Itdaily - Identité belge dans le cloud américain : itsme est-elle vraiment souveraine ?

Identité belge dans le cloud américain : itsme est-elle vraiment souveraine ?

itsme

Huit millions de Belges utilisent itsme pour se connecter aux sites web gouvernementaux ou aux applications bancaires. Mais qu’advient-il de vos données ? itsme est moins souveraine qu’il n’y paraît.

L’application mobile itsme est aujourd’hui profondément ancrée dans le tissu numérique de notre société. Cette année, elle a franchi le cap des huit millions d’utilisateurs en Belgique et s’apprête à faire son entrée aux Pays-Bas. Les gouvernements, les banques et les opérateurs de télécommunications ont largement adopté itsme.

Simple d’utilisation, itsme offre une expérience uniforme pour se connecter à divers services numériques. Sa sécurité multicouche est censée garantir que votre compte itsme ne puisse pas être piraté facilement. Votre compte est lié à votre téléphone et protégé par un code PIN, tandis que la connexion avec les services auxquels vous accédez s’effectue via une liaison cryptée. Mais que se cache-t-il derrière l’application ? Sécurité n’est pas forcément synonyme de souveraineté.

Un signal d’alarme venu des Pays-Bas

Aux Pays-Bas, on ne le sait que trop bien. DigiD, concurrent d’iDIN et désormais d’itsme sur le marché néerlandais, a failli passer indirectement sous influence américaine à la fin de l’année dernière. Kyndryl, ancienne filiale d’IBM, convoitait Solvinity, l’entreprise qui gère l’infrastructure de DigiD et collabore avec divers services publics. Le gouvernement néerlandais, propriétaire de DigiD, s’y est opposé et, après de nombreux débats, a décidé de bloquer le rachat.

Il n’est donc pas surprenant que l’acquisition d’iDIN par itsme soit examinée à la loupe aux Pays-Bas. En Belgique, nous utilisons quotidiennement itsme sans vraiment nous demander qui ou quoi se cache derrière l’application. Alors que la souveraineté numérique est au cœur des préoccupations en Belgique et en Europe, il serait peut-être temps de se poser ces questions.

À qui appartient itsme ?

itsme a vu le jour en 2017, fruit d’une collaboration entre le secteur bancaire (Belfius, BNP Paribas Fortis, ING et KBC) et le secteur des télécommunications (Proximus, Orange, Telenet). L’application est officiellement gérée par la société Belgian Mobile ID. Il y a cinq ans, l’État belge a investi 14,5 millions d’euros via la Société Fédérale de Participations et d’Investissement, acquérant ainsi une part de 20 % dans itsme.

Belgian Mobile ID, comme toute entreprise privatisée, poursuit des objectifs commerciaux. Dans une réponse à ITdaily, il précise explicitement que les actionnaires n’ont pas accès aux données d’itsme, mais il n’est pas clair dans quelle mesure ils influencent la stratégie et la feuille de route technologique.

Quelles données itsme conserve-t-elle ?

En tant qu’application d’authentification de confiance pour huit millions de Belges, itsme détient de nombreuses données citoyennes. L’entreprise ne s’en cache pas : lors de la création de votre compte, vous devez accepter de partager des informations telles que votre nom, votre numéro de téléphone et votre numéro de registre national. Si vous avez cliqué rapidement sur « accepter » sans savoir ce que vous partagiez, vous pouvez consulter la politique de confidentialité d’itsme ici.

Si vous liez itsme à votre compte bancaire, ces données d’identité sont également partagées avec votre banque. itsme promet explicitement de ne pas partager plus de données que nécessaire, et uniquement avec votre consentement. Vos données ne sont pas non plus utilisées à des fins publicitaires ou commerciales, comme le stipule littéralement la déclaration de confidentialité.

itsme ne peut d’ailleurs pas mentir à ce sujet. En tant que fournisseur européen d’identification électronique, elle est soumise à diverses réglementations européennes, telles que eIDAS, DSP2 et le RGPD. En vertu de ces directives légales, elle peut conserver vos données pour une durée maximale de dix ans.

Où sont stockées ces données ?

C’est la question cruciale en matière de souveraineté. Nous l’avons posée directement à itsme, qui nous a répondu que son infrastructure tourne « principalement sur Azure ». Ce n’est pas un secret : en cherchant un peu, on trouve des informations techniques sur une configuration utilisant Azure B2C, un outil cloud de gestion des identités pour applications mobiles, et itsme est également présente sur l’Azure Marketplace.

Itsme explique que le choix de Microsoft a été fait sur la base d’une analyse technique et juridique approfondie. La « vision holistique de Microsoft en matière de sécurité, de confiance et de traitement des données au sein de l’UE » a fait la différence. La société belge Codit, une filiale de Proximus NXT, était le partenaire Microsoft de Belgian Mobile ID. Itsme indique dans une réponse à cet article que cette collaboration a pris fin en 2023 et que les connaissances sont désormais internalisées.

Un blog technique d’AWS pourrait laisser croire qu’itsme utilise également la division cloud d’Amazon. C’est l’interprétation faite par ElioVP, une entreprise belge de services HPC, qui y a vu une raison suffisante pour se passer d’itsme. Ce que dément itsme : le blog ne traite que d’une possibilité d’intégration avec Amazon Cognito, la technologie d’authentification d’AWS.

Pour plus de clarté : AWS n’est pas un partenaire cloud d’itsme. L’infrastructure ne tourne pas dans le cloud AWS, et vos données itsme n’y sont donc pas stockées. Cela ne change toutefois rien au fait qu’avec Microsoft, itsme a choisi un fournisseur de cloud non européen.

Est-ce un problème ?

Tout dépend du point de vue. Pour l’utilisateur moyen, cela importe peu. Microsoft investit dans des centres de données européens et dispose depuis l’année dernière d’une région cloud en Belgique, bien qu’itsme ne précise pas quelle région Azure elle utilise. Le RGPD s’applique également à Microsoft : elle ne peut pas transférer vos données hors de l’Union européenne sans raison valable.

En tant qu’entité américaine, Microsoft est également soumise à la législation des États-Unis. Le Cloud Act américain se place au-dessus de toute loi locale ou régionale. Cette législation stipule que le gouvernement et les services de renseignement américains peuvent exiger l’accès aux données stockées dans les centres de données, même s’ils ne se trouvent pas sur le sol américain, dans le cadre d’une enquête judiciaire par exemple.

Les fournisseurs de cloud comme Microsoft soulignent qu’il s’agit avant tout d’un risque théorique et qu’ils disposent d’un arsenal de moyens techniques et juridiques pour contester de telles demandes, par ailleurs rares. Nous en avons récemment discuté en détail avec Frank Callewaert de Microsoft Benelux. Cependant, Microsoft admet elle-même qu’en fin de compte, elle ne peut garantir une souveraineté totale.

itsme ne voit pas cela comme une concession sur la souveraineté. Elle a déclaré à notre rédaction que Microsoft ne peut pas accéder aux données personnelles. « Les véritables questions de conformité portent sur l’architecture, pas sur l’infrastructure », affirme-t-elle dans un communiqué. Cela n’élimine toutefois pas totalement le risque théorique lié au Cloud Act.

Le Cloud and AI Development Act de l’Union européenne demande aux gouvernements et aux secteurs sensibles d’envisager tous les risques juridiques lors du choix d’un fournisseur de cloud. Bien que ce ne soit pas explicitement formulé, il s’agit en réalité d’un plaidoyer contre les fournisseurs non européens.

Nouveaux challengers

Pendant longtemps, il n’existait aucune alternative crédible à itsme. L’application détenait un monopole sur le marché belge, en partie favorisé par l’État. Ce même État a soudainement présenté l’année dernière sa propre application MyGov comme un challenger pour itsme. Smals, partenaire informatique fidèle, assure la liaison avec les services et documents gouvernementaux en arrière-plan de l’application, mais la gestion et le volet authentification relèvent entièrement de la responsabilité du SPF BOSA.

La différence avec itsme est que MyGov conserve les données localement sur votre téléphone et ne les envoie pas vers une base de données centrale gérée par l’État et/ou ses partenaires. L’État belge est un fervent utilisateur des technologies Microsoft, bien qu’il n’y ait aucun lien avéré entre Microsoft et l’application. Smals a quant à lui récemment annoncé une collaboration plus étroite avec Google Cloud.

En 2026, un troisième concurrent est apparu : Smart-ID. Cette application d’origine estonienne est officiellement disponible en Belgique depuis mars, après des années de lutte. Si Smart-ID n’est pas belge, elle joue explicitement la carte de la souveraineté. Elle gère entièrement sa propre infrastructure sur le sol européen et est totalement indépendante des grands fournisseurs de cloud. Reste à voir si cette promesse saura convaincre le public belge.


Dans une version précédente de cet article, il était indiqué qu’un compte Itsme est lié au numéro de téléphone et à la carte SIM, ce qui pourrait créer un pont entre la couche applicative et la couche réseau. L’ambition de réaliser cette liaison SIM a certes été exprimée, mais Itsme souligne qu’elle n’a pas été concrétisée.