Loi fédérale du 27 septembre 2019 sur les services d’identification électronique (LSIE) (FF 2019 6227)

La loi fédérale sur les services d’identification électronique est disponible sur le site de la Confédération. Comme toutes les lois, elle est plutôt longue à lire (18 pages). Elle a été combattue par un référendum qui a abouti et nous permet de mieux la connaitre.

Les opposants lui trouvent un défaut très important : ce passeport numérique sera délivré par des entreprises privées, avec un contrôle de la Confédération. Parmi ceux qui refusent cette loi, nous trouvons des partis politiques : PS Suisse, le Parti des Vert’libéraux, les Verts et le Parti Pirate, mais aussi les syndicats VPOD et Syndicom, Internet Society Switzerland, droitsfondamentaux.ch, le Conseil suisse des aînés (CSA), l’Association suisse des aînés (ASA), la Fédération des Associations des retraités et de l’entraide en Suisse (FARES), mais c’est la Fondation pour la démocratie directe qui en est le principal instigateur.

Les personnes âgées craignent que des entreprises privées ne leur imposent l’utilisation de l’e-ID, cela malgré les déclarations du Conseil Fédéral qui affirme que ce sera facultatif. Selon les opposants, 8 cantons refusent de soutenir la nouvelle loi, car ils estiment que l’émission de pièces d’identité est une tâche centrale de l’Etat. Et c’est un des principaux arguments des opposants, car la majorité des Suisses souhaite que le passeport numérique soit délivré non par des entreprises privées mais par l’État. Le secteur privé n’inspire pas confiance, surtout en ce qui concerne nos données personnelles.

Qu’est-ce l’e-ID ?

C’est une carte d’identité virtuelle, qui devrait faciliter les démarches auprès des autorités et d’entreprises privées (divers contrats, votations et élections pour un second temps).

Elle permet donc de s’identifier de manière sûre et simple sur Internet, comme le définit le Conseil Fédéral. Par conséquent, l’e-ID contient les données d’identification personnelles officielles habituelles, telles que le nom officiel, la date de naissance, le lieu de naissance ou l’image faciale.

Le besoin d’une identification électronique conviviale et fiable (e-ID) existe en particulier dans le cadre des applications de l’administration en ligne. Jusqu’à présent les cantons, les communes étaient responsables de la manière dont les utilisateurs pouvaient être authentifiés sur leurs portails pour soumettre leur déclaration d’impôts, par exemple. En tant que pilier de la démocratie numérique, l’e-ID sera également utilisée dans l’exercice des droits populaires. En outre, la conclusion de contrats pour lesquels l’identification est obligatoire (conclusion d’un contrat de téléphonie mobile, ouverture d’un compte bancaire) qui exigent une forme écrite serait simplifiée avec une e-ID en ligne.

En ce qui concerne le commerce en ligne, il n’est pas demandé de pièce de légitimation ou signature pour des achats, cela ne devrait normalement pas changer.

Une e-ID de l’État doit être utilisable sur les portails en ligne privés, pour autant que de telles exigences d’identification ou d’exécution d’un contrat le prévoient – mais il n’est pas nécessaire d’avoir une loi qui crée un login universel pouvant être utilisé sur le plus grand nombre de sites web possible.

L’e-ID prévue par la loi prévoit une privatisation qui permet à n’importe quelle entreprise d’être émettrice. Mais cette solution ne remplacera pas tous les mots de passe, puisqu’il s’agit d’une solution nationale, donc pas de connexion à Facebook, Google ni à d’autres fournisseurs internationaux avec votre e-ID.

Par ailleurs, un login central n’est pas seulement problématique au niveau de la protection des données, mais représente également un risque majeur en cas de perte du mot de passe concerné, car tous les services interconnectés en seraient affectés. Ce n’est pas en créant une nouvelle loi sur l’e-ID que la lutte contre les géants internationaux de la technologie pourra être menée à bien, mais plutôt par des dispositions fortes pour la protection des données. Celles-ci sont triplement affectées, d’abord, par une nouvelle base de données centrale créée par l’Office fédéral de la police, utilisation pour la délivrance de l’e-ID par les fournisseurs d’identité (IdP) et finalement pour la mise à jour permanente des données personnelles pour les services en ligne qui utilisent l’e-ID à des fin d’authentifications.

A chaque login, des données sont générées chez les fournisseurs privés de l’e-ID (IdP). Selon la loi toutefois, les IdP ne sont pas autorisés à exploiter commercialement «les données générées par une application de l’e-ID ni les profils d’utilisation basés sur celle-ci». Toutefois les données peuvent être conservées pendant six mois, ce qui est très long. Une solution bien meilleure serait de suivre le principe «Privacy by Design». Ce principe implique de protéger leurs données personnelles dès la conception. Cela signifie que les entreprises ont désormais l’obligation d’intégrer ce principe de protection des données à caractère personnel dès la mise en œuvre de projets impliquant un traitement de données au sein d’une structure. Le fait d’intégrer le concept de protection des données à caractère personnel dès la conception de projets qui s’y rattachent permet de limiter les risques d’un éventuel non-respect des exigences du Règlement Général pour la Protection des Données.

Une personne enregistrée (avec ou sans e-ID) est facilement traçable et ce, en continu. Le risque existe qu’un enregistrement devienne de plus en plus nécessaire pour les transactions quotidiennes et qu’ainsi des profils de personnalité soient créés.

L’e-ID n’est pas un document de voyage reconnu au niveau international même si elle remplit les mêmes fonctions qu’une pièce d’identité officielle lorsqu’elle permet le retrait de lettres recommandées, la conclusion d’un contrat de téléphonie mobile, la certification de l’âge lors de l’achat de spiritueux ou la réception d’un extrait du registre de recouvrement de créances. C’est presque l’équivalent électronique de la carte d’identité.

Le fait que des entreprises privées soient émettrices et promeuvent l’e-ID est vraiment problématique.

Peut-on imaginer par exemple qu’une grande banque délivre une carte d’identité et qu’elle soit votre interlocuteur tout le long du processus, comme par exemple, la demande d’un extrait du casier judiciaire ? Elle et certifiée par la Confédération, mais c’est une entreprise privée, et de ce fait, cela n’est pas acceptable à mes yeux, c’est la privatisation d’un domaine qui appartient et doit rester à l’Etat.

La création d’une commission fédérale d’identification électronique (EIDCOM) pose plus de problèmes qu’il n’en résout. Certes, elle est responsable de la reconnaissance des émetteurs privés (IdP) et habilitée à la retirer. Mais va-t-elle oser et retirer la reconnaissance de l’Etat à une entreprise privée si celle-ci ne respecte pas les conditions, au risque d’invalider plusieurs centaines, voire milliers d’e-ID déjà délivrées ?

Pour toutes ces raisons, nous vous recommandons de voter NON à cette nouvelle loi.