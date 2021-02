Le peuple suisse devrait refuser la nouvelle loi sur l’identité électronique le 7 mars prochain, estime le journaliste spécialisé dans les nouvelles technologies Grégoire Barbey, car donner à des entreprises privées la capacité de gérer l’e-ID représente un risque important.

Ce contenu a été publié le 19 février 2021 - 11:04

Grégoire Barbey, journaliste indépendant, Association pour la reconnaissance et la protection de la vie numérique

La Loi sur les services d’identification électronique, sur laquelle les Suisses se prononceront le 7 mars, fait partie de ces objets de votation qui peuvent avoir une réelle influence sur la vie des citoyennes et des citoyens, et qui sont paradoxalement assez peu discutés. En comparaison, la polémique sur la votation concernant la dissimulation du visage (qui vise surtout l’interdiction de la burqa) est bien plus audible, et ne concerne réellement qu’une trentaine de personnes dans ce pays. Vertige.

Les promoteurs de cette législation mal ficelée l’assurent à qui veut l’entendre: ce projet va faciliter la vie des gens. Pourquoi? Parce que grâce une collaboration entre la Confédération et des entreprises privées, il sera désormais possible de disposer d’une identité électronique (e-ID) qui sera reconnue par l’administration, permettant d’accéder à des services autrefois uniquement accessibles à travers les guichets de l’État. Ceux qui défendent cette loi l’affirment aussi volontiers: il sera possible de se connecter à d’innombrables services avec un même identifiant. C’est déjà un premier élément dans la campagne de promotion de la loi qui devrait nous choquer.

Un seul identifiant pour des services qui n’ont rien à voir entre eux, c’est un seul moyen d’accès illicite à tout ce qui nous concerne. Il suffit à une personne mal intentionnée d’obtenir ce moyen d’accès unique pour s’approprier une identité et accéder à tous les services qui lui sont rattachés. Personne ne peut garantir de risque zéro face au vol d’identifiant, voire à sa perte.

Les vols et autres fuites de données qui font la une des journaux quotidiens devraient être un exemple assez parlant contre les velléités de certaines personnalités politiques qui méconnaissent le fonctionnement du Net de tendre vers la centralisation absolue en matière d’authentification. En plus, il existe déjà des gestionnaires de mot de passe sous licence libre, faciles d’accès et très utiles, pour qui veut réellement se «faciliter la vie»…

Le Conseil fédéral justifie sa volonté de légiférer au motif que l’économie et la cyberadministration ont besoin d’identifier les utilisateurs de manière formelle. Cette affirmation est évidemment erronée dans la mesure où la nécessité de connaître l’identité d’une personne en ligne pour effectuer une transaction avec elle est plutôt rare. De surcroît, comme l’explique très bien Steve Wilson dans un billet de blog intitulé «Identity is dead» (L’identité est morte),Lien externe lorsqu’une partie à une transaction souhaite vérifier des informations sur l’autre partie, elle n’a souvent besoin que de vérifier certains attributs. L’âge est un bon exemple.

«Un seul identifiant pour des services qui n’ont rien à voir entre eux, c’est un seul moyen d’accès illicite à tout ce qui nous concerne.» End of insertion

Une approche prospective aurait également permis aux autorités de s’intéresser à d’autres réflexions sur les questions d’identité numérique. On notera par exemple tout ce qui touche aux notions d’identité souveraine (self-sovereign identity). Ou encore au développement des technologies dites de «preuve à divulgation nulle de connaissance» (zero knowledge proof).

Sans entrer dans les détails techniques, l’objectif de la preuve à divulgation nulle de connaissance est de pouvoir démontrer la véracité d’une information sans la partager. Par exemple, si quelqu’un souhaite acheter de l’alcool sur internet et se voit exiger son âge, la preuve à divulgation nulle de connaissance permettrait mathématiquement de prouver que l’âge du consommateur est égal ou supérieur au minimum légal sans pour autant dévoiler l’information exacte.

Ces technologies doivent encore gagner en maturité. Elles témoignent cependant des possibilités futures qui permettront aux individus de gérer eux-mêmes leur identité, et de dévoiler le strict minimum les concernant. L’objectif du Conseil fédéral devrait être de favoriser l’émancipation des citoyens à l’heure de la société numérique plutôt que de les enfermer dans des modèles obsolètes qui nuiront à leurs intérêts. Non seulement, le projet du gouvernement sent la naphtaline, mais le meilleur projet eût été de ne pas en avoir. Il n’y a aucune urgence à introduire un modèle d’identité électronique, lequel ensuite façonnera notre rapport aux services numériques pendant de longues années.

Puisqu’il n’y a aucune raison de se précipiter, il vaut mieux refuser cette loi et exiger que la Confédération investisse davantage d’énergie dans un projet plus ambitieux, respectueux de notre intégrité numérique et sans brader ses prérogatives à des entreprises privées qui ont l’arrogance de se décréter «proches de l’État», comme on peut le lire sur le site du consortium SwissSign qui a déjà développé sa propre solution d’identité électronique faisant à la fois office d’identifiant unique et de signature électronique.

«Donner à des entreprises privées la capacité de gérer notre identité électronique, c’est prendre le risque de voir nos vies numériques toujours plus limitées par des intérêts contraires.» End of insertion

La loi soumise au vote interdit l’utilisation des données personnelles à d’autres fins que le service lui-même et elles ne peuvent pas être communiquées à des tiers, mais comment le citoyen pourrait-il avoir confiance puisque ce sont les autorités de protection des données qui seront chargées de vérifier que les entreprises respectent bien cette interdiction? La question se pose, alors même que les moyens des autorités de protection des données en Suisse n’ont pas augmenté depuis des années, cependant que le volume de travail a lui explosé de façon exponentielle.

La Suisse ne bénéficie aujourd’hui pas d’un cadre légal suffisant pour protéger réellement les données personnelles qui nous concernent, et qui sont constitutives de notre intégrité numérique. Donner à des entreprises privées la capacité de gérer notre identité électronique, c’est prendre le risque de voir nos vies numériques toujours plus limitées par des intérêts contraires. Alors même que l’objectif d’une telle identité électronique serait avant tout de faciliter l’identification des administrés pour obtenir des services de l’État en ligne, il y a fort à parier que les entreprises exigeront systématiquement le recours à cette nouvelle identité, quand bien même cela n’est pas nécessaire ni souhaitable.

Le 7 mars prochain, la question qui nous est posée est simple: sommes-nous prêts à brader notre intégrité numérique au plus offrant? À donner la permission à des sociétés tierces, qui ne nous connaissent pas, d’administrer notre identité, de la définir, de la limiter et d’en être les pourvoyeurs? Cette loi n’est pas urgente, et l’accepter en l’état, c’est assurément donner trop de pouvoirs à des entreprises qui ne se gêneront pas de nous identifier à chaque occasion. Internet n’est pas une abstraction du monde réel, c’est le monde réel. Quand nous sortons acheter un paquet de chips, personne n’exige que nous déclinions notre identité. Il serait incompréhensible qu’il en soit autrement en ligne. Et c’est pourtant ce qui se produira si nous acceptons cette mauvaise loi.