Le Conseil de l’UE a officialisé sa position sur l’identité numérique européenne lors de la réunion du Conseil Télécoms de mardi 6 décembre.
L’identité numérique européenne vise à créer une version publique des portefeuilles numériques dans chaque État membre qui peut être utilisée pour identifier, authentifier ou vérifier certains aspects tels que l’âge dans tout autre pays de l’UE.
Ces portefeuilles prendront la forme d’applications pour smartphones. Dans la sphère numérique, l’ambition de l’UE est de concurrencer les systèmes d’identification actuellement proposés par les entreprises Big Tech comme Amazon, Google et Facebook.
« Nous assistons à une avancée massive dans la manière dont les gens utilisent leur identité et leurs identifiants dans leurs contacts quotidiens avec des entités publiques et privées, et dans la manière dont ils utilisent les services numériques », a déclaré Ivan Bartos, vice-Premier ministre tchèque chargé de la numérisation.
Correspondance d’enregistrements
La proposition initiale pour s’assurer que les portefeuilles électroniques nationaux se parlent était d’avoir un identifiant unique, un numéro unique associé à un individu. Cependant, cette fonctionnalité pourrait avoir des implications importantes sur la vie privée car elle peut suivre la personne et pose un problème constitutionnel pour l’Allemagne.
Une solution plus respectueuse de la vie privée a été trouvée dans la correspondance des enregistrements, une fonctionnalité que les gouvernements nationaux devront fournir et qui consiste à considérer différentes informations telles que la date de naissance et l’adresse du domicile à partir de documents officiels.
Dans le cadre de cet arrangement, l’identifiant unique a été maintenu, bien qu’un libellé ait été introduit obligeant les pays de l’UE à protéger les données personnelles et à empêcher le profilage des utilisateurs.
Les critiques ont averti que cela pourrait créer un point faible pour les abus criminels, en particulier dans les affaires transfrontalières. Les utilisateurs pourraient demander aux États membres de supprimer et de remplacer leurs identifiants uniques lors d’un ajout de dernière minute.
Niveau d’assurance
Une question très débattue a entouré le niveau d’assurance du portefeuille numérique, qui sera fondamental pour prévenir le vol d’identité. La polémique a été stimulée par le fait que les portefeuilles électroniques nationaux existants comme le français sont incompatibles avec des exigences de sécurité plus strictes.
Comme il y avait une majorité écrasante pour un niveau de sécurité élevé, un compromis a été trouvé en autorisant des procédures d’intégration spécifiques pour les utilisateurs de portefeuilles nationaux avec un niveau d’assurance inférieur.
Parties de confiance
Un autre aspect critique était de savoir si les soi-disant parties utilisatrices, les organisations ou les individus qui utilisent l’identité numérique, doivent communiquer cela aux États membres sur leur utilisation. Le texte laisse aux autorités nationales le pouvoir discrétionnaire de rendre ou non la notification obligatoire.
L’approche de la présidence tchèque a consisté à minimiser les informations requises et à rendre le processus de notification automatisé ou via de simples procédures d’auto-déclaration rentables et fondées sur les risques.
Parallèlement, le compromis inclut la possibilité d’avoir un régime spécifique basé sur les exigences sectorielles, notamment, si les données traitées sont particulièrement sensibles comme les données de santé.
Certificat
Le règlement charge l’ENISA, l’agence de cybersécurité de l’UE, de délivrer un système de certification en vertu de la loi sur la cybersécurité de l’UE spécifiquement pour le portefeuille électronique. D’ici là, les critères communs de la loi sur la cybersécurité s’appliqueront.
Les États membres désigneront des organismes publics et privés pour certifier le portefeuille, et les autorités nationales de cybersécurité pourront vérifier mutuellement les portefeuilles via un mécanisme d’examen par les pairs.
Stockage cryptographique
Un aspect fondamental de la sécurité des portefeuilles électroniques est que les documents officiels sont cryptés et stockés en toute sécurité à l’aide de technologies telles que Secure Element, une puce conçue pour empêcher l’accès non autorisé aux données sensibles.
Cependant, comme cette technologie n’est pas encore assez répandue dans les smartphones, une mesure transitoire a été incluse pour stocker les données cryptées en dehors du téléphone mobile, par exemple via un jeton externe, jusqu’à ce que le stockage sécurisé certifié soit largement répandu dans l’offre du marché.
Interopérabilité
En vertu de la loi sur les marchés numériques récemment adoptée, les entreprises technologiques si ancrées sur des marchés spécifiques pour être désignées comme gardiens devront garantir l’accès aux fonctionnalités matérielles et logicielles pour s’assurer qu’elles sont compatibles avec les produits ou services concurrents.
L’approche générale rend explicite cette interconnexion avec le portefeuille numérique, exigeant des contrôleurs d’accès qu’ils garantissent une interopérabilité gratuite et efficace de ses systèmes d’exploitation, appareils et services au même niveau que leurs propres produits et services.
Attestation électronique
Toute institution délivrant des attributs tels que des diplômes et des certificats de naissance sera habilitée à devenir un fournisseur qualifié. Ces documents auraient la même valeur juridique sous forme électronique que s’ils étaient sur papier.
Des entités privées peuvent également agir en tant que prestataires qualifiés pour le compte des pouvoirs publics sous certaines conditions.
Chronologie
Avant le début du délai de deux ans pour la mise en œuvre du portefeuille, la Commission devra adopter des actes d’exécution sur les spécifications techniques et opérationnelles et les exigences en matière de cybersécurité à respecter dans les six mois suivant l’entrée en vigueur du règlement.
[Edited by Nathalie Weatherald]