Réforme eIDAS : la Commission estime qu’un identifiant unique n’est « pas nécessaire »
Dans sa proposition modifiant le règlement établissant un cadre pour une identité numérique européenne, la Commission a proposé un « dispositif d’identification électronique unique et permanent » très controversé sur lequel elle fait maintenant marche arrière.
Dans sa proposition modifiant le règlement établissant un cadre pour une identité numérique européenne, la Commission a proposé un « dispositif d’identification électronique unique et permanent » très controversé sur lequel elle fait maintenant marche arrière.
L’identifiant unique et permanent figure parmi les dispositions les plus controversées de la réforme du règlement eIDAS sur l’identification électronique et les services de confiance pour les transactions électroniques dans le marché unique européen.
En Autriche et aux Pays-Bas, il serait illégal pour le gouvernement de suivre ses citoyens en utilisant un seul identifiant pour toutes ses bases de données ou les services d’identification électronique du secteur privé. En Allemagne, la cour constitutionnelle a même jugé inconstitutionnels de tels identifiants permanents pour les citoyens, alors que d’autres pays, comme la Belgique, les utilisent déjà.
« Il n’est pas nécessaire d’avoir un identifiant unique et lorsque des identifiants sont utilisés, les garanties juridiques et techniques les plus strictes doivent être appliquées », a confié un porte-parole de la Commission à EURACTIV.
Les amendements les plus récents de la commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen, cheffe de file dans ce dossier, et le précédent rapport de l’eurodéputée Romana Jerković peuvent également être considérés comme des tentatives de rectification de ce problème.
Les amendements suggèrent que les identifiants uniques ne devraient être utilisés que dans un contexte transfrontalier, et qu’au niveau national, la décision devrait appartenir aux États membres.
Problèmes liés à l’identifiant unique
Un identifiant unique permettrait « un niveau de suivi et de profilage des citoyens, ce qui est en contradiction avec l’objectif de toute la réforme de redonner aux utilisateurs le contrôle de leurs données », a indiqué Thomas Lohninger, directeur général de l’association de défense des droits numériques epicenter.works.
« Le fait que la Commission elle-même se dérobe à sa propre proposition ne fait qu’ajouter une preuve supplémentaire de la dangerosité d’un tel identifiant unique et permanent », a déclaré M. Lohninger.
À titre de compromis, M. Lohninger suggère que les identifiants soient seulement « uniques pour chaque service ». De cette manière, les entreprises sauraient si elles ont déjà interagi avec une personne, mais elles ne seraient pas en mesure de faire la corrélation entre le comportement des utilisateurs et les différents secteurs ou entreprises.
Les dommages éventuels après un vol d’identité seraient plus limités si différents identifiants étaient attribués, selon Patrick Breyer, eurodéputé écologiste et rapporteur fictif de la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen, qui se prononce également sur le dossier.
Toutefois, cette solution est plus complexe à mettre en œuvre, et les pays qui n’utilisent déjà qu’un seul identifiant sont susceptibles de conserver leurs systèmes.
Un partage excessif des données
La Commission a également précisé que dans la grande majorité des cas, comme pour la location d’un vélo, les achats en ligne ou les réseaux sociaux, les identifiants ne sont pas nécessaires. « La proposition est claire sur ce point : l’utilisation d’identifiants ne doit être possible que dans les cas où cela est requis par la loi [du pays où la transaction a lieu] », a souligné le porte-parole.
Il existe de nombreux cas d’utilisation et d’attributs, tels que les certificats de vaccination ou les ordonnances électroniques, qui ne nécessitent pas d’identification et qui doivent être traités en toute sécurité, « selon le principe du respect de la vie privée dès la phase de conception », a ajouté le porte-parole.
En outre, les militants pour la protection de la vie privée craignent que les plateformes en ligne ne demandent un maximum de données. L’exécutif européen a précisé que dans les cas où le portefeuille est utilisé pour l’authentification des plateformes en ligne, seuls les attributs minimums pour le service spécifique peuvent être demandés.
« En outre, un système d’enregistrement pour les fournisseurs de services a été proposé afin de garantir que ces derniers n’aient accès qu’aux données auxquelles ils ont droit », a déclaré le porte-parole de la Commission.
Authentification Web
Outre les aspects controversés concernant les identificateurs uniques et le partage des données, l’article 45 sur l’authentification Web a également suscité de nombreux débats.
Diverses propositions sont à l’étude sur la manière d’aborder la question de l’authentification des pages Web.
Les leaders de l’Internet ont exprimé leur inquiétude quant à la proposition de la Commission, l’article 45, qui obligerait les navigateurs Web à accepter un système de certificats QWAC (Certificat qualifié d’authentification de site Internet) provenant d’autorités de certification (AC), indépendamment du fait qu’ils répondent ou non aux normes de sécurité du navigateur.
Les leaders du Web affirment que cela représenterait de graves menaces et des fragilités pour la sécurité du Web.
Jusqu’à présent, les navigateurs s’assurent d’abord que les AC satisfont à leurs normes, a confié Marshall Erwin, responsable du spécialiste de l’intelligence de la confiance chez Mozilla, à EURACTIV. Cependant, l’idée derrière la proposition actuelle est que « cela créerait un processus parallèle dans lequel les États individuels décideraient en fonction d’un ensemble de normes non spécifiées ».
Certains partis politiques du Parlement ont proposé de supprimer purement et simplement l’article. D’autres ont proposé des amendements par lesquels les navigateurs Web pourraient conserver le droit de suspendre un certificat QWAC lorsque la vie privée et la sécurité de l’utilisateur final sont compromises.
Le vote sur les amendements et le rapport final en commission ITRE est prévu pour le 26 octobre prochain, et le vote final en plénière pour le mois de novembre.
