Le Conseil des Etats a récemment accepté à une très large majorité le projet d’identité numérique proposé par le Conseil fédéral. Les déclarations impromptues de plusieurs parlementaires fédéraux dans les médias révèlent leur manque de connaissance et d’intérêt pour les questions liées à la société numérique. Car le projet du Conseil fédéral n’est pas seulement médiocre; il est aussi dangereux.

Dans son approche, le Conseil fédéral estime que l’administration n’a pas les moyens techniques pour développer et fournir une identité électronique aux individus. La Confédération entend donc s’appuyer sur le marché. Le projet vise à édicter un cadre qui régira les aspects légaux concernant les fournisseurs d’identité, les différents niveaux de sécurité, les processus de reconnaissance de l’identité (e-ID) et de révocation, etc. Les informations précises concernant l’ensemble du projet sont disponibles sur le site de la Confédération.

Un projet qui sent la naphtaline

Le Conseil fédéral justifie sa volonté de légiférer au motif que l’économie et la cyberadministration ont besoin d’identifier les utilisateurs de manière formelle. Cette affirmation est évidemment erronée dans la mesure où la nécessité de connaître l’identité d’une personne en ligne pour effectuer une transaction avec elle est plutôt rare. De surcroît, comme l’explique très bien Steve Wilson dans un billet de blog intitulé «Identity is dead» (L’identité est morte), lorsqu’une partie à une transaction souhaite vérifier des informations sur l’autre partie, elle n’a souvent besoin que de vérifier certains attributs. L’âge est un bon exemple.

Une approche prospective aurait également permis aux autorités de s’intéresser à d’autres réflexions sur les questions d’identité numérique. On notera par exemple tout ce qui touche aux notions d’identité souveraine (self-sovereign identity). Ou encore au développement des technologies dites de «preuve à divulgation nulle de connaissance» (zero knowledge proof). Sans entrer dans les détails techniques, l’objectif de la preuve à divulgation nulle de connaissance est de pouvoir démontrer la véracité d’une information sans la partager. Par exemple, si quelqu’un souhaite acheter de l’alcool sur internet et se voit exiger son âge, la preuve à divulgation nulle de connaissance permettrait mathématiquement de prouver que l’âge du consommateur est égal ou supérieur au minimum légal sans pour autant dévoiler l’information exacte.

Ces technologies doivent encore gagner en maturité. Elles témoignent cependant des possibilités futures qui permettront aux individus de gérer eux-mêmes leur identité, et de dévoiler le strict minimum les concernant. L’objectif du Conseil fédéral devrait être de favoriser l’émancipation des citoyens à l’heure de la société numérique plutôt que de les enfermer dans des modèles obsolètes qui nuiront à leurs intérêts. Non seulement, le projet du gouvernement sent la naphtaline, mais le meilleur projet eût été de ne pas en avoir.

Si la Confédération entend reconnaître les identités électroniques qui seraient fournies par des prestataires privés, elle pourrait tout autant le faire si elle émanait des individus eux-mêmes. L’Etat se contenterait alors de reconnaître légalement cette identité émanant de l’individu, plutôt que de forcer les gens à disposer d’une identité dont ils n’ont ni la maîtrise ni la garantie que sa centralisation ne générera pas des dégâts dans leur vie en cas de faille de sécurité. Lorsque le conseiller aux Etats Beat Vonlanthen déclare à l’Agence télégraphique suisse que l’Etat garantira la sécurité des données des identités électroniques, cet optimisme naïf trahit en vérité une ignorance crasse du monde dans lequel nous vivons.

Un consortium qui vous veut du bien…

Le projet du Conseil fédéral fait évidemment saliver bien des entreprises qui voient ici une opportunité économique importante de se positionner sur un segment porteur pour l’acquisition d’informations personnelles. Il en va ainsi du consortium SwissSign qui se présente ainsi sur son site: «Fournisseur de SwissID, SwissSign Group est une co-entreprise composée de sociétés proches de l’Etat, d’établissements financiers, de compagnies d’assurances et de caisses-maladie». On notera parmi ces entreprises: Swisscom, La Poste, CFF, Credit Suisse, UBS, Six Group, CSS, Zurich, etc…

Le processus de vérification de l’identité électronique SwissID reposera sur Digital Alter Ego, selon ICTjournal. Cette solution développée par PXL Vision associe identification biométrique et vision par ordinateur…

SwissSign ne se limite toutefois pas au rôle de «fournisseur d’identité» au sens où le projet de loi du Conseil fédéral l’entend. Le consortium souhaite faire de son SwissID à la fois une identité et une signature électroniques ainsi qu’un identifiant unique pour se connecter à de nombreux services sans aucun rapport entre eux. Si le rêve d’un authentifiant unique pour se connecter partout fait rêver les personnes qui ne connaissent pas bien le fonctionnement du numérique, il est bien plus inquiétant de voir qu’une telle proposition n’inquiète pas davantage les responsables politiques.

De même que la centralisation de toutes ces précieuses informations devrait susciter scepticisme et levée de boucliers. Il n’en est malheureusement rien du côté des parlementaires, sans doute un peu trop habitués à prêter l’oreille aux moindres désirs de ces entreprises qui se présentent elles-mêmes comme «proches de l’Etat»…

Une vision anachronique de la société

Le projet du Conseil fédéral aura des conséquences que le gouvernement ne maîtrisera pas s’il est adopté. Introduire une «identité électronique officielle» va inciter les entreprises à l’exiger à la moindre occasion, même lorsque celle-ci ne sera pas du tout nécessaire pour obtenir un service ou procéder à une transaction. Le texte ne prévoit d’ailleurs pas de situations où l’exigence de l’identité électronique serait considérée comme abusive. On ne se balade pourtant pas dans la rue avec sa carte d’identité collée sur le front…

L’approche des autorités suisses en matière d’organisation de la société numérique est dépassée. Les responsables politiques continuent de penser le numérique avec la même approche «top-down» qui prévalait avant l’émergence des technologies numériques. C’est un changement de mentalité qui doit s’opérer au sein des élites de ce pays pour proposer une vision cohérente et satisfaisante de notre société moderne. Les récents événements qui ont secoué certains pays voisins, notamment la France avec le fameux mouvement des «Gilets Jaunes» ou l’Algérie avec la démission du président Abdelaziz Bouteflika, témoignent que nous vivons aujourd’hui dans un monde où l’approche sera résolument «bottom-up», c’est-à-dire du bas vers le haut.

La société numérique consacre tout à la fois l’individu et l’intelligence collective. Pour en tirer le meilleur, il faut donner à l’individu les moyens d’exercer sa pleine liberté. L’approche visant à corseter l’individu ne correspond plus à notre époque.

Il va également sans dire que les autorités politiques doivent cesser de précipiter les choses. Alors que la révision totale de la Loi sur la protection des données n’est même pas encore sortie des commissions des Chambres fédérales, les parlementaires votent déjà sur un cadre législatif visant à graver l’identité électronique dans le marbre. Alors même que ce projet pose des questions fondamentales sur les données des individus. Plutôt que de courir droit dans le mur, il serait judicieux de commencer à développer une réflexion globale de la société numérique et de la place de l’individu en son sein.

C’est pourquoi le projet d’identité électronique proposé par le Conseil fédéral doit être rejeté sans délai et sans contre-projet. Comme nous l’écrivions plus haut, le meilleur projet en la matière consiste pour l’heure à n’en avoir aucun. Malheureusement, comme les parlementaires ne torpilleront pas ce projet, la seule alternative demeure le lancement d’un référendum. Espérons que des organisations – au hasard la Fédération romande des consommateurs – se saisiront du dossier si celui-ci devait être accepté définitivement par l’Assemblée fédérale.