En attendant des éclaircissements concernant la vérification d’identité qualifiée eIDAS, il est possible de réaliser sa propre audit avant de choisir son prestataire de confiance. En se basant sur la loi, on peut porter notre attention sur quelques points importants :
D’après le règlement UE 2016/679 du 27 avril 2016 (RPGD) article 5, les données doivent être :
- Traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)
- Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités
- Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)
- Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
- La politique de traitement des données
- La qualification eIDAS sur d’autres prestations de confiance
- Quelles données vous sont demandées
- La technologie propriétaire
- Des prestataires de l’Union Européenne
Il est nécessaire d’informer l’utilisateur des données qui seront récoltées et l’usage qui en sera fait, il convient de s’assurer de la simple présence de ces informations avant d’utiliser un service.
Cela permet de s’assurer que le service est considéré comme un service de confiance. L’utilisation par votre prestataire de services qualifiés eIDAS ou sa qualification eIDAS sur d’autres services est un gage de confiance. Cela vous permet de vous assurer de sa volonté de se tenir en conformité avec le règlement eIDAS.
NB : Il est possible de consulter la liste des services référencés auprès de l’ANSSI (les noms d’entreprises diffèrent parfois avec le nom du service)
La carte d’identité/passeport/titre de séjour sont réglementaires, mais c’est souvent le seul document nécessaire pour vérifier une identité, chaque pièce demandée doit être justifiable.
NB : Ces titres d’identité sont considérés comme des données sensibles et il est interdit de les conserver ou d’en garder une copie après l’usage pour lesquels ils sont demandés.
Vérifiez que, lors de votre vérification d’identité, vous n’êtes pas redirigé vers un service tiers. Si c’est le cas, il faudra alors auditer aussi ce service et la route peut être longue. En résumé, privilégiez les entreprises ayant la main sur leur technologie.
Si votre service de confiance n’est pas membre de l’Union Européenne ou fait transiter certaines données sensibles en dehors de l’UE, nous vous conseillons de rebrousser chemin. Les prestataires hors UE ne dépendent pas du règlement eIDAS, et votre prestataire, en étant lui-même soumis au RGPD, aura plus de difficulté à faire appliquer ce règlement à un sous-traitant hors UE.
Comme ce n’est pas toujours clair quand on ne s’y connaît pas, nous espérons que ces aspects vous auront permis de vous rassurer !