[CH] Votations du 7 mars: quid du e-ID ?
Recevant un certain nombre de requêtes concernant la votation du 7 mars prochain en Suisse portant sur la Loi fédérale sur les services d’identification électronique (LSIE), et n’ayant malheureusement pas encore vu d’analyse sur le site de l’excellent François Charlet, j’ai décidé de mettre la main à la pâte et tenter de répondre à certaines d’entre elles. Bien évidemment, mon analyse ne sera pas aussi poussée que celle d’un juriste, mais j’ose espérer qu’elle permettra d’éclaircir les opinions de chacun sur le sujet. Voyons donc en détail de quoi on parle.
Je précise, à toute fin utile, que les propos utilisés dans cet article n’engagent que moi, et qu’ils servent un but de vulgarisation. Je ne suis pas rémunéré pour cet article (et aucun des précédents, à vrai dire), il ne s’agit donc que de mon avis et de mon expérience personnelle, basée sur les documents de vote distribués.
Qu’est-ce que l’e-ID suisse ?
Premier écueil: de quoi parle-t-on ?
L’e-ID suisse cherche à apporter de la simplicité dans les procédures de vérification d’identité numérique. Je tiens à préciser d’emblée que l’e-ID n’est pas un passeport numérique. J’ai trouvé cette citation intéressante à ce propos, qui émane directement du Conseil fédéral:
Il ne s’agit ni d’un passeport électronique, ni d’une carte d’identité électronique, ni d’une pièce d’identité. Un passeport vous donne des droits. Il montre, par exemple, que vous êtes citoyen suisse et vous permet de voyager. L’e-ID n’est liée à aucun droit particulier, et elle ne vous permet pas de passer un contrôle de police.
La conseillère fédérale Karin Keller-Sutter, pour le journal Cooperation
Le but visé par l’e-ID est donc davantage de vérifier votre identité lorsque vous réalisez des opérations en ligne et de réduire les chances d’usurpation d’identité. Cela sera vraisemblablement réalisé sous la forme que vous connaissez aujourd’hui sous le nom de SSO ou SAML tel que la connexion via votre compte Facebook, Twitter, etc.
La différence fondamentale avec les systèmes de connexion précédemment cités est que vos données sont gérées par des personnes morales, des cantons ou des communes basées en Suisse, stockées en Suisse et vérifiées par la Confédération (fedpol, en l’occurrence). Le but est de protéger vos données selon les modalités suisses. Je doute réellement que ça change quelque chose par rapport à aujourd’hui personnellement, mais j’aimerais être surpris en bien.
Qui s’occupe des e-ID ?
Les e-ID seront créés et émis par des entreprises suisses, des cantons ou des communes (nommés « fournisseurs »), après que votre identité ait été validée par la Confédération. Il y a donc vraisemblablement un peu de paperasse à faire pour en obtenir une, mais cela ne me semble pas être un obstacle infranchissable. Les données d’identification, d’utilisation ainsi que les autres données générées par l’e-ID seront stockées de manière séparées pour éviter de tout perdre si une attaque informatique réussit, malgré les mesures mises en place. C’est un signe encourageant de voir cette disposition dans la loi.
Les organisations chargées de l’émission des e-ID devront au préalable être validés par la Confédération (EIDCOM). Cette validation dure 3 ans, peut être renouvelée ou révoquée par l’EIDCOM. Les modalités de la résiliation sont indiqués dans la LSIE, ce qui est encourageant là aussi.
Les e-ID pourront être gratuites comme payantes, il est encore trop tôt pour se prononcer sur des prix. Mme Keller-Sutter se dit confiante sur le fait qu’elles seront gratuites.
Quelles données va-t-on avoir sur moi ?
J’ai été agréablement surpris de constater que l’e-ID est divisée en plusieurs catégories, nommées « niveaux de garantie », à savoir:
- Faible: contient seulement des informations de base telles que votre numéro e-ID, votre nom d’état civil, votre ou vos prénom(s) et votre date de naissance
- Substantiel: contient, en plus des informations du niveau « faible », votre sexe, votre lieu de naissance et votre nationalité
- Élevé: contient, en plus des informations des niveaux « faible » et « substantiel », votre photographie et d’autres informations que fedpol peut juger importantes d’intégrer
Chaque exploitant qui voudra accéder à vos données (par exemple: un magasin en ligne) devra demander le niveau de garantie qui convient. Pour acheter en ligne, par exemple, le niveau faible sera certainement suffisant, là où pour une administration communale le niveau substantiel sera probablement requis. Il faut savoir que tout niveau de garantie inclus les données du ou des niveaux inférieurs et donc que l’exploitant y aura également accès.
La première fois que vous vous connecterez avec un exploitant, vous devrez accepter explicitement de partager les informations avec lui. Il n’y a pas d’échange automatique sans votre consentement. Il semble que le niveau substantiel permettra de réaliser une signature électronique vous abstenant d’être physiquement présent et remplaçant votre signature physique. Certains exploitants sélectionnés et autorisés explicitement pourront également accéder à votre n° AVS pour réaliser certaines actions. Comme cette information est relativement sensible, je pense que son utilisation sera essentiellement réservée aux organes d’État, mais le texte de loi n’est pas plus clair à ce sujet.
Enfin, dernier élément: l’e-ID protégera certaines de vos informations comme votre âge par exemple, en indiquant simplement si vous êtes mineur ou majeur. Après tout, c’est tout ce qu’un magasin en ligne a besoin pour vous vendre de l’alcool, non ?
Vers un nouveau scandale des fiches ?
S’il est vrai que fedpol aura des informations sur les personnes disposant d’un e-ID, il ne disposera pas d’une vision de ce que vous en faites. Cette vision, réservée à la personne morale, à la commune ou au canton désigné comme fournisseur, ne pourra cependant pas être utilisée pour autre chose que vous procurer les services que vous demandez (donc la vérification de votre identité).
La loi sur les documents d’identité du 22 juin 2001 sera modifiée pour indiquer que fedpol a le droit de traiter les données d’identification dans un cadre stricte (identifier les personnes). Pas de tracking dans la loi, donc. On peut à mon avis être confiants qu’un nouveau scandale ne nous pend pas au nez, sachant que la base légale est en place pour protéger contre ce cas.
Est-ce que ce sera obligatoire ?
Non. La LSIE prévoit que si l’e-ID est mis en place par un exploitant, celui-ci doit impérativement prévoir une seconde méthode de connexion à ses services, pour les personnes qui ne disposent pas d’e-ID. Le but de l’e-ID est donc de simplifier l’identification tout en réduisant les risques d’usurpation d’identité, selon le texte de loi, pas de forcer les gens à l’utiliser.
Et enfin, quel est ton avis ?
Malgré la criante différence de vocabulaire entre celui de la Confédération (identification = vérifier que la personne est bien celle qu’elle dit être) et le vocabulaire de la sécurité informatique (identification = présenter son identité; authentification = vérifier que l’on est bien qui on dit être), je dois dire que je penche davantage pour un « oui » qu’un « non », dans la mesure où le système reste facultatif.
J’ai lu les arguments du comité référendaire, qui ne me semble pour la plupart pas pertinents. Le seul argument que je partage avec eux concerne la collecte de données sur l’utilisation d’une e-ID. Les partisans de l’e-ID diront que c’est pour retracer une utilisation frauduleuse, et leurs détracteurs que c’est pour nous pister et revendre des profils de données. J’ai personnellement tendance à penser que l’on peut faire confiance à la LSIE, notamment grâce à:
- L’article 9 al.1 qui indique que les données peuvent être utilisées par le fournisseur qu’aussi longtemps que l’e-ID n’a pas été révoquée, et uniquement pour procéder aux identifications prévues par la présente loi
- L’article 15 al.1 let.k qui indique que les données d’utilisation seront supprimées après six mois
- L’article 15 al.1 let.l qui indique que le PFPDT (préposé fédéral à la protection des données) est impliqué dans le processus d’accord entre un fournisseur et un exploitant
- L’article 16 al.1 qui indique que le fournisseur ne peut communiquer des informations aux exploitants qui offrent le niveau de garantie requis, qui sont nécessaires pour l’identification personnelle et que le titulaire de l’e-ID a consenti
En bref, je trouve que contrairement à la LRens (voir cet article de François Charlet), qui ne m’a pas convaincu et ne me convainc toujours pas, cette LSIE me semble bien ficelée et aller dans le bon sens.
Ceci reste mon avis personnel et je vous invite fortement à vous documenter via les liens suivants pour vous faire votre propre opinion:
- Texte soumis au vote (LSIE)
- Article « La campagne sur l’e-ID est lancée » de ICTJournal
- L’argumentaire du comité référendaire
- Les autres liens déjà situés dans mon texte, à garder dans leur contexte
Source de l’image d’entête: Pixabay.
6 réflexions sur « [CH] Votations du 7 mars: quid du e-ID ? »
Merci !
Il y a un truc que j’ai du mal à comprendre, c’est en quoi l’e-id protégerait des arnaques sur internet.
Et je me demande si l’e-id ne faciliterait pas l’usurpation d’identité. C’est plus facile de hacker un identifiant e-id plutôt que de se faire passer pour quelqu’un lorsqu’une procédure nécessite de se présenter physiquement non?
Pour répondre dans l’ordre et en fonction de ce que j’ai pu lire du texte proposé (c’est-à-dire sans voir les mesures techniques mises en place), l’e-ID peut participer à la protection contre les arnaques sur Internet car 1) ne pourra pas être exploitant (donc site proposant le login) qui voudra, il faudra faire une demande en bonne et due forme (voir art. 20) qui pourra être refusée par un fournisseur si le service semble frauduleux et 2) parce qu’il faudra donner son accord explicitement à la première utilisation du service, qui explique les éléments partagés (voir art. 15 al.1 let.i)
Concernant l’usurpation d’identité et particulièrement la partie hacker un e-ID, c’est encore un peu flou puisqu’il n’y a pas d’information sur les technologies et moyens qui seront mis en place. En revanche, on sait que la procédure d’établissement d’un e-ID requiert des documents d’identité valides (art. 6 al.1) ce qui réduit grandement la possibilité par un tiers d’établir un e-ID frauduleux. On sait d’expérience qu’aucun système ne peut proposer un risque zéro, mais j’ose imaginer que la mise en place de l’e-ID prenne en compte l’authentification à double facteur comme le laisse penser l’art. 4, al.4 qui indique « Le Conseil fédéral réglemente les différents niveaux de garantie et en particulier les exigences minimales d’identification, en tenant compte de l’état actuel de la technique. ». Je pense qu’on pourra s’attendre à un couple mot de passe et application smartphone si la loi passe.
P.-S: merci pour le lien vers ton blog, je vais aller voir ça 😉
Super – merci Alain pour l’analyse!
Bon il y a des contenus très discutables, et fondateur de http://LiN.mx et de http://CloudReady.ch, on est plutôt « pour » un e-ID. Mais pas celui-ci, copie à revoir:
https://medium.com/suisse-romande/votation-du-7-mars-2021-suisse-f1adc9ce3ebc
Je comprend parfaitement l’argumentaire de l’opposition, notamment sur la question de la gestion ou non par l’Etat. C’est à mon sens une décision qui leur a coûté de faire, pour éviter qu’on les accuse d’organiser le prochain scandale des fiches. En impliquant des acteurs privés dans la boucle, peut-être espèrent-ils atténuer cette crainte. Le texte reste à mon sens bien sécurisant, raison pour laquelle je suis aussi « pour ».
Ce qui m’embête dans les arguments du comité référendaire, c’est d’abord « 8 cantons n’en veulent pas » sans vraiment expliquer pourquoi et en quoi ils ne seraient pas compatibles avec ce nouveau système. Le texte proposé parle explicitement de la possibilité des cantons de servir en tant que fournisseur (art 13, al.2, let.a), le problème n’est-il pas réglé ? Si une entreprise ne vous inspire pas confiance, ne faites pas l’e-ID avec elle, et si vous n’aimez pas l’e-ID, rien ne vous force à en avoir une de toute manière. Ensuite, l’argument du comité des ainés ne tient pas: le texte de loi prévoit explicitement que l’e-ID ne puisse pas être la seule méthode pour obtenir un service. À ce jour et à ma connaissance, seule La Poste décide de rendre vraiment la vie des aînés difficiles en supprimant des prestations et des offices postales partout en Suisse, et c’est un service de droit public détenu par la Confédération. À méditer.