La présidence tchèque s'attelle à la question de l'identité numérique européenne
En amont de la réunion du groupe de travail sur les télécommunications de mercredi, la présidence tchèque du Conseil de l’UE a fait circuler un quatrième texte de compromis sur l’identité numérique européenne (eID).
En amont de la réunion du groupe de travail sur les télécommunications de mercredi (28 septembre), la présidence tchèque du Conseil de l’UE a fait circuler un quatrième texte de compromis sur l’identité numérique européenne (eID), qu’EURACTIV a vu.
Le Conseil se concentre désormais sur les questions relatives aux méthodes de travail exactes du portefeuille de l’identité numérique européenne.
Le texte découle des commentaires et suggestions reçus des délégations en septembre, suite à la présentation et à la discussion du troisième compromis du Conseil les 5 et 8 septembre.
La Commission a adopté la proposition de ce règlement le 3 juin 2021, modifiant le règlement eIDAS de 2014, qui permettait de sécuriser les transactions transfrontalières. En raison de ses complexités techniques, le dossier n’a enregistré jusqu’à présent que des avancées modestes.
« Il faut clarifier de toute urgence certains aspects, comme les coûts, mais aussi l’utilisation hors ligne et l’interaction avec d’autres réglementations », a déclaré à EURACTIV Rebekka Weiß, responsable de la confiance et de la sécurité à l’association numérique allemande Bitkom.
L’utilisation hors ligne
Le dernier compromis a modifié les définitions d’« utilisation hors ligne des portefeuilles d’identité numérique européenne » et d’« utilisation entièrement hors ligne des portefeuilles d’identité numérique européenne » en « utilisation hybride des portefeuilles d’identité numérique européenne » et « utilisation hors ligne des portefeuilles d’identité numérique européens », respectivement.
L’utilisation hybride désigne une interaction entre un utilisateur et une partie utilisatrice dans un lieu physique, où le portefeuille ne nécessite pas d’accéder à des systèmes distants via des réseaux de communication électronique aux fins de l’interaction.
D’autre part, l’utilisation hors ligne désigne une interaction entre un utilisateur et une partie utilisatrice dans un lieu physique, dans laquelle ni le portefeuille ni la partie utilisatrice ne doivent accéder à des systèmes à distance.
La présidence tchèque a maintenu la dérogation pour les organisations qui utilisent le portefeuille pour leur inscription, considérant qu’il s’agit d’une application à moindre risque. Cependant, l’organisation devra toujours maintenir un minimum d’informations par des moyens automatisés ou semi-automatisés.
Certification et cas d’utilisation
Selon Mme Weiß, il est positif que l’aspect de normalisation et de certification soit également inclus dans le développement du portefeuille et des cas d’utilisation correspondants.
« Pour les utilisateurs finaux, la certification et l’égalité des exigences au sein du marché européen créent la confiance nécessaire pour que le portefeuille d’identité soit largement utilisé », a déclaré Rebeka Weiß.
Le texte de compromis précise que la conformité aux exigences relatives aux niveaux d’assurance des systèmes d’identité électronique pourrait être certifiée, par exemple, par un système de certification de cybersécurité pertinent, comme le fait actuellement l’Agence européenne de cybersécurité ENISA.
Le quatrième compromis met davantage l’accent et fait plus référence aux cas d’utilisation. « Cela montre clairement, une fois de plus, que le développement des identités numériques et du portefeuille n’est pas une fin en soi », déclare Mme Weiß.
Ainsi, le texte fournit des exemples d’utilisation de grands livres électroniques dans les services numériques publics et une explication de la relation avec le règlement sur les transferts de fonds.
La priorité doit toujours être accordée au potentiel existant et aux simplifications que le portefeuille apportera aux citoyens et aux entreprises, ainsi qu’à l’administration (numérique), a-t-elle ajouté.
Protection des données
Suite à plusieurs demandes des Etats membres, la présidence tchèque a précisé qu’au moins deux facteurs d’authentification différents devront être utilisés pour une identification solide de l’utilisateur, qu’il s’agisse de la connaissance, de la possession ou de l’inhérence de l’utilisateur.
Selon le texte de compromis, ces facteurs doivent être indépendants, au cas où l’un d’eux serait violé, et conçus pour protéger la confidentialité des données d’authentification.
En outre, la proposition qui sera discutée mercredi est la suggestion de certains États membres de faire en sorte que les prestataires de services de confiance qualifiés délivrant des certificats qualifiés prennent en charge des algorithmes cryptographiques de pointe.
Le concept de divulgation sélective des données, qui devrait contribuer à la protection des données personnelles par la minimisation des données, a été élaboré. « La divulgation sélective est un concept qui permet au propriétaire des données de ne divulguer que certaines parties d’un ensemble de données plus vaste, afin que l’entité destinataire n’obtienne que les informations nécessaires », indique le texte.
