Portefeuille numérique européen : des modifications sur l'interopérabilité et la protection des données
La rapporteure du Parlement européen a présenté un certain nombre de propositions visant à améliorer le portefeuille européen d’identité numérique dans le cadre du nouveau règlement eIDAS.
La rapporteure du Parlement européen a présenté un certain nombre de propositions visant à améliorer le portefeuille européen d’identité numérique dans le cadre du nouveau règlement eIDAS, en se concentrant sur l’interopérabilité, la confidentialité des données et l’égalité d’accès.
La Commission européenne a proposé en juin 2021 un règlement sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS) dans le but d’harmoniser l’identification numérique dans toute l’UE. D’ici 2023, chaque État membre devra mettre un portefeuille d’identité numérique (EDIW) à la disposition des citoyens et des entreprises.
Le dossier a ensuite fait l’objet d’un long conflit de compétences entre les commissions du Parlement européen, qui a abouti à un arrangement complexe avec la commission de l’Industrie (ITRE) en tête, et les commissions de la Protection des consommateurs (IMCO) et des Libertés civiles avec certaines compétences exclusives (LIBE).
Romana Jerković, l’eurodéputée responsable du dossier au sein de l’ITRE, a publié son projet de rapport la semaine dernière en introduisant des modifications importantes au texte original.
« Un cadre harmonisé pour l’identité numérique a le potentiel de réduire considérablement les coûts opérationnels liés aux procédures d’identification, par exemple lors de l’embarquement de nouveaux clients, et de réduire les dépenses ou les dommages liés aux cybercrimes, tels que le vol de données et la fraude en ligne, de soutenir l’innovation et la compétitivité, et de promouvoir la transformation numérique des petites et moyennes entreprises (PME) de l’Union », écrit Mme Jerković dans le rapport.
Selon le rapport, ce cadre vise à « compléter les solutions nationales d’identité numérique » et devrait être utilisé à la fois pour l’identification et l’authentification, en ligne comme hors ligne.
Afin d’assurer une large utilisation du cadre et de réduire le travail administratif, Mme Jerković a proposé l’utilisation du « dites-le nous une fois », selon lequel les citoyens et les entreprises n’auraient pas à fournir les mêmes données aux autorités publiques plusieurs fois.
D’autres changements concernaient la protection des données, l’accès, la transparence et l’identification transfrontalière.
Vie privée et sécurité
Afin de répondre aux préoccupations en matière de respect de la vie privée, la cybersécurité et le respect de la vie privée doivent suivre le principe de « dès la conception ». Selon le projet, « il doit être technologiquement impossible de recevoir des informations sur l’utilisation du portefeuille ou de ses attributs ».
Les données personnelles ne seront stockées et traitées que sur le territoire de l’Union européenne, où le droit de l’Union et le droit national s’appliquent.
Le contenu de l’utilisateur doit être explicitement donné afin de stocker les informations du portefeuille dans le cloud. L’utilisation de la biométrie ne devrait pas être une condition préalable à son utilisation et les données biométriques ne devraient pas être stockées dans le cloud.
Les informations demandées aux utilisateurs doivent être « nécessaires et proportionnées au cas d’utilisation prévu », conformément au principe de minimisation des données.
Lors de la réunion du Conseil des ministres des Télécommunications (3 juin), le ministre italien du Numérique s’est inquiété de l’impact sur la sécurité du Web. En vertu de l’article 45 révisé du plan, les navigateurs seraient obligés d’accepter les certificats d’authentification Web qualifiés, ou QWAC, des autorités de certification, qu’ils répondent ou non aux normes de sécurité du navigateur.
Preuve à divulgation nulle de connaissance
Le rapport propose également de vérifier une affirmation sans révéler les données sources qui la prouvent. Une telle approche, basée sur des algorithmes cryptographiques, permettrait de démontrer l’âge ou la localisation d’une personne, par exemple, tout en préservant la vie privée de l’utilisateur.
De même, l’anonymat pourrait être préservé tout en vérifiant qu’une action est exécutée par une personne réelle. Par conséquent, le rapport affirme que cette approche pourrait aider à lutter contre les bots informatiques et la désinformation.
Accès
Les grandes plateformes qui requièrent l’identification ou l’authentification de l’utilisateur pour accéder à des services en ligne devront être obligées d’accepter les portefeuilles d’identité numérique européenne, sur demande volontaire de l’utilisateur.
L’utilisation des portefeuilles d’identité numérique européens se fera sur une base volontaire et gratuite.
Les utilisateurs ne seront pas limités en ce qui concerne l’accès aux services publics, au marché du travail ou à la conduite des activités commerciales s’ils n’utilisent pas le portefeuille européen et les utilisateurs de ce dernier ne se verront pas accorder de privilèges pour les services publics et privés.
La rapporteure estime que les États membres doivent garantir l’égalité d’accès aux moyens d’identification électronique pour tous, y compris les groupes vulnérables.
Transparence
En ce qui concerne la transparence et la comparabilité de tous les diffuseurs du portefeuille, il a été demandé à la Commission de tenir un registre public, comprenant leurs principales spécifications. Ces informations devraient être mises à la disposition des citoyens et des entreprises par les États membres.
Le projet demande également que les avantages potentiels de du portefeuille soient bien communiqués au public et que l’on s’assure que les citoyens sont compétents pour l’utiliser.
Identification transfrontalière des utilisateurs
La commission ITRE propose la terminologie « identification transfrontalière des utilisateurs » au lieu de « identification unique », comme le propose la Commission européenne, et insiste sur la nécessité de l’interopérabilité.
Chaque pays de l’UE établira son propre portefeuille national, qui devra être interopérable à travers le bloc via « un ensemble minimal de données d’identification personnelle » qui permettra d’identifier les utilisateurs.
Cette nécessité de garantir l’interopérabilité transfrontalière a également été mise en avant lors de la réunion du Conseil des ministres des Télécommunications la semaine dernière. Selon La Haye et Varsovie, le système ne devrait pas être obligatoire, car les institutions publiques devraient continuer à offrir une alternative.
Gouvernance
Un chapitre entier sur la gouvernance a été ajouté au projet de rapport de l’ITRE. Chaque État membre devrait établir ou désigner publiquement au moins une « autorité nationale compétente » et un « point de contact national unique ».
Le point de contact unique est censé avoir une fonction de liaison assurant une coopération transfrontalière et intersectorielle.
Sur la base du projet de rapport de l’ITRE, des amendements peuvent être déposés jusqu’au 28 juin.
