Suisse

L’e-ID en plein essor. Prétendument que des avantages.

Quels sont les risques à prendre en compte?

par Philipp Kruse, avocat, LL.M., ABF Suisse

(25 octobre 2024) «La Suisse veut et a besoin d’une carte d’identité électronique». C’est ce que l’on entend au Palais fédéral. Le 10 septembre 2024, le Conseil des Etats a adopté la «Loi sur l’e-ID» [LeID] à la quasi-unanimité. «L’e-ID permet de prouver son identité dans le monde virtuel. Elle sera comparable à la carte d’identité ou au passeport dans le monde physique. Toutefois, l’e-ID ne remplacera pas ces deux documents». [...] Elle répondra «aux exigences les plus élevées en matière de protection des données». C’est ce qu’a déclaré le conseiller fédéral Beat Jans le 10 septembre 2024 au Conseil des Etats.1 Actuellement, on n’entend que peu de voix critiques contre cette proposition. Raison de plus pour ABF Suisse d’y regarder de plus près.

Philipp Kruse.
(Photo mad)

I) Etat des délibérations parlementaires

La nouvelle Loi sur l’e-ID («Loi fédérale sur l’identité électronique et d’autres moyens de preuves électroniques»)2 a été débattue le 10 septembre au Conseil des Etats et clairement adoptée par 43 voix contre 1. Lors de la session de printemps, le Conseil national avait déjà donné son feu vert à l’introduction de l’e-ID par 175 voix contre 12. Il ne reste «que» certaines divergences à éliminer entre les deux Chambres sur des «questions de protection des données et de cybersécurité». C’est là que les choses deviennent passionnantes, comme nous allons le démontrer ci-dessous.

Le DFJP doit mettre à disposition le logiciel et l’infrastructure pour la nouvelle e-ID d’ici la fin de l’année. Ceci avec l’exigence que l’e-ID «garantisse une protection élevée de la sphère privée et puisse être utilisée au niveau international» (cf. Communiqué du Conseil fédéral du 14 juin).3 De nombreux problèmes de sécurité ne sont pas résolus (cf. ci-dessous IV).

A partir de 2026, l’e-ID devrait être disponible gratuitement en ligne et au bureau des passeports. Elle sera facultative et ne remplacera pas les cartes d’identité et les passeports actuels.

II) Rejet massif de la version préliminaire de la Loi sur l’e-ID en 2022

Une version préliminaire de la Loi sur l’e-ID [LeID] avait été nettement rejetée par le peuple lors de la votation référendaire du 7 mars 20224 avec 64,4%.

A l’époque, une large alliance d’organisations et de partis de gauche s’était mobilisée contre cette loi. La méfiance générale a prévalu. Les critiques des opposants visaient en particulier le fait que, pour la première fois, un document d’identité officiel devait être délivré par des prestataires privés. Des entreprises telles que les banques et les assurances devaient désormais remplacer les bureaux de passeports étatiques, ce qui leur permettrait d’abuser de leur pouvoir sur le marché (conservation et commercialisation abusives de données). Les personnes âgées craignaient en outre d’être contraintes par des entreprises privées à utiliser l’e-ID (comme condition préalable à l’obtention de prestations de service et de marchandises). En outre, la sécurité était un sujet de préoccupation majeur. ABF Suisse doute que celles-ci soient totalement éliminées.

III) Réédition de la loi sur l’e-ID

La nouvelle version de la Loi sur l’e-ID doit prétendument éliminer toutes les critiques émises jusqu’à présent:

  • L’e-ID ne doit pas être délivré par des personnes privées, mais par un service de la Confédération (FEDPOL, voir aussi art. 1 I c; 2; 12 LeID);
  • La sécurité est suffisamment garantie par le fait que le développement du logiciel et l’infrastructure sont exclusivement exploités par la Confédération (voir aussi art. 2 et 3 LeID);
  • La protection des données est garantie par le fait que les utilisateurs gèrent eux-mêmes leurs données et les conservent sur leur téléphone portable (et non pas l’Etat ou des tiers; art. 6; 7 LeID);
  • La Confédération ne doit pas avoir officiellement accès à la carte d’identité numérique et ne doit pas non plus savoir quelles données sont finalement utilisées par le titulaire. Le contrôle est exclusivement exercé par l’utilisateur (art. 2 III, IV; 9 II; 16 II LeID).
  • L’e-ID doit donc officiellement satisfaire aux normes les plus élevées en matière de sécurité et de protection des données. Par ailleurs, la nouvelle e-ID ne doit présenter que des avantages:
  • Elle serait plus qu’une simple carte d’identité numérique. Elle doit également permettre de classer ou de relier d’autres pièces d’identité, certificats, actes, titres de transport et billets de toutes sortes;
  • Elle servirait de base d’identification pour l’obtention de documents et de services officiels ainsi que de biens et de services privés (art. 23 LeID).
  • Les informations enregistrées sur cette ID numérique doivent également pouvoir être validées individuellement par les utilisateurs de manière sélective (art. 9 I LeID).

IV) Appréciation et critique «ABF Suisse»

L’utilité pratique d’un e-ID est indéniable. La liste des avantages semble bonne. Si la Confédération peut vraiment garantir une solution sûre pour une utilisation volontaire, ce serait merveilleux. Les données personnelles [y compris l’image biométrique du visage] doivent toutefois être protégées efficacement contre les consultations et les utilisations abusives par des tiers non autorisés. Or, on ignore totalement si l’infrastructure de données promise par la Confédération («registre de base»; «registre de confiance») sera vraiment sécurisée. La solution informatique finale ne sera disponible qu’à la fin de l’année (voir communiqué de presse du 14 juin).5

«Pas assez digne de confiance»

Le conseiller aux Etats Pirmin Schwander (SZ, UDC) a exprimé des doutes fondamentaux sur la sécurité de l’e-ID lors du débat du 10 septembre: «Le peuple a rejeté le premier projet pour des considérations de sécurité et par manque de confiance. [...] Je [...] m’étonne que nous nous préoccupions trop peu de la question de la sécurité dans un nouveau projet.

Les procédures, telles qu’elles sont envisagées actuellement, ne sont à mon avis pas assez fiables, notamment en ce qui concerne le dossier électronique du patient ou les signatures. La procédure d’identification en ligne, telle qu’elle nous a été présentée, n’est à mon avis pas assez sûre d’un point de vue technique. Je voudrais simplement vous le dire de manière générale. Les procédures ne sont pas compatibles avec eIDAS et, surtout, elles entraînent des saisies et des enregistrements massifs de données biométriques. Ces quatre points m’incitent à être très critique. [...]»

Quelles sont les raisons concrètes de porter un regard critique?

Absence de protection des utilisateurs contre le pouvoir de marché des grands groupes

Lors de la conclusion d’un contrat en ligne au moyen d’une carte d’identité électronique, les utilisateurs peuvent certes décider de manière sélective quelles données individuelles ils autorisent (art. 9 II LeID). Mais les données que les utilisateurs transmettent effectivement au cocontractant sont laissées aux forces du marché. Le projet de loi ne contient aucune disposition visant à protéger les consommateurs contre les informations inutiles ou abusivement exigées («suridentification»). Les entreprises disposant d’un grand pouvoir sur le marché (banques; assurances; groupes de logiciels, etc.) peuvent sans autre contraindre des clients plus faibles à divulguer des données privées (y compris la reconnaissance faciale) et les exploiter ensuite commercialement.

Préoccupations des groupes d’experts en matière de sécurité

Le «Parti pirate», politiquement actif depuis des années sur ce thème, signale dans une contribution du 10 septembre6 qui mérite d’être lue une série de scénarios concrets pouvant conduire à des atteintes systématiques à l’intégrité numérique:

  • Des failles de sécurité ont déjà été constatées par le passé lors de la saisie de données biométriques. Ce n’est donc qu’une question de temps avant que des tiers non autorisés n’accèdent à des données biométriques à l’avenir également.
  • De grandes entreprises et des secteurs économiques obtiendront (en prétextant un «intérêt légitime») des dérogations légales par la voie politique afin d’avoir accès aux données de l’e-ID de leurs clients. Des initiatives concrètes ont déjà été prises pour l’utilisation des données biométriques:

– Les aéroports et les compagnies aériennes veulent utiliser la reconnaissance faciale pour accélérer les procédures;

– la Conférence des directeurs cantonaux de justice et police veut surveiller les supporters de sport;

– En outre, le Service de renseignement et diverses polices cantonales utilisent déjà des logiciels de reconnaissance faciale sans base légale;

– fedpol veut utiliser la reconnaissance faciale.

  • L’appel d’offres pour la procédure de vérification en ligne de l’e-ID se déroule à l’exclusion de tout contrôle des spécialistes, des parlementaires, des journalistes ou de toute autre personne intéressée. Même les documents d’appel d’offres sont strictement secrets (voir question parlementaire Reimann 24.1001).7

En particulier le droit de l’UE

Le Conseil fédéral veut réaliser une e-ID qui soit compatible avec le droit de l’UE.8,9 Il faut donc s’assurer pro futuro que les atteintes à l’intégrité numérique des citoyens ne soient pas possibles via le droit de l’UE.

Les données biométriques de la Suisse sont déjà comparées de manière automatisée avec celles de l’UE dans le cadre de la coopération policière, sur la base du droit international public en vigueur. Cela a été négocié dans le cadre du règlement Prüm II (règlement «relatif à l’échange automatisé de données en matière de coopération policière»).

De grands risques à l’horizon: un réseau de contrôle mondial

La loi e-ID crée une technologie de base qui, combinée aux développements internationaux déjà en cours, peut conduire à une menace considérable pour les droits fondamentaux. Même si de tels liens n’existent pas encore en Suisse sous forme de projets concrets, ils sont évidents au niveau international (ID 2020; stratégie numérique de l’UE; ONU «Pact for the Future» et «17 objectifs de durabilité»; Banque mondiale «ID4D», etc.; voir liens dans les sources 11.[– 16.] ci-dessous).

Il existe ainsi un risque très concret que l’e-ID devienne l’élément clé central permettant de relier entre eux une multitude de systèmes numériques. Par exemple, avec un carnet de vaccination numérique, une carte de don d’organes numérique et peut-être même avec la monnaie numérique de la banque centrale (CBDC). De cette manière, un réseau de contrôle global pourrait rapidement voir le jour, qui interviendrait profondément dans la vie de chaque individu et pourrait être utilisé abusivement en temps de crise pour retirer les libertés fondamentales les plus essentielles. On trouve des indications dans ce sens dans les documents stratégiques du WEF, de l’ONU et de l’ID2020. Nous y reviendrons dans un prochain article.

Questions de l’ABF Suisse

Les questions essentielles concernant la protection de l’intégrité numérique restent sans réponse. Comment le Conseil fédéral et le Parlement s’assurent-ils

1) que les données de cette e-ID ne soient pas involontairement dérobées aux utilisateurs?

2) que les utilisateurs sont protégés contre la divulgation de données qui ne sont pas absolument nécessaires?

3) que les utilisateurs utilisant des méthodes d’identification traditionnelles (physiques) ne soient pas discriminés?

4) que les traces électroniques de l’utilisation de l’e-ID ne puissent effectivement pas être «captées» et exploitées par des tiers?

5) Comment empêchons-nous l’extension globale d’un réseau de contrôle mondial basé sur l’e-ID selon les concepts de l’ONU, de la Banque mondiale, d’ID2020, de GAVI, etc.

Nos revendications

ABF Suisse demande donc au Conseil national et au Conseil des Etats:

  • Une protection sûre de l’intégrité numérique contre l’arbitraire et les abus.
  • Contrôle individuel autodéterminé sur ses propres données.
  • Protection contre la discrimination et l’exclusion des personnes sans e-ID lors de l’achat de biens et de services et de la participation à la vie sociale.
Les personnes souhaitant soutenir le travail de «ABF Suisse Action Suisse Libre » peuvent aussi faire un don:
IBAN CH46 0078 7786 1522 4140 0
au nom de IG KMUnitas, Lättichstrasse 8a
6340 Baar, objet/référence ABF Suisse

Source: https://abfschweiz.ch/wp-content/uploads/Artikel-03-10-24.pdf, 12 septembre 2024

(Traduction «Point de vue Suisse»)

1 https://www.parlament.ch/de/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=65325

2 https://www.fedlex.admin.ch/eli/fga/2023/2843/de

3 https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-101414.html

4 https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-101414.html

5 https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-101414.html

6 https://www.piratenpartei.ch/2024/09/10/18764895/

7 https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20241001

8 Document de discussion DFJP «Zielbild e-ID» du https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/staatliche-e-id/diskussionspapier-zielbild-e-id.pdf.download.pdf/diskussionspapier-zielbild-e-id-d.pdf

9 Règlement européen 910/2014: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32014R0910

Retour