Les États membres approuvent l’accord sur l’identité numérique européenne

Le Conseil de l’Union européenne a formalisé sa position sur l’identité numérique européenne lors de la réunion du Conseil « Télécommunications » mardi (6 décembre).

L’identité numérique européenne vise à créer une version publique des portefeuilles numériques dans chaque État membre. Ces derniers pourront être utilisés pour identifier, authentifier ou vérifier certains aspects tels que l’âge dans tout autre pays de l’UE.

Ces portefeuilles prendront la forme d’applications pour smartphones. Dans la sphère numérique, l’ambition de l’UE est de concurrencer les systèmes d’identification actuellement proposés par les grandes entreprises technologiques telles qu’Amazon, Google et Facebook.

« Nous envisageons une avancée massive dans la manière dont les gens utilisent leur identité et leurs justificatifs d’identité dans leurs rapports quotidiens avec les entités tant publiques que privées, et dans la manière dont ils utilisent les services numériques », a déclaré Ivan Bartos, vice-premier ministre tchèque chargé du Numérique.

Correspondance des données

La proposition initiale pour garantir que les portefeuilles électroniques nationaux soient compatibles entre eux était d’avoir un identifiant unique, un numéro unique associé à chaque individu. Cette fonctionnalité pourrait toutefois avoir d’importantes répercussions sur le respect de la vie privée, car elle permettrait de pister la personne et poserait un problème constitutionnel à l’Allemagne.

Une solution plus respectueuse de la vie privée a été trouvée dans la correspondance des données (record matching), une fonction que les gouvernements nationaux devront fournir et qui consiste à prendre en compte différents éléments d’information tels que la date de naissance et l’adresse du domicile à partir de documents officiels.

Dans le cadre de cet arrangement, l’identifiant unique a été maintenu, bien qu’un libellé ait été introduit afin d’obliger les États membres à protéger les données personnelles et à empêcher le profilage des utilisateurs.

Des critiques ont prévenu que cela pourrait constituer une faille permettant des pratiques criminelles, en particulier dans les affaires transfrontalières. Les utilisateurs pourraient demander aux États membres de supprimer et de remplacer leur identifiant unique dans un ajout de dernière minute.

Niveau de garantie

Une des questions les plus débattues a été celle du niveau de garantie du portefeuille numérique, qui sera fondamental pour empêcher l’usurpation d’identité. La controverse a été suscitée par le fait que les portefeuilles électroniques nationaux existants, tels que celui de la France, sont incompatibles avec des exigences de sécurité plus strictes.

Une majorité écrasante s’étant prononcée en faveur d’un niveau de sécurité élevé, un compromis a été trouvé en autorisant des procédures de mise à niveau spécifiques pour les utilisateurs de portefeuilles nationaux présentant un niveau d’assurance inférieur.

Parties utilisatrices

Un autre aspect critique était de savoir si les « parties utilisatrices », c’est-à-dire les organisations ou les personnes utilisant l’identité numérique, devaient communiquer aux États membres les informations relatives à leur utilisation. Le texte laisse aux autorités nationales le soin de décider si cette notification est rendue obligatoire.

L’approche de la présidence tchèque du Conseil de l’UE consistait à réduire au minimum les informations requises et à rendre le processus de notification (automatisé ou fonctionnant via de simples procédures d’autodéclaration) rentable et fondé sur le risque.

Parallèlement, le compromis prévoit la possibilité de mettre en place un régime spécifique reposant sur des exigences sectorielles, notamment si les données traitées sont particulièrement sensibles, comme les données de santé.

Certification

Le règlement charge l’Agence de l’Union européenne pour la cybersécurité (ENISA) d’établir un système de certification dans le cadre du règlement sur la cybersécurité de l’UE (Cybersecurity Act), spécifiquement pour le portefeuille électronique. En attendant, les critères communs de la loi sur la cybersécurité s’appliquent.

Les États membres désigneront des organismes publics et privés chargés de certifier les portefeuilles, et les autorités nationales chargées de la cybersécurité pourront procéder à une vérification réciproque des portefeuilles par le biais d’un mécanisme de contrôle mutuel.

Stockage cryptographique

Un aspect fondamental de la sécurité des portefeuilles électroniques est que les documents officiels sont chiffrés et stockés en toute sécurité à l’aide de technologies telles que le Secure Element, une puce conçue pour empêcher tout accès non autorisé aux données sensibles.

Cependant, comme cette technologie n’est pas encore assez répandue dans les smartphones, une mesure de transition a été incluse pour stocker les données chiffrées en dehors du téléphone mobile. Cette mesure peut être réalisée, par exemple, par le biais d’un dispositif externe, jusqu’à ce que le stockage sécurisé certifié soit généralisé dans l’offre du marché.

Interopérabilité

En vertu de la loi sur les marchés numériques (Digital Markets Act, DMA) récemment adoptée, les entreprises technologiques étant bien implantées sur des marchés spécifiques et considérées comme des « contrôleurs d’accès » devront garantir l’accès aux caractéristiques matérielles et logicielles afin d’assurer leur compatibilité avec les produits ou services concurrents.

L’approche générale établit explicitement ce lien avec le portefeuille numérique, en exigeant des « contrôleurs d’accès » qu’ils assurent une interopérabilité gratuite et effective de ses systèmes d’exploitation, dispositifs et services au même niveau que leurs propres produits et services.

Attestation électronique

Toute institution délivrant des documents tels que des diplômes et des certificats de naissance sera habilitée à devenir un fournisseur qualifié. Ces documents auraient la même valeur juridique en format électronique que s’ils étaient sur papier.

Des entités privées pourraient également agir en tant que fournisseurs qualifiés au nom des autorités publiques sous certaines conditions.

Calendrier

Avant l’expiration du délai de deux ans pour la mise en œuvre du portefeuille, la Commission européenne devra adopter des actes d’exécution sur les spécifications techniques et opérationnelles et les exigences en matière de cybersécurité à respecter dans les six mois suivant l’entrée en vigueur du règlement.

[Édité par Anne-Sophie Gayet]