Identité numérique suisse: certains s’inquiètent pour la sécurité des données

Contrairement à nombre d’autres pays européens, la Suisse ne fournit pas à ses citoyens de méthode de vérification certifiée pour une identité numérique, aussi nommée eID. Cet outil vise à simplifier l’usage des services en ligne au moyen d’un identifiant unique.

La question au centre du débat est celle du rôle que l’État peut et doit jouer dans une question aussi technique et personnelle.

La loiLien externe qui définit les principes pour une eID, afin d’assurer l’accès sécurisé aux services en ligne et d’effectuer des transactions électroniques, a été attaquée par une demande de référendum motivée par des préoccupations quant à la sécurité des données.

Selon le texte approuvé par le Parlement en 2019, le rôle du gouvernement se limiterait à rendre accessibles les données nécessaires. La loi laisse principalement aux entreprises privées (ainsi qu’aux autorités cantonales ou communales) le soin de délivrer les eIDs et d’agir en tant que fournisseurs d’identité.

Pour prévenir les abus, un groupe indépendant a été mis sur pied, qui sera chargé de certifier et de superviser ces entreprises privées.

Une identité numérique permet aux individus de simplifier les transactions commerciales sur internet et de faciliter les contacts avec les autorités. Mais il n’est pas obligatoire d’avoir une eID et la loi prévoit que des options techniques alternatives aux applications téléphoniques, clés USB ou cartes à puce doivent exister pour vérifier l’identité des utilisateurs en ligne.

La principale objection des opposants au texte est qu’il donne le droit à des fournisseurs d’identité privés de délivrer des eID, entraînant le risque de voir les données des usagers utilisées à d’autres fins.

Les opposants à la nouvelle loi soutiennent que l’État – et non des entreprises privées – doit être le gardien de l’eID afin de garantir à ses citoyens l’utilisation sécurisée des services en ligne, que ce soit pour des usages commerciaux ou officiels.

Selon eux, c’est une question de confiance et de crédibilité de l’État, d’autant que les citoyens pourraient utiliser l’eID pour participer à la vie politique, par exemple en votant en ligne ou en ayant recours à d’autres services gouvernementaux.

Les adversaires de la loi avertissent également du risque d’utilisation abusive des données si des entreprises privées sont autorisées à émettre des eIDs, et ceci malgré les promesses de mesures de sécurité strictes.

Les opposant se réfèrent aux sondages, qui ont montré qu’une immense majorité des personnes interrogées préfèrent voir les données de l’eID gérées par le gouvernement plutôt que par des fournisseurs privés.

De leur côté, les partisans de la loi soulignent la nécessité d’une réglementation dans un monde de plus en plus numérisé. Ils affirment que le «modèle suisse», dans lequel les privés et l’État partagent les responsabilités, a fait ses preuves par le passé.

De plus, les exemples des autres pays auraient montré que les systèmes nationaux centralisés ne sont pas adaptés.

Toujours selon les défenseurs de la nouvelle loi, les entreprises privées sont mieux qualifiées pour jouer le rôle de fournisseurs d’identité électronique, parce qu’elles sont plus innovantes et flexibles que l’État, dont le rôle classique est de fixer les règles et de superviser les activités.

Enfin, les partisans du texte soulignent que la Suisse ne peut pas se permettre d’attendre plus longtemps pour adopter un cadre légal, et qu’un rejet de la loi affecterait sérieusement la compétitivité des entreprises suisses face aux multinationales.

Une alliance de groupes de la société civile, soutenue principalement par les partis de gauche et les syndicats, a réussi à récolter les signatures requises à l’appui de sa demande de référendum contre la loi adoptée par le Parlement en 2019. L’objet sera donc soumis aux citoyens le 7 mars prochain.

En tout, les référendaires ont réuni près de 65’000 signatures en trois mois. C’est bien plus que les 50’000 nécessaires pour qu’une loi soit soumise au référendum. Cette possibilité de laisser les citoyens mettre leur veto à une décision parlementaire fait partie du système suisse de démocratie directe.

Le comité référendaire réunit des groupes de défenseurs des droits civiques et de la démocratie. Le Parti socialiste et les Verts, clairement positionnés à gauche, soutiennent l’opposition à la loi, de même que le parti centriste des Verts libéraux.

En outre, les autorités de huit des 26 cantons suisses ne recommandent pas d’approuver la loi, et soutiennent de ce fait le référendum.

Dans l’autre camp, on trouve les principaux partis de la droite et du centre, qui forment la majorité du Parlement.

Le gouvernement soutient également la loi, ainsi que les principales associations économiques, soit economiesuisse pour les grandes entreprises et l’USAM pour les PME.

S’agissant de la mise en place d’un système national certifié d’identité électronique, la Suisse est en retard sur les autres pays européens, qui proposent surtout des solutions public-privé.

Une précédente tentative de créer une identité électronique publique-privée, nommé SuisseID, a échoué il y a plus de dix ans. Un projet amélioré a été lancé en 2017.

L’Europe est pionnière dans ce domaine, explique Robert Krimmer, expert en gouvernance électronique à l’Université de Tartu en Estonie. Ailleurs dans le monde, notamment aux États-Unis, la fourniture d’une identité électronique est avant tout l’affaire des privés plutôt que de l’État.

En 2016, l’Union européenne a adopté des règles sur l’emploi et la reconnaissance des identités électroniques nationales.

L’Estonie est à l’avant-garde de la numérisation dans ce domaine. Certains considèrent son approche comme un modèle possible, mais le Conseil fédéral affirme que la situation dans le pays balte est trop différente pour qu’on puisse l’appliquer à la Suisse.

En 2019, Adrienne Fichter, politologue et experte suisse en numérisation a dressé l’état de l’eID en EuropeLien externe. Résultat: là où elle existe, elle est fournie par l’État dans huit pays, par les privés dans deux pays et par les deux dans treize pays.

L’identité numérique est une base pour d’autres applications comme la signature ou le vote électroniques. Mais la création d’une eID ne mène pas obligatoirement et automatiquement à de telles applications, rappellent les experts.

Une eID ne donne pas le droit de faire quelque chose – comme voyager ou conduire une voiture. C’est purement un moyen d’identification, comparable à un identifiant pour se connecter à un ordinateur.

(Traduction de l’anglais: Marc-André Miserez)