De l’identité numérique à la souveraineté numérique. Les enjeux du monopole de l’identification numérique

Devenue l’un des enjeux de souveraineté pour les États, l’identification numérique a fait l’objet, en mars 2023¹, d’un rapport de la Commission nationale de l’informatique et des libertés (Cnil), dans lequel cette dernière clarifie sa position face au développement de cette technologie. Elle dresse également un état des lieux des usages dans de nombreux domaines de la vie quotidienne. La conciliation de la sécurité et du respect des droits fondamentaux est l’enjeu crucial. Elle implique, à ce titre, une protection à la hauteur des détenteurs de données qui passe, selon la Cnil, par l’anonymat et le pseudonymat² de leur identité − tout en soulignant la nécessité de disposer de la faculté d’avoir une pluralité d’identités « pour séparer les différents aspects de la vie »³.

Mettant, par ailleurs, l’accent sur FranceConnect, le dispositif français d’identification numérique nationale⁴, le rapport souligne les risques liés à la centralisation de l’historique d’utilisation (ensemble des connexions et échanges de données) dans la mesure où « cette conservation n’est pas sans risques puisqu’il s’agit de données personnelles, qui peuvent révéler des informations sensibles. La généralisation de l’usage de FranceConnect pour se connecter à divers sites soulève régulièrement la question de l’utilisation proportionnée d’un service d’identité numérique régalien »⁵. Système d’identification et d’authentification développé par l’État, dont le projet date de 2014, FranceConnect offre un accès simplifié aux services publics. Les citoyens utilisent un compte, un identifiant et un mot de passe uniques pour accéder de façon sécurisée à un ensemble de services publics et privés.

Cette identité numérique « à la française » servira de référence à la future identité numérique européenne. C’est pourquoi les réserves émises par la Cnil au sujet de l’identification numérique régalienne trouvent un écho au niveau européen. Cette crainte est sans doute à l’origine de la « doctrine » de la Cnil, anticipant de probables effets aggravants de la législation européenne élaborée sur les travers des législations nationales.

La proposition de la Commission européenne du 3 juin 2021⁶ visant à poser les fondations d’un cadre européen relatif à une identité numérique fiable et sécurisée prendra appui, en effet, sur les dispositifs nationaux, dont FranceConnect.

L’identité numérique conférée au niveau national sera reconnue dans toute l’Europe, de sorte que les citoyens pourront l’utiliser pour accéder à des services en ligne. La finalité est d’établir un lien entre l’identité numérique nationale des citoyens et la preuve d’autres attributs personnels (tels que le permis de conduire, les diplômes, le compte bancaire) et cela, au niveau européen, tout en ayant la maîtrise des données puisque les Européens pourront y accéder sans avoir à recourir à des méthodes d’identification privées, et sans avoir à partager inutilement davantage de données à caractère personnel. En outre, ils auront la faculté, d’une part, de déterminer quels éléments de leur identité, de leurs données et de leurs certificats partager avec des tiers, et, d’autre part, de garder la trace de ce partage.

Le cadre juridique du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et sur les services de confiance pour les transactions électroniques au sein du marché intérieur⁷, dit « règlement eIDAS », servira de base à cette nouvelle proposition de la Commission, ce système étant déjà le support des procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’Union européenne dont près de 60 % des Européens bénéficient. Cette proposition de 2021 s’inscrit dans la volonté de la Commission de tendre à une législation harmonisée au niveau européen, afin de remédier aux disparités nationales en matière d’accès à ces services numériques. En effet, aucune législation européenne ne contraint les États à se doter d’une identification numérique nationale qui soit, par ailleurs, interopérable avec celle des États membres.

Au-delà de ces justifications juridiques et politiques, cette réglementation européenne soulève à coup sûr des questions concernant la protection des libertés individuelles, plaçant ainsi l’identification numérique au cœur des débats.

Néanmoins, cette dimension du sujet ne doit pas occulter les enjeux au regard de l’État lui-même, comme en témoigne la terminologie de « souveraineté numérique », qui renferme à elle seule le défi pour l’État de monopoliser les dispositifs et les processus d’identification numériques. En ce sens, la souveraineté numérique doit être considérée comme un concept inséparable de celui de souveraineté étatique, pour justifier du transfert du monopole de souveraineté de l’État à l’espace numérique. Ce qui rend cette directive européenne intéressante est qu’elle vise à assurer la pleine expression de cette souveraineté étatique, tout en étant le garant le plus légitime de son respect, aussi bien par les États membres que non-membres.

De la volonté de protection des données personnelles des citoyens européens à la création d’un cadre européen pour l’expression de la souveraineté numérique des États membres

Les autorités européennes se mobilisent pour établir une identité numérique au niveau européen, afin que ce soient les autorités publiques ou les entités privées reconnues par les États qui la fournissent, et non les Gafam. L’objectif est de permettre aux citoyens de prouver leur identité dans l’espace numérique, de partager des documents électroniques en toute sécurité et dans le respect de leurs données personnelles, mais sous le contrôle direct des États, sans passer par l’intermédiaire des groupes internet américains.

Ainsi, la législation européenne témoigne non seulement de l’extension de la souveraineté numérique des États au niveau européen, mais elle contribue surtout à sa permanence à son échelle. Une contradiction en découle néanmoins : source d’impulsion œuvrant à l’harmonisation des législations, l’Union européenne devient la gardienne du maintien de la souveraineté des États, fragilisant ainsi l’équilibre qui la singularise depuis l’origine, par son rôle de conciliation d’un droit supranational avec un droit étatique.

Au-delà de cette dimension politico-institutionnelle, la problématique de l’identification numérique à l’échelle nationale ou européenne concentre l’attention sur l’aspect sécuritaire de la protection des données personnelles des individus.

En effet, l’accès aux services dématérialisés est un dispositif majeur par son impact sur la garantie des droits et libertés individuels, tant les dispositions de cette législation créent les prémices d’une société de contrôle et de surveillance à l’échelle de l’Europe.

De ce point de vue, le concept d’identité numérique sous-tend des préoccupations légitimes au regard des risques importants qui menacent les libertés individuelles – le défi étant de trouver le meilleur équilibre pour rendre compte simultanément de deux impératifs, la liberté et la sécurité, sans dévier vers une société hypersécuritaire.

Il faut, en effet, d’une part, prendre acte de la numérisation accélérée de nos sociétés, sans retour en arrière possible : le droit doit être en phase avec les comportements issus de la société civile, ainsi les législations au niveau national ou européen doivent se limiter à définir un cadre juridique, lequel sera le simple reflet de la mutation en cours. D’autre part, il faut veiller à mettre en place suffisamment de garde-fous afin que ces législations protègent les citoyens de toute violation de leurs droits et libertés, que ce soit par les États eux-mêmes ou par les entités privées reconnues par ceux-ci.

Cet aspect relatif à la protection des libertés individuelles est l’une des dimensions de la question de la gouvernance des données et de la gouvernance par les données⁸. Mais cette question induit naturellement une autre problématique − indubitablement liée à la précédente −, cette fois-ci du point de vue de l’État. En effet, force est de constater que la proposition de la Commission définit in fine un cadre autorisant la pleine expression de la souveraineté numérique des États membres et les conforte dans leur quête d’appropriation de l’espace numérique qui, jusqu’ici, leur échappe.

L’identification numérique constitue un dispositif fort utile à l’État pour ouvrir une brèche dans le monopole des pourvoyeurs de services que sont les Gafam en revendiquant une forme de souveraineté numérique. L’extension de l’identification numérique au niveau européen selon la proposition de la Commission va au-delà du seul périmètre de l’État. Elle contribue à créer un cadre européen à l’expression de la souveraineté numérique de ses États membres et fait, par voie de conséquence, de l’Union européenne la garante du respect de leur souveraineté numérique.

La proposition de la Commission européenne définissant un cadre européen pour une identité numérique fiable et sécurisée met en évidence le lien entre les concepts d’identité numérique et de souveraineté numérique. Une réflexion qui met précisément l’accent sur cette dimension du sujet, afin de restreindre son objet à la compréhension de la nature du pouvoir étatique. Le but est d’examiner les fondements de la souveraineté numérique découlant du monopole de l’identification numérique par l’État. Car il ne s’agit pas seulement pour celui-ci d’élaborer des dispositifs conférant une identité numérique aux citoyens. L’État devient la seule instance légitime à la conférer, en monopolisant le pouvoir et le droit d’attribuer l’identification numérique aux citoyens et cela, en puisant dans les tréfonds du paradigme lui ayant permis de s’imposer jusqu’à aujourd’hui : le monopole de la violence légitime de l’État⁹.

Cette capacité à ravir le rôle de celui qui impose la coercition dans l’espace numérique, en toute légitimité, lui permet d’accaparer les dispositifs d’identification numérique au détriment d’autres acteurs importants : les Gafam et les utilisateurs eux-mêmes. La rivalité pour le monopole de l’identification numérique entre l’État, les utilisateurs et les Gafam est au centre des enjeux. La réglementation européenne soulève, certes, des interrogations du point de vue de la protection des libertés individuelles, mais cette dimension du sujet ne doit pas occulter les véritables enjeux qui la sous-tendent au regard de l’État lui-même, comme en témoigne la terminologie de « souveraineté numérique », qui en appelle à la prétention de l’État à monopoliser les dispositifs et processus d’identification numériques.

La nécessité pour l’État de s’approprier un pouvoir de domination sur ses citoyens-individus dans l’espace virtuel : la souveraineté numérique comme attribut de la souveraineté de l’État

L’enjeu, pour l’État, se situe au niveau de sa compétence à œuvrer à la définition d’une identité numérique comme suite logique de sa souveraineté, c’est-à-dire fondée sur son pouvoir de commandement. À partir des prémisses de ce concept, l’État ne fait donc qu’exercer sa souveraineté sur les citoyens, celle-ci ne s’arrêtant guère aux frontières de l’espace numérique ; bien au contraire, sa souveraineté revêt de « nouveaux habits » de sorte qu’elle se déploie dans l’espace numérique. C’est le sens à accorder au concept de souveraineté numérique¹⁰. Elle est l’incarnation de la volonté de reprise en main par l’État d’un espace qui a commencé à lui échapper et dont le contrôle revient aux Gafam.

La revendication par les pouvoirs publics de ce concept de souveraineté numérique a pour vocation de s’approprier un pouvoir sur les citoyens-individus dans cet espace numérique afin de contrer toute velléité de « souveraineté des opérateurs économiques ». C’est pourquoi les États ont commencé à se réapproprier le droit et le pouvoir d’imposer des règles régissant cet espace. L’identité numérique nationale n’est que l’émanation ou la traduction de cette volonté étatique. Les Gafam ont des pouvoirs exorbitants leur permettant de réguler l’espace numérique, en exerçant « un pouvoir de commandement » qui appartient en principe à l’État, de sorte qu’ils en ont la maîtrise.

C’est ce pouvoir accaparé par ces entreprises privées que l’État tente de se réapproprier pour mettre fin à la confiscation d’un pouvoir qui lui revient. Il tente ainsi d’investir l’espace numérique en dupliquant son pouvoir souverain, opérant son transfert dans cette réalité nouvelle, en s’appuyant sur sa souveraineté entendue au sens classique du terme. La mobilisation de l’État (via ses organes), pour conférer une identité numérique distincte de celle des entreprises privées, a pour finalité de lier la souveraineté exercée dans le domaine numérique à celle entendue au sens classique, qui n’a cessé de se consolider depuis plus de quatre siècles¹¹.

En effet, l’identité numérique nationale étant corrélée à l’identité personnelle de l’individu (conférée par l’État à l’individu depuis sa naissance), qui est l’identité civile reconnue par l’État¹², il existe de fait une continuité entre l’une et l’autre permettant à l’État de justifier sa domination pour exercer ses compétences souveraines dans l’espace numérique. La souveraineté numérique est ainsi un concept découlant de l’extension logique de la souveraineté étatique à l’espace numérique dans la mesure où la souveraineté numérique est l’un des attributs de la souveraineté de l’État en vertu de laquelle le citoyen est le « sujet » de l’État même dans l’espace numérique.

Ce qui revient à transposer ce concept classique de la souveraineté de l’État − qui a permis de l’imposer comme la forme d’organisation du pouvoir la plus puissante, incontestée et incontestable − à un phénomène nouveau, la numérisation de la société, pour s’emparer de l’existence en ligne des citoyens (afin que l’État puisse perdurer comme tel). Vu sous cet angle, la souveraineté numérique est donc une formidable opportunité pour l’État de redéployer sa puissance souveraine − affaiblie tant au niveau national qu’international − pour continuer à s’imposer sans partager ce pouvoir ni avec les Gafam ni avec les citoyens-individus, qui pourtant sont les principaux acteurs dans l’espace numérique.

La souveraineté de l’État appliquée à l’espace numérique revient dès lors à neutraliser toute tentative de revendication de souveraineté par les opérateurs économiques ou, dans une approche plus libérale et individualiste, par les utilisateurs eux-mêmes. S’inscrivant dans la continuité de la souveraineté populaire, qui fait des citoyens la source de tout pouvoir, cette conception accorde le droit à l’autodétermination des utilisateurs¹³ où « la notion de souveraineté numérique ne se limite donc pas à la stricte perspective juridique classique, attachée au pouvoir des États »¹⁴ et s’entend davantage dans un sens large en renvoyant au « pouvoir de commandement et au droit à l’autodétermination dans un monde numérique »¹⁵. Cette approche libérale laisse, certes, une place plus importante à l’individu, avec une marge de manœuvre sur la maîtrise de son identité numérique et sur celle de ses données personnelles. Or, c’est l’approche la plus improbable tant la souveraineté de l’État est un concept qui s’impose avec force depuis des siècles. Mais aussi parce que c’est celle que l’État a le plus de chance de saborder, eu égard aux instruments classiques qui lui permettent de subordonner l’individu-citoyen.

In fine, dans son combat pour réguler l’espace numérique, l’État a non seulement intérêt à neutraliser les Gafam pour transférer son pouvoir de commandement à ce monde virtuel, mais aussi les citoyens, s’il veut continuer à les commander. Dans cette tâche, l’État est conforté par la Commission européenne, via cette législation de 2021, car toute inaction de l’État reviendrait à transiger ce pouvoir de commandement. Or, c’est bien celui-ci qui est au fondement de sa puissance : sans pouvoir de commandement dans l’espace numérique, l’État ne serait plus ce qu’il est, à savoir une forme d’organisation spécifique du pouvoir puisque cette organisation politique se ferait à d’autres niveaux, soit celui des individus soit celui des entreprises privées. Donc, l’identité numérique et la souveraineté numérique sont inextricablement liées, étant au fondement même du pouvoir de l’État et du pouvoir dans l’État.

L’avenir des enjeux de l’identification numérique se jouera sur la conciliation des différentes approches de la souveraineté, des utilisateurs, des Gafam et de l’État, afin de déterminer dans quelle mesure l’État sera, ou ne sera plus, le seul à revendiquer sa souveraineté dans le domaine numérique. Dans l’hypothèse où il pourrait s’imposer comme tel, la conception traditionnelle de la souveraineté suffira-t-elle à conserver ce pouvoir pour obtenir l’obéissance légitime des individus et des Gafam ? Dans l’affirmative, est-ce que cela revient à dire que l’horizon de l’humanité restera pour longtemps une puissance de l’État sans partage ?

Compte tenu des limites de la conception classique de la souveraineté, conclure à un incontournable renouvellement de la structure du pouvoir entre gouvernants et gouvernés ne devrait-il pas être l’horizon ? Une perspective qui implique de fonder leur rapport sur une conception toute nouvelle du pouvoir en prenant davantage en considération l’autonomie des usagers ou des individus-citoyens. Ce sont ces questions qui guideront les réflexions à l’avenir.

L’identification numérique ouvre ainsi l’opportunité d’une réflexion sur l’existence de souverainetés concurrentes émanant des entreprises privées qui fournissent aux citoyens l’accès à l’espace virtuel ou de communautés concurrentes (les personnes morales publiques ou privées) ayant une identité numérique propre, et constituant un cadre de déploiement pour les usagers citoyens-individus, qui leur offre plus d’autonomie et donc de liberté (voir « Identité décentralisée ou identité auto-souveraine »).

À travers la problématique de l’identification numérique, il sera, à terme, question d’une réflexion sur les fondements d’une nouvelle organisation du pouvoir, indépendamment de la toute-puissance étatique, compte tenu du risque d’ébranlement du monopole de la violence légitime de l’État par ces souverainetés concurrentes. C’est la possibilité d’ébranlement du pouvoir étatique − un risque d’autant plus accentué sous l’impact des répercussions d’un nouvel outil qu’est l’intelligence artificielle − qui peut contribuer à redimensionner tous les paradigmes actuels en termes d’organisation du pouvoir politique au sein de la cité.

La souveraineté numérique porte l’empreinte de la volonté de s’accommoder du concept de souveraineté étatique, qui structure les rapports entre gouvernants et gouvernés depuis quatre siècles, afin de continuer à l’imposer. En effet, la tendance est à la justification par ce concept − aussi bien en droit interne qu’en droit international – de nombreuses obligations ou contraintes imposées par l’État, et quel qu’en soit le destinataire (individus, entreprises, autres États). Or, ce positionnement risque d’accentuer des difficultés politiques et institutionnelles inhérentes à la démocratie représentative qui seront, de fait, exacerbées sous l’impact des nouvelles technologies.

Sources :

1. Commission nationale de l’informatique et des libertés, dossier thématique L’Identité numérique, 23 mars 2023.
2. Ibid., p. 10. À partir de l’exemple sud-coréen, l’accent est mis sur les effets néfastes de l’obligation de déclaration d’identité pour naviguer. En effet, la loi sud-coréenne de 2007 imposait une vérification de l’identité régalienne de la personne qui souhaitait utiliser un pseudonyme avant de pouvoir publier des commentaires sur les principales plateformes en ligne locales. Elle fut retoquée en 2012 par la Cour constitutionnelle eu égard à ses incidences sur la liberté d’expression.
3. Ibid. Se reporter à ce sujet à Levallois-Barth Claire, « Pour la reconnaissance d’un droit à des identités multiples », Institut Mines-Télécom, juillet 2020 ; Levallois-Barth Claire (dir.), « Chaire Valeurs et Politiques des informations personnelles », Identités numériques, cahier n° 1, Institut Mines-Télécom, mars 2016.
4. Assemblée nationale, rapport d’information sur l’identité numérique, présenté par Mme Marietta Karamanli, n° 3190, 8 juillet 2020.
5. Commission nationale de l’informatique et des libertés,  cit., p. 16-17.
6. Commission européenne, Impact Assessment Report 2021, part 1/3, part 2/3, part 3/3.
7. Sur le glissement opéré entre le règlement eIDAS et la proposition visant à le modifier, se reporter au chapitre III « Vers un cadre juridique numérique européen de l’identité numérique », in Bernelin Margo, Eynard Jessica, « Droit du numérique », Cahiers Droit, Sciences & Technologies [En ligne], 14 | 2022, mis en ligne le 27 avril 2022. 
8. L’objet de la gouvernance des données est de tendre à une législation garantissant une gestion de données de haute qualité dans l’optique qu’elles soient sécurisées ; celui de la gouvernance par les données vise à organiser le pouvoir au sein de la cité à partir de mécanismes ou de processus de traitement de ces données en vue de poser le rapport « gouvernants et gouvernés ». Mais, dans les deux cas de figure, la protection des droits et libertés individuels se pose avec acuité. 
9. Ce monopole de détention de la violence légitime par l’État, dont le corollaire est le monopole de l’édiction du droit positif, est au fondement du pouvoir de l’État comme forme moderne d’organisation du pouvoir. Se reporter à Boz-Acquin Élise, « L’État et la force armée en droit constitutionnel français », Versailles–Saint-Quentin-en-Yvelines, 2015.
10. Bellanger Pierre, La Souveraineté numérique, Stock, 2014 ; Vallar Christian, Türk Pauline, « La souveraineté numérique. Le concept, les enjeux », Mare & Martin, 2018 ; « Vers la République numérique », Revue du droit public, n° 2018/3, juillet 2018 ; Chambardon Nicolas, « L’identité numérique de la personne humaine. Contribution à l’étude du droit fondamental à la protection des données à caractère personnel », thèse, Université Lumière–Lyon-2, 2018 ; Türk Pauline, « Les droits émergents dans le monde numérique : l’exemple du droit à l’autodétermination informationnelle », Politeia, n° 31, décembre 2017.
11. L’État comme forme moderne d’organisation du pouvoir se situe au XVIe siècle, notamment à partir des travaux de Jean Bodin dans Les Six Livres de la République. Voir Beaud Olivier, La Puissance de l’État, « Léviathan », PUF, 1994. Se reporter précisément au chapitre préliminaire « La souveraineté anté-étatique ou la notion médiévale de souveraineté » et au titre 1 intitulé « La Loy ou la domination du Souverain sur les sujets étatiques » de la Première Partie.
12. Néanmoins, l’identité est un concept aux multiples visages et ne se résume pas à l’état civil, ou à l’identité dite « régalienne », tenu en France dans les mairies depuis 1792 et, dès le XIVe siècle, dans les registres paroissiaux. Elle renvoie à plusieurs notions en sciences sociales : une identité propre en philosophie (ipséité), l’identité personnelle et l’identité sociale, Commission nationale de l’informatique et des libertés, op. cit., p. 2-3.
13. Collectif, Livre blanc. L’identité numérique 5.0, Lexing, Alain Bensoussan Avocats, 2021, p. 44.
14. Ibid.
15. Ibid.