Cet article, publié dans la revue Sécurité globale, volume 19, en 2019, a été co-rédigé par 3 membres du groupe Cybermoi de l'Agora 41 : Marguerite Quichaud, Pierre-Michaël Micaletti et Renaud Gaubert.

Dans le cadre d’une réflexion globale menée sous  l’impulsion de l’ANSSI, il a été créé l’Agora des 41, club de réflexion  transverse sur des problématiques liées à la cyberdéfense. Un groupe de  travail s’intéresse plus particulièrement au Cybermoi.

Comment  donc peut-on envisager cette évolution vers une « cohabitation  cordiale » entre l’individu et son cyber-moi, d’une manière aussi bien  éthique que dans des aspects de protection autant physique  qu’identitaire. En un mot, comment garder confiance dans le numérique ?

A  l’instar des « virus » informatiques, le terme même montrant la  porosité par analogie entre monde physique, celui du vivant et du  numérique. Dès lors comment baliser les sujets  risques/sécurité/juridique pour les cybers citoyens du monde, européens,  français ? Quelles grilles de lectures imaginer ? Quid de vols  d’identité, d’usurpations, de détournements, etc… dès lors une  criminalité dont on n’ose imaginer les méfaits ? Quelles mesures et  quels organismes instruiront pour le citoyen cette protection ?  Existera-il un ministère de la santé numérique ?

« Comment  vivre avec mon futur CYBER-MOI ? Quels enjeux cette nouvelle entité,  extension de mon identité physique, posera-t-elle aux individus et aux  sociétés dans leur relation à ce nouvel espace/temps ? » Voici donc les  questions qui auront prévalu à alimenter une réflexion sommairement  résumée dans ce titre un peu étrange et provocateur de « Cyber-moi »,  mélange et cocktail de multiples concepts tirés de la science-fiction.  Faire l’exercice de formaliser ces interrogations permet de mesurer  l’immensité qu’ouvre le champ de la cyber-dimension et de son  appréhension pour agir et y vivre en conscience.

Ce  billet n’a pas la prétention de couvrir l’ensemble des questions  précédentes sur les nombreux sujets qu’elles pourraient soulever mais  plutôt de porter un premier regard, non exhaustif, pour répondre à la  question suivante : « Qui suis-je administrativement en France à l’aune des e-gouvernents » il  préfigure une réflexion qui alimentera des productions futures dans le  cadre des travaux du groupe cybermoi de l’Agora des 41. Pour ce groupe « cybermoi », il  est apparu essentiel de comprendre dans un premier temps ce que pouvait  recouvrir le terme de cybermoi sur une dimension de type  administratif ?

L’identité  est un élément central de la vie des individus, quelle que soit la  définition et la société à laquelle il appartient. En bon néophyte, il  est légitime de s’interroger : où commence-t-elle et où finit-elle ? De  sa naissance à sa mort, avant et après d’ailleurs, l’individu sera  confronté à ses éléments de gestion et de régulation, on pourrait dire  familièrement que celle-ci lui colle à la peau.

Une  simple requête sur l’expression « concept d’identité » en français dans  le moteur de recherche Google retourne environ 1 390 000 résultats  indexés. On peut y lire en 1re proposition issue de l’encyclopédie en ligne Wikipédia l’extrait suivant :

“L’identité  de l’individu est, en psychologie sociale, la reconnaissance de ce  qu’il est, par lui-même ou par les autres. La notion d’identité est au  croisement de la sociologie et de la psychologie, mais intéresse aussi  la biologie, la philosophie et la géographie.”

Si  l’on continue, encore un peu à scruter les résultats retournés, sans  être un quelconque expert des domaines cités, on fera le bilan d’une  littérature abondante dans les disciplines les plus variées. On pourra  dès lors de la même manière, acquérir un savoir minimum à travers les  nombreuses thèses scientifiques ayant traité de ce sujet. On pourra  aussi être surpris au passage en découvrant qu’elle touche un ensemble  de secteurs voire quasi tous ceux qui composent notre quotidien  aujourd’hui avec une digitalisation globale des usages dans nos « cyber  vies », avec en contrepoint la fameuse notion d’anonymat.

En  regard de ce constat, au moment de l’explosion des données  individuelles, des traces produites dans chacune de nos actions dans nos  sociétés de l’information (et le mot est certainement encore faible)  comment ne pas être saisi à minima d’interrogations quant à l’évolution  de ce concept à l’ère de l’intelligence artificielle sinon de vertige  voire d’angoisse si par hasard, on affectait à cette “identité” sa  propre singularité !

Il  s’agira donc aujourd’hui, dans le contexte d’émergence d’une nouvelle  dimension d’espace et de temps dans un cybermonde informationnel  bouillonnant de pouvoir, se rassurer et interagir dans des modèles  adaptés qui devront permettre de conjuguer de manière fluide et éthique  deux formes en apparence opposées mais au fond pas du tout : entre  « anonymat et identité forte ».

Ce  nouveau paradigme pose ainsi une dynamique d’évolution des pratiques  qui a vu la naissance de plusieurs entités et instances nouvelles, dans  nos quotidiens : du simple login/mot de passe, clef basique d’accès à  des espaces de services plus ou moins élaborés à la signature  électronique, identificateurs biométriques, objets connectés, chatbots,  assistants en tous genres, etc. Le tout ne cessant de se complexifier à la lumière des progrès technologiques fulgurants.

Ainsi,  l’identité pour le service public est devenue un enjeu essentiel pour  sa propre survie, aux multiples propriétés, dans le développement des  services publics/privés en ligne. Par ailleurs, elle est aussi centrale  dans de nombreuses interactions entre personnes (physiques ou morales)  sur le plan de la vie privée.

L’émission  d’une identité par l’Etat semble encore, de nos jours, rester dans ses  attributions les plus fondamentales… Autorité régalienne historique,  l’Etat s’impose encore donc naturellement comme l’acteur de référence. A  la différence du monde physique, dans le monde numérique l’utilisateur  peut disposer de multitudes d’identités gratuites non officielles pour  les administrations la plupart du temps, assorties d’avatars et valides  pour la plateforme donnée. Des passerelles techniques contractualisées  entre elles faisant office d’arbitre et garant pour leur relation quant  aux données de leurs utilisateurs. Grace à ses facilitations où tout  semble devenir transparent dans sa navigation, on se trouve face à une  marée noire de données personnelles émises qui peuvent donner le  tournis. Il est légitime alors de se demander quel peut être le rôle de  l’Etat dans la maitrise de l’identité des citoyens.

On  notera aussi qu’on peut de manière simplifiée la décliner selon  plusieurs axes selon le schéma suivant en composants, processus et  procédés :

  • Par composant on peut entendre sur le plan technique par exemple ce qui pourrait être le premier maillon universel consenti et historique, entrant de fait sous le sens commun d’une « carte d’identité numérique » et/ou d’un laisser-passer, le sacro-saint « login/mot de passe », première « paire atomique » constituante de ce que l’on nomme : son ID
  • Par processus on peut entendre aussi des mécanismes d’authentification, pour lesquels nous allons le voir, beaucoup de pays font le choix procédural de certificats de chiffrement aujourd’hui : des services publics, auxquels cela donne accès (service des impôts en ligne en France, ouverture de compte en banque sous 15 minutes en Estonie), des services privés que cela a permis de développer (par exemple la signature de contrats entre citoyens)
  • Par procédé : pour beaucoup de pays, l’identité passe par une connexion en ligne passe via des certificats de chiffrement via avec des techniques de cryptologie, délivrés par des organismes habilités à cet effet. Ces certificats permettent tout d’abord de certifier de son identité. Il reste à rappeler que les techniques de cryptographie sont autorisées quand elles répondent aux exigences de déchiffrement des services de renseignement

Ces certificats ont pour fonction par ailleurs d’assurer la garantie de  l’intégrité (pas d’altération du message/document/fichier, la non  répudiation de ce document ainsi que le secret de la communication).  Ainsi, on utilise ce trio - composant-procédé-processus - afin de signer  des documents électroniques, attestant ainsi de l’identité de la  personne, mais aussi garantissant dans le futur qu’elle ne puisse  répudier cet acte et protégeant alors contre toute altération possible du contrat.

Approche comparative : quelques dispositifs singuliers

En 2016, la Direction interministérielle du  numérique et du système d’information et de communication de l’État  (DINSIC) a lancé France Connect,  un fédérateur d’identité. Grâce à cet organisme, les utilisateurs  choisissent entre différents fournisseurs (Impots.gouv.fr,  service-public.fr, Ameli.fr, La Poste…) pour se connecter avec un  identifiant unique. La plateforme permet de garantir l’identité de la  personne par les registres d’Etat. Ce système assure un premier niveau  de sécurité attendu par les usagers pour adhérer en confiance à une  administration qui a entamé la dématérialisation de ces usages.

D’autres  initiatives ont été avortées ces dernières années. En 2012, la France  avait déjà tenté le pari de la carte d’identité biométrique dotée d’une  puce permettant de s’identifier sur les réseaux de communication  électroniques et de mettre en œuvre sa signature électronique. Elle sera  plus tard jugée inconstitutionnelle : “le législateur a méconnu  l’étendue de sa compétence" avait estimé le Conseil. Par ailleurs, le  conseil constitutionnel avait aussi censuré le deuxième article majeur  de ce projet de loi : la création d’un fichier unique rassemblant les  biométries de tous les détenteurs de la carte nationale d’identité.

Durant  les Assises de l’Identité numérique en 2018, Mounir Majoubi alors  secrétaire d’Etat au numérique avait évoqué la relance du projet de  carte d’identité numérique « qu’avec  l’identité numérique publique, les services en ligne seront plus simples  et plus sécurisés. Ce sera la fin des usurpations d’identité sur  Internet » La carte d’identité numérique devrait apparaitre au grand jour courant 2019.

A cet égard, il est essentiel de se détacher  d’une vision ethno centrée pour constituer une approche comparative de  la notion d’identité numérique.

L’Estonie  est très souvent prise pour exemple d’e-gouvernement. Depuis 2002, la  carte d’identité numérique est distribuée aux citoyens estoniens.  Celle-ci regroupe différents services : permis de conduire, carte de  sécurité sociale, carte électorale, carte de métro… Grâce à la PKI  (infrastructure de cryptographie), les services sont consultables de  manière sécurisée. Tout citoyen a un accès, 24 heures sur 24, aux  différents services publics et privés, avec un guichet numérique  commun : le portail internet Eesti.ee.

Alors  qu’en France on tente de diffuser le programme « Dites-le nous une  fois » DLNUF, en Estonie une loi interdit à l’administration de demander  à deux reprises la même donnée au citoyen. Aussi, le gouvernement a  fait le choix d’ouvrir un système d’e-residency  permettant à des citoyens d’autres pays d’acquérir un statut  d’e-résident (création d’entreprise, compte en banque dans des délais  très courts).

Concrètement,  le citoyen estonien peut profiter de ce service via sa carte  d’identité, quant au e-résident il postule en ligne et se présente à  l’ambassade pour obtenir une carte avec un lecteur approprié. Ce  programme d’e-residency a permis à l’Estonie de s’imposer dans le top 5  des e-gouvernements. En septembre 2017, la présidente estonienne avait  même souligné le risque « d’obsolescence des Etats » s’ils  n’entreprenaient pas leur transition numérique assez rapidement.

En Belgique, les citoyens peuvent être équipés  d’une carte d’identité électronique depuis 2002 (Kids ID depuis 2016  pour les enfants de moins de 12 ans). Dans une approche de  « Citizen-Centric Government », le gouvernement a souhaité permettre aux  citoyens d’accéder aux services plus rapidement et de manière  sécurisée.

Outre-manche, peu après la mise en circulation d’une quantité limitée de cartes d’identité numériques en 2009,  ces dernières se sont montrées très vulnérables puisqu’en douze minutes  Adam Laurie, consultant en sécurité informatique, avait réussi à la  pirater. Depuis, le Royaume Uni investit dans la sécurité des procédures en  ligne. Les utilisateurs des nouvealles cartes doivent maintenant  attester de leur identité en se connectant sur Secure Identity   via le site Gov.uk.verify. Ce dernier vise à numériser les accès aux  services publics grâce à l’authentification. Par ailleurs, le  gouvernement a également choisi de certifier des services de  vérification de l’âge en ligne afin de mettre en œuvre son interdiction  des contenus pornographiques en ligne pour les mineurs. Derrière ces  services certifiés par le gouvernement on retrouve des entreprises  telles que MindGeek qui possède et exploite Pornhub, RedTube ou encore  YouPorn. Sans même parler des risques liés à la création d’une telle  base de données, les enjeux en termes de protection de la vie privée  sont évidemment extrêmement forts sur ce sujet.

De  l’autre côté de l’Atlantique, le Brésil s’est tourné très tôt vers le  numérique (2000 - 2005). Le système fourni s’est constitué, sur la  fourniture de certificats disponibles via une clé physique (USB) de  chiffrement ou directement sous la forme d’un fichier que l’on peut  conserver sur son ordinateur. A partir de cette nouvelle forme de  matérialité de l’identité, le gouvernement brésilien a créé un nombre  important d’initiatives publiques et privées.

Ces comparaisons ne sont pas exhaustives et seront poursuivies dans des productions.

On  peut tout de même déjà remarquer que le « cybermoi administratif » est  appréhendé par les Etats de manière très disparate mais semble  s’inscrire dans les agendas des gouvernements depuis quelques années. On  notera aussi que dans cette perspective, il y a, au-delà d’une vision  risques/sécurité, l’émergence d’opportunités pouvant se matérialiser  dans des stratégies de positionnement extrêmement compétitives quant à  la performance de l’intervention des états. Cette identité  administrative numérique permettrait la création de nombreux services,  notamment à l’initiative d’entreprises privées.

On  ne peut que constater à travers l’apparition de ces nouvelles  plateformes d’e-gouvernement, l’envahissement galopant de  l’environnement, par de multiples dispositifs numériques, puces  invisibles, RFID généralisé, Navigo, vélib, vidéosurveillance, carte  vitale, domotique… Cet ensemble constituera à terme, en superposition de  l’actuel réseau internet, une surcouche logique d’enrichissement  d’information, tel un système nerveux virtuel qui s’élabore avec ses  règles propres. Apparait ainsi la création d’une forme d’intelligence  qui va s’insérer dans chacun de nos actes de vie, consommation, santé,  géolocalisation, profiling, holographie, psychosociologie… Cela fait  penser au fameux « techno-cocon » évoqué par l’écrivain de  Science-Fiction Alain Damasio.

Le  résultat final de l’agrégation de ces données auto générées et de leur  exploitation dans ce nouvel espace multiple, au-delà de l’idée  épouvantail liée à la notion de « surveillance globale » dont certains  brandissent le spectre, interroge sur la capacité des individus à vivre  avec cette nouvelle représentation d’eux-mêmes.

En Belgique, les citoyens peuvent être équipés  d’une carte d’identité électronique depuis 2002 (Kids ID depuis 2016  pour les enfants de moins de 12 ans). Dans une approche de  « Citizen-Centric Government », le gouvernement a souhaité permettre aux  citoyens d’accéder aux services plus rapidement et de manière  sécurisée

Outre-manche, peu après la mise en circulation d’une quantité limitée de cartes d’identité numériques en 2009 ,  ces dernières se sont montrées très vulnérables puisqu’en douze minutes  Adam Laurie, consultant en sécurité informatique, avait réussi à la  pirater. Depuis, le Royaume Uni investit dans la sécurité des procédures en  ligne. Les utilisateurs des nouvealles cartes doivent maintenant  attester de leur identité en se connectant sur Secure Identity  via le site Gov.uk.verify. Ce dernier vise à numériser les accès aux  services publics grâce à l’authentification. Par ailleurs, le  gouvernement a également choisi de certifier des services de  vérification de l’âge en ligne afin de mettre en œuvre son interdiction  des contenus pornographiques en ligne pour les mineurs. Derrière ces  services certifiés par le gouvernement on retrouve des entreprises  telles que MindGeek qui possède et exploite Pornhub, RedTube ou encore  YouPorn. Sans même parler des risques liés à la création d’une telle  base de données, les enjeux en termes de protection de la vie privée  sont évidemment extrêmement forts sur ce sujet.

De  l’autre côté de l’Atlantique, le Brésil s’est tourné très tôt vers le  numérique (2000 - 2005). Le système fourni s’est constitué, sur la  fourniture de certificats disponibles via une clé physique (USB) de  chiffrement ou directement sous la forme d’un fichier que l’on peut  conserver sur son ordinateur. A partir de cette nouvelle forme de  matérialité de l’identité, le gouvernement brésilien a créé un nombre  important d’initiatives publiques et privées.

Ces comparaisons ne sont pas exhaustives et seront poursuivies dans des productions.

On  peut tout de même déjà remarquer que le « cybermoi administratif » est  appréhendé par les Etats de manière très disparate mais semble  s’inscrire dans les agendas des gouvernements depuis quelques années. On  notera aussi que dans cette perspective, il y a, au-delà d’une vision  risques/sécurité, l’émergence d’opportunités pouvant se matérialiser  dans des stratégies de positionnement extrêmement compétitives quant à  la performance de l’intervention des états. Cette identité  administrative numérique permettrait la création de nombreux services,  notamment à l’initiative d’entreprises privées.

On  ne peut que constater à travers l’apparition de ces nouvelles  plateformes d’e-gouvernement, l’envahissement galopant de  l’environnement, par de multiples dispositifs numériques, puces  invisibles, RFID généralisé, Navigo, vélib, vidéosurveillance, carte  vitale, domotique… Cet ensemble constituera à terme, en superposition de  l’actuel réseau internet, une surcouche logique d’enrichissement  d’information, tel un système nerveux virtuel qui s’élabore avec ses  règles propres. Apparait ainsi la création d’une forme d’intelligence  qui va s’insérer dans chacun de nos actes de vie, consommation, santé,  géolocalisation, profiling, holographie, psychosociologie… Cela fait  penser au fameux « techno-cocon » évoqué par l’écrivain de  Science-Fiction Alain Damasio.

Le  résultat final de l’agrégation de ces données auto générées et de leur  exploitation dans ce nouvel espace multiple, au-delà de l’idée  épouvantail liée à la notion de « surveillance globale » dont certains  brandissent le spectre, interroge sur la capacité des individus à vivre  avec cette nouvelle représentation d’eux-mêmes.