Nouvelle tentative de compromis sur l'identité numérique européenne (eIDAS)
La présidence tchèque du Conseil de l’UE a fait circuler la semaine dernière un nouveau texte de compromis sur la proposition d’identité numérique européenne, un dossier qui a jusqu’à présent connu des avancées limitées en raison de sa complexité technique.
La présidence tchèque du Conseil de l’UE a fait circuler la semaine dernière un nouveau texte de compromis sur la proposition d’identité numérique européenne (eIDAS), un dossier qui a jusqu’à présent connu des avancées limitées en raison de sa complexité technique.
Le document sera examiné lors des réunions du groupe de travail « Télécommunications » du Conseil de l’UE les 5 et 8 septembre. Les représentants nationaux pourront ensuite soumettre des suggestions de rédaction spécifiques jusqu’au 12 septembre.
Le compromis fait suite à une discussion qui s’est déroulée en juillet au cours de laquelle, à l’exception notable de la France et de l’Allemagne, tous les États membres ont insisté pour que le portefeuille numérique soit un moyen d’identification à part entière, et non pas une simple « coquille vide ».
Le changement le plus important réside dans le fait que les porte-monnaie électroniques européens ont été ajoutés comme moyen d’identification électronique.
Le compromis inclut une définition de « l’identifiant unique et persistant » comme « un identifiant qui peut consister en une ou plusieurs données d’identification nationales ou sectorielles, qui est associé à un utilisateur unique dans un système donné et qui est persistant dans le temps ».
L’article sur l’identification unique a été remplacé par la mise en correspondance des enregistrements, un système plus complexe et plus respectueux de la vie privée qui permet d’identifier une personne en mettant en correspondance plusieurs segments de données personnelles. Toutefois, un identifiant unique est toujours possible dans le cadre du droit national et de la pratique administrative, pour lesquels ce dernier concept reste indéfini.
Bruxelles veut mettre en place une identité numérique européenne
Bruxelles a proposé jeudi (4 juin) un plan pour établir un système d’identification numérique sécurisé…
3 minutes
Les services publics et privés qui envisagent d’utiliser le portefeuille européen à des fins d’identification devront s’enregistrer dans les États membres dans lesquels ils sont établis. Cette garantie a déjà été incluse dans le cadre de la présidence française de l’UE, ces services étant amenés à traiter des données personnelles.
De nouvelles spécifications ont été incluses pour permettre à ces services de s’enregistrer. Les Tchèques ont également prévu une exception pour l’enregistrement dans le cas où l’interaction se produit en « mode entièrement hors ligne ».
Par exemple, si un utilisateur montre un QR code et que le fournisseur de services le scanne, il serait qualifié de totalement hors ligne si les informations du code scanné restent sur l’appareil et ne sont pas transmises à un serveur.
« Du point de vue de la vie privée, cela n’a absolument aucun sens », a déclaré Thomas Lohninger, directeur exécutif d’Epicenter.works, une association de défense des droits numériques. Il souligne notamment qu’une situation physique pourrait en réalité contraindre davantage encore les utilisateurs à accepter de communiquer plus de données que celles qui sont strictement nécessaires.
M. Lohninger estime que les systèmes d’identification électronique pourraient devenir omniprésents dans les dix prochaines années et qu’ils requièrent donc de solides garanties en matière de protection des données. Or, les Tchèques « sacrifient la vie privée à la facilité », affirme-t-il.
Par exemple, le texte ne couvre pas le traitement ultérieur des données qui pourrait avoir lieu après l’interaction.
Portefeuille numérique européen : des modifications sur l’interopérabilité et la protection des données
La rapporteure du Parlement européen a présenté un certain nombre de propositions visant à améliorer…
6 minutes
L’un des points à examiner est la possibilité pour les États membres de prévoir, conformément à la législation nationale, des fonctionnalités supplémentaires telles que l’interopérabilité avec les cartes d’identité électroniques existantes.
En outre, Prague a proposé que la vérification de l’identité de l’utilisateur soit effectuée par des fournisseurs certifiés uniquement au niveau d’assurance le plus élevé plutôt qu’au niveau intermédiaire « substantiel ».
La conformité des portefeuilles d’identité numérique européens avec les exigences définies dans le règlement sera certifiée par des organismes publics et privés accrédités. La présidence tchèque estime que cette accréditation devrait durer deux ans et inclure une évaluation des vulnérabilités qui, si elles ne sont pas corrigées, peuvent entraîner l’annulation de la certification.
Une référence à la loi sur les marchés numériques (DMA) a été ajoutée, indiquant que les émetteurs de portefeuilles d’identité numérique européenne doivent être considérés comme des utilisateurs professionnels au moment d’examiner les seuils qui qualifient les entreprises de « contrôleurs d’accès ».
Les dispositions relatives au recours transfrontalier n’ont été attribuées qu’aux portefeuilles numériques. Le paiement et la monnaie électronique ont en revanche été ajoutés à la liste des secteurs autorisés à utiliser le portefeuille sans base juridique, simplement en raison de leurs conditions de service.
En outre, les Tchèques proposent d’examiner la question de savoir si la Commission devrait être habilitée à adopter une législation secondaire et à imposer l’acceptation du porte-monnaie électronique européen par d’autres services privés, à la demande des utilisateurs.
Le texte prévoit deux options pour le délai accordé aux prestataires de services qualifiés et de confiance pour informer les autorités compétentes en cas de violation ou de perturbation, à savoir 24 ou 72 heures.
Par ailleurs, les autorités nationales chargées de la cybersécurité dans le cadre de la directive révisée sur la sécurité des réseaux et des systèmes d’information (NIS2) devront indiquer aux autorités de surveillance si ces services sont conformes aux exigences de l’UE en matière de cybersécurité dans un délai de deux mois ou justifier leur retard.
La blockchain pourrait bien être l’avenir de l’identité numérique
La Commission européenne a proposé, avant l’été, la mise en place d’un cadre européen pour…
4 minutes
En ce qui concerne les signatures et les sceaux électroniques avancés, la présidence tchèque a laissé à la Commission l’option d’avoir la possibilité ou l’obligation d’établir des numéros de référence de normes.
Les références à l’obligation pour les États membres de reconnaître ces signatures et sceaux électroniques qualifiés ont été supprimées, tandis que de nouveaux articles ont été ajoutés, énumérant les exigences relatives à leur validation.
Un article a été introduit afin de rendre obligatoire la reconnaissance mutuelle des services d’envois recommandés électroniques qualifiés entre tous les pays de l’UE.
Pour ce qui est de la période de mise en œuvre, la présidence tchèque a déclaré que les représentants nationaux seront invités à participer à une discussion générale « lorsque le texte sera plus stable ». Le délai de révision du règlement par la Commission a été déplacé de deux à trois ans après l’entrée en application.
La présidence tchèque a l’intention d’organiser un atelier technique destiné à clarifier le processus d’enregistrement des organisations utilisant les portefeuilles d’identité numérique européens et le processus de certification.
