La dématérialisation des procédures administratives

2.L'identité numérique

2.1 La maîtrise des habilitations des agents publics

La gestion des habilitations des agents publics peut se définir comme le processus par lequel des employés d'une organisation acquièrent la maîtrise des moyens qui leur permettent de mieux utiliser leurs ressources professionnelles et de renforcer leur autonomie d'action. Ce terme est très couramment employé en anglais mais ne signifie pas toujours la même chose : « l'empowerment ».

Pour que l'administration « horizontale » puisse se mettre en place et que l'agent public puisse répondre aux demandes des usagers conformément aux nouvelles exigences de services qui lui sont demandés, il faut concilier partage de l'information, échange de données avec le respect strict des conditions posées par la loi n°78-17 de 1978 Informatique, Fichiers et Libertés et les obligations de sécurité, confidentialité et limitation aux droits d'interconnexion (cf. infra). Pour réaliser cela dans le monde numérique, il faut envisager la problématique de l'identification, de l'authentification et de l'autorisation qui ne va pas sans soulever des problèmes juridiques.

La bonne gestion numérique des habilitations des agents publics réalise plusieurs objectifs :

- l'augmentation du niveau de confiance et de sécurité par une bonne protection des ressources (application, fonction dans l'application et informations)

- la traçabilité des flux permettant, dans la limite des prérogatives octroyées par la loi et notamment le droit du travail d'assurer l'imputabilité des échanges, ainsi que l'auditabilité de ceux-ci (qui implique l'impossibilité de nier avoir participé à l'échange d'un certains type d'information).

Cette gestion doit également se faire en complète transparence (mais en connaissance de cause) pour l'utilisateur, ici l'agent. Le système dit de « single sign on » (SSO) est préféré dans le développement des projets. Par exemple, la Carte de l'agent public permettra, avec la même carte d'accéder aux locaux, d'ouvrir une session sur un poste de travail et de signer les e-mails). Le droit de la preuve en est d'autant plus simplifié.

Il convient d'apporter certaines définitions, car ce domaine a très vite été accaparé par les techniciens et parfois les définitions ne recouvrent pas les mêmes champs. Nous utiliserons donc la définition donnée par le Ministère de l'Intérieur pour la présentation du projet de la Carte d'Identité Nationale Sécurisée, INES.

L'identification est l'action de donner certains éléments constitutifs de son identité, par l'intermédiaire par exemple de sa carte d'identité, de son contenu électronique...

L'identification authentifiée est l'action de prouver électroniquement son identité. L'identification authentifiée du titulaire recouvre deux étapes : l'identification du titulaire et l'authentification, basée par exemple sur la frappe d'un code PIN du titulaire et d'un échange cryptographique.

L'utilisation de la cryptographie implique la gestion de certificat électronique. Aussi, il est important dans la gestion des identités et donc des certificats électroniques que celle-ci soit interopérable. Pour cela un système est préconisé : la gestion d'Infrastructure à Clé Publique (ICP ou plus connu en anglais, PKI). C'est un système de gestion d'identification, authentification, habilitation reposant sur la gestion physique (remise du titre d'identité en physique pour un niveau de sécurité élevé par exemple^17(*)), organisationnel et fonctionnel (le titre sera porteur de droits en fonction des pouvoirs délégués à l'agent) et logiciel (le titre doit être porteur de certificats compatibles avec les applications développées).

La fiche Adèle n°121 précise que la gestion des accès est un obstacle important au développement et à l'utilisation des téléservices. Une fois encore, le maître mot est la mutualisation des expériences pour aboutir à un modèle conceptuel. Cette gestion des droits ne peut se faire que lorsque les textes, par le biais de l'ordonnance « téléservice » et ses décrets d'application qui suivront, auront fixé des conditions strictes de collaboration entre les administrations et la manière dont elles peuvent échangées des informations. En tout état de cause le consentement de l'usager sera requis. A ce moment, la problématique de la diffusion des identités dans « un cercle de confiance » sera plus facile à résoudre. Mais le schéma qui se dégage aujourd'hui est le suivant :si l'administration A et l'administration B échangent et reconnaissent leurs certificats, l'administration C qui fait de même avec l'administration B, sera implicitement reconnue par la A grâce au cercle de confiance et à l'interopérabilité des certificats.

Il ne faut pas oublier qu'un système suffisamment sécurisé de révocation des certificats doit être mis en place en cas de perte, de vol des éléments d'authentification, de changement ou de résiliations des habilitations de l'agent.

Cette gestion doit être mise en place rapidement en vue de la généralisation du « guichet unique » (cf. supra, les recommandations du Conseil Economique et Social sur le projet d'ordonnance `téléservice') : le portail « Mon Service Public » sera à terme, l'unique porte d'entrée de « toutes » les administrations pour l'usager et l'accès pour lui à tous les formulaires, téléservices pouvant le cas échéant le concerner. Les normes de gestion des habilitations seront prévues par les référentiels de sécurité et d'interopérabilité qui seront publiés dans la suite de l'ordonnance par la voie de décrets.

* ¹⁷ Dans la PRIS, le titre remis en propre par l'autorité de certification est un titre d'authentification forte de niveau 3+ (classe 3 selon les normes internationales)