L’identité électronique est une carte d’identité numérique délivrée par la Confédération. Si la loi sur l’e-ID est acceptée ce dimanche, cette carte numérique facultative et gratuite sera enregistrée sur le téléphone portable des personnes qui souhaiteront l’obtenir.

Elle permettra de prouver son identité en ligne, par exemple pour commander un extrait de son casier judiciaire, ouvrir un compte bancaire ou obtenir un permis de conduire électronique. Il sera aussi possible de l’utiliser afin de prouver son âge en ligne, notamment pour commander de l’alcool.

L’identité électronique pourra également être utilisée dans le monde réel, comme une carte d’identité physique. En cas de oui dans les urnes, l’e-ID sera lancée au plus tôt à l’été 2026.

Loi sur l’e-ID (Le Conseil fédéral suisse)

Le peuple suisse avait refusé l’introduction de l’e-ID en 2021 notamment parce qu’il était prévu qu’elle soit émise par des entreprises privées, ce qui présentait des risques pour la protection des données personnelles. Cette nouvelle version de l’identité électronique, qui est cette fois émise par l’État, a été adoptée par le parlement en 2024. Le référendum lancé par le groupe Intégrité numérique Suisse, les Jeunes UDC, l’Union Démocratique Fédérale, les Amis de la Constitution, le Parti pirate et Mass-Voll a abouti en mai de cette année.

Voici les principaux arguments dans les camps du oui et du non, suivis de mon avis sur cette identité électronique.

Les avantages de l’e-ID

• Elle garantirait une meilleure protection de la sphère privée. Jusqu’à présent, les internautes qui doivent prouver leur identité, par exemple pour conclure un abonnement de téléphonie mobile ou ouvrir un compte bancaire, sont parfois tenus d’envoyer une photocopie ou un scan de leur carte d’identité. Une procédure peu sûre en terme de protection des données personnelles car il n’y a en général pas de garantie sur qui a accès à ces informations ni sur la façon dont elles sont traitées et éventuellement enregistrées. Lors d’une utilisation de l’e-ID, les autorités et entreprises ne pourront consulter et enregistrer que les données nécessaires à l’opération concernée. Par exemple, un magasin en ligne d’alcool pourra s’assurer que ses clients sont majeurs mais ne connaîtra pas leurs dates de naissance. Dans ce cas, les personnes utilisant l’e-ID divulgueront moins d’informations qu’en présentant leur carte d’identité.

• Elle permet de faire des démarches administratives depuis chez soi. L’e-ID permet d’obtenir des documents officiels ou signer des contrats sans devoir se rendre au guichet d’une administration cantonale ou d’une banque. Ceci peut être particulièrement avantageux pour les personnes en situation de handicap ou à mobilité réduite, à condition qu’elles aient un smartphone et soient à l’aise avec l’informatique. Il sera également possible d’obtenir ces services administratifs en dehors des heures d’ouverture des guichets, ce qui offre plus de flexibilité à la population, argumente le conseiller national Gerhard Andrey, vice-président du Groupe de députés chargés des questions informatiques au parlement.

• Elle permet de mieux prouver l’identité des personnes. «À l'ère de l'intelligence artificielle et du “deep-fake”, la monnaie d'échange sera l'authenticité. Une identification électronique fiable devient donc de plus en plus importante», affirme Gerhard Andrey.

• Elle renforce la souveraineté numérique de la Suisse. L’e-ID est gérée par la Confédération et hébergée dans des centres de données en Suisse, ce qui réduit les risques d’abus. Si la loi est rejetée, des grandes entreprises technologiques internationales pourraient s’emparer du marché et imposer des moyens d’identification électronique privés, explique la conseillère fédérale Elisabeth Baume-Schneider.

Les inconvénients de l’e-ID

• Elle peut divulguer davantage de données personnelles. Les données contenues dans l’e-ID pourront être demandées non seulement par des institutions publiques (par exemple l’administration fédérale lorsqu’elle veut s’assurer de l’identité d’une personne demandant un extrait du casier judiciaire), mais également par des entreprises privées «lorsque cela est absolument nécessaire pour la fiabilité de la transaction, notamment pour prévenir des fraudes et des vols d’identité.» (Article 23, alinéa 1.b de la loi sur l’e-ID), souligne le comité «Loi sur l’e-ID Non». Si l’identité électronique est acceptée par le peuple, il y a donc un risque que des plateformes en ligne, qui se contentaient jusqu’à présent d’une adresse e-mail pour effectuer une transaction, demanderont à l’avenir des données de notre carte d’identité numérique. Ceci représenterait un recul de la protection de nos données personnelles.

• Elle n’est pas complètement sûre. «Les projets numériques de la Confédération comme celui de l’identité électronique sont souvent présentés comme étant étatiques, mais ce n’est pas tout à fait exact: les portefeuilles [un type d’application sur le téléphone] qui contiendront l’e-ID seront installés sur des smartphones sur lesquels l’État n’a aucun contrôle», met en garde Adrian Lobsiger, préposé fédéral à la protection des données. L’Office fédéral de la justice a indiqué au Temps avoir conscience de cette potentielle dépendance vis-à-vis des fabricants de smartphones sur le plan du matériel, des systèmes d’exploitation et des magasins d’applications. Comme l’e-ID serait stockée sur les téléphones portables, ceux-ci devront être dotés de technologies capables de garantir la sécurité des clés cryptographiques, ce qui n’est pas toujours le cas. À ce stade, la Confédération n’a pas encore trouvé de solution technique pour garantir que les entités demandant des informations de l’e-ID, comme des magasins en ligne par exemple, ne pourront pas relier ces données à d’autres informations concernant le ou la titulaire de l’e-ID.
  De plus, il est possible que des fournisseurs privés de portefeuilles électroniques pourront aussi être admis pour la conservation et la présentation de l’e-ID à l’avenir «dans la mesure où ils respectent des prescriptions strictes édictées par le Conseil fédéral», selon une proposition de la Commission des affaires juridiques du Conseil des États. Le fait que des entreprises technologiques privées hébergeraient l’e-ID représente un risque supplémentaire en termes de surveillance et de fuite de données car nous ne connaîtrons pas les codes sources de ces applications, à moins qu’ils soient rendus publiques. De plus, s’il s’agit d’entreprises étrangères, il se peut qu’elles soient soumises à des lois plus permissives en ce qui concerne la protection des données personnelles.

• Elle pourrait accroître la surveillance de masse. Chaque e-ID est reliée à un identifiant unique, qui est stocké dans un registre de base centralisé. «Des identifiants uniques sur toutes les informations de l’e-ID permettraient de surveiller le comportement des citoyennes et des citoyens: cela violerait leur vie privée et comporterait des risques, tels que la discrimination, le contrôle et la manipulation des comportements individuels et des démocraties», s’inquiète le comité «Non». Il ajoute que «l’impossibilité de relier entre elles les données de l’e-ID et/ou d’autres données n’est garantie nulle part dans la loi.»

• Elle renforce le capitalisme de surveillance. Le commerce des données de l’e-ID n’est pas exclu par la loi sur la protection des données et pourrait donc alimenter l’économie de la surveillance, argumente le comité «Non». Celui-ci explique que «grâce à l’e-ID, les entreprises peuvent collecter, relier et analyser les données à leur guise et en tirer des profils de comportement des citoyennes et des citoyens. Ceux-ci peuvent être utilisés à des fins publicitaires ou d’influence politique.» Les données personnelles vérifiées par l’État sont «extrêmement précieuses» dans le commerce des données, souligne Monica Amgwerd, secrétaire générale d’Intégrité numérique suisse. Si la loi passe, elles risquent donc de se retrouver sur des serveurs d’entreprises technologiques suisses et étrangères.

• Elle augmente les risques de piratage. En numérisant les données des cartes d’identité et des passeports, l’e-ID accroît la quantité de données personnelles sensibles se trouvant dans le cyberespace. Ces données sont particulièrement précieuses car elles ont été vérifiées par la Confédération et permettent de relier les internautes à leur identité officielle. La valeur élevée de ces informations représente un risque supplémentaire car des cybercriminels ou d’autres acteurs chercheront probablement à les obtenir.
  Rappelons qu’en 2023, la police fédérale fedpol, qui est en charge de l’e-ID, avait confié des données hautement sensibles à un prestataire informatique externe qui a ensuite été la cible d’une cyberattaque. Plus de 900 gigaoctets de données volées ont alors été publiés sur le darknet. En début d’année, une cyberattaque contre la caisse de compensation de Swissmem a permis à un groupe de pirates informatiques de dérober plus de 300 gigaoctets de données. Parmi celles-ci se trouvent des informations personnelles d’employés d’entreprises sensibles travaillant avec l’armée, comme Ruag ou Crypto.

• Elle implique parfois la collecte de données biométriques. Si l’e-ID est acceptée, les personnes qui souhaiteront l’obtenir pourront en faire la demande dans un bureau de passeport ou en ligne. Dans ce deuxième cas, fedpol pourra collecter des données biométriques lors de la vérification de l’identité (Article 17, alinéa 4 de la loi sur l’e-ID). Les données biométriques, très sensibles, sont obtenues par une analyse informatique du visage. Ce sont ces données qui alimentent les logiciels de reconnaissance faciale, un type de surveillance par intelligence artificielle de plus en plus utilisé à travers le monde.

• Elle ne restera peut-être pas facultative. La loi sur l’e-ID ne garantit pas que celle-ci restera dans tous les cas optionnelle. Il est donc possible qu’elle soit imposée petit à petit pour certains usages.

• Elle coûte cher. Les coûts de mise en oeuvre jusqu’en 2028 se montent à 182 millions de francs. Les frais d’exploitation à partir de 2029 sont estimés à environ 25 millions de francs par an.

Commentaire

Cette votation s’inscrit dans un contexte déjà fragile en Suisse en ce qui concerne la protection de la vie privée et la surveillance d’État. Une révision partielle de deux ordonnances liées à la surveillance des communications, qui a récemment été mise en consultation par le Conseil fédéral, s’apparente à une extension massive du domaine de la surveillance de nos communications numériques, selon un commentaire du Temps que j’ai cité dans mon article «La Suisse pourrait basculer dans une société de surveillance».

Directeur d’une société de cybersécurité, Alexis Roussel fait partie des opposants à la loi sur l’e-ID. Dans une opinion publiée sur Le Temps, il écrit: «Comment pouvons-nous croire que le Conseil fédéral veuille protéger notre vie numérique quand il modifie l’ordonnance sur la surveillance des communications et fait fuir hors de Suisse les entreprises qui développent des outils qui nous protègent, comme Proton et Threema? Le paradoxe atteint un sommet!»

La confiance des citoyennes et citoyens envers la Confédération avait déjà été mise à mal en 1989 avec «le scandale des fiches». Une Commission d’enquête parlementaire avait découvert que le gouvernement surveillait 900’000 personnes dans le pays. Près de quarante ans plus tard, la quantité de données écrites et audio qui peuvent être collectées et analysées a augmenté de manière massive, tout comme le nombre d’images et de vidéos. «En outre, il y a les données biométriques et génétiques, ainsi que le flot de métadonnées, telles que les données de position, qui sont générées par l’utilisation de smartphones», détaille Adrian Lobsiger, le préposé fédéral à la protection des données, dans un article publié sur 24 heures. Toutes ces données peuvent potentiellement faire l’objet d’une surveillance, d’autant plus que la puissance de calcul informatique pour les analyses et les comparaisons a également fortement augmenté depuis 1989. L’intelligence artificielle renforce elle aussi la surveillance de masse.

Cette nouvelle loi sur l’e-ID pourrait donc accroître la surveillance en ligne, notamment en la facilitant. Alors que les transactions sur internet se passent jusqu’à présent entre un site et un internaute, il est possible que dans le futur l’État soit également impliqué dans ces transactions. L’article 3, alinéa 4 de la loi sur l’e-ID indique que sur demande d’un vérificateur privé (par exemple un magasin en ligne), l’Office fédéral de l’informatique et de la télécommunication confirmera que l’identifiant (l’e-ID) transféré par l’internaute lui appartient. L’État recevra donc un signal que tel identifiant a été fourni à tel vérificateur, c’est-à-dire que telle personne s’est inscrite ou a fait un achat sur tel site.

De plus, l’identité électronique mettrait fin à l’anonymat des internautes vis-à-vis des entreprises privées dans certains cas, en raison de leur droit à la demander «pour prévenir des fraudes et des vols d’identité». Quel usage ces sociétés privées, suisses et étrangères, feront-elles dans ce cas des données contenues dans les identités électroniques? Respecteront-elles la protection des données? Revendront-elles ces informations à des courtiers de données? Il sera difficile de le savoir.

Un nouveau cyberespace

Il semble que nous sommes à l’aube d’une transformation majeure du cyberespace. Jusqu’à présent, nous avons navigué sur internet dans une relative anonymité, en utilisant tel pseudonyme ou telle adresse e-mail selon le site où nous nous trouvons. Nous sommes désormais en train d’avancer vers un univers numérique où les sites et les réseaux sociaux connaîtront, petit à petit, notre identité officielle.

Il s’agit d’un enjeu international. Alors que nous nous apprêtons à nous prononcer sur l’identité électronique, d’autres pays ont déjà franchi le pas (par exemple la Chine, l’Estonie, l’Allemagne et le Danemark) ou sont en train de le faire (le Royaume-Uni, la Belgique, l’Italie, l’Espagne, le Portugal). L’Union européenne aimerait qu’au moins 80% de ses citoyennes et citoyens accèdent à un portefeuille numérique d’ici 2030. Le lancement de la «EU Digital Identity Wallet» est prévu l’année prochaine afin de permettre aux citoyens, résidents et entreprises en Europe «de prouver qui ils sont lorsqu’ils accèdent à des services digitaux».

Les plateformes ont aussi un autre moyen de relier les internautes à leur identité officielle. Il s’agit de la vérification de l’âge qui est désormais obligatoire sur certains réseaux sociaux et dans certains pays, avec comme but affiché d’en interdire l’accès aux enfants. Pour s’assurer que leurs utilisatrices et utilisateurs ont plus de 16 ans, par exemple, ces plateformes leur demandent en général une photographie de leur pièce d’identité et un selfie. On passe donc d’une utilisation basée sur un pseudonyme à une utilisation basée sur une identité officielle. C’est le cas notamment au Royaume-Uni, en Australie, en Espagne et dans plusieurs États aux États-Unis. De nombreux autres pays envisagent d’instaurer des mesures similaires.

Une autre mesure controversée est en train d’avancer dans l’Union européenne. Un projet législatif surnommé «Chat Control» vise à contrer le partage d’images et vidéos d’abus sexuels sur des enfants ainsi que la sollicitation de mineurs par des pédocriminels en ligne. Ce texte doit être soumis au vote du Conseil de l’Union européenne en octobre. S’il est adopté, les plateformes et les messageries, y compris celles qui offrent un chiffrement de bout en bout telles que Signal ou WhatsApp, auront l’obligation d’analyser tous les messages, images et vidéos échangés sur leurs applications et de signaler aux autorités les contenus interdits. Il s’agirait d’une surveillance généralisée de nos conversations en ligne.

Dans cette vidéo publiée par GBNews, la journaliste Bev Turner explique les risques liés à la «BritCard», l’identité numérique au Royaume-Uni. Selon elle, cette e-ID britannique «est la fondation d’un État de surveillance».

Digital ID Trap: Why You Should Be Worried About Government Overreach (GBNews)

Des risques de cybersécurité

L’utilisation d’une identité électronique représente un risque en terme de cybersécurité. Dans son livre Information Security Essentials, Susan E. McGregor, de l’Institut des sciences des données de l’Université de Colombia, recommande deux principes fondamentaux pour réduire les risques de vols de données sur internet. Le premier est la compartimentation, c’est-à-dire la division, la séparation. Il s’agit par exemple de ne pas utiliser le même mot de passe sur plusieurs sites. Ainsi, si un mot de passe se fait voler dans une cyberattaque, les hackers ne pourront l’utiliser que pour accéder à une seule plateforme. Le deuxième principe est la minimisation des données. Il s’agit de réduire la quantité de nos données personnelles qui sont accessibles aux autres, ce qui atténue le risque que ces données soient volées et exposées.

En utilisant l’e-ID sur plusieurs sites, c’est-à-dire le même login, cela va à l’encontre du principe de compartimentation. En numérisant les données de notre carte d’identité ou de notre passeport, puis en communiquant ces informations à des sites, cela va à l’encontre du principe de minimisation des données.

Privacy is power, ft. Carissa Veliz, Roger McNamee & Carole Cadwalladr (The Citizens)

Une pente glissante

Est-ce qu’accroître le risque de voir nos données personnelles être la cible de cyberattaques est recommandable? Est-ce que faciliter la surveillance de nos activités en ligne et de nos achats, que ce soit par des États ou par des entreprises privées, est une bonne idée? La prudence serait de répondre non à ces questions.

Lire aussi: Une numérisation prudente vaut-elle mieux pour la démocratie? Aperçus depuis l’Estonie et la Suisse (Swissinfo)

Toutefois, face à une généralisation progressive de la vérification de l’identité sur internet, cela peut être un moindre mal que d’utiliser une e-ID délivrée par la Confédération plutôt que de confier nos données personnelles à des entreprises privées, mais seulement lorsque cela est absolument nécessaire.

Il est important de souligner que nous sommes en train d’avancer sur une pente glissante en ce qui concerne la protection des données personnelles sur internet. Captations des informations de nos cartes d’identité, analyses biométriques de nos visages, peut-être bientôt la surveillance de nos communications privées… Toutes ces pratiques se font au nom de la sécurité ou de la protection des enfants. Mais des messages en ligne qui sont légaux aujourd’hui pourraient devenir illégaux demain, de façon totalement arbitraire.

Prenons comme exemple les États-Unis, où Donald Trump attaque le droit à la liberté d’expression et a déclaré que le mouvement antifasciste «Antifa» est désormais considéré comme une «organisation terroriste domestique». Et si un jour ce genre de pratiques antidémocratiques se répandaient également en Europe? Les États connaîtront alors nos activités en ligne et prendront pour cibles celles et ceux qu’ils considéreront comme des opposants politiques.

Dans un monde où les crises s’accumulent de plus en plus, atteignant parfois des sommets de cruauté et d’injustice, restons attentifs aux changements qui s’opèrent dans le cyberespace, miroir des mouvements politiques dans le monde réel. Avec un bel objectif, toujours: la préservation et le renforcement de la démocratie.

- Arnaud Mittempergher