Décret n°2022-1004 du 15 juillet 2022 fixant les modalités de certification de moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens

JO du 16 juillet 2022

L’article L.102 du code des postes et des communications électroniques prévoit que la preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique. Ce moyen d’identification électronique est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information (ANSSI) fixé par décret en Conseil d’Etat. Cette autorité certifie la conformité des moyens d’identification électronique aux exigences de ce cahier des charges.

Pris en application de ces dispositions, ce texte fixe les modalités de certification de ces moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens (création des articles R. 54-1 à R. 54-27 du code des postes et des communications électroniques). Dans ce cadre, il définit de nombreuses notions et présente les principes de la certification. Ainsi, un référentiel d’exigences, établi par l’ANSSI et publié sur son site, définit les exigences de sécurité pour les moyens d’identification électronique visant le niveau de garantie faible, substantiel ou élevé. Toute modification ultérieure entre en vigueur trois mois après sa publication.

Il définit la procédure de certification (des précisions sont apportées concernant notamment le contenu de la demande de certification adressée à l’ANSSI ; le rôle du fournisseur de moyen d’identification électronique ; les missions du centre d’évaluation, lequel remet un rapport d’évaluation au fournisseur de moyen d’identification électronique qui le transmet à l’ANSSI dans un délai de trois jours ouvrables après sa réception ; le rôle du directeur général de l’ANSSI qui prend la décision de certification en tenant compte du rapport d’évaluation et, le cas échéant, des vérifications complémentaires demandées ou réalisées par l’ANSSI ; la durée de la certification, laquelle a une durée de validité maximale de deux ans à compter du prononcé de la décision par le directeur de l’ANSSI).

Il fixe le cahier des charges du moyen d’identification électronique présumé fiable. Dans ce cadre, il apporte des précisions concernant notamment :
– les conditions, spécifications techniques et procédures que le moyen d’identification électronique présumé fiable doit respecter ;
– le processus de vérification de l’identité du demandeur. Le fournisseur du moyen d’identification électronique est chargé de vérifier l’identité déclarée par le demandeur avec les informations provenant d’une source faisant autorité. Cette source faisant autorité doit faire l’objet d’une vérification. Dans ce cadre, ce texte précise les données à caractère personnel nécessaires à l’identification d’une personne physique qui sont recueillies lors de la vérification d’identité du demandeur. Il précise le rôle du fournisseur du moyen d’identification électronique pour la délivrance du moyen d’identification électronique. Il indique également son rôle lorsque le demandeur dispose déjà d’un moyen d’identification électronique présumé fiable jusqu’à preuve du contraire et certifié ;
– la qualification des moyens de cryptologie constitutifs du moyen d’identification électronique utilisés sous le contrôle du fournisseur de moyen d’identification (niveau renforcé) ;
– la qualification des moyens de cryptologie constitutifs du moyen d’identification électronique utilisés sous le contrôle de l’utilisateur (niveau renforcé ou élémentaire selon les cas) ;
– le cycle de vie des secrets cryptographiques. En particulier, les secrets cryptographiques employés dans le cadre de l’identification d’un utilisateur auprès d’un service numérique, et dont la divulgation permettrait l’usurpation ou l’altération de l’identité de l’utilisateur, sont utilisés pour une durée maximale de cinq ans ;
– la gestion de la sécurité de l’information ;
– le rôle du comité de suivi de la certification des moyens d’identification électronique.
Tenant compte de ces nouvelles dispositions, il modifie le décret n°2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information ».