Navigation

Message
Identification électronique (e-ID)

Identification électronique (e-ID)

Plus les technologies évoluent, plus les processus d’affaires se dématérialisent. Pour ef-fectuer des transactions électroniques, il faut pouvoir se fier à l’identité des partenaires et être certain de leur authenticité. L’identification électronique (e-ID) consiste à mettre en place à cet effet un login reconnu par l’Etat, qui permet aux utilisatrices et aux utilisateurs de s’identifier sur Internet de manière claire, sûre et conviviale. L’e-ID est essentielle pour débureaucratiser les formalités administratives, rendre les transactions plus efficaces dans les relations d’affaires et de clientèle, et accroître la sécurité lors de l’identification sur In-ternet. La population, les autorités et les entreprises ont toutes à y gagner.

Sans e-ID, la Suisse à la traîne dans le contexte de la numérisation

De nombreux Etats disposent déjà de solutions d’e-ID reconnues par l’Etat et validées. Celles-ci permettent de gérer les transactions commerciales et les formalités administratives sur Internet, ce qui peut entraîner d’immenses gains de productivité dans les économies concernées. Or en Suisse, c’est un potentiel qui demeure inexploité. La Suisse ne dispose pas encore d’une e-ID reconnue par l’Etat et utilisée sur l’ensemble du territoire, de sorte qu’elle est à la traîne dans le contexte de la numérisation. La mise en place d’une solution d’e-ID nationale comblerait une lacune importante en ce qui concerne les transactions commerciales et les formalités administratives. Une e-ID reconnue par l’Etat est indispensable pour la Suisse et pour son développement numérique. Cela suppose toutefois un solide cadre juridique et normatif: c’est ce que met en place avec la loi fédérale sur les services d’identification électronique (LSIE).

L’e-ID: un login reconnu par l’Etat et validé

L’e-ID est en substance un login reconnu par l’Etat qui permet d’identifier clairement une personne sur Internet. Elle permet par exemple d’établir avec certitude que la personne XY est bien celle qu’elle prétend être. Cela simplifie et sécurise les transactions sur Internet (par ex. les achats dans des boutiques en ligne), l’utilisation des services d’e-banking, ou encore les formalités administratives (par ex. en cas de demande d’un extrait du casier judiciaire).

L’e-ID ne consiste pas à numériser le passeport. Elle n’est pas un document officiel international et est sans rapport avec l’octroi de la nationalité. Nul n’est donc obligé de se faire établir une e-ID.

Certification et surveillance par l’Etat

La LSIE crée un cadre juridique et normatif pour la certification des solutions et des fournisseurs d’identité privés, soit-dire Identity Provider (IdP). Elle prévoit que les prestataires privés de services d’identification électronique peuvent demander une reconnaissance par l’Etat – une certification – en tant qu’IdP. Une commission indépendante (EIDCOM) instituée spécifiquement à des fins de vérification et de surveillance octroie cette certification dès lors que le résultat de l’examen du dossier est positif. Les IdP sont ensuite soumis à la surveillance courante de l’EIDCOM. Outre les exigences techniques et de sécurité, ils doivent respecter à tout moment la Loi sur la protection des données ainsi que les règles supplémentaires de protection des données qui figurent dans la LSIE. En cas de manquement à ces obligations, la LSIE prévoit comme sanction le retrait de la certification.

SBVg_E-ID-Chart_FR.jpg
SBVg_E-ID-Chart_FR.jpg

 

Etablissement et utilisation: les utilisatrices et les utilisateurs maîtres de leurs données

L’e-ID est facultative. Lorsqu’une personne souhaite obtenir une e-ID, il lui suffit de la demander auprès d’un IdP certifié. Celui-ci transmet alors la demande à l’Etat. L’Etat vérifie si la personne est d’accord avec la demande et ne transmet à l’IdP que les données nécessaires à son identification. La personne reste ainsi maître de ses données.

Tel est aussi le cas, logiquement, des utilisatrices et des utilisateurs d’une e-ID. Lorsqu’on utilise l’e-ID, il n’y a d’échange de données que si celui-ci a été autorisé par l’utilisatrice ou l’utilisateur. Seules sont communiquées les données nécessaires au but poursuivi (par ex. la protection de la jeunesse). Si par exemple l’e-ID est utilisée pour vérifier l’âge d’une personne souhaitant accéder à un casino en ligne, l’âge exact de cette personne (par ex. 30 ans) n’est pas communiqué. Il est simplement confirmé que cette personne a plus de 18 ans.

En d’autres termes, les IdP ne disposent pas d’un libre accès aux registres publics. Ces derniers ne peuvent être consultés auprès des services de l’Etat qu’à l’établissement de l’e-ID, et avec l’accord de la personne concernée. Inversement, aucun service de l’Etat n’est impliqué lors de l’utilisation de l’e-ID et aucune information concernant l’utilisation de l’e-ID n’est transmise à l’Etat. Ce dernier ignore donc à quelles fins l’e-ID est utilisée. A noter qu’un tel niveau de protection des données ne pourrait être assuré dans le cas d’une e-ID purement étatique, dans la mesure où, faute d’IdP, l’Etat serait en possession de toutes les données de l’utilisatrice ou de l’utilisateur et serait donc de fait en capacité d’établir des profils de personnalité complets. Dans le cadre du partage des tâches entre l’Etat et le secteur privé tel que prévu par la LSIE, c’est exclu, puisque les données ne sont pas conservées ni gérées de manière centralisée par une seule partie.

Le partage des tâches entre l’Etat et l’économie privée: un dispositif gagnant-gagnant

La première initiative politique fructueuse visant à mettre en place une identification numérique date d’il y a une vingtaine d’années. Elle a été suivie de beaucoup d’autres. Tout au long du processus politique, on a observé les évolutions à l’étranger et testé différents concepts. L’avant-projet du Conseil fédéral reposait sur le principe d’un partage des tâches précis entre l’Etat et le secteur privé – et dans la LSIE, le Conseil fédéral et le Parlement ont repris ce modèle. L’Etat et l’économie privée se complètent mutuellement, combinant leurs points forts dans l’intérêt d’une e-ID conviviale et sûre.

L’économie privée est plus proche du marché et de la clientèle que l’Etat. C’est essentiel, car pour exploiter pleinement le potentiel de l’e-ID, il faut que l’on dispose rapidement de nombreuses applications et que celles-ci soient à la fois sûres et conviviales. En outre, les entreprises privées sont plus réactives aux évolutions techniques, ce qui est important notamment en termes de sécurité des données. L’Etat accomplit toutefois d’autres tâches fondamentales: il est chargé de la reconnaissance et du contrôle des IdP et confirme l’identité des utilisatrices et des utilisateurs au moyen de vérifications officielles. Cette forme de coopération génère de la valeur ajoutée pour tous: la population, les autorités et les entreprises.

La LSIE: un texte équilibré qui renforcera la place économique suisse

Le 1er juin 2018, à l’issue d’un examen approfondi, le Conseil fédéral a publié le message relatif à la LSIE. Cette dernière a ensuite été débattue devant les Chambres fédérales. Il en est résulté un texte équilibré, qui a été adopté à une nette majorité par le Conseil national et le Conseil des Etats lors de la session d’automne 2019.

La LSIE crée une base novatrice pour une e-ID sûre et reconnue par l’Etat. Cela permettra à la Suisse de poursuivre dans la voie de la numérisation et de renforcer ainsi durablement sa place économique.

Position de l’ASB

  • L’ASB soutient la Loi fédérale sur les services d’identification électronique (LSIE) adoptée par le Conseil fédéral et le Parlement. En créant le cadre juridique requis pour une e-ID sûre et reconnue par l’Etat, cette loi permet à la Suisse de poursuivre dans la voie de la numérisation. Cela renforce durablement la place économique suisse.
  • L’ASB salue le partage des tâches entre l’Etat et le secteur privé tel que défini dans la loi. C’est la meilleure solution pour atteindre les trois principaux objectifs visés, à savoir la sécurité, la protection des données et une diffusion rapide de l’e-ID.
  • L’implication du secteur privé est un facteur clé de succès pour l’e-ID. Les entreprises disposent du savoir-faire technologique, des applications et de la proximité avec les utilisatrices et les utilisateurs qui sont nécessaires pour assurer une diffusion rapide de l’e-ID sur l’ensemble du territoire suisse – d’où l’attrait économique de celle-ci. Parce qu’elles sont en contact quotidien avec leurs clients et leurs partenaires commerciaux, elles promeuvent un usage simple et sûr de l’e-ID et contribuent ainsi à son succès. Or ce succès est impératif, dans l’intérêt de la numérisation de l’économie et donc de la compétitivité du pays.
  • La sécurité des données est assurée par l’Etat. La loi prévoit que tout fournisseur d’identité («Identity Provider», IdP) qui souhaite établir des e-ID doit obtenir une certification à cet effet, délivrée par un organisme de reconnaissance officiel. Les IdP sont soumis à la surveillance de la Commission fédérale des e-ID (EIDCOM). Enfin, dans le domaine de l’e-ID, des dispositions plus strictes que celles de la Loi sur la protection des données assurent une très bonne protection aux citoyennes et aux citoyens. En particulier, il est interdit de communiquer les données à des tiers ou de les utiliser à des fins commerciales.