Loi fédérale sur les services d’identification électronique (LSIE) : un petit oui, mais un OUI !

Rarement un domaine aussi technique que celui soumis à la votation le 7 mars prochain n’aura suscité autant de prises de positions, souvent négatives, dans le paysage médiatique, qu’il s’agisse de la presse ou des réseaux sociaux.

Un argument ressort bien souvent : celui de la souveraineté de l’Etat. Comment la Confédération ose-t-elle se départir de son rôle et s’en remettre à une entité privée pour « gérer » notre identité ? A une époque où elle est fréquemment utilisée pour influencer les opinions, la peur est hélas bien souvent mauvaise conseillère. Le cas d’espèce ne fait pas exception à la règle. Remettre l’église au milieu du village n’apparaît donc pas inutile quelques jours avant la votation.

Bien naïf celui prêt à croire que l’infrastructure informatique sur la base de laquelle repose aujourd’hui très largement l’administration des collectivités publiques serait le seul fait de développements internes à l’administration.

Pour prendre un exemple, la Confédération ne signait-elle pas au mois de janvier de cette année un contrat confiant à SAP (Suisse) SA en particulier la gestion de ses ressources humaines, abandonnant ainsi à une entité privée pour dix ans et plus de 130 millions de francs suisses le versement de salaires et le possible traitement de données sensibles (tels les congés maternité, ou les congés maladie) de plusieurs milliers de fonctionnaires fédéraux ? Les Cantons ne font-ils pas de même ? La réalité est que les collectivités publiques n’ont tout simplement pas les ressources, qu’elles soient humaines ou financières, pour développer les solutions nécessaires. Recourir aux acteurs privés est bien souvent l’assurance de pouvoir bénéficier de solutions standards, des évolutions mises en place par les fournisseurs tirées de leur expérience avec des centaines voire des milliers de clients, et d’un support compétent. Vouloir faire croire le contraire équivaut à vouloir tromper les citoyens. Les pays nordiques n’ont du reste pas hésité à externaliser la gestion de leur identité électronique à des entités privées, sans qu’aucun scandale n’ait à ma connaissance jamais éclaté.

Certes, admettre le principe de cette externalisation ne signifie pas encore qu’elle est en toute hypothèse opportune. Pour en juger en son âme et conscience, encore faut-il prendre le temps d’une lecture attentive du projet de loi soumis à votation et du Message du Conseil Fédéral l’accompagnant. Or, qu’en résulte-t-il ?

Tout d’abord, le fait qu’il n’est pas prévu de faire du recours à l’e-ID un instrument obligatoire pour les citoyens, mais uniquement moyennant leur consentement, tant lors de la création de l’e-ID que de sa première exploitation. Autrement dit, libre à chacun d’opter pour cette alternative ou y renoncer. Certains objectent que le recours à l’e-ID pourrait rapidement être exigé par les opérateurs privés dans le cadre des transactions, rendant ainsi dans les faits le recours à l’e-ID obligatoire. Sans être devin, je n’ai à ce jour encore jamais vu de commerce contraignant ses clients à payer par carte de crédit et refusant un paiement par cash…Difficile dès lors de croire que l’e-ID s’imposera comme le seul et unique moyen d’identification possible.

Ensuite, le fait que les données traitées par des acteurs privés (qualifiés de « fournisseurs d’identité ») seront limitées, puisqu’elles auront trait, suivant le niveau d’identification souhaité, aux données suivantes : (1) le numéro d’enregistrement de l’e-ID, les noms et prénom et date de naissance (faible) ; (2) le sexe, le lieu de naissance et la nationalité (substantiel), (3) une photographie (élevé). Est-ce tout ? Oui…réserve étant faite, on l’admettra, des données d’utilisations de l’e-ID, dont il est toutefois exigé qu’elles soient supprimées tous les six mois.

On s’étonnera dès lors du tollé suscité dans les médias lorsque l’on songe aux nombre de données traitées par des acteurs privés faisant partie de notre paysage quotidien, qu’il s’agisse à titre d’exemple des émetteurs de cartes de crédit ou des différents sites requérant la création d’un compte ou d’un profil, autant d’hypothèses où tout un chacun n’hésite guère à communiquer allègrement ses données, sans qu’aucun contrôle quel qu’il soit n’ait lieu sur ces entités, et sans qu’une indignation quelle qu’elle soit se fasse ressentir. Ainsi le scandale de Cambridge Analytica subi en 2018 par Facebook, Inc. n’a-t-il pourtant pas empêché le cours de l’action de suivre son envol au fil des ans.

A la différence de ces exemples, la loi fédérale sur les services d’identification électronique met en place de tels contrôles. A titre d’exemple, parmi ceux méritant d’être cités, on retiendra le fait que : (1) les données devront être traitées en Suisse ; (2) le fournisseur d’identité devra être inscrit au registre du commerce (et disposer ainsi d’un siège en Suisse) ; (3) les données uniquement utilisées à des fins d’identification, à l’exclusion de toute commercialisation ou communication à quelque autre tiers que ce soit ; (4) les contrats conclus avec les utilisateurs soumis à l’examen du Préposé fédéral à la protection des données ; (5) l’accréditation réexaminée tous les trois ans et (6) des mesures techniques et organisationnelles imposées par la Confédération.

De telles exigences sont, est-il besoin de le dire, bienvenues. Certes, tout n’est pas parfait. Ainsi les mesures techniques et organisationnelles, autrement dit les exigences en matière de sécurité, les normes et les conditions d’interopérabilité, feront-elles l’objet d’ordonnances de la part du Conseil fédéral. Ces ordonnances n’étant pas édictées et donc pas soumises au vote, il y aura lieu de voter sans en connaître la teneur. Si la technique législative est compréhensible, soumettre au vote un texte dont des points fondamentaux seront en réalité réglés au niveau d’ordonnances apparaît regrettable.

Tout est alors affaire de confiance. Le système envisagé par le projet de loi est conforme à celui retenu au niveau de l’UE par le Règlement 910/2014 sur l’identification électronique, dit « règlement eIDAS », et celui prévu par le National Institute of Standards and Technology (NIST) aux Etats-Unis. On peut légitimement penser que la Confédération saura dès lors s’inspirer des exigences imposées à l’étranger pour adopter son propre cadre en la matière (par exemple, l’ANSSI pour la France). Le cadre posé en matière de dossier électronique du patient, par ailleurs plus sensible de part les données qu’il contiendra, est aussi riche d’expériences.

Autre point d’interrogation, celui des coûts, puisque ces fournisseurs d’identités pourraient facturer leurs prestations aux utilisateurs désireux de recourir à l’e-ID. Le projet prévoit néanmoins d’ores et déjà certaines cautèles en soulignant que le ou les acteurs seront considérés comme « puissants » sur le marché au sens de la loi fédérale sur la surveillance des prix, et par là même soumis à certaines limites quant aux prix qu’ils pourront fixés.

Au final, si certains points demeurent ainsi à éclaircir, les peurs suscitées apparaissent ainsi largement infondées si l’on veut bien prendre le temps d’un peu de recul. Une seule crainte, véritable celle-ci : celle de continuer à voir la Suisse, pourtant claironnée comme étant année après année à la tête des classements en matière d’innovation, prendre un retard toujours plus considérable dans sa numérisation. A peser le pour et le contre, le doute n’est ainsi plus guère permis : c’est bien un OUI, petit, mais de confiance qu’il conviendra de glisser dans l’urne ce week-end.