Aprs plus de deux ans de ngociations, la grande rforme de l’identit numrique de l’Union europenne sera conclue cette semaine, le mercredi 8 novembre 2023. Le « rglement eIDAS » tablira un cadre entirement harmonis pour l’identification juridiquement contraignante des personnes, la preuve de leurs caractristiques et la connexion des sites web ou des applications. D’ici 2026, les 27 tats membres de l’UE devront proposer leurs citoyens et rsidents ce que l’on appelle un « portefeuille europen d’identit numrique » (en abrg : « Wallet »). Le grand changement est que ce systme ne sera pas rserv l’administration en ligne, mais que le secteur priv pourra galement demander ses clients ou ses visiteurs des informations les concernant. Les sites web de l’administration en ligne et les entreprises de la Big Tech comme Google, Facebook ou Amazon devront proposer le Wallet comme moyen de se connecter leurs services.
Ds le premier jour, nous nous sommes inquits de ce projet de loi et de son potentiel de remise en cause de l’anonymat en ligne, des scnarios d’abus l’encontre des groupes vulnrables de la socit et des risques de traage et d’espionnage. Nous avons publi cinq prises de position, tmoign devant deux commissions du Parlement europen, rdig des amendements, t en contact permanent avec les lgislateurs du Parlement, du Conseil et de la Commission, prononc des discours publics sur la loi, rpondu d’innombrables demandes des mdias et envoy trois lettres ouvertes, dont la dernire a t signe par plus de 400 universitaires et 30 ONG. quoi cela a-t-il servi ? Examinons le texte final.
Le Bon
Protections contre la discrimination
La protection contre la discrimination est un pilier essentiel de la protection de la libert de choix et de l’inclusion de tous les groupes dans la socit. Celle-ci va au-del de la nature volontaire du portefeuille qui tait dj inscrite dans la proposition initiale. Les quatre commissions du Parlement europen ont adopt une large majorit que l’accs aux services publics et privs, l’accs au march du travail et la libert d’entreprendre ne doivent en aucun cas tre restreints ou dsavantags pour les personnes physiques ou morales qui n’utilisent pas le portefeuille. Le texte final garantit que toute personne qui dcide de ne pas utiliser le portefeuille dans une situation donne ne peut se voir imposer un prix plus lev ou tre exclue de l’accs un service ou un bien. Cette disposition tait l’une de nos principales demandes, afin de protger, par exemple, les personnes sans smartphone et leur participation la socit (personnes ges, enfants, etc.), ainsi que toute personne dont les documents officiels ne correspondent pas son identit relle (par exemple, les personnes transgenres).
Rglementation des cas d’utilisation
Le grand changement de la rforme eIDAS est que le secteur priv peut galement utiliser le portefeuille pour demander ses clients, utilisateurs ou visiteurs leurs informations personnelles. Ces informations peuvent tre dlivres par le gouvernement, comme le nom rel, la date de naissance, le diplme, les certificats de vaccination, les tickets de transport public ou le permis de conduire, mais elles peuvent galement provenir du secteur priv, comme dans les programmes de fidlisation de la clientle ou l’valuation du crdit. Dans ce contexte, nous devons nous attendre aux pires formes de capitalisme de surveillance et aux tentatives des entreprises d’obtenir des informations fiables sur une personne, qu’il peut tre trs prjudiciable pour elle de transmettre. Conscients de ce risque, nous avons exig que les informations que les entreprises peuvent demander aux personnes soient limites.
Le texte actuel garantit que toutes les parties utilisatrices s’enregistrent dans le pays o elles sont tablies, s’identifient avec leurs coordonnes, fournissent des informations sur le cas d’utilisation pour lequel elles veulent utiliser le portefeuille et les informations concrtes qu’elles veulent demander l’utilisateur. Le portefeuille limite ensuite les informations que la partie utilisatrice peut demander ce qui figure dans son enregistrement. Si, par exemple, un magasin de spiritueux s’enregistre pour vrifier l’ge, il ne peut pas demander d’autres informations qui pourraient figurer dans le portefeuille, comme des informations sur la sant. En outre, la liste des entreprises enregistres, leurs cas d’utilisation et les informations qu’elles ont l’intention de demander doivent tre accessibles au public en ligne. Lorsqu’un utilisateur est invit via le portefeuille fournir des informations le concernant, il voit d’abord l’identit de l’entreprise qui le sollicite. L’utilisateur peut alors refuser de partager certaines ou toutes les informations qui lui sont demandes. Si une partie utilisatrice se comporte mal, l’utilisateur peut rvoquer son consentement ce qu’elle dispose de ses donnes et dposer une plainte auprs d’une autorit de rgulation nationale. L’entreprise peut alors tre exclue du systme (voir le « privacy cockpit » et le « forum-shopping » ci-dessous).
Identifiant unique
La proposition initiale prvoyait un numro de srie pour tous les tres humains en imposant un identifiant unique et persistant pour chacun. Ce numro aurait permis de corrler tout ce que fait un utilisateur dans tous les domaines de la socit (sant, transport, finance, commerce, etc.). Le suivi et le profilage en ligne et hors ligne auraient t plus faciles que jamais. Nous avons commenc travailler sur ce dossier avec l’objectif principal d’empcher ce numro de srie et nous avons gagn. Le texte final ne mentionne plus d’identifiant unique et persistant et inclut mme des garanties supplmentaires en matire de protection de la vie prive qui devraient empcher le traage.
Droit au pseudonymat
De nombreuses personnes ont besoin de l’anonymat en ligne pour exercer leurs droits fondamentaux, en particulier la libert d’expression. Le portefeuille cre une infrastructure technique qui pourrait permettre d’identifier facilement et peu de frais tout le monde en ligne et hors ligne grande chelle. Dans de nombreuses interactions en ligne, c’est exactement ce que les entreprises aimeraient avoir : des informations d’identit certifies par le gouvernement notre sujet, en particulier dans le cadre de la publicit base sur la surveillance. Le texte final du rglement eIDAS contrecarre cette tendance en instaurant un droit au pseudonymat. Il permet aux utilisateurs d’utiliser un pseudonyme gnr par le portefeuille et qui n’est stock que localement. Toutefois, ce droit peut tre limit par la lgislation nationale et europenne.
Divulgation slective, connaissance zro et dissociabilit
Lorsqu’une entreprise demande des informations dans le portefeuille, l’utilisateur peut accepter de tout transmettre, de ne rien transmettre ou de « divulguer slectivement » seulement certaines parties de ce qui lui a t demand. Le portefeuille devrait galement inclure la possibilit de prouver qu’un certain attribut sur soi-mme est vrai, sans rvler l’information sous-jacente relle. C’est ce qu’on appelle la « connaissance zro ». Par exemple, il est possible de prouver qu’une personne a plus de 18 ans sans rvler sa date de naissance. Malheureusement, la « connaissance zro » n’est exige des tats membres que dans un considrant, de sorte qu’elle n’est pas forcment disponible dans tous les pays.
Lorsqu’une entreprise ne demande pas l’identification d’un utilisateur, mais seulement un certain attribut le concernant, cela doit tre fait de manire ce que les preuves multiples d’attributs soient « dissociables » les unes des autres. « L’impossibilit d’tablir un lien » signifie que plusieurs interactions avec la mme entreprise ou avec des entreprises diffrentes ne peuvent pas tre relies entre elles, ce qui empche de suivre l’utilisateur et d’tablir son profil. En pratique, cela signifie que si une personne prouve son ge avec le portefeuille tous les samedis soirs dans un club, les enregistrements numriques empchent le propritaire du club de savoir que c’est la mme personne qui vient chaque semaine. Bien que, de manire gnrale, la vrification de l’ge soit souvent une mauvaise ide, ces techniques de prservation de la vie prive limitent au moins le risque.
Cockpit de confidentialit
Le portefeuille disposera d’un historique complet de toutes les demandes d’informations que l’utilisateur a reues, des informations sur les entreprises qui ont demand ces informations et, ventuellement, des informations que l’utilisateur a partages avec elles. En outre, le portefeuille devra offrir la possibilit de demander la suppression de toute donne personnelle figurant dans les dossiers de l’entreprise et de dposer une plainte auprs de l’autorit nationale de protection des donnes.
La Brute
Inobservabilit
La plus grande honte de cette rforme est le fait qu’il n’existe absolument aucune garantie empchant les gouvernements qui fournissent le portefeuille de surveiller tout ce que ses utilisateurs font avec. tant donn que cet outil peut tre utilis dans tous les domaines de la vie (sant, transport, finances, Internet, etc.), la quantit d’informations qu’un gouvernement peut obtenir sur la vie des gens est d’un niveau panoptique. Les utilisateurs du portefeuille pourraient voir leur vie entire reflte dans ce seul ensemble de donnes sur la faon dont ils utilisent le portefeuille. Cette situation aurait pu tre vite grce des normes techniques garantissant l’inobservabilit. Le Parlement europen a adopt un excellent texte qui aurait fait exactement cela. Malheureusement, le texte final comprend des dispositions trs larges qui permettent aux gouvernements de savoir tout ce que fait un utilisateur, mme sans son consentement. Ce n’est qu’une question de temps avant que les forces de l’ordre n’exigent l’accs ces informations.
Le Truand
Les certificats QWAC
L’ide que le propritaire d’un nom de domaine soit visible dans le navigateur web a t abandonne par tous les navigateurs du monde en 2009. En 2021, la Commission a jug bon de forcer le monde entier rintroduire cette ide du milieu des annes 2000 de « validation tendue » sous le nouveau nom de « Qualified Website Authentication Certificates (QWAC) ». Si personne n’utilisera ces certificats, le vritable prjudice caus par ce systme est que tous les navigateurs web du monde seront obligs de faire confiance aux certificats racine de tous les fournisseurs europens de services de confiance, qu’ils soient rellement dignes de confiance ou non.
En rponse aux rvlations d’Edward Snowden sur la surveillance de masse exerce par le gouvernement, la part du trafic web chiffr est passe de moins de la moiti 95 %. La scurit de ce chiffrement dpend des listes de certificats de confiance tablies par les navigateurs et les gouvernements du monde entier ont tent plusieurs reprises d’attaquer ce systme. Avec la proposition initiale, l’UE aurait bris toute l’architecture de confiance du World Wide Web et mme s’il s’tait avr qu’un certificat tait utilis des fins de surveillance, rien dans la loi n’aurait permis au navigateur de l’exclure.
Le dernier rebondissement de cette histoire est que, quelques jours seulement avant l’accord final, les ngociateurs ont accept une modification du texte qui garantit la libert des navigateurs de protger l’authentification de domaine et le chiffrement du trafic web de la manire et avec la technologie qu’ils jugent les plus appropries. En pratique, cela signifie que les navigateurs auront un moyen de rsister aux QWAC qui sapent le chiffrement, en les sparant de TLS. Ainsi, nous pouvons au moins nous attendre ce que des navigateurs comme Mozilla luttent contre l’affaiblissement de l’architecture de confiance du web. Pour d’autres, comme Microsoft, l’espoir est moindre.
Forum-Shopping
Certains pays de l’UE ont cr un modle commercial en n’appliquant pas les lois europennes contre les grandes entreprises. En ce qui concerne la nouvelle identit numrique europenne, Facebook Ireland ou les socits de jeux d’argent en ligne Malte seront soumis la seule rglementation de leurs autorits publiques nationales. Alors que d’autres lois europennes, comme le GDPR ou la DSA, ont tent de s’attaquer ce problme et d’y apporter des solutions, cette loi eIDAS n’essaie mme pas de le rsoudre. Lorsque Facebook Ireland exige soudainement le nom rel, des informations financires ou de sant d’une personne, alors qu’elle n’en a pas le droit, aucune plainte contre elle ne sera traite avec diligence, car l’autorit irlandaise de protection des donnes considre ironiquement qu’il lui appartient de protger Facebook et non nos donnes. Ainsi, dans de tels cas, les agences de rgulation des autres pays de l’UE n’ont aucune possibilit de virer une entreprise de l’cosystme Wallet si elle est situe dans l’un de ces havres de paix. Le seul garde-fou contre cette situation est le suivant : ne pas utiliser le portefeuille pour partager des donnes lorsque l’entreprise qui demande les donnes provient de l’un de ces pays.
Scurit et certifications
Le portefeuille sera dlivr par un tat membre de l’UE. Ce mme tat membre devra nommer des organismes de certification qui vrifieront si leur portefeuille national est rellement sr et conforme la loi. En outre, au cours des premires annes, il n’y aura pas de norme de scurit l’chelle de l’UE, mais seulement des systmes nationaux de certification de la scurit. Ces systmes seront discuts entre les tats membres, mais dans la pratique, nous verrons des niveaux de scurit trs diffrents d’un tat membre l’autre, ce qui mettra potentiellement en danger de nombreux utilisateurs. Le backend du portefeuille pourrait ne pas recevoir de certification de scurit du tout. l’origine, le portefeuille tait galement cens tre certifi s’il respectait les normes de confidentialit et le GDPR. Mais comme les tats membres ont fait pression avec succs contre cela, c’est maintenant eux de dcider si leur Wallet national sera certifi pour la conformit la vie prive ou non.
Source ouverte
Le code du programme de l’application du portefeuille doit tre sous licence open source et accessible au public. Malheureusement, cette obligation a t fortement combattue par les tats membres et dulcore la dernire minute pour ne pas inclure le logiciel du back-end. Ainsi, dans sa forme actuelle, le rglement donne aux tats membres la possibilit de ne pas divulguer le code source de l’application dorsale pour des « raisons dment justifies, notamment des fins de scurit publique ». Cela n’empche pas seulement le contrle public. Il prive galement le public d’un norme morceau de logiciel, pay par l’argent public, qui – avec une licence ouverte ou gratuite – aurait pu bnficier au dveloppement d’innombrables autres applications informatiques.
Plans techniques
Six mois aprs l’adoption de la loi, la Commission devra annoncer les spcifications techniques sur la manire dont le portefeuille est cens fonctionner. C’est pourquoi, au cours des deux dernires annes, un groupe de reprsentants des tats membres s’est runi dans le plus grand secret et sous l’influence de groupes industriels pour prparer cette norme technique. Le document qu’ils ont produit s’appelle « Architecture Reference Framework » (ARF) et a t publi pour la dernire fois en janvier 2023 en tant que version 1.0. La version interne 1.2 la plus rcente date de juin 2023 et toutes deux ne pourraient tre plus loignes du texte juridique adopt dmocratiquement : Presque toutes les garanties de la lgislation que nous avons expliques ici sont absentes de l’ARF. Sans un gros travail, soit le calendrier ne tiendra pas, soit le portefeuille sera accueilli avec mfiance parce qu’il est en infraction avec la loi.
Conclusion
Enfin, il est important de dire que nous aurions souhait que cette rforme fasse l’objet de plus d’attention. Nous tions la seule organisation de la socit civile travailler sur eIDAS, et nos collgues du monde de la protection des consommateurs, beaucoup plus important, ont d d-prioriser ce dossier trs tt. Nous avons travaill sur cette question complexe et technique pendant plus de deux ans, sans financement ni projet spcifique. En tant que chien de garde, nous sommes guids par les risques que nous pouvons viter pour la population et non par la rcompense que nous pourrions obtenir ou les permissions que d’autres nous accordent. Nous ne pouvons le faire que parce que nous avons plus d’un millier de membres bienfaiteurs qui financent ce combat pour la libert grce leurs dons rcurrents. N’hsitez pas nous rejoindre !
MISE JOUR : Le mercredi 8 novembre 2023, les ngociateurs se sont runis pour le dernier trilogue politique et se sont mis d’accord sur le texte qui est la base de ce billet. Il y aura une dernire runion technique pour nettoyer le langage, mais des changements substantiels dans le trilogue ne sont pas prvus. Les tats membres doivent voter au Conseil de l’UE en dcembre 2023 et le Parlement doit voter en commission ITRE le 28 novembre et en fvrier 2024 en sance plnire. Au final, les changements dpendent de la majorit politique. Nous avons bas cette analyse sur le texte final du trilogue politique qui devrait devenir la loi.
Licence internationale Creative Commons Attribution 4.0, « CC BY 4.0epicenter.works »
Sources : epicenter.works, European Digital Rights (EDRi).
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de ce rglement de l’Union Europenne sur la rforme de l’identit numrique ?
Pensez-vous que les proccupations souleves par l’EDRi et l’epicenter.works sont crdibles et pertinentes ?
Voir aussi