LE MAGAZINE DE LA 
3e JOURNÉE DU DIGITAL
3 SEPTEMBRE 2019

Politique

digitalswitzerland

Société

International

Économie

Éducation

Journeé du digital 2019

Qui a peur de l’e-ID?
Andrea Willimann

La Berne fédérale se dispute sur la vraie nature de l’identité électronique (e-ID). Au tour d’Adrian Lobsiger, Préposé fédéral à la protection des données, de mettre les choses à plat.

Peter Mosimann

Bio:

Adrian Lobsiger le préposé fédéral à la protection des données et à la transparence, est marié, a deux filles adultes et vit à Muri, près de Berne. Cet homme de 59 ans est en fonction depuis trois ans et a été réélu par le Conseil fédéral en avril jusqu’à fin 2023. Auparavant, le docteur en droit était directeur adjoint de l’Office fédéral de la police et chargé de cours sur la lutte contre la criminalité.

Passeport, AVS, carte de crédit: pourquoi me faut-il maintenant encore un autre matricule personnel identifiable pour internet, l’e-ID?
C’est exactement ce genre de malentendu que des experts ont diffusé dans divers médias. Même à l’avenir nous n’aurons pas besoin d’un passeport électronique pour accéder au net. La loi sur l’e-ID ne doit précisément pas introduire de nouvelles contraintes d’identification. Les achats simples, les commandes de billets, les rencontres en ligne doivent demeurer possibles sans identification sécurisée. L’e-ID n’est pas davantage un titre de voyage.

Alors dans quels cas faut-il une e-ID?
Il la faut quand une identification sécurisée est déjà nécessaire aujourd’hui. Par exemple pour l’e-banking, la déclaration d’impôts ou des extraits du casier judiciaire, il y aurait désormais un login fiable. Les données personnelles nécessaires à l’identification seraient fournies par l’Etat à un «provider» qu’il a autorisé. Ce dernier n’aurait pas le droit de transmettre ces données ailleurs.

Mais les banques, par exemple, disposent déjà pour l’e-banking de protections particulières, y compris d’une application de reconnaissance faciale.
C’est justement le point crucial: aujourd’hui, chaque banque, chaque entreprise, chaque administration tributaire d’un login fiable a sa propre solution. L’e-ID, en revanche, constituerait non seulement une simplification mais aussi une standardisation légale de la sécurité technique et de la protection des données.

Et plus tard, le vote électronique et le dossier du patient?
Pas seulement. Les renseignements de protection des données seraient également améliorés. Aujourd’hui, la police et l’administration com­muniquent sur la base de photocopies de pièces d’identité, souvent de mauvaise qualité, les données personnelles qu’elles collectent sur quelqu’un. Il y a là un grand risque que des données hautement sensibles parviennent à la mauvaise personne.

La loi sur l'e-ID empêcherait et n'encouragerait pas l'utilisation abusive des données

Comprenez-vous qu’une partie de la population soit justement préoccupée à l’idée que ce n’est pas l’Etat mais des entreprises privées qui émettent l’e-ID?
Bien sûr que je le comprends. Mais encore une fois, seul l’Etat fournirait les données. Les «providers» d’e-ID privés devraient avoir une autorisation de l’Etat et ne pourraient utiliser les données que pour l’établissement de l’e-ID. La transmission ou la vente à des tiers serait interdite. La solution faisant appel à des privés, qui a aujourd’hui la faveur du Conseil national et du Conseil des Etats, présente en outre l’avantage que des privés sont d’accord de financer et d’exploiter un système d’e-ID. Un système, de surcroît, pour lequel l’Etat fixe les règles.

D’autant plus que de précédents essais purement étatiques comme la Suisse-ID ont été des flops?
Oui. Mais surtout parce que des prestataires privés comme le groupe SwissSign (La Poste, Swisscom, assureurs, banques et autres) pourraient aussi prétendre le faire sans l’Etat.

Qu’est-ce que ça donnerait?
Cela pourrait contraindre l’Etat à reconnaître, pour l’accès aux services en ligne, une e-ID entièrement privée qui prévoirait moins de protection des données et une influence réduite de l’Etat. Et si une telle solution purement privée échouait, la Suisse devrait peut-être un jour recourir à des identi­fications étrangères comme les ID d’Apple ou de Google.

Scénario catastrophe pour un préposé à la protection des données!
Sans loi sur l’e-ID, il serait difficile de contraindre ces fournisseurs d’ID étrangers à séparer strictement les données d’identification et d’utilisateur et de les effacer au bout de six mois. Ou d’empêcher qu’ils ne les exploitent à d’autres fins, qu’ils les transmettent à des tiers ou carrément les vendent.

Mais, à en croire un sondage, c’est exactement cette crainte que beaucoup de gens éprouvent aussi à l’égard de prestataires privés suisses.
La nouvelle loi sur l’e-ID supprimerait la cause de telles craintes. Je demande que l’ordonnance à ce propos soit désormais élaborée rapidement, afin que le citoyen bénéficie d’une transparence pleine et entière.

Quelles données enregistrerait-on?
Il y aurait trois niveaux de sécurité. Au premier figureraient le numéro, les nom, prénom et date de naissance. Au niveau moyen s’ajouteraient le sexe, le lieu de naissance et la nationalité. Et au niveau supérieur une photo du visage.

Donc uniquement les données que je livre volontairement et en toute transparence pour me rendre aux Etats-Unis ...
Ma banque recourt depuis longtemps à la reconnaissance faciale. Beaucoup de privés jouissent aujourd’hui de la confiance de leurs clients, quand bien même ils détiennent des données trèssensibles sur eux. L’économie – et pas seulement l’Etat – peut créer ce lien de confiance. Ou non.

Le scepticisme à l’endroit des privés cache-t-il la peur de vols de données ou plutôt d’attaques de hackers?
Ces risques sont évoqués à juste titre par les contempteurs de l’e-ID. Ce sont des risques réalistes et hautement dangereux: d’une part, il se pourrait que les conditions légales ne soient pas respectées, intentionnellement ou par négligence; d’autre part, une sécurité technique défaillante pourrait causer la perte involontaire de données.

En dépit de ces risques, vous êtes entièrement partisan d’une e-ID semi-privée?
Je m’en tiens à ma conviction que l’on peut élaborer un modèle conforme à la loi sur la protection des données. La peur du risque ne sert à rien. J’attends des «providers» qu’ils prennent des mesures concrètes contre les dangers.

Avez-vous un droit de regard en tant que Préposé à la protection des données? Ou est-ce uniquement le cas de la commission ad hoc choisie par le Conseil fédéral?
En créant cette commission e-ID, le politique entend montrer que le contrôle étatique est pris très au sérieux et qu’un groupe d’experts indépendant, composé de manière équilibrée, assume la responsabilité de l’autorisation étatique. Mais il ne remplace pas ma fonction. En tant que préposé à la protection des données, je veille à ce que les «providers» respectent les prescriptions légales.

Et qu’en est-il de ceux se fichent complètement d’une e-ID?
Tout citoyen peut continuer d’obtenir des services par les voies traditionnelles. Quiconque affirme que l’on peut déduire de la loi sur l’e-ID de nouvelles contraintes d’identification ferait bien d’en relire le texte.