• Story

L’e-ID entre protection des données et transparence

08.09.2024 Deuxième tentative pour une e-ID : rejetée par le peuple en 2021, l’identification électronique devrait néanmoins être possible en Suisse à partir de 2026. Nous clarifions les questions en suspens.

L’essentiel en bref

  • L’e-ID arrive. Probablement en 2026.
  • La mise en œuvre donnera la priorité soit à un échange de données facilité avec d’autres systèmes, soit à une haute protection des données.
  • La BFH conseille le monde politique et examine l’e-ID sous toutes ses coutures.

Annett Laube, professeure d’informatique à la BFH, a activement accompagné la naissance de l’e-ID avec son groupe de recherche. En tant que membre engagée du Technical Advisory Circle de la Confédération, elle a participé à diverses auditions et réunions participatives relatives à la loi sur l’e-ID au Palais fédéral. Elle répond à nos questions sur l’avancement du dossier.

Professeure Laube, qu’est-ce qu’une e-ID exactement ?

L’e-ID est le pendant électronique de la carte d’identité en plastique que l’on garde dans son porte-monnaie. Elle est amenée à remplacer cette dernière, du moins en partie.

Et pourquoi la Suisse en a-t-elle besoin ?

L’un des avantages est que l’État n’aura plus besoin d’émettre des cartes en plastique. Les gens n’auront plus besoin que de leur smartphone et pourront laisser tout le reste à la maison. C’est clairement un avantage. Et bien sûr, l’e-ID permettra de s’identifier non seulement dans le monde réel, mais aussi dans le monde numérique. Ce qui est impossible avec une carte en plastique.

Quelques clarifications : explications concernant l’e-ID

Pas un login

L’e-ID est une preuve d’identité et non un login. L’e-ID sert à l’onboarding, c’est-à-dire à la création d’un compte par exemple. Le login s’effectuera alors à l’aide d’une procédure d’authentification à deux facteurs tout à fait habituelle.

Pas un passeport

L’e-ID ne convient pas au tourisme ou à la circulation des personnes. Elle ne remplacera pas le passeport. On continuera à utiliser un passeport ou une carte d’identité à la frontière. Mais pour ouvrir un compte bancaire à l’étranger, on pourrait utiliser son e-ID.

Pas un cloud

Un smartphone, idéalement équipé d’un élément sécurisé (SE), sera nécessaire. L’e-ID est enregistrée dans le smartphone. Si on la supprime, désinstalle l’application wallet (portefeuille électronique) ou perd son smartphone, on devra demander une nouvelle e-ID. Il n’y a pas de cloud à partir duquel on puisse tout restaurer en appuyant sur une touche.

Où en est l’e-ID en Suisse ?

La Suisse est un peu à la traine. Elle a fait quelques tentatives, peut-être un peu trop hâtives (SuisseID). Les électrices et électeurs ont rejeté la première initiative d’e-ID, plutôt soutenue par l’économie privée, en 2021.

La mise en place d’une e-ID coute 100 millions de francs suisses. Cela en vaut-il la peine ?

Il est évident que jusqu’à présent, l’e-ID ne s’est imposée nulle part. À l’exception de pays comme l’Estonie, où les citoyen-ne-s sont obligé-e-s d’utiliser une e-ID. Actuellement, je ne vois pas encore de solution miracle (Killer Use Case) pour l’e-ID.

De plus, la Suisse compte déjà de nombreuses identifications numériques, par exemple Edu-ID, SwissPass, Swiss-ID, les logins des autorités fiscales cantonales, etc., susceptibles d’être remplacés un jour par l’e-ID. Je m’attends toutefois à ce que cette consolidation de l’e-ID ne produise ses effets qu’au cours des 20 prochaines années.

 

La loi impose deux exigences qui ne peuvent pas être satisfaites simultanément.

Annett Laube
Annett Laube , responsable de l’Institute for Data Applications and Security

Comment concevoir une e-ID qui fonctionne ?

Il existe fondamentalement deux approches technologiques pour concevoir une e-ID. L’une met davantage l’accent sur la transparence, l’autre sur le respect de la sphère privée.

L’approche actuellement prônée par l’UE notamment mise sur la transparence et attribue un numéro unique à fournir lors de chaque identification. Ce système pourrait être utilisé pour du profilage et augmente le risque d’abus. En effet, il serait en théorie possible de faire le lien entre différentes utilisations d’une e-ID.

Et l’autre approche ?

La deuxième approche fait appel à des technologies qui rendent difficile une telle association abusive de chaque identification. La loi fédérale sur l’identité électronique prévoit que le système suisse protège la sphère privée tout en étant compatible avec les systèmes d’e-ID en dehors des frontières nationales. Cela place les personnes chargées de la mise en œuvre devant un casse-tête, car un système ne peut pas être interopérable avec l’UE et protéger la sphère privée des citoyen-ne-s. La loi impose deux exigences qui ne peuvent pas être satisfaites simultanément.

Ce que la BFH étudie actuellement en matière d’e-ID

Données vérifiées (verifiable credentials)

Nous étudions des approches qui permettent de vérifier l’identité sans que les données laissent de traces visibles.

Identification de la personne détentrice (holder binding)

Nous étudions des moyens de prouver que la ou le propriétaire d’un smartphone est autorisé-e à utiliser l’e-ID sur cet appareil. Et ce, si possible, sans divulguer des données clairement identifiables.

Révocation

Nous clarifions ce qui se passe en cas de perte d’une e-ID. Actuellement, les e-ID perdues sont placées sur une liste noire d’identités dites « révoquées ». Nous cherchons des moyens rendant cela possible sans créer de risques pour la protection des données.

Comment gérez-vous cette contradiction ?

En favorisant l’un des deux aspects. Il a été décidé, lors de la réunion participative du 4 juillet 2024, qu’en Suisse, l’identité électronique devait évoluer vers l’interopérabilité – soit vers le modèle européen.

Quelle est la contribution de la BFH sur le sujet de l’e-ID ?

L’e-ID n’en est qu’au stade de concept et de prototype au sein de l’UE également. Quelle que soit la technologie qui finira par s’imposer : de nombreuses questions passionnantes restent ouvertes.

À la BFH, nous nous intéressons aux concepts souvent encore assez abstraits dans la législation et étudions comment les technologies les plus récentes permettent de les mettre en œuvre. Nous nous posons des questions : est-ce faisable techniquement ? Un smartphone peut-il faire cela ? Est-ce compréhensible pour les citoyen-ne-s ? Notre recherche appliquée permet des tests en situation réelle.

En savoir plus