«Ne bradons pas notre identité en ligne au plus offrant»

Le peuple suisse devrait refuser la nouvelle loi sur l’identité électronique le 7 mars prochain, estime le journaliste spécialisé dans les nouvelles technologies Grégoire Barbey, car donner à des entreprises privées la capacité de gérer l’e-ID représente un risque important.

Ce contenu a été publié le 19 février 2021 – 11:04 Steve Wilson dans un billet de blog intitulé «Identity is dead» (L’identité est morte),Lien externe lorsqu’une partie à une transaction souhaite vérifier des informations sur l’autre partie, elle n’a souvent besoin que de vérifier certains attributs. L’âge est un bon exemple.

«Un seul identifiant pour des services qui n’ont rien à voir entre eux, c’est un seul moyen d’accès illicite à tout ce qui nous concerne.»

End of insertion

Une approche prospective aurait également permis aux autorités de s’intéresser à d’autres réflexions sur les questions d’identité numérique. On notera par exemple tout ce qui touche aux notions d’identité souveraine (self-sovereign identity). Ou encore au développement des technologies dites de «preuve à divulgation nulle de connaissance» (zero knowledge proof).

Sans entrer dans les détails techniques, l’objectif de la preuve à divulgation nulle de connaissance est de pouvoir démontrer la véracité d’une information sans la partager. Par exemple, si quelqu’un souhaite acheter de l’alcool sur internet et se voit exiger son âge, la preuve à divulgation nulle de connaissance permettrait mathématiquement de prouver que l’âge du consommateur est égal ou supérieur au minimum légal sans pour autant dévoiler l’information exacte.

Ces technologies doivent encore gagner en maturité. Elles témoignent cependant des possibilités futures qui permettront aux individus de gérer eux-mêmes leur identité, et de dévoiler le strict minimum les concernant. L’objectif du Conseil fédéral devrait être de favoriser l’émancipation des citoyens à l’heure de la société numérique plutôt que de les enfermer dans des modèles obsolètes qui nuiront à leurs intérêts. Non seulement, le projet du gouvernement sent la naphtaline, mais le meilleur projet eût été de ne pas en avoir. Il n’y a aucune urgence à introduire un modèle d’identité électronique, lequel ensuite façonnera notre rapport aux services numériques pendant de longues années.

Puisqu’il n’y a aucune raison de se précipiter, il vaut mieux refuser cette loi et exiger que la Confédération investisse davantage d’énergie dans un projet plus ambitieux, respectueux de notre intégrité numérique et sans brader ses prérogatives à des entreprises privées qui ont l’arrogance de se décréter «proches de l’État», comme on peut le lire sur le site du consortium SwissSign qui a déjà développé sa propre solution d’identité électronique faisant à la fois office d’identifiant unique et de signature électronique.

«Donner à des entreprises privées la capacité de gérer notre identité électronique, c’est prendre le risque de voir nos vies numériques toujours plus limitées par des intérêts contraires.»

End of insertion

La loi soumise au vote interdit l’utilisation des données personnelles à d’autres fins que le service lui-même et elles ne peuvent pas être communiquées à des tiers, mais comment le citoyen pourrait-il avoir confiance puisque ce sont les autorités de protection des données qui seront chargées de vérifier que les entreprises respectent bien cette interdiction? La question se pose, alors même que les moyens des autorités de protection des données en Suisse n’ont pas augmenté depuis des années, cependant que le volume de travail a lui explosé de façon exponentielle.

La Suisse ne bénéficie aujourd’hui pas d’un cadre légal suffisant pour protéger réellement les données personnelles qui nous concernent, et qui sont constitutives de notre intégrité numérique. Donner à des entreprises privées la capacité de gérer notre identité électronique, c’est prendre le risque de voir nos vies numériques toujours plus limitées par des intérêts contraires. Alors même que l’objectif d’une telle identité électronique serait avant tout de faciliter l’identification des administrés pour obtenir des services de l’État en ligne, il y a fort à parier que les entreprises exigeront systématiquement le recours à cette nouvelle identité, quand bien même cela n’est pas nécessaire ni souhaitable.

Le 7 mars prochain, la question qui nous est posée est simple: sommes-nous prêts à brader notre intégrité numérique au plus offrant? À donner la permission à des sociétés tierces, qui ne nous connaissent pas, d’administrer notre identité, de la définir, de la limiter et d’en être les pourvoyeurs? Cette loi n’est pas urgente, et l’accepter en l’état, c’est assurément donner trop de pouvoirs à des entreprises qui ne se gêneront pas de nous identifier à chaque occasion. Internet n’est pas une abstraction du monde réel, c’est le monde réel. Quand nous sortons acheter un paquet de chips, personne n’exige que nous déclinions notre identité. Il serait incompréhensible qu’il en soit autrement en ligne. Et c’est pourtant ce qui se produira si nous acceptons cette mauvaise loi.