La présidence tchèque du Conseil de l’UE a présenté la semaine dernière un nouveau compromis basé sur un débat au niveau des ambassadeurs sur les questions les plus sensibles qui bloquent l’identité numérique européenne.
Le cinquième compromis, vu par EURACTIV, devrait être discuté lors du groupe de travail sur les télécommunications mardi 25 octobre. Le document résulte de la réunion du Comité des représentants permanents du 14 octobre, destinée à donner une impulsion politique au dossier.
Les Tchèques ont essayé de trouver un terrain d’entente sur les sujets les plus politiquement sensibles, comme les cas d’utilisation, le niveau d’assurance et les fournisseurs de confiance. La réunion de mardi pourrait déterminer si la présidence tchèque doit parvenir à une orientation générale lors du Conseil Télécom du 6 décembre, tant les positions de la France et de l’Allemagne restent difficiles.
Cas d’utilisation
Le portefeuille sera un outil d’identification et d’authentification des personnes et des organisations auprès des autorités publiques et des entités privées. Cependant, comme il contiendra des informations sensibles, il existe également un potentiel d’abus sous forme de fraude ou d’usurpation d’identité.
Par conséquent, la présidence française a introduit le principe selon lequel les organisations qui ont l’intention d’utiliser le portefeuille, les parties dites utilisatrices, devraient informer les autorités nationales des cas d’utilisation.
Le cas d’utilisation limiterait alors le type d’informations qu’une organisation peut demander. Par exemple, si une partie utilisatrice est uniquement autorisée à vérifier si la personne concernée est mineure, elle ne devrait pas être en mesure d’extraire d’autres informations sensibles telles que l’adresse du domicile.
À son tour, la présidence tchèque a laissé le processus d’enregistrement à la discrétion des autorités nationales, qui pourraient décider de ne pas vérifier, dans le cadre de ce qu’elles appellent une « procédure de notification allégée ».
Niveau d’assurance
Le nouveau texte précise que le portefeuille doit être soumis à un schéma de certification spécifique avec un niveau d’assurance élevé en vertu de la loi sur la cybersécurité. Le niveau d’assurance est une question sensible pour certains États membres comme la France et l’Allemagne qui ont réclamé plus de flexibilité.
À cet égard, le document indique que « des lacunes techniques pourraient rendre la réalisation de LoA [level of assurance] « élevé » pour les portefeuilles d’identité numérique européens difficile, c’est pourquoi la présidence recherche activement des moyens d’aborder la question directement dans le règlement.
Par exemple, la présidence étudie la possibilité d’autoriser explicitement l’utilisation de jetons externes comme solution temporaire jusqu’à ce qu’une solution permanente soit trouvée.
Correspondance d’enregistrements
Un obstacle important auquel le Conseil de l’UE a dû faire face dans ce dossier est la question de l’interopérabilité transfrontalière du portefeuille. L’idée de départ était d’avoir un identifiant unique permettant à une même personne d’être reconnue à l’étranger.
Cependant, avoir un numéro unique qui peut être utilisé pour suivre une personne pose un problème constitutionnel en Allemagne. La solution trouvée a été l’appariement d’enregistrements, qui consiste à croiser différentes informations, telles que la date de naissance et le lieu de résidence, pour identifier la personne.
Dans le compromis précédent, les Tchèques proposaient de laisser la possibilité ouverte aux identifiants uniques si cela était autorisé par la législation nationale et une pratique administrative quelque peu indéfinie. Cette exception a été supprimée dans le nouveau texte.
Cependant, la possibilité d’identifier des secteurs spécifiques a été introduite.
Interopérabilité
Le compromis indique que les entreprises Big Tech comme Google et Apple, qui seront désignées comme gardiens en vertu de la loi sur les marchés numériques, devront assurer gratuitement l’interopérabilité des portefeuilles numériques avec leurs systèmes d’exploitation.
Si le texte donne aux pays de l’UE la flexibilité d’inclure dans les portefeuilles des fonctionnalités supplémentaires, il précise également que ces fonctionnalités ne bénéficieront pas d’une reconnaissance transfrontalière.
Les États membres doivent également encourager l’interopérabilité des prestataires de services d’envoi recommandé électronique, qui permettent les transferts de données et les protègent contre les risques de perte, de vol ou de détérioration.
Fournisseurs de confiance
L’identité numérique électronique sera délivrée par des prestataires de services de confiance qualifiés pour être régulièrement audités. Cependant, la présidence a noté des « opinions divergentes » sur la question de savoir si l’autorité de contrôle devrait participer ou non à ces audits prévus.
Par conséquent, le compromis implique que les prestataires de confiance informent l’organe de contrôle bien à l’avance, ce qui permet à l’organe de contrôle de participer aux audits en tant qu’observateur.
De plus, le libellé a été ajouté indiquant que ces services doivent « assurer la sécurité technique et la fiabilité des processus qu’ils prennent en charge, y compris l’utilisation d’algorithmes cryptographiques, de longueurs de clé et de fonctions de hachage appropriés dans les systèmes ».
Sécurité du site Web
Les versions précédentes du texte prescrivaient l’utilisation de certificats d’authentification de site Web qualifiés de fournisseurs de services de confiance dans les navigateurs Web, une approche qui a suscité l’opposition car elle donnerait aux pays le pouvoir sur le service d’établir si un site Web est sûr.
Bien que les préoccupations soient reconnues dans le texte, il n’y a toujours pas de garanties en place pour empêcher le blocage du trafic vers des sites Web spécifiques par les autorités publiques.
Frais
Le texte précise que l’émission, l’utilisation pour l’authentification et la révocation des portefeuilles doivent être gratuites pour les particuliers.
Mesures transitoires
Deux ans ont été prévus pour que les services existants se conforment aux exigences des services de confiance.
En outre, les organisations privées en vertu du droit de l’UE ou du droit national sont tenues d’utiliser des mesures d’authentification en ligne et devront accepter le portefeuille dans un délai de six mois à compter de sa mise à disposition.
[Edited by Nathalie Weatherald]