Portefeuille numérique : le dossier progresse, mais n’est pas encore bouclé

Les institutions de l’UE ont clôturé des points critiques sur la proposition législative pour un cadre européen relatif à une identité numérique lors d’une session de négociation mercredi soir (28 juin), mais d’autres discussions politiques seront nécessaires pour finaliser le dossier.

Le projet de loi vise à fournir le cadre juridique nécessaire à la mise en place d’un système de portefeuilles numériques nationaux interopérables dans toute l’UE, où les citoyens pourront stocker toutes sortes de documents personnels tels que les permis de conduire et les certificats de naissance.

Les négociations interinstitutionnelles — aussi surnommées « trilogues » — de mercredi entre le Conseil de l’UE, le Parlement et la Commission ont marqué des progrès significatifs dans la résolution de certains des points les plus litigieux du dossier. Toutefois, des parties entières du texte doivent encore être discutées.

« Nous sommes parvenus à un accord politique sur les éléments clés de la proposition », a déclaré Romana Jerković, négociatrice en chef du Parlement européen. « Il reste encore du travail à faire, mais nous sommes très proches de trouver un accord final sur l’ensemble du paquet. »

Certification des portefeuilles

Les portefeuilles devront suivre le système de certification européen dédié à la cybersécurité. La question de savoir s’ils devront également se conformer à la certification relative au règlement général sur la protection des données (RGPD) de l’UE n’est pas tranchée.

Les États membres de l’UE sont parvenus à maintenir volontairement la certification relative à la protection des données. De son côté, le Parlement européen, qui réclamait une mesure obligatoire, a obtenu que la Commission réexamine l’efficacité de cette disposition.

Sanctions

Les pays de l’UE devront fixer des amendes administratives qui pourront être imposées par les tribunaux nationaux compétents ou d’autres organismes, en fonction du système juridique.

Pour les prestataires de services de confiance, l’amende maximale devrait être d’au moins un demi-million d’euros ou de 1 % du chiffre d’affaires annuel mondial total.

Accès des émetteurs de portefeuilles

Le projet initial faisait référence au règlement européen sur les marchés numériques (Digital Markets Act), qui introduit des obligations pour les grandes entreprises technologiques et impose de garantir l’accès des émetteurs de portefeuilles aux fonctionnalités matérielles et logicielles.

Une référence au fait que l’accès doit être fourni dans des conditions équitables, raisonnables et non discriminatoires sera ajoutée au préambule du texte.

Fonctionnalités étendues des portefeuilles

Les députés ont souhaité introduire une liste prescriptive de fonctionnalités supplémentaires pour le portefeuille. Le principe selon lequel le portefeuille devrait permettre l’émission et la révocation en toute sécurité de l’attestation électronique d’attributs, un système permettant de vérifier l’identité d’une personne en ligne tout en préservant sa vie privée, a été retenu dans l’accord.

Pseudonymes

Le Parlement a introduit le principe selon lequel les portefeuilles devraient également être en mesure de générer des pseudonymes et de les stocker localement sur l’appareil.

Portefeuille à portefeuille

Les députés ont également obtenu une disposition selon laquelle les portefeuilles devraient être en mesure d’authentifier en toute sécurité le portefeuille d’une autre personne ou l’attestation électronique d’attributs qui devraient être communiqués en toute sécurité entre les portefeuilles.

Tableau de bord

Le Parlement a introduit un tableau de bord où les utilisateurs pourront voir toutes les activités et données échangées via le portefeuille, demander la suppression de données personnelles conformément à la législation européenne sur la vie privée, signaler toute activité suspecte aux autorités, et télécharger et porter des données.

Signature électronique des portefeuilles

Les législateurs européens et les États membres étaient divisés sur le modèle économique d’utilisation du portefeuille et des signatures électroniques. La délivrance, l’utilisation à des fins d’authentification et la révocation du portefeuille ont été maintenues gratuites pour les personnes physiques, ce qui signifie que les organisations pourraient être facturées.

Pour les signatures électroniques qualifiées, les pays de l’UE pourraient introduire un service payant à partir d’un certain seuil de transactions.

Bourses électroniques

La proposition initiale de la Commission européenne introduisait de nouveaux services de confiance pour les registres électroniques, un système permettant de suivre les transactions sur les comptes.

Malgré les plaintes du Parlement qui estime que cette technologie n’est pas encore au point, les registres électroniques ont été maintenus dans le texte.

Gouvernance

Les États membres devront désigner une ou plusieurs autorités nationales compétentes pour mettre en œuvre le cadre relatif à une identité numérique. Le Parlement européen a obtenu l’introduction de points de contact uniques pour améliorer la coordination transfrontalière.

Les tâches spécifiques de l’autorité nationale doivent encore être discutées sur la base d’un texte proposé par la Commission européenne. Les eurodéputés ont introduit le Conseil du cadre européen  relatif à une identité numérique (European Digital Identity Framework Board, eIDAS), qui aura un rôle de coordination et de conseil.

Certificat d’authentification de site web qualifié

L’un des points sensibles des négociations concerne les certificats d’authentification de sites web qualifiés (QWAC), des systèmes reconnus permettant d’authentifier l’identité de la personne ou de l’organisation à l’origine d’un site web afin d’éviter d’éventuelles escroqueries.

Les fournisseurs de navigateurs web, comme Mozilla Firefox, se sont opposés à l’imposition obligatoire des QWAC, qu’ils considéraient comme pouvant introduire des éléments de contrôle étatique sur l’internet. Les députés ont réussi à introduire la possibilité pour les navigateurs web de prendre des mesures préventives en cas d’atteinte à la vie privée des utilisateurs.

Identifiant unique et persistant

Le concept d’identifiant unique et persistant a été remplacé par un système plus respectueux de la vie privée, qui permet de vérifier l’identité d’une personne sur la base de plusieurs données personnelles, grâce auquel les États membres devront s’assurer de l’identité sans équivoque d’une personne dans un autre pays de l’UE.

Entrée en relation

Le Conseil de l’UE a introduit une formulation selon laquelle l’intégration des citoyens et résidents de l’UE dans le portefeuille européen devrait être facilitée en s’appuyant sur des systèmes d’identification électronique présentant le niveau d’assurance le plus élevé.

Calendrier

Le calendrier de délivrance des portefeuilles a été fixé à deux ans, à compter de l’entrée en vigueur de l’acte d’exécution qui définira les caractéristiques techniques des portefeuilles.

[Édité par Anne-Sophie Gayet]