte psychologique de l’eID

5.1 Consultation des utilisateurs

Méthodologie

Un certain nombre d’organisations ont acheté l’application eID, ou l’ont développée elles-mêmes. Il leur a été demandé d’expliquer la manière dont elles utilisaient l’application ainsi que la réaction des utilisateurs.

Universiteit Gent : enregistrement des étudiants

Au sein de l’université de Gand, une application eID interne a été développée pour l’enregistrement des étudiants. Cette application est discutée dans le chapitre relatif aux applications. Résultats de la consultation :

L’application est utilisée pour la troisième année consécutive.

Les avantages principaux sont : gain de temps + exactitude des données.

Pendant les mois d’été, elle est utilisée quotidiennement pour les inscriptions, en moyenne 150 fois par jour.

Le nombre d’étudiants qui sont inscrits par an est d’environ 6000. Tous les étudiants qui ont déjà une eID sont enregistrés via cette application.

Personne n’a refusé de laisser lire son eID au cours des trois années écoulées. Il n’y a eu aucune réaction négative.

La plupart des réactions sont positives. Les étudiants ont été agréablement surpris de voir que leur eID est utilisée de façon utile – c’est souvent la première fois qu’elle est utilisée – et ils sont étonnés de voir la photo sur l’écran.

Il existe des projets qui permettront aux étudiants de s’inscrire depuis leur domicile.

D’ici peu, le système sera aussi utilisé pour le personnel qui a été recruté récemment et ce par une intégration de l’application eID dans le système RH.

77



KU Leuven : enregistrement des étudiants

À la KU Leuven, l’eID est également utilisée pour enregistrer les étudiants. Les résultats de la consultation sont similaires à ceux de l’université de Gand. On a utilisé l’application pour la première fois lors de l’année académique précédente. Les réactions des étudiants allaient de neutres à positives et aucun refus n’a été enregistré.

De Oesterbank : enregistrement des employés

De Oesterbank, un atelier protégé à Ostende, utilise une application eID pour l’enregistrement des employés, à savoir pour lire et imprimer les données de l’eID.

On utilise déjà cette application quotidennement depuis un an lors de l’inscription des nouveaux employés et lors des éventuelles adaptations des données.

Le gain de temps et l’exactitude des données ont été mentionnés en tant qu’avantages.

Aucun refus, ni réaction négative n’ont été communiqués.

Remarque : cette application est utilisée uniquement pour lire et imprimer les données d’eID, les données ne sont donc pas utilisées sous forme électronique.

Mobiel : enregistrement des locataires

Mobiel, une a.s.b.l. de Courtrai qui loue des bicyclettes, utilise l’application eID pour l’enregistrement des locataires, aussi bien sur le marché privé que pour les étudiants de l’université (KULAK) et des instituts supérieurs de Courtrai.

L’eID est lu et un contrat de location est rempli automatiquement.

L’application est utilisée depuis janvier 2007.

L’application a été utilisée déjà plus de 1500 fois, en moyenne 5 fois par jour.

Le fait que les cartes eID étrangères ne peuvent pas être lues constitue une limitation.

Le gain de temps et l’exactitude des données ont de nouveau été mentionnés comme principal avantage.

Aucun refus ni réaction négative n’ont été communiqués.

Centre culturel : commander en ligne des billets et des abonnements et enregistrer le cours

Le Centre culturel Ter Dilft à Bornem utilise l’application eID pour commander en ligne des billets et des abonnements ainsi que pour enregistrer les cours. Cela se fait avec un token ou via l’eID, avec le code pin. L’application est offerte via le site web www.terdilft.be.

L’application est utilisée quotidiennement.

Dans une première phase pilote, de manière à promouvoir l’application, un lecteur de carte a été offert gratuitement aux utilisateurs lors de l’utilisation de l’application qui se trouvait pendant une période limitée à la réception du centre culturel.

Le gain de temps et l’exactitude des données ont été cités comme grands avantages. Lors d’un changement d’adresse, les gens oublient souvent de le communiquer ; avec l’eID, cela se fait automatiquement.

Aucun refus ni réaction négative n’ont été communiqués. Selon l’organisation, l’utilisateur n’a pas de crainte quant à sa vie privée.

L’application peut aussi être utilisée à l’avenir pour réserver ou louer des salles.

http://www.terdilft.be

78

5.2 Contacts avec les organisations de consommateurs

Aussi bien Test-Achats que le CRIOC (Centre de Recherches et d’Informations des Organisations de Consommateurs) ont sporadiquement mené une enquête sur l’eID. Dans Budget&Droit de mai/juin 2005, un article est paru donnant une explication générale au sujet de l’eID, mais il n’y a pas eu d’enquête auprès des utilisateurs. Les organisations de consommateurs ne s’en occupent pas encore parce qu’il y a peu d’applications sur le marché. L’avis du CRIOC est le suivant :

Il trouve que les utilisateurs sont dupés. On leur a promis beaucoup de possibilités avec l’eID, mais en réalité ce n’est pas le cas.

L’utilisateur doit payer pour l’eID, dans certaines communes jusqu’à trois fois le prix d’une simple carte d’identité, pour une carte qui ne lui rapporte actuellement pas beaucoup. Au contraire, on a plus de problèmes qu’avec l’ancienne carte, par exemple à l’étranger.

Si on veut utiliser l’eID, on doit acheter un appareil. L’utilisateur n’a pas d’informations au sujet de ces appareils : le prix, le lieu de vente. Il ne pense pas acheter ces appareils.

Les autorités auraient dû prévoir que le prix dans chaque commune serait identique. Et à vrai dire, la carte aurait dû être gratuite. Les autorités doivent aussi donner plus d’informations.

5.3 Enquête auprès des entrepreneurs néerlandophones

Dans ce chapitre, les résultats proviennent de la consultation d’un groupe d’entrepreneurs néerlandophones. Dans le chapitre suivant, une description similaire est donnée pour une consultation d’entrepreneurs francophones.

Méthodologie

Une enquête a été menée dans le cadre de cette étude auprès d’une centaine d’entrepreneurs flamands (PME). Cette enquête a été menée lors des journées d’Inspiration PME, organisées par la KMO-IT, une a.s.b.l. provenant de l’activité ICT d’Unizo. Le sujet de la conférence était « tirer profit de l’ICT ».

La conférence comprenait une quinzaine d’ateliers concernant les solutions ICT et une bourse permanente avec les stands des 15 partenaires de la KMO-IT (entre autres Certipost, Isabel, Belgacom, etc).

Notre participation consistait en un atelier sur l’eID et un stand d’information où nous nous sommes adressés aux entrepreneurs. Nous leur avons demandé de remplir le questionnaire sur l’eID (ce questionnaire peut être trouvé dans l’annexe). Au total, 102 entrepreneurs ont rempli le questionnaire.

Le résultat de cette enquête est repris ci-après de même qu’un relevé des principaux points dont nous avons discuté avec les entrepreneurs sur le sujet, pendant la bourse, pendant et après l’atelier sur l’eID.

Les journées d’Inspiration PME ont eu lieu les 28 novembre, 29 novembre et 4 décembre 2007 dans 3 régions, à Louvain, Edegem et Courtrai : nous avons donc un bon panel au sein des provinces flamandes.

79



5.3.1 Résultats de l’enquête

Le lecteur (la lectrice) trouvera ci-dessous les résultats de l’enquête sur la base du questionnaire. Dans la mesure du possible, nous établirons un parallèle avec les résultats d’une enquête similaire menée par Agoria auprès de ses membres du 12 au 19 octobre 2007 (auprès de 224 entrepreneurs).

1. Description des personnes interrogées

Au total, 102 entrepreneurs ont répondu au questionnaire : 31 lors du salon à Edegem, 37 à Louvain et 34 à Courtrai.

Les graphiques suivants indiquent dans quels secteurs les entrepreneurs concernés par l’enquête sont actifs, la taille de leur entreprise, la répartition de leurs activités entre B2B et B2C et entre activités locales et internationales.

Distribution dans le secteur services

Autres36%

Comptabilité & conseil financier

6%

Consulting27%

ICT31%

Dans quel secteur exercez-vous vos activités?

Commerce et distribution

20%

Industrie & production

19%Services

61% Distribution dans le secteur services

Autres36%

Comptabilité & conseil financier

6%

Consulting27%

ICT31%


Commerce et distribution

20%


19%Services

61%

La majeure partie des entrepreneurs présents lors du salon fournissent des services : en particulier ICT et consulting, mais également comptabilité et conseil financier, assurances, GRH, formation, immobilier, assistance administrative, etc.

20% des personnes interrogées sont actives dans le commerce et la distribution et 19% dans l’industrie et la production.

80

Taille de l'entreprise

50 à 250 employés14%


< 10 employés64%

La majeure partie des entrepreneurs interrogés (64%) appartiennent à une entreprise comptant moins de 10 travailleurs. Parmi ceux-ci, un peu moins de la moitié sont indépendants (29%). 22% des entreprises appartiennent à la catégorie de 10 à 50 travailleurs et 14% à la catégorie de 50 à 250 travailleurs. Aucun entrepreneur interrogé n’appartient à une entreprise comptant plus de 250 travailleurs.

La majeure partie des entrepreneurs font des affaires uniquement avec d’autres entrepreneurs (business-to-business), seule une petite partie (15%) fait des affaires uniquement avec des particuliers (business-to-consumer). De plus, 24% fait du B-to-B comme du B-to-C.

Type business: B2B ou B2C?

B2B61%B2C

15%

B2B et B2C24%

Activités locales ou internationales?

locales et internationales

18%

internationales22% locales

60%


B2B61%B2C

15%

B2B et B2C24%



18%

internationales22% locales

60%

La majorité des entrepreneurs (60%) sont actifs uniquement sur le marché local, 22% ont essentiellement des activités internationales et 18% font les deux.

2. Connaissance de l’eID

La première question posée au sujet de l’eID a pour but de savoir si les personnes interrogées disposent d’une eID. Parmi les entrepreneurs interrogés, 63% disposent déjà d’une eID.

Disposez-vous déjà d'une carte eID?

oui63%

non37%

81



Après une brève explication des trois fonctionnalités de l’eID, il leur est demandé s’ils connaissenbien ou mal ces fonctionnalités. L’explication donnée au préalable est la suivante :

Identification : lecture des données se trouvant sur la carte eID, sans code pin

Authentification : apporter la preuve effective de qui vous êtes lorsque vous effectuez untransaction numérique avec code pin

Signature numérique : vous marquez votre accord avec les données présentes sur un documennumérique, avec code pin

Ces résultats indiquent clairement que l’identification est la mieux connue, devant l’authentificatioet la signature numérique.

Connaissez-vous la fonctionnalité "identification" de l'eID?

bien72%

pas bien28%

72% des entrepreneurs connaissent bien la fonctionnalité « identification ».

Connaissez-vous la fonctionnalité "authentification" de l'eID?

pas bien52%

bien48%

48% des entrepreneurs connaissent bien la fonctionnalité « authentification ».

Connaissez-vous la fonctionnalité "signature électronique" de l'eID?

pas bien61%

bien39%

39% des entrepreneurs connaissent bien la fonctionnalité « signature électronique ».

82

Une question similaire au sujet des trois fonctionnalités de l’eID a été posée dans l’enquête d’Agoria. La question y était formulée d’une autre façon, à savoir « Connaissez-vous les trois fonctions de base de l’eID ? », avec une description similaire de chacune des fonctions de base.

Voici les réponses données à cette enquête :

Identification Authentification Signature électronique

oui 79% 80% 77%

non 21% 20% 23%

La question était évidemment formulée différemment et il est logique qu’à la question : « Connaissez-vous bien ? » (dans notre enquête), le taux de réponse sera plus faible qu’à la question : « Connaissez-vous ? ». Pourtant, il est frappant de constater que les chiffres se situent, pour chacune des trois fonctions de base, dans le même ordre de grandeur dans l’enquête d’Agoria tandis qu’on note une différence nette dans notre enquête.

3. L’eID pour utilisation personnelle

Il est demandé à la personne interrogée si elle laisserait lire sa carte eID si on le lui demandait (l’exemple donné est « chez le pharmacien ou pour louer un vélo ») ou si elle l’utiliserait elle-même pour avoir un accès sécurisé (« par exemple pour vos opérations bancaires »). Une sous-question est posée : « Pourquoi ? Pourquoi pas ? À quelles conditions ? Quelles sont vos préoccupations ? »

58% des personnes interrogées ont répondu « oui » sans mentionner de conditions devant être remplies. Les principales raisons données pour cette réponse positive sont :

Simplicité et exactitude des données : 27%

Force probante / fiabilité / sécurité : 25%

Progrès / c’est l’avenir : 17%

Le total des pourcentages précédents ne donne pas 100% parce que toutes les personnes qui ont répondu « oui » n’ont pas argumenté leur réponse et parce que certaines catégories plus petites n’ont pas été retenues.

83



L'eID à usage personnelLaisseriez-vous lire votre eID si on vous le demandait?

non9%

oui, sur conditions33% oui

58%

Les arguments

simplicité & exactitude des

données 27%

force probante / fiabilité / sécurité

25%

progrès / c’est l’avenir

17%


non9%


58%

Les arguments


données 27%


25%

progrès / c’est l’avenir

17%

Les réponses suivantes ont été formulées à la question « À quelles conditions » :

En quelles conditions?

autres conditions45%

uniquement si la protection de la vie privée n'est pas

violée67%

uniquement lors d'une protection solide

30%

uniquement auprès des organisations fiables

15%

à condition que je connais quelles données

18%

Les réponses suivantes ont notamment été données pour « autres conditions » :

Uniquement si j’ai la certitude que mes données ne seront pas utilisées à des fins commerciales

Uniquement si je peux contrôler mes données sur place

Pas pour des applications en ligne

84

Uniquement pour une inscription mais pas pour les autres fonctions de base

Via mon code pin uniquement sur un terminal de lecteur de carte, mais pas sur un PC étranger (peur du piratage)

Uniquement si je reçois un lecteur eID gratuit

À la condition que cela ne soit pas lié à une obligation de paiement

4. L’eID pour utilisation professionnelle

Il a été demandé aux personnes interrogées si elles envisageaient d’utiliser l’eID dans la gestion de leur entreprise, ou si cela était déjà le cas. Aux personnes qui avaient répondu « oui » ou « peut-être », il a été demandé si elles le feraient plutôt pour le B2B, par exemple avec les fournisseurs, ou pour le B2C, par exemple avec des utilisateurs finaux.

Les résultats montrent que les entrepreneurs accueillent de façon positive l’utilisation de l’eID dans la gestion de leur entreprise : 75% ont répondu « oui » ou « peut-être ». Seuls 25% ont donné une réponse négative.

L'eID à usage professionnelProjetez-vous d'utiliser l'eID dans la gestion de vos affaires?

non25%

peut-être13%

oui62%

L'utiliseriez-vous plutôt en B2B ou plutôt en B2C?

B2C51%

B2B49%


non25%

peut-être13%

oui62%


B2C51%

B2B49%

Il ressort des résultats qu’il n’y a pas de préférence pour le B2B par rapport au B2C, les deux réalisent un résultat relativement similaire.

85



Voici les réponses données à la question « Pourquoi utiliseriez-vous l’eID » :

Pourquoi l'utiliseriez-vous l'eID dans la gestion de vos affaires?

transactions électroniques (e-commerce, e-banking, e-

learning)7%

signature électronique8%

conclure des contrats (par exemple pour la location

matériel)6% identification de clients

31%

l'authentification / accès aux systèmes et aux bâtiments /

enregistrement de temps24%

l'administration avec le gouvernement (e-gov)

13%

la comptabilité, les commandes & les factures

11%

5. Obstacles à l’utilisation de l’eID

L’enquête s’est penchée sur les obstacles compliquant l’utilisation de l’eID dans la gestion de l’entreprise. Une liste de 13 obstacles a été présentée aux personnes interrogées. Les personnes interrogées ont dû définir dans quelle mesure elles estimaient chaque obstacle contrariant sur une échelle de 1 à 4 (1 = peu incommodant, 4 = très incommodant).

2,3

2,4

2,4

2,5

2,6

2,6

2,7

2,7

2,7

2,9

3

3

3,2Insuffisamment informé sur l'usage et les applications de la carte d'identité électronique.

Les utilisateurs finaux sont méfiants quant à l'utilisation de la carte d'identité électronique.

Il existe trop peu d'applications prêtes à l'usage et conviviales.

Le cadre législatif est à la traîne des évolutions technologiques.

Il manque un cadre juridique clair autour de l'eID (flou juridique).

Tout le monde ne dispose pas encore d'une carte d'identité électronique.

La carte d'identité électronique n'est valable que pour les Belges.

On ne peut pas placer une signature électronique en qualité d'une fonction d'une entreprise.

La protection de la vie privée et la sécurité ne peuvent pas être suffisamment garanties.

On doit disposer de tous les instruments: un lecteur de cartes, software, etc.

De nombreuses entreprises ont déjà investi dans un autre système (p.e. badge).

C'est une matière complexe pour de nombreuses personnes.

Les applications sont trop onéreuses, exigent un investissement trop important. 2,3

2,4

2,4

2,5

2,6

2,6

2,7

2,7

2,7

2,9

3

3

3,2Insuffisamment informé sur l'usage et les applications de la carte d'identité électronique.







On ne peut pas placer une signature électronique en qualité d'une fonction d'une entreprise.





Les applications sont trop onéreuses, exigent un investissement trop important.

86

Un certain nombre d’obstacles ont été présentés dans l’enquête d’Agoria. Le chiffre situé après chaque obstacle indique le nombre de personnes ayant choisi cet obstacle.

Insuffisamment informé(e) sur l’utilisation et les applications : 42

Tout le monde n’en possède pas une : 37

Lecteur de carte : distribution et complexité avec le logiciel : 33

Sécurité, vie privée et responsabilité juridique : 28

Méfiance / peur : 15

Uniquement valable en Belgique / Que se passera-t-il avec les étrangers ? : 14

Manque d’applications valables : 10

Prix de revient : 10

Nous utilisons d’autres cartes : 9

Administration : 3

Conclusions de la comparaison entre les deux enquêtes :

On remarque que l’obstacle mentionné en premier dans les deux enquêtes est l’insuffisance des informations quant à l’utilisation et aux applications de l’eID.

L’obstacle lié à la sécurité, la vie privée et la responsabilité juridique obtient un résultat élevé dans les deux enquêtes. Dans notre enquête, on parle de méfiance des utilisateurs finaux et d’absence d’un cadre juridique clair.

La nécessité de disposer des outils nécessaires et la complexité de la matière constituent des obstacles plus importants dans l’enquête d’Agoria que dans la nôtre.

Le fait que les entreprises utilisent déjà d’autres cartes recueille relativement peu de suffrages dans les deux enquêtes.

6. Propositions concernant l’utilisation de l’eID

Un certain nombre de propositions ont été formulées pour mesurer l’attitude des personnes interrogées par rapport à l’eID. Il a été demandé aux personnes interrogées de déterminer dans quelle mesure elles sont d’accord avec ces propositions sur une échelle de 1 à 5 (1 = absolument pas d’accord, 2 = pas d’accord, 3 = ni l’un ni l’autre, 4 = d’accord, 5 = entièrement d’accord).

87



L'enregistrement de données personnelles par la carte d'identitéélectronique permet de réduire les erreurs et les imprécisions.

L'utilisation de la signature électronique permettra une plus grande efficacité dans les processus.

Le numéro du registre national peut être utilisé comme clé unique dans une banque de données d'entreprise.

Dès que mon identité électronique est connue, mes données peuvent être transmises à mon insu.

L'avantage de l'utilisation de la carte d'identité électronique dans l'e-commerce est que l'identité du vendeur et de l'acheteur est connue, de sorte que la transaction peut se faire avec plus de confiance.

Dès que mon identité électronique est connue, le risque est grand que je reçoive toutes sortes de publicité non souhaitées.

Un système électronique est moins sûr qu'un système basésur le papier, parce qu'il est plus facile de le forcer ou de l'utiliser frauduleusement.

Il est fastidieux de travailler avec des factures digitales.

Score 4,6: d'accord tout à fait d'accord

Score 4: d’accord

Score 3,9: d’accord

Score 3,7: plutôt d’accord

Score 3,3: ni d'accord ni en désaccord

Score 3,7: plutôt d’accord

Score 2,9: ni d'accord ni en désaccord

Score 2,5: plutôt désaccord

Conclusions :

On remarque que les entrepreneurs interrogés sont franchement d’accord avec un certain nombre d’avantages offerts par l’eID : moins d’erreurs lors de l’enregistrement des données et plus d’efficacité dans les procédures.

Ils sont relativement convaincus que le numéro de registre national sera utilisé comme clé unique dans une base de données d’entreprises ; en d’autres mots, ils ne se soucient pas vraiment ou ils ne sont pas conscients des conséquences juridiques.

Ils sont méfiants ou circonspects quant aux risques possibles qui pourraient survenir en ce qui concerne la transmission éventuelle de données à leur insu.

Ils perçoivent les avantages de l’utilisation de l’eID dans le commerce, notamment que l’identité de l’acheteur et celle du vendeur sont connues.

Ils sont divisés sur le fait qu’ils pourraient recevoir toutes sortes de publicité non désirées.

Ils sont indécis quant aux risques de piratage ou d’utilisation frauduleuse d’un système électronique en général.

Ils ne sont plutôt pas d’accord avec la proposition qui dit que travailler avec des factures électroniques est très fastidieux : cela témoigne d’une attitude plutôt ouverte (ou d’une ignorance) par rapport à l’utilisation de la facturation électronique.

88

7. Idées d’applications utiles de l’eID

Les réponses suivantes ont été données à la question « Avez-vous personnellement d’autres idées pour des applications utiles de la carte d’identité électronique ? ».

Des idées pour des applications utiles de l'eID

1 carte pour tout (eID, SIS, banque, permis de conduire,...)

34%

accès sur des sites web protégés

14%

eID pour l'entreprise8%

eID comme carte de clients14%

eID comme badge d’accès 8%

autres idées22%

On remarquera que ces pourcentages représentent seulement un nombre limité de personnes interrogées (au total 37 personnes interrogées ont répondu à cette question).

Les réponses suivantes ont notamment été données pour « autres idées » :

Proposer du hardware eID plus facile et moins cher

Organiser une campagne média à grand échelle (TV, journaux,…) fournissant des explications concernant l’eID

Intégrer les données médicales sur l’eID, e.a. le groupe sanguin : précieux notamment pour une intervention rapide en cas d’accident

Contrôle d’accès sur les lieux publics et lors d’événements (fêtes, festivals,…)

Paiement vignettes d’autoroute/taxes

Clé d’accès à la chambre dans un hôtel

5.3.2 Résultats des discussions avec les entrepreneurs

Nous vous indiquons ci-après les principales lignes directrices qui sont apparues dans les discussions avec les entrepreneurs, tant à l’infostand que durant les ateliers.

Connaissance de l’eID :

Un certain nombre d’entrepreneurs n’associent pas le terme « carte d’identité électronique » à leur nouvelle carte d’identité.

89



La plupart des entrepreneurs ne connaissent que les applications e-gov permettant d’utiliser l’eID, par exemple Tax-on-web, les demandes de subsides, l’administration relative à la sécurité sociale, etc.

Stimulants pour l’utilisation de l’eID :

Quelques entrepreneurs ont témoigné au cours des ateliers de leur satisfaction quant à l’usage de l’eID, une fois surmontées les procédures difficiles de l’installation des software et hardware.

o Elle est plus économique que l’utilisation de certificats au nom de l’entreprise, car tant le certificat lui-même que le service relatif à leur usage doivent être payés.

o Plusieurs applications gouvernementales, par exemple le dépôt des comptes annuels, peuvent être pratiquées aussi bien par l’entrepreneur lui-même que par le comptable au moyen de son eID personnelle.

Inhibitions quant à l’utilisation de l’eID :

Les entrepreneurs sont très mal informés sur l’eID ; pratiquement personne ne sait ce que contient la puce.

Le monde des affaires n’a qu’une très faible connaissance des possibilités d’utilisation de l’eID. La connaissance des applications existantes est pratiquement inexistante.

Des obstacles techniques : acquisition d’un lecteur de cartes, installation du software, acquisition des applications,…

o Des problèmes de compatibilité avec Isabel. Un entrepreneur utilise un lecteur de carte pouvant lire aussi bien la carte Isabel que l’eID : après une lecture de l’eID, le lecteur de cartes ne pouvait plus lire la carte Isabel.

Les entrepreneurs qui opèrent au niveau international ne voient pas d’avantages à l’eID car elle n’existe que pour les Belges.

Attitudes :

Certains entrepreneurs n’étaient pas disposés à laisser lire leur eID.

Il existe de nombreux préjugés sur l’eID. Parce qu’ils en savent si peu, certains entrepreneurs en donnent une interprétation personnelle, par exemple de ce que contient la puce.

Il y a eu, au cours des ateliers, un débat sur le fait que la jeune génération est beaucoup moins préoccupée par des questions de protection de la vie privée. Les jeunes sont très souvent branchés sur l’Internet, sur lequel ils conversent, diffusent des blogs et révèlent souvent leurs plus grands secrets sans aucune inhibition. Même lorsqu’on leur demande de lire leur eID, cela ne leur pose généralement pas de problèmes, ce qui ressort également des réactions des producteurs d’applications eID pour l’enregistrement des visiteurs d’événements, tels que des festivals et des dancings. Il s’ensuit que la génération occupée actuellement au développement de la législation eID et des applications eID a une attitude entièrement différente de celle des générations qui utiliseront ces applications dans le futur. Il est certainement nécessaire de tenir compte de ce fait.

90

Questions :

Existe-t-il un logiciel permettant de lire les données de l’eID au moyen du PDA (palm pilot)?

Comment fonctionne la signature électronique?

L’eID peut-elle être utilisée pour la sécurisation de l’accès à des applications?

Pourquoi le numéro de registre national est-il si sensible?

Discussions :

Les entrepreneurs ont exprimé une grande diversité d’opinions en ce qui concerne la consignation du numéro de registre national. Ils se sont demandé si l’eID peut être utilisée aux fins de réutiliser des données consignées antérieurement.

o Prenons le cas de l’organisation d’un événement. Si un nouvel événement est organisé, les données de la fois précédente peuvent-elles être réutilisées? Il serait utile, pour identifier uniformément une personne, de pouvoir faire usage du numéro de registre national.

o C’est pourquoi la question a été posée de savoir si le numéro de registre national peut être converti en un autre numéro avec un algorithme, afin que l’on puisse toujours récupérer le numéro de registre national.

Idées pour l’utilisation de l’eID :

Pendant les ateliers, les mêmes concepts ont été mentionnés que pendant l’enquête, notamment :

Remplacer les cartes de clients

Intégration de la carte bancaire

Intégration du permis de conduire

Intégration de toutes les cartes (carte bancaire, carte SIS, etc)

5.4 Enquête auprès des entrepreneurs francophones

Méthodologie

Une enquête a été menée dans le cadre de cette étude auprès d’une centaine d’entrepreneurs francophones, en grande partie de Wallonie, quelques-uns de Bruxelles. Cette enquête a été menée pendant la bourse ICT « Business Solutions » le 6 mars 2008 au palais des congrès La Géode à Charleroi. Ce forum a été organisé par Technofutur TIC, le pôle de qualité autour de l’ICT pour Charleroi.

La conférence comprenait un certain nombre d’ateliers abordant des solutions ICT et un salon organisé en continu avec environ 25 exposants.

91



Notre participation consistait en un atelier de présentation de l’eID et en un stand d’information qui nous a permis de nous adresser aux entrepreneurs et de leur demander de compléter un questionnaire relatif à l’eID (ce questionnaire est annexé).

Les résultats de cette enquête sont repris ci-après ainsi qu’une comparaison avec les résultats de l’enquête auprès des entrepreneurs néerlandophones.

5.4.1 Résultats de l’enquête

1. Description des personnes interrogées

Au total 102 entrepreneurs ont répondu au questionnaire. Les personnes interrogées étaient majoritairement wallonnes. Les graphiques suivants indiquent dans quels secteurs les entrepreneurs concernés par l’enquête sont actifs, la taille de leur entreprise, la répartition de leurs activités entre B2B et B2C et entre activités locales et internationales.


Autres services47%

ICT53%

- Consulting- Banques et l'assurances- Formation- Soutien administratif- Human Resources- Secrétariat social- Aide aux PME- Comptabilité & conseil financier- Communication & marketing


Services83%


9%

Commerce & distribution

8%


Autres services47%

ICT53%

- Consulting- Banques et l'assurances- Formation- Soutien administratif- Human Resources- Secrétariat social- Aide aux PME- Comptabilité & conseil financier- Communication & marketing


Services83%


9%

Commerce & distribution

8%

La majeure partie des entrepreneurs présents lors du salon fournissent des services (83%), en particulier ICT (53%) et en plus les banques, consulting et assurance, formation, assistance administrative, GRH, secrétariat social, aide aux PME, comptabilité et conseil financier, communication et marketing.

8% des personnes interrogées sont actives dans le commerce et la distribution et 9% dans l’industrie et la production.

Par rapport à la population dans l’enquête néerlandophone, les services sont mieux représentés (83% comparé à 61%) tandis que le commerce & distribution (8% comparé à 20%) et l’industrie & production (9% comparé à 19%) sont quant à eux moins bien représentés.

92

Taille de l'entreprise

> 250 employés14%



< 10 employés51%

La majeure partie des entrepreneurs interrogés (51%) appartiennent à une entreprise comptant moins de 10 travailleurs. Parmi ceux-ci, un peu moins de la moitié sont indépendants (23%). 13% des entreprises appartiennent à la catégorie de 10 à 50 travailleurs, 22% à la catégorie de 50 à 250 travailleurs et 14% à la catégorie de plus de 250 travailleurs.

Cette population diffère de celle de l’enquête auprès des entrepreneurs néerlandophones. Le groupe de > 250 employés n’y était pas représenté, ce qui est logique car la bourse où l’enquête néerlandophone a été effectuée, visait les PME.

Presque la moitié des entrepreneurs (47%), font des affaires uniquement avec d’autres entrepreneurs (B2B). Lors de l’enquête néerlandophone, ce pourcentage était plus élevé, notamment 61%. En plus 24% faisaient uniquement des affaires avec les particuliers (B2C) et 29% aussi bien B2B que B2C. Ces chiffres sont supérieurs à ceux de l’enquête néerlandophone.


B2B et B2C29%

B2C24%

B2B47%



15%

internationales37%

locales48%

Presque la moitié des entrepreneurs (48%) sont actifs uniquement sur le marché local (lors de l’enquête néerlandophone ce pourcentage était de 60%), 37% ont principalement des activités internationales (lors de l’enquête néerlandophone ce pourcentage était de 22%) et 15% font les deux.

2. Connaissance de l’eID

La première question posée au sujet de l’eID avait pour but de savoir si les personnes interrogées disposent d’une eID. Parmi les entrepreneurs interrogés, 64% disposent déjà d’une eID. Ici, il n’y a aucune différence significative avec l’enquête néerlandophone où ce pourcentage était de 63%.

93



Disposez-vous déjà d'une carte eID?

oui64%

non36%

Après une brève explication des trois fonctionnalités de l’eID, il leur est demandé s’ils connaissent bien ou mal ces fonctionnalités. L’explication donnée au préalable est la suivante :

Identification : lecture des données se trouvant sur la carte eID, sans code pin

Authentification : apporter la preuve effective de qui vous êtes lorsque vous effectuez une transaction numérique avec code pin

Signature numérique : vous marquez votre d’accord avec les données présentes sur un document numérique, avec code pin

Ces résultats indiquent clairement que c’est l’identification qui est la mieux connue, devant l’authentification et la signature numérique qui sont à peu près connues de manière similaire.

Connaissez-vous la fonctionnalité "identification" de l'eID?

bien59%

pas bien41%

59% des entrepreneurs connaissent bien la fonctionnalité « identification ». Ce pourcentage est inférieur comparé à l’enquête néerlandophone où il était de 72%.

Connaissez-vous la fonctionnalité "authentification" de l'eID?

pas bien57%

bien43%

43% des entrepreneurs connaissent bien la fonctionnalité « authentification » (comparé à 48% lors de l’enquête néerlandophone).

94

Connaissez-vous la fonctionnalité "signature électronique" de l'eID?

pas bien58%

bien42%

42% des entrepreneurs connaissent bien la fonctionnalité « signature électronique » (comparé à 39% lors de l’enquête néerlandophone).

3. L’eID pour utilisation personnelle

Il est demandé à la personne interrogée si elle laisserait lire sa carte eID si on lui demandait (l’exemple donné est « chez le pharmacien ou pour louer un vélo ») ou si elle l’utiliserait elle-même pour avoir un accès sécurisé (« par exemple pour vos opérations bancaires »). Une sous-question est posée : « Pourquoi ? Pourquoi pas ? À quelles conditions ? Quelles sont vos préoccupations ? »

59% des personnes interrogées ont répondu « oui » sans mentionner de conditions devant être remplies. Ceci est comparable avec l’enquête néerlandophone où le nombre était de 58%. Concernant les raisons données pour cette réponse il y a quand même une différence :

Simplicité et exactitude des données : 47% (enquête néerlandophone : 27%)

Force probante / fiabilité / sécurité : 19% (enquête néerlandophone : 25%)

Progrès / c’est l’avenir : 7% (enquête néerlandophone : 17%)

Le total des pourcentages précédents ne donne pas 100% parce que toutes les personnes qui ont répondu « oui » n’ont pas argumenté leur réponse et parce que plusieurs catégories plus petites n’ont pas été retenues.

Il ressort de ces chiffres que les entrepreneurs francophones en général voient plus les avantages pratiques de l’eID, notamment la simplicité et l’exactitude des données, et répondent moins spontanément que cela signifie un progrès ou « l’avenir ».

Les pourcentages pour « non » et « oui, sous conditions » sont comparables à ceux de l’enquête néerlandophone.

95




non13%


59%

Les arguments


données47%


19%

progrès /c’est l’avenir

7%


non13%


59%

Les arguments


données47%


19%

progrès /c’est l’avenir

7%

Les réponses suivantes ont été formulées à la question « À quelles conditions » :

En quelles conditions?

à condition que je connais quelles données

43%

uniquement d'une façon contrôlée25%

uniquement lors d'une protection solide57%

uniquement si la protection de la vie privée n'est pas violée

64%si mes données ne sont pas passées aux tiers

25%

j'ai été informé insuffisamment14%

l'accès fonctionnel restreint aux données nécessaires

18%

Les conditions précitées sont comparables à l’enquête néerlandophone.

96

4. L’eID pour utilisation professionnelle

Il a été demandé aux personnes interrogées si elles envisageaient d’utiliser l’eID dans la gestion de leur entreprise, ou si cela était déjà le cas. Aux personnes qui avaient répondu « oui » ou « peut-être », il a été demandé si elles le feraient plutôt pour le B2B, par exemple avec les fournisseurs, ou pour le B2C, par exemple avec des utilisateurs finaux.

Les entrepreneurs francophones envisagent aussi d’utiliser l’eID dans leur gestion d’entreprise, mais dans une moindre mesure que les entrepreneurs néerlandophones :

61% a répondu « oui » ou « peut-être » (lors de l’enquête néerlandophone, c’était 75%)

39% ont donné une réponse négative (lors de l’enquête néerlandophone, ceci n’était que 25%)


non39%

peut-être16%

oui45%


B2C57%

B2B43%


non39%

peut-être16%

oui45%


B2C57%

B2B43%

Il ressort des résultats qu’on a une préférence pour le B2C plutôt que pour le B2B pour l’utilisation de l’eID (lors de l’enquête néerlandophone, ceci était : 51% B2C et 49% B2B).

97



Voici les réponses données à la question « Pourquoi utiliseriez-vous l’eID » :

Pourquoi l'utiliseriez-vous l'eID dans la gestion de vos affaires?

l'identification des personnes, par exemple clients

14%

l'administration avec le gouvernement (e-gov)

19%

transactions électroniques (e-commerce, e-banking, e-

learning)22%

l'authentification / accès aux systèmes et aux bâtiments /

enregistrement de temps24%signature électronique

14%

autres7%

Les pourcentages pour « authentification », « administration avec les autorités » et « signature électronique » sont comparables à ceux de l’enquête néerlandophone. Il y a de légères différences, mais elles sont négligeables vu le nombre réduit de personnes. Les résultats pour les transactions électroniques sont aussi similaires (dans l’enquête néerlandophone, ils étaient fractionnés, ici ils forment un tout).

L’« identification des personnes » recueille moins de suffrages que dans l’enquête néerlandophone (14% par rapport à 31%). Il faut toutefois remarquer que sur l’infostand de la bourse KMO-IT (néerlandophone), nous avons effectué une démonstration du système d’enregistrement de visiteurs, ce qui n’était pas prévu à la bourse francophone. Ceci peut expliquer la différence.

5. Obstacles à l’utilisation de l’eID

L’enquête s’est penchée sur les obstacles compliquant l’utilisation de l’eID dans la gestion de l’entreprise. Une liste de 13 obstacles a été présentée aux personnes interrogées. Les personnes interrogées ont dû définir dans quelle mesure elles estimaient chaque obstacle contrariant sur une échelle de 1 à 4 (1 = peu incommodant, 4 = très incommodant).

98

2,3

2,4

2,4

2,6

2,6

2,7

2,7

2,7

2,9

2,9

3

3

3,1

On ne peut pas placer une sign. électronique en qualité d'une fonction d'une entreprise.












Insuffisamment informé sur l'usage et les applications de la carte d'identité électronique.

2,3

2,4

2,4

2,6

2,6

2,7

2,7

2,7

2,9

2,9

3

3

3,1



























Comparaison avec l’enquête néerlandophone :

Les cinq premiers obstacles sont les mêmes dans les deux enquêtes. « Être insuffisamment informé quant à l’utilisation et aux applications de l’eID » est mentionné en premier dans les deux enquêtes.

La plus grande différence entre les deux enquêtes se trouve dans l’obstacle « Il est impossible d’apposer une signature électronique valable au sein d’une entreprise en tant que représentant d’une fonction ». Dans cette enquête, cet obstacle se trouve à la dernière place (score : 2,3) tandis que dans l’enquête néerlandophone, il se trouvait au milieu (score : 2,6).

Le fait qu’il s’agit d’une matière complexe donne un résultat de 2,6 et lors de l’enquête néerlandophone un peu moins, soit 2,4.

Conclusion : en général, il n’y a pas une grande différence entre les obstacles énumérés par les entrepreneurs néerlandophones et francophones. La différence la plus importante est le score sur l’obstacle « Il est impossible d’apposer une signature électronique valable au sein d’une entreprise en tant que représentant d’une fonction ». Les entrepreneurs francophones s’en soucient moins que les entrepreneurs néerlandophones (score de 2,3 chez les Francophones comparé à 2,6 chez les Néerlandophones).

6. Propositions concernant l’utilisation de l’eID

Un certain nombre de propositions ont été formulées pour mesurer l’attitude des personnes interrogées par rapport à l’eID. Il a été demandé aux personnes interrogées de déterminer dans

99



quelle mesure elles sont d’accord avec ces propositions sur une échelle de 1 à 5 (1 = absolument pas d’accord, 2 = pas d’accord, 3 = ni l’un ni l’autre, 4 = d’accord, 5 = entièrement d’accord).

L'enregistrement de données personnelles par la carte d'identitéélectronique permet de réduire les erreurs et les imprécisions. Score 4,2: d'accord tout à fait d'accord

L'utilisation de la signature électronique permettra une plus grande efficacité dans les processus. Score 4,1: d’accord

Le numéro du registre national peut être utilisé comme clé unique dans une banque de données d'entreprise. Score 3,9: d’accord

L'avantage de l'utilisation de la carte d'identité électronique dans l'e-commerce est que l'identité du vendeur et de l'acheteur est connue, de sorte que la transaction peut se faire avec plus de confiance.

Score 3,9: d’accord

Dès que mon identité électronique est connue, mes données peuvent être transmises à mon insu. Score 3,3: ni d'accord ni en désaccord

Score 3,2: ni d'accord ni en désaccordDès que mon identité électronique est connue, le risque est grand que je reçoive toutes sortes de publicité non souhaitées.

Un système électronique est moins sûr qu'un système basé sur le papier, parce qu'il est plus facile de le forcer ou de l'utiliser frauduleusement.

Score 2,5: plutôt désaccord

Il est fastidieux de travailler avec des factures digitales.Score 2,3: plutôt désaccord

Conclusions :

Tout comme dans l’enquête néerlandophone, les entrepreneurs francophones interrogés sont franchement d’accord avec un certain nombre d’avantages offerts par l’eID : moins d’erreurs lors de l’enregistrement des données et plus d’efficacité dans les procédures. Dans l’enquête néerlandophone, le résultat de la première proposition était de 4,6 et celui de la deuxième proposition était de 4. Le résultat élevé de la première proposition dans l’enquête néerlandophone peut de nouveau être expliqué par le fait qu’un système d’enregistrement a été montré à la bourse néerlandophone.

Les entrepreneurs francophones sont d’accord avec la proposition que le numéro de registre national peut être utilisé comme clé unique dans une base de données d’entreprise (même score dans l’enquête néerlandophone). Tout comme les entrepreneurs néerlandophones, ils ne se soucient pas vraiment ou ils ne sont pas conscients des conséquences juridiques.

En ce qui concerne la quatrième proposition, tout comme les entrepreneurs néerlandophones (score 3,7), les entrepreneurs francophones sont d’accord, sur les avantages liés à la connaissance de l’identité de l’acheteur et du vendeur dans le cadre du commerce électronique.

Tout comme les entrepreneurs néerlandophones, les entrepreneurs francophones sont méfiants ou circonspects quant aux risques possibles qui pourraient survenir en ce qui concerne la transmission éventuelle des données à leur insu et l’utilisation éventuelle des données à des fins publicitaires. Il y a quand même une différence entre les deux enquêtes. L’entrepreneur néerlandophone est plus convaincu (score 3,7) que les données peuvent être transmises à son

100

insu que l’entrepreneur francophone (score 3,3). L’entrepreneur francophone semble donc être moins méfiant. La proposition relative à la publicité indésirable donne à peu près le même résultat chez les deux : 3,2 chez les Francophones et 3,3 chez les Néerlandophones.

Les entrepreneurs francophones sont plus en désaccord (score 2,5) avec la proposition qui veut qu’un système électronique serait moins sécurisé qu’un système papier que les entrepreneurs néerlandophones (score 2,9 donc d’accord ni pas d’accord). Ici aussi, les entrepreneurs francophones semblent donc moins méfiants que les Néerlandophones.

Les entrepreneurs francophones ne sont plutôt pas d’accord (tout comme les entrepreneurs néerlandophones, score 2,5) avec la proposition qui veut que travailler avec des factures numériques est très compliqué. Cela témoigne d’une attitude plutôt ouverte (ou d’une ignorance) par rapport à l’utilisation de la facturation

7. Idées d’applications utiles de l’eID

Les réponses suivantes ont été données à la question « Avez-vous personnellement d’autres idées pour des applications utiles de la carte d’identité électronique ? ».

une carte multifonctionnelle (eID, SIS, banque, permis de conduire)

remplir la fiche d’hôtel

accès aux sites web protégés (entre autres les mineurs)

commerce électronique

eID pour l’entreprise

eID comme badge

enregistrement à des cours

login sur le PC

lors des consultations médicales

un service de web gratuit pour un accès aux sites web protégés avec l’eID

5.4.2 Conclusions sur la comparaison des enquêtes francophone et néerlandophone

Les résultats des deux enquêtes sont très similaires. Les différences qui ont été notées sont :

Les entrepreneurs francophones voient en général plus les avantages pratiques de l’eID, mais au contraire des entrepreneurs néerlandophones, ils ne considèrent pas l’eID comme un progrès important.

Les entrepreneurs francophones envisagent moins d’utiliser l’eID dans leur gestion de l’entreprise que les entrepreneurs néerlandophones.

Les entrepreneurs francophones semblent avoir en général plus de confiance en la protection d’un système électronique et sont plus confiants sur le fait que leurs données ne seront pas transmises à leur insu.

101



Les entrepreneurs francophones se soucient moins du fait que les entrepreneurs ne peuvent pas signer avec l’eID au titre d’une fonction au sein d’une entreprise. Ceci peut être aussi un phénomène temporaire, dans le sens que les entrepreneurs néerlandophones ont peut-être déjà plus réfléchi au sujet et ont peut-être rencontré cet obstacle plus souvent.

5.5 Enquête et forum de discussion chez les adolescents (Internet)

Pour connaître les avis des adolescents au sujet de l’eID, nous sommes allés à la recherche de « chatrooms » sur Internet concernant l’eID. Sur le gaming site www.9lives.be, nous avons trouvé un forum de discussion concernant l’eID où une enquête (limitée) était liée.

Il est difficile à savoir quel est le groupe cible qui visite ce site web parce qu’il n’y a pas d’informations sur le site web lui-même. Le seul jugement concernant le site web est : « 9lives vous apporte un cocktail fort des nouveaux jeux et des matchs les plus cool ». Vu les sujets, le groupe cible se compose en grande partie d’adolescents et de fervents joueurs.

L’enquête a été menée au cours du mois de décembre 2007, le forum de discussion a été tenu du 12 au 18 décembre 2007. 314 personnes ont participé à l’enquête et environ 70 personnes au forum de discussion. Vu les réactions sur le forum, il s’agit en grande partie d’écoliers et d’étudiants mais un certain nombre d’entre eux travaillent déjà, probablement les vingt-trente ans.

Résultats de l’enquête

Les résultats de l’enquête sont les suivants (314 réponses, décembre 2007).

Résultats de l’enquête : de quelle manière utilisez-vous votre eID ?

J’ai un lecteur de cartes eID : 19 personnes (6,05%)

Je n’ai pas de lecteur de cartes eID mais j’utilise parfois mon eID en dehors de chez moi : 23 personnes (7,32%)

Je n’utilise jamais mon eID : 201 personnes (64,01%)

Heu ?? L’eID, c’est nouveau ça ? 71 personnes (22,61%)

http://www.9lives.be

102

Les résultats montrent que 64% n’ont jamais utilisé l’eID et 22,6% ne savent pas ce qu’est l’eID. Seulement 6% a un lecteur eID.

Extrait des réactions sur le forum de discussion

Résumé des réactions sur le forum de discussion

La plupart d’entre eux n’ont jamais utilisé leur eID. Ils restent sceptiques à l’égard de l’eID et ils se demandent quel en est l’avantage.

S’ils ont déjà utilisé l’eID, c’était :

o Pour les applications gouvernementales : demandes d’une bourse d’études, remplir des feuilles d’impôts, demandes de certificats de bonne vie et moeurs et d’autres documents administratifs

o En dehors de l’e-gov, pour le stockage des données bancaires, vidéothèque et du fitness

o Lors d’un contrôle de police

o Lors d’un contrôle de la douane

o Pour signer des contrats d’intérim via Certipost

Dès que quelqu’un mentionne des aspects positifs de l’eID et des possibilités offertes, il y a des gens qui réagissent de manière positive. Surtout le fait que plusieurs cartes peuvent être superflues – intégration de la carte d’identité, carte de bibliothèque, cartes client,… – plaît aux gens.

Il est frappant de constater qu’ils se soucient peu de la vie privée. Il n’y a aucune réaction concernant les aspects juridiques.

Ils font bien attention aux obstacles techniques. Les obstacles cités sont :

o Les lecteurs de cartes ne sont pas fournis et sont coûteux

o Le software n’est pas compatible pour toutes les applications

103



o Accès difficile pour les développeurs de software : par exemple, il n’est pas évident de connecter un compte utilisateur à l’eID, ce qui pourrait être fort utile pour beaucoup de sites web (par exemple eBay)

Les obstacles psychologiques sont aussi cités mais il apparaît clairement que ceux-ci ne les gênent pas en général, il s’agit plutôt de seuils psychologiques auprès de la population.

Un lecteur de carte est quelque chose de relativement inconnu pour la plupart des gens. Ils trouvent le prix (le montant moyen de 18€ a été cité) trop élevé. Ils trouvent par ailleurs que les autorités doivent payer ces frais.

La puce était tombée chez 5 personnes.

Apparemment, beaucoup d’entre eux ont déjà perdu leur code.

« L’utilisation la plus utile était hier matin quand j’ai gratté la glace de ma vitre de voiture. Dans le temps, cela allait plus rapidement avec cette grande carte. »

104

5.6 Conclusions sur le contexte psychologique de l’eID

Ignorance sur l’eID

Les utilisateurs finaux ne comprennent pas bien le système. Ils ne sont pas toujours conscients du fait que les données de la carte sont visibles sur l’écran de la personne en face d’eux quand ils mettent leur carte dans le lecteur de carte.

Certaines personnes ne savent même pas ce qu’est l’eID. Lorsque nous avons demandé aux gens s’ils possédaient déjà la carte d’identité électronique pendant la bourse ICT, plusieurs personnes ont répondu négativement. Si nous montrions notre carte, alors ils la reconnaissent.

Beaucoup de gens sont convaincus que toutes sortes d’informations secrètes ou sensibles sont stockées sur la puce, comme les données médicales ou les données salariales. Lorsque nous demandions pendant la bourse ICT aux entrepreneurs si nous pouvions lire leur carte, ils réagissaient : « Et qu’allez-vous apprendre sur moi ? ». Beaucoup de gens pensent tout de suite à « Big Brother ». Quand nous expliquions que sur la carte ne se trouvent que des renseignements administratifs, la réaction était parfois de l’incrédulité.

Complexité du sujet

Nous avons souvent entendu la remarque : « vous devez être un expert IT pour pouvoir travailler avec l’eID. Le système est beaucoup trop complexe ».

La complexité de la matière et l’absence de connaissances de base relatives à ces aspects soutiennent le sentiment négatif des gens concernant l’eID, notamment :

o On ne comprend pas la technologie se trouvant derrière l’eID.

o On ne prend pas le temps pour se renseigner au sujet des aspects techniques.

o On est insuffisamment au courant des possibilités de l’eID.

o Par incompréhension, on est contre l’eID, on ne comprend pas les avantages, on la trouve trop difficile et il y a un désintérêt pour en savoir plus ou pour en exploiter les possibilités.

Certaines personnes pensent qu’on peut écrire de l’information sur la carte.

Le problème est que tout est virtuel. Les gens ont besoin d’une image concrète. S’ils ne peuvent pas se former une image concrète, ils vont donner eux-mêmes une interprétation. Ce sentiment est encore renforcé du fait que peu d’applications eID sont utilisées.

Attitude relativement positive des entrepreneurs

Les résultats montrent que les entrepreneurs accueillent de façon relativement positive l’utilisation de l’eID dans la gestion de leur entreprise. On pense plutôt au B2C qu’au B2B.

On utilisera l’eID notamment pour l’accès aux systèmes, aux immeubles et aux sites web protégés, pour l’identification des personnes, pour le commerce électronique et l’e-banking, pour l’administration avec les autorités, pour la signature électronique, pour la facturation, les commandes et la comptabilité et pour conclure des contrats.

105



Confusion au sujet du cadre juridique

Les entrepreneurs interrogés sont d’avis qu’il manque un cadre juridique clair de l’eID et qu’en général, le cadre législatif prend du retard sur les évolutions technologiques.

Il y a en outre de la confusion quant à l’utilisation du numéro de registre national, auprès des entrepreneurs interrogés et auprès des producteurs d’applications eID. On se demande quand on peut l’utiliser et à quelles conditions? Si on peut le relier aux informations d’entreprises internes ? Si on peut le stocker ? Si oui, pendant combien de temps ?

D’autre part, il ressort de l’enquête que les entrepreneurs interrogés ne se soucient pas vraiment (ou ne sont pas conscients) des conséquences juridiques de l’usage du numéro de registre national.

L’identification dans un contexte administratif est relativement facilement acceptée

Après avoir consulté des utilisateurs d’applications eID, il ressort qu’en général, la plupart des gens ont eu peu de problèmes à utiliser l’eID lorsqu’ils ont dû, comme par le passé, montrer leur carte d’identité. En général, il s’agit ici d’une formalité administrative lors d’une rencontre physique, comme par exemple à la réception d’un hôtel, la location d’un vélo ou lors de l’inscription pour une formation. Il s’agit donc ici de la fonction d’identification de l’eID.

Les résultats des enquêtes auprès des entrepreneurs montrent que, si on le leur demande, seulement 60% d’entre eux sont prêts à laisser lire leur eID, sans se poser des questions. C’est donc beaucoup moins que lors de la consultation des utilisateurs où il n’y avait quasi aucun refus. Environ 30% veut le faire à certaines conditions et environ 10% le refuserait encore.

Il apparaît donc que lorsqu’on les place dans une situation hypothétique, les gens – qui commencent à réfléchir – se montrent plutôt récalcitrants alors que placés dans une situation concrète, ils réfléchiraient moins et seraient donc plus coopérants.

Les entrepreneurs qui se montraient réticents à la lecture de leur eID ont pu être convaincus facilement par une démonstration qui a montré que les données lues sont visibles sur la carte (exception faite de l’adresse). La plupart des gens sont alors rassurés et voient les avantages d’une identification avec l’eID, les données peuvent être enregistrées plus rapidement et de façon correcte.

L’authentification et la signature électronique sont relativement inconnues

De l’enquête avec les entrepreneurs, il ressort que seulement 45% des personnes sont au courant de la fonctionnalité d’authentification et 40% de la fonctionnalité signature électronique.

Les entrepreneurs interrogés sont d’accord avec la proposition qui veut que l’usage de la signature électronique conduira à une plus grande efficacité dans les procédures. Ils sont donc conscients des avantages que la signature électronique peut offrir.

Cependant il y a ici aussi des obstacles. Certaines personnes ne peuvent pas imaginer en quoi consiste une signature électronique, et c’est pourquoi ils sont réticents à l’utiliser. Aussi, le sentiment de perte de contrôle joue un rôle. Certaines personnes pensent qu’en signant quelque chose électroniquement, cette signature reste alors sur votre PC et que d’autres peuvent alors l’utiliser et en abuser.

106

Les adolescents ont moins de problèmes avec la vie privée

Après avoir consulté des utilisateurs (entre autres auprès des universités), il ressort que les adolescents ont peu de problèmes avec les aspects de vie privée reliés à l’eID.

Lors de contacts téléphoniques avec les producteurs d’applications eID pour l’enregistrement des visiteurs aux événements et aux dancings, il apparaît que les adolescents n’ont pas de problèmes à se laisser enregistrer par leur eID.

Ceci était clair pendant les ateliers avec les entrepreneurs. Il a été alors constaté que les adolescents ont beaucoup moins de problèmes avec la vie privée parce qu’ils grandissent dans un monde virtuel d’e-mail, de chat et de blog.

107



6 Contexte international de l’eID

6.1 Introduction

La mobilité accrue des citoyens qui voyagent aussi bien en Europe que dans le monde entier augmente l’importance des services électroniques à distance dans tous les secteurs : e-gouvernement, commerce électronique, e-health, e-business, etc. Le service à distance peut générer des économies importantes tant pour les autorités que pour les citoyens et les entreprises.

Pour créer ces services à distance, il faut une sécurisation élevée car il s’agit de données personnelles et souvent sensibles ainsi que d’opérations juridiques contraignantes. Pour cette raison il est indispensable que le prestataire de services ait une certitude à l’égard de l’identité de l’utilisateur.

Dans ce domaine, la carte d’identité électronique peut jouer un rôle important. Néanmoins, un certain nombre de conditions y sont attachées. Ainsi l’identification, l’authentification et la signature électronique doivent être possibles dans les autres pays. Les standards d’interopérabilité et les solutions techniques ont une importance extrême de manière à réaliser une transmission d’identité fiable et sécurisée.

Quelques projets et groupes de recherche importants dans le domaine de l’interopérabilité au niveau européen sont expliqués brièvement :

« eID interoperability for PEGS » (PEGS signifie « Pan European e-Government Services »). Il s’agit d’un projet de la Direction générale pour l’informatique de la Commission européenne. Le projet tente d’offrir une solution aux conditions légales, techniques et organisationnelles par rapport à la réalisation d’une infrastructure paneuropéenne interopérable pour la gestion de l’identité. Une politique d’authentification commune à plusieurs niveaux constitue un des éléments les plus importants.

STORK : signifie « Secure IdenTity AcrOss BoRders LinKed ». C’est une initiative de Fedict vers plus d’interopérabilité de l’eID au sein de l’Europe. Les principaux objectifs sont :

o Définir et tester des spécifications communes pour une architecture transfrontalière

o Acceptable pour tous les États membres et pour l’industrie

o Utilisable avec un maximum de technologies possibles

o Solution ouverte et adaptable

o Application en ligne

Porvoo Group : un réseau international des représentants gouvernementaux ayant pour but de favoriser l’identité électronique transnationale et interopérable, basée sur la technologie PKI. Pour cette raison, les transactions électroniques peuvent être sécurisées en Europe, aussi bien dans le secteur public que dans le secteur privé. Le groupe Porvoo a été mis en place dans la ville finlandaise de Porvoo en avril 2002 et se réunit deux fois par an.

BRITE : est l’acronyme pour « Business Register Interoperability Throughout Europe ». Il s’agit d’un projet de recherche, financé par la Commission européenne, pour la réalisation des liens entre les registres d’entreprise. Brite se concentrera sur les liens de communication pratiques qui contribuent à la gestion des registres et ceci à la lumière du commerce transfrontalier en croissance dans un environnement multilingue.

108

6.2 Analyse des développements relatifs à l’eID dans quelques pays

Du brouillon d’un rapport d’une étude de Siemens relative à la « eID Interoperability for PEGS », notamment les « Common specifications for eID interoperable solutions », il ressort que 28 des 32 États membres et candidats États membres de l’UE émettent des cartes d’identité. Parmi ces 28 pays, 7 pays ont une carte d’identité électronique et 14 pays sont en train de développer une carte eID.

La carte d’identité électronique, basée sur un système PKI, semble donc être la solution d’identification la plus répandue dans les pays analysés. A ce sujet, il faut remarquer que la plupart des solutions eID déjà implémentées ne sont pas interopérables. En outre, il faut tenir compte du fait que les systèmes basés sur les systèmes PKI ne sont pas les seules solutions d’authentification. Il faudra en tenir compte lors de la rédaction des spécifications communes.

Dans certains pays, la pièce d’identité est liée à d’autres supports hors de la carte d’identité électronique, comme par exemple la carte bancaire, le GSM, la carte de sécurité sociale, etc.

109



Les derniers développements dans le domaine de l’identité électronique dans les pays européens qui sont les plus avancés sur ce point ainsi qu’à Singapour sont décrits ci-après à titre de comparaison. Nous évaluons également la situation dans nos pays voisins, notamment aux Pays-Bas, en France, en Allemagne et au Royaume-Uni.

6.2.1 L’Estonie

Carte ID

L’Estonie est très avancée en matière d’e-gouvernement. C’était le premier pays où l’on pouvait voter par Internet lors des élections (en octobre 2005, lors des élections des Local Government Councils), en utilisant le certificat PKI sur la carte ID.

En Estonie, les certificats PKI sont utilisés comme outil d’authentification pour les services en ligne, aussi bien dans les services publics que dans les services qui sont offerts par les entreprises. Les certificats PKI pour la carte ID sont émis par une autorité de certification pour le compte des autorités. La carte ID peut être utilisée pour l’authentification et la signature électronique. Ces fonctionnalités sont supportées par une infrastructure PKI. Il y a deux codes pin : un code pour l’authentification et l’autre pour la signature électronique.

La carte ID est obligatoire pour toute personne au dessus de 15 ans et pour les étrangers qui restent un an ou plus dans le pays. La carte ID est une preuve d’identité officielle et est acceptée comme document de voyage européen. A l’heure actuelle, presque 90% de la population dispose déjà d’une carte ID électronique (plus de 1 million de cartes ont été activées). Le permis de conduire a été intégré dans la carte ID.

Une adresse e-mail personnelle est liée à la carte ID qui peut uniquement être utilisée pour réexpédier le mail entrant. Elle sert de canal officiel d’informations pour la communication avec les autorités et les entreprises. Cependant elle peut également être utilisée par d’autres. Cette adresse e-mail est une donnée publique qui est liée au certificat d’identification personnel.

6.2.2 L’Autriche

e-card Burgerkarte

La e-card Burgerkarte est une pièce d’identité électronique (un token) émise par différents secteurs privés et publics, qui peut être installée sur plusieurs supports, par exemple sur une carte bancaire, sur la carte SIM d’un GSM, sur la carte d’assurance maladie, sur un stick USB, etc. Cette pièce d’identité est déjà présente dans chaque téléphone mobile et ceci depuis 2004, chaque carte bancaire depuis 2005, la carte de sécurité sociale qui a été émise en 2005 aisi que sur les cartes des services administratifs. Les étudiants peuvent faire installer le token sur leur carte d’étudiant.

Cela revient au total à environ 15 millions de smartcards et de téléphones mobiles (activés ou pas) - presque chaque citoyen en possède un - sur une population de moins de 9 millions d’habitants. Ainsi, chaque citoyen peut choisir parmi plusieurs tokens qui peuvent être activés comme Burgerkarte. Il n’est donc pas obligatoire d’activer un token pour avoir une pièce d’identité électronique. A l’heure actuelle, environ 10 millions de tokens ont été activés.

Les tokens peuvent être utilisés pour l’authentification et la signature électronique. Ces fonctionnalités sont supportées par une infrastructure PKI.

Les certificats peuvent être délivrés tant par le secteur public que par le secteur privé. En cas d’activation d’une Burgerkarte, les frais pour les certificats sont pris en charge par des autorités de certification du secteur privé, à l’exception de l’activation de la carte de sécurité sociale, laquelle est gratuite.

110

La protection des données personnelles est garantie par des « identifiers » qui sont spécifiques selon le secteur. Les tokens ne contiennent pas de numéro de registre national, mais un code qui a été déduit du numéro de registre national, par chiffrement. De cette façon la vie privée est garantie.

La Burgerkarte autrichienne est une technologie neutre et un concept ouvert. Les tokens d’un certain nombre de cartes eID étrangères, comme les cartes belges, estoniennes, finlandaises et italiennes ont déjà été intégrées.

6.2.3 La Finlande

FineID

La Finlande est un pionnier dans le domaine de l’e-gouvernement. Elle était le premier pays ayant une législation en matière de service électronique provenant des autorités et une législation relative à l’usage de la carte d’identité électronique.

En Finlande, les certificats PKI sont utilisés comme outil d’authentification pour les services en ligne. Différentes sortes de certificats peuvent être commandées sur le site web des autorités finlandaises : des certificats pour les citoyens, les organisations, les serveurs ou les adresses électroniques. En Finlande, les certificats sont couramment utilisés.

Le personnel des autorités centrales finlandaises utilise une carte d’identité électronique avec un certificat propre aux employés administratifs, depuis 2006. Ces cartes, de même que les certificats, sont émises par les autorités centrales.

Le certificat pour la carte d’identité électronique des citoyens (FINeID) est aussi émis par les autorités centrales, mais la carte même est délivrée par la police finlandaise. La FINeID pour le citoyen n’est pas obligatoire. La FINeID est acceptée comme pièce d’identité officielle et comme document de voyage dans les pays européens. Les titulaires d’une carte peuvent décider de faire enregistrer leurs données de la sécurité sociale sur la FINeID.

Hors la FINeID, le certificat du citoyen peut aussi être apposé sur d’autres smartcards, comme la carte bancaire et la carte SIM du GSM.

6.2.4 L’Italie

CIE

L’Italie a déjà commencé en 2001 avec la mise en oeuvre de la carte d’identité électronique. L’Italie était le deuxième pays (après la Finlande) qui a introduit la carte d’identité électronique. Malgré ce début précoce, la carte est peu utilisée (moins de 2 millions) à l’heure actuelle et ceci à cause de raisons techniques, politiques et organisationnelles.

Pour le moment, l’Italie met la main à une carte d’identité électronique qui fonctionne comme pièce d’identité mais qui peut également servir lors de l’utilisation des services publics électroniques, parmi lesquels le contrôle d’âge aux automates de cigarette et la constatation d’identité lors des élections. Le but est que le service de santé et les prestataires fiscaux soient aussi impliqués. La carte d’identité électronique comprend des certificats PKI qualifiés.

6.2.5 La Suède

ID-card

111



La Suède ne possède pas de système national pour les pièces d’identité étant géré par une administration publique. La carte d’identité électronique n’est donc pas obligatoire en Suède. Néanmoins, Il y a des pièces d’identité électroniques qui sont émises par des entreprises, principalement par les banques. L’introduction de la carte d’identité électronique en 2004 a abouti à plusieurs contrats-cadres avec un certain nombre de fournisseurs de cartes d’identité électroniques : BankID (9 banques différentes), Nordea Bank, Steria et TeliaSonera Sverige.

La Suède a une tradition au sujet des pièces d’identité, remises par des entités privées. La Poste suédoise et plusieurs banques émettent déjà depuis quelques années des cartes d’identification personnelles. Certaines de ces cartes peuvent être utilisées en tant que support d’identité électronique. L’identité électronique peut toutefois aussi être gardée sur une autre smartcard ou sur un ordinateur. La pièce d’identité peut également être intégrée dans la technologie mobile GSM.

Depuis 2005, les cartes d’identité nationales sont délivrées par la police aux citoyens suédois avec lesquelles on peut voyager dans la zone de Schengen, ce qui est impossible avec les cartes d’identification des entités privées.

6.2.6 L’Espagne

DNI-e

L’Espagne a commencé en 2006 avec la délivrance de la carte d’identité électronique (Documento Nacional de Identidad). Elle est obligatoire pour toute personne âgée de plus de 14 ans. La carte d’identité électronique peut être utilisée pour l’authentification et pour la signature électronique, équivalente à une signature manuscrite.

En plus de la carte d’identité électronique, il existe aussi un système largement utilisé de certificats PKI qui sont émis par 11 ‘Certification Service Providers’ commerciaux (aussi bien publics que privés). Ceux-ci sont utilisés dans une multitude de services d’authentification e-gouvernement.

6.2.7 Le Portugal

Cartao de Cidadao

Au Portugal, les certificats PKI sont utilisés en particulier par quelques groupes spécifiques, comme les avocats, par exemple pour la création en ligne d’une société ou pour l’expédition de documentation vers une cour d’appel.

Avec l’introduction de la carte d’identité électronique portugaise, la Cartao de Cidadao, tous les citoyens pourront disposer dans le futur des certificats PKI pour l’authentification et la signature électronique. La Cartao de Cidadao sera obligatoire pour tous les citoyens en tant que pièce d’identité officielle et en tant que document de voyage au sein de la zone Schengen.

Les Portugais prennent l’eID belge comme exemple et vont collaborer étroitement dans les prochaines années avec les autorités et les entreprises belges. Une déclaration d’intention au sujet de la coopération entre les deux pays a été signée en février 2007. D’ici 2013, tous les Portugais devront disposer d’une carte d’identité électronique.

6.2.8 Singapour

SSID

112

Le « Singapore Standard for Smart Card ID » (SSID) est un standard commun pour les diverses cartes d’identification et leurs lecteurs qui est utilisé par des institutions gouvernementales et des organisations privées. Le standard spécifie la structure des données, la sécurité et les conditions d’accès et ceci pour une smartcard qui contient des données d’identification personnelles.

Le standard est basé sur les spécifications pour les passeports électroniques de la « International Civil Aviation Organization ». Cela veut dire que les deux systèmes seront compatibles.

Le standard peut éviter des problèmes d’interopérabilité et peut réduire les coûts. Plusieurs producteurs assurent la production des cartes et des lecteurs, donc le gouvernement n’est pas dépendant d’un seul fournisseur.

Il y a deux organisations qui utilisent déjà les cartes et les lecteurs qui soutiennent le standard SSID : le « Civil Aviation Authority of Singapore », qui à délivré 70 000 cartes pour ses employés, et le « PSA Singapore Terminals », qui a délivré 100 000 cartes aux ouvriers du port. Les smartcards, avec une double interface, sont utilisés pour l’identification et le contrôle d’accès.

Depuis novembre 2007, le standard SSID est aussi utilisé dans le nouveau système Singpass. Singpass est une carte d’identité électronique pour l’e-gouvernement.

Le standard SSID est la norme idéale pour les futures applications smartcard ID, car il est aussi compatible avec les standards internationaux. On prédit que, dans le futur, on utilisera une smartcard pour l’accès, l’e-commerce, les computer logins, et beaucoup plus d’autres applications.

6.2.9 Les Pays-Bas

eNIK

Depuis 2004, le Ministère des Affaires intérieures mettait la main au développement de la ‘elektronische Nederlandse Identiteits Kaart’ (eNIK). A l’heure actuelle, on est en train d’examiner si et comment ce projet peut être poursuivi après la sentence en référé rendue en septembre 2007 sur base d’une action intentée par deux fournisseurs contre les autorités des Pays-Bas.

A côté du projet pour la mise en oeuvre de la carte d’identité électronique, les Pays-Bas mettent la main à une ‘Digitale Identiteit’ (DigID). Avec la DigiD, les citoyens et les entreprises peuvent utiliser les services électroniques de plus en plus nombreux des institutions publiques, à l’aide d’un seul code pin. La DigiD est un système commun, conçu par et pour les autorités avec lequel les institutions publiques peuvent constater l’identité des citoyens et des entreprises qui utilisent leurs services électroniques.

6.2.10 La France

En France, les certificats PKI sont utilisés pour des applications e-gouvernement, tant pour les citoyens que pour les entreprises. Dans la santé publique, une infrastructure PKI propre a été mise au point avec une smartcard pour l’authentification et la signature électronique. Dans le futur, cette smartcard sera aussi utilisée pour l’accès aux données médicales.

Les services publics régionaux sont également devenus accessibles en 2003 à l’aide de la smartcard (Carte de la Vie Quotidienne). Cette année-là, on a initié les plans pour la carte eID nationale. Celle-ci sert entre autres pour la demande d’un passeport. La carte eID comprend quelques caractéristiques biométriques, dont une empreinte digitale et une photo numérique.

113



6.2.11 L’Allemagne

En Allemagne, il existe une smartcard pour l’utilisation dans la santé publique. En plus du nom et des données d’adresse, des données médicales importantes peuvent être mises sur la carte à la demande de l’utilisateur. En plus, on travaille à l’insertion, via une puce, de caractéristiques biométriques dans le passeport. De cette façon, le passeport deviendra une carte d’identité électronique.

Cette carte d’identité électronique supportera l’identification et l’authentification et (optionnellement) la signature électronique. L’introduction est prévue pour 2009. On envisage aussi d’intégrer des pseudonymes dans la carte d’identité électronique pour un accès sécurisé à l’Internet.

6.2.12 Le Royaume-Uni

Au Royaume-Uni, des certificats PKI ont été répandus, mais plus particulièrement pour quelques services spécifiques plutôt qu’à un niveau gouvernemental central à grande échelle. Quelques exemples : les administrations locales et le ‘Driver and Vehicle Licensing Agency’ (DVLA) qui émet la carte de tachygraphe numérique pour les camionneurs et certains chauffeurs d’autobus.

Il existe des plans pour introduire un permis de conduire smartcard, mais le Royaume-Uni attend encore l’approbation formelle de l’UE pour les standards à ce sujet.

Le Royaume-Uni ne connaît pas la carte d’identité nationale. Il est prévu de débuter avec la carte d’identité électronique dès 2009. Cependant, ces cartes doivent être auto-rentables car des subventions de la part du gouvernement ne sont pas prévues. Au Royaume-Uni il existe une grande opposition aux plans visant à l’introduction de la carte d’identité électronique.

114

6.3 Tableau comparatif

L’état des initiatives relatives à l’eID dans quelques pays de l’UE a été repris dans le tableau ci-dessous.

Belgique Estonie Autriche Finlande Italie Suède Espagne Portugal

ID obligatoire ? oui oui non non non oui oui

Planning 2004-2009 depuis 2002 tokens présents sur divers supports depuis 2005

Déploiement en cours depuis 1999

déploiement en cours depuis 2001

finalisation prévue en 2011

déploiement en cours depuis 2004, la production n’a démarré qu’en octobre 2005

déploiement en cours, finalisation prévue en 2008

prévu : 2008 - 2012

Identité électronique présente sur?

eID ID-kaart e-card Burgerkarte = token

le token peut aussi être mis sur la carte bancaire, la carte SIM, la carte de sécurité sociale, la carte d’étudiant, USB, etc.

FINeID

le Certificat du Citoyen peut également être placé sur la carte bancaire ou la carte SIM

CIE ID-card

l’identité électronique peut aussi être placée sur d’autres smartcard (ordinateur ou carte SIM)

DNI-e

Cartao de Cidadao

Facilités supplémentaires

integration carte SIS

le permis de conduire est intégré dans la carte ID

adresse e-mail personnelle reliée à la carte ID

Les tokens sont présents en standard sur des supports standards et doivent seulement être activés.

Possibilité d’enregistrement des données de sécurité sociale

Plans pour impliquer des acteurs de la santé publique

La vie privée pas de numéro ID unique

la vie privée garantie par les « identifiers » spécifiques pour un secteur

115



7 Analyse des applications de l’eID

Ce chapitre contient une analyse des applications de l’eID, aussi bien celles qui sont sur le marché que celles se trouvant dans la phase de mise au point.

Comme base de départ, nous avons utilisé pour cette enquête la liste qui se trouve sur le site Web eID de Fedict. A l’aide de la carte géographique interactive de Belgique, il est possible de vérifier quelles sont les applications disponibles de manière locale. Les producteurs ont volontairement communiqué leurs applications de l’eID aux autorités.

En outre, nous avons recherché des applications eID supplémentaires à l’aide de nos propres recherches (desk research) ainsi que par des contacts.

Pour atteindre une meilleure identification des caractéristiques similaires et une simplification des sélections, les applications de l’eID sont présentées sous forme d’une classification. Les applications de l’eID existantes seront analysées à l’aide de cette classification. Un aperçu des applications de l’eID à venir sera donné à la fin.

Dans le chapitre suivant, plusieurs applications spécifiques seront analysées plus profondément sous forme d’études de cas. Il s’agit d’applications qui ont été mises en place entièrement au sein de la propre société ou organisation, après une analyse des processus qui sont à la base de ces applications ou bien il s’agit de développements qui présentent l’utilité ou les insuffisances de l’eID de manière particulière.

7.1 Classification des applications de l’eID

Nous avons recherché une manière évidente de classifier les applications de l’eID. Nous sommes partis du point de vue de l’entrepreneur : supposons que l’entrepreneur souhaite utiliser l’eID dans un certain contexte, comment peut-il retrouver le plus facilement l’application exacte.

Pour chaque catégorie, il y aura une description du prototype, une liste des applications existantes et une analyse au niveau technique, juridique, économique et psychologique.

Les fiches individuelles des applications de l’eID ainsi qu’une liste des producteurs contactés sont incluses dans les annexes.

Classement selon les fonctionnalités pour l’entrepreneur

Nous pouvons diviser les applications eID selon les fonctionnalités analysées qui sont visibles pour l’utilisateur :

Enregistrement des données - identification de l’utilisateur : des applications qui utilisent uniquement les données présentes sur la carte eID.

Confirmation d’identité - accès autorisé : des applications qui utilisent la fonctionnalité d’authentification de l’eID. L’utilisateur doit taper son code pin avec lequel une sécurité supplémentaire sera intégrée. Dans un environnement sécurisé, par exemple dans une application interne à l’entreprise, l’identité peut être confirmée par des procédures de contrôle propres sur base d’une base de données propre. Dans un environnement plus universel, le certificat sera contrôlé (soit en ligne, à l’aide d’OCSP, soit via une copie locale de la liste CRL).

Sécuriser et signer des documents et des e-mails : l’utilisateur crée un fichier signé de manière digitale en utilisant la fonctionnalité de signature électronique de la carte eID.

116

Classement selon la granularité de l’application

Nous pouvons diviser les applications eID selon la granularité :

Composant : Une entreprise qui veut mettre au point des applications sur base de la technologie de l’eID, achètera de préférence un composant eID et l’intégrera dans une application existante ou nouvelle.

Applications prêtes à l’emploi : Les entreprises qui ne veulent pas investir dans le développement d’applications achèteront de préférence une application. Ces applications peuvent être divisées en deux groupes :

o Applications de l’eID : la fonctionnalité de l’eID constitue le composant principal de l’application.

o L’eID intégrée dans les progiciels : la fonctionnalité de l’eID est intégrée dans un logiciel et ne constitue qu’un petit élément du paquet entier.

Personnalisation : il s’agit d’applications de l’eID qui sont mises au point entièrement sur mesure de la société ou de l’organisation.

Structure matricielle

Dans le tableau ci-dessous, les classements précédents sont repris dans une structure matricielle. De cette façon nous obtenons 12 catégories. Chaque catégorie contiendra un exemple.

En dessous du tableau il sera indiqué si les applications sont utilisées de façon locale - dans un contact physique ou à un automate - ou par Internet ou Intranet.

Identification Authentification Signature électronique

Composants Module d’identification

Module d’authentification

Module e-Sign

Applications de l’eID Enregistrement des visiteurs

Accès sécurisé au site Web

Par exemple : MyCertipost

Applications prêtes à l’emploi

L’eID intégré dans les progiciels

Enregistrement des employés dans une application RH

Entrer dans un système comptable

e-Sign intégré dans les produits Microsoft ou Adobe

Personnalisation Enregistrement des étudiants

Étude de cas Ethias

e-Sign intégré dans un progiciel propre

Pour une utilisation correcte et sécurisée de l’authentification et de la signature électronique, il faut une connexion réseau. Celle-ci est essentielle pour contrôler la validité du certificat. Une copie locale de la liste CRL peut éventuellement être utilisée à cette fin, mais celle-ci doit être copiée de l’Internet et mise à jour toutes les 3 heures.

Principalement face à face ou

automate

Principalement Internet et Intranet

117



Les applications locales sont principalement utilisées pour l’identification, donc simplement pour l’enregistrement des données présentes sur l’eID (« data capture »).

7.2 Analyse des applications de l’eID existantes

7.2.1 Composants

Description

Les composants sont des modules eID qui peuvent être intégrés dans des applications. Nous analysons les 3 catégories ensemble : les modules d’identification, les modules d’authentification et les modules e-sign.

Exemples

Les entreprises qui commercialisent les modules eID sont entre autres : XLN-t, Arena Solutions, RoadByte, @rrowUp (lire : ArrowUp), Zetes, Gweb,… Le SDK (Software Development Kit) et le logiciel d’authentification sur un serveur Web des autorités (Fedict) sont décrits ici.

Une sélection des produits offerts :

IDGetter (XLN-t) : module électronique pour lire les données publiques de la carte eID et pour envoyer les données à un appareil non-PC comme des appareils pour le contrôle d’accès, les automates de vente etc.

IDagechecker (XLN-t) : module électronique pour lire les données publiques de la carte eID ou de la carte SIS et pour autoriser 1 ou 2 sorties en fonction de l’âge, avec une durée et une limite d’âge réglables - à utiliser, par exemple, pour les automates de vente de cigarettes.

eID reader (Arena Solutions) : sert à lire des données présentes sur l’eID et au stockage des données en tant que champs utilisables dans des applications.

eID View (RoadByte) : module pour afficher et imprimer les données présentes sur l’eID. Il offre aussi la possibilité de copier/coller les données vers d’autres applications et d’imprimer les données.

Belgium Identity Card Developer’s Kit (Fedict) : Software Development Kit (SDK) pour l’eID, destiné pour Microsoft, Apple et Linux. Ce software permet de lire, de valider et d’imprimer le contenu de l’eID à partir d’autres applications.

Belgian Identity Card Authentication Reverse Proxy (Fedict) : logiciel pour l’authentification sur un serveur Web avec l’eID. Ce logiciel permet de s’authentifier sur un serveur Web ou un serveur d’application grâce à l’eID.

.be Card SDK (@rrowUp) : Software Development Kit pour intégrer les données publiques de la carte eID et les données publiques et privées de la carte SIS (celles-ci sont utilisées dans les applications médicales).

.be Card SDK Professionnal (@rrowUp) : Software Development Kit pour intégrer les données publiques de la carte eID, les données publiques et privées de la carte SIS et les données de la carte de tachygraphe (carte d’utilisateur).

eID Development kit (Zetes et Certipost, disponible via le « eID magasin » en ligne) : le kit contient un nombre de spécimens d’eID, un accès aux services de validation pour les certificats, des outils (entre autres des codes sources) et un lecteur de carte (on peut obtenir plusieurs variantes de ce « development kit »).

118

eID Outlook (RoadByte) : module pour ajouter les données présentes sur l’eID dans Microsoft Outlook.

eID XML (RoadByte) : module pour exporter les données présentes sur l’eID vers un fichier XML.

eID Word (RoadByte) : module pour insérer automatiquement les données présentes sur l’eID dans un template Word.

eID FileMaker (RoadByte) : module pour charger les données présentes sur l’eID dans Filemaker.

myFMbutler eID (myFMbutler) : module pour charger les données présentes sur l’eID dans Filemaker.

Nous avons seulement décrit les produits de quelques fabricants. Bien entendu il y a encore beaucoup d’autres fabricants qui commercialisent des composants similaires. Cet aperçu a pour seul but de donner une idée des possibilités des modules eID et n’est donc certainement pas exhaustif.

7.2.2 Applications prêtes à l’emploi

Les applications prêtes à l’emploi peuvent être cataloguées en deux groupes :

1. Applications eID : la fonctionnalité de l’eID constitue le composant principal de l’application.

2. eID intégrée dans les progiciels : la fonctionnalité de l’eID est intégrée dans un logiciel et constitue seulement un petit élément du paquet entier.

7.2.2.1 Applications de l’eID

Applications de l’eID - identification

Description

Les applications de l’eID axées sur l’identification constituent le groupe le plus nombreux parmi les applications prêtes à l’emploi. L’eID est utilisée pour introduire les données personnelles dans un fichier. Étant donné qu’il s’agit d’une identification, ces applications sont utilisées principalement de façon locale, par exemple, dans un contact physique ou à un automate. Il y a toutefois quelques exceptions, notamment les applications Web où le code pin ne doit pas être introduit.

Les applications prêtes à l’emploi pour l’identification sont utilisées principalement dans un contexte B2C mais peuvent également se situer dans un contexte B2B.

Exemples

Les entreprises qui commercialisent les applications eID focalisées sur l’identification, sont entre autres : @rrowUp, Arena Solutions, RoadByte, PlanetWinner, BSYS, Vsecurity, Sun Solutions, XLN-t, Vasco,…


119



Applications locales (non connectées)

eID reading (@rrowUp) : application pour lire des données publiques de l’eID et pour stocker des données dans une base de données MS Access.

eID capture & print (@rrowUp) : application pour lire et imprimer les données publiques de l’eID.

.be eID Registration (@rrowUp) : application pour l’enregistrement des données présentes sur l’eID des visiteurs avec indication de l’heure de la visite, de la durée de la visite, de la personne contactée, etc. Il y a moyen d’imprimer un badge visiteur et il y a aussi moyen de scanner à l’aide d’un lecteur de code barres. Cette application est utilisée à la réception de Fedict et chez Certipost.

Enregistrement des visiteurs (Arena Solutions) : application pour l’enregistrement des données présentes sur l’eID des visiteurs avec indication de l’heure de la visite, de la durée de la visite, de la personne contactée, etc. il y a moyen d’imprimer un badge visiteur et d’ajouter des données de façon manuelle.

.be Guest (@rrowUp) : application pour l’enregistrement de données présentes sur l’eID des clients d’hôtel avec indication de la date/l’heure d’arrivée et de départ. Il y a moyen d’imprimer une fiche d’hôtel.

l’eID Hotel (RoadByte) : logiciel pour la réservation et la gestion quotidienne d’un hôtel.

Winner (PlanetWinner) : système de gestion intégrée pour des hôtels, des centres de conférence et des restaurants à l’aide de l’eID. Il est utilisé pour rechercher les invités, les enregistrer, actualiser les données, créer une fiche client et une fiche de police, ainsi que pour le paiement dans un hôtel-restaurant et pour la création d’une facture.

Fitness Ledenbeheer (BSYS) : application pour la gestion des membres et la gestion des abonnements à l’aide de l’eID. Le contrôle d’accès se réalise à l’aide des cartes de membre à code barres étant donné que ceci va plus vite qu’avec la puce de l’eID et qu’il y a moins de risque d’« usure ».

.be Rent (@rrowUp) : application pour l’enregistrement de données présentes sur l’eID des clients qui louent un objet, y compris la date et l’heure à laquelle les biens loués doivent être rendus. Il y a moyen d’imprimer une fiche.

Registr8 (Vsecurity) : application pour l’enregistrement des visiteurs aux événements, aux bourses et aux congrès. La liaison avec une base de données des visiteurs est possible. Pour les discothèques, une liaison avec une carte membre est possible. Remarque : la vente des billets en ligne ne s’effectue pas encore à l’aide de l’eID, il s’agit d’une fonctionnalité qui sera implémentée à l’avenir.

Sun Solutions : application pour l’enregistrement dans des centres de bronzage automatisés et non automatisés et un accès aux centres de bronzage non automatisés, avec l’eID.

Applications Web

Check eID (@rrowUp) : application en ligne dans laquelle les données présentes sur l’eID peuvent être affichées et imprimées, en utilisant la plate-forme digIDs. Le middleware ne doit pas être installé séparément et est intégré dans la solution.

Register eID (@rrowUp) : application en ligne pour l’enregistrement des données présentes sur l’eID dans un site Web, basée sur le cadre BluePrint qui utilise la plate-forme digIDs. Le middleware ne doit pas être installé séparément et est intégré dans la solution.

Appareils mobiles

Il existe également des applications eID qui sont intégrées dans le hardware, par exemple des appareils mobiles pour l’identification. Celles-ci sont analysées en annexe.

120

Analyse d’applications de l’eID pour l’identification

Stimulants Inhibitions

Technique - Ne doit pas être intégrée dans d’autres systèmes (prêts à l’emploi).

- Une connaissance technique préalable n’est pas nécessaire pour utiliser l’application.

- Fonctionnalité limitée qui ne révèle pas vraiment les possibilités de l’eID, mais toutefois pratique.

- Lit toutes les données, même s’il n’y a qu’une seule donnée nécessaire.

- La lecture de la carte prend parfois trop de temps ; lorsqu’il y a beaucoup de monde à identifier, cela peut provoquer du retard.

- L’installation du lecteur de carte et du middleware est assez compliquée et peut constituer un obstacle – pas applicable pour les applications qui n’exigent pas une installation séparée du middleware.

Juridique - Se fait principalement face à face, un vol d’identité est quasiment impossible.

- Pour le stockage des données, en particulier le numéro de registre national, on a besoin du consentement de la commission de la protection de la vie privée.

- Il existe une confusion concernant le traitement des données personnelles et les informations qui doivent être fournies à ce sujet et/si le consentement doit être demandé.

Économique - Coûts d’entrée minimaux et une formation minimale.

- Economie de temps.

- Un accès aux données correctes augmente la qualité et l’efficacité de l’application.

- À tout moment il doit y avoir une alternative pour les gens qui n’ont pas la carte avec eux, qui ne veulent pas la montrer, qui n’en ont pas encore une ou quand il s’agit d’un étranger.

Psychologique - Les utilisateurs ne doivent plus faire un effort pour noter leurs données, ce qui crée une situation gagnant-gagnant.

- Facile pour le client.

- Si ces applications deviennent populaires et beaucoup de commerçants ou d’entreprises utilisent l’eID pour l’enregistrement des données personnelles, il peut en résulter une accoutumance.

- Pas de contrôle du traitement des données par le propriétaire de la carte.

- Pas de possibilité de donner un pseudonyme - moins anonyme.

- A l’heure actuelle, la carte d’identité est surtout utilisée dans le contact avec les instances officielles ou en tant que contrôle. Il peut en résulter une résistance auprès du citoyen : « Big Brother is watching you ».

121



Conclusions : applications de l’eID pour l’identification

Les applications de l’eID prêtes à l’emploi pour l’identification constituent un gain de temps, sont simples à utiliser, personnalisées et bon marché. Elles sont idéalement appropriées pour l’enregistrement des données personnelles des clients, des visiteurs, des clients d’hôtel, des personnes inscrites à un cours, etc.

Ces applications sont utilisées principalement en cas de rencontre physique. De cette façon, un vol d’identité est quasiment impossible, car la personne peut être identifiée à l’aide de la photo sur la carte.

Il y a quelques applications pour l’identification qui sont offertes par l’intermédiaire du Web ou à un automate. Ici il y a donc une plus grande chance de vol d’identité en utilisant la carte d’une autre personne.

Les inhibitions se situent principalement au niveau technique, par exemple par l’installation nécessaire d’un lecteur de carte et du middleware, bien que l’installation d’un middleware ne soit pas exigée pour certaines applications.

Applications de l’eID - authentification

Description

Les applications de l’eID axées sur l’authentification sont utilisées en toutes circonstances où l’on doit faire preuve de son identité. La plus grande partie de ces applications sont activées par Internet ou par lntranet. Elles sont principalement utilisées pour accorder un accès aux systèmes, aux réseaux, aux informations et aux services.

Exemples

Les entreprises qui commercialisent de telles applications eID sont entre autres : RoadByte, Lithium ICT, Time Solutions, Imprivata, Vasco, Arena Solutions,…

Une sélection des solutions offertes :

Utilisation locale

eID Password Lock (RoadByte) : application pour le stockage sécurisé des mots de passe à l’aide de l’eID.

Applications en ligne

Snelbalie (lithium ICT) : guichet numérique, sécurisation du site Web, identification des clients pour donner des informations personnalisées et une possibilité de paiement en ligne par l’eID. À l’heure actuelle, les autorités locales sont les clients les plus importants.

Time Solutions : les employés peuvent se connecter avec l’eID au système pour consulter leurs données de pointage et pour remplir leur carte de congé - le système est aussi utilisé pour l’enregistrement de nouveaux employés.

OneSign (Imprivata) : application pour la gestion d’authentification par Single Sign-On et pour la gestion intégrée d’accès physique/logique. Ceci permet à l’utilisateur de se connecter une seule fois au réseau et d’obtenir un accès à toutes les applications. L’utilisateur peut utiliser son eID et n’est pas obligé de retenir des mots de passe supplémentaires. La solution est basée sur une automatisation extrême de la ‘password policy’ : pour chaque application individuelle, des mots de passe uniques et puissants sont créés à l’arrière plan et des changements éventuels des mots de passe sont exécutés automatiquement.

122

e-banking (Keytrade Banque) : l’accès à l’application est effectué à l’aide de l’eID, en utilisant un simple lecteur de carte et ceci en remplacement des anciens codes d’accès et des codes de confirmation. Remarque : pour un certain nombre d’opérations qui exigent une sécurisation plus élevée, on utilise un Digipass supplémentaire ; celui-ci ne fonctionne pas avec l’eID.

Appareils mobiles

Il existe également des applications eID qui sont intégrées dans le hardware, par exemple, des appareils mobiles pour l’authentification. Celles-ci sont analysées en annexe.

Analyse d’applications de l’eID pour l’authentification


Technique - Un accès sécurisé par l’utilisation du code pin.

- La sécurité est augmentée par un contrôle supplémentaire de la validité des certificats.

- Les applications fournissent un échange électronique des données sécurisées (SSL : Secure Sockets Layer).

- Fedict met gratuitement à disposition l’application « Mon dossier », ce qui est une bonne illustration et rend en outre les choses plus claires pour le citoyen.

- L’installation du lecteur de carte et du middleware est trop compliquée et peut constituer un obstacle. L’infrastructure Keypad est essentielle pour introduire le code pin.

- Temps supplémentaire nécessaire pour examiner la validité du certificat.

- Des PC non sécurisés avec des cartes qui restent dans le lecteur de carte ou un code pin qui est tapé sur un clavier pourraient permettre des fraudes (phishing et skimming).

- Le certificat est stocké sur le PC et peut être lu par d’autres applications.

- L’environnement sécurisé peut donner des erreurs étranges en conséquences desquelles l’utilisateur décroche.

Juridique - Plus de protection juridique pour le vendeur du fait qu’il connaît l’autre partie.

- Le numéro de registre national et les données personnelles se trouvent dans le certificat. Stricto sensu on a besoin de l’autorisation de la commission de la vie privée pour stocker le certificat.

Économique - L’environnement sécurisé permet de mettre à disposition des informations sensibles et des services par Internet. Ceci crée d’une part de nouvelles opportunités d’affaires ; d’autre part, l’automatisation peut créer un gain de temps considérable.

- Les applications commerciales peuvent utiliser le système PKI des autorités. Les autorités supportent les frais opérationnels pour ce système.

- Dans un contexte commercial, l’utilisation de la carte bancaire ou de la carte de crédit donne une fonctionnalité suffisante. L’eID n’est souvent pas une alternative car la solvabilité de l’acheteur ne peut pas être contrôlée par l’eID.

- Tous les maillons doivent être pris en considération lors de l’élaboration de la sécurité d’un processus. L’utilisation de l’eID avec un seul maillon peut créer un faux sentiment de sécurite. Ainsi il ressort, lors des enchères en ligne, que la solvabilité de l’acheteur n’est pas le point faible, qui porte plutôt sur l’honnêteté des transporteurs.

- L’Internet est international, l’eID est typiquement une initiative nationale et crée donc des frontières. Des investissements supplémentaires seront essentiels pour résoudre ce problème.

123




Psychologique - En général, le fait que vous êtes au courant du fait que tout le monde a dévoilé son identité donne un certain soulagement. Exemple : les espaces de discussion (« chatrooms ») pour enfants.

- Environnement virtuel : la sensation d’insécurité augmente car on ne voit pas ce que l’on fait et avec qui on fait certaines choses.

- l’eID réduit l’anonymat, donc l’« Effet Big-Brother » augmente car vous devez vous identifier partout. Les gens veulent souvent rester anonymes sur Internet.

Conclusions : applications de l’eID pour l’authentification

L’augmentation de la sécurité se fait au détriment de l’anonymat. Il convient de bien prendre en compte les avantages par rapport aux inconvénients, les gains, les coûts, la perte d’image et l’attractivité. Dans certains cas, les autorités devront rendre l’utilisation de l’eID obligatoire.

Du fait que l’eID n’est pas (encore) universelle, des systèmes parallèles sont utilisés - en général valables au sein d’une communauté fermée ou d’un domaine délimité. Par exemple, la carte bancaire peut offrir les mêmes garanties de sécurité et de fiabilité. En outre, une carte bancaire permet à la banque de faire du « branding ». Pour cette raison, elle reste pour la plupart des banques un outil d’authentification plus attractif que l’eID.

Il est difficile de convaincre l’utilisateur tant qu’une situation gagnant-gagnant claire n’a pas été créée.

L’utilisation de la fonctionnalité d’authentification de l’eID est idéale pour le remplacement de plusieurs noms d’utilisateur et des mots de passe - un ‘single sign on’ universel.

Plus on utilise l’eID, plus l’effet des standards et de la stabilité du software sera important.

124

Applications eID - signature électronique

Description

L’ajout d’une signature électronique à un document lie le contenu du document de façon irréfutable avec l’identité du signataire. Le moment de la création du document signé et de la validité du certificat à ce moment est important pour la force probante du document signé.

L’apposition d’une signature électronique est une authentification implicite. L’eID belge fournit cette fonctionnalité et contient un certificat séparé pour l’apposition de la signature électronique.

Exemples

Les entreprises qui commercialisent les applications eID axées sur la signature électronique sont entre autres : Certipost, Ometa, Arcabase, the eID Company,…


MyCertipost (Certipost) : cette boîtes aux lettres en ligne est un service qui permet de recevoir, de saisir et d’envoyer des informations à titre confidentiel de façon électronique et pour une lettre recommandée électronique, par exemple : les factures et les fiches de paie, les formulaires administratifs des autorités, etc.

Trust² (Certipost et Microsoft) : application pour protéger des documents électroniques et des e-mails avec l’eID de façon à assurer l’intégrité des informations échangées.

E-Signing (Certipost) : application pour l’apposition d’une signature légale obligatoire sur un document électronique et la vérification de la signature électronique sur un document reçu.

MS SharePoint eID (Ometa) : application pour lire les données présentes sur l’eID dans Sharepoint et lier des documents aux données présentes sur l’eID. Cette application permet également l’authentification et la signature électronique via Microsoft Office Forms (e-forms).

eID plateform (Arcabase) : authentification pour un accès aux sites Web et pour la signature électronique des documents et des actions à partir de l’application Web.

eID Service Platform (the eID Company) : plate-forme de service eID et modules de logiciel eID pour informatiser les procédures par Internet ou par Intranet, en utilisant l’eID. Il y a moyen de consulter des dossiers personnels (authentification), de faire un échange électronique des documents, de signer électroniquement des formulaires et de faire des commandes et des paiements en ligne. Il y a aussi moyen d’enrichir les données présentes sur l’eID avec des données provenant de sources externes et/ou de bases de données commerciales.

BluePrint (Agilesoft) : framework web portail compatible avec l’eID qui permet de développer les solutions basées sur le web. Le framework supporte l’identification, l’authentification et la signature électronique, et il est compatible avec l’eID. Il comprend des services web pour que les fonctions eID puissent être intégrées rapidement.

125



Analyse d’applications de l’eID pour la signature électronique


Technique - Circulation de documents électroniques entièrement possible.

- La signature électronique détermine le contenu de façon irréfutable ; aucune virgule ne peut être changée.

- Matière très compliquée.

- Certaines applications demandent un code pin pour l’authentification et un code pin pour la signature électronique. Cette situation est assez troublante pour les Belges car le même code est utilisé pour les 2 utilisations.

- La procédure et la technologie pour l’apposition de l’horodatage électronique avec l’eID sont loin d’être parfaites.

- La sauvegarde de longue durée d’un document demande des investissements particuliers.

- Il existe encore beaucoup de problèmes pratiques quant à l’utilisation de la signature électronique dans un contexte international.

Juridique - Moins de possibilité de fraude, plus de transparence.

- Les actes authentiques ne peuvent pas encore être signés électroniquement, du point de vue légal.

- Pas de soutien juridique complet cf. l’horodatage et l’archivage.

Économique - La gestion des documents électroniques en remplacement des documents en papier donne une économie d’espace considérable quant aux archives.

- La possibilité d’une informatisation prolongée des processus, donc un temps écoulé plus rapide des processus.

- Meilleur accès aux informations correctes et plus grande disponibilité de celles-ci.

- Possibilité d’optimisation du rapport coût/efficacité.

- Opportunité commerciale pour livrer des services (tiers de confiance).

- L’eID est liée à un individu, une personne. A l’heure actuelle, elle n’est pas liée à un mandat ou à une entreprise.

Psychologique - Sécurité élevée grâce à la connexion du contenu avec la signature.

- Il ne s’agit pas d’une signature visuelle. - Les gens ne peuvent pas s’imaginer dans quel

but elle peut être utilisée.

- Confusion au sujet des termes ‘signature électronique’ et ‘signature numérique’.

- Beaucoup de malentendus relatifs à la notion ‘signature électronique’. Beaucoup de gens la considèrent comme une signature numérisée.

126

Conclusions : Applications de l’eID pour la signature électronique

Un document signé électroniquement est reconnu légalement, mais peu utilisé en général.

La signature électronique s’applique certainement à un environnement e-gouvernement et pourtant même dans ce domaine-là on constate peu d’utilisation.

La signature électronique permet de traiter entièrement les documents de façon électronique ce qui peut donner des avantages considérables en matière d’efficacité et de fiabilité.

Il y a toutefois encore une multitude d’obstacles qui empêchent une bonne mise en œuvre de cette technique.

o Du fait qu’il s’agit d’un sujet complexe, beaucoup de gens ne le comprennent pas. Pour cette raison ils ne sont pas tentés de l’utiliser.

o Le soutien juridique n’est pas encore entièrement mis au point : l’horodatage et l’archivage sont en théorie possibles avec l’eID, mais le cadre légal n’est pas encore prêt.

o L’eID peut uniquement être utilisée à titre personnel et pas au nom d’une société ; pour résoudre ce problème il faudra un système de mandats.

Il ne s’agit pas du remplacement d’une signature ordinaire par une signature électronique. Il faudra une « réingénierie des processus d’affaires » approfondie pour intégrer la fonctionnalité de la signature électronique dans la gestion de l’entreprise. Ce sont des processus de longue durée impliquant une composante importante de gestion du changement.

7.2.2.2 L’eID intégrée dans les logiciels

Description

Dans cette catégorie d’applications, la fonctionnalité de l’eID est intégrée dans un logiciel où elle ne constitue qu’une petite part du progiciel entier.

Exemples

Les entreprises qui commercialisent de telles applications sont entre autres : Microsoft, Adobe, Apple, IBM, Invemaco, Ineo, Portima, Pronoia,…


Microsoft : l’utilisation de l’eID est intégrée dans le paquet Microsoft Office 2003. On peut faire deux choses avec l’eID :

o Signer électroniquement des documents et des e-mails : la méthode pour ce faire est décrite en détail sur le site Web de Microsoft : (http ://www.microsoft.com/belux/nl/office/eid/word.aspx)

o Protection des documents contre une utilisation indésirable : avec Microsoft Office 2003 Professionnal Edition et un abonnement à Trust² pour Microsoft Office, les documents peuvent être protégés contre une utilisation indésirable. Trust² est un service de Certipost qui supporte l’utilisation de la carte d’identité électronique, en tant que preuve de l’identité. Désormais, des documents et des e-mails peuvent être envoyés avec la restriction que seul le destinataire puisse ouvrir, copier, imprimer

http://www.microsoft.com/belux/nl/office/eid/word.aspx

127



et/ou partager le document. La vérification de l’identité du destinataire est possible à l’aide de la carte eID.

Adobe : a intégré la signature électronique dans ses produits pour qu’un fichier pdf puisse être signé électroniquement, entre autres avec l’eID. De cette façon, le destinataire du document signé a la certitude de l’origine et de l’identité du signataire du document. Adobe a fondé un « eID Competency Centre » en Belgique. Avec ce centre, Adobe veut stimuler le développement des applications en ligne pour l’eID.

Tivoli Access Manager for e-business (IBM) : est une solution polyvalente pour des problèmes de reconnaissance et d’autorisation dans le domaine d’e-business. Ceci varie d’un Single Sign-on (SSO) assez simple à une liste de sécurisations Web avancées. L’eID est une parmi de nombreuses méthodes d’identification supportées par Tivoli Access Manager.

Lotus Workplace Forms (IBM) : Sécurisation des documents d’affaires avec une signature électronique à l’aide de l’eID. Les formulaires peuvent être sauvegardés dans un système de ‘content management’. Plusieurs parties du document électronique peuvent être signées par plusieurs utilisateurs. Le document peut également contenir des annexes et des applications desktop. L’architecture ouverte de Workplace Forms permet une intégration rapide avec plusieurs processus.

Lotus Notes et Domino (IBM) : Les fonctionnalités suivantes sont supportées : la signature électronique des e-mails, le verrouillage et le déverrouillage du PC à l’aide de l’eID, une simple configuration d’authentification Web avec l’eID.

Interface de l’eID dans Efficy (Invemaco) : Interface de l’eID pour l’identification, l’authentification et la signature électronique dans Efficy, un logiciel ‘Customer Relationship Management’ (CRM) basé sur le Web.

Interface de l’eID dans Mercator (Ineo) : Mercator est une solution software pour l’intégration de la gestion comptable, la gestion commerciale, les points de vente et le commerce électronique. L’eID est utilisée pour le remplissage automatique de la fiche client - pour les cartes de fidélité, les garanties, le mailing, le marketing, etc - et pour l’accès au système par les utilisateurs.

Interface de l’eID dans BRIO (Portima) : BRIO est un programme pour la gestion d’un agent d’assurance. L’employé peut s’authentifier avec l’eID afin d’avoir accès au système. Les données clients peuvent aussi être chargées dans le système avec l’eID. Dans la mesure où les contrats d’asurance sont encore signés sur papier, il n’est évidemment pas fait usage de la signature électronique.

Interface eID dans AS/Web (Portima) : l’accès à ce portail peut se faire à l’aide de l’eID. De nouveau, l’eID n’est pas utilisée pour la signature électronique.

Schoolonline (Pronoia) : un logiciel en ligne mis au point sur mesure à destination de l’école. L’application offre plusieurs modules comme le bulletin de notes et le rapport, le rapport d’attitude et le système de suivi des enfants et des élèves, la gestion des stages, la gestion des sanctions, etc. Les enseignants et le personnel peuvent se connecter à l’aide de leur eID.

128

Analyse des interfaces de l’eID intégrées dans les progiciels

Les stimulants Les inhibitions

Technique - Moindre besoin d’une connaissance technique préalable : l’interface eID est intégrée dans le progiciel.

- Aucun besoin d’une application eID séparée.

- En fonction du progiciel, plusieurs fonctionnalités sont disponibles : l’identification et/ou l’authentification et/ou la signature électronique.

- Un certain nombre de progiciels sont compatibles avec plusieurs smartcards.

- Lit toutes les données, même s’il n’y a qu’une seule donnée nécessaire.

- La complexité de l’authentification et de la signature électronique reste un obstacle (même si elle est intégrée dans un progiciel).

Juridique - Vu la portée internationale des packages, ces applications doivent satisfaire aux demandes de plusieurs environnements. L’application doit se conformer aux conditions les plus élevées. Ceci aboutit parfois à des conditions plus strictes et ceci aboutit parfois à des solutions alternatives qui conviennent mieux à cet environnement international.

- Le stockage des données (numéro de registre national) : besoin du consentement de la commission de la protection de la vie privée.

Économique - L’échange de données est automatisé. Ceci aboutit à :

o Une économie de temps o Une augmentation de la qualité des

données

- L’eID est reliée à la personne – à l’heure actuelle elle n’est pas reliée à un mandat (fonction dans l’entreprise).

Psychologique - Convivial : l’utilisateur ne doit pas passer à un nouveau système, les fonctionnalités de l’eID ont simplement été ajoutées.

- Pas de contrôle par le propriétaire de la carte quant au traitement des données.

Conclusions : les interfaces eID intégrées dans les progiciels

Les interfaces eID qui sont intégrées dans les progiciels sont plus faciles à utiliser car l’utilisateur n’est pas obligé d’acheter un logiciel supplémentaire. Par conséquent, il faut une moindre connaissance préalable technique.

La convivialité est encore toujours liée à la complexité du sujet. Les applications avec une interface eID pour l’identification sont ressenties comme étant relativement conviviales. Les applications avec une interface eID pour l’authentification et/ou la signature électronique sont ressenties comme étant moins conviviales.

Un certain nombre de logiciels analysés concernent des packages complets, par exemple pour la comptabilité, la gestion bureautique, CRM, etc. Les coordonnées qui sont enregistrées à l’aide de l’interface eID peuvent donc être utilisées dans d’autres domaines. Ici, il y a toutefois encore une incertitude juridique concernant les possibilités d’utiliser et de lier les coordonnées individuelles à d’autres données (cf. la problématique du stockage et de l’utilisation du numéro de registre national).

129



7.2.3 Personnalisation

Description

La personnalisation concerne des applications eID qui sont entièrement mises au point sur mesure de la société ou de l’organisation. Pour la structure du document, nous avons subdivisé les applications personnalisées en trois catégories :

Études de cas : seront traitées dans le chapitre suivant

Applications spécifiques pour certains secteurs : nous analysons ici quelques exemples du secteur médical.

Autres applications personnalisées : par opposition aux études de cas, aucune interview approfondie n’a été effectuée pour ces applications. Le but de l’énumération est d’indiquer au lecteur (à la lectrice) de quelle façon on peut inclure l’utilisation de l’eID dans les processus d’entreprise.

7.2.3.1 Applications spécifiques dans le secteur médical

Nous analysons ici deux exemples d’applications dans le secteur médical.

Création des prescriptions médicales de façon numérique

Description générale

D Soft est une société belge spécialisée en la mise au point et la mise en œuvre des formulaires électroniques et de la gestion des documents. D Soft a développé une application pour créer les prescriptions de façon numérique sur l’ordre de Dibrosi. Dibrosi est une asbl qui s’occupe de la gestion informatique y compris la mise au point et l’entretien d’une application centrale pour trois organismes psychiatriques.

Pour l’enregistrement automatisé des données administratives et médicales relatives aux patients, une application informatisée est utilisée : le système d’informations Dibrosi (DIS), mis au point sur base d’Oracle. Les prescriptions sont également créées au sein de cette application. En utilisant la technologie eID, il n’est plus nécessaire d’imprimer les prescriptions sur papier pour les signer. Le médecin autorisé s’identifie à l’aide de son eID et signe la prescription électroniquement. Grâce à cette application eID la prescription peut être consultée - avec la signature - par la pharmacie de l’hôpital moyennant une application basée sur le Web.

Tous les médecins des trois centres possèdent une eID et un lecteur eID. La signature électronique d’une prescription permet une plus grande efficacité, mais elle garantit en outre une authenticité sans faille. La certitude qu’un médecin particulier a signé et que la prescription ne peut plus être modifiée est incontestable - pour autant que le médecin n’ait pas confié sa carte et son code PIN au personnel administratif. La signature électronique, liée à l’eID procure une sécurité et une efficacité plus élevées.

Description technique

A partir du « système d’informations Dibrosi » (DIS), les prescriptions sont créées de façon numérique. A l’arrière-plan, cette prescription est transformée en un document PDF. La signature

130

électronique de ce fichier PDF se fait sur base de l’eID du médecin, à l’aide d’un Applet Java en combinaison avec un serveur BlueRidge. BlueRidge est une plate-forme de services Web développée par D Soft qui est utilisée entre autres pour la conversion, la signature, l’archivage et la transmission des documents et des formulaires. La signature électronique finale sur la prescription peut, par exemple, être validée par le pharmacien avec un Adobe Reader standard.

Geneesmiddelenstroom (met eID)

voorschrijven bereiden

afleveren

klaarzetten

toedienen

opvolgen

innemen

Kiosque électronique équipée d’une eID

L’UZ Gent a mis en service deux caisses électroniques pour réduire les délais à l’accueil. Il s’agit d’un projet pilote qui combine l’utilisation de l’eID et le paiement électronique avec plusieurs autres applications hospitalières. Avec le projet, la section IT de l’UZ Gent met en oeuvre un début d’e-healthcare. Dolmen a pris en charge l’installation entière.

La caisse électronique s’appuie sur l’intégration de différentes applications et sur l’utilisation de plusieurs cartes. Le patient s’inscrit via l’appareil à l’aide de son eID. À l’aide du réseau, le système récupère les informations de base relatives au patient dans le dossier électronique des patients. Dès que le patient confirme ces données sur l’écran, il voit son rendez-vous ainsi que le montant à payer à l’UZ.

Ensuite l’appareil intégré de Banksys se met en action et permet au patient de payer par Bancontact ou par Proton. Pour finir, l’imprimante intégrée sort un billet avec toutes les données d’identification du patient, l’heure et l’endroit de la consultation. Ceci permet un gain de temps considérable. L’hôpital atteint en même temps un niveau d’efficacité plus élevé, grâce à la caisse électronique.

7.2.3.2 Autres applications personnalisées

Pendant notre enquête, nous avons contacté des utilisateurs d’applications auto-développées sur base de composants achetés. Un certain nombre de ces applications seront analysées ci-après (il s’agit seulement d’une fraction de l’offre totale). La plupart des applications ne supportent que la fonctionnalité d’identification.

Université de Gand : enregistrement des étudiants

Au sein de l’université de Gand, une application interne a été développée pour l’enregistrement des étudiants. Pour le développement de cette application eID, on a utilisé le middleware du gouvernement. Seule la fonctionnalité d’identification est supportée. L’eID est lue et un formulaire est rempli automatiquement. Pour les étudiants étrangers et les étudiants qui ne disposent pas

Flux des médicaments (avec l’eID)

préparer livrer

ingérer préparer administrer

suivre

prescrire

131



encore d’une eID, il est également possible de remplir le formulaire manuellement. La photo de l’eID est utilisée sur la carte d’étudiant.

On a choisi délibérément de ne pas utiliser l’eID en tant que remplacement de la carte d’étudiant à cause d’un nombre considérable d’étudiants non belges. Pour la même raison, l’eID n’est pas utilisée comme badge d’accès.

Mobiel : enregistrement des locataires

Mobiel, une a.s.b.l. qui loue des bicyclettes à Courtrai, utilise l’application eID pour l’inscription des locataires, aussi bien aux personnes privées qu’aux étudiants de l’université (KULAK) et des instituts supérieurs de Courtrai. L’eID est lue et un contrat de location est rempli automatiquement. Le fait que les cartes eID étrangères ne peuvent pas être lues est considéré comme un frein à l’adoption de l’eID.

Centre culturel : commande en ligne des billets et des abonnements et inscription aux cours

Le Centre culturel Ter Dilft à Bornem utilise l’application eID pour la commande en ligne des billets et des abonnements et pour les inscriptions aux cours. L’application a été développée par Anaxis. Dans une phase pilote, de manière à promouvoir l’application, les utilisateurs ont reçu un lecteur de carte gratuit lors de l’utilisation de l’application, qui se trouvait à la réception du centre culturel. L’application peut également être utilisée à l’avenir pour la réservation et la location de salles.

Securex

Le groupe de services sociaux Securex permet à ses collaborateurs de se connecter à l’aide de l’eID et donne ainsi aux partenaires comptables un accès au système CRM.

7.3 Suggestions pour les applications eID à venir

Les possibles applications eID à venir présentées dans ce chapitre sont le résultat :

Des applications en phase de conception (à l’aide d’une enquête auprès des producteurs)

Des propositions des entrepreneurs (provenant des enquêtes et des ateliers)

Des concepts des utilisateurs d’applications

Des résultats d’un brainstorming au sein d’IBM

Des possibilités pour des applications détectées par différents canaux (entre autres Internet)

Une grande partie des applications énumérées ci-après sont déjà disponibles ou sont en train d’être mises au point. Les personnes interrogées ne sont pas toujours au courant des applications qui se trouvent dans une phase de conception ou qui sont déjà sur le marché.

En énumérant les applications possibles, les personnes interrogées n’ont pas pris en considération les problèmes relatifs à la vie privée ou les possibilités techniques de la carte. Ils n’ont également pas différencié les fonctionnalités d’identification et d’authentification.

Si tous les utilisateurs sont effectivement prêts à utiliser leur eID pour les applications énumérées, la liste comprend beaucoup d’opportunités commerciales.

Les suggestions suivantes ont été notées :

132

Le contrôle d’accès aux endroits publics et lors des événements (fêtes, festivals,…)

Le contrôle d’accès aux dancings

Le contrôle dans les hôtels et les restaurants visant la consommation d’alcool par les jeunes de moins de 16 ans

On peut utiliser la carte comme clé d’accès pour des projets relatifs au partage de voitures

Une application dans la voiture pour lire les données d’adresse par exemple en cas d’accident ou dans une ambulance

Le contrôle d’accès aux films au dessus de 18 ans

L’identification dans un hôpital

L’eID comme remplaçant des autocollants pour la mutualité

Intégration des données médicales sur l’eID (entre autres le groupe sanguin) : utile, par exemple, pour une intervention rapide en cas d’accident

Une application pour l’identification sur le site Web de la commune de façon à ce que le citoyen puisse imprimer une preuve d’adresse

Une eID pour l’entreprise

Mettre sur la carte le fait qu’on a déclaré vouloir être donneur d’organes, ceci peut être pratique en cas d’un accident mortel

Un accès à une cabine téléphonique à l’aide de l’eID ou de la kids-ID de façon à ce qu’on puisse appeler gratuitement un numéro d’urgence

La réservation en ligne d’une chambre d’hôtel

L’eID comme clé d’accès à une chambre d’hôtel

La vente en ligne des billets pour des événements

La vente en ligne des abonnements

La commande en ligne auprès d’un grand magasin ou d’une pharmacie

Intégration de plusieurs fonctionnalités (l’eID, la carte SIS, le permis de conduire, la carte bancaire,…)

L’eID comme carte de fidélité

Intégrer l’eID dans le GSM

Le paiement de la vignette/taxe autoroutière

L’eID comme authentification pour le remplacement de la carte des riverains (parking des riverains) ou pour abaisser les poteaux anti-stationnement

Intégrer le passeport international dans l’eID

133



7.4 Conclusions des applications eID

Il y a déjà un grand nombre d’applications eID sur le marché.

o Les applications pour l’identification sont les plus populaires, particulièrement parce qu’elles sont faciles à comprendre et conviviales.

o Pour la plupart des gens, les applications dans le domaine de l’authentification et de la signature électronique restent difficiles à comprendre car ils ne peuvent s’en faire une représentation concrète.

A l’heure actuelle, les applications se trouvent dans la phase d’introduction. Le cycle de vie des applications et les caractéristiques de la phase d’introduction sont repris dans la figure ci-dessous.

• Hoge kosten

• Lage verkoopsvolumes

• Vraag moet gecreëerd worden

• Gebruikers moeten worden aangezet om het product te proberen

Beaucoup d’applications sont prêtes à être vendues mais il manque encore une demande spontanée. La demande est donc en particulier dirigée par l’offre (les producteurs).

Les entrepreneurs intéressés sont des « early adopters », notamment des entrepreneurs innovateurs avec un fort intérêt pour l’ICT.

Pour atteindre les entrepreneurs moyens, les producteurs devront tenir compte de leurs désirs et de leurs inquiétudes. Des entretiens avec les entrepreneurs, il ressort qu’ils sont particulièrement intéressés par les applications conviviales prêtes à l’emploi pour lesquelles aucune connaissance spécifique technique n’est exigée.

Les suggestions pour des applications eID à venir sont :

o Diminuer le nombre de cartes : plus d’informations et de nouvelles fonctionnalités sur la carte. Par exemple le paiement, l’intégration avec la carte SIS, le permis de conduire et le passeport.

o Augmenter le confort personnel : un lecteur de carte eID dans la voiture, commander automatiquement des médicaments lors d’une visite médicale, etc.

o Augmenter la sécurité personnelle : accès à une cabine téléphonique pour un appel d’urgence, vente d’alcool et des cigarettes, etc.

o Disponibilité rapide d’informations aux moments critiques : des informations au sujet des donneurs, des informations médicales en cas d’accident, etc.

o L’eID sur une autre smartcard, par exemple un GSM.

134

8 Études de cas

Dans le chapitre précédent, nous avons donné une liste non exhaustive d’applications eID prêtes à l’emploi disponibles sur le marché. En outre, certaines entreprises ou organisations ont également développé leur propre application. Il s’agit ici d’applications entièrement mises au point par l’entreprise, après une analyse des processus qui en sont à la base. Ces applications sont traitées comme des études de cas. Nous insistons à nouveau sur le fait qu’il s’agit d’une liste non exhaustive d’études de cas. Les applications de l’eID sont en effet en plein développement et de nouvelles applications voient le jour quotidiennement. Nous nous sommes limités aux applications les plus intéressantes actuellement – selon nous.

Les cas étudiés sont de deux types : d’une part, ceux qui supportent l’eID, et d’autre part, ceux qui n’utilisent délibérément pas l’eID.

Exemples d’études de cas qui utilisent l’eID :

o Mutualité chrétienne : application permettant aux affiliés de consulter leur dossier par le biais de l’eID.

o Partage de voitures : étude théorique de l’enregistrement et de la réservation en ligne par le biais de l’eID.

o Ethias : application permettant aux assurés de consulter leur portefeuille d’assurances par le biais de l’eID.

o iDTV : projet en vue d’une intégration possible de l’eID dans la télévision interactive.

o eBay : authentification des acheteurs et vendeurs avec l’eID.

o Porte-monnaie électronique : système électronique d’épargne et de rémunération avec l’eID.

o Espaces de discussion sécurisés : étude des systèmes de « chat » sécurisés avec l’eID.

o Certipost : la boîte aux lettres en ligne MyCertipost, e-Signing, Trust² et e-Access.

Exemples d’applications n’utilisant pas l’eID :

o Isabel (secteur bancaire) : utilise depuis des dizaines d’années déjà une infrastructure PKI conçue en interne et basée sur un standard, avec des smartcards compatibles (carte Isabel). Le passage à l’eID représente un défi technique très complexe qui n’offre pas assez d’avantages aux banques.

o Real (notaires) : un système développé en interne pour les notaires. Ces derniers n’utilisent pas la carte eID parce qu’un notaire ne signe pas des documents à titre personnel mais bien en sa qualité de notaire. Cette possibilité n’étant pas proposée avec l’eID, les notaires n’en font pas usage.

135



8.1 Étude de cas Mutualité chrétienne

Description

La Mutualité chrétienne a créé un service en ligne pour ses utilisateurs (travailleurs et membres). Ce service permet de consulter son propre dossier et d’obtenir des informations personnalisées. L’application est disponible depuis juin 2007, mais elle sera effectivement déployée à partir de janvier 2008.

On y accède avec son eID ou provisoirement avec un token de la MC. Pour inciter les utilisateurs à se connecter avec leur eID, la MC offre un lecteur eID à tous ceux qui s’engagent à ne plus communiquer en ligne qu’avec elle.

Avec cette application, il est notamment possible :

De demander des informations concernant les cotisations payées, les allocations, les remboursements de soins de santé et le dossier médical global.

D’effectuer diverses opérations, par exemple calculer des dépenses, télécharger et imprimer des attestations et des formulaires de demande, commander des publications, etc.

De consulter des informations générales et de s’inscrire à un service de courrier électronique.

Pourquoi l’eID est-elle utilisée?

Chaque Belge disposera prochainement d’une eID, ce système est mis gratuitement à disposition par les pouvoirs publics.

De même, le middleware est mis gratuitement à disposition par les pouvoirs publics.

De plus en plus de personnes disposent d’un ordinateur au travail comme à la maison. La consultation en ligne de données est l’avenir.

L’analyse coûts/bénéfices est positive. Les membres reçoivent un lecteur eID gratuit s’ils s’engagent à tout faire en ligne. Ce coût est insignifiant par rapport aux avantages, à savoir :

o économie de personnel

o amélioration de l’efficacité et de la qualité, moins de risques d’erreurs, plus de contrôle

o une communication individuelle plus efficace et des frais d’envoi réduits

Les lecteurs eID distribués gratuitement peuvent aussi être utilisés pour d’autres applications telles que Tax-on-web, Mon dossier… La situation est donc avantageuse pour toutes les parties.

L’eID sera aussi utilisée, à l’avenir, pour les applications internes, par exemple, pour la connexion au réseau, l’horodatage ou le télétravail.

Remarque : La Mutualité chrétienne avait aussi songé à utiliser la carte SIS, mais celle-ci sera intégrée à terme à l’eID.

136

8.2 Étude de cas Partage de voitures

Description

Le partage de voitures est le système consistant à utiliser en commun une voiture et qui est proposé aujourd’hui par des sociétés comme, par exemple, Cambio. Une étude théorique relative à l’inscription et la réservation en ligne de voitures au moyen de l’eID a été réalisée par Alexander Goossens, étudiant de la Katholieke Hogeschool Limburg. Selon nous, il s’agit d’un bon exemple de l’utilisation de l’eID. C’est pourquoi nous l’avons repris parmi nos études de cas.

L’étude reste théorique à ce stade, car il appert à la suite de contacts avec Cambio que ces derniers ne sont pas au courant des possibilités offertes par l’eID dans ce domaine.

Possibilités d’utilisation de l’eID

Procédure d’inscription

Mode opératoire actuel (sans eID) : Télécharger et compléter un formulaire PDF, l’imprimer et le renvoyer par la poste avec une copie de votre carte d’identité et de votre permis de conduire. Dans l’entreprise, les données sont saisies manuellement dans le système. L’inscription est confirmée par un e-mail de bienvenue.

Mode opératoire avec l’eID : Inscription en ligne avec l’eID. Un e-mail est envoyé pour confirmer l’inscription. Cet e-mail doit être signé électroniquement et renvoyé. Après contrôle de la signature électronique (via CRL ou OCSP), l’inscription est confirmée par un e-mail de bienvenue.

Le problème est toutefois que le permis de conduire ne se trouve pas sur l’eID et que ces données ne peuvent être transmises par la carte. Une solution possible serait que l’entreprise reçoive une communication du Registre national. De cette manière, la situation en matière de permis de conduire pourrait être vérifiée.

Une autre solution serait que le demandeur se connecte lui-même sur « Mon dossier ». Il pourrait ainsi télécharger lui-même un extrait de son permis de conduire et transmettre celui-ci. Reste encore à savoir si cet extrait constitue une preuve valable. Il pourrait éventuellement être validé avec les données personnelles supplémentaires figurant également dans le document.

Procédure de changement d’adresse

Lors d’un changement d’adresse également, la procédure recourant à l’eID est bien moins fastidieuse que la procédure actuelle. Le citoyen se rend au service population pour adapter la puce et enregistre son changement d’adresse après s’être connecté au système au moyen de la carte appropriée. L’opération ne nécessite aucun échange de courrier ni autre intervention manuelle.

Accès aux voitures

Il est théoriquement possible d’associer à l’eID la technologie permettant d’ouvrir la voiture. Au lieu d’une carte à puce avec code PIN, on utilisera alors l’eID avec code PIN.

Avantages et inconvénients de l’utilisation de l’eID

Avantages

Certitude et exactitude des données reçues

137



Rapidité et économie accrues en termes de coût : intervention nulle ou très limitée de la personne physique

Certitude accrue concernant l’identité du conducteur du véhicule emprunté

Moins d’investissement dans un système propre utilisant des cartes à puce spéciales et des codes PIN

Frais de développement réduits. Il est plus simple et plus rapide de développer un système d’inscription avec l’eID qu’un système d’inscription en ligne ordinaire, principalement en raison de la validation très avancée qui est absolument nécessaire dans un système d’inscription en ligne ordinaire. Lors d’une inscription avec l’eID, on connaît dès le départ les données qui seront collectées et le risque de saisie erronée est moindre

L’utilisateur peut accéder immédiatement à un véhicule après l’inscription. Cela permet de gagner beaucoup de temps étant donné qu’aucune formalité ne doit être effectuée par courrier.

Inconvénients

Un système alternatif doit toujours être prévu car tout le monde ne dispose pas encore de l’eID.

La confiance de l’utilisateur doit encore être obtenue.

8.3 Étude de cas Ethias

Description

Ethias

En tant qu’assureur direct, Ethias a toujours attaché beaucoup d’importance à la relation directe avec ses affiliés. C’est pour cette raison qu’elle a choisi depuis longtemps Internet comme moyen de communication.

Cela a conduit à la création de trois sites interactifs – visant chacun leur propre groupe cible – accessibles depuis le site Web Ethias (www.ethias.be). En cherchant à améliorer la convivialité de ces applications interactives, l’assureur a découvert les possibilités de la carte d’identité électronique.

Opérations en ligne Ethias

Les opérations en ligne sur le site portail d’Ethias peuvent être subdivisées en trois groupes :

My Ethias Assurance (particuliers)

Web Banking (particuliers)

Extranet (B2B)

L’utilisation de l’eID sur My Ethias

My Ethias est le portefeuille d’assurances en ligne d’Ethias qui a été lancé en 2002 (sous le nom My Smap). Sur ce site portail, les clients peuvent accomplir, entre autres, les opérations suivantes :

Consultation des contrats d’assurance (portefeuille d’assurances)

Demande d’un nouveau contrat ou modification d’un contrat existant

Déclaration et suivi de sinistres (habitation, voiture...)

http://www.ethias.be

138

Consultation de la situation du compte FIRST (sommes versées, intérêts...)

My Ethias est un service hautement sécurisé et entièrement gratuit, qui permet à la clientèle de gérer ses assurances en ligne. À l’heure actuelle, 140.000 clients Ethias sont enregistrés sur ce site portail.

La compagnie teste actuellement un projet pilote qui permet aux clients de se connecter sur My Ethias avec leur eID, au lieu d’utiliser un nom d’utilisateur et un mot de passe. Pour ce projet pilote, ces personnes ont reçu gratuitement un lecteur de cartes d’Ethias. Au terme de cette phase pilote, le projet sera étendu aux 140.000 clients d’Ethias. Le projet est mené en collaboration avec NRB (Network Research Belgium), la filiale informatique d’Ethias.

Le projet pilote concerne uniquement les assurances en ligne, pas la banque en ligne, et uniquement les particuliers (pas pour les opérations B2B sur l’Extranet) pour les raisons suivantes :

La banque en ligne est un domaine qui requiert une protection nettement supérieure. La plupart des banques utilisent leurs propres systèmes de protection d’accès à la banque en ligne, entre autres le Digipass, conjointement ou non à la carte bancaire. Il s’agit donc de systèmes internes développés spécifiquement pour la banque. L’utilisation de l’eID n’est pas encore envisagée dans ce domaine.

Le B2B est un domaine dans lequel l’utilisation de l’eID offre aujourd’hui peu de valeur ajoutée parce que l’eID est personnelle et n’est donc pas reliée à un mandat ou une entreprise.

Utilisation du numéro de registre national

En application de la législation sur le respect de la vie privée, Ethias ne peut pas conserver le numéro de registre national des personnes physiques dans une banque de données. Compte tenu de cette limitation légale, une solution de rechange a dû être trouvée pour permettre l’identification de l’assuré sur la base de son eID.

Le numéro de registre national est lié à un numéro d’identification utilisé en interne dans l’entreprise, via un hachage, pour que le numéro de registre national ne puisse en aucun cas être retrouvé à partir du numéro d’identification interne. Cette opération s’effectue chaque fois qu’une session est ouverte. Le système repère le numéro de registre national, l’associe au numéro d’identification interne et la suite des opérations s’effectue dans l’application avec le numéro d’identification interne.

Pourquoi avoir choisi l’eID?

L’eID est la méthode par excellence à utiliser pour une authentification sécurisée, tant sur Internet que pour l’accès à des applications et des bâtiments. Pour Ethias, l’eID est une étape logique vers un environnement plus convivial pour ses clients. C’est la réponse de la compagnie face au grand nombre de systèmes de badges et de mots de passe auquel le consommateur est aujourd’hui confronté.

En cas d’évaluation positive du projet pilote, Ethias souhaite, à l’avenir, utiliser davantage encore les possibilités offertes par l’eID. Elle y songe notamment pour l’accès aux bâtiments et aux applications, un guichet électronique, la conclusion de contrats en ligne et comme première authentification dans les opérations bancaires. Parallèlement, l’utilisation de l’eID peut également jouer un rôle important dans la lutte contre le blanchiment.

Obstacles à l’utilisation de l’eID

Il est très difficile d’obtenir des informations techniques détaillées sur l’eID, par exemple, le code source.

Suite à certaines modifications de version du middleware des pouvoirs publics, l’application a dû être chaque fois adaptée.

139



Fedict promeut toujours l’utilisation de l’eID mais il ne pourra être question de véritable généralisation de l’utilisation tant qu’une série d’obstacles en matière de législation sur le respect de la vie privée ne seront réglés ou assouplis.

Réactions des utilisateurs

Le projet pilote suscite principalement des réactions positives en ce qui concerne l’utilisation de l’eID. Ces réactions confirment l’engagement sur la voie de la simplification et de la convivialité.

8.4 Étude de cas iDTV

Description

iDTV est l’abréviation qui désigne la télévision numérique interactive. Cette nouvelle technologie permet d’offrir un vaste éventail de services numériques et interactifs via le téléviseur ordinaire. Parmi les exemples de services, citons le T-commerce (achat de produits en services via l’iDTV) et le T-government (informations des pouvoirs publics, par exemple, la « Vlaamse Infolijn », offres d’emploi du VDAB, informations communales, etc, via l’iDTV) mais l’e-mail, les SMS ou les jeux sont déjà des applications existantes.

Il existe des possibilités pour utiliser l’eID dans un environnement de télévision numérique interactive comme moyen d’authentification et de signature électronique. Dans ce domaine, une étude a été menée pour la WiCa (Wireless and Cable), un groupe faisant partie de l’unité d’enseignement et de recherche INTEC (un département d’Information Technology) de l’Université de Gand.

Cette étude concerne le développement d’applications de l’eID sur la plate-forme Multimedia Home Platform. La plate-forme Multimedia Home Platform a été choisie en Europe comme middleware standard pour la télévision numérique. En Belgique, elle est utilisée par Telenet, mais Belgacom utilise de son côté la plate-forme MYRIO.

La plate-forme Multimedia Home Platform regroupe en fait une série d’API (Application Programming Interfaces) permettant de développer des applications interactives, appelées xlets, qui peuvent servir dans le cadre de la télévision numérique interactive.

Objectif de l’étude

La première phase de l’étude est une étude théorique : « Intégration de l’eID sur la plate-forme MHP ». La deuxième phase élabore différents scénarios en vue de l’intégration possible de l’eID dans l’iDTV. Exemples d’applications :

Domaine publicitaire, avec la possibilité de transmettre l’identité et l’adresse du titulaire de l’eID, par exemple, pour effectuer un achat, recevoir un échantillon gratuit, obtenir des informations sur un produit ou participer à un concours.

Authentification pour certains services.

Signature électronique d’e-mails.

Création de profils de téléspectateur.

…

140

Une attention sera également accordée aux mécanismes de protection de la carte d’identité électronique et aux possibilités de protection de la plate-forme MHP.

Remarque concernant le groupe cible

Les personnes non initiées à l’informatique constituent un groupe cible qu’il est possible d’atteindre via la télévision numérique. Ce groupe de personnes pourra ainsi utiliser les nouveaux canaux de communication et bénéficier des possibilités offertes.

Avantages de l’utilisation de l’eID

L’utilisation de l’eID présente les avantages suivants :

Facilité d’utilisation : l’identité et l’adresse ne doivent plus être transmis par SMS, par exemple, pour effectuer un achat, recevoir un échantillon gratuit, obtenir des informations sur un produit ou participer à un concours.

L’identité et l’adresse sont toujours correctes.

Limitations de l’utilisation de l’eID

Inhibiteurs économiques

Pour les opérateurs de télévision numérique, Telenet et Belgacom, le « business case » pour l’intégration de l’eID n’est pas convaincant, la valeur ajoutée n’est pas évidente.

Inhibiteurs techniques

À l’heure actuelle, seul le Digicorder est compatible avec l’eID (il s’agit d’un Digibox avec enregistreur intégré) contrairement à la Digibox ordinaire.

Il n’existe pas encore de bibliothèque de logiciels adaptés pour les développeurs en vue d’une intégration aisée de l’eID dans des applications iDTV, contrairement à l’environnement PC dans lequel des composants sont disponibles. Le développement d’une telle bibliothèque nécessite une connaissance du fonctionnement interne de l’eID.

Inhibiteurs psychologiques

On peut se demander si le public est prêt à utiliser son eID avec l’iDTV.

Les téléspectateurs iront-ils de leur fauteuil au téléviseur pour insérer leur eID dans le lecteur de cartes? Il est peut-être opportun de songer au développement d’alternatives sans fil.

Quid de la confiance des téléspectateurs, du point de vue du respect de la vie privée et de l’éventuelle utilisation abusive des données?

Inhibiteurs juridiques

On ne sait pas exactement s’il est question de violation de la vie privée. La question doit encore être examinée de manière plus approfondie.

141



8.5 Étude de cas eBay

Description

eBay est une place de marché mondiale en ligne sur laquelle acheteurs et vendeurs se rencontrent dans le but de négocier des produits et services. C’est le site d’enchères le plus connu : il compte environ 200 millions de membres dans le monde. Étant donné l’anonymat des utilisateurs d’eBay, de nombreux cas de fraude peuvent y apparaître :

Certains articles payés ne parviennent pas aux acheteurs : dans la plupart des cas de fraude, ce sont des articles payés qui ne parviennent pas à l’acheteur. L’origine tient toutefois plus souvent aux services postaux ou de coursiers qu’au vendeur lui-même.

Origine frauduleuse des articles : l’anonymat de l’ensemble du processus de vente rend plus difficile le fait de retracer l’origine des produits. Les sites d’enchères peuvent constituer un canal idéal pour écouler, par exemple, des marchandises volées ou vendre des articles inexistants.

Vente de produits illicites : la nature des produits mis en vente peut également poser problème. Aux États-Unis, le berceau du commerce électronique, il est déjà arrivé que des organes soient mis en vente sur des sites d’enchères. Certains vendeurs tentent parfois aussi de vendre en ligne des contrefaçons.

Certains commerçants éludent ainsi l’impôt : étant donné que l’identification n’est pas obligatoire, certains commerçants se font passer pour des particuliers afin de contourner la réglementation et d’éluder l’impôt.

eBay s’efforce constamment d’améliorer et d’adapter ses systèmes de protection et veille à maintenir ceux-ci à jour. Aujourd’hui, l’identité de l’utilisateur est contrôlée au moyen de la carte de crédit, du numéro de téléphone fixe ou de l’adresse. Parallèlement, la fraude est limitée grâce au système étendu d’évaluations.’

Solutions possibles afin d’accroître la sécurité

La sécurité du système de paiement PayPal

eBay conseille à ses utilisateurs de recourir à des systèmes de paiements en ligne sécurisés tels que PayPal. Dans ce système, l’acheteur doit uniquement communiquer son adresse e-mail au vendeur pour régler le paiement. Aucune donnée financière n’est échangée. Si le vendeur ne respecte pas ses obligations et que l’acheteur peut prouver le paiement, une partie du prix d’achat pourra être récupérée.

Parallèlement, eBay offre aussi une protection standard de l’acheteur si un processus spécifique a été respecté.

Intervention d’un tiers de confiance

Il est possible de faire intervenir un tiers de confiance qui ne débloquera le paiement qu’en cas de traitement correct de la transaction. Une étude sur ce thème est menée par le SPF Economie en collaboration avec l’Université de Namur. Cette technique peut prévenir une série de pratiques frauduleuses. Il faut encore étudier de quelle manière l’eID pourrait intervenir dans ce processus.

Utilisation de l’eID

Lorsqu’un utilisateur ouvre une session et que son eID est vérifiée, on peut contrôler aisément s’il est bien celui qu’il affirme être.

Procédure d’utilisation de l’eID

142

Depuis peu, eBay a introduit une procédure pour vérifier l’eID. Si l’utilisateur dispose d’une carte d’identité électronique et d’un lecteur de cartes, il peut faire vérifier son eID par eBay. Lorsque cette eID est vérifiée, l’utilisateur peut effectuer des ventes nationales ou internationales sur eBay sans contrôle d’identité supplémentaire. Les acheteurs voient apparaître le pictogramme « eID vérifiée » dans le profil d’évaluation ainsi que dans les mises aux enchères au niveau des résultats de recherche, ce qui leur permet d’enchérir ou d’acheter les articles en toute confiance.

Pour faire vérifier son eID, l’utilisateur procède comme suit :

1. La page « Vérification de l’eID » affiche les nom et prénom, qui doivent correspondre aux données de l’eID. L’utilisateur peut apporter des modifications en cas d’erreur. Quand l’utilisateur a contrôlé toutes les données, il clique sur « Continuer ».

2. L’utilisateur sélectionne ensuite le certificat et clique sur « Continuer ». Il peut être invité à introduire à nouveau sa carte d’identité dans le lecteur de cartes.

3. L’utilisateur entre le code PIN de son eID.

4. eBay contrôle le certificat chez Certipost. Un message confirme ensuite que la vérification est terminée. Si le système indique que la vérification n’est pas achevée, l’utilisateur est invité à contrôler toutes les données et à s’assurer qu’il a entré correctement le code PIN.

5. Dans le message qui confirme que la vérification est terminée, l’utilisateur trouve un lien vers son profil d’évaluation. Le pictogramme eID vérifiée est affiché à côté de son score d’évaluation.

Stimulants pour l’utilisation de l’eID :

Chaque Belge de 12 ans et plus disposera prochainement d’une eID.

L’utilisateur n’a pas besoin d’un mot de passe séparé pour ouvrir une session sur eBay avec son eID. Il doit toutefois connaître le code PIN de son eID.

L’identité du vendeur est garantie avec certitude.

On observera une confiance accrue dans l’utilisation du site.

Une vérification immédiate est possible, sans temps d’attente.


Inhibiteurs économiques

Tous les membres du groupe cible ne disposent pas d’une eID.

Tout le monde ne veut pas investir dans un lecteur de cartes.

Inhibiteurs psychologiques

L’obligation d’utiliser l’eID peut constituer un obstacle pour les acheteurs et les vendeurs potentiels. C’est pourquoi l’utilisation de l’eID n’est pas obligatoire.

143



8.6 Étude de cas « porte-monnaie électronique »

Description

Qu’est-ce que le « porte-monnaie électronique » ?

Le « porte-monnaie électronique » (e-portemonnee) est un système électronique d’épargne et de rémunération qui permet de gagner des points grâce aux comportements durables et respectueux de l’environnement. Ces points peuvent être utilisés comme moyen de paiement pour effectuer divers achats. Toutes les transactions de points s’effectuent par le biais de l’eID ou de la carte communale, la carte existante utilisée comme carte d’accès au parc de recyclage et pour la collecte des sacs poubelle gratuits.

Le porte-monnaie électronique entend mettre en évidence et récompenser les comportements respectueux de l’environnement au jour le jour. Exemple : utiliser les transports en commun, acheter des emballages réutilisables, rapporter les vieux objets au parc à conteneurs/de recyclage, apposer un autocollant « Non à la publicité » sur sa boîte aux lettres, etc. Tout cela vous permet, par exemple, de gagner une entrée à la piscine ou une ampoule économique.

Le porte-monnaie électronique est une initiative de la plate-forme flamande « Bond Beter Leefmilieu” et de « Limburg.net » (regroupement des intercommunales limbourgeoises de traitement des déchets). Il a succédé à l’opération « Zet Milieu op de Kaart » et est opérationnel depuis le 12 novembre 2007 dans les communes d’Overpelt, Lommel, Zonhoven, Hechtel-Eksel et Diest.

La liste des « bonnes actions » et la liste des « récompenses »

Chaque commune établit une liste des « bonnes actions » (« verdienlijst ») comprenant toutes les actions qui permettent de récolter des points. Cette liste indique, à côté de chaque action, le nombre de points pouvant être gagnés ainsi que le lieu où ces points peuvent être ajoutés à la carte (« verdienplaats »). Les listes de « bonnes actions » sont différentes d’une commune à l’autre.

Outre la liste des « bonnes actions », chaque commune établit également une liste des « récompenses » (« verzilverlijst ») reprenant tout ce qui peut être obtenu au moyen des points. Cette liste mentionne également pour chaque article le nombre de points requis ainsi que le lieu où l’article peut être obtenu (« verzilverplaats »). Dans une liste de « récompenses », on peut, par exemple, trouver : « Une entrée à la piscine – 500 points – Accueil de la piscine ». Cela signifie que vous pouvez obtenir pour 500 points une entrée à la piscine en vous adressant à l’accueil de la piscine. Vous payez donc simplement avec des points plutôt qu’avec des euros. Les listes de « récompenses » varient également d’une commune à l’autre.

Fonctionnalités du porte-monnaie électronique

Le porte-monnaie électronique fonctionne comme une carte Bancontact. Rien n’est écrit sur la carte proprement dite. La carte sert uniquement à l’identification du propriétaire. Les points sont conservés dans un portefeuille électronique personnel dans une base de données centrale. Lorsque l’utilisateur effectue un paiement avec des points, ces points sont déduits du solde total de points.

Le porte-monnaie électronique est entièrement conforme à la législation sur le respect de la vie privée. L’eID sert uniquement à l’identification du propriétaire de la carte et à la réalisation des transactions de points. Les informations obtenues servent uniquement au fonctionnement du porte-monnaie électronique. L’approbation de la Commission de la protection de la vie privée a été obtenue avec la garantie que les données ne seront en aucun cas utilisées à des fins commerciales.

Le partenaire technologique Cegeka

Le système d’épargne de points a été élaboré par Cegeka, le partenaire ICT de Limburg.net, qui a conçu une application, à laquelle on accède via une application Web et qui permet d’associer des données à la carte communale et à l’eID. Tous les organismes participants (fonctionnaires

144

communaux, parcs à conteneur/de recyclage, magasins d’alimentation en produits naturels, magasins du monde, OVAM, etc.) ont accès à cette application Web.

Le prédécesseur : « Zet Milieu op de Kaart »

L’action « Zet Milieu op de Kaart » (Mettons l’accent sur l’environnement) est le prédécesseur du porte-monnaie électronique. Cette action a démarré comme projet pilote à Overpelt en novembre 2005 sous l’égide du « Bond Beter Leefmilieu », de la commune d’Overpelt et de l’ancienne intercommunale des déchets « Regionale Milieuzorg ».

L’action a remporté un grand succès. En tout, 985 ménages ont utilisé la carte d’épargne environnement (selon des données arrêtées au 12 décembre 2006), soit environ 1 ménage sur 6. En un an, ceux-ci ont économisé pas moins de 350.000 points. Les points ont été principalement convertis en bons de valeur, en entrées à la piscine, en lots de tombola et en ampoules économiques.

Selon une enquête, tant les consommateurs que les commerçants se sont dits satisfaits du projet pilote. C’est pourquoi l’administration communale d’Overpelt a décidé de poursuivre le système d’épargne en 2007.

En raison de ce succès, l’action a été étendue en novembre 2007 à 4 autres communes du territoire de la société limbourgeoise de traitement des déchets « Afvalmaatschappij Limburg », département « Regionale Milieuzorg » dans le cadre du projet de suivi « porte-monnaie électronique » (« e-portemonnee »).

Extension du porte-monnaie électronique

Extension du porte-monnaie électronique dans le Limbourg

Le territoire de l’ancienne intercommunale de traitement des déchets « Regionale Milieuzorg » (actuellement regroupée avec d’autres intercommunales au sein de Limburg.net) comporte 17 communes qui disposent toutes de la carte communale et donc de l’application qui rend possible le système d’épargne de points. Les autorités compétentes procèdent actuellement au passage de la carte communale à l’eID.

À terme, les 17 communes de ce territoire pourront donc au besoin utiliser le porte-monnaie électronique à l’aide de l’eID. À plus long terme, l’action « porte-monnaie électronique » pourra même s’étendre dans tout le Limbourg, en raison de la fusion des différentes sociétés limbourgeoises de traitement des déchets en une seule entité, Limburg.net.

Extension du porte-monnaie électronique dans toute la Belgique

Les autorités fédérales ont manifesté de l’intérêt en vue d’implémenter le porte-monnaie électronique au niveau national. Aucune démarche concrète n’a cependant encore été entreprise. Il faudrait en tout cas attendre 2009 et la délivrance des cartes d’identité électroniques dans tout le pays. Parallèlement, des efforts devront être faits sur le plan du matériel et des logiciels pour rendre le système disponible dans toutes les communes belges.

Carte communale contre eID

Les cartes communales ne disparaîtront pas entièrement du paysage après 2009. Elles subsisteront pour certains groupes cibles :

Les indépendants et les PME : ceux-ci peuvent utiliser les parcs de recyclage dans les communes où ils exercent leurs activités. Ils emploient, pour ce faire, la carte communale qui peut être établie au nom de l’entreprise et permet l’émission de factures.

145



Les ressortissants étrangers : les cartes communales continueront à exister pour les ressortissants étrangers car ceux-ci ne disposeront pas toujours d’une eID5. Dans le futur, la carte d’étranger pourra aussi jouer ce rôle, mais cela doit encore être clarifié. Les communes frontalières du Limbourg comptent de nombreux ressortissants néerlandais qui ne disposent pas d’une eID.

Nouveaux habitants : la carte communale peut aussi servir temporairement pour les nouveaux habitants durant la période intermédiaire où la domiciliation n’est pas encore effective sur l’eID.

Pourquoi avoir choisi l’eID?

Depuis le lancement de l’eID, des discussions ont été menées avec le Secrétaire d’État Peter Vanvelthoven et ses services. Grâce à ces contacts, l’Intercommunale a délibérément opté pour une carte communale basée sur la même technologie que la future carte eID, afin de pouvoir adopter à moyen terme la carte eID.

Avantages de l’utilisation de l’eID

La création des cartes n’entraîne aucun coût

Avec l’eID, plusieurs membres du même ménage pourront utiliser simultanément le système. Les cartes communales ont été conçues par foyer, c’est-à-dire que plusieurs membres du même ménage ne pouvaient pas utiliser la carte simultanément, par exemple, pour récolter/dépenser des points ou accéder aux parcs de recyclage. Avec l’eID, cette flexibilité est offerte.

Messages directs : L’intercommunale de traitement des déchets a obtenu l’autorisation de la Commission de la protection de la vie privée pour utiliser les données de l’eID et relier celles-ci à d’autres données relatives au traitement des déchets. Cette banque de données pourra être utilisée à l’avenir pour sensibiliser la population à la problématique des déchets et réaliser ainsi des économies. Prenons, à titre d’exemple, le compostage à domicile. Un mailing adressé à 350.000 ménages, au prix de 50 cents par lettre, peut ainsi coûter jusqu’à 175.000 euros. Grâce à la banque de données, il est possible de rechercher les personnes qui apportent des déchets verts et d’adresser le mailing uniquement à ce groupe cible – c’est-à-dire les personnes qui ont des déchets verts mais ne pratiquent pas encore le compostage à domicile –, ce qui permet de réaliser des économies.

Analyse coûts/bénéfices positive : la carte eID ne coûte rien en soi à l’intercommunale. Seul le téléchargement des modifications de données depuis le Registre national entraîne un coût. La banque de données construite doit uniquement être complétée avec les données relatives au traitement des déchets.

Le système de points offre un bon exemple de développement d’une relation positive et stimulante avec le citoyen. De plus, il s’agit d’un environnement non marchand.


Obstacles techniques

L’eID est une carte à contact : cela cause beaucoup de problèmes au niveau des lecteurs de cartes dans les parcs de recyclage. Étant donné que ces lecteurs de cartes se trouvent à l’extérieur par tous les temps, il arrive souvent que les cartes ne puissent être lues à cause de problèmes

5 Exemple: Les fonctionnaires européens résidant en Belgique qui conservent leur document national d’identité

146

d’humidité. Le grand problème est donc de trouver des lecteurs de cartes appropriés et à un prix abordable.

Obstacles psychologiques

Inquiétude relative à la violation de la vie privée. Ce système entraîne une certaine méfiance auprès du public étant donné que la carte d’identité électronique est utilisée comme carte d’accès. Il convient donc d’expliquer clairement que la participation au porte-monnaie électronique ne comporte aucun risque de violation de la vie privée.

8.7 Étude de cas Espaces de discussion sécurisés avec l’eID

Introduction

Dans le monde entier, les parents sont préoccupés lorsque leurs enfants participent à des « chats ». Il arrive en effet que des adultes se fassent passer pour des enfants sur ces espaces de discussion destinés aux enfants afin d’établir des contacts avec les enfants, non seulement dans le monde virtuel mais aussi dans le monde réel. Il n’est pas toujours aisé pour les parents de s’en rendre compte car les adultes mal intentionnés conviennent avec l’enfant de garder leurs échanges secrets.

La Federal Computer Crime Unit (FCCU) belge confirme que les risques sont réels. En 2003, la FCCU a transmis à la cellule Traite des êtres humains de la Police fédérale 39 dossiers dans lesquels elle a constaté des infractions impliquant des enfants entrés en contact avec un pédophile via Internet. Ce chiffre est élevé, d’autant plus que de nombreuses autres organisations sont susceptibles de faire état de problèmes et que la plupart des incidents ne sont vraisemblablement pas rapportés.

L’ancien secrétaire d’État à l’informatisation Peter Van Velthoven a, dès lors, décidé de permettre la sécurisation des chats avec l’eID dans le courant 2006. À cet effet, des lecteurs de cartes ont été distribués à tous les enfants âgés de douze ans en 2005. Le 1er février 2005, Bill Gates a annoncé, conjointement avec le secrétaire d’État, que Microsoft avait l’intention d’intégrer l’eID belge dans le programme de chat MSN Messenger. Microsoft a également promis d’examiner la manière dont l’eID pourrait être utilisée avec ses autres technologies.

Espaces de discussion des pouvoirs publics

SaferChat est une initiative des pouvoirs publics dont le groupe cible se compose d’enfants âgés de 12 à 15 ans. Pour accéder aux « chat rooms » spéciaux, le jeune doit utiliser son eID.

Il existe actuellement 4 espaces de discussion sécurisés :

http://www.chat.be

http://www.skynet.be via www.kidcity.be

http://breedband.telenet.be

http://www.krey.net/saferchat/

Ces espaces contrôlent l’âge des jeunes qui se connectent. À l’instar du nom et de l’adresse, l’âge constitue une donnée à caractère personnel qui ne peut être utilisée et traitée par quiconque sans formalités. SaferChat a obtenu une autorisation spéciale de la Commission de la protection de la vie privée pour pouvoir contrôler l’âge par le biais de l’eID en se basant sur le numéro de registre national.

http://www.chat.be

http://www.skynet.be

http://www.kidcity.be

http://breedband.telenet.be

http://www.krey.net/saferchat/

147



Les « chat rooms » de SaferChat sont soumis à une série de règles. Le jeune utilisateur a le droit de consulter ses données à caractère personnel et de les faire modifier ou de les faire supprimer de la banque de données. Il doit, pour ce faire, envoyer un e-mail au gestionnaire de la « chat box ».

Les « chatteurs » sont également soumis à certaines règles durant le « chat ». Ils ne peuvent, par exemple, pas tenir des propos offensants ou discriminatoires.

L’avis de Child Focus

Child Focus est une organisation partenaire importante des pouvoirs publics en matière de projets visant à permettre aux enfants et aux jeunes de surfer en sécurité sur Internet. Elle a notamment publié avec Fedict un album de Bob et Bobette donnant des conseils pour utiliser Internet plus sûrement. Cet album de 26 pages, intitulé « Le site sinistre », raconte l’histoire de Bobette qui, pour avoir été trop curieuse, tombe dans un piège et se retrouve propulsée au milieu des problèmes d’Internet.

Child Focus affiche un optimisme prudent à propos des « chat rooms » sécurisés : la sécurisation des sites avec l’eID est, à ses yeux, une bonne idée, mais cela ne suffit pas. La sécurité du concept n’est pas garantie à 100% car les adultes connaissent généralement le code PIN de leurs enfants et peuvent, dès lors, utiliser leur carte pour se faire passer pour un enfant.

Les jeunes sont également sensibles aux tendances. Si tel ou tel espace de discussion non sécurisé est très populaire, ils s’inscriront sur celui-ci au lieu de songer à leur sécurité. La popularité d’un espace de discussion peut fondre en très peu de temps : la popularité d’un espace sécurisé peut, par exemple, être au sommet pendant 3 mois, puis s’écrouler complètement en raison de l’apparition d’une nouveauté sur le marché.

Les espaces de discussion des pouvoirs publics sont aujourd’hui peu utilisés. Child Focus estime, dès lors, qu’ils ne doivent pas faire l’objet d’une promotion supplémentaire. Child Focus est d’avis que la sensibilisation des jeunes revêt beaucoup plus d’importance. Les jeunes doivent, de manière générale, être conscients qu’Internet comporte des risques et se prémunir contre ceux-ci.

SeniorenNet

Les espaces sécurisés ne s’adressent pas uniquement aux enfants. Le site Web flamand pour seniors SeniorenNet a ainsi mis en place un système de protection d’un forum et d’une « chat box » par le biais de l’eID. Cette application conviviale garantit entièrement le respect de la vie privée et l’anonymat sur Internet. Les utilisateurs qui ne disposent pas encore d’une eID peuvent aussi employer la carte SIS.

Le système dans son ensemble fonctionne selon le principe que chaque utilisateur a dû subir un contrôle pour accéder à la « chat box » ou au forum sécurisé. Tous les utilisateurs se trouvant dans la section sécurisée savent qu’ils ont été contrôlés. Chacun conserve toutefois son anonymat envers les autres. Il est toujours possible d’utiliser un pseudonyme.

L’utilisation de l’eID ou de la carte SIS sur SeniorenNet n’est pas obligatoire. SeniorenNet n’entend pas obliger ses visiteurs à utiliser leur carte ou à se procurer un lecteur de cartes. L’utilisation se fait exclusivement sur une base volontaire. Les seniors qui ne désirent pas utiliser leur carte peuvent continuer à surfer sur les autres forums et les autres « chat box » de SeniorenNet. Il s’agit donc d’un service supplémentaire gratuit de SeniorenNet.

SeniorenNet lit uniquement les données de base de l’eID ou de la carte SIS. Ces données sont codées et transmises via une connexion sécurisée. Le numéro de registre national n’est pas lu mais codé via un algorithme de cryptage (un hachage) qui empêche absolument de retrouver le numéro de registre national. SeniorenNet ne se trouve donc à aucun moment en possession du numéro de registre national et ne conserve jamais celui-ci sur un serveur ou dans une base de données. Les données lues ne peuvent, en outre, jamais être interceptées par autrui.

148

SeniorenNet utilise ensuite ces données pour s’assurer que l’utilisateur est autorisé à accéder (contrôle de l’identité et de l’âge).

Le grand avantage du système est qu’il permet d’empêcher toute utilisation abusive car il est possible avec ce nouveau système d’interdire l’accès à certaines personnes. Auparavant, il était toujours possible de revenir avec une autre adresse e-mail, un autre nom, un autre ordinateur... mais ce n’est désormais plus le cas. De plus, le système ne fonctionne pas avec des cartes d’identité volées, perdues ou falsifiées car celles-ci sont bloquées lorsque l’information est communiquée par les pouvoirs publics.

SeniorenNet entend ainsi jouer un rôle précurseur dans le développement des sites Web sécurisés.

8.8 Étude de cas Certipost

Description

Certipost est une joint venture fondée par Belgacom et La Poste en 2002 dans le domaine de l’échange de communications électroniques sécurisées. Elle fournit des solutions assurant la remise de factures et de documents électroniques à la personne, l’organisation ou l’entreprise adéquate.

Pour le compte des pouvoirs publics, Certipost fournit les certificats pour l’eID et elle est chargée des services de validation permettant de connaître en ligne la validité d’un certificat eID, l’OCSP (Online Certificate Status Protocol).

Parallèlement, Certipost vend aux entreprises et aux personnes des certificats qui attestent non pas de l’identité privée mais de l’identité professionnelle. Certipost intervient à ce niveau comme autorité de certification.

Certipost offre également des services qui aident les entreprises à exploiter les certificats le plus efficacement possible, notamment avec les signatures électroniques (e-Signing) mais aussi pour intégrer aisément l’eID-logon dans des applications propres ou pour confirmer la validité des certificats.

MyCertipost : application de remise de documents aux particuliers

MyCertipost est un service Internet qui permet de recevoir et de conserver des factures, des fiches de salaire et d’autres documents par le biais d’Internet (boîte aux lettres et archives en ligne), par exemple, des factures des opérateurs de télécommunications, de la compagnie des eaux ou d’autres fournisseurs. Les fichiers peuvent aussi être archivés pendant une durée illimitée (via myCertisafe).

MyCertipost offre, en outre, la possibilité d’envoyer des courriers recommandés par voie électronique. L’utilisateur myCertipost ne doit plus se rendre dans un bureau de poste. De plus, ce recommandé électronique fournit des preuves de l’intégrité du contenu et de l’acceptation, du refus ou de la non remise.

La solution proposée actuellement n’est encore que « semi-automatisée » : le courrier recommandé est envoyé par voie électronique à Certipost, qui l’imprime et le remet par la poste. La numérisation complète des envois recommandés par le biais de Certipost est pour l’heure encore au stade du projet.

Il est possible de se connecter sur myCertipost au moyen de l’eID. Lors de l’envoi des courriers recommandés, l’eID ou le certificat professionnel de Certipost est utilisé pour signer l’envoi de manière électronique.

149



L’e-Signing

L’e-Signing permet d’apposer une signature juridiquement contraignante sur un document électronique. Grâce à un code, une signature peut être apposée sur n’importe quel fichier (jusqu’à 2 Mo) dans n’importe quel format. Dès que la signature est apposée, une archive de signature (fichier .signed.ZIP) est créée avec le fichier original et la signature électronique qualifiée de ce fichier.

Dès que la signature électronique est apposée, l’archive de signature peut être envoyée au destinataire au moyen de n’importe quel support de données (par exemple, par e-mail ou sur un stick USB). Certipost joint un texte standard pour informer le destinataire de l’archive de signature et de la fiabilité de la signature.

Lors de la réception d’un document signé, les informations relatives à cette archive de signature peuvent être retrouvées dans le fichier readme.pdf annexé. Ce fichier donne des explications sur l’archive de signature et contient un lien vers le service de vérification Certipost e-Signing.

Via ce lien, il est possible de vérifier le fichier de signature et de s’assurer que la signature est équivalente à une signature manuscrite. Certipost assure gratuitement la vérification Certipost e-Signing.

Le certificat qualifié nécessaire pour la signature électronique peut être un certificat eID ou un autre certificat qualifié par Certipost.

Trust²

Trust² (prononcez « Trust Square ») est une initiative conjointe de Certipost et de Microsoft Belgium. Cette plate-forme d’échange d’informations destinée aux utilisateurs de Microsoft Office 2003 Professional Edition garantit tant le respect de la vie privée que l’intégrité de l’information. Les expéditeurs peuvent ainsi contrôler à quoi les destinataires ont accès dans les fichiers ou e-mails Microsoft Office, et permettre ou non leur transmission, leur copie ou leur impression.

Il est ainsi possible d’exercer un certain contrôle sur des documents ou des e-mails confidentiels, sensibles ou de grande valeur.

Avec un compte eID Trust², l’authentification de l’expéditeur et du destinataire peut s’effectuer au moyen de l’eID.

e-Access

e-Access est une plate-forme en ligne pour l’accès sécurisé aux sites web. La plate-forme enregistre les utilisateurs et donne un seul compte avec les credentials et les attributs nécessaires. L’utilisateur qui s’identifie dans l’application sera réorienté vers la plate-forme e-Access. Cette plate-forme authentifiera l’utilisateur et fournira les données d’identification et les attributs à l’application. De cette façon, l’application peut déterminer le rôle de l’utilisateur basé sur ses attributs. L’application détermine les droits de l’utilisateur et le contrôle d’accès normal sera invoqué pour autoriser ou refuser l’accès aux ressources demandées.

L’authentication avec l’eID sur le site web d’eBay est faite par la plate-forme e-Access de Certipost.

Arguments favorables/défavorables à l’utilisation de l’eID

Raisons justifiant une intégration de l’eID dans les applications destinées aux particuliers (B2C) :

Inscription aisée des utilisateurs

Certitude concernant l’identité de la personne enregistrée

150

1 seul code PIN à retenir pour les utilisateurs de plusieurs applications

Tous les citoyens belges disposeront prochainement d’une eID

Inhibiteurs faisant obstacle à l’intégration de l’eID dans les applications destinées aux entreprises (B2B) :

Absence de caractéristiques professionnelles telles que le nom de l’entreprise ou la qualité professionnelle

Absence de l’adresse e-mail sur l’eID

8.9 Étude de cas Isabel

Description

En 1994, quatre grandes banques belges prennent l’initiative de développer une solution électronique commune visant à simplifier la collaboration entre les banques et l’industrie. L’initiative et l’entreprise, baptisées Isabel, avaient pour objectif de mettre en place une plate-forme intégrée offrant un vaste éventail de services financiers sécurisés.

Aujourd’hui, plus de 20 banques ont rejoint le groupe dont les services se sont étendus à l’e-banking, à la facturation électronique et à la signature électronique de documents.

La carte Isabel permet également d’accéder aux applications d’e-gouvernement :

Déclaration immédiate d’emploi (Dimona)

Déclaration ONSS trimestrielle

Déclaration de risques sociaux

Office national des pensions

Dépôt des comptes annuels à la Banque nationale

Déclaration de TVA électronique

Listing annuel de TVA

Déclaration ISOC électronique

Déclaration au précompte professionnel

NCTS – transit informatisé Douanes et Accises

Fiches individuelles 281 et relevés 325

Déclarations de douane électroniques

La solution Isabel se positionne dans le domaine de l’e-business et intègre toute la chaîne des processus financiers. La solution Isabel est mature et compatible avec les différents programmes de comptabilité et solutions ERP du marché belge : des interfaces sont disponibles et l’échange des données est entièrement automatisé.

Avec Zoomit, Isabel s’adresse au particulier. Zoomit permet, en effet, au particulier de consulter, gérer et payer ses factures depuis le programme d’Internet banking de sa banque. Zoomit permet aussi d’accéder aux fiches de salaire et à d’autres documents financiers.

151



L’eID offre-t-elle une alternative à la solution Isabel?

Isabel SA utilise depuis plusieurs dizaines d’années déjà une infrastructure PKI conçue en interne et basée sur un standard, avec des smartcards compatibles. Cette solution « dernier cri » répond à tous les besoins des nombreux clients d’Isabel. Cet investissement est, du reste, entièrement amorti et ne représente plus qu’un coût marginal lié aux entretiens et aux opérations. Le remplacement de la carte Isabel par l’eID ne constitue pas une option à l’heure actuelle.

La solution Isabel comporte une série de caractéristiques qui ne figurent pas ou n’ont pas encore fait leurs preuves dans l’eID. Pour Isabel, ce sont des caractéristiques importantes d’une solution opérationnelle :

Disponibilité : tous les Belges ne disposent pas de l’eID, et les ressortissants étrangers habitant en Belgique ne disposent pas d’une carte eID. La carte n’est pas utilisable à l’étranger. Pour continuer à servir toute la clientèle, une solution alternative devrait continuer d’exister à côté de l’eID. Cela entraînerait des coûts importants pour une double infrastructure et des doubles procédures. L’eID comme solution purement belge ne peut satisfaire aux besoins d’Isabel et à ses clients dans toute l’Europe.

Possibilités d’utilisation : la plupart des citoyens n’utilisent pas leur carte eID. Ils ne disposent ni du lecteur, ni du logiciel et ont souvent oublié leur code PIN.

Assistance : il n’existe pas d’assistance technique pour le citoyen (par exemple, pour installer le middleware sur son ordinateur).

Remplacement : la procédure de remplacement d’une carte perdue/volée/défectueuse est trop longue.

Responsabilité : Le cadre juridique dans lequel le secteur financier opère fait peser des exigences particulières sur l’émetteur d’une carte. On ne sait pas exactement si la responsabilité de l’émetteur de l’eID suffit.

Protection de la vie privée : il n’est pas évident de combiner les fonctions d’authentification et de signature juridiquement contraignante (« non répudiation ») de la carte Isabel avec l’eID. Il s’agit de contextes différents, auxquels s’appliquent différentes exigences légales en matière de protection des données à caractère privé (notamment aux fins de traitement des données). Le client d’Isabel a le droit de ne pas autoriser contre sa volonté une mise en relation de facto de son contexte gouvernemental et de son contexte financier via un identifiant unique global (numéro de registre national ou numéro de sa carte). Cela correspond à une obligation de prendre des mesures de sécurité organisationnelles techniques suffisantes telles que prévues dans la loi sur la protection de la vie privée. En outre, on est en droit de se demander si la (co)responsabilité d’Isabel, au cas où elle utiliserait l’eID comme mécanisme de signature, pourrait être de facto engagée si différentes données personnelles de l’eID (comme le numéro de registre national repris dans les certificats) étaient utilisées par un de ses utilisateurs finaux à des fins non légales dès lors qu’il s’avère qu’elle a rendu possible ce traitement des données

Séparation vie professionnelle et privée : Les utilisateurs approuvent le principe d’une carte de signature indépendante de leur vie privée, à savoir une carte à signature liée au rôle qu’ils endossent dans leur contexte professsionel (comparable avec le token des fonctionnaires au niveau gouvernemental).

Performances : L’eID n’offre pas le degré de robustesse exigé pour la signature de grandes quantités de messages.

Le remplacement de la solution Isabel par une alternative entraînerait des coûts très élevés à différents niveaux :

Conception, développement et test de l’intégration de la nouvelle solution ;

152

Rédaction de toutes les procédures et manuels ;

Extension de l’intégration et adaptation de notre architecture ;

Information et migration des utilisateurs existants.

Tout cela ne déboucherait, au mieux, que sur une solution offrant des caractéristiques équivalentes à la solution Isabel actuelle. Comment ces coûts pourraient-ils être amortis par les clients sans la moindre valeur ajoutée, vu que ceux-ci n’obtiendront qu’une solution équivalente en lieu et place?

Existe-t-il des projets d’intégration de l’eID dans la solution Isabel?

Isabel n’envisage pas de remplacer le système actuel par l’eID. L’absence de maturité rend l’utilisation de l’eID impossible dans le cadre d’un usage professionnel. Isabel est compatible avec les fonctionnalités suivantes de l’eID :

Le lecteur de cartes Isabel peut être utilisé comme lecteur de cartes pour l’eID, ce qui peut contribuer au développement de l’utilisation de l’eID.

L’eID pourrait jouer un rôle dans l’octroi de l’accès aux données à caractère personnel dépassant la durée de la relation client avec Isabel.

L’eID et les sources authentiques des pouvoirs publics demeurent instrumentales dans le cadre de l’authentification des personnes physiques au Registre national et des représentants de personnes morales dans la Banque Carrefour des entreprises.

8.10 Étude de cas Carte REAL

L’e-Notariat

L’e-Notariat a été lancé en septembre 2000 en vue d’automatiser et d’optimiser les services globaux du notariat. Avec ce projet, la Fédération royale du notariat belge (FRNB) soutient les notaires et leurs collaborateurs dans les services rendus quotidiennement à la clientèle. Depuis la fin 2000, la FRNB communique principalement par voie électronique avec les études notariales. Dans une première phase, cette communication s’effectuait via e-mail, mais depuis mai 2001, elle utilise un Extranet protégé par mot de passe (e-Notariat).

Dans l’intervalle, toutes les études notariales se sont reliées à cet Extranet. Outre le journal notarial électronique quotidien, l’Extranet contient également des instruments de travail personnalisés pour le notariat, des programmes de calcul et de recherche, et un guichet électronique regroupant différents services offerts par la FRNB à ses membres, notamment la signature électronique (DocSign).

La carte REAL

La Loi-programme du 27 décembre 2004 a créé la possibilité de déposer des documents par voie électronique, ce qui permet désormais au notaire de signer électroniquement tous les documents à remettre aux autorités.

Dans la pratique, le notaire recourt à une authentification numérique et à une carte de signature (la carte REAL, du nom de François Réal, l’un des fondateurs du notariat) avec un certificat qualifié. La Chambre nationale des notaires, compétente en matière de déontologie notariale, intervient comme autorité d’enregistrement (RA). Elle peut vérifier en ligne si le signataire est effectivement notaire au

153



moment de la signature. Il est interdit au notaire de prêter sa carte à un tiers (la déontologie du notariat a été adaptée à cet effet).

En plus de la signature électronique, la carte REAL peut aussi être utilisée comme moyen d’authentification pour accéder à certaines applications. L’utilisation de la carte REAL est, par exemple, obligatoire depuis avril 2007 pour l’ouverture d’une session sur l’e-Notariat. La carte REAL permet également d’accéder à des logiciels notariaux spécifiques.

La carte REAL et la plate-forme e-Notariat ont été développés par Credoc Services, une filiale de la FRNB. Credoc Services a été fondée en 2000 dans le prolongement de l’asbl Credoc (Centre de documentation du droit). Elle offre différents services aux professions libérales, et est notamment éditeur et distributeur de livres, organisateur de congrès, prestataire de services dans le domaine informatique et du développement de logiciels.

Comparaison des acteurs concernés par la carte eID et la carte REAL

Credoc Services joue le rôle de « Card Personalizer & Initializer » (rôle assuré par Zetes pour l’eID), VeriSign intervient comme Root Certification Authority (Root CA) et Getronics Pinkroccade comme CA (autorité de certification). Le tableau suivant présente une comparaison des rôles dans le processus de certification de la carte eID et de la carte REAL.

Rôle Carte eID Carte REAL

Card Personalizer & Initializer Zetes Credoc Services

Root CA (Certification Authority) Belgian Root CA VeriSign

CA (Certification Authority) Certipost Getronics PinkRoccade

RA (Registration Authority) Registre national Chambre nationale des notaires

Fonctionnalités du système REAL

Processus de certification

Le processus de certification est entièrement conforme à la norme ETSI-TS 101456, qui fixe les exigences auxquelles une autorité de certification doit répondre. Le système REAL est donc un système entièrement sécurisé (avec les contrôles nécessaires, les vérifications internes et externes, etc). La carte REAL doit être retirée en personne par le notaire auprès de Credoc Services.

Signature électronique

Avec la carte REAL, le notaire peut apposer une signature électronique (DocSign) parfaitement assimilée à la signature manuscrite, conformément à la norme ETSI XAdes-XL. Cela signifie qu’un horodatage est prévu, qu’il y a des références à tous les certificats et aux informations de révocation, et qu’on a la certitude que ces informations resteront disponibles à tout moment.

CMS – Certificate Management System

Blue X est le logiciel développé pour Credoc Services pour la gestion de la carte REAL. Ce système permet, par exemple, au notaire de demander des cartes pour ses collaborateurs (le notaire intervient dans ce cas comme autorité d’enregistrement). La carte REAL des collaborateurs contient également des certificats qualifiés, mais un collaborateur ne peut apposer de signature électronique qualifiée (donc pas « en qualité » de notaire) : seul le notaire en a le droit. Les collaborateurs peuvent signer des mails électroniquement, mais le nom du notaire pour qui ils travaillent figure dans la racine du certificat.

154

Le notaire peut déterminer lui-même les droits d’utilisateur des collaborateurs. De cette manière, il contrôle l’accès de ses collaborateurs aux applications notariales. Le notaire est également censé annuler la carte d’un collaborateur en cas de cessation du contrat de travail.

Avantages de l’utilisation d’un système propre

L’utilisation d’un système propre présente les avantages suivants par rapport à l’eID :

La carte REAL permet d’associer une spécification de la fonction à la carte. Le notaire ne signe pas uniquement en son nom personnel mais aussi en sa qualité de notaire.

o L’eID ne permet pas d’ajouter des informations supplémentaires à la carte. La seule possibilité d’associer des données à caractère personnel de l’eID avec des données professionnelles est de travailler avec une banque de données de mandats.

En cas de perte ou de vol, la carte peut être remplacée dans les 24 heures.

o En cas de perte ou de vol de l’eID, le titulaire doit se passer de carte pendant plusieurs jours ou plusieurs semaines. De plus, une somme supplémentaire doit être payée pour le remplacement de la carte (pour le remplacement à brève échéance, les coûts s’élèvent à quelques centaines d’euros).

155



8.11 Conclusions des études de cas

Il existe des arguments favorables et défavorables à l’utilisation de l’eID :

o Pour : Le support complet (infrastructure PKI, middleware) est mis gratuitement à disposition par les pouvoirs publics. L’accès aux sources authentiques offre une garantie d’exactitude des données, moyennant autorisation de la Commission de la protection de la vie privée.

o Contre : L’eID est liée à la personne et pas à la fonction. Un système alternatif doit souvent être prévu car tout le monde ne dispose pas encore de l’eID. L’eID ne permet pas encore l’horodatage lors de l’apposition d’une signature électronique. Le contexte international de l’eID reste peu développé.

Les cas d’intégration de l’eID illustrent un intérêt réel pour l’utilisation de l’eID et une analyse coûts/bénéfices qui peut souvent être positive. Lorsque la situation est bénéfique pour toutes les parties, une série d’inhibiteurs disparaissent.

Les plus belles réussites concernent les cas qui considèrent et tentent d’optimiser l’ensemble du processus. Lorsque l’ensemble du processus n’est pas pris en considération, on aboutit généralement à des modèles théoriques inopérants en pratique (cf. les espaces de discussion).

Plusieurs cas d’intégration de l’eID constituent une amélioration du système antérieur avec un nom d’utilisateur ou un token et un mot de passe. La situation est alors bénéfique pour les deux parties : pour l’utilisateur, la sécurité est meilleure qu’avec un nom d’utilisateur et plus simple qu’avec un token (une seule carte et un seul code PIN) et le prestataire ne doit plus gérer les noms d’utilisateurs, les tokens et les mots de passe.

Les cas d’intégration de l’eID se situent principalement dans le domaine du B2C et du commerce électronique. Les systèmes fermés, qui n’utilisent pas l’eID, se situent principalement dans un environnement B2B et dans l’e-business. Les systèmes analysés qui ne se basent pas sur l’eID concernent des environnements fermés avec des processus et des règles propres, acceptés dans les environnements concernés.

La plupart des cas analysés sont relativement récents. Cela montre que les applications eID sont encore en plein développement.

Les études de cas montrent que l’eID peut contribuer à une sécurité accrue, mais souvent au détriment de l’anonymat. Une évaluation s’impose toujours à ce niveau.

156

9 Recherche scientifique relative à l’eID

Nous avons constaté que de nombreuses recherches scientifiques ont été réalisées concernant la carte d’identité électronique et la signature électronique. La recherche est effectuée sous différentes formes : ainsi, des articles scientifiques sont publiés, principalement par des experts juridiques. Des mémoires sont également rédigés par différents étudiants. Toutefois, la recherche la plus importante, la plus vaste et la plus avancée est réalisée par les centres de recherche des différentes universités, où l’on fait des projets qui sont généralement de nature multidisciplinaire et transfrontalière.

9.1 Recherche dans des universités et des centres de recherche

Katholieke Universiteit Leuven (KUL)

Dans le domaine de la recherche relative à l’eID, la KUL dispose de trois groupes de recherche :

L’ICRI (Interdisciplinair Centrum voor Recht en Informatica)

o L’ICRI réalise des projets relatifs aux aspects juridiques des nouveaux développements dans le contexte ICT, tant au niveau flamand et fédéral (e.a. avec Fedict) qu’au niveau européen. C’est lui qui a établi la note BELPIC.

o Le professeur Jos Dumortier est le directeur de ce centre. Il a publié de nombreux articles relatifs aux problèmes juridiques qui sont liés à la carte d’identité électronique.

ESAT – COSIC (Computer Security and Industrial Cryptography) o Effectue des recherches dans le domaine de la cryptographie pour protéger les

données contre la fraude passive et active.

o Danny De Cock est membre de ce groupe de recherche. Il est un expert renommé dans le domaine de l’eID. Il est notamment à l’origine de son évolution et possède également un site web dédicacé à l’eID (http ://www.godot.be).

o Un des projets sur lesquels ce groupe de travail se penche actuellement s’intitule ‘Private Biometrics for eID cards’. Il s’agit d’une étude concernant les mécanismes de protection de la vie privée basés sur la biométrie pour les applications de la carte eID. L’objectif du projet est d’étudier s’il est possible d’adapter les applications existantes afin de garantir la protection de la vie privée du citoyen.

DISTRINET (Systèmes distribués et Réseaux informatiques)

o Est une division du département sciences informatiques. On y fait des recherches sur les ‘open, distributed object support platforms’ destinées aux applications avancées. Le travail sur les différents projets se fait en étroite collaboration avec l’industrie.

o Est membre de l’IBBT (« Instituut voor Breedbandtechnologie »).

o Le Professeur Bart De Decker est membre de ce groupe de recherche

o Avec la Katholieke Hogeschool Sint-Lieven, ce groupe de recherche travaille sur le projet eIDea (‘Développement d’applications sûres avec la carte d’identité

http://www.godot.be

157



électronique”). Ce projet étudie la carte d’identité électronique comme un moyen d’acquérir de nouveaux tokens d’accès ou de donner malgré tout aux utilisateurs la possibilité de s’authentifier lorsque d’autres tokens ont été perdus. Il y a trois projets partiels : systèmes de billetterie, applications dans l’environnement domestique, fourniture d’accès à des bâtiments. Ceci est présenté en détail ci-après.

Ces trois groupes d’étude collaborent avec plusieurs autres partenaires au projet adapID (Advanced Applications for Electronic Identity Cards in Flanders). L’objet du projet est de créer un cadre pour les applications avancées de la carte eID en Flandre. Des applications qui ne portent pas préjudice à la vie privée de l’utilisateur et qui sont suffisamment fiables seront mises au point ici. Le cadre garantira l’interopérabilité par la publication d’interfaces ouvertes et sûres, ce qui est essentiel à la poursuite du développement et à l’adoption de cette technologie. Le projet adapID est discuté en détail ci-après.

Universiteit Gent (UGent)

Cette université dispose d’un groupe de recherche pertinent pour l’eID :

WiCa (Wireless and Cable).

o Ce groupe fait partie de l’unité d’enseignement et de recherche INTEC (un département d’Information Technology) qui est membre de l’IBBT.

o WiCa effectue de la recherche de base dans les domaines suivants :

Rechercher des services relatifs à la télévision numérique interactive (iDTV)

Caractériser les particularités physiques des réseaux sans fil

Caractériser les particularités physiques des réseaux câblés

Etudier des solutions de test et développer des standards pour les réseaux câblés et sans fil

o WiCa coopère intensivement avec beaucoup d’entreprises en Flandre, comme Alcatel, Barco, Base, Belgacom, Framatome Connectors International, Mobistar, Philips, Proximus et Telenet.

o Luc Martens est membre de ce groupe de recherche.

Le WiCa effectue de la recherche sur l’intégration de l’eID dans la télévision numérique interactive (iDTV), cf. le projet de recherche « Mise au point d’applications eID sur la Multimedia Home Platform » (ir. Tom Deryckere, lic. Michiel Ide et ir. Toon Depessemier). Ceci a été présenté dans le chapitre relatif aux études de cas.

Facultés Universitaires Notre-Dame de la Paix – Namur (FUNDP)

Cette université dispose d’un centre de recherche pertinent pour l’eID :

CRID (Centre de Recherches Informatique et Droit)

o Effectue des recherches sur les aspects juridiques des nouvelles technologies.

o Les Professeurs Poullet et Montero sont membres de ce centre. Ils effectuent des recherches importantes concernant la signature électronique et la vie privée liées à l’eID.

158

Centre of Excellence in information and Communication Technologies (CETIC)

Le CETIC est une spin-off de l’UCL, de la FUNDP et de la Faculté Polytechnique de Mons (FPMs) qui a vu le jour en 2001. Il s’agit d’un centre de recherche indépendant, bénéficiant du soutien de la Région wallonne, qui sert d’interface entre les universités et le monde de l’entreprise. Il se consacre principalement à la recherche portant sur les systèmes électroniques et les applications logicielles.

CETIC effectue également des recherches concernant l’eID. À ce jour, le centre a créé un chatroom, avec connexion via l’eID, permettant à chaque visiteur de contrôler l’identité réelle des autres visiteurs (sur l’illustration ci-dessous, on peut voir la photo, le nom, le sexe et l’âge du visiteur).

L’objectif n’était pas de commercialiser ce chatroom, qui ne sera donc jamais mis en ligne. La création du chatroom résulte de la publication d’une étude d’Agoria selon laquelle l’eID serait peu utilisé en raison de l’absence de possibilités d’applications concrètes. Le stagiaire, qui a développé le chatroom a utilisé cette application comme étude de cas afin d’identifier les obstacles qui entravent le développement d’applications concrètes. Sur la base de cette expérience, une liste de FAQ a été établie (pour plus d’informations, consultez http://www.cetic.be/internal553.html).

9.2 Recherche dans les écoles supérieures

Katholieke Hogeschool Sint-Lieven – Gent (KaHo Sint-Lieven)

Collabore au projet eIDea

Certains volets du projet eIDea sont approfondis dans les mémoires des étudiants de dernière année :

o ‘Contrôle d’accès biométrique dans les bâtiments scolaires’ (Jannes Verstichel). Ce mémoire développe une application permettant aux étudiants et au personnel (enseignant) d’obtenir un accès limité à certaines zones d’un bâtiment scolaire.

http://www.cetic.be/internal553.html

159



L’accès à certaines salles (labos, salles de travail, etc) se fait par une authentification biométrique (authentification par empreinte digitale).

o ‘Intégration de la technologie eID dans les logiciels domotiques’ (Lander Dufour et Brechtel Wancour). Ce mémoire étudie la manière dont la carte d’identité électronique peut être intégrée dans les applications domotiques. Dans ce cas, la domotique n’est pas uniquement utilisée comme une installation offrant un surcroît de confort, mais comme une contribution essentielle aux personnes ayant besoin d’aide. La carte d’identité électronique fait office d’identification des personnes concernées. Le mémoire consiste d’une part en la mise au point du modèle correct pour rendre cette application possible et d’autre part en la conception d’un prototype pour illustrer le fonctionnement du système. Pour ce faire, on fait appel à un environnement de simulation existant pour la domotique. L’accent est particulièrement mis sur les aspects de sécurité.

o ‘Mise au point d’un système de billetterie respectant la vie privée’ (Bram Verdegem). La carte d’identité électronique peut être utilisée pour obtenir des billets pour certains événements, comme des matches de football, des concerts, des festivals, etc. De cette façon, l’organisateur sait précisément quels individus sont présents lors de l’événement.

D’autres sujets de mémoires sont :

o ‘Mise au point d’un environnement de vacances respectueux de la vie privée’ (Ief Loos). Dans cette application, un environnement respectueux de la vie privée est mis au point dans un parc de vacances. Après un enregistrement de son eID, l’utilisateur reçoit une carte à puce avec des preuves de légitimation avec lesquelles il peut accéder à sa chambre d’hôtel et/ou à sa place de parking et qui lui donnent un accès limité à d’autres services dans le parc (piscine, sauna,…).

o ‘Mise au point d’une application sécurisé pour la gestion de biens immobiliers et des conseils juridiques’ (Thibaut Van Sinay). Cette application vise la mise au point d’un environnement permettant la gestion d’informations concernant des biens immobiliers et la fourniture de conseils juridiques. Dans un premier temps, des scénarios sont élaborés et les exigences de tous les détenteurs d’enjeux dans le système sont cartographiées. Dans un deuxième temps, un certain nombre de technologies sont étudiées. La technologie eID est utilisée pour enregistrer les utilisateurs dans le système. Dans un troisième temps, le système est modélisé, mis au point et évalué.

Katholieke Hogeschool Limburg

Mémoire : ‘eID : qu’est-ce que c’est, comment ça marche et quelles sont les possibilités offertes?’ (Alexander Goossens). Ce mémoire décrit la théorie articulée autour de l’eID, la législation, les caractéristiques techniques, la sécurité, les applications futures, les avantages et les inconvénients. Un projet dans lequel l’eID est utilisée est également élaboré. Il s’agit de partage de voitures (voir études de cas).

Erasmus Hogeschool – Brussel

Mémoire : ‘Pointeuse et système d’accès au moyen de l’eID’ (Joris Vanden Bergh et Bart Van Hoecke). L’objectif de ce mémoire est de proposer (essentiellement) aux PME une alternative peu onéreuse pour une pointeuse et une gestion et un monitoring plus efficaces des accès.

160

En résumé, nous pouvons dire que la plupart des recherches effectuées par les groupes de recherche sont orientées sur la garantie de plus de vie privée et de sécurité pour l’utilisateur de la carte eID. Les mémoires ont pour sujet des thèmes plus divers.

9.3 Description de deux projets : adapID et eIDea

adapID : Advanced Applications for Electronic Identity Cards in Flanders

Le projet adapID effectue des recherches sur des applications pour l’eID qui sont suffisamment fiables et sécurisées mais qui ne portent pas préjudice à la vie privée de l’utilisateur.

adapID est un projet de IWT-Flandre (Institut pour la promotion de l’innovation par la Science et la Technologie en Flandre).

Le consortium consiste en :

McGill : School of Computer Science (Canada)

Intesi Group : Entreprise internationale qui développe des solutions dans le domaine des systèmes de sécurité pour données, authentification et Internet

K.U. Leuven : ICRI, COSIC, DistriNet

Lsec (Leuven Security Excellence Consortium) : Organisation de réseau à but non lucratif indépendante d’experts en sécurité IT

Dans un premier temps, des technologies et applications avancées tenant compte des limites de l’architecture de la carte eID actuelle, seront mises au point.

Dans une seconde phase, des applications avancées seront mises au point pour la prochaine génération de cartes eID. Cela permettra des fonctionnalités supplémentaires et de nouvelles applications.

Credentials anonymes

Avec l’eID actuelle, toutes les données peuvent être lues. Il y a déjà des applications qui montrent les données de manière sélective (uniquement l’âge, par exemple) mais finalement tout est lu et l’utilisateur n’a pas de contrôle des données stockées.

Pour résoudre ceci, lesdits « credentials anonymes » peuvent être utilisés. Le credential anonyme est un certificat anonyme qui permet de fournir librement des données de façon sélective qui ne sont pas liées à l’identité. L’eID est uniquement utilisée dans la phase initiale de l’application, en tant que « bootstrap », pour entamer d’autres systèmes credential. Ensuite un autre credential est utilisé. Celui-ci est « anonyme » : il ne peut pas être mis en relation avec le premier, qui est connecté à l’eID.

Plusieurs credentials anonymes, utilisables dans plusieurs domaines, peuvent être créés. Lors de chaque opération, l’utilisateur peut choisir quel credential sera autorisé. Étant donné qu’il n’y a aucun lien avec l’identité, les données de plusieurs domaines ne peuvent pas être interconnectées, car aucun numéro d’identification unique n’est utilisé. Comme vous restez anonyme, vous avez votre vie privée entièrement sous contrôle.

Des credentials peuvent aussi être remis par l’entreprise où vous travaillez, mentionnant votre fonction mais pas votre nom : ceci vous donnerait la possibilité, par exemple, de signer

161



électroniquement les documents en tant que représentant de l’entreprise, sans communication directe de votre identité personnelle.

Pour la présentation des credentials, une interface conviviale devra être mise au point dans laquelle l’utilisateur pourra indiquer lui-même le degré d’importance de sa vie privée. En outre, il y aura un certain nombre d’utilisateurs privilégiés, par exemple, les autorités et la police.

Limites des credentials anonymes

L’inconvénient de travailler avec des credentials anonymes est le fait que vous devez les garder sur votre système. Bien entendu, ceci donne des problèmes si vous les avez enlevés fortuitement ou en cas d’un crash. En outre, vous avez besoin, pour mettre les credentials sur l’eID, d’un processeur puissant et d’un espace de stockage sur la puce. Il n’est pas certain que l’eID actuelle le permettra.

Une autre possibilité est de les mettre sur un serveur en ligne et de les récupérer seulement si vous en avez besoin : ceci nécessite une connectivité, bien entendu. Si les credentials sont stockés sans prendre de mesures de sécurité suffisantes, ils peuvent être volés avec toutes les conséquences que cela implique…

Tiers de confiance

Les tiers de confiance (« Trusted third parties ») peuvent retrouver la vraie identité, si nécessaire. Un exemple implique les supporters de football : ils obtiennent un billet d’accès sur base d’un credential anonyme pour protéger leur vie privée, mais s’ils causent des problèmes, on peut retrouver l’identité des supporters.

Autres domaines de recherche

En plus de la recherche sur les credentials anonymes, une enquête est menée sur :

Intégration sécurisée de la biométrie et de la cryptologie

Sécurité fiable et prouvable pour les protocoles respectueux de la vie privée

Régler des contestations

Modules familiers pour protéger les applications et les services

Aspects juridiques de confiance opérationnelle dans un réseau ouvert

Le cadre et les technologies de base seront validés et testés dans trois applications centrales :

Archivage électronique (e-archiving)

Santé électronique (e-health)

Gouvernement électronique (e-government).

Pour chacun de ces domaines, des restrictions et des objectifs concrets seront déterminés et une implémentation de preuve de concept sera mise au point.

Un certain nombre de protocoles ont été mis au point, ceux-ci sont actuellement soumis aux autorités fédérales, mais il n’est pas certain que la carte sera assez puissante pour soutenir tous les protocoles.

162

eIDea : Mise au point d’applications sécurisées avec l’eID

Le projet est réalisé par le groupe de recherche DistriNet de la K.U. Leuven, unité de recherche « Protection » et l’unité d’enseignement IT du département Ingénieur Industriel de la KaHo Sint-Lieven à Gand.

Il est sponsorisé par la IWT et suivi par une commission d’utilisateurs comprenant : COMmeto, 4all networks, Intesi, Zetes, Alphatronics, Roadbyte, Custodix, KMO-IT, IBM, D Soft, ZION Security, Arena Solutions, Interact, ProFon, Deloitte, ATOS Worldline, dZine, IWT, DSP Valley et le Fedict.

Le projet a pris forme suite à un certain nombre d’inquiétudes concernant les possibilités limitées d’une utilisation fréquente de l’eID (citées par les utilisateurs finaux ainsi que par les développeurs de software qui ont été consultés), à savoir :

L’eID n’est pas très conviviale : une authentification n’est possible que par l’insertion de la carte dans un lecteur de carte et en tapant un code pin.

L’eID n’est pas très robuste : usure en cas d’usage intensif de la carte.

L’eID n’offre pas de protection de la vie privée : lors de chaque utilisation de la carte, un certain nombre de données d’identité sont livrées et en plus, il est possible de lier chaque utilisation de l’eID de manière à créer ainsi un profil d’utilisateur.

Ce projet étudie l’eID en tant que moyen pour obtenir de nouveaux tokens (d’accès) ou pour donner aux utilisateurs la possibilité de s’authentifier malgré tout si d’autres tokens, comme des mots de passe, des codes pin, etc, sont perdus.

Cette approche rend l’intégration de l’eID dans un large domaine d’applications plus réaliste et plus attractive. L’approche est confrontée à trois domaines d’application :

Systèmes de billetterie

Applications domestiques

Systèmes où les utilisateurs doivent s’authentifier pour obtenir un accès aux immeubles, appareillage ou services.

Systèmes de billetterie

L’eID peut être utilisée de manière à obtenir des billets pour certains événements, comme les matches de football, concerts, festivals, etc. De cette façon l’organisateur sait exactement quelles personnes sont présentes à l’événement. Lors de l’achat d’un tel billet, l’utilisateur fournit librement un certain nombre de données personnelles, comme l’adresse ou l’âge. Une approche plus respectueuse de la vie privée est basée sur le fait que le tiers de confiance remet des tokens anonymes personnels, par exemple un certificat pseudonyme ou un credential anonyme, après authentification avec l’eID. Avant que le token ne soit délivré, il y aura une vérification en ligne avec cette instance ou autorité de manière à savoir si la personne a reçu une interdiction d’accès. Avec ce token, l’individu peut ensuite commander des billets de façon anonyme auprès d’un point de vente (en ligne). Si quelqu’un a reçu une interdiction d’accès a posteriori, le tiers de confiance peut retirer le billet, donc le déclarer non valable. En cas de sérieux actes de violence, la Justice peut retracer l’identité de tous ceux qui ont acheté un billet, éventuellement limité à une certaine zone du stade.

Applications domestiques

Plusieurs applications tombent dans cette catégorie. Ainsi l’authentification avec l’eID peut être exigée de manière à modifier certaines caractéristiques du système d’alarme. Ceci peut faire

163



obstacle aux cambrioleurs qui veulent couper l’alarme. L’eID peut également être utilisée pour modifier les caractéristiques dans un système domotique si les mots de passe ou les codes pin sont perdus. La carte peut également être utilisée pour générer de nouveaux codes pin ou mots de passe. De cette façon, les utilisateurs non privilégiés ne peuvent plus modifier les réglages. La carte peut également être utilisée pour accorder des tokens aux personnes qui doivent accéder à la maison, par exemple la femme de ménage, le jardinier, l’assistant(e) social(e), l’infirmière, etc. Ces tokens peuvent être mis sur des appareils intelligents et peuvent être retirés si les personnes ne peuvent plus accéder à la maison. Cette alternative est plus sécurisée et plus conviviale que l’approche traditionnelle où des clés physiques sont remises à de telles personnes. Dans ces applications, la vie privée est moins importante.

Obtenir accès aux immeubles ou services

Dans cette application, des tokens sont accordés après authentification avec l’eID que l’individu peut utiliser pour avoir accès à certains services, appareillages ou espaces de façon anonyme. Le type d’appareil où les tokens sont stockés dépend de l’installation. De cette façon, un individu peut obtenir un certain nombre de tokens sur une smartcard pour visiter plusieurs attractions dans un parc de vacances ou un centre de loisirs. Un utilisateur peut stocker des tokens sur son GSM ou PDA pour avoir accès sans contact à certains bâtiments dans l’espace de travail. En somme, les tokens peuvent également être utilisés pour obtenir un accès de façon anonyme à certains endroits dans un magasin ou un espace d’exposition, où, par exemple, des biens précieux comme des bijoux sont stockés. Si un délit a été commis, l’identité des personnes présentes à ce moment dans cette partie de l’espace peut être retracée.

Défis en recherche

Le but principal de ce projet est de mettre au point des applications où l’authentification se fait par la présentation de tokens qui sont obtenus par la preuve d’identité à l’aide de l’eID. Ceci aboutit aux défis de recherche suivants :

1. Étude et comparaison des technologies cryptographiques pour des tokens d’accès. Les certificats traditionnels contiennent une référence à l’identité d’un individu ou d’une organisation. En plus, des alternatives plus respectueuses de la vie privée sont étudiées comme des certificats pseudonymes, credentials (anonymes),… En outre, les tokens doivent pouvoir être stockés sur les appareils de façon sécurisée.

2. Étude des possibilités et des limites d’appareils intelligents pour le stockage des tokens. Les caractéristiques de plusieurs sortes d’appareils sont étudiées. Les paramètres importants sont, entre autres, les frais, la sécurité, la mémoire disponible, la puissance du processeur,… D’une part, on étudie des appareils dont un grand nombre d’utilisateurs se servent déjà, comme le GSM, PC, PDA,... D’autre part, l’utilisateur peut obtenir de nouveaux appareils intelligents sur lesquels sont placés des tokens, comme des smartcards, des tags RFID, des ibuttons,…

3. Étude et mise en œuvre d’une infrastructure pour remettre, vérifier et retirer des tokens. En cas d’applications domestiques, le propriétaire de la maison peut lui-même créer et remettre des tokens. Avec d’autres applications, un tiers de confiance sera exigé. L’infrastructure existante (p. ex. des terminaux bancaires) peut être utilisée pour la remise des tokens.

4. Étude et développement d’applications dans trois domaines. La mise au point d’applications soutient la recherche des derniers sondeurs. Les exigences non fonctionnelles, par exemple sécurité, convivialité, responsabilité,… diffèrent dans chacun des domaines d’application décrits. Ces conditions ont une influence sur la technologie des tokens et le type d’appareil sélectionné.

5. Développement d’un cadre à l’appui de nouvelles applications. Les applications sont mises au point au sein d’un cadre qui simplifie également la création de nouvelles applications. En outre,

164

le cadre doit permettre que les applications soient compatibles avec les nouvelles générations de cartes d’identité.

Potentiel de valorisation

La Belgique est un pionnier dans la réalisation et la distribution de l’eID. Cela donne des opportunités pour les acteurs économiques. Par la présence de l’eID, les acteurs industriels présents sur le marché belge peuvent, déjà à un stade précoce, développer de nouvelles applications ou intégrer l’eID dans des applications existantes. Ceci leur donne un avantage compétitif par rapport aux concurrents étrangers. Bien qu’à l’heure actuelle un grand nombre d’applications e-gouvernement soient développées, l’avantage économique au sein de certaines branches du secteur privé est également considérable.

165



10 Conclusions et recommandations

Ce chapitre contient des conclusions et des recommandations qui sont formulées sur base de l’analyse des différentes facettes de l’eID. A ce sujet, nous partons du point de vue de l’entreprise, avec l’objectif de stimuler l’utilisation de l’eID auprès des entrepreneurs.

10.1 Conclusions

Un entrepreneur prendra en considération l’eID uniquement dans les cas suivants :

Une analyse coûts-bénéfices révèle un résultat positif.

Un environnement stable sera offert au niveau juridique et technique.

Une mise en œuvre d’eID réussira uniquement dans les cas suivants :

Les utilisateurs finaux ne seront pas confrontés à trop d’obstacles.

Le processus dans lequel l’eID est implémenté est optimisé dans son ensemble.

1. Un entrepreneur prendra en considération l’eID seulement si une analyse coûts-bénéfices révèle un solde positif.

L’investissement dans la technologie de l’eID doit être rentable en termes de réduction des frais, d’optimisation des processus, d’augmentation de qualité, etc. L’eID peut y contribuer, vu l’automatisation croissante des processus d’entreprise.

Des études de cas, il ressort qu’on recherche toujours une situation gagnant-gagnant pour les entreprises et les utilisateurs finaux. Par exemple l’économie sur les frais d’envoi réalisée par l’entreprise qui offre des services en ligne en offrant gratuitement des lecteurs de cartes eID à l’utilisateur final.

Des entretiens avec les entrepreneurs et les utilisateurs d’applications de l’eID, il ressort que la convivialité de la carte eID est considérée comme importante. Bien entendu, on doit toujours faire une balance entre la convivialité, la sécurité et la vie privée. Plus il y a des fonctions pouvant être intégrées sur une carte (par exemple l’eID, la carte SIS, le permis de conduire,…), plus la carte et son utilisation seront conviviales, mais le risque de violation de la vie privée sera plus grand également, ou les conséquences lors de la perte de la carte seront plus grandes.

De l’analyse des applications sur Internet, il ressort que l’eID peut contribuer à une plus grande sécurité, mais cela sera souvent au détriment de l’anonymat. Ici également, on doit toujours peser le pour et le contre.

En examinant la situation dans son ensemble, c’est-à-dire en prenant en compte tant les aspects économiques, juridiques, techniques que psychologiques, il ressort que dans le contexte actuel se trouvent souvent plus d’inhibitions que des stimulants lors de l’utilisation de l’eID. Ceux-ci sont décrits dans les conclusions suivantes.

166

2. Un entrepreneur prendra en considération l’eID seulement si un environnement stable est offert au niveau juridique.

Les autorités mettent à disposition des entreprises l’infrastructure de l’eID et les certificats y afférents. Fedict a publié des documents techniques sur la mise au point des applications qui utilisent les fonctionnalités de l’eID. Cependant tout n’est pas si clair sur le plan juridique :

Lacunes : il manque une législation relative aux standards, aux mandats, à l’horodatage et à l’archivage électronique.

Confusion : en matière d’utilisation du numéro de registre national : ce qui est autorisé et ce qui n’est pas autorisé. Les termes utilisés sont vagues et contradictoires par rapport à la technologie. Par exemple : lors de la lecture des données électroniques vous n’avez pas la possibilité, de façon technique, de ne pas lire le numéro de registre national ou l’âge de la personne. Stricto sensu vous ne pouvez pas utiliser la carte et néanmoins vous le faites - une politique de tolérance. Où sont les limites ?

Abstraction faite de la réalité : La législation relative à la carte d’identité électronique et la signature électronique est mise au point sans tenir compte des processus dans lesquels celles-ci sont utilisées. Quel est l’avantage de créer un document signé électroniquement, quand les autorités vous obligent à garder une copie sur papier ?

Une dualité entre la législation et la technologie : la législation est par définition un processus de longue durée - aussi bien du point de vue de son élaboration que du point de vue de sa longévité. La terminologie utilisée doit rester valide au-delà de cette période. Pour cette raison, on constate une certaine imprécision lors de la rédaction des textes légaux. La technologie par contre, évolue de façon particulièrement rapide. En outre, la technologie est un domaine où il est justement important de définir les choses de façon exacte. La reprise de références technologiques dans la législation est donc une ‘contradictio in terminis’.

Cette problématique est également reconnue dans l’aspect de la lutte contre le crime et l’abus de confiance sur Internet. On évolue ici vers des modèles de consensus parmi les différentes parties.

Ce qui n’est pas autorisé au lieu de ce qui est autorisé : « Violation de la vie privée » est un terme qui est utilisé fréquemment et des histoires relatives au mauvais usage sont toujours d’actualité. Ceci crée une atmosphère de méfiance qui n’est pas toujours justifiée. Beaucoup d’entreprises sont obligées d’une façon ou d’une autre de donner aux autorités des détails au sujet de leurs clients. La plupart des mauvais usages trouvent leur origine dans les organisations internationales qui échappent à la législation belge ou le business C2C, où le commerce effectué par des particuliers n’est pas régulé comme l’est le commerce par les entreprises.

Ces lacunes et confusions dans la législation sont des inhibitions pour les entrepreneurs qui veulent utiliser l’eID dans leur gestion de l’entreprise.

167



3. Un entrepreneur prendra en considération l’eID seulement si un environnement stable esoffert sur le plan technique.

Ceci restera toujours un sujet complexe. En fait, la technologie et la complexité de la technologie neconstituent pas de barrière pour l’entrepreneur. La technologie n’est également pas une barrièrepour l’utilisateur, à condition qu’il ne soit pas confronté à la complexité de cette technologie. Bienentendu, si l’utilisateur final ne se sent pas prêt, l’entrepreneur n’investira pas dans des applicationspour l’utilisateur final.

Il y a quelques problèmes suite au contexte technique, comme par exemple :

Manque de connaissance : une ignorance auprès des utilisateurs finaux au sujet de l’identité ede la signature électronique. L’utilisateur obtient une carte mais ne sait pas comment l’utiliserPar exemple : une instruction qui dit « cliquer sur le bouton » lorsqu’il voit 2 boutons.

Besoin d’outils supplémentaires : pour l’utilisation de l’eID relative au commerce électronique eà l’e-gouvernement, l’utilisateur doit au moins acheter un lecteur de carte et installer dusoftware. En outre, le manque d’intégration et d’automatisation de certains processus a commeconséquence que vous avez besoin d’un scanner ou d’un appareil de photo numérique, d’uneimprimante et d’un fax, pour traiter ensuite la version sur papier des documents électroniques.

Manque de convivialité : l’utilisateur final n’est pas familier avec les termes comme middlewareauthentification, certificats, etc. Si l’installation ne réussit pas dès la première fois, l’utilisateudécroche.

Manque de support : il n’existe aucun point de contact unique auquel on peut s’adresser avecdes questions et des problèmes.

Toutefois, nous voulons remarquer ici que pour l’utilisation de la carte bancaire - qui d’ailleurs esaussi basée sur la technologie d’une smartcard et des certificats avec des clés publiques et privées- il n’a jamais été question d’un manque de connaissance technique. Il y avait certainement unebarrière pour l’utilisation, mais ceci est principalement une réticence naturelle des gens à l’égard del’évolution et des nouvelles choses. Dans le fond, la carte eID est comparable à une carte bancairenous remarquons les différences suivantes dans l’approche :

Lors de l’émission de la carte bancaire, il y a clairement un propriétaire, notamment la banquequi a émis la carte. Vous pouvez vous adresser au guichet ou appeler un numéro central de lamême banque pour tous les problèmes relatifs à la carte bancaire.

La carte eID est délivrée par la commune, le SPF Intérieur a créé une brochure, pour lesproblèmes lors du développement des applications vous devez vous adresser à Fedict, Fedicfournit aux jeunes de 12 ans un lecteur de carte gratuit au moment de la réception de leur eID,…

La carte bancaire est uniquement conçue pour les opérations électroniques, pas de mélangedes fonctions

La carte eID est remise en remplacement des documents sur papier - sans explicationsupplémentaire au sujet de l’identité électronique, l’authentification et la signature électronique. faut uniquement activer un seul code PIN.

Vous êtes constamment renseigné(e) sur la manière dont vous pouvez utiliser la carte ensécurité sinon vous êtes prévenu des pratiques malhonnêtes.

Dans la presse on lit souvent des histoires au sujet d’une utilisation mauvaise ou d’un abus - oùsont les directives stimulantes… ?

La banque prend la responsabilité pour la disposition des lecteurs de carte aux endroits où ilssont nécessaires et en fonction du service qu’ils veulent donner, également pou

168

l’environnement à domicile. La banque fournit le support nécessaire pour les installations du hardware et du software.

Des lecteurs de cartes sont délivrés gratuitement sur une petite échelle, l’installation du software est sans helpdesk.

Les banques fournissent toutes sortes de services qui simplifient ou qui sont uniquement possibles en utilisant la carte et qui sont disponibles 24/7. Il y a clairement une situation gagnant-gagnant.

Les services électroniques des autorités se limitent souvent à un téléchargement d’un document. Vous devez disposer d’une imprimante pour l’imprimer. Ensuite, vous devez le remplir et le renvoyer ou le faxer. Les paiements sont effectués par un virement. Et quand le service a reçu l’argent, vous recevez par courrier un document indiqant que vous devez aller chercher le document au guichet. Entre-temps, quelques nouveaux services sont mis à disposition : entre autres Tax–on-web. Quelle est la situation gagnant-gagnant ?

La carte est utilisable à plusieurs automates de plusieurs banques, même à l’étranger.

Le citoyen n’utilise presque jamais l’eID à l’étranger. Et que se passe-t-il quand vous mettez la carte bancaire dans votre lecteur eID?

L’exemple du Minitel en France est évident. Sa réussite énorme a retardé le décollage du phénomène Internet. Une approche complète est à la base de la réussite : les appareils, le réseau, la convivialité, les informations disponibles, beaucoup d’applications et les services disponibles 24/7, clairement une stratégie gagnant-gagnant.

4. Pour les entreprises et pour Internet, il n’y a pas de frontières. Une base internationale pour l’eID est essentielle.

L’utilisation de l’eID ne s’arrête pas aux frontières d’un pays. Ce constat s’applique avec une acuité particulière à l’Internet. Lors d’une utilisation transfrontalière de l’eID, des standards et des accords internationaux sont nécessaires au niveau technique. A l’exception des aspects techniques, les contrats et les reconnaissances mutuelles des processus et des procédures sont également très importants.

Il est donc essentiel que l’eID belge soit incluse dans un contexte international.

Au niveau européen, il y a beaucoup d’instances actives dans le cadre de cette matière. Or, ceci indique aussi qu’à l’heure actuelle cette échangeabilité/interopérabilité n’est pas encore une réalité. Les projets dans un contexte international sont confrontés avec toutes sortes d’éléments pratiques qui restent non couverts : beaucoup de bases de données et de fichiers qui sont consultés pendant les processus/applications sont locaux, le middleware est écrit typiquement pour l’eID locale, les processus et les procédures pour les certificats sont partout différents, les niveaux de sécurité sont différents dans tous les pays, etc.

Le risque que vous courez en tant que pionnier, et la Belgique est en effet un pionnier, est que le système que vous lancez ne réponde pas aux standards à venir. La conséquence est que la technologie devra être adaptée aux nouveaux standards. Ceci crée un handicap et constitue un obstacle pour les entreprises qui veulent investir par anticipation dans le développement des applications avec le risque que tout devra être écrit de nouveau. Elles attendent jusqu’à ce qu’il y ait une stabilité et plus de clarté.

169



5. Une mise en œuvre de l’eID peut seulement réussir si les utilisateurs finaux ne sont confrontés à aucun obstacle.

La plus importante conclusion du contexte psychologique de l’eID est que l’utilisation de l’eID se trouve loin de l’environnement du citoyen. Il y a beaucoup d’ignorance au sujet de l’eID et cette ignorance crée souvent une méfiance, parfois même une réticence à l’égard de l’eID.

La Commission de la protection de la vie privée insiste sur les dangers que l’eID peut faire courir. Il y a peu d’attention pour le fond réel du sujet, notamment les motifs pour la mise en oeuvre d’une identité électronique. On fait peu appel au bon sens des gens, au fait que l’identité électronique constituera un élément de la future communication électronique, ce qui est inévitable dans le monde globalisé.

Dans le discours juridique relatif à l’eID, la Commission de la protection de la vie privée est très importante, alors qu’il n’y a pas assez de contrepoids dans un sens positif, une approche insuffisamment positive des possibilités de l’eID et de la tendance générale au niveau mondial d’un passage vers une identité électronique.

Il existe une grande contradiction au sein des services des autorités fédérales : d’un côté l’eID est distribuée et de l’autre côté la Commission de la protection de la vie privée empêche toute utilisation.

Bien entendu, il existe un grand nombre d’obstacles concernant l’utilisation de l’eID du fait que les gens ne changent pas volontiers. Du fait que la Belgique joue un rôle de pionnier dans le domaine de l’eID, ces « phénomènes de transition » seront beaucoup plus grands que dans un pays qui utilisera l’eID seulement dans quelques années. A ce moment-là, on pourra utiliser l’expertise et les enseignements de l’eID Belge, entre autres.

D’autre part, la Belgique peut jouer un rôle important dans la mise au point des standards concernant l’utilisation de l’eID.

170

6. Le processus dans lequel l’eID doit être implémenté est optimisé dans son ensemble.

De l’analyse des études de cas, il ressort que les cas qui ont réussi sont précisément ceux qui envisagent le processus dans sa globalité et qui essaient de l’optimiser. L’introduction de l’eID dans les processus d’entreprise exige un « process reengineering » approfondi. Si l’eID est uniquement considérée comme un facilitateur technique, sans réévaluation du processus, le projet échouera sans aucun doute.

Pour cette raison, l’eID doit être intégrée dans une autre façon de travailler, une façon de travailler électroniquement. Ceci exige un investissement dans la technologie, non seulement de la part du gouvernement et des entreprises, mais aussi de la part des citoyens.

L’utilisation de l’eID peut révéler certaines imperfections des processus existants qui se heurtent alors à une réticence à l’égard d’un durcissement du système.

Prenons par exemple la signature d’un médecin sur une prescription. Un médecin dans un hôpital n’a pas souvent le temps de signer toutes les prescriptions. Il est d’usage de déléguer cette tâche. Personne ne se pose de question à ce sujet. L’utilisation de la signature électronique est normalement une solution visant à faire gagner du temps au médecin. Mais cet objectif n’est pas atteint avec la procédure électronique telle qu’elle exise actuellement, bien au contraire, par le contrôle des certificats le docteur est obligé maintenant de le faire lui-même. Voilà le fondement de la réticence à l’égard de l’utilisation de la signature électronique.

Lors de la réingénierie des processus et l’intégration de l’eID aux processus automatisés sécurisés et juridiquement contraignants, les gens sont obligés de remettre en question les situations existantes. Il y a une réticence spontanée à l’égard de l’évolution. En cas de critique, ils s’adressent à l’objet, l’eID, plutôt qu’au processus archaïque.

Changer les procédures est un chemin lent et difficile car les attitudes des gens doivent également être adaptées. Ce sont des chemins typiquement de longue durée où dans ce cas l’eID est seulement un facilitateur technique. Il est donc très important de comprendre que la mise en oeuvre de l’eID requiert plus que l’achat d’un lecteur de carte.

La signature numérique et la sauvegarde des exemplaires imprimés d’un document sont un autre exemple. Les gens doivent apprendre à penser d’une autre façon, car un document signé de manière digitale perd toute valeur juridique dans la version imprimée. Ici, on doit remarquer que le cadre juridique relatif à l’archivage électronique n’est pas encore entièrement au point.

171



10.2 Recommandations

Sur base des conclusions mentionnées, nous pouvons formuler les recommandations suivantes :

1. Il doit y avoir un seul propriétaire du projet eID et une approche intégrée. Il faut un plan de communication vers la population et les entreprises.

Un seul propriétaire du projet eID, qui mène toutes les actions et qui est soutenu par les différents SPF.

One team – one voice : une communication intégrée - des messages communs et clairs.

Une communication positive dans un langage adapté au groupe cible.

Une approche intégrée : on ne peut pas considérer l’émission de la carte eID comme une activité isolée. En même temps que l’émission, il faut communiquer, apprendre à utiliser, argumenter et donner envie d’utiliser, mettre en place l’infrastructure pour pouvoir utiliser, stimuler l’industrie à créer des services qui utilisent la carte.

Un rôle exemplaire lié à une attitude cohérente vis-à-vis de l’utilisation de l’eID et de la signature électronique. Intégration de l’eID et de la signature électronique dans toutes les nouvelles solutions.

Mise en place d’un point de contact unique pour tous les services autour de l’eID et de la signature électronique : téléphone, site web, assistance, etc.

Dans cette atmosphère positive, les entreprises investiront avec enthousiasme dans les applications qui supportent l’utilisation des techniques modernes et qui supportent également l’image « innovatrice » de notre pays.

2. Il faut créer une plate-forme stable dans un cadre légal et technique stable et clair.

Une législation compréhensible, complète et stable dans le temps autour de l’eID et de la signature électronique.

Des normes et des standards stables et imposables émis par une autorité.

Créer un environnement universel : des standards qui rendent l’utilisation de la carte eID et de la signature électronique facile et interchangeable.

Des standards qui s’alignent sur les standards internationaux.

3. Il faut créer un climat de confiance.

Le gouvernement a, probablement à tort, une réputation de ‘Big Brother’. De ce fait, il faut créer un climat de confiance incité par l’aspect positif des actions. Il faut donc créer un contexte motivant pour l’usage de l’eID :

o Réduction de la paperasserie

o Un traitement du dossier dans un délai raisonnable

o Clarté de l’information – collecte unique de l’information

o Subsides spontanés

172

o Disponibilité permanente des services (cfr. Usage de l’Internet)

o Pas de barrières entre les SPF et/ou les autres organismes gouvernementaux

o Des services sans déplacements, sans files d’attentes

Un deuxième aspect pour gagner la confiance est la transparence :

o Plus de bons exemples comme « mon dossier » par lequel le citoyen peut vérifier ses propres données et peut voir qui a accédé à ses données.

o Des descriptions claires des étapes à suivre dans un processus, sur le coût total, les points de contrôle, les acteurs et leurs responsabilités, la date ultime de la décision, les moyens pour porter plainte, etc.

o Clarté des instructions.

Un troisième aspect est le sens de la réalité.

4. Les entrepreneurs doivent obtenir un support technique suffisant pour faciliter le passage à l’eID.

Un middleware adapté aux besoins des entrepreneurs

Limiter le nombre de modifications de version du middleware

Une bonne communication en cas de modifications de version du middleware

Un helpdesk pour les problèmes avec le middleware

Des lecteurs de cartes bon marché ou gratuits pour les utilisateurs d’applications de l’eID

Une communication spécifique vers les entreprises

173



Annexes

Les annexes suivantes ont été reprises :

1. Terminologie

2. Sources consultées

3. Listes des personnes contactées

4. Quelques autorités de certification importantes

5. Questions ateliers entrepreneurs

6. Présentation de quelques appareils mobiles

7. Fiches applications eID

174

Annexe 1 : Terminologie

Les termes et abréviations les plus usités dans le contexte juridique et technique de l’eID sont commentés ci-après.

A. Terminologie juridique

Il est apparu au cours des interviews et des entretiens avec les experts, partenaires, entrepreneurs et usagers qu’il existe une grande confusion autour des termes identification et authentification. C’est pourquoi nous esquissons ici la distinction entre les significations juridique et technique des termes :

Identification

Sur le plan juridique : l’établissement de l’identité d’une personne, ou également la présentation d’une preuve acceptée de personnalité, au moyen de laquelle l’autorité compétente peut constater l’identité d’une personne.

Sur le plan technique : l’indication de l’identité d’un sujet (un utilisateur ou un processus) dans la technologie de l’information. L’identité est utilisée pour traiter l’accès du sujet à l’objet. Dans l’optique de la protection de l’information, l’identification d’un sujet est la première étape dans le processus d’autorisation.

Authentification

Sur le plan juridique : N’a pas de signification. L’authentification est souvent confondue avec ou associée à « authenticité » ou « authentique ».

Sur le plan technique : c’est le processus par lequel une personne, un ordinateur ou une application vérifie si un utilisateur, un autre ordinateur ou une autre application est bien celui ou celle qu’il ou elle prétend être. Au cours de l’authentification, il est effectué un contrôle afin de déterminer si une preuve d’identité fournie correspond bien aux caractéristiques de véracité. L’authentification est la deuxième étape dans le processus de contrôle d’accès (la troisième et dernière étape est l’autorisation).

Signature électronique et signature digitale

La notion de ‘signature électronique’ est souvent confondue avec la ‘signature digitale’ :

Le terme de ‘signature électronique’, qui est fréquemment utilisé incorrectement comme un synonyme de la signature digitale, est une définition légale désignant diverses méthodes, non nécessairement cryptographiques, de confirmer l’identité d’une personne qui envoie un message électronique. Elle englobe également, outre une signature digitale, par exemple des adresses télégraphiques ou de télex ainsi qu’une signature manuscrite apposée sur un document qui est ensuite faxé.

Signature digitale : résultat de l’application de techniques cryptographiques à un ensemble de données qui permet de garantir l’intégrité des données, ainsi que l’identification - éventuellement pseudonyme - de celui qui a appliqué lesdites techniques. De ce fait, les technologies permettant de générer des signatures digitales comprennent, en général, deux algorithmes : l’un, pour confirmer que l’information n’a pas été altérée par des tiers, l’autre, pour confirmer

175



l’identité de la personne qui « signe » l’information. Une infrastructure à clé publique est généralement utilisée pour générer une signature digitale.

Registre national et numéro de registre national

On remarque qu’il existe une certaine confusion entre le Registre national (l’institution), le registre national (la banque de données) et le Numéro de registre national.

Le Registre national (« R » majuscule) est une institution gérant entre autres une banque de données contenant des données sur chaque citoyen. Elle relève de la compétence du SPF Intérieur.

Le registre national (« r » en minuscule) est la banque de données contenant des données sur chaque citoyen. Elle est gérée par le Registre national. La banque de données contient des renseignements administratifs tels que l’adresse, l’état civil, la profession, la résidence principale, etc. L’accès au registre national est très strictement régi par la loi du 8 août 1983 portant règlement d’un registre national des personnes physiques.

Le numéro de registre national est l’identification unique de chaque citoyen ayant la nationalité belge. Il est formé de onze chiffres, dont les six premiers renvoient toujours à la date de naissance. L’usage du numéro de registre national est strictement régi par la loi du 8 août 1983 portant règlement d’un registre national des personnes physiques. Le numéro se trouve sur l’eID et sur la carte SIS. Il est utilisé par les instances compétentes pour identifier une personne et consigner ou consulter les renseignements relatifs à cette personne.

B. Terminologie technologique

AES

« Advanced Encryption Standard » (norme avancée de cryptage). Le successeur du DES, qui constitue la norme de facto pour le cryptage des transactions commerciales dans le secteur privé. La norme a été définie comme FIPS-197, et se base sur le cryptage belge Rijndael, mis au point par Joan Daemen et Vincent Rijmen.

Authentification « reverse proxy »

Un serveur proxy est un serveur situé entre l’ordinateur d’un utilisateur et l’ordinateur contenant les informations souhaitées par l’utilisateur. Une entreprise peut, par exemple, connecter tous les travailleurs à l’Internet via un serveur proxy et empêcher que certaines pages web puissent être consultées par ces travailleurs (traitement des demandes de l’intérieur vers l’extérieur).

Le serveur proxy peut également entraver, en tant que (partie d’un) firewall, l’accès aux ordinateurs des utilisateurs depuis l’extérieur et faire ainsi office de protection. Le traitement des demandes de l’extérieur (Internet) vers l’intérieur est appelé « reverse proxy ». L’authentification de l’utilisateur peut s’effectuer avec l’eID, comme l’illustre la figure ci-dessous.

176

Source : Présentation de la deuxième commission d’utilisateurs e-IDea (30-01-08) – Domotique – Jorn Lapon

Processus d’autorisation

Identification : En terminologie de l’informatique, l’identification est l’indication de l’identité d’un utilisateur. L’identification est une réponse à la question : Qui êtes-vous? Dans l’optique de la protection de l’information, l’identification d’un sujet est la première étape dans le processus d’autorisation. Il est indispensable, pour que l’on puisse utiliser l’identité d’une manière utile, que chaque identité appliquée soit unique. C’est à cette fin que les pouvoirs publics utilisent le numéro de registre national. Chaque citoyen se voit attribuer un numéro unique lors de son inscription dans les registres de la population.

Authentification : Prouvez qui vous êtes. L’établissement de l’exactitude de l’identité mentionnée. C’est la deuxième étape dans le processus d’autorisation. La fourniture de la preuve de votre identité se fait sur la base d’un document ou d’un certificat officiel.

Autorisation : La fixation des droits de la personne. Ce que la personne peut voir et faire. C’est la troisième étape dans le processus d’autorisation.

« Application Programming Interface » (API - interface de programme d’application)

Une « Application Programming Interface » (API) est un ensemble de définitions permettant à un programme informatique de communiquer avec un autre programme ou partie de programme (généralement sous la forme de bibliothèques). Les API distinguent en général plusieurs couches d’abstraction : les applications peuvent ainsi travailler à un niveau élevé d’abstraction et confier les tâches moins abstraites à d’autres API. Un programme de dessin ne doit, par exemple, pas savoir commander l’imprimante : il appelle pour ce faire un logiciel spécialisé dans une bibliothèque via une API d’impression.

Une API définit l’accès à la fonctionnalité dissimulée derrière. Le monde extérieur ne connaît pas les détails de la fonctionnalité ou de l’implémentation, mais l’API lui permet de savoir comment y recourir. L’avantage est qu’une API permet d’accéder aisément à plusieurs implémentations dès lors qu’elles répondent à l’API.

Certificat

Un certificat est une déclaration écrite, généralement mais pas toujours, destinée à servir de preuve de la qualité d’une entreprise, d’un service ou d’un produit. Toute preuve ne peut pas faire office de

177



certificat : le mot n’est pas utilisé pour un livret de mariage ou une quittance, par exemple. En anglais, le terme « certificat » peut revêtir un certain nombre de sens que le certificat n’a pas en français. Les actes de naissance, de mariage et de décès, notamment, sont appelés des « certificats ». Dans le contexte de cette étude, un certificat constitue une preuve de légitimité ou d’authenticité.

Certificat numérique

Les certificats numériques sont les pendants numériques des pièces d’identité papier telles que le permis de conduire ou le passeport. Un certificat numérique peut être émis pour différentes entités telles que des personnes mais aussi pour des machines telles que des serveurs web.

Les certificats numériques sont utilisés pour prouver l’identité ainsi que pour sécuriser des communications (« e-mail sécurisé »). L’identification effectuée au moyen d’un certificat numérique permet de donner accès à des informations ou des réseaux.

Un certificat numérique contient notamment les informations suivantes :

Le nom enregistré du propriétaire

La clé publique du propriétaire

La durée de validité du certificat

Le nom de l’autorité de certification

La localisation du CRL (Certificate Revocation List) chez l’autorité émettrice du certificat

Un résumé du certificat, crypté (signature numérique) avec la clé privée d’une autorité de certification. Ce chiffrement rend difficile une falsification du certificat et peut être contrôlé par toute personne au moyen de la clé publique correspondante.

Le certificat numérique confirme que la clé publique (et donc aussi la clé privée) et le nom du propriétaire de la paire de clés sont indissociablement liés. Un certificat numérique relie donc une paire de clés à une personne ou une organisation. Ce lien est établi par un tiers de confiance.

« Certification Authority » (CA - autorité de certification)

La CA est l’autorité émettrice des certificats numériques. La CA n’émet un certificat qu’après avoir contrôlé une série de points ayant trait au demandeur d’un certificat et elle signe les informations communiquées par le demandeur au moyen de sa propre clé privée de telle sorte qu’un certificat numérique reconnaissable et vérifiable par chacun est créé. Plus le contrôle précédant l’émission d’un certificat est rigoureux, plus le certificat a de la valeur. La CA joue un rôle de confiance et tout utilisateur des certificats doit pouvoir consulter les normes utilisées par la CA. C’est pourquoi la CA établit également une « Certification Practice Statement » (déclaration relative aux procédures de certification), dans laquelle toute personne peut consulter les règles utilisées par la CA.

Authentification « Challenge-response » (question-réponse)

Procédure d’authentification dans laquelle l’autorité de vérification envoie un bloc de données aléatoires au demandeur, qui est ensuite en mesure de renvoyer la réponse correspondante en fonction de ses informations secrètes.

« Certification Practice Statement » (CPS - déclaration relative aux procédures de certification)

La CPS désigne le document décrivant les procédures utilisées lors de l’émission, la gestion, la révocation et la prolongation des certificats. Dans la CPS, un utilisateur de certificats peut se rendre

178

compte du soin avec lequel les certificats sont traités par une CA. Sur la base de la CPS, un utilisateur pourra se former une opinion sur la fiabilité d’une CA.

Credential (authentifiant)

Un « credential » est l’équivalent d’un certificat. Cette notion est généralement utilisée dans le contexte des « credentials » anonymes (ou « private credentials »). Avec un credential anonyme, il n’est pas possible de retrouver l’identité du propriétaire. Un credential anonyme permet donc de publier des données sélectives non liées à l’identité. Un exemple simple d’un credential anonyme est un pseudonyme.

CRL

« Certification Revocation List » (liste des certificats révoqués). A l’instar d’un passeport ou d’un permis de conduire, un certificat numérique a une durée de validité limitée. Au terme de sa durée de validité, le certificat ne peut plus être utilisé et le titulaire doit demander un nouveau certificat. Un certificat cesse d’être valable au terme de sa durée de validité, mais il est également possible de révoquer un certificat de manière anticipée. Dans ce cas également, le certificat n’est plus valable. Étant donné qu’il est possible de copier un certificat, la mention de sa révocation ne peut figurer dans le certificat même. On utilise dès lors la CRL. La CRL contient la liste des certificats révoqués. Pour avoir entièrement confiance dans un certificat numérique, il faut non seulement contrôler sa durée de validité, mais aussi s’assurer, en consultant la CRL, que le certificat n’a pas été révoqué.

Cryptographie

Technique de chiffrement/cryptage visant à garantir la confidentialité de l’information. Elle implique toujours l’utilisation de clés.

EESSI

« European Electronic Signature Standardisation Initiative » (initiative européenne de normalisation des signatures électroniques). L’organisation qui a défini les exigences auxquelles doit répondre un CSP (« Certification Service Provider », fournisseur de services de certification).

ETSI

« European Telecommunications Standards Institute » (Institut européen des normes de télécommunications). L’organisation qui définit, conjointement avec le CEN (Comité européen de Normalisation), les normes et spécifications techniques des certificats. Les normes ETSI importantes dans le cadre de cette étude sont la norme ETSI-101456 (exigences d’une autorité de certification) et la norme ETSI TS-101733 (XAdes, voir ci-dessous).

ETSI-101456

La norme qui définit les exigences auxquelles une CA doit répondre. Outre l’aspect technique, cette norme décrit également des procédures.

« Hash » (hachage)

Résultat de la transformation d’une chaîne de caractères en une valeur de longueur fixe en général plus courte, qui constitue une représentation de la chaîne originale. Ce procédé sert à détecter des erreurs ou une manipulation dans le transfert.

179



Non-répudiation (irréfragabilité)

En apposant une signature électronique, le signataire ne peut jamais nier qu’il a envoyé le message (ou le document) avec le contenu correspondant.

« Phishing » (hameçonnage)

Le « phishing » est une forme d’abus de confiance visant à convaincre un utilisateur de communiquer des informations personnelles sensibles et liées à la vie privée.

PKI

« Public Key Infrastructure » (infrastructure à clé publique). Gestion de certificats basée sur une cryptographie asymétrique (cryptographie à clé publique).

Clé publique et clé privée

Ces deux clés sont des éléments du codage cryptographique asymétrique. Dans ce mode de cryptage de l’information, on a deux clés qui correspondent entre elles6 : lorsqu’on utilise une clé pour le codage de l’information, on utilise l’autre pour le décodage. A noter que chacune peut servir tant pour encoder que pour décoder, mais que lorsque l’une est utilisée pour encoder, il faut utiliser l’autre pour décoder.

Le grand avantage de deux clés différentes est qu’une clé peut être rendue publique, de sorte que chacun peut utiliser cette clé pour traiter des données et une clé (privée) accessible uniquement pour le propriétaire.

Les deux clés peuvent être utilisées pour crypter des informations ou pour lire des informations cryptées. Ainsi pouvez-vous, par exemple, crypter au moyen de votre clé privée un document qui ne peut être lu (donc décrypté) par un tiers qu’au moyen de votre clé publique. D’autre part, vous pouvez également crypter des informations au moyen de la clé publique d’un tiers qui ne pourra lire (donc décrypter) cette information qu’au moyen de sa clé privée (on utilise ceci dans un autre contexte, notamment pour assurer la confidentialité, et cette possibilité n’est pas disponible avec l’eID).

L’eID contient les deux paires de clés du propriétaire : l’une pour l’authentification et l’autre pour la signature électronique légalement valable.

RSA

Rivest, Shamir, Adleman : les noms de trois scientifiques. Méthode de codage/décodage de messages basée sur une clé privée et une clé publique. Le niveau de difficulté du cryptage est fonction de la longueur de la clé en bits.

Certificat de serveur

Un certificat de serveur est attribué à un serveur web pour permettre à celui-ci de s’identifier sur l’Internet et d’assurer le transfert sécurisé sur l’Internet des données échangées avec le serveur au moyen du protocole SSL. Étant donné qu’un contrôle approfondi est effectué avant l’émission d’un certificat de serveur, l’expéditeur des informations au serveur sait, avec un degré élevé de certitude, que les informations seront transmises au serveur auxquelles les informations sont destinées et non au site d’un autre utilisateur (« spoofing »). Grâce au protocole SSL, l’expéditeur sait que seul le

6 La clé publique est générée à partir de la clé privée et ne permet pas de déduire celle-ci à partir de la clé publique.

180

titulaire du certificat de serveur peut recevoir et déchiffrer le message et que le message ne sera pas intercepté par des tiers.

SHTTP

« Secure http », la version du HTTP intégrant la sécurisation des données, spécialement destinée au commerce électronique. Le SHTTP applique notamment la cryptographie RSA au trafic réseau.

« Single Sign On » (SSO - identification unique)

Méthode permettant à un utilisateur de s’authentifier une seule fois et d’utiliser ensuite le résultat de l’authentification dans plusieurs ressources.

« Spoofing » (usurpation)

Modification d’adresses et/ou d’identités pour donner l’impression qu’elles proviennent d’une source fiable.

SSL

Le « Secure Sockets Layer » (SSL) et le « Transport Layer Security » (TLS) (son successeur) sont des protocoles de cryptage qui sécurisent la communication sur l’Internet. Ces deux protocoles assurent, grâce à la cryptographie, une authentification et une connexion sécurisée avec l’Internet. Le SSL a pour but :

d’obtenir un canal de communication fiable et confidentiel d’établir l’authenticité des applications communicantes

La procédure sous-jacente est la suivante : avant l’établissement d’une communication (par exemple, une transaction de commerce électronique), le serveur web envoie le certificat SSL au navigateur du visiteur. Ce navigateur analyse le certificat et contrôle son authenticité. Après ce contrôle, un cryptage est appliqué pour sécuriser la transmission des données de communication et de transaction.

Même si le SSL et le TLS peuvent tous deux assurer la sécurité des protocoles utilisant le TCP/IP, le SSL est le plus utilisé avec le HTTPS, par exemple, pour sécuriser les données de cartes de crédit. Lorsque ce protocole est utilisé pour la sécurisation du HTTP, la partie « http :// » d’une URL est remplacée par « https :// », où le s signifie « secure ».

Souvent, seule l’authenticité du serveur est contrôlée (en contrôlant le certificat du serveur), alors que le client (utilisateur) reste inconnu. Une authentification « reverse proxy » permet aussi d’authentifier des utilisateurs (contrôle d’un certificat d’utilisateur, par exemple, le certificat d’authentification de l’eID).

« Tokens » (jetons)

Dans le contexte ICT, un « token » désigne une série de chiffres ou de caractères « qu’on ne peut pas ‘déduire’ ». Le token personnel est attribué spécifiquement à une personne déterminée et sert à l’authentification.

Un exemple de « token » personnel est le code PIN (numéro d’identification personnel), la série - que nous connaissons tous - de quatre chiffres et qu’on nous demande de retenir et d’encoder dans le distributeur lorsque nous voulons retirer de l’argent. Le distributeur déduit immédiatement de ses données qui devrait être le client et il authentifie ce client en lui demandant son code PIN.

Quand bien même il ne peut être reconstitué par déduction, le « token » peut être copié ou obtenu par abus de confiance ou sous la menace. Lorsque le « token » est statique, comme le code PIN, un malfrat dispose du temps nécessaire pour le forcer. C’est pourquoi un nombre toujours grandissant de systèmes voient le jour, qui garantissent la sécurité à long terme. Aujourd’hui, on utilise souvent

181



de petits appareils qui génèrent un « token » au moment où on en a besoin. Ces appareils eux-mêmes sont appelés des « tokens ».

Il peut s’agir d’une carte comportant des codes que l’on doit reproduire, mais aussi d’un « token » spécial synchronisé temporairement. Le « token » même ne sert pas, physiquement, pour l’authentification mais il affiche sur un petit écran LCD un code à plusieurs chiffres (que l’on appelle aussi mot de passe dynamique ou « one-time-password »), qui change au bout d’un certain délai, par exemple au bout d’une minute.

Exemples de « tokens »

Le principe consiste en ce que l’utilisateur doit faire usage d’un code PIN et ensuite du code à plusieurs chiffres du « token » pour s’identifier. Le code à plusieurs chiffres du « token » garantit la sécurité car il change de minute en minute et ne peut donc être copié, tandis que le code PIN complémentaire garantit que l’utilisateur est bien la personne requise.

Les « tokens » utilisent un algorithme spécialement conçu pour calculer au terme d’un certain délai un nouveau code unique de plusieurs chiffres. Le système d’authentification possède le même algorithme et peut donc calculer sur base du numéro d’identification du « token » quel code chiffré est actuellement visible sur l’écran LCD de ce « token ».

TLS

Le « Transport Layer Security » est un protocole de cryptage situé sur la couche applicative (successeur du SSL, le « Secure Socket Layer ») qui assure une connexion sécurisée et authentifiée à l’Internet.

« Trusted Third Party » (tiers de confiance)

Le « Trusted Third Party » désigne une organisation qui intervient comme tiers indépendant entre les parties concernées dans les transactions électroniques et le trafic de messages, et émet des clés et des certificats afin de prouver l’authenticité d’une transaction ou d’un message.

« Trojan horse » (cheval de Troie)

Virus informatique prenant l’apparence d’un programme inoffensif ou utile (par exemple, un programme de compression ou un détecteur de virus) mais qui cause ensuite des dégâts lorsqu’il est lancé.

X.509

182

Format standard le plus utilisé pour l’établissement de certificats numériques.

XAdes

Le XAdes définit un format XML pour l’application de signatures électroniques avancées et qualifiées répondant à la directive européenne sur les signatures électroniques. Le XAdes complète les structures existantes de signature des messages XML, telles que le XMLDsig. Le XAdes est également une norme ETSI, à savoir l’ETSI TS-101733.

Abréviations les plus usitées

CA (Certificate Authority) : l’autorité de certification : l’instance qui délivre le certificat

ID (Identity) : identité

OCSP (On line Certificate Status Protocol) : le protocole permettant de vérifier rapidement (en temps réel) le statut de révocation d’un certificat.

PIN (Personal Identification Number) : Numéro d’identification privé (code) de la carte électronique (ex. : code de la carte de banque, de la carte eID, du GSM, …).

PKCS (Public Key Cryptography Standards) : Série de spécifications au départ de Standards RSA de protection de données.

PUK (Personal Unblocking Key) : Clé d’activation de la carte électronique.

RSA (Rivest, Shamir, Adleman) : système cryptographique asymétrique inventé par Rivest, Shamir et Adleman.

X.509 (Directory Authentication Framework) : Description détaillée de certificats numériques et de leur utilisation.

XML (eXtensible Markup Language) : Standard Internet pour la construction flexible et logique des fichiers de documents. L’usage du XML rend l’accès à l’information des fichiers relativement simple.

183



Annexe 2 : Sources consultées

Les sources suivantes ont été consultées (pas exhaustif) :

Contexte général

http://www.ibz.rrn.fgov.be/index.php?id=670&L=1

http://eid.startpagina.be/

Contexte juridique


http://www.ibz.rrn.fgov.be/

http://www.unizo.be/images/res153803_1.pdf

http://www.law.K.U.Leuven.ac.be/icri/david/C_Mag_digitaal_archiveren.php

http://www.law.K.U.Leuven.be/icri/publications/945artikel_TBH.pdf?where=

www.cass.be

http://www.lexlewis.be/thesis/thesis_eID_Alexander_Goossens.pdf

http://www.privacycommission.be/

http://www.certipost.be/dpsolutions/nl/e-timestamping-overview.html

www.standaard.be/archief


Contexte technique

http://www.zurich.ibm.com/security/idemix/


http://www.lsec.be/

http://www.itprofessional.be/technology.cfm?id=81754

http://www.keytradebank.com/pdf/eID_nl.pdf

http://www.keytradebank.com/nl/support/faq/42/324

http://www.getronicspinkroccade.nl/

Contexte économique

http://epp.eurostat.ec.europa.eu/

http://www.europa-nu.nl/9353000/1/j9vvh6nf08temv0/vh6tqk1kv3pv#p2

http://www.ibz.rrn.fgov.be/index.php?id=670&L=1

http://eid.startpagina.be/


http://www.ibz.rrn.fgov.be/


http://www.law.K.U.Leuven.ac.be/icri/david/C_Mag_digitaal_archiveren.php

http://www.law.K.U.Leuven.be/icri/publications/945artikel_TBH.pdf?where=

http://www.cass.be

http://www.lexlewis.be/thesis/thesis_eID_Alexander_Goossens.pdf

http://www.privacycommission.be/

http://www.certipost.be/dpsolutions/nl/e-timestamping-overview.html

http://www.standaard.be/archief


http://www.zurich.ibm.com/security/idemix/


http://www.lsec.be/

http://www.itprofessional.be/technology.cfm?id=81754

http://www.keytradebank.com/pdf/eID_nl.pdf

http://www.keytradebank.com/nl/support/faq/42/324

http://www.getronicspinkroccade.nl/

http://epp.eurostat.ec.europa.eu/

http://www.europa-nu.nl/9353000/1/j9vvh6nf08temv0/vh6tqk1kv3pv#p2

184

http://www.statbel.fgov.be/ict/

Contexte international

http://digitaalbestuur.nl/magazine/europese-e-identiteitscrisis

http://app.ica.gov.sg/serv_citizen/identity_card/ic_registration.asp

http://www.spring.gov.sg/et/2008_01/index12.html

Applications de l’eID

http://www.arena-solutions.be/nl/identification/eid/index.asp?p=3442

http://www.dsoft.be/Company/Pressreleases/022006-Dibrosi/022006.html

http://www.9lives.be/forum/showthread.php?t=543211&page=4

http://www.windowsvistamagazine.be/

Etudes de cas

http://www.ethias.be/cqpf.go?pg=CPIF110&cqp=57

https://www.seniorennet.be/eID-beta/eid_help_samengevat.php

http://www.bondbeterleefmilieu.be/milieuopdekaart/

http://www.certipost.be/certipost/nl/index.php?option=com_content&task=view&id=96&Itemid=54

http://www.digitale-televisie.be/modules/news/article.php?storyid=212

http://www.theweblog.be/?p=337

Recherche scientifique

http://www.cosic.esat.kuleuven.be/adapid/

http://allserv.kahosl.be/projecten/eidea/index.php?page=commissie

Divers

www.wikipedia.be http://www.dis-institute.com/pers/DISpersmap14032006.pdf

http://www.statbel.fgov.be/ict/

http://digitaalbestuur.nl/magazine/europese-e-identiteitscrisis

http://app.ica.gov.sg/serv_citizen/identity_card/ic_registration.asp

http://www.spring.gov.sg/et/2008_01/index12.html

http://www.arena-solutions.be/nl/identification/eid/index.asp?p=3442

http://www.dsoft.be/Company/Pressreleases/022006-Dibrosi/022006.html

http://www.9lives.be/forum/showthread.php?t=543211&page=4

http://www.windowsvistamagazine.be/

http://www.ethias.be/cqpf.go?pg=CPIF110&cqp=57

https://www.seniorennet.be/eID-beta/eid_help_samengevat.php

http://www.bondbeterleefmilieu.be/milieuopdekaart/

http://www.certipost.be/certipost/nl/index.php?option=com_content&task=view&id=96&Itemid=54

http://www.digitale-televisie.be/modules/news/article.php?storyid=212

http://www.theweblog.be/?p=337

http://www.cosic.esat.kuleuven.be/adapid/

http://allserv.kahosl.be/projecten/eidea/index.php?page=commissie

http://www.wikipedia.be

http://www.dis-institute.com/pers/DISpersmap14032006.pdf

185



Annexe 3 : Listes des personnes contactées

Voici les listes de toutes les institutions, organisations et entreprises contactées.

Membres du comité de suivi :

Organisation - Département Personne

SPF Economie – Télécommunications et Société de l’Information

Daniel Totelin, Pierre Strumelle et Séverine Waterbley

SPF Economie – Régulation et Organisation du Marché Fabrice De Patoul et Didier Gobert

SPF Economie – Politique des PME Gert Lievens et Hervé Lasne

SPF Economie – Qualité et Sécurité Jean-François Petit et Dirk Leroy

SPF Economie – Contrôle et Médiation Cécile Coppin et Luc Deschouwer

Services gouvernementaux :


Fedict Hugues Dorchy et Peter Strickx

SPF Intérieur – Registre national Joachim Van Eyck et René Wauters

SPF Intérieur – Institutions et population Luc Smet

l’Agence pour la Simplification Administrative (ASA) de la Chancellerie du Premier Ministre

Dannie Goossens

SPF Sécurité sociale – Banque-carrefour Frank Robben

Universités, écoles supérieures et centres de recherche :


ICRI (KUL) Jos Dumortier

Distrinet KUL (eIDea & adapID) Bart De Decker, Kristof Verslype et Pieter Verhaeghe

COSIC (KUL) Danny De Cock

CRID (Namur) Yves Poullet et Etienne Montero

CETIC (Charleroi) Robert Viseur

WiCA Universiteit Gent (iDTV) Luc Martens, Tom Deryckere et Kris Vanhecke

KaHo St.-Lieven Gent (eIDea) Vincent Naessens et Jorn Lapon

KaHo St.-Lieven Gent (étudiants / mémorants) Jannes Verstichel, Lander Dufour, Bram Verdegem et Thibaut Van Sinay

186

Utilisateurs d’applications eID contactés :


Universiteit Gent Jurgen Lust

KU Leuven Griet Lemmens et Martijn Waeyenbergh

De Oesterbank Oostende Nico Laridon

Mobiel vzw Kortrijk Stijn Tyteca

Cultuurcentrum Ter Dilft Bornem Hugo De Pauw

Autres acteurs :


Unizo Ian De Ruyver et Johan De Neef

KMO-IT (Unizo) Lieven Vandevelde et Erwin Buggenhoudt

AWT Luc Simons

Infopole Cluster TIC Thierry Villers

Technofutur TIC Pierre Lelong

FEB Jeroen Langerock

ABB (Association Belge des Banques) Patrick Wynant

Agoria Patrick Slaets

Mutualité chrétienne Roel Guldemont

Isabel Christian Luyten

FRNB (notariat) – carte REAL Pieter Boone, Jan Biets et Kris Jehaes

eBay Tanja De Coster

Ethias Arnould Daenen

Bond Beter Leefmilieu (e-portemonnee) Johan Niemegeers

Limburg.net (e-portemonnee) Kris Somers

Commission de la protection de la vie privée Jos Dumortier

Test-Achats Fabienne Maes

CRIOC (Centre de Recherche et d’Information des Organisations de Consommateurs)

Adriaan Meirsman

VVSG (Vereniging van Steden en Gemeenten) Herman Callens

Child Focus Dirk Depover et Tom Van Renterghem

187



Producteurs d’applications eID :

Entreprise Personne

4allNetworks Patrick Coomans

Adobe Peter Van Den Broecke

AgileSoft Michiel Scharpé

Alcatel Jan Dheedene

Apple (Mac) Yves Van Den Broek

Approach Marc Stern

Aqsys Jean Mangez

Arcabase Herman Van Looveren

Ardatis Steven Vanderaspoilden

Arena Solutions Johan Devriendt et Frans Cools

ArrowUp Jean De Coster

Ask Stéphane Corteel et Alain Loyens

Axima Max Frazelle et Julio Ogazon

BSYS Eddy Van Hoeferlande

Captor (Kronos) Marnix Coenaerts et Alain Demarcke

CCV Cardfon Bram Soete et Hans Tjolle

Cegeka Erwin Nouwen

Certipost Patrick Van Hoorde et Guy Ramlot

Ciges Rudy Simons

D Soft Frank De Langhe

the eID Company Hugues Dorchy

EM Group Peter Vanhuffel

Eutronix Philippe Clement et Olivier Jamar

Gemplus - Gemalto Philippe Inserra et Pierre Heinrichs

Hewlett-Packard Guy Van Hees

IBM – Global Business Solutions Karl De Backer

Imprivata Rik Van Bruggen

Ineo (Mercator) Olivier Billa

Intel Kurt De Buck

Intesi Hans Van Es

Invemaco (Efficy) Cédric Pierrard

Lenovo Danny Amelryckx

188

Entreprise Personne

LSEC (Leuven Security) Ulrich Seldeslachts

Lithium ICT Christophe Van Durme

Mainsys Gauthier Storm

Microsoft Gaspar Bauden et Ronny Bjones

Multiprox Michel Willegems

myFMbutler Luc Dhondt

Netdirect Robert Hellemans

Nisus Gert Buys

NRB (Network Research Belgium) Philippe Willems

Ometa (Microsoft SharePoint eID) Luc Deleu

Oracle Antonio Mata Gomez

Portima Claude Rapoport

Planet Winner Dirk Leysen

Pronoia Jeroen Bekaert

RoadByte Mathias Vercruysse

SAP Baudouin Urbain

SEALED Olivier Delos

Siemens Philippe Huysman

Steria Eric Stylemans

Sun Rudy Van Hoe

Sun Solutions Christophe Bauwens

Telindus Henk Den Baes

Time Solutions Christophe Bauwens

Vasco Frank Coulier et Jo Mellemans

Vsecurity (Registr8) Marc Zimmerman

XLN-t Guido De Cuyper et Kurt Sterckx

Zetes Rudi De Bie

189



Voici les personnes de l’équipe d’IBM qui ont participé au projet :

Membres du team IBM :

Nom Fonction

Bernard Bouttefeux Directeur du projet

Friedl Maertens Coordinatrice de projet

Natasja Van Bijlen Consultant

Nathalie Matthijs Consultant

Yorick Cool Expert

Bernard Van Acker Expert

Karl De Backer Expert

Brigitte Van Den Eynde Expert

190

Annexe 4 : Quelques autorités de certification importantes

Cette annexe présente quelques autorités de certification importantes.

Certipost

Certipost est le fournisseur en Belgique de certificats qualifiés pour l’eID belge. Certipost intervient comme prestataire de services de certification (« Certification Service Provider ») pour l’eID belge.

Les certificats qualifiés répondent aux prescriptions légales (contenues notamment dans la loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification). Principales caractéristiques d’un certificat qualifié :

Un contrôle est effectué par les autorités.

Toutes les étapes du processus de certification prévues dans la législation doivent être respectées.

Les certificats peuvent être associés à une signature électronique légalement valable (entièrement équivalente à la signature manuscrite)

Certipost offre également, à côté de la réalisation de certificats pour l’eID, des services tels que la vente de certificats au nom des entreprises, ainsi que des plate-formes d’e-communication où les entreprises peuvent s’échanger réciproquement des documents électroniques. Ces certificats ne sont donc pas liés à la personne physique mais bien à la fonction que l’on exerce dans une entreprise.

GlobalSign

GlobalSign est une autorité de certification mondialement reconnue. Elle propose divers types de certificats numériques, notamment des certificats personnels. Pour obtenir un certificat personnel de classe 3, il convient de s’inscrire auprès d’une autorité d’enregistrement locale (« Local Registration Authority », LRA). En Belgique, les pouvoirs publics jouent le rôle de LRA.

Par ailleurs, le « Belgium Root CA » est un certificat autosigné reconnu par GlobalSign.

Le « GlobalSign Root Certificate » étant intégré d’origine dans une série de navigateurs tels que Explorer, Firefox, etc., il s’ensuit que le « Belgium Root CA » est implicitement reconnu comme un certificat valable. Cela permet d’établir le lien avec des applications et des sites Web protégés sans perturber l’utilisateur final avec des messages ennuyeux et inutilement alarmants.

En plus des certificats personnels, GlobalSign fournit également des certificats à des serveurs Web et des applications. C’est important pour la protection lors des échanges d’informations dans le contexte de l’e-business. ServerSign, le certificat de serveur sécurisé de GlobalSign, garantit l’identité et la propriété d’un nom de domaine Internet ainsi que la confidentialité de la communication entre un serveur Web et les utilisateurs/clients connectés. Les certificats ServerSign – disponibles pour un, deux ou trois ans – sont acceptés dans le monde entier.

GlobalSign concède des sous-licences à d’autres entreprises (notamment Adobe), qui peuvent vendre des licences signées par GlobalSign.

191



VeriSign

VeriSign est l’un des principaux fournisseurs de certificats numériques – les certificats Verisign SSL – pour la protection de sites Web et de transactions électroniques. Un site Web protégé par un certificat VeriSign SSL se reconnaît au sceau « VeriSign Secure Site Seal ». Les applications des certificats VeriSign SSL les plus fréquentes sont :

La protection de sites de commerce électronique : les visiteurs de ces sites sont assurés de l’authenticité du site et de la confidentialité des échanges d’informations cryptées. La protection du trafic entre serveurs, par exemple entre des serveurs Web et des serveurs de courrier électronique : les serveurs communiquent ainsi entre eux de manière entièrement automatisée et sécurisée via des connexions authentifiées et cryptées. La protection de services Internet par SSL (« Secure Sockets Layer »), qui peut s’appliquer à un grand nombre de services et protocoles Internet tels que POP, SMTP et IMAP pour l’e-mail, FTP pour les transferts de fichiers, et même les VPN SSL.

VeriSign concède des sous-licences à d’autres entreprises, qui peuvent vendre des licences signées par VeriSign. En Belgique et aux Pays-Bas, c’est notamment possible chez Getronics PinkRoccade. VeriSign intervient comme « Root CA » pour les certificats de la carte REAL des notaires (voir l’étude de cas consacrée à la carte REAL).

Getronics PinkRoccade

Getronics PinkRoccade est un prestataire de services ICT qui a vu le jour en 2005 suite au rachat de PinkRoccade par Getronics.

Getronics PinkRoccade intervient comme prestataire de services de certification (« Certification Service Provider ») pour l’émission de certificats par les autorités néerlandaises et comme autorité de certification pour les certificats de la carte REAL des notaires en Belgique (voir l’étude de cas consacrée à la carte REAL).

Autorités de certification dans des domaines spécifiques

Il existe également des autorités de certification dans des domaines spécifiques, par exemple dans le secteur des banques et assurances.

Secteur bancaire : Isabel

Isabel travaille depuis des dizaines d’années déjà avec une smartcard – la Secure Signing Card – avec mot de passe où le système PKI est aussi utilisé (donc aussi avec une clé publique et une clé privée garanties par des certificats). Isabel fournit les certificats numériques Isabel, qui permettent de générer et de contrôler les signatures numériques. Dans le cadre du contrat Isabel, la signature numérique a la même valeur qu’une signature manuscrite. Isabel intervient donc comme autorité de certification et prestataire de services de certification.

Secteur des assurances : Portima

Portima est une société informatique qui construit un environnement dans lequel les courtiers et les compagnies d’assurances peuvent faire des affaires rapidement et en toute sécurité. Par le biais du site Web de certification de Portima (Port-e-Key), on peut commander et gérer des certificats. Portima intervient donc comme autorité de certification (de son propre système). Ces certificats peuvent alors être utilisés dans le logiciel proposé par Portima.

On peut aussi utiliser l’eID pour se loguer. C’est un exemple d’une application qui permet de se servir aussi bien des certificats de l’eID que des certificats de l’entreprise.

192

Annexe 5 : Questionnaire ateliers entrepreneurs

Le questionnaire qui suit a été utilisé pour interroger des entrepreneurs.

Questionnaire sur l’eID

Données générales de votre entreprise

Brève description de votre entreprise

Nombre de travailleurs

Secteur dans lequel vous exercez vos activités

Type d’activité : B2B ou B2C?

Vos projets d’extension, statut quo ou réduction?

Activités internationales ou locales? Oui Non

Disposez-vous déjà, personnellement, d’une carte eID? Connaissez-vous bien ou mal les trois fonctions de base suivante de la carte eID? Bien Mal

a) Identification (lecture de données qui se trouvent sur la carte eID, sans code PIN)

b) Authentification (prouver effectivement qui vous êtes lorsque vous effectuez une transaction digitale, avec code PIN)

c) Signature digitale (vous vous déclarez d’accord avec les données d’un document digital, avec code PIN)

L’eID à usage personnel Laisseriez-vous lire votre eID si on vous le demandait? Par exemple, chez le pharmacien, pour la location d’une bicyclette ou même lorsque vous l’utilisez pour accéder à un site web protégé (par exemple pour vos affaires bancaires)? Pourquoi oui? Pourquoi non? A quelles conditions? Quelles sont vos préoccupations?

193



L’eID à usage professionnel Projetez-vous d’utiliser l’eID dans la gestion de vos affaires? (veuillez bien noter aussi si vous l’utilisez déjà) Pourquoi l’utiliseriez-vous? Pourquoi oui? Pourquoi non? A quelles conditions? Quelles sont vos préoccupations?

L’utiliseriez-vous plutôt en B2B (par exemple avec les fournisseurs) ou plutôt en B2C (par exemple avec les utilisateurs terminaux)? Pouvez-vous préciser votre réponse?

Quels sont, à votre avis, les principaux empêchements que rencontrent les entreprises à offrir des services qui utilisent la carte eID?

Donnez une cote : 1=peu d’empêchement 2=empêchement modéré 3=empêchement important 4=empêchement très important

1

2

3

4

Insuffisamment informé sur l’usage et les applications de la carte d’identité électronique.

C’est une matière complexe pour de nombreuses personnes.

Il manque un cadre juridique clair autour de l’eID (flou juridique).


On ne peut pas, avec la carte d’identité électronique, placer une signature électronique valable en qualité d’une fonction au sein d’une entreprise.

On doit disposer de tous les instruments : un lecteur de cartes, un software de lecteur de cartes, un middleware, des applications, etc, et ils ne sont pas installés d’office sur l’ordinateur.

La protection de la vie privée et la sécurité ne peuvent pas encore être suffisamment garanties.

Les utilisateurs terminaux sont méfiants quant à l’utilisation de la carte d’identité électronique.

La carte d’identité électronique n’est valable que pour les Belges.

Il existe trop peu d’applications prêtes à l’usage et conviviales.

Les applications pour la carte d’identité électronique sont trop onéreuses, exigent un investissement trop important.

De nombreuses entreprises ont déjà investi dans un autre système (par exemple, les badges de l’entreprise).

Tout le monde ne dispose pas encore d’une carte d’identité électronique.

194

Autres raisons?

Raison 1 : ..............................................................................................................................................

Raison 2 : ..............................................................................................................................................

Raison 3 : ..............................................................................................................................................

Dans quelle mesure êtes-vous d’accord avec les propositions suivantes?

1=pas d’accord du tout 2=pas d’accord 3=ni d’accord ni en désaccord 4=d’accord 5= tout à fait d’accord

1

2

3

4

5

L’enregistrement de données personnelles par la carte d’identité électronique permet de réduire les erreurs et les imprécisions.

Le numéro au registre national peut être utilisé comme clé unique dans une banque de données d’entreprise.

L’utilisation de la signature électronique permettra une plus grande efficacité dans les processus.

Un système électronique est moins sûr qu’un système basé sur le papier, parce qu’il est plus facile de le forcer ou de l’utiliser frauduleusement.

Il est fastidieux de travailler avec des factures digitales.

Dès que mon identité électronique est connue, mes données peuvent être transmises à mon insu.

Dès que mon identité électronique est connue, le risque est grand que je reçoive toutes sortes de publicité non souhaitées.

L’avantage de l’utilisation de la carte d’identité électronique dans l’e-commerce est que l’identité du vendeur et de l’acheteur est connue, de sorte que la transaction peut se faire en plus de confiance.

Avez-vous encore des idées personnelles pour des applications utiles de la carte d’identité électronique?

Idée 1 :

Idée 2 :

Idée 3 :

195



Annexe 6 : Présentation de quelques appareils mobiles

Quelques appareils mobiles dans lesquels un logiciel est intégré au matériel :

IDWatcher (XLN-t) : appareil portable sur batterie permettant de lire le contenu public d’une carte eID sur un écran LCD.

Lecteur eID mobile (Vasco) : lecteur de cartes eID portable permettant la lecture des données de l’eID.

Police Mate Xi-Max (Arena Solutions) : lecteur de cartes eID portable permettant la lecture des données de l’eID.

Police Mate Xi-Plus3 (Arena Solutions) : lecteur de cartes eID portable permettant d’enregistrer les données de maximum 500 cartes d’identité et pouvant être connecté à un ordinateur pour la vérification des données.

Xi-Pass (Arena Solutions) : appareil doté d’une fonction d’authentification (saisie du code PIN) et permettant de lire les données de la carte eID.

eID Digipass (Vasco) : cet appareil est activé avec l’eID. Le mot de passe (non récurrent) créé permet d’ouvrir une session sur l’ordinateur. Il n’y a donc pas de connexion entre l’eID et l’ordinateur et un middleware n’est pas nécessaire sur l’ordinateur, car celui-ci est intégré dans le Digipass.

eID Digipass pour aveugles et malvoyants (Vasco) : ce Digipass incluant une technologie vocale peut être utilisé par les aveugles et malvoyants.

196

Annexe 7 : Fiches applications eID

Cette annexe présente des fiches d’applications eID :

composants eID

applications de l’eID

eID intégré dans le logiciel

eID et appareils mobiles

Avertissement

Cette liste n’est pas exhaustive et est proposée à titre d’information sans aucun engagement. IBM et le SPF Economie ne se prononcent en aucune manière sur la valeur des applications eID offertes par ces entreprises et pas davantage sur la valeur des applications eID d’entreprises qui ne figureraient pas sur cette liste.

Ni IBM ni le SPF Economie ne prennent aucune responsabilité pour les entreprises reprises sur cette liste.

197



Composants eID IDGetter (composant)

Description : module électronique pour lire les données publiques de la carte eID et pour envoyer les

données vers un appareil non-PC comme les appareils de contrôle d’accès, les automates de vente, etc.

Interaction : sur place : automate Domaine : général Projets : version dans un logement en métal pour montage au mur Fonctionnalité : identification (sans code pin) Développeur : XLN-t www.xln-t.be Hoogstraat 52, 2580 Beerzel (Putte) 015/24.92.43 Kurt Sterckx (programmeur)

Guido De Cuyper (gérant) [email protected] Avantage principal : économie de temps + exactitude des données d’identité + interface

appareil autonome, pas besoin de PC intégration simple émulation de Wiegand / RS232 / Magnetic card readers

Autres avantages :

micrologiciel avec moyen de mise à jour par un technicien Garanties :

Prix d’achat : 86,5€ (1 pièce) à 46,67€ (100 pièces) Frais supplémentaires :

alimentation 12V DC à prévoir par le système automate/accès Conditions :

http://www.xln-t.be


198

IDagechecker (composant) Description : module électronique pour lire les données publiques d’une carte eID ou d’une carte SIS et en

fonction de l’âge 1 ou 2 sorties à conduire, avec un temps réglable et des limites d’âge - à utiliser pour des automates à cigarettes, par exemple.

Interaction : sur place : automate Domaine : général Projets : au lieu de vérifier l’âge, la commune peut être vérifiée aussi (par exemple pour des

applications qui sont uniquement valables dans une certaine commune) Fonctionnalité : identification (sans code pin) Développeur : XLN-t www.xln-t.be Hoogstraat 52, 2580 Beerzel (Putte) 015/24.92.43 Kurt Sterckx (programmeur)

Guido De Cuyper (gérant) [email protected] Avantage principal : économie de temps + exactitude des données d’identité + sécurité (vérifier l’âge)

appareil autonome, pas besoin de PC intégration simple conduite directe de 2 sorties, sans calculs externes sortie RS232 facultatif : écran LCD séparé 3 lignes avec information d’âge

Autres avantages :

micrologiciel avec moyen de mise à jour par un technicien Garanties :

Prix d’achat : Frais supplémentaires :

Conditions :

http://www.xln-t.be


199



Arena Solutions eID reader (composant) Description : lecture des données présentes sur l’eID et stockage en tant que champs utilisables dans les

applications Interaction : sur place : par ordinateur sur place : face à face Domaine : général Projets : Fonctionnalité : identification (sans code pin) Développeur : Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Avantage principal : économie de temps + exactitude des données d’identité

lecture et traitement rapides des données des cartes eID interface vers un logiciel existant (écoles, organisations)

Autres avantages :

Garanties :

Prix d’achat : 15€ (paquet combiné avec lecteur de carte : 29€) Frais supplémentaires :

aucun Conditions :

http://www.arena-solutions.be


200

RoadByte eID View (composant) Description : afficher les données publiques de l’eID sur l’écran (en environ 1 seconde) avec moyen de

copier/coller les données vers d’autres applications et imprimer les données Interaction : sur place : par ordinateur sur place : face à face Domaine : général Projets : l’intégration avec la carte SIS est déjà réalisée - l’intégration avec d’autres cartes suit encore

(par exemple, une carte VISA ou des cartes eID étrangères) Fonctionnalité : identification (sans code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

examiner et imprimer les données de façon très rapide facile à installer supporte plusieurs lecteurs de carte fonctionne avec toutes les cartes, lisibles par le RoadByte eID Framework pas besoin d’un middleware des autorités les données peuvent être collées dans d’autres programmes

Autres avantages :

Garanties :

Prix d’achat : 15€ Frais supplémentaires :

version standard du RoadByte eID Framework incluse (version professionnelle coûte 59€) installation (gratuite) du RoadByte eID Framework Conditions :

http://www.roadbyte.be


201



.be Card SDK (composant) Description : intégration des données publiques de la carte eID et des données publiques et privées de la

carte SIS (SDK signifie Software Development Kit) Interaction : sur place : par ordinateur sur place : face à face Domaine : médical Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark,

le Royaume-Uni,…) Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Avantage principal : économie de temps + intégration des systèmes (eID et SIS)

les données du patient sont stockées de manière précise, rapide et intégrée installation facile compatible avec tous les logiciels courants

Autres avantages :

lecteur de carte homologué par la Banque Carrefour de la Sécurité Sociale Garanties :

Prix d’achat : 1250€ (CD d’installation + USB Smart Card dongle et lecteur)

Frais supplémentaires :

licence pour 3 ans par utilisateur Conditions :

http://www.arrowup.be


202

.be Card SDK Professional (composant) Description : intégration des données publiques de la carte eID, des données de la carte SIS et des

données publiques et privées de la carte de tachygraphe (carte d’utilisateur) l (SDK signifie Software Development Kit)

Interaction : sur place : par ordinateur sur place : face à face Domaine : général Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark,

le Royaume-Uni,…) groupes cibles probables dans le futur : bureaux d’intérim, services HR etc.

Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.83 Jean De Coster [email protected] Avantage principal : économie de temps + intégration des systèmes (l’eID, la carte SIS et la carte tachygraphique)

facile à installer compatible avec tous les logiciels courants

Autres avantages :

Garanties :

Prix d’achat : 1250€ (CD d’installation + USB Smart Card dongle et lecteur)


licence pour 3 ans par utilisateur Conditions :



203



eID Development Kit (composant) Description : ce SDK consiste en un certain nombre de cartes de test eID, d’un accès aux services de

validation pour les certificats, une trousse d’outils (entre autres les codes source) et un lecteur de carte eID (il y a plusieurs variantes de ce SDK).

Interaction : sur place : par ordinateur à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : Zetes & Certipost www.certipost.be Clinton Park

Ninovesteenweg 196 9320 Erembodegem (Aalst)

053/60.11.11 Gyu Ramlot

(senior project manager eID) [email protected] Avantage principal : tout ce qu’il faut pour rendre votre organisation compatible avec l’eID

trousse complète d’outils accès aux services de validation des certificats cartes de test avec plusieurs statuts (aussi une carte mineur)

Autres avantages :

Garanties :


Conditions :

http://www.certipost.be


204

RoadByte eID Outlook (composant) Description : ajouter automatiquement les coordonnées (nom et adresse) de l’eID dans Microsoft Outlook Interaction : sur place : par ordinateur Domaine : général Projets : l’intégration avec la carte SIS est déjà réalisée – l’intégration avec d’autres cartes vient plus

tard (par exemple une carte VISA ou des cartes eID étrangères) Fonctionnalité : identification (sans code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

lecture rapide des données installation simple supporte plusieurs lecteurs de carte fonctionne avec toutes les cartes lisibles par le RoadByte eID Framework pas besoin d’un middleware des autorités entièrement automatique, pas besoin d’une intervention manuelle

Autres avantages :

Garanties :


version standard du RoadByte eID Framework incluse (version professionnelle coûte 59€) Installation (gratuite) du RoadByte eID Framework Conditions :



205



RoadByte eID Xml (composant) Description : exporter les données présentes sur l’eID vers un fichier XML dans un dépliant indiqué (la

photo peut aussi être exportée vers un fichier JPG) Interaction : sur place : par ordinateur Domaine : général Projets : l’intégration avec la carte SIS est déjà réalisée - l’intégration avec d’autres cartes suit encore

(par exemple une carte VISA ou des cartes eID étrangères) Fonctionnalité : identification (sans code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

fonctionne de façon ultrarapide facile à installer supporte plusieurs lecteurs de carte fonctionne avec toutes les cartes lisibles par le RoadByte eID Framework pas besoin d’un middleware des autorités entièrement automatique, pas besoin d’une intervention manuelle

Autres avantages :

Garanties :


version standard du RoadByte eID Framework est incluse (la version professionnelle coûte 59€) installation (gratuite) du RoadByte eID Framework Conditions :



206

RoadByte eID Word (composant) Description : saisie automatique des champs prédéfinis dans un document Word avec les données de l’eID Interaction : sur place : par ordinateur Domaine : général Projets : l’intégration avec la carte SIS est déjà réalisée – l’intégration avec d’autres cartes vient plus

tard (par exemple : une carte VISA ou des cartes eID étrangères) Fonctionnalité : identification (sans code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

lecture rapide des données facile à installer supporte plusieurs lecteurs de carte fonctionne avec toutes les cartes lisibles par le RoadByte eID Framework pas besoin d’un middleware des autorités fonctionne avec des documents Word ou templates

Autres avantages :

Garanties :


version standard de RoadByte eID Framework est incluse (version professionnelle coûte 59€) installation (gratuite) du RoadByte eID Framework Conditions :



207



RoadByte eID FileMaker Plugin (composant) Description : charger les données publiques de l’eID dans les bases de données de Filemaker (chaque

donnée de carte est disponible en tant que champ) Interaction : sur place : par ordinateur Domaine : général Projets : l’intégration avec la carte SIS est déjà réalisée – l’intégration avec d’autres cartes vient plus

tard (par exemple une carte VISA ou des cartes eID étrangères) Fonctionnalité : identification (sans code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

fonctionne de façon ultrarapide facile à installer supporte plusieurs lecteurs de carte fonctionne avec toutes les cartes lisibles par le RoadByte eID Framework pas besoin d’un middleware des autorités

Autres avantages :

compatible avec Filemaker 7, 8, 8.5 et 9 Garanties :


version standard du RoadByte eID Framework est incluse (version professionnelle coûte 59€) installation (gratuite) du RoadByte eID Framework Conditions :



208

myFMbutler eID plug-in (composant) Description : charger les données publiques de l’eID dans les bases de données de Filemaker (chaque

donnée de carte est disponible en tant que champ) Interaction : sur place : par ordinateur Domaine : général Projets : Fonctionnalité : identification (sans code pin) Développeur : myFMbutler www.myfmbutler.com Eksterstraat 22a, 9881 Aalter-Bellem 0497/ 55.00.00 Luc Dhondt [email protected] Avantage principal : économie de temps + possibilités supplémentaires

Autres avantages :

Garanties :

Prix d’achat : à partir de 59€ Frais supplémentaires :

aucun FileMaker Pro 7, 8 ou 9 sur Windows 2000, XP ou Vista Mac OS X support pour 2008

Conditions :

http://www.myfmbutler.com


209



Applications de l’eID eID reading (application de l’eID)

Description : lecture des données publiques de l’eID et stockage des données dans la base de données MS

Access Interaction : sur place : face à face Domaine : général Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark,

le Royaume-Uni,…) Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Avantage principal : économie de temps

exactitude des données simple d’utilisation bon marché

Autres avantages :

Garanties :

Prix d’achat : option 1 : 100€ (avec lecteur eID cardman) option 2 : 125€ (avec clavier Cherry y compris un lecteur eID)


aucun Conditions :



210

eID capture & print (application de l’eID) Description : lire et imprimer les données publiques de l’eID Interaction : sur place : face à face Domaine : général Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark, le

Royaume-Uni,…) Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Avantage principal : économie de temps

exactitude des données simple d’utilisation bon marché

Autres avantages :

Garanties :

Prix d’achat : option 1 : 100€ (avec lecteur eID cardman) option 2 : 125€ (avec clavier Cherry y compris un lecteur eID)


aucun Conditions :



211



.be eID Registration (application de l’eID) Description : enregistrement des données présentes sur l’eID des visiteurs (+ mention de l’heure de visite,

durée de la visite, la personne contactée, etc.) + au besoin imprimer le badge visiteur + la possibilité de scanner avec le lecteur de codes à barres

Interaction : sur place : face à face Domaine : général Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark,

le Royaume-Uni,…) + fonctionnalités pour réseau et RFID Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Avantage principal : économie de temps + possibilités supplémentaires

moyen de gestion et de rapportage efficace pas besoin d’un autre logiciel (par exemple MS Office) installation simple les badges peuvent être personnalisés (par exemple le logo) contrôle en temps réel des personnes présentes dans le bâtiment tant le personnel que les visiteurs peuvent eux-mêmes effectuer l’enregistrement

Autres avantages :

Garanties : Prix d’achat : 649€

(CD d’installation + clavier Cherry avec lecteur eID + imprimante de badge avec accessoires + supports de badge avec clip)


facultatif : lecteur de codes à barres : 150€ Windows 2000 (et supérieur) Conditions :



212

Arena Enregistrement de visiteur (application de l’eID) Description : enregistrement des données présentes sur l’eID des visiteurs (+ mention de l’heure de visite,

durée de la visite, la personne contactée, etc.) + au besoin imprimer le badge visiteur + ajouter d’autres données manuellement

Interaction : sur place : face à face Domaine : général Projets : Fonctionnalité : identification (sans code pin) Développeur : Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Avantage principal : économie de temps + possibilités supplémentaires

automatisation de l’enregistrement exactitude des données les badges peuvent être personnalisés (par exemple le logo) tant le personnel que les visiteurs peuvent eux-mêmes effectuer l’enregistrement

Autres avantages :

Garanties :


hardware (imprimante + lecteur de carte) Conditions :



213



.be Guest (application de l’eID) Description : enregistrement des données présentes sur l’eID des clients de l’hôtel (+ la date/temps de

l’arrivée et du départ) + imprimer la fiche d’hôtel au besoin Interaction : sur place : face à face Domaine : secteur horeca Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark,

le Royaume-Uni,…) Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Avantage principal : économie de temps + possibilités supplémentaires

exactitude des données possibilité de générer des rapports pas besoin d’autre logiciel (par exemple MS Office) invités sans eID faciles à ajouter

Autres avantages :

conforme à la nouvelle réglementation relative à la fiche d’hôtel numérique Garanties :

Prix d’achat : 249€ (CD d’installation + clavier Cherry avec lecteur eID)


aucun Windows 2000 (et supérieur) Conditions :



214

RoadByte eID Hotel (application de l’eID) Description : logiciel pour la réservation et la gestion quotidienne d’un hôtel Interaction : sur place : face à face Domaine : secteur horeca Projets : l’intégration avec la carte SIS est déjà réalisée - l’intégration avec d’autres cartes (par exemple

la carte VISA ou les cartes eID étrangères) vient plus tard Fonctionnalité : identification (sans code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

efficace et rapide plusieurs fonctionnalités (faire une réservation, enregistrer, imprimer les bons de caisse, relevé) supporte plusieurs lecteurs de cartes fonctionne avec toutes les cartes lisibles par le RoadByte eID Framework pas besoin d’un middleware du gouvernement

Autres avantages :

Garanties :

Prix d’achat : aucun prix n’a été fixé à l’heure actuelle Frais supplémentaires :

version standard du RoadByte eID Framework incluse (la version professionnelle coûte 59€) installation (gratuite) du RoadByte eID Framework Conditions :



215



Winner (application de l’eID) Description : système de gestion intégré pour les hôtels, les centres de conférence et les restaurants à

l’aide de l’eID pour rechercher la réservation des invités, enregistrer les invités, actualiser les données, créer une fiche client, paiement dans le restaurant de l’hôtel et créer la facture

Interaction : sur place : face à face Domaine : secteur horeca Projets : dans le futur, l’eID pourra aussi être utilisée pour l’authentification - avec code pin - et la

signature électronique, par exemple pour les réservations par Internet Fonctionnalité : identification (sans code pin) Développeur : Planet wInner www.planet-winner.eu Bossuytlaan 49, 8310 Brugge 050/ 54.29.70 Dirk Leysen - General Manager

[email protected] [email protected] Avantage principal : économie de temps + intégration + possibilités supplémentaires

possibilité de créer des rapports système intégré (réception de l’hôtel, restaurant de l’hôtel, comptabilité,…)

Autres avantages :

Microsoft Certified for Windows Garanties :

Prix d’achat : environ 5000€ (paquet complet, tout inclus, formation incl.) Frais supplémentaires :

Windows avec lecteur de carte compatible (par exemple, Zetes ou Cherry) Conditions :

http://www.planet-winner.eu



216

BSYS Fitness Gestion de membre (application de l’eID) Description : gestion de membres et gestion d’abonnements à l’aide de l’eID (contrôle d’accès se fait à

l’aide de cartes de membres à part avec code à barres car ceci est plus rapide qu’avec la puce de l’eID et il y aura moins de chance d’usure)

Interaction : sur place : face à face sur place : par automate Domaine : centres de fitness et centres de sport Projets : réservations en ligne et paiements à l’aide de l’eID Fonctionnalité : identification (sans code pin) Développeur : BSYS www.bsys.be Blankenbergesesteenweg 5,

8420 De Haan 050/42.47.45

0497/ 28.10.38 Eddy Van Hoeserlande [email protected] Avantage principal : économie de temps + possibilités supplémentaires

efficace et rapide nombre illimité de membres et d’abonnements concept visuel puissant, convivial possibilité de différents rapports et statistiques

Autres avantages :

Garanties :


pour le contrôle d’accès, il faut une carte de membre avec code à barres (frais environ 1€ par pièce, mais possibilité de parrainage) Conditions :

http://www.bsys.be


217



.be Rent (application de l’eID) Description : enregistrement de données présentes sur l’eID des clients qui louent quelque chose (+ la

date/temps de la remise des biens loués) + imprimer une fiche au besoin Interaction : sur place : face à face Domaine : entreprises de location Projets : addition d’autres cartes eID européennes (le Portugal, les Pays-Bas, la France, le Danemark,

le Royaume-Uni,…) Fonctionnalité : identification (sans code pin) Développeur : ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Avantage principal : économie de temps + possibilités supplémentaires

exactitude des données possibilité de créer des rapports pas besoin d’un autre logiciel (par exemple, MS Office)

Autres avantages :

Garanties :

Prix d’achat : aucun prix n’a été fixé à l’heure actuelle Frais supplémentaires :

aucun Windows 2000 (et supérieur) Conditions :



218

Registr8 (application de l’eID) Description : vente de billets électroniques (provisoirement sans eID) pour tout événement, bourses et

congrès - enregistrer (à l’aide de l’eID) des visiteurs (connexion à une base de données des visiteurs) et dans les discothèques (connexion à une carte d’affiliation)

Interaction : sur place : face à face Domaine : organisation d’événements Projets : moyennant une adaptation, on peut connecter l’eID à la vente par Internet - dans ce cas-là,

l’utilisateur final doit disposer d’un lecteur de carte Fonctionnalité : identification (sans code pin) Développeur : Vsecurity www.vsecurity.be ou www.registr8.eu Langensteenweg 26, 1785 Merchtem 0486/06.58.08 Marc Zimmerman : [email protected]

Développeur : Kurt Vermeiren - Euroweb (GSM : 0486 76 36 56) Avantage principal : économie de temps + exactitude des données d’identité + sécurité

exactitude des données possibilités d’intégration (par exemple, préenregistrement à l’aide de billetterie en ligne, mailing personnalisé,…) sécurité (cf. liste noire dans les discothèques) des données supplémentaires peuvent être ajoutées automatiquement (GSM, adresse e-mail,…) correction intelligente des données (par exemple, fautes de frappe)

Autres avantages :

immunisé contre les perturbations ou pannes d’électricité Garanties : importation et exportation des données à l’aide de Word et Excel (traitement possible sans intervention humaine)

Prix d’achat : prix unique pour le setup Frais supplémentaires :

par enregistrement

Conditions : affiliation obligatoire pour chaque visiteur dans la discothèque ou toute vente de billets à l’aide de Registr8

http://www.vsecurity.be

http://www.registr8.eu


219



Sun Solutions (application de l’eID) Description : enregistrement dans les centres de solarium automatisés et non automatisés et un accès aux

centres de solarium non automatisés avec l’eID Interaction : sur place : automate sur place : face à face Domaine : centres de solarium automatisés et non automatisés Projets : Fonctionnalité : identification (sans code pin) Développeur : Sun Solutions www.sunsolutions.be Balgerhoeke 38, 9900 Eeklo 09/330.85.56 Christophe Bauwens (0476/61.25.17)

Philippe (0473/64.22.75) [email protected] [email protected]

[email protected] Avantage principal : exactitude des données d’identité + avantages pour la protection (les images vidéo peuvent être

comparées à la photo de l’eID) exactitude des données avantages pour la protection (les images vidéo peuvent être comparées à la photo sur l’eID) possibilité de connecter d’autres données aux données de l’eID (par exemple, le genre de peau et le numéro de téléphone) facilite un mailing aux clients

Autres avantages :

Garanties :

Prix d’achat : environ 700€ pour le logiciel pour l’utilisation de l’eID Frais supplémentaires :

lecteur de carte (30€)

Conditions :

http://www.sunsolutions.be




220

Check eID (application de l’eID) Description : application en ligne où les données présentes sur l’eID peuvent être affichées et imprimées

sans middleware (en utilisant la plate-forme digIDs) Interaction : à distance (en ligne) Domaine : général Projets : pourrait remplacer les formulaires de preuve d’adresse - le citoyen peut simplement visiter le

site web de sa commune (où le Check eID a été installé) et imprimer une copie des données de son eID (y compris les données d’adresse)

Fonctionnalité : identification (sans code pin) Développeur : digIDs joint venture (AgileSoft & ArrowUp) www.digids.be AgileSoft : Liersesteenweg 195, 2640 Mortsel

ArrowUp : Bijenstraat 12, 9051 Sint-Denijs-Westrem AgileSoft : 0476/75.16.64

ArrowUp : 09/382.00.82 AgileSoft : Michiel Scharpé

ArrowUp : Jean De Coster [email protected] Avantage principal : possibilité d’examiner les données de la carte eID sans besoin d’installer le middleware

très convivial : en direct par le site web aucune expertise de l’eID exigée pas besoin d’un middleware ou d’un logiciel installé préalablement

Autres avantages :

Garanties :

Prix d’achat : installation + forfait pour les opérations Frais supplémentaires :

Conditions :

http://www.digids.be


221



Register eID (application de l’eID) Description : application en ligne pour l’enregistrement des données présentes sur l’eID sur un site web,

sans utilisation d’un middleware (sur la base du BluePrint Framework qui utilise la plate-forme digIDs)

Interaction : à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) Développeur : digIDs joint venture (AgileSoft & ArrowUp) www.digids.be AgileSoft : Liersesteenweg 195, 2640 Mortsel

ArrowUp : Bijenstraat 12, 9051 Sint-Denijs-Westrem AgileSoft : 0476/75.16.64

ArrowUp : 09/382.00.83 AgileSoft : Michiel Scharpé

ArrowUp : Jean De Coster [email protected] Avantage principal :

possibilité d’enregistrer sur un site web à l’aide de l’eID sans besoin d’installer un middleware

très convivial : directement par le site web aucune expertise eID exigée aucun besoin d’un middleware ou d’un logiciel installé préalablement

Autres avantages :

Garanties :

Prix d’achat : installation + forfait pour les opérations Frais supplémentaires :

Conditions :

http://www.digids.be


222

RoadByte eID Password Lock (application de l’eID) Description : sauvegarde sécurisée des mots de passe à l’aide de l’eID Interaction : sur place : par ordinateur Domaine : général Projets : l’intégration avec la carte SIS est déjà réalisée - l’intégration avec d’autres cartes (par

exemple, la carte VISA ou les cartes eID étrangères) vient plus tard Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Avantage principal : économie de temps + possibilités supplémentaires

fonctionne de façon ultrarapide facile à installer supporte plusieurs lecteurs de cartes fonctionne avec toutes les cartes lisibles par le RoadByte eID Framework pas besoin d’un middleware du gouvernement navigation pratique, avec fonction de recherche

Autres avantages :

Garanties :


version standard du RoadByte eID Framework incluse (la version professionnelle coûte 59€)

Conditions : installation (gratuite) du RoadByte eID Framework



223



Guichet rapide (application de l’eID) Description : guichet numérique, protection du site web, identification des clients de manière à donner des

informations personnalisées, possibilité de paiement en ligne Interaction : à distance (en ligne) Domaine : général Projets : à l’heure actuelle il n’y a pas encore d’utilisateurs provenant du monde des affaires

(uniquement des autorités locales) - on envisage de mettre au point des applications prêtes à l’emploi

Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Lithium ICT www.lithium.be Luikersteenweg 18, 3500 Hasselt 089/69.69.96 Christophe Van Durme [email protected] Avantage principal : guichet numérique sécurisé et Extranet

augmentation du niveau de sécurité domaine plus large en matière d’application sécurisée plus de transactions numériques (gain de temps)

Autres avantages :

en utilisant directement le middleware de Fedict Garanties :

Prix d’achat : prix en fonction de l’application spécifique Frais supplémentaires :

frais d’installation sur base du genre d’installation utilisation de notre serveur eID ou installation d’une propre eID-proxy Conditions :

http://www.lithium.be


224

Time Solutions (application de l’eID) Description : les employés peuvent se connecter au système à l’aide de l’eID de manière à consulter leurs

données de pointage (par exemple, le solde de congé) - le système est également utilisé pour l’enregistrement des nouveaux employés à l’aide de l’eID

Interaction : sur place : par ordinateur Domaine : ressources humaines (human resources) Projets : dans le futur, l’eID sera aussi utilisée pour la consultation en ligne et comme système d’accès

(l’eID comme badge) Fonctionnalité : identification (sans code pin) Développeur : Time Solutions www.timesolutions.be Balgerhoeke 38, 9900 Eeklo 09/330.85.56 Christophe Bauwens (0476/61.25.17)

[email protected] [email protected] Avantage principal : économie de temps + exactitude des données d’identité

économie de temps exactitude des données

Autres avantages :

Garanties :

Prix d’achat : environ 700€ pour le logiciel pour l’utilisation de l’eID Frais supplémentaires :

lecteur de carte (30€) Conditions :

http://www.timesolutions.be



225



One Sign (Imprivata) (application de l’eID) Description : gestion d’authentification, Single Sign-On et gestion d’accès physique/logique intégrée -

connexion au réseau avec un seul mot de passe ou à l’aide de l’eID – un accès à toutes applications - pour chaque application, des mots de passe uniques et puissants sont créés à l’arrière-plan et des changements de mots de passe, le cas échéant, sont exécutés automatiquement pour les utilisateurs

Interaction : sur place : par ordinateur à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Imprivata www.imprivata.com Drie Eikenstraat 661, 2650 Edegem 03/ 826.93.55 of 0478/ 68.68.00 Rik Van Bruggen [email protected] Avantage principal : single sign-on = un seul mode d’accès

facile à intégrer - aucune connaissance spécifique exigée (également possibilité d’intégration avec d’autres applications eID) installation et gestion faciles (entièrement basée sur l’interface web ) souplesse d’emploi pour l’utilisateur final - le single sign-on devient automatiquement actif après la connexion aucun besoin de modification à l’environnement desktop de l’utilisateur final faible total-cost-of-ownership rapport intégré

Autres avantages :

Garanties :

Prix d’achat : à partir de 7500€ pour 50 utilisateurs - 44000€ pour 1000 utilisateurs Frais supplémentaires :

Conditions :

http://www.imprivata.com


226

myCertipost (application de l’eID) Description : boîte aux lettres en ligne pour recevoir, remplir et envoyer électroniquement les informations

confidentielles (par exemple, factures et fiches de paie) ou formulaires administratifs du gouvernement et pour des lettres recommandées électroniques (pour particuliers)

Interaction : à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : Certipost www.certipost.be Clinton Park


053/60.11.11 Gyu Ramlot

(senior project manager eID) [email protected] Avantage principal : sécurité et fiabilité + économie de temps (plus besoin de se déplacer)

l’inscription et la réception des documents sont entièrement gratuites archivage en ligne possible seules les personnes identifiées ont accès aux documents possibilité de payer les factures en ligne

Autres avantages :

Garanties : Prix d’achat : l’accès à myCertipost est gratuit (myCertisafe est gratuit jusqu’à 50 MB, au-delà il faut payer) Frais supplémentaires :

Conditions :



227



Trust² (application de l’eID) Description : protection des documents électroniques et des e-mails de façon à ce que les informations fiables

puissent être échangées Interaction : à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : Certipost www.certipost.be Clinton Park


053/60.11.11 Gyu Ramlot

(senior project manager eID) [email protected] Avantage principal : protection des documents et des e-mails électroniques

échanger des informations fiables de façon sécurisée possibilité d’installer des profils le destinataire doit s’identifier (fiabilité) plusieurs types de documents possibles facile à installer la réception des documents est entièrement gratuite

Autres avantages :

Garanties : Prix d’achat : Frais supplémentaires :

Conditions : Microsoft Office 2003 Professional Edition



228

e-Signing (application de l’eID) Description : application pour apposer en ligne une signature légalement contraignante sur un document

électronique Interaction : à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : Certipost www.certipost.be Clinton Park


053/60.11.11 Gyu Ramlot

(senior project manager eID) [email protected] Avantage principal : apposer en ligne une signature légalement contraignante sur des documents électroniques

légalement aucune différence avec une signature ordinaire moins de papier, donc moins de frais moins de perte de temps convivial contrôle d’authenticité inclus

Autres avantages :

Garanties : Prix d’achat : prix différents pour des signatures électroniques ‘single-use’ ou ‘multi-use’ (lors de l’achat d’un

certificat, parfois un certain nombre de signatures électroniques sont livrées gratuitement) Frais supplémentaires :

Conditions :



229



MS SharePoint eID (Ometa) (application de l’eID) Description : importer des données de l’eID dans Sharepoint et lier des documents aux données de l’eID +

possibilité d’authentification et de signature électronique avec Microsoft Office Forms (e-forms) Interaction : sur place : par ordinateur à distance (en ligne) Domaine : général Projets : étendre aux cartes client Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : Ometa http://sharepoint.ometa.net Drie Eikenstraat 661, 2650 Edegem 03/ 826.93.76 Luc Deleu [email protected] Avantage principal : simplification lors de la saisie des formulaires (utilisation des données de l’eID) + lier

automatiquement des documents à l’eID, par exemple, pour la protection (qui peut lire ou adapter quels documents ?) les informations du ‘e-form’ peuvent être utilisées comme méta-informations dans SharePoint possibilité de créer des vues dynamiques sur la base des informations sur la carte eID (par exemple rechercher automatiquement tous les documents et formulaires) toutes les informations dans Sharepoint sont automatiquement liées à Outlook (donc aussi les données présentes sur l’eID) recherche simplifiée sur un site web sur la base des informations présentes sur l’eID

Autres avantages :

Garanties : Microsoft Certified partner Prix d’achat : Frais supplémentaires :

lorsqu’on choisit une authentification (avec code pin), il faut acheter un Digipass eID (Vasco) (garantir la sécurité)

Conditions :

http://sharepoint.ometa.net


230

Arcabase eID plate-forme (application de l’eID) Description : application web : authentification pour accès aux sites web et signature électronique des

documents et des actions à partir de l’application web Interaction : à distance (en ligne) Domaine : général Projets : pointage à l’aide de l’eID, possibilité de déléguer à l’aide de signatures Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : Arcabase www.arcabase.be Wechelsebaan 143 Unit 13, 2275 Lille 03/309.27.08 Herman Van Looveren [email protected] Avantage principal : accès sécurisé aux sites web et protection des documents électroniques et actions

boîte à outils eID étendue pour une intégration facile Autres avantages :

plate-forme fiable installée dans notre propre centre de données Garanties :


Conditions :

http://www.arcabase.be


231



eID Service Platform (application de l’eID) Description : plate-forme de service eID et modules de software pour numériser les procédures par Internet

ou par Intranet, en utilisant l’eID Interaction : à distance (en ligne) Domaine : général Projets : paquets de métiers (p.e.un paquet fleetmanager, un paquet agent d’assurance,…) et des

paquets de fonctions (paquet contrôle d’âge, paquet code postal,…) Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : the eID Company www.eidcompany.be Rue de la Treille 18

1050 Ixelles 0495/ 55.79.53 Hugues Dorchy [email protected] Avantage principal : des opérations plus automatisées, plus simples et plus rapides avec l’utilisateur

économie et augmentation de l’efficacité des processus d’entreprise les services en ligne peuvent être individualisés en fonction du profil d’utilisateurs les données présentes sur l’eID peuvent être enrichies des données provenant des bases de données d’entreprise seulement besoin d’une intégration limitée ou absolument pas d’intégration dans le backoffice IT les utilisateurs peuvent signer des formulaires électroniquement (documents, attestations et e-mails) à leur propre nom ou au nom de l’entreprise services de support sont disponibles 24/7

Autres avantages :

prévoir des changements possibles des cartes eID - compatibilité garantie parmi les versions Garanties : gestion de service et garantie du niveau de qualité (SLA)


Conditions :

http://www.eidcompany.be


232

BluePrint (application de l’eID) Description : un cadre portail web compatible avec l’eID permettant la mise au point des solutions web -

supporte l’identification, l’authentification et la signature électronique, compatible avec l’eID (application sans middleware) - contient des services web de façon à ce que des applications web externes puissent intégrer rapidement les fonctions compatibles avec l’eID - au-dessus des composants existants, du développement personnalisé pour le client peut être offert

Interaction : sur place : par ordinateur à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : AgileSoft www.agilesoft.be Liersesteenweg 195, 2640 Mortsel 0476/75.16.64 Michiel Scharpé [email protected] Avantage principal : site web portail payable, convivial et flexible compatible avec l’eID - conçu pour une simple

intégration des nouvelles fonctionnalités solutions portail prêtes à l’emploi, compatibles avec l’eID et sans middleware gestion simple, efficace, d’un rapport coût/efficacité satisfaisant, extrêmement modulable et robuste simple intégration des nouvelles fonctionnalités

Autres avantages :

des opérations valables et juridiquement contraignantes avec l’eID (notaire numérique) Garanties : certifié « Microsoft Platform Test for ISV Solutions » par VeriTest

Prix d’achat : licence ou SAAS (software as a service), prix en fonction des fonctionnalités désirées Frais supplémentaires :

maintenance, hébergement Conditions :

http://www.agilesoft.be


233



b-Doc Dossier Patient (application de l’eID) Description : b-Doc est une solution complète de gestion du dossier patient à destination de tous les acteurs

des soins de santé – comment le eID est utilisé dans cette application ? Vu le caractère confidentiel des données médicales et vu que l’accès aux fonctionnalités de l’application est régi par le profil de l’utilisateur, il est impératif de pouvoir identifier et authentifier de manière non équivoque la personne se trouvant aux commandes de l’application. La carte d’identité électronique nous permet de répondre à cette contrainte.

Interaction : par ordinateur Domaine : hospitalier et clinique privée Projets : intégration de la carte d’identité et la carte SIS Fonctionnalité : authentification (avec code pin) signature électronique Développeur : Ciges www.ciges.com ou www.bdoc.be Aéropôle R. Clément Ader 15, 6041 Charleroi 071/ 25 75 55 Rudy Simons [email protected] Avantage principal : Identification et authentification automatique des intervenants (médecins)

Autres avantages :

Garanties :

Prix d’achat : intégré au coût du logiciel Frais supplémentaires :

le lecteur de carte doit être fourni par l’institution Conditions :

http://www.ciges.com

http://www.bdoc.be


234

Plate-forme Pegase (application de l’eID) Description : Plate-forme d’Echange générique avec Accès sécurisé par eID Interaction : par ordinateur (et Internet) Domaine : général Projets : Fonctionnalité : authentification (avec code pin) cryptage des informations (données, documents,…) sur le serveur connexion sécurisée (SSL) Développeur : NSI-IT www.nsi-sa.be Chaussée de Bruxelles 174A, 4340 Awans 04/ 239 91 50 Philippe Canon [email protected] Avantage principal : L’utilisation de l’eID : permet de réaliser de manière légale les opérations d’authentification forte.

Confidentialité des documents sur le serveur. L’information aux destinataires est véhiculée par la messagerie de l’organisation. Ne plus se préoccuper de l’environnement du destinataire (client de messagerie, Web Mail, etc). Le mail ne véhicule plus le document mais indique où trouver le document. Interface utilisateur légère (pas de plug-in, d’applet, etc).

Autres avantages :

Utilisable avec tous les navigateurs standards du marché. Garanties :


Conditions :

http://www.nsi-sa.be


235



Signature électronique des protocoles médicaux (application de l’eID) Description : Implémentation de la signature électronique de protocoles médicaux à l’aide de la carte d’identité

électronique belge (eID) Interaction : par ordinateur Domaine : le domaine médical (mais aussi applicable dans des autres domaines) Projets : Les modules suivants seront développés dans l’avenir :

- Module permettant à toute personne de vérifier la signature (authentification du signataire, non-répudiation, intégrité du document)

- Signature au format PDF pour expédition à des tiers (médecin traitant, etc) - Vérification de révocation en ligne (OCSP)

Fonctionnalité : signature électronique authentification (avec code pin) : peut être ajoutée Développeur : NSI-IT www.nsi-sa.be Chaussée de Bruxelles 174A, 4340 Awans 04/ 239 91 50 Philippe Canon [email protected] Avantage principal : Le logiciel de signature assure l’aspect légal de la signature des médecins.

Il responsabilise davantage les médecins sur le contenu des protocoles par une plus grande sensibilisation à l’outil. Il améliore la maîtrise du processus de production de protocoles médicaux au sein de l’hôpital.

Autres avantages :

Standards Open source Java Standard W3C de signature XMLDSIG

Garanties :

Prix d’achat : Coût du projet pour le client : 67 K€ Frais supplémentaires :

Conditions :

http://www.nsi-sa.be


236

Plate-forme evidencecube (application de l’eID) Description : La société evidencecube est spécialisée dans la dématérialisation des échanges d’informations

et de documents à valeur légale. Elle propose une plate-forme de communication intégrée qui apporte toutes les garanties d’authenticité et de traçabilité lors d’un échange, garanties pouvant aller jusqu’à la reconnaissance légale de l’échange (équivalent électronique à un recommandé postal). Cette plate-forme permet la dématérialisation de contenus à valeur légale en autorisant l’apposition de signatures, co-signatures ou contre-signatures électroniques.

Interaction : par ordinateur (et Internet) Domaine : Général : dématérialisation de flux métiers et recommandé électronique (échanges d’informations

stratégiques, confidentielles, à valeur légale ou nécessitant une traçabilité forte). Projets : - Fonctionnalité : Par rapport à l’utilisation de l’eID :

- Chargement du signalétique de la personne à l’enregistrement sur la plate-forme (nom, prénom, adresse, …).

- Login sur la plate-forme par la méthode d’authentification de l’eID. - Supporte la signature électronique avec eID pour les documents échanges et la traçabilité

des échanges. Développeur : evidencecube www.evidencecube.com Rue Modeste Rigo 29, 4350, Pousset (Remicourt) 019/ 33 12 82 Hervé Bouvet [email protected] 0476/ 32 48 23 Avantage principal : Recommandé électronique, traçabilité des échanges électroniques.

Dématérialisation et conservation (archivage) de documents à valeur légale au format électronique (grâce à la signature électronique). Système de coffre-fort électronique. Service disponible via un simple navigateur Internet sans installation logicielle particulière.

Autres avantages :

Support de tout autre outil de signature électronique de style « pki » autre que l’eID.

Audit réalisé par le CRID pour l’aspect « recommandé électronique » (www.crid.be); respect des standards cryptographiques et de signature électronique.

Garanties :

Prix d’achat : Fonctionne par abonnement au service et consommation de timbres virtuels à chaque envoi

d’enveloppe électronique. Frais supplémentaires :

Fonctionne par abonnement au service et consommation de timbres virtuels à chaque envoi d’enveloppe électronique.

Conditions : L’utilisateur doit être en possession d’un outil de signature électronique tel que l’eID.

http://www.evidencecube.com


http://www.crid.be

237



eID intégré dans le logiciel Tivoli Access Manager for e-business (eID dans le logiciel)

Description : autorisation et solution ‘reverse proxy’ permettant plusieurs possibilités d’authentification

simultanées (dont l’eID) Interaction : à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : IBM www.ibm.com/be/eid Avenue du Bourget 42, 1130 Evere 02/225.21.11 Karl De Backer [email protected] Avantage principal : accès sécurisé aux applications

intégrable avec plusieurs applications web avec un effort minimal utilisation parallèle de plusieurs méthodes d’authentification

Autres avantages :

Garanties :

Prix d’achat : sur demande Frais supplémentaires :

Conditions :

http://www.ibm.com/be/eid


238

Lotus Workplace Forms (eID dans le logiciel) Description : protection des documents d’affaires avec une signature électronique - les documents peuvent

être sauvegardés dans un système de gestion de contenu - différentes parties du document électronique peuvent être signées par plusieurs utilisateurs - le document peut aussi contenir des fichiers

Interaction : sur place : par ordinateur à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : IBM www.ibm.com/be/eid Avenue du Bourget 42, 1130 Evere 02/225.21.11 Karl De Backer [email protected] Avantage principal : signature des documents électroniques

plusieurs parties du document électronique peuvent être signées par plusieurs utilisateurs le document peut aussi contenir des fichiers et des applications desktop formulaires électroniques basés sur xml

Autres avantages :

Garanties :


Conditions :



239



Lotus Notes et Domino (eID dans le logiciel) Description : signature électronique des e-mails – verrouillage et déverrouillage du PC à l’aide de l’eID –

simple configuration d’authentification web à l’aide de l’eID (dans Lotus Notes et Domino) Interaction : sur place : par ordinateur à distance (en ligne) Domaine : général Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) signature électronique Développeur : IBM www.ibm.com/be/eid Avenue du Bourget 42, 1130 Evere 02/225.21.12 Karl De Backer [email protected] Avantage principal : signature électronique des e-mails - authentification de l’eID vers Lotus Notes (aussi bien en

mode client qu’en mode web) la signature électronique sur les e-mails assure l’identité de l’utilisateur et un contenu non modifié eID pour le verrouillage et déverrouillage de Lotus Notes

Autres avantages :

Garanties :


Conditions :



240

eID-interface Efficy (eID dans le logiciel) Description : logiciel CRM en mode web Interaction : à distance (en ligne) sur place : par ordinateur Domaine : CRM (customer relationship management) Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Invemaco www.efficy.be Avenue des Pléiades, 15

1200 Woluwe-Saint-Lambert 02/ 648.18.98 Cédric Pierrard [email protected] Avantage principal : authentification des utilisateurs pour un accès à l’application web

Autres avantages :

Garanties :


Conditions :

http://www.efficy.be


241



eID-interface Mercator (eID dans le logiciel) Description : Mercator est une solution logicielle pour l’intégration de la comptabilité, la gestion

commerciale, les lieux de vente et le commerce électronique - l’eID est utilisée pour la saisie automatique de la fiche client (pour les cartes de fidélité, les garanties, le mailing, le marketing, etc.) et pour l’accès au système par les utilisateurs

Interaction : sur place : face à face sur place : par ordinateur Domaine : général Projets : à l’heure actuelle il n’y a pas encore moyen de vous connecter en ligne avec l’eID, mais dès

qu’il y aura une demande, cette fonctionnalité sera ajoutée Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Ineo www.mercator.eu Route d’Andenne 37, 5310 Eghezee 02/ 535.75.55

0477/ 41.72.68 Olivier Billa

responsable technique commercial [email protected] Avantage principal :

les clients doivent attendre moins longtemps à l’accueil + meilleur contrôle contre la fraude

efficace et rapide éviter des fautes de frappe supporte plusieurs lecteurs de carte entièrement paramétrable - vous pouvez créer des modules qui lisent seuls quelques champs de l’eID

Autres avantages :

Garanties : Prix d’achat : à partir de 500€ Frais supplémentaires :

en fonction des besoins du client

Conditions : Mercator 6.2 ou supérieur

http://www.mercator.eu


242

eID-interface BRIO (eID dans le logiciel) Description : BRIO est un logiciel pour la gestion d’une agence immobilière - l’employé peut s’authentifier à

l’aide de l’eID (avec le code pin) pour obtenir un accès au système. Les données des clients peuvent aussi être chargées dans le système à l’aide de l’eID (le numéro de registre national n’est pas stocké) - l’eID n’est pas utilisée pour la signature électronique - pour cela, ils ont leur propre système de certificats (Portima a ses propres certificats PKI et intervient en tant qu’autorité de certification pour l’authentification et la signature électronique)

Interaction : sur place : par ordinateur à distance (en ligne) Domaine : assurances Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Portima www.portima.com Chaussée de la Hulpe 150, 1170 Bruxelles 02/ 404.44.11 Claude Rapoport – chef de département Development Avantage principal : économie de temps + possibilités supplémentaires

efficace et rapide éviter des fautes de frappe connexion sécurisée au système réseau Portima sécurisé (viruswall, firewall, spamwall et des messages cryptés et certifiés)

Autres avantages :

Garanties :


BRIO version 3.2 Conditions :

http://www.portima.com

243



eID-interface AS/Web (eID dans le logiciel) Description : AS/Web (AS2) est un portail web pour la communication entre les agents et les compagnies

d’assurance - la connexion à ce portail (authentification) peut se faire à l’aide de l’eID (avec le code pin) - l’eID n’est pas utilisée pour la signature électronique - pour cela ils ont leur propre système de certificats (Portima a ses propres certificats PKI et intervient comme autorité de certification pour l’authentification et la signature électronique)

Interaction : sur place : par ordinateur à distance (en ligne) Domaine : assurances Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Portima www.portima.com Chaussée de la Hulpe 150, 1170 Bruxelles 02/ 404.44.11 Claude Rapoport - chef du département Development Avantage principal : économie de temps + possibilités supplémentaires

efficace et rapide éviter des fautes connexion sécurisée au système réseau Portima sécurisé (viruswall, firewall, spamwall et des messages cryptés et certifiés)

Autres avantages :

Garanties :


Conditions :

http://www.portima.com

244

eID-interface Schoolonline (eID dans le logiciel) Description : logiciel en ligne développé sur mesure pour l’école - contenant différents modules (à choisir

librement) comme un carnet scolaire & rapport, un rapport d’attitude, un système de suivi des élèves, une gestion des stages, une gestion des sanctions, etc. - les enseignants (et autre personnel) peuvent se connecter à l’aide de leur eID

Interaction : sur place : face à face à distance (en ligne) Domaine : enseignement Projets : est déterminé à la demande des écoles Fonctionnalité : identification (sans code pin) Développeur : Pronoia www.pronoia.be Louis Varlezstraat 8, 9030 Mariakerke 0473/ 36.63.06 Jeroen Bekaert - gérant [email protected] Avantage principal : efficacité et augmentation de qualité

indépendant du logiciel de navigation et de la plate-forme connexion sécurisée installation des droits de l’utilisateur (groupe) intégration complète des différents modules dans un seul paquet moyen de connexion avec ELO (environnement d’éducation électronique) comme Moodle et Dokeos (plates-formes open source)

Autres avantages :

Garanties : Prix d’achat : sur demande Frais supplémentaires :

Conditions :

http://www.pronoia.be


245



eID et appareils mobiles IDWatcher (appareil mobile)

Description : appareil portable à piles, pour lire le contenu public de la carte eID sur un écran LCD Interaction : sur place : face à face Domaine : général Projets : application dans la voiture - de manière à lire les données présentes sur l’eID (adresse ne se

trouve plus sur la carte) - par exemple en cas d’accident/utilisation spécifique par une ambulance Fonctionnalité : identification (sans code pin) Développeur : XLN-t www.xln-t.be Hoogstraat 52, 2580 Beerzel (Putte) 015/24.92.43 Kurt Sterckx (programmeur)

Guido De Cuyper (gérant) [email protected] Avantage principal : économie de temps + exactitude des données d’identité

appareil autonome, pas besoin de PC logement solide fonctionne à piles AA Alcaline longue durée (pas besoin de recharger)

Autres avantages :

micrologiciel avec moyen de mise à jour auprès du fabricant belge Garanties :

Prix d’achat : 132€ (1 pièce) à 91€ (100 pièces) Frais supplémentaires :

Conditions :

http://www.xln-t.be


246

Arena Police Mate Xi-Max (appareil mobile) Description : lecteur portable eID pour lire des données présentes sur l’eID Interaction : sur place : face à face Domaine : général + surveillance par la police Projets : Fonctionnalité : identification (sans code pin) Développeur : Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Avantage principal : utilisé en particulier pour le contrôle de la carte d’identité et la lecture de l’adresse

application mobile

Autres avantages :

Garanties :


contrat d’entretien annuel obligatoire (20€) Conditions :



247



Arena Police Mate Xi-Plus3 (appareil mobile) Description : lecteur de carte eID portable qui sauvegarde les données de maximum 500 cartes d’identité (+

communication avec PC) Interaction : sur place : face à face sur place : par ordinateur Domaine : général Projets : Fonctionnalité : identification (sans code pin) Développeur : Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Avantage principal : économie de temps + exactitude des données d’identité + possibilités supplémentaires

application mobile extensible avec d’autres cartes (par exemple la carte SIS)

Autres avantages :

Garanties :


contrat d’entretien annuel obligatoire (42€) Conditions :



248

Arena Xi-Pass (appareil mobile) Description : appareil qui lit les données de la carte eID avec le code pin et l’écran Interaction : sur place : face à face sur place : par ordinateur Domaine : autorité Projets : Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Avantage principal : lecture des données + authentification (introduire le code pin)

authentification locale - affichage écran du code pin avec des étoiles utilisé pour les configurations plus complexes extensible à d’autres smartcards

Autres avantages :

Garanties :


aucun Conditions :



249



Vasco eID Digipass (appareil mobile) Description : l’eID Digipass est activé avec l’eID - création d’un mot de passe (unique) avec lequel vous

pouvez accéder à votre ordinateur - il n’existe pas de connexion entre l’eID et l’ordinateur et il ne faut pas un middleware sur l’ordinateur (le middleware est intégré dans le Digipass)

Interaction : à distance (en ligne) sur place : par ordinateur Domaine : général Projets : le Digipass sera étendu de façon à ce qu’il puisse également être utilisé comme un simple

lecteur de carte (connecté à l’ordinateur et sans code pin) Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Vasco www.digipassforeid.be Koningin Astridlaan 164, 1780 Wemmel 02/ 609.97.00 Frank Coulier

Jo Mellemans [email protected]

[email protected] Avantage principal : authentification avec l’eID de façon sécurisée (pas de connexion physique entre l’appareil

d’authentification et l’ordinateur) crée des mots de passe dynamiques et uniques séparation physique entre l’appareil et l’ordinateur (protection contre les hackers) pas besoin d’une installation d’un middleware sur l’ordinateur (tout est présent dans l’appareil) un logo peut être imprimé sur le Digipass

Autres avantages :

Garanties : la durée de vie des piles est d’environ 5 ans Prix d’achat : Frais supplémentaires :

Conditions :

http://www.digipassforeid.be



250

Vasco eID Digipass pour les aveugles et les malvoyants (appareil mobile)

Description : l’eID Digipass est activé avec l’eID - création d’un mot de passe (unique) avec lequel vous

pouvez accéder à votre ordinateur - ce Digipass est également équipé de la technologie de reconnaissance vocale. De cette façon, les aveugles et les malvoyants peuvent également l’utiliser.

Interaction : à distance (en ligne) sur place : par ordinateur Domaine : général Projets : le Digipass sera étendu de façon à ce qu’il puisse être aussi utilisé comme un simple lecteur

de carte (connecté à l’ordinateur et sans code pin) Fonctionnalité : identification (sans code pin) authentification (avec code pin) Développeur : Vasco www.digipassforeid.be Koningin Astridlaan 164, 1780 Wemmel 02/ 609.97.00 Frank Coulier et Jo Mellemans [email protected] ou [email protected] Avantage principal : authentification avec l’eID d’une façon sécurisée (pas de connexion physique entre l’appareil

d’authentification et l’ordinateur) crée des mots de passe dynamiques et uniques séparation physique entre l’appareil et l’ordinateur (protection contre les hackers) technologie de reconnaissance vocale intégrée (haut-parleur intégré et casque inclus) écran et clavier conviviaux (touches extra larges) pas besoin d’une installation de middleware sur l’ordinateur (tout est présent dans l’appareil) le logo peut être imprimé sur le Digipass

Autres avantages :

Garanties : Prix d’achat : Frais supplémentaires :

Conditions :

http://www.digipassforeid.be



Rue du Progrès, 50

B-1210 Bruxelles

N° d’entreprise : 0314.595.348


Etude prospective sur les potentialités économiques liées ...

Documents

Transcript of Etude prospective sur les potentialités économiques liées ...