La responsabilité de l’Etat face au cybercitoyen
Le parlement met la dernière main au projet de loi sur l’identité numérique. La présence de partenaires privés se heurte à des résistances
Identité numérique, vote électronique: même défi, même dilemme. Dans les deux cas, l’Etat doit permettre aux citoyens d’accomplir leurs devoirs et d’exercer leurs droits à l’ère digitale. Mais quel est son rôle? Quelles sont ses responsabilités? Que doit-il faire lui-même? Que peut-il confier à des partenaires ou prestataires privés? Et à quels partenaires privés? C’est l’enjeu du projet de loi sur l’identification numérique, que le Conseil des Etats a avalisé mardi et qui sera vraisemblablement combattu jusque dans les urnes. Est-il réaliste de demander à l’Etat de tout faire luimême, comme l’exigent les associations de consommateurs et le camp rose-vert? Certainement pas.
L’Etat doit fixer les règles du jeu et mettre en place un système de contrôle et de surveillance qui garantisse la sécurité et la protection des données. Mais il n’est pas le mieux placé pour développer les aspects techniques. Il est donc logique qu’il s’appuie sur des entreprises privées. Mais il doit les sélectionner en fonction de leurs aptitudes technologiques et de leur légitimité à accompagner le cybercitoyen dans l’exercice de ses droits démocratiques.
La polémique accompagnant la sécurité du vote électronique montre la lourdeur de la tâche. La Poste utilise un système espagnol, qui a fait l’objet d’un test d’intrusion grandeur nature. Cette expérience a démontré que le système est faillible. La Poste a beau déclarer que le coeur du dispositif n’a pas été violé, rien n’y fait. Une initiative populaire exige maintenant la mise hors service du vote électronique.
Le débat qui entoure l’identité numérique s’inscrit dans le même registre. La présence au sein du consortium SwissSign – qui souhaite mettre en oeuvre ce code transactionnel personnel – de banques, d’assurances et, surtout, de caisses maladie sème le doute. On craint que les données individuelles ne soient utilisées de manière abusive et que les entreprises partenaires n’en profitent pour promouvoir leurs prestations.
Ces doutes accompagneront la campagne référendaire qui suivra l’adoption de la loi sur l’identification numérique. Il appartiendra au Conseil fédéral de clarifier le rôle de ces partenaires privés et d’expliquer qu’une identité numérique conçue sans qu’ils y soient associés aurait peu de chances d’être utilisée par eux. Un pas a été franchi avec l’annonce de la création d’une instance indépendante de surveillance, la Commission fédérale de l’e-ID (pour «identité numérique»), ou Eidcom. Il n’est pas sûr que cela suffise à dissiper les craintes.
Présentée comme un rempart contre la mainmise des géants de l’internet, l’identité numérique (e-ID) fait son chemin en Suisse. Mardi, le Conseil des Etats a donné son feu vert par 33 voix contre 4 et a ainsi rejoint le Conseil national, qui avait fait de même en mars. Le principe est le suivant: chaque citoyen sera doté de son code numérique personnel, qui lui simplifiera la vie sur internet. Qu’il s’agisse de passer une commande en ligne, de s’enregistrer auprès d’une autorité publique, de se connecter à son compte bancaire, d’acheter un billet de train, de consulter son dossier de santé, d’effectuer une déclaration en douane ou de demander un document officiel tel qu’un extrait de casier judiciaire, la démarche et, surtout, le mot de passe seront les mêmes.
Pour obtenir son e-ID, il faudra s’enregistrer en fournissant un certain nombre d’informations telles que son nom, son sexe, sa date et son lieu de naissance, sa nationalité. Ces données seront consignées auprès d’un service spécialisé rattaché à la police fédérale (Fedpol), qui fait déjà ce travail pour les passeports. L’identité numérique sera ainsi garantie par l’Etat. Mais les prestations techniques seront, elles, assurées par le secteur privé, qui dispose du savoir-faire nécessaire et peut se montrer plus flexible que l’administration. Or, c’est là qu’il y a des résistances. Voici une dizaine de jours, les associations de consommateurs et d’autres organisations ont tiré la sonnette d’alarme: selon elles, toute la filière de l’e-ID doit être une tâche régalienne. Pas question de laisser les privés s’en mêler, la protection et la sécurité des données étant considérées comme des biens trop précieux pour prendre le moindre risque.
«Quel est leur intérêt?»
La résistance vient du fait qu’un opérateur potentiel se profile déjà sur ce marché. Il s’agit d’un consortium nommé SwissSign, qui propose déjà aux clients de ses partenaires un système de reconnaissance numérique unique, la SwissID. Or, si certains sont des entreprises en mains publiques – CFF, La Poste, Swisscom, trois banques cantonales –, d’autres sont entièrement privés. Ce sont des banques – Credit Suisse, UBS, Raiffeisen, Entris Banking –, des compagnies d’assurances – Axa, Bâloise, Helvetia, Mobilière, Swiss Life, Vaudoise, Zurich –, des caisses maladie – CSS, Swica – ainsi que Six Group. Au Conseil des Etats, la socialiste bâloise Anita Fetz, très sceptique, pose la question: «Quel est leur intérêt?» Elle redoute un mélange des genres, entre la nécessité incontestée d’équiper les citoyens d’une identité digitale personnelle et la tentation de ces acteurs privés d’exploiter ces données et de promouvoir leurs produits par ce canal.
Elle s’appuie sur un sondage publié par les associations de consommateurs. Celui-ci indique que 87% des 973 personnes interrogées souhaitent que l’e-ID soit une tâche de l’Etat. En d’autres termes, l’idée de laisser des fournisseurs privés développer les supports technologiques – cartes électroniques, applications pour téléphone portable, clés USB – sur lesquels les citoyens composeront leur code personnel ne les convainc pas.
Garde-fous supplémentaires
La menace d’un référendum ayant été brandie, le Conseil des Etats a décidé d’instaurer deux gardefous supplémentaires. Au départ, il était prévu que le travail des fournisseurs privés serait supervisé par l’unité de pilotage informatique du Département fédéral des finances. Cette tâche de reconnaissance et de contrôle sera finalement confiée à une Commission fédérale des e-ID (Eidcom), qui comptera cinq à sept membres et collaborera avec le préposé fédéral à la protection des données. Par ailleurs, le Conseil fédéral pourra confier la gestion du système à une unité administrative et la Confédération pourra prendre des participations dans les sociétés qui recevront ce mandat. Le rapporteur de la commission préparatoire, Beat Vonlanthen (PDC/FR) et la cheffe du Département fédéral de justice et police (DFJP) Karin Keller-Sutter n’y voient aucun problème si cela peut contribuer à dissiper les craintes. Le référendum reste toutefois probable.
Ce qui leur paraît important, c’est de ne pas perdre de temps. «D’autres pays ont déjà pris des mesures. C’est notre responsabilité d’agir vite. Avec ce qui est proposé, l’Etat garde un rôle fort et, avec l’Eidcom, l’indépendance et le professionnalisme sont garantis», résume Beat Vonlanthen. «C’est la dernière chance pour la Suisse de garder le contrôle sur l’e-ID, sinon tout sera géré par le droit américain», renchérit Ruedi Noser (PLR/ ZH), qui fait référence aux pratiques d’Apple, de Google et d’Amazon.