Identité numérique, du rejet au nouveau projet
La nouvelle approche de la Confédération en matière d’e-ID a désormais le soutien de tous les partis au parlement. Analyse de la situation trois ans après l’échec cinglant du projet porté par le Conseil fédéral
C’était en mars 2021. A la surprise générale, la population balayait à plus de 64% le projet d’identité électronique proposé par le Conseil fédéral. Trois ans plus tard, une version revisitée de l’e-ID est en passe d’être acceptée prochainement par le parlement, avec le soutien de tous les partis. Une issue qui était loin d’être acquise, tant les fronts étaient divisés il y a encore quelques années. Que s’est-il passé pour qu’une telle solution émerge si rapidement? Et qu’est-ce que cela signifie concrètement pour les citoyens suisses? Six points à retenir.
Une procédure inédite
Trois jours après le refus de la loi défendue par le Conseil fédéral, des députés de tous les groupes parlementaires ont déposé une motion identique invitant le gouvernement à mettre en place une solution d’e-ID fiable, gérée par l’Etat, contrairement au projet initial qui prévoyait de confier sa gestion à des entreprises privées. A la fin mai 2021, le Département fédéral de justice et police a été chargé d’élaborer une nouvelle solution. Il a collaboré avec les milieux scientifiques et les cantons, en vue de recueillir leur avis.
C’est en septembre que la procédure a pris une tournure inédite. Le Conseil fédéral a ouvert une consultation publique sur le document de travail visant à mettre en place une solution d’identité électronique reconnue par l’Etat. Trois variantes étaient proposées lors de ce sondage effectué à large échelle. La consultation publique s’est achevée le 14 octobre par un débat sous forme de conférence.
Depuis, les autorités ont poursuivi les travaux sur le projet tout en adoptant une approche transparente et participative: des visioconférences étaient régulièrement organisées pour informer les personnes intéressées sur l’état d’avancement du projet. En parallèle, l’Office fédéral de la justice a lancé une plateforme de discussion sur GitHub, un site web qui permet aux développeurs de partager tout ou partie du code d’un logiciel.
Une nouvelle loi a été mise en consultation en juin 2022. Les prises de position ont été publiées en octobre de la même année. Le Conseil fédéral a adopté le projet de loi et le message à l’intention du parlement le 22 novembre 2023. Cette procédure, qui a permis d’associer experts et société civile dans toutes les étapes du projet, a largement contribué au succès de la démarche, estime le conseiller national Gerhard Andrey (Les Vert·e·s/FR), qui s’est beaucoup impliqué dès le début dans le projet d’e-ID.
Une approche technologique décentralisée
Les opposants au projet initial du Conseil fédéral ne voulaient pas que l’e-ID puisse être fournie et gérée par des entreprises privées pour le compte de l’Etat. Le refus du peuple a été perçu comme un ralliement à cette approche, poussant les autorités à s’orienter vers une solution technique qui permette de tenir compte de ces exigences.
La Confédération a finalement opté pour une approche technologique décentralisée, qui repose sur le principe dit de l’identité auto-souveraine (self-soveraign identity). Les autorités mettront en place une infrastructure dite «de confiance», qui sera composée d’un registre de base – avec la liste des émetteurs et des vérificateurs agréés – et d’un système de confirmation des identifiants. Fedpol émettra l’identité électronique officielle sous la forme d’un certificat électronique qui sera hébergé dans un portefeuille numérique, en l’occurrence une application dédiée sur smartphone. La Confédération n’aura aucun moyen de savoir dans quelles circonstances l’e-ID est utilisée par son détenteur, contrairement à une approche centralisée. Cette dernière était privilégiée par le projet initial, qui aurait permis aux entreprises chargées de la gestion de l’infrastructure d’obtenir des données sur l’usage de la solution.
En définitive, l’identité électronique officielle, similaire à la carte d’identité physique, sera un certificat parmi d’autres. D’autres éléments de preuve pourront être hébergés sur les portefeuilles, comme des diplômes ou un permis de conduire.
Comment cela fonctionnera
Les citoyens qui veulent obtenir une e-ID pour effectuer des démarches officielles en ligne devront télécharger une application – le fameux portefeuille numérique – sur leur smartphone. Ils devront ensuite scanner leur carte d’identité – ou un permis de séjour officiel – et se prendre en photo pour que Fedpol puisse délivrer le précieux sésame. Les détenteurs d’une identité électronique pourront ensuite la présenter auprès des vérificateurs – par exemple d’autres services de la Confédération.
Toute personne qui a fait usage de l’application pour le certificat Covid durant la pandémie sera familière de la méthode. La Confédération a aussi fait le choix de minimiser les flux de données entre les utilisateurs et les vérificateurs. Le détenteur d’une e-ID qui veut prouver sa majorité pour acheter de l’alcool ne délivrera pas sa date de naissance auprès du vérificateur – en l’occurrence le magasin – mais uniquement la confirmation qu’il a effectivement 18 ans ou plus.
L’utilisation de l’e-ID sera gratuite et facultative. D’autres émetteurs, comme des universités, pourront fournir des certificats qui seront hébergés sur le portefeuille numérique. Ils pourront être utilisés de la même manière que l’e-ID officielle.
Des choix technologiques à définir
Si les grands principes sont déjà connus, les aspects technologiques qui seront finalement retenus ne sont pas encore connus. Contacté par Le Temps, l’Office fédéral de la justice (OFJ) précise qu’il faudra déterminer quelle norme de communication, quel format de certificat et quel type de signature numérique seront utilisés lors de la mise en oeuvre du projet. La Confédération analyse actuellement un projet similaire discuté au sein de l’Union européenne afin de déterminer si une éventuelle interopérabilité serait envisageable tout en respectant le futur cadre légal.
Les prochaines étapes
Dès le mois d’avril, un projet pilote de permis numérique d’élève conducteur sera testé avec le service des véhicules d’Appenzell Rhodes-Extérieures. En parallèle, le Conseil des Etats devrait adopter le projet lors de la prochaine session qui aura lieu en juin. Selon Gerhard Andrey, tous les voyants sont au vert. «Les discussions avec des collègues d’autres partis me font dire qu’il y a un large soutien au projet aussi dans la Chambre haute», observe l’élu fribourgeois.
Normalement, la Confédération publiera début 2025 son environnement de test (sandbox) de l’infrastructure de confiance définitive. Le lancement de l’e-ID est toujours prévu pour 2026, même si l’OFJ admet qu’il s’agit d’un «calendrier sportif».
Incertitude quant aux smartphones éligibles
Tout n’est pas encore réglé s’agissant de l’infrastructure de confiance. Comme le relevait Adrian Lobsiger, préposé fédéral à la protection des données, dans une interview accordée au Temps, les portefeuilles numériques seront hébergés sur des smartphones, sur lesquels la Confédération n’a aucun contrôle. «En matière d’informatique, les dépendances à l’égard de tiers privés sont nombreuses, et elles doivent toujours être prises en compte dans les analyses de risques», affirmait-il.
L’OFJ indique au Temps avoir conscience de cette potentielle dépendance vis-à-vis des fabricants de smartphone, tant sur le plan du matériel, du logiciel – pour les systèmes d’exploitation – que des magasins d’applications. En l’occurrence, puisque les certificats qui serviront à prouver quelque chose (une identité, un permis, un diplôme) seront hébergés sur les téléphones portables des détenteurs de l’e-ID, il faudra des appareils dotés des technologies capables de garantir la sécurité des clés cryptographiques. Les autorités ne cachent pas que les modèles bon marché n’en sont généralement pas pourvus. Une situation qui pourrait limiter l’usage de l’e-ID à certains types d’appareils.
■