Règlement eIDAS et portefeuille européen: un outil pratique qui nécessite des garanties en matière de sécurité et confidentialité

En juin 2021, la Commission a proposé un cadre européen relatif à une identité numérique qui serait accessible à l'ensemble des citoyens, résidents et entreprises de l'UE, au moyen d'un portefeuille européen d'identité numérique. Ce cadre, modifiant le règlement de 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (règlement eIDAS) est en passe d'aboutir alors qu'il fait l'objet de vives protestations.

La proposition actuelle, qui est en voie de finalisation suite à de nombreuses négociations, impose aux États membres de délivrer un portefeuille numérique dans le cadre de procédures bien précises. À la suite de négociations interinstitutionnelles ("trilogues"), les deux colégislateurs ont réussi à conclure un accord provisoire initial sur les principaux éléments du dossier, et ce texte devrait être validé dans le courant du mois de janvier 2024.

Le texte initial, dans sa version de 2014, a été largement appliqué et a permis, notamment en Belgique, de belles avancées. En effet, notre pays est un précurseur avec l’eID qui nous permet de nous identifier facilement électroniquement, même en ligne. Depuis plusieurs années, c’est également possible grâce à Itsme, qui est certes une initiative privée, mais approuvée par le gouvernement. S’identifier en ligne auprès des pouvoirs publics, de la banque ou de toute autre entreprise est très sûr et simple actuellement.

C’est ce concept que l’Europe veut harmoniser dans tous les États Membres, grâce à son portefeuille européen d'identité électronique. Si vous déménagez demain dans un autre pays européen, l’Europe estime que vous devriez pouvoir vous identifier avec votre identité belge dans ces pays. Ce sera possible grâce au cadre réglementaire eIDAS.

Ce portefeuille numérique permet aux citoyens de l’Union européenne de s’identifier auprès de services publics ou privés en ligne, par exemple, via leur téléphone mobile. Les entreprises peuvent également bénéficier de la signature électronique qualifiée pour les actes authentiques, les actes d’avocats, ainsi que les documents produisant des effets dans l’Union européenne, ou encore des actes d’organismes publics exigeant un niveau de sécurité élevé. Les services publics européens peuvent également profiter des avantages du règlement eIDAS pour des solutions telles que l’archivage électronique de documents numériques, l’enregistrement de données électroniques dans des registres électroniques, la gestion de dispositifs de création de signature et de cachet électronique à distance, et l’émission d’attestations électroniques d’attributs .

Quel est donc le problème? Une des grandes différences éthiques de l'Europe comparée aux autres puissances étrangères, c'est l'importance accordée à la vie privée, à la confidentialité et à la sécurité des données. En témoignent les nombreuses initiatives législatives en ce sens.

Or dernièrement plus de 500 chercheurs en sécurité et protection des données personnelles ont signé une lettre ouverte pour alerter sur les risques en matière de confidentialité des communications numériques en Europe, suite à cette révision de eIDAS. Dans le projet de réforme du règlement, un article concernant le choix des certificats pour les développeurs de navigateurs pourrait permettre techniquement aux Etats d'intercepter certaines communications électroniques, cryptées ou non. Par ailleurs, dans le cas de l'application de cette réglementation pour le développement du portefeuille européen d'identité électronique, rien n'empêcherait le commerçant y ayant recours pour identifier ses usages d'identifier, enregistrer et exploiter le numéro de registre national dudit client, une donnée particulièrement sensible. Si en Belgique cela est interdit, le risque de voir de tels sites s’installer dans les pays où la législation est plus laxiste n’est pas négligeable. 

Les experts se sont donc empressés d'alerter l'Europe sur les risques de dérive, qui sont loin d'être anecdotiques. La Chine ne s'en est pas privée. Et d'autres régimes pourraient saisir la balle au bond avec de nombreuses justifications telles que la sécurité publique, la sécurité de l'état, la lutte contre la fraude fiscale. 

Parmi les signataires de cette lettre ouverte figurent plusieurs belges, notamment les professeurs Bart Preneel (KU Leuven), Jean-Jacques Quisquater (UC Louvain), Claudia Diaz (KU Leuven), Olivier Pereira (UC Louvain), Nigel Smart (KU Leuven) et Ingrid Verbauwhede (KU Leuven), tous spécialisés dans le cryptage.

Le portefeuille européen d’identité numérique est une avancée considérable, en ce qu'il permet aux citoyens et aux entreprises de l’UE d’accéder à une identification et une authentification électroniques sécurisées et fiables au moyen d’un portefeuille numérique personnel sur leur téléphone mobile. Le portefeuille européen d’identité numérique offre plusieurs avantages, notamment:

• Une identité numérique pour tous les Européens (citoyens, résidents et entreprises de l’Union européenne).
• Un moyen simple et sûr de garder le contrôle sur les informations que vous souhaitez partager
• La possibilité de s’identifier en ligne et hors ligne
• La possibilité de conserver et d’échanger des informations fournies par des autorités publiques et des acteurs privés dignes de confiance
• L’utilisation de ces informations pour attester le droit de résider, de travailler ou d’étudier dans un État membre donné
• Une utilisation à divers niveaux, que ce soit pour le public ou le privé

Le portefeuille européen d’identité numérique est une technologie qui permet de contrôler quelles données nous partageons et l’usage qui pourra en être fait. Il est actuellement en phase de test et sera déployé dans les États membres en 2023.

En soit, l'idée est bonne, et nous pouvons tous déjà la tester en Belgique grâce à nos outils nationaux. Mais pour l'étendre, il est important de garantir que la proposition législative continuera à respecter les fondements européens que sont la vie privée, la confidentialité et la sécurité des données. L'Europe, dans son élaboration de réglementation, a régulièrement recours à des groupes d'experts pour enrichir les débats et éviter les dérives. Espérons que les 500 chercheurs ayant spontanément donné leur avis seront effectivement entendus.