Sept millions de Belges l’utilisent: comment l’appli itsme s’est rendue incontournable (enquête)

En moins de cinq ans, l’application itsme imposait son règne écrasant dans le domaine de l’identification numérique en Belgique. A présent, elle vient de passer le cap des sept millions de Belges inscrits. Une hégémonie qui ne semble plus vraiment problématique pour les pouvoirs publics.

Sept millions d’utilisateurs belges en sept ans d’existence. Le compte est rond, et dans le vert pour itsme. La société Belgian Mobile ID, à l’origine de l’incontournable application, vient d’annoncer un bénéfice record d’1,6 million d’euros en 2023. En Belgique, plus de 80 % de la population adulte active âgée de 16 ans dispose désormais d’un compte itsme. «Et ce chiffre continue d’augmenter de 30.000 à 40.000 nouveaux utilisateurs chaque mois, non seulement en Belgique mais aussi à l’étranger, se réjouit la société, dans un communiqué publié ce 19 mars. L’appli prend déjà en charge dix nationalités, et prévoit de poursuivre son développement en Europe au cours de l’année à venir.»

« Les acteurs bancaires et télécoms fédérés autour d’itsme permettent de couvrir une bonne partie du marché. »

Fondée à l’origine par BNP Paribas Fortis et Proximus en 2013, Belgian Mobile ID fut bien vite rejointe par KBC, ING et Belfius (en 2014), puis par Telenet et Orange (en 2016). En juin 2021, l’Etat fédéral est également monté à bord, par l’intermédiaire de la Société fédérale de participations et d’investissement (SFPI), qui détient désormais 20% des parts.

En moyenne, les utilisateurs d’itsme effectuent au total un million d’actions d’identification par jour. Le nombre total d’actions s’élève à près de 370 millions, soit une croissance de 17 % par rapport à 2022, précise encore la société. A présent, l’application s’est aussi positionnée sur le marché de la signature numérique de documents (1,5 million de signatures en 2023).

Après la carte d’identité numérique (eID), adoptée dès 2002, l’essor d’itsme a contribué à faire de la Belgique une pionnière européenne dans ce domaine. Depuis 2018, itsme est d’ailleurs reconnue comme l’une des solutions garantissant le niveau de sécurité le plus élevé dans l’Union européenne, tel qu’énoncé dans le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS). «Itsme a répondu à ce besoin à un moment où les services de l’Etat ne l’avaient pas encore envisagé et où les particuliers, eux, étaient demandeurs d’une solution plus flexible que la carte d’identité électronique», expose Axel Legay, professeur en cybersécurité à l’UCLouvain.

Itsme est basée sur le principe de l’authentification multifacteur (MFA), qui consiste à confirmer l’identité numérique d’une personne en combinant au moins deux preuves. Tout nouvel utilisateur doit valider la création de son compte avec sa carte d’identité (et son code pin) ou sa carte de banque (et son code secret). A chaque manipulation, ce n’est que par le biais de son code secret itsme ou de son empreinte digitale ou faciale qu’il peut refuser ou accepter, sur son smartphone, l’opération souhaitée: accéder à l’une ou l’autre plateforme de l’administration (MyMinFin, MyPension, MaSanté…), valider une transaction bancaire depuis l’appli des banques actionnaires, consulter sa fiche de paie, ou encore signer un document électronique.

L’échec du paiement mobile

C’est au départ d’un échec qu’itsme a bâti sa réussite. En 2013, BNP Paribas Fortis et Belgacom (aujourd’hui Proximus) s’associent en vue de créer une application de paiement mobile pour tous. Elles constituent la société Belgian Mobile Wallet, rapidement rejointe par les acteurs cités plus hauts. Fin 2014, le partenariat avec MasterPass permet d’aboutir au lancement officiel de l’appli, baptisée Sixdots. Mais l’initiative fait long feu: avant mi-2015, le conseil d’administration décide de recentrer les activités sur l’élaboration de «services d’identité mobile», alors que les comptes affichent une perte reportée de près de onze millions d’euros. «Je pense qu’à l’époque, le marché n’était pas prêt pour une solution de paiement mobile, glisse un ancien collaborateur. Par ailleurs, le partenaire technique chargé de concevoir l’application n’était pas à la hauteur.»

«Il n’est pas normal que des autorités soient à ce point dépendantes d’une entreprise privée pour des services aussi cruciaux que ceux liés à l’identité numérique.»

Aux oubliettes, Sixdots. Belgian Mobile Wallet devient Belgian Mobile ID en 2017. C’est ainsi qu’itsme voit le jour. Cette fois, le projet s’avère fructueux, grâce à l’addition de plusieurs éléments décisifs. Le casting, tout d’abord: «Les acteurs bancaires et télécoms fédérés autour d’itsme permettent de couvrir une bonne partie du marché, souligne Stephanie De Bruyne, la CEO de Belgian Mobile ID, lors d’une interview au Vif, en 2022. Il y avait aussi des intérêts partagés. Les banques géraient déjà des données liées à l’identité des gens. Quant aux opérateurs télécoms, eux aussi pouvaient apporter des garanties.»

Peu de concurrents auraient pu se targuer de disposer d’une telle audience, indispensable pour une adoption rapide et sécurisée de l’application. Itsme semble donc sur un boulevard. En choisissant, en outre, un partenaire externe (la société Approach) spécialisé dans la cybersécurité, itsme assoit d’emblée sa crédibilité auprès des experts. «Elle n’a vraiment pas lésiné sur les budgets, confirme un ex-consultant. Et elle a bien raison, puisque la moindre faille entraînerait une rupture de confiance, et donc la fin de l’application.»

Deuxième étape majeure: l’adoubement d’itsme par l’Etat fédéral. Dès 2018, celui-ci la reconnaît comme un moyen d’authentification pour accéder à différents portails fédéraux, au même titre que la carte d’identité électronique. C’est ainsi que les citoyens découvrent une alternative intuitive au lecteur de carte d’identité pour accéder à leur déclaration d’impôt en ligne. La simplicité de l’interface itsme constitue un atout majeur: une fois le compte créé, l’interaction ne se fait qu’en trois clics. Le premier pour ouvrir l’application, le second pour valider l’opération demandée, le troisième pour encoder le code secret. «Que ce soit pour s’identifier, s’authentifier, confirmer des transactions ou signer des documents électroniquement, nous voulions que la procédure soit identique», précise Stephanie De Bruyne.

Le boost de l’application CovidSafe

Résultat: itsme conquiert le million d’utilisateurs dès 2019, puis 2,6 l’année suivante. Mais c’est en 2021 qu’elle franchit un nouveau palier. Dans le cadre de la crise sanitaire, plus de 6 millions de Belges choisissent itsme pour se connecter à l’application CovidSafe. Entre 2020 et 2021, le nombre de transactions annuelles passe de 90 à 233 millions, ce qui pose des défis techniques et financiers. Malgré les injections de capital, notamment les 14,5 millions de la SFPI, la perte reportée d’itsme croît encore de 3,4 millions fin 2021. Mais la société semblait sur la bonne voie pour atteindre le point d’équilibre avec la reprise économique. Pari payant dès 2022, où l’appli devient rentable pour la première fois de son existence.

Avant cela, sa trajectoire financière ne fut donc pas un long fleuve tranquille. En ce qui concerne les usages liés au système d’authentification fédéral (dit Fas), soit ceux donnant accès à des portails tels que MyMinFin ou MyPension, l’Etat aurait versé 350.000 euros à itsme en 2021. Un montant sous contrôle, puisque largement inférieur au plafond annuel de 450.000 euros fixé dans un arrêté royal. Pour l’appli CovidSafe, en revanche, ce fut une autre histoire. Comme celle-ci n’avait pas été conçue par ce schéma Fas/itsme, l’arrêté royal n’était visiblement pas applicable. Ainsi, indiquaient certaines sources au Vif en 2022, le montant total facturé par itsme pour les dispositifs Fas et CovidSafe s’élevait à environ 800.000 euros pour 2021, une année marquée par le caractère exceptionnel du pass sanitaire. D’où cette sortie de Frank Robben, l’administrateur général de la Banque Carrefour de la sécurité sociale et de la plateforme eSanté, dénonçant «des coûts supplémentaires disproportionnés», dans une interview au Nieuwsblad, en juin 2022.

Les interrogations sur l’hégémonie d’itsme ne se sont pas limitées à cela. «Il n’est pas normal que des autorités soient à ce point dépendantes d’une entreprise privée pour des services aussi cruciaux que ceux liés à l’identité numérique», déclarait, toujours en juin 2022, le secrétaire d’Etat à la Digitalisation, Mathieu Michel (MR). Les critiques ont rapidement fusé: les autorités torpilleraient-elles itsme, alors qu’elles sont partenaires de longue date et actionnaires par la SFPI? Pourquoi créer une alternative à une solution massivement adoptée par les citoyens?

Le wallet numérique de l’Etat avec itsme?

Des adeptes d’itsme y ont vu une césure dommageable entre des acteurs publics et privés qui, jusqu’ici, entretenaient une forte collaboration. Mais pour Axel Legay, les détracteurs de Mathieu Michel lui ont fait un mauvais procès : «La directive européenne NIS 2 demande à tous les Etats de protéger et de garantir la continuité de leurs services essentiels et stratégiques, dont l’identité numérique. Si le gouvernement veut avoir davantage son mot à dire par rapport à itsme, c’est parce que l’Europe le lui impose. Le secrétaire d’Etat est probablement le seul qui se soit posé la question, et je suis surpris qu’on l’attaque sur ce terrain-là.» Une réglementation européenne impose en effet aux Etats-membres de l’UE de mettre à disposition de leurs citoyens un «Digital Identity Wallet», ou portefeuille numérique.

En janvier 2024, trente citoyens belges ont pu tester l’application fédérale, baptisée Mygov.be. Elle devrait voir le jour cette année. Or, l’intégration de la nouvelle carte d’identité virtuelle est aussi bel et bien prévue dans l’application itsme. Une preuve supplémentaire qu’entre l’Etat et la société privée, les quelques incompréhensions semblent relever du passé.