Les Suisses votent ce 28 septembre sur le nouveau projet d’identité électronique (e-ID) du Conseil fédéral. C’est un sujet que je suis de près depuis ses balbutiements. Pour rappel, les autorités avaient proposé une première version d’une e-ID en mars 2021, balayée par près de 65% des votants. Celle-ci prévoyait de confier la gestion de l’identité électronique au secteur privé.
La Confédération a depuis revu sa copie en profondeur. Il n’est plus question de s’appuyer sur des acteurs privés. L’émission de l’identité électronique sera la prérogative des autorités, tout comme la gestion de l’infrastructure technique sur laquelle elle repose. Si ce projet est bien plus solide que son aîné, je suis malgré tout arrivé à la conclusion qu’il doit être refusé. Voici ici quelques réflexions autour des points qui me semblent les plus importants.
Une démarche ouverte et transparente
Peu après le refus du premier projet d’identité électronique, la Confédération a fait le choix de remettre l’ouvrage sur le métier, et de le faire à travers une large consultation présentant les différentes options envisagées. Les retours ont été pris en compte. L’Office fédéral de la justice a par la suite régulièrement publié des points de situation sur le développement de l’infrastructure technique, tout en partageant la quasi-intégralité de son code source. De nombreuses communautés ont pu participer à l’évaluation de ces travaux et partager leurs impressions. Sur ce point, il faut reconnaître que la Confédération s’est montrée exemplaire. Les défenseurs du projet ne manquent d’ailleurs pas de le souligner régulièrement. De mon point de vue, le Conseil fédéral doit désormais s’appuyer sur cette expérience à chaque fois qu’il entend développer un projet de numérisation. Cela doit être la norme et non l’exception. Et le fait que cette démarche mérite d’être saluée ne suffit pas à justifier l’acceptation de l’identité électronique dans son ensemble.
Bien plus qu’une identité électronique
Abordons maintenant les points qui fâchent. Le projet est essentiellement présenté sous l’angle de l’identité électronique, comme s’il était seulement question de numériser la carte d’identité traditionnelle. C’est pourtant bien plus que ça. La Police fédérale (Fedpol) sera chargée d’émettre un certificat officiel qui atteste de l’identité de son détenteur. Ce certificat sera hébergé sur une application mobile. En cas de perte de l’appareil, le certificat ne pourra pas être récupéré. Il faudra avertir les autorités pour qu’elles le révoquent et en émettent un nouveau. Cette approche permet de garantir un plus haut niveau de sécurité, mais a aussi le désavantage de limiter les appareils compatibles, puisque ceux-ci doivent être équipés de composants matériels spécifiques pour pouvoir conserver localement de tels certificats numériques (qui prennent la forme de clés cryptographiques).
Bien que l’identité électronique soit au cœur du projet, les autorités et les entreprises pourront générer d’autres types de certificats numériques. Ce sera par exemple le cas du permis de conduire. En fait, cela va ouvrir la voie à la création de multiples moyens de preuves numériques, ce qui devrait logiquement augmenter encore notre dépendance aux smartphones. Par ailleurs, des entreprises comme Migros ont déjà communiqué leur intention de permettre à leurs clients d’utiliser l’e-ID comme moyen pour se connecter à leurs services numériques. Ce n’est pas anodin puisque cela fait de facto de l’e-ID un moyen d’authentification, et pas seulement d’identification.
Vers la généralisation de la preuve d’identité
La tentation d’exiger l’e-ID pour tout et n’importe quoi sera grande. Prenons l’exemple des services financiers, soumis à une contrainte réglementaire toujours plus forte. Ces acteurs sont encouragés à tout documenter, de manière à limiter les transactions frauduleuses, le blanchiment d’argent et le financement du terrorisme. Pour eux, l’e-ID représentera un moyen simple de couvrir leurs arrières. Je ne vois pas pourquoi les banques n’en profiteraient pas pour lier leurs services numériques à cette nouvelle identité électronique. Elles pourront elles-mêmes émettre des certificats qui seront hébergés sur l’application développée par la Confédération – baptisée Swiyu, et que vous pouvez déjà tester.
Dans la vie de tous les jours, je ne sors pas souvent ma carte d’identité physique. Cela se produit essentiellement lorsque je me présente auprès d’une administration – et ça n’est pas systématique – ou lorsque je veux conclure un contrat. On ne m’a pas demandé de vérifier mon âge dans un commerce pour acheter de l’alcool depuis plus de dix ans – j’ai 35 ans. C’est pourtant un exemple souvent brandi par les défenseurs de l’e-ID pour justifier de l’utilité de ce sésame numérique…
L’e-ID va conduire à une généralisation de son utilisation. Ceux qui le nient sont naïfs ou de mauvaise foi. Ce changement n’est pas anodin, surtout dans un pays comme la Suisse qui base encore une grande partie de sa relation entre les citoyens et les autorités sur la confiance. Devoir tout prouver à chaque instant est une évolution inquiétante.
Facultative, vraiment?
Le Conseil fédéral et les parlementaires fédéraux affirment que l’e-ID demeurera facultative. La loi prévoit en effet à l’article 25 que «Quiconque accepte l’e‑ID ou une partie de celle-ci comme moyen de preuve doit également accepter l’un des documents visés à l’art. 14 si le titulaire se présente en personne». Cette formulation demeure malgré tout assez vague et conditionnelle. «Si le titulaire se présente en personne» limite déjà le champ d’application. L’e-ID deviendra de facto le moyen de preuve minimal pour toute opération réalisée à distance. Que se passera-t-il pour les personnes qui n’ont pas envie, pour des raisons qui les regardent, de recourir à l’e-ID, ou qui n’ont pas un appareil compatible?
Par ailleurs, cette contrainte s’appliquera en priorité aux administrations publiques. La Confédération ne pourra pas exiger des entreprises privées qu’elles s’y tiennent, puisqu’elles pourront elles-mêmes émettre des certificats numériques – par exemple pour les cartes de fidélité?
Dans les faits, le Conseil fédéral surestime sa capacité à influencer la société. C’est elle qui déterminera si l’e-ID devient indispensable. Aucune loi ne prescrit à un citoyen de détenir un smartphone, mais qui peut aujourd’hui s’en passer et mener une vie sociale et professionnelle sans obstacle particulier? Cela sans compter tous ces parlementaires pour qui l’e-ID fera office de moyen sur lequel construire de nouveaux projets. Il y a fort à parier que l’e-ID servira à autoriser la récolte numérique de signatures, qui pourrait même à terme s’imposer pour des motifs d’efficacité, de rationalisation et de coût.
Un contrôle des données théorique
Le Conseil fédéral et les défenseurs de l’e-ID promettent qu’elle permettra aux utilisateurs de rester en contrôle de leurs données, parce qu’ils pourront sélectionner lesquelles ils partageront. C’est partiellement exact. Oui, les autorités ont opté pour une approche de minimisation des données. Ainsi, il sera possible pour les utilisateurs de ne pas systématiquement partager toutes les informations relatives à leur identité (ou à d’autres certificats numériques) lorsqu’ils présenteront leur application. Par exemple, si un jeune de 18 ans doit prouver son âge pour acheter un paquet de cigarette, il devrait en principe se limiter à partager sa date de naissance et sa photo. Le commerçant n’a pas besoin de connaître son prénom, ou d’autres informations pour mener à bien ce contrôle.
Ceci vaut pour autant que la partie qui procède à cette vérification se limite à exiger le strict minimum. Si l’utilisateur refuse de partager des données supplémentaires, le contrôle technique échouera. En ligne, il ne sera donc pas possible de finaliser une transaction. Le Parlement a prévu un système de liste noire pour les vérificateurs qui exigeraient plus de données qu’il ne leur en faut. Si une entreprise ou une organisation venait à se montrer trop gourmande, elle pourrait être dénoncée par les utilisateurs. Il faudrait toutefois que les autres utilisateurs téléchargent la liste pour savoir que tel ou tel vérificateur n’est pas digne de confiance.
Car oui, n’importe qui pourra endosser le rôle de vérificateur. Contrairement à l’Union européenne, qui a fait le choix pour son projet d’identité électronique de valider les vérificateurs, la Confédération a opté pour une approche plus libérale. L’e-ID et autres certificats numériques pourront donc s’imposer d’autant plus facilement que la partie qui veut réaliser la vérification n’a pas besoin d’autorisation préalable.
Dans une seconde version de l’application, il devrait être possible de fournir des preuves à divulgation nulle de connaissance (zero knowledge proof). Cette approche fondée sur les mathématiques permet de prouver des caractéristiques sans les dévoiler, comme l’âge, garantissant ainsi que la personne a plus que 18 ans par exemple. C’est un bon point pour la minimisation des données, mais ça ne règle pas la question de la confiance accordée à la tierce partie, qui pourra toujours exiger des informations qui elles ne peuvent pas être protégées par de tels mécanismes cryptographiques.
Toujours sur les données, il faut rester conscient que leur contrôle dépend aussi du système d’exploitation. En principe, iOS et Android ne sont pas censés avoir accès à ces informations, mais leurs appareils doivent bien les traiter pour les afficher. Il y a donc sur ce point aussi une délégation de la confiance à des acteurs dont il est difficile de vérifier l’honnêteté. Bon, c’est le monde dans lequel nous vivons et les autorités pouvaient difficilement s’affranchir totalement de cette contingence, je n’en fais donc pas un élément rédhibitoire. Cela soulève toutefois une question essentielle: compte tenu de cette dépendance à des tiers très puissants, est-il vraiment opportun de créer une telle infrastructure qui s’appuie en partie sur leurs appareils, sachant les dérives possibles?
Conclusion
Cette question me permet d’aborder la conclusion. Le Conseil fédéral veut instaurer une e-ID alors même qu’il n’a toujours pas abordé frontalement les enjeux de la numérisation et les questions qu’elle soulève en matière de droits fondamentaux. Je ne suis pas naïf, j’ai conscience qu’une part toujours plus importante de nos interactions et de notre économie repose sur le numérique. Le problème, c’est que nous vivons dans un monde où la collecte et l’exploitation des données à des fins d’influence est la norme, et leur limitation l’exception. Ce pas supplémentaire vers une numérisation encore plus grande de nos interactions va donc donner, que nous le voulions ou non, davantage d’informations à des acteurs déjà très puissants. Je défends pour ma part la création d’un droit à l’intégrité numérique, qui aurait pour conséquence de renverser le paradigme actuel, permettant de faire de la collecte et de l’exploitation des données l’exception, en mettant la priorité sur les intérêts de l’individu plutôt que sur celui des administrations et des entreprises. Genève et Neuchâtel se sont dotés d’un tel droit. C’est encore trop tôt pour en mesurer les effets, mais cela provoque en tout cas des discussions sur la manière de le faire respecter. Je ne suis pas contre l’e-ID si le projet est bien ficelé et qu’il s’intègre dans un environnement réglementaire garantit la protection des droits fondamentaux des individus. Ce n’est pas le cas et c’est pour toutes ces raisons que je refuserai cette nouvelle version de l’e-ID.
Un autre point de vue serait de le comparer à la situation actuelle (pas à un idéal qui pourrait venir je ne sais pas quand):
– N’est-ce pas mieux que d’envoyer par mail une photo de la carte d’identité à n’importe qui, pour qu’il en fasse n’importe quoi sans ma connaissance?
– N’est-ce pas mieux pour vérifier l’âge d’un enfant qui visite un site d’adultes, plutôt que de cliquer simplement « j’ai plus de 18 ans »?
– N’est-ce pas mieux de donner ces tâches à notre état, relativement bien réglementé, démocratiquement, avant que Google ou Facebook ne commencent à le faire à sa place?
– Quant à la confiance aux systèmes d’exploitation (Android, Apple, voire Microsoft): Si on craint que les systèmes d’exploitations nous espionnent ou nous contrôlent, alors il faut laisser tomber ces systèmes, pas le eID. Alors ni téléphones, ni ordinateurs, ni tout ce qu’on fait dessus (communications, mails, opérations bancaires etc.). L’état, les hôpitaux, les CFF etc. devraient les abandonner aussi. Il ne faut pas mélanger les choses. Le eID est un de plusieurs milliers d’aspects critiques que les OS traitent dans notre vie quotidienne. Ce n’est pas en refusant l’eID qu’on va défier l’espionnage potentiel des OS. Il y a d’autre techniques pour ça.