Le Parlement et le Conseil européens sont parvenus à un accord concernant l'introduction d'un nouveau cadre pour une identité numérique européenne, y compris une réglementation sur les portefeuilles d'identité numérique. Le portefeuille d'identité numérique de l'UE aura de nombreuses applications dans les entreprises publiques et privées, ce qui aidera l'UE à atteindre ses objectifs pour 2030 en matière de numérisation des services publics. Cependant, les législateurs conservateurs et les experts en cybersécurité tirent la sonnette d'alarme sur les préoccupations concernant la sécurité et la protection de la vie privée, évoquant des risques de piratage et d'abus à grande échelle.Une législation pour la mise en place d'un portefeuille d'identité numérique dans l'UE
Le Parlement européen et la majorité des États membres sont parvenus le 8 novembre à un accord provisoire sur la mise en place de l'identifiant numérique européen (eID), le premier système central d'identification et entièrement numérique pour tous les Européens. Cet accord conclut les travaux des deux organes législatifs qui visent à mettre en œuvre les résultats de l'accord politique provisoire conclu en juin. Ce dernier a pour but de garantir l'accès universel des personnes et des entreprises à une identification et une authentification électroniques sûres et fiables. Il ouvre la voie à la mise en place d'un portefeuille d'identité numérique.
Le nouveau règlement offrira aux citoyens et aux entreprises la possibilité de relier leurs identités numériques nationales à la preuve d'autres attributs personnels tels que les permis de conduire, les diplômes ou les comptes bancaires. En vertu de la nouvelle législation, les États membres offriront aux citoyens et aux entreprises des portefeuilles numériques qui permettront de relier leur identité numérique nationale à la preuve d'autres attributs personnels (permis de conduire, diplômes, etc.). Les citoyens pourront prouver leur identité et partager des documents à partir de leur portefeuille numérique en cliquant sur un bouton de leur téléphone portable.
Le nouveau règlement stipule que les nouveaux portefeuilles d'identité numérique européens permettront à tous les Européens d'accéder à des services en ligne grâce à leur identification numérique nationale, qui sera reconnue dans toute l'Europe, sans avoir à utiliser des méthodes privées d'identification ou à partager inutilement des données personnelles. Le contrôle de l'utilisateur garantit que seules les informations qui doivent être partagées le seront. Les aspects clés sur lesquels les législateurs et le Conseil européens se sont mis d'accord lors de la réunion de la semaine dernière sont les suivants :
- les signatures électroniques : l'utilisation du portefeuille sera gratuite par défaut pour les personnes physiques, mais les États membres peuvent prévoir des mesures pour garantir que l'utilisation gratuite est limitée à des fins non professionnelles ;
- le modèle économique du portefeuille : l'émission, l'utilisation et la révocation seront gratuites pour toutes les personnes physiques ;
- la validation de l'attestation électronique des attributs : les États membres fourniront des mécanismes de validation gratuits uniquement pour vérifier l'authenticité et la validité du portefeuille et de l'identité des parties qui s'y fient ;
- le code des portefeuilles : les composants du logiciel d'application seront libres, mais les États membres disposent de la marge de manœuvre nécessaire pour que, pour des raisons justifiées, des composants spécifiques autres que ceux installés sur les appareils des utilisateurs puissent ne pas être divulgués ;
- la cohérence entre le portefeuille en tant que moyen d'identification électronique et le système sous-jacent dans le cadre duquel il est délivré a été assurée.
Enfin, la réglementation révisée clarifie le champ d'application des certificats d'authentification Web qualifiés (QWAC), ce qui permet aux utilisateurs de vérifier qui se cache derrière un site Web, tout en préservant les règles et normes de sécurité actuelles bien établies dans le secteur. Le Conseil se félicite de l'accord final : « il s'agit d'une avancée essentielle qui permettra à l'UE de devenir une référence mondiale dans le domaine numérique, en protégeant nos droits et nos valeurs démocratiques », a déclaré mercredi Nadia Calvino, ministre espagnole de l'Économie et de la Numérisation, représentant la présidence espagnole du Conseil européen.
Les fonctionnaires de l'UE vont maintenant travailler sur le texte juridique accompagnant l'accord provisoire, qui sera soumis aux représentants des États membres pour approbation. Après un examen juridique, l'accord provisoire devra être formellement adopté par le Parlement et le Conseil avant d'être publié au Journal officiel de l'UE et d'entrer en vigueur. Les États membres devront alors fournir des portefeuilles d'identité numérique de l'UE à leurs citoyens dans un délai de 24 mois. En vertu de la nouvelle législation, les grandes plateformes telles qu'Amazon et Facebook seront également légalement tenues d'accepter le portefeuille d'identité numérique.
La Commission a lancé en avril quatre programmes pilotes à grande échelle pour le portefeuille d'identité numérique, axés sur le permis de conduire mobile, la santé en ligne, les paiements numériques, l'éducation et les qualifications professionnelles, en investissant un total de 46 millions d'euros dans les projets pilotes. Plus de 250 entreprises privées et autorités publiques de 25 États membres, de Norvège, d'Islande et d'Ukraine participent au projet pilote.
Les préoccupations en matière de sécurité liées au portefeuille d'identité numérique
Les fonctionnaires de l'UE ont vanté les divers avantages du portefeuille d'identité numérique, déclaré que les utilisateurs pourront choisir de ne pas partager leurs données personnelles et affirmé qu'il ne sera pas utilisé pour "le suivi illégal, le traçage ou l'interception par le gouvernement". Toutefois, les experts ont exprimé leurs inquiétudes. Des critiques considèrent le portefeuille d'identité numérique de l'UE comme la pierre angulaire d'un futur "État européen de surveillance numérique", qui permettrait à l'UE et à n'importe quel gouvernement de détenir toutes les informations personnelles de ses citoyens et de suivre leurs moindres faits et gestes.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">🚨 BREAKING: Very bad news. The European Parliament and Member States just reached an agreement on introducing the Digital Identity, <a href="https://twitter.com/hashtag/eID?src=hash&ref_src=twsrc%5Etfw">#eID</a>.<br><br>Directly afterwards, <a href="https://twitter.com/hashtag/EU?src=hash&ref_src=twsrc%5Etfw">#EU</a> Commissioner Breton said: "Now that we have a Digital Identity Wallet, we have to put something in it...",… <a href="https://t.co/SVC5exas9b">pic.twitter.com/SVC5exas9b</a></p>— Rob Roos MEP 🇳🇱 (@Rob_Roos) <a href="https://twitter.com/Rob_Roos/status/1722304545676497141?ref_src=twsrc%5Etfw">November 8, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
« La plus grande honte de cette réforme est le fait qu'il n'existe absolument aucune garantie empêchant les gouvernements qui fournissent le portefeuille de surveiller tout ce que ses utilisateurs font avec », notent les critiques. Dans une lettre ouverte signée par des organisations de la société civile, des universitaires et des instituts de recherche en juin, les experts ont averti que le portefeuille d'identité pourrait créer un risque sans précédent pour chaque Européen dans sa vie en ligne et hors ligne. « Les négociations actuelles du trilogue ont mal fait la distinction entre les cas d'utilisation légitime et les scénarios frauduleux ou abusifs », écrivent-ils.
Les experts ajoutent : « les fonctions respectueuses de la vie privée ne sont pas privilégiées par rapport aux fonctions intrusives du portefeuille ». L'accord a été conclu quelques jours après que 504 experts en protection de la vie privée et en cybersécurité de 39 pays ont signé une lettre commune mettant fermement en garde contre les pièges de la législation : "elle ne respecte pas le droit à la vie privée et ne sécurise pas les communications en ligne". Selon ces critiques, au lieu de protéger les données personnelles, le texte actuel augmente considérablement le potentiel de nuisance, à la fois par des acteurs malveillants et par des abus gouvernementaux.
Par exemple, les experts ont déclaré que les exigences légales des banques et des compagnies d'assurance en matière de connaissance du client sont mises sur un pied d'égalité avec les modèles commerciaux de surveillance des grandes entreprises technologiques. « Dans sa forme actuelle, le système européen d'identité numérique serait un cadeau offert à Google et Facebook pour porter atteinte à la vie privée des citoyens de l'UE. Cela aura un impact sur tous les citoyens de l'UE et les placera à un niveau de protection de la vie privée inférieur à celui des citoyens d'autres régions du monde. C'est une régression par rapport au RGPD », ont-ils déclaré.
Rob Roos, homme politique néerlandais et membre indépendant du Parlement européen, a qualifié ce dernier accord de "très mauvaise nouvelle". Dans une déclaration sur X, Roos a fait part de ses inquiétudes concernant le lien entre le portefeuille d'identité numérique et les monnaies numériques des banques centrales (MNBC), qui, selon les experts en cybersécurité, présentent des risques importants pour le système financier et la vie privée des consommateurs. Roos a également affirmé que les experts en matière de protection de la vie privée et les spécialistes de la sécurité avaient été "ignorés" au cours des discussions sur le dernier accord provisoire.
« Ils sont en train de tout faire passer. Je ne suis pas optimiste. Toutefois, il n'est pas encore trop tard. Le Parlement doit encore voter à ce sujet. Faites savoir à votre député européen que vous vous opposez à l'identité numérique et que vous voulez qu'il vote contre. Ce dernier développement est une mauvaise nouvelle pour la vie privée et la liberté des Européens », a écrit Roos. Selon les experts, en intégrant l'euro numérique au portefeuille d'identité numérique de l'UE, cela constituerait une véritable menace pour la vie privée des Européens, car cela permettrait à l'UE de suivre, et potentiellement de contrôler, la façon dont ils dépensent leur argent.
Les critiques qui mettent en garde contre le contrôle total des finances personnelles des citoyens par le gouvernement au moyen d'une monnaie programmable estiment depuis longtemps que le portefeuille d'identité numérique de l'UE pourrait être la première étape vers une économie gérée par les MNBC. Juste après l'accord, Thierry Breton, commissaire européen chargé du marché intérieur, aurait abondé dans ce sens en déclarant : « maintenant que nous avons un portefeuille d'identité numérique, nous devons y mettre quelque chose ». Selon l'eurodéputé conservateur Roos, ce qu'il voulait dire, c'est l'euro numérique.
Sources : le Conseil européen, lettre ouverte des experts en cybersécurité (PDF)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous du portefeuille d'identité numérique de l'UE ? En quoi cela améliore-t-il la sécurité et la vie privée des Européens en ligne ? Les avantages du portefeuille d'identité numérique l'emportent-ils sur les inconvénients ? Quels sont les risques liés à l'intégration de l'euro numérique au portefeuille d'identité numérique ? Les Big Tech accepteront-ils d'utiliser le portefeuille d'identité numérique de l'UE ? En quoi cela les avantage-t-il ? Le portefeuille d'identité numérique est-il une régression par rapport au règlement général sur la protection des données de l'UE ? Les appels à boycotter le portefeuille d'identité numérique de l'UE seront-ils entendus ? Les Européens ont-ils la possibilité de faire plier l'UE ?Voir aussi
Réforme de l'identité numérique dans l'UE : Le Bon, la Brute et le Truand dans le règlement eIDAS, d'après epicenter.works, European Digital Rights (EDRi) La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF Mauvaise eIDAS : l'UE se tient prête à intercepter et espionner vos connexions HTTPS dans le cadre d'un énième projet qui signe la fin de la confidentialité des communications numériques en Europe