Pourquoi la Loi fédérale sur les services d’identification électronique est problématique

Par Solange Ghernaouti

L’identité dépend de l’État civil

Le fait qu’une personne particulière soit légalement reconnue comme telle grâce à des éléments d’état civil, le fait de pouvoir décliner son identité et de pouvoir la prouver via un document officiel délivré par l’administration du pays dont la personne est ressortissante, font partie de notre histoire et de notre culture.

La Loi fédérale sur les services d’identification électronique (LSIE), modifie intrinsèquement ce mode opératoire, en autorisant de nouveaux intermédiaires privés et prestataires commerciaux à certifier l’identité électronique des citoyens. Le fait que la Confédération ne veuille pas avoir sa propre eID, n’est ni neutre, ni sans conséquences.

Privatisation de l’identification électronique

Les conséquences pour l’État d’une telle décision sont de trois ordres : d’abord l’abandon de la souveraineté du système d’identification électronique national, ensuite l’inféodation au technopouvoir des acteurs privés, enfin une dépendance à ces derniers. Pour la population, cette intermédiation augmente le risque de la transparence totale des êtres et de leurs activités.

Peut-on raisonnablement bâtir la confiance que les usagers pourront accorder à des fournisseurs d’eID, seulement en fonction du pouvoir d’influence qu’ils possèdent, du marketing qu’ils effectuent et des incitations qu’ils offrent, pour convaincre d’opter pour leurs services ?

Des organisations délivrent des eID au nom de l’État

Bien qu’il soit avancé que « L’État définit les dispositions légales, garantit l’exactitude des données et surveille les fournisseurs privés d’eID», il est légitime de se demander si l’État aura les moyens et les compétences nécessaires pour s’assurer du bon fonctionnement des solutions mises en œuvre par le secteur privé pour la réalisation de l’eID. Si oui pourquoi déléguer à d’autres ce qu’il pourrait faire lui-même ? Pourquoi les moyens électroniques d’identification de la population devraient être dans les mains du secteur privé, si ce n’est la volonté de l’État de vouloir privilégier et favoriser une économie privée et un marché très lucratif ? Ne s’agirait-il pas d’une mesure déguisée de soutien à l’économie ?

S’il est dit que l’État exercera ses prérogatives de surveillance, le doute existe non seulement sur les moyens mais aussi sur ses capacités effectives d’agir. Les entreprises ne pourraient-elles pas lui opposer le secret des affaires par exemple ?

Comment l’État peut-il par ailleurs s’assurer et rassurer ses citoyens quant à la protection correcte de leurs données chez les fournisseurs, y compris chez leurs possibles partenaires et sous-traitants, voire chez des GAFAMs présents en Suisse (Google à Zurich, Facebook Libra à Genève pour ne donner que deux exemples). N’avons-nous pas été informé en 2018 que « Les réseaux sociaux d’envergure mondiale devraient disposer d’une représentation en Suisse. Le Conseil fédéral se dit prêt jeudi à légiférer dans cette direction, de manière incitative »[1], ce qui les autoriserait à devenir des fournisseurs de eID suisses.

Est-il possible de garantir que le fournisseur n’externalisera jamais tout ou partie des traitements informatiques et du stockage des données relatives à l’eID sur des infrastructures numériques (cloud) de fournisseurs et d’acteurs étrangers ? Quels sont les garde-fous pour empêcher que des entreprises privées, qui offrent un service public ne tombent par la suite entre les mains d’intérêts étrangers ?

Un véritable passeport numérique qui ne porte pas son nom

Bien que l’eID ne soit pas présentée comme étant un passeport numérique[2], dans les faits, elle en est un. Il s’agit d’un laisser passer numérique reconnu et validé par l’État mais pas délivré par lui, pour accéder à des services dématérialisés, y compris ceux qui sont offerts par l’administration. L’eID relève bien d’un service que l’État se doit d’offrir, dès lors pourquoi privatiser une telle tâche régalienne ? Pourquoi déléguer cette mission essentielle qu’est la gestion de l’identité numérique, d’autant plus que l’eID est en passe de devenir incontournable pour les applications de santé connectée et de E-Health ?

Un manque de garanties

À ce jour, il est impossible de connaître en détail les informations qui seront vérifiées par l’État et qui seront transmises (puis stockées et gérées) par les fournisseurs d’eID. La LSIE ouvre la porte à la possibilité d’enregistrer toutes sortes de données (biométriques, comportementales, etc.) et à la capacité pour un prestataire de service de les traiter.

Dans la mesure où il est impossible d’oublier que dans le monde numérique, la profitabilité des entreprises privées repose sur l’exploitation des données, comment garantir que les informations relatives à l’eID et à ses usages, ne puissent (y compris sous couvert d’anonymisation toute relative), être couplées à d’autres données et usages numériques, à des traitements d’analyse de données massives (big data) et être associées à des dispositifs d’intelligence artificielle, durant leur durée de rétention de 6 mois chez les fournisseurs ?

L’eID est un identifiant unique utilisable pour réaliser des transactions commerciales, accéder au dossier électronique des patients, à des services administratifs ou encore pour acquérir des services offerts par les CFF, la Poste, ou par Swisscom par exemples. Cela autorise donc le fournisseur de eID d’être en mesure de tout savoir sur les utilisations de cette eID.

Une fois transformées, les données qui découlent de l’eID seront impossibles à identifier et leurs utilisations détournées incontrôlables. Rien n’est dit non plus sur les métadonnées générées par l’eID et leurs utilisations. Seront-elles aussi encadrées et contrôlées ?

Concrètement, quels types de mesures permettent de garantir que les données initialement fournies ne seront pas utilisées à d’autres fins ?

La charge de la preuve est pour la victime ou l’art de rendre l’utilisateur responsable

Si la contribution de l’État dans la délivrance par un fournisseur d’eID permet d’éviter qu’une personne puisse obtenir une eID sous une fausse identité, cela n’empêche pas l’usage d’une eID valide, par une tierce personne à l’insu de son propriétaire légitime (notion d’usurpation d’identité). Il est spécifié dans la LSIE (Art.12) que c’est au titulaire de l’eID de prendre les mesures nécessaires pour empêcher toute utilisation abusive de son eID. Tel que présenté, la conception et le mode de fonctionnement du dispositif, ne permettent pas à l’usager de disposer des mesures nécessaires.

Faire porter la responsabilité, la nuisance et le coût de l’usurpation d’identité sur le consommateur, n’est pas à son avantage. S’il est rappelé que l’eID permet de « profiter simplement et en toute sécurité des avantages du monde numérique », elle permet aussi de profiter « en toute simplicité » de ses inconvénients, notamment de la cybercriminalité et des usages abusifs et détournés facilités par le numérique.

Comment l’utilisateur est-il protégé sachant que l’usurpation d’identité n’est pas réprimée comme telle dans le droit pénal suisse? Quels sont les moyens mis en œuvre par le fournisseur pour protéger le citoyen de l’usurpation d’identité ? En cas d’usurpation, pourra-t-il changer d’eID, en obtenir une autre, à quel prix ? Qu’adviendra-t-il des personnes dont l’eID est bloquée pour raisons techniques, d’usurpation ou de piratage ? La Loi ne répond à aucune de ces questions.

Les responsabilités et les pénalités en cas de problèmes du fait des prestataires ne sont pas définies. Quelles seraient les conséquences pour un fournisseur en cas de manquement ou de piratage de ses systèmes informatiques ? Si cette responsabilité est limitée à celle prévue dans le cadre de la Loi fédérale sur la protection des données (LPD), c’est bien peu au regard des risques qu’une défaillance pourrait faire subir aux résidents du pays.

Coût et illusion de concurrence

À partir du moment où une eID existe, beaucoup de services vont l’exiger, à commencer par ceux offerts par les entreprises participant déjà à des structures délivrant un ID commun, alors qu’elle ne devrait être nécessaire que dans un nombre limité de cas (ceux qui exigent véritablement la présentation d’une pièce d’identité).

La question du coût du service n’est pas réglée par la Loi. Il semble que la gratuité ne soit pas à l’ordre du jour et que divers frais et émoluments soient envisagés, sans être précisément définis ou encadrés par le texte. Toutefois, il apparait dans l’enquête effectuée par les journalistes d’investigation du média Republik.ch intitulée « Die Lobby, die bei der E-ID die Fäden zieht »[3] que les coûts non négligeables, sont portés par les acteurs qui intègrent cette solution dans leur offre de service. Au final, se sont les consommateurs et les citoyens qui en assumeront les coûts.

Il est plus que probable que le service procurera une solide rente de situation aux quelques acteurs privés qui opèreront ces futurs services.

Par ailleurs, une fois en place, ce type de solution sera très difficile à remettre en question, ce qui permettra aux acteurs concernés de dicter leurs règles et leurs prix, pour s’assurer des marges confortables et garantir la préservation de leur position. Il faut ajouter que l’effet de réseau sera très puissant par rapport aux services d’eID et limitera très rapidement le nombre d’acteurs sur le marché.

L’illusion d’une réelle concurrence entre différents fournisseurs se transformera en situation d’oligopole ou de monopole, ce qui accroitra encore la dépendance de la Confédération aux quelques acteurs ou à un seul acteur[4].

Le monopole d’État d’identification électronique est ainsi remplacé par un monopole privé. Alors que dans le secteur public, le personnel qui gère des données d’état civil et qui accède à ces données y compris dans les instances de justice et police, est un personnel assermenté, cela n’est pas le cas dans le secteur privé.

Numérisation totale et risques

Plus globalement, un tel service d’eID s’inscrit dans la poursuite d’une numérisation que beaucoup espèrent totale des services publics et privés. Elle est de fait, accompagnée de son lot de vulnérabilités, de problèmes et d’erreurs de conception, de gestion, et d’utilisation. Non seulement, elle continue d’accroitre notre dépendance à des infrastructures techniques, notamment à celles des réseaux informatiques et électriques, mais elle favorise l’explosion du nombre de cyberattaques. Les défis que posent les questions de cybersécurité illustrent les dangers qui peuvent être associés à cette dépendance.

La concentration des données d’identification augmente leur risque de piratage. Pour ne donner qu’un exemple, rappelons le piratage de la base de données d’identification biométrique de la population indienne « Aadhaar » concernant 1,2 milliard d’Indiens, révélé en 2018[5]. Les données d’identification possèdent une valeur non négligeable pour les acteurs criminels et leur usage détourné et illicite facilite et augmente la profitabilité de la cybercriminalité.

Les risques de sécurité liés à des mégabases de données d’identité ne sont pas négligeables. En cas de piratage, c’est l’ensemble de la population résidente qui serait impactée.

Trop d’incertitudes, sans les ordonnances, la LSIE est une véritable boite noire

À ce jour, les informations nécessaires pour voter en toute connaissance de cause et donner un consentement éclairé, manquent.

Les explications proposées pour justifier l’adoption de la LSIE sont inadaptées, incomplètes et simplistes.

Comme le rappelle Hubert Guillaud « Ce qui n’est pas explicable ne peut pas entrer en discussion avec la société »[6].

Plus un dispositif a le pouvoir de modifier la vie des citoyens, plus il doit être contraint à la transparence et au contrôle. Les entreprises privées qui fourniront l’eID seront-elles réellement transparentes et contrôlables ? L’État sera-t-il pleinement en mesure de les contrôler ?

In fine, le seul pouvoir dont dispose le citoyen est celui de pouvoir contribuer à contrôler l’État et ses services par le biais du vote. La votation du 7 mars 2021 est une occasion pour l’exprimer et une opportunité pour réaliser un devoir démocratique, ce qui est de plus en plus difficile à réaliser du fait la complexité des sujets soumis à votation et du manque d’information claire.

Notes

[1] https://www.rts.ch/info/suisse/9594516-le-conseil-federal-souhaite-un-siege-des-grands-reseaux-sociaux-en-suisse.html

[2] https://www.bj.admin.ch/bj/fr/home/staat/gesetzgebung/e-id/faq.html

[3] « Die Lobby, die bei der E-ID die Fäden zieht » (Le lobby qui tire les ficelles de l’e-ID. Pourquoi le gouvernement fédéral s’est retiré très tôt du jeu en tant que fournisseur d’identité électronique – et comment le secteur privé a influencé le processus législatif : une reconstruction.)

https://www.republik.ch/2021/02/17/die-lobby-die-bei-der-e-id-die-faeden-zieht

[4] Ainsi par exemple, il existe le SwissSign Consortium qui est « composé de sociétés proches de l’Etat, d’établissements financiers, de compagnies d’assurances et de caisses-maladie (CFF, Poste Suisse, Swisscom, Banque Cantonale de Genève, Credit Suisse, Entris Banking, Luzerner Kantonalbank, Raiffeisen, Six Group, UBS, Zürcher Kantonalbank, Axa, Baloise, CSS, Helvetia, Mobilière, SWICA, Swiss Life, Vaudoise et Zurich) ». https://www.swisssign-group.com/fr/

[5] https://www.numerama.com/politique/318663-aadhaar-un-acces-pirate-a-lidentite-biometrique-dun-milliard-dindiens-coute-7-euros.html

[6] https://www.internetactu.net/2019/11/14/de-lexplicabilite-des-systemes-les-enjeux-de-lexplication-des-decisions-automatisees/

Photo by Pixabay