eID: la loi est imparfaite, mais vaut-il la peine d’attendre?
L’identité électronique (e-ID) est considérée comme la clé d’accès au monde numérique et aux services en ligne fournis par les administrations publiques et toute une série d’acteurs privés. Mais le modèle proposé par la Suisse est loin de la perfection.
Sur internet, nous possédons tous de nombreuses identités, identifiants ou «logins» que nous utilisons pour accéder aux sites de commerce ou de banque en ligne, de poste électronique ou de réseaux sociaux, pour ne citer que quelques exemples. Mais aucune loi ne protège ni ne vérifie ces identifiants. Les partisans de la technologie e-ID soutiennent qu’une identité numérique contrôlée et encadrée par la loi apporterait un peu d’ordre dans les dédales du web.
«L’identité numérique électronique est fondamentale pour toutes les questions pratiques et pour les interactions entre la population et les gouvernements», affirme Jean-Henry Morin, professeur de systèmes d’information à l’Université de Genève. Le paiement des impôts ou la santé en ligne, par exemple, pourraient ainsi être accessibles via une e-ID.
Le professeur Morin n’est pas le seul à croire en la nécessité d’une carte d’identité électronique. De nombreux autres experts de la numérisation en Suisse et en Europe considèrent que son introduction est une priorité et qu’elle contribuerait grandement à la généralisation de l’administration publique en ligne.
L’Union européenne est à l’avant-garde dans ce domaine. En 2014, elle a adopté un RèglementLien externe «sur l’identification électronique et les services de confiance pour les transactions électroniques», avec l’objectif de renforcer la confiance des utilisateurs, ainsi que la sécurité et la coordination entre les services en ligne. Actuellement, quasiment tous les pays européens offrent des solutions d’identité numérique.
«L’identité numérique électronique est fondamentale pour toutes les questions pratiques et pour les interactions entre la population et les gouvernements»
Jean-Henry Morin
En Suisse, par contre, il n’existe toujours pas d’e-ID certifiée et contrôlée par l’État. Les tentatives de SwissSign, qui a lancé en 2010 SuisseID, se sont soldées par un flop. Mais le groupe, qui est une entreprise publique-privée regroupant des firmes comme La Poste, les Chemin de fer fédéraux et les principales banques et assurances du pays, a toujours pour objectif d’arriver à fournir une identité électronique officiellement certifiée par la Suisse. La nouvelle Loi fédéraleLien externe sur les services d’identification électronique de 2018, sur laquelle les Suisses se prononcent par référendum le 7 mars, confie effectivement au secteur privé la tâche d’émettre les e-IDs et de fonctionner comme «fournisseurs d’identité» (identity providers ou IdP). Un comitéLien externe issu de la société civile conteste cette gestion privée et ne veut pas d’une e-ID qui ne soit pas délivrée par l’État.
Si la loi devait être approuvée, elle donnerait à des entreprises comme SwissSign l’occasion en or qu’elles attendent: un mandat officiel des autorités fédérales pour gérer l’ensemble du système d’e-ID du pays, avec les données personnelles des utilisateurs. L’État, lui, agirait comme simple fournisseur de données.
Occasion perdue?
Certains pensent qu’en refusant cette loi, la Suisse raterait une occasion qui constitue un premier pas vers une réglementation des services numériques.
Matthias Stürmer, responsable du Centre de recherche pour la durabilité numérique et professeur à l’Université de Berne, souligne que même Google et Facebook aspirent à agir comme fournisseurs d’identité informels, ce qu’ils font d’ailleurs déjà en partie, en nous fournissant un identifiant que nous utilisons pour accéder à de nombreux autres services sur le web.
«Mais sans règles, ils pourront faire ce qu’ils veulent avec notre identité, en utilisant les métadonnées pour des publicités et autres services commerciaux», affirme Matthias Stürmer. L’expert estime qu’il est essentiel que l’industrie accepte et soutienne un projet d’e-ID, parce que sa valeur ajoutée pour l’utilisateur final passera par les services que l’économie décidera de fournir.
Gian-Reto Grond, responsable de la Section santé numérique à l’Office fédéral de la santé publique (OFSP), pense aussi que la nouvelle loi apportera des améliorations significatives. Dans le domaine de la santé en ligne, elle permettrait l’accès au dossier médical informatisé par le biais d’une e-ID contrôlée et approuvée par le gouvernement.
«Dans le cas des données médicales, le niveau de sécurité requis est très élevé. Il est donc essentiel d’avoir une e-ID vérifiée et protégée par la loi», soutient Gian-Reto Grond, qui pense que la loi en votation pourrait déboucher sur un nouvel écosystème de fonctionnalités médicales en plus du dossier médical électronique – par exemple, des applications mobiles. En matière de données sanitaires numérisées, la Suisse est en retard sur de nombreux autres pays, comme nous le rappelions récemment.
Kevin Andermatt, de l’Université des sciences appliquées de Zurich, a participé à l’évaluation du système d’e-ID introduit dans le canton de Schaffhouse. Il note que pratiquement aucun gouvernement n’a les capacités informatiques et les ressources pour développer seul une e-ID de qualité dans les délais impartis. C’est pourquoi ils le font généralement avec une société privée ou achètent un produit fini par un appel d’offres public.
Selon le chercheur, la collaboration entre le public et le privé est généralement très prometteuse. «Les entreprises privées ont le savoir-faire spécifique, la technologie de pointe nécessaire, et elles sont plus proches du marché et des clients», affirme-t-il. Toutefois, Kevin Andermatt estime que pour une affaire qui dépend tellement de la confiance des utilisateurs, la Suisse se serait probablement épargné un référendum si le gouvernement avait aussi proposé une solution d’e-ID complètement étatique.
«Maintenant, si la loi est refusée dans les urnes, nous devrons attendre de nombreuses années avant d’avoir une autre solution», prévient-il.
«La solution proposée par la loi n’est peut-être pas parfaite, mais c’est une approche pragmatique, et fortement réglementée, un exemple de partenariat public-privé qui fonctionnera»
Matthias Stürmer
L’e-ID à tout prix?
Malgré l’écart qui sépare la Suisse des autres pays européens en matière d’identification électronique, Jean-Henry Morin, de l’Université de Genève, est convaincu qu’il ne faut pas rattraper le temps perdu en développant à tout prix une solution à la hâte. Il fait partie des farouches opposants à la loi concoctée par le Parlement suisse soumise au vote le 7 mars, et espère que le référendum la fera capoter.
«L’e-ID devrait rester en mains publiques et ne pas être gérée par un obscur consortium d’entreprises privées comme des banques et des assurances, ce qui la réduirait à une question de business», dit-il. «Il vaut mieux attendre et s’engager dans quelque chose de responsable et de durable, qui puisse gagner la confiance des gens.»
Selon Jean-Henry Morin, il n’est pas trop tard pour rattraper le retard, et s’inspirer des exemples de pointe européens, comme celui de l’Estonie, qui a instauré une e-ID entièrement publique, considérée comme à l’avant-garde et très sure. Pour le professeur, la loi suisse sur l’e-ID est déjà dépassée et n’offre pas de garanties de sécurité. Ainsi, le texte prévoit par exemple que les données des utilisateurs restent stockées six mois sur les serveurs des fournisseurs. Même si l’usage abusif de ces données est interdit, cet intervalle de temps rend le système moins orienté sur la protection de la sphère privée et plus vulnérable à un usage abusif des données, des fuites d’informations et des cyberattaques.
«Cette loi n’est pas avancée, tant en termes de principes de protection des données que de technologie, ni même d’interopérabilité avec les autres pays», affirme Jean-Henry Morin. «Si elle passe, la Suisse sera encore plus en retard qu’avant». Selon le professeur, il vaudrait mieux enterrer cette loi et réunir un groupe de brillants scientifiques et sociologues, dont la Suisse regorge, pour réfléchir à un système innovant et avant-gardiste, qui place la personne et la protection de la sphère privée au centre.
«L’eID devrait rester en mains publiques et ne pas être gérée par un obscur consortium d’entreprises privées comme des banques et des assurances, ce qui la réduirait à une question de business»
Jean-Henry Morin
Un système qui prend l’eau
De leur côté, les hackers «du peuple» du Chaos Computer Club Suisse (CCC-CHLien externe), qui travaillent au service de la société civile, mettent également en garde contre le système d’e-ID proposé par la loi, qu’ils considèrent comme vulnérable.
«Nous n’aimons pas cette loi. Elle est mauvaise du point de vue de l’architecture du système, qui est centralisée, et donc très exposée aux cyberattaques. Nous y voyons plus de risques pour la sécurité et la sphère privée que d’avantages», affirme Hernâni Marques, sociologue, neuro-informaticien et membre du conseil du CCC-CH. Dans une architecture centralisée, avec un login unique, les attaques sont aussi centralisées. Cela signifie qu’une seule menace pourrait compromettre et bloquer tout le système, explique Hernâni Marques. Les utilisateurs sont ainsi exposés à un plus grand danger de perte, de violation ou de vol de données.
Florian Forster, patron de l’entreprise de services informatiques et de cloud CAOS, donne un exemple concret: «Pensons à la signature électronique. Si quelqu’un corrompt mon identité numérique, il pourrait avoir accès à ma signature électronique et s’en servir pour signer des contrats juridiquement contraignants, que je n’ai jamais demandés. Et pour un utilisateur lambda, il serait bien difficile de prouver le contraire».
Tant Hernâni Marques que Florian Forster préconisent les solutions décentralisées, beaucoup plus sûres et bien établies, comme la carte à puce, les systèmes USB ou les applications avec les données stockées sur le téléphone portable. Selon le niveau de sécurité requis, ces solutions offrent plus de garanties que le système centralisé prévu par la loi, tant du point de vue informatique que de celui de la protection des données et de la vérification de l’identité réelle de l’utilisateur.
«Nous n’aimons pas cette loi. Elle est mauvaise du point de vue de l’architecture du système, qui est centralisée, et donc très exposée aux cyberattaques»
Hernâni Marques
Le pragmatisme comme solution?
Alors, si le système présente autant de défauts, pourquoi donc la Suisse l’a-t-elle choisi? Florian Forster pense que le lobbying des fournisseurs d’identité a porté ses fruits et influencé l’adoption d’une solution qui peut être facilement intégrée à n’importe quel service sur internet en utilisant des protocoles établis, mais moins respectueux de la sphère privée. En outre, l’absence de réelles compétences au sein du Parlement durant les travaux sur la loi n’a pas aidé, pas plus que le manque d’un dialogue ouvert avec des spécialistes reconnus du domaine, affirme le patron de CAOS.
«Certes, la solution proposée par la loi n’est peut-être pas parfaite, mais c’est une approche pragmatique et fortement réglementée, un exemple de partenariat public-privé qui fonctionnera», tempère de son côté Matthias Stürmer, de l’Université de Berne.
Malgré les faiblesses, lui et d’autres partisans de la loi soutiennent que la Suisse ne peut pas se permettre d’attendre la solution parfaite. Le web devient de plus en plus complexe et vulnérable et, pour eux, c’est le moment d’agir.
«Nous sommes dans une course et nous ne pouvons pas nous permettre d’attendre encore deux ou trois ans pour avoir une nouvelle loi», avertit Matthias Stürmer. «Ce marché est trop compétitif, et l’e-ID suisse est meilleure que les plateformes d’identification des grandes firmes technologiques, car elle empêche l’utilisation des données à des fins commerciales.»
(Traduction de l’italien: Marc-André Miserez)
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.