La présidence tchèque de l'UE présente un nouveau compromis sur l'identité numérique européenne
La présidence tchèque du Conseil de l’UE a présenté un nouveau compromis la semaine dernière, suite à un débat mené au niveau des ambassadeurs pour aborder les questions les plus sensibles faisant obstacle à l’identité numérique européenne.
La présidence tchèque du Conseil de l’UE a présenté un nouveau compromis la semaine dernière, suite à un débat mené au niveau des ambassadeurs pour aborder les questions les plus sensibles faisant obstacle à l’identité numérique européenne.
Le cinquième compromis, consulté par EURACTIV, devrait être discuté au sein du groupe « Télécommunications » mardi (25 octobre). Le document résulte de la réunion du Comité des représentants permanents du 14 octobre, destinée à donner un nouvel élan politique au dossier.
Les Tchèques ont essayé de trouver un terrain d’entente sur les sujets les plus politiquement sensibles, tels que les cas d’utilisation, le niveau de confiance et les fournisseurs fiables. La réunion de mardi pourrait déterminer si la présidence tchèque parvient à dégager une approche générale lors du Conseil « Télécommunications » du 6 décembre, alors que les positions de la France et de l’Allemagne restent problématiques.
Cas d’utilisation
Le portefeuille sera un outil d’identification et d’authentification des personnes et des organisations auprès des autorités publiques et des entités privées. Or, dans la mesure où il contiendra des informations sensibles, il existe également un potentiel de dérives sous forme de fraude ou d’usurpation d’identité.
C’est pourquoi la présidence française de l’UE avait introduit le principe selon lequel les organisations qui ont l’intention d’utiliser le porte-monnaie, les « parties intéressées », doivent informer les autorités nationales des cas d’utilisation.
Le cas d’utilisation limiterait alors le type d’informations qu’une organisation peut demander. Ainsi, si une partie utilisatrice n’est autorisée qu’à vérifier si la personne concernée est mineure, elle ne devrait pas être en mesure d’extraire d’autres informations sensibles telles que l’adresse du domicile.
La présidence tchèque a quant à elle laissé le processus de déclaration à la discrétion des autorités nationales, qui peuvent décider de ne pas procéder à une vérification, dans le cadre de ce qu’elles appellent une « procédure de notification allégée ».
Niveau de confiance
Le nouveau texte précise que le portefeuille doit être soumis à un système de certification spécifique avec un niveau d’assurance élevé en vertu de la loi sur la cybersécurité. Le niveau de confiance est une question sensible pour certains Etats membres tels que la France et l’Allemagne qui ont demandé plus de flexibilité.
À cet égard, le document indique que des « lacunes techniques pourraient rendre difficile l’obtention d’un niveau de confiance “élevé” pour les portefeuilles d’identité numérique européens, c’est pourquoi la présidence cherche activement des manières d’aborder cette question directement dans le règlement ».
La présidence tchèque étudie ainsi la possibilité d’autoriser explicitement l’utilisation d’un dispositif externe comme solution temporaire jusqu’à ce qu’une solution permanente soit trouvée.
Correspondance des enregistrements
Un obstacle important auquel le Conseil de l’UE a dû faire face dans ce dossier est la question de l’interopérabilité transfrontalière du portefeuille. L’idée initiale était de disposer d’un identifiant unique permettant de reconnaître une même personne à l’étranger.
Toutefois, le fait de disposer d’un numéro unique permettant de suivre une personne pose un problème constitutionnel en Allemagne. La solution trouvée a été la correspondance des enregistrements, qui consiste à recouper différentes informations, telles que la date de naissance et le lieu de résidence, pour identifier la personne.
Dans le compromis précédent, les Tchèques proposaient de laisser la possibilité d’utiliser des identifiants uniques si le droit national et une pratique administrative quelque peu indéfinie le permettaient. Cette exception a été supprimée dans le nouveau texte.
La possibilité d’utiliser des identificateurs sectoriels a toutefois été introduite.
Interopérabilité
Le compromis indique que les grandes entreprises technologiques comme Google et Apple, qui seront désignées comme contrôleurs d’accès en vertu de la loi sur les marchés numériques (DMA), devront garantir gratuitement l’interopérabilité des portefeuilles numériques avec leurs systèmes d’exploitation.
Bien que le texte accorde aux pays de l’UE la possibilité d’inclure dans les portefeuilles des fonctionnalités supplémentaires, il stipule également que ces caractéristiques ne bénéficieront pas d’une reconnaissance transfrontalière.
Les États membres doivent également encourager l’interopérabilité pour les fournisseurs de services d’envois recommandés électroniques, qui permettent les transferts de données et les protègent contre les risques de perte, de vol ou de détérioration.
Fournisseurs de confiance
L’identité numérique électronique sera délivrée par des fournisseurs de services de confiance compétents qui seront régulièrement contrôlés. La présidence a toutefois noté des « points de vue divergents » sur la question de savoir si l’autorité de surveillance doit participer ou non à ces audits programmés.
Le compromis prévoit donc que les prestataires de services de confiance informent l’organe de surveillance bien à l’avance, permettant à ce dernier de participer aux audits en tant qu’observateur.
En outre, la formulation ajoutée stipule que ces services doivent « garantir la sécurité technique et la fiabilité des processus qu’ils prennent en charge, notamment en utilisant des algorithmes cryptographiques, des longueurs de clé et des fonctions de hachage appropriés dans les systèmes. »
Sécurité des sites web
Les versions précédentes du texte prévoient l’utilisation de certificats qualifiés d’authentification de site web délivrés par des fournisseurs de services de confiance dans les navigateurs web. Cette approche a suscité l’opposition, car elle donnerait aux pays un pouvoir sur le service leur permettant de déterminer si un site web est sûr.
Bien que ces inquiétudes soient reconnues dans le texte, il n’y a toujours pas de garanties en place pour empêcher le blocage du trafic vers des sites web spécifiques par les autorités publiques.
Droits d’utilisation
Le texte précise que l’émission, l’utilisation à des fins d’authentification et la révocation des portefeuilles doivent être gratuites pour les particuliers.
Mesures de transition
Un délai de deux ans a été prévu pour que les services existants se conforment aux exigences des services de confiance.
En outre, les organisations privées relevant du droit communautaire ou national sont tenues d’utiliser des mesures d’authentification en ligne et devront accepter le portefeuille dans les six mois suivant sa mise à disposition.
