Les problèmes de l'identité électronique suisse

Données biométriques entre les mains d’entreprises privées, protection des données lacunaires et manque de compatibilité avec l’UE : la Suisse choisit une voie risquée avec sa loi sur l’e-ID.

Un article d’Adrienne Fichter publié par Republik développe les graves problèmes de la loi sur l’e-ID soumise à la votation populaire le 7 mars 2021.

Elle devrait nous permettre d’acheter en ligne, de remplir notre déclaration d’impôts et de nous donner accès aux services numériques publics et privés avec un seul login, c’est la promesse qui nous est faite avec la loi sur les services d’identification électronique.

Il est question, comme nulle part ailleurs en Europe, que ce soient des entreprises privées qui gèrent et vérifient l’identité électronique des citoyens. Ce modèle est irresponsable: la fourniture, la gestion et la vérification des identités est une tâche régalienne et doit être assurée par l’État.

Il faut dire NON à cette loi.

Les partisans de la loi avancent que l’identité électronique sera garantie par la Confédération. Malheureusement, comme le montre la recherche d' Adrienne Fichter, cette argumentation est fallacieuse, et le projet souffre de plusieurs problèmes rédhibitoires.

Les données biométriques sont détenues par des entreprises privées

La Confédération n’a pas voulu publier l’ordonnance d’application de la nouvelle loi avant la votation. La population n’a ainsi pas accès au cœur du fonctionnement de l’e-ID, y compris à des questions techniques fondamentales, ce qui est par ailleurs inacceptable.

L’ordonnance décrit le processus de vérification de l’identité, qui sera effectué par l’entreprise privée qui fournit l’e-ID. Cela signifie que les données biométriques, empreintes digitales, iris de l’œil, photo du visage, etc., seront détenues par les entreprises privées, pour qu’elles puissent faire cette vérification.

Mais alors, comment s’assurer que les entreprises en question n’utilisent pas ces données pour des buts commerciaux ?

La collecte d’une très grande quantité de données est possible

Les promoteurs de la loi nous promettent que la protection des données sera meilleure que dans d’autres projets. Nous sommes malheureusement obligés de les croire sur parole, car là aussi, on passe sous silence qu’une collecte de données massive est possible: le fonctionnement de l’e-ID se fonde la confiance dans le fournisseur d’identité, et non sur la privacy by design. Lors de chaque transaction (login, achat, prescriptions médicales, etc.) les données personnelles sont enregistrées par le fournisseur, et conservées durant 6 mois.

À la tentation d’exploiter ces données pour des raisons commerciales déjà évoqué plus haut, s’ajoute également le risque que les données fuitent, par exemple suite à une attaque (une telle cible est si attractive), ou en raison d’une négligence. L’histoire récente nous a montré que tôt ou tard, on doit s’attendre à de tels épisodes.

C’est le citoyen qui assume toute la responsabilité

En cas d’usurpation ou de vol d’identité, c’est le citoyen qui risque de devoir prouver sa bonne foi, comme l’indique l' art. 12 de la loi.

Quelles sont les « mesures nécessaires et raisonnablement exigibles » pour empêcher des abus ? C’est le flou complet à ce sujet et c’est inadmissible.

La loi n’est pas euro-compatible

Dès le début des discussions sur cette loi, il était prévu, afin d’éviter la paperasserie et une bureaucratie inutiles, que la solution adoptée soit compatible avec la législation de l’Union européenne. Le projet de loi actuel ne l’est pas, et, selon les experts, devrait être fondamentalement modifié pour être rendu conforme au droit européen.

La conséquence ? ce qui devrait nous faciliter les transactions numériques pourrait les rendre impossibles ou plus compliquées à tout le moins : impossible d’utiliser l’e-ID suisse pour accéder aux services fournis par les pays voisins, et vice-versa. Quelle absurdité !

Mais soyons rassurés, la Confédération nous dit maintenant que l’euro-compatibilité n’est plus une priorité.


Ces graves problèmes montrent que la loi e-ID projetée n’est pas adéquate. Il est essentiel de la rejeter.

Sources