Thomas Lohninger, directeur de l’organisation de la société civile autrichienne epicenter.works, a vivement critiqué le projet de règlement de la Commission européenne sur l’identité numérique européenne (EUid). Il s’agit « malheureusement du point de vue de la protection des données » d’un « dossier hautement problématique », a-t-il critiqué vendredi lors d’un événement en ligne organisé par la Conférence des autorités indépendantes de contrôle de la protection des données de l’État fédéral et des Länder (DSK) à l’occasion de la Journée européenne de la protection des données.

Identifiant unique à vie

Selon la proposition de la Commission, les États de l’UE devront à l’avenir mettre des portefeuilles numériques à la disposition des citoyens et des entreprises. Dans ces « portefeuilles électroniques », ceux-ci devront pouvoir associer leur identité électronique nationale (eID) aux preuves d’autres attributs personnels tels que le permis de conduire, les diplômes, les certificats de naissance ou de mariage et les ordonnances médicales.

Selon M. Lohninger, il existe une forte demande pour une telle solution d’identification sur Internet. Mais l’affirmation de la Commission selon laquelle les utilisateurs devraient conserver le contrôle de leurs données n’est qu’une promesse faite du bout des lèvres. L’article 11a du projet prévoit un identifiant unique à vie « qui sera attribué et vérifié pour chaque personne ». Cela permettrait de rassembler des informations provenant de nombreux domaines de la vie et de rendre le citoyen transparent.

« Invitation à l’usurpation d’identité »

L’inobservabilité de ces systèmes est extrêmement importante, a expliqué l’activiste : « Sinon, nous finirons dans le panoptique ». Mais l’article 6a prévoit également de larges possibilités de surveillance. Il ouvre le concept de portefeuille électronique à l’économie, jusqu’au secteur des médias, qui peut s’en servir pour conclure des abonnements et diffuser des publicités ciblées. La clause supprime également la divulgation sélective d’attributs prévue dans le cadre de la minimisation des données. Une vérification appropriée de ces attributs devient ainsi nécessaire avant chaque authentification.

En outre, le retrait ultérieur des autorisations n’est pas du tout prévu, a critiqué Lohninger. L’exigence d’un consentement éclairé pour la validation des attributs risque de poser le même problème que le règlement général sur la protection des données (RGPD) et l’approbation des bannières de cookies qui y est liée. La sécurité des smartphones, sur lesquels l’EUid doit avant tout être stocké dans un « portefeuille », est également douteuse : il existe de nombreux appareils Android et iPhones « qui ne reçoivent plus de mises à jour ». Il s’agit là d’une « invitation au vol d’identité ».

Identité auto-souveraine

La condition préalable à l’acceptation de l’EUid est « un haut niveau de confiance », a souligné la commissaire sarroise à la protection des données, Monika Grethel. Le portefeuille numérique doit être « conçu de manière à économiser les données et à respecter la protection des données », l’utilisateur doit dans tous les cas être maître de ses données et des options de transmission à des tiers, conformément au concept de Self-Sovereign Identity (SSI).

Un « identifiant unique et permanent » doit être limité à quelques cas exceptionnels et soumis à une stricte limitation des finalités, a demandé Grethel. Elle a rappelé le débat sur le numéro d’identification fiscale en tant qu’identifiant unique de la personne dans le cadre de la modernisation en cours des registres, contre lequel les défenseurs de la vie privée s’étaient déchaînés. La politique doit garantir que les fournisseurs de services et les fournisseurs d’identité « n’abusent pas des informations sensibles à des fins commerciales ou ne les combinent pas avec d’autres données ».