Lexipedia

18.049 · Objet du Conseil fédéral · 2018-06-01

Département de justice et police

Liquidé

Zusammenfassung

Message du 1er juin 2018 relatif à la loi fédérale sur les services d'identification électronique

Ausgangslage

Pour faire des achats ou obtenir des services en ligne, il est généralement nécessaire de s'identifier. Il existe déjà différentes procédures, souvent au moyen d'un identifiant et d'un mot de passe. Toutefois, en Suisse, aucune n'est encadrée par la loi ou ne fait l'objet d'une garantie de la Confédération quant à sa sécurité et sa fiabilité. C'est pourquoi le Conseil fédéral et le Parlement ont préparé une loi instaurant un système d'identification reconnu par la Confédération : l'identité électronique, ou e-ID. Un référendum ayant été demandé, le peuple votera sur cet objet le 7 mars 2021.

Vu l'essor des échanges numériques, il est toujours plus important de pouvoir s'identifier sur Internet, que l'on veuille acheter un ticket de transport, passer une commande sur un site de vente en ligne ou faire une démarche auprès d'une administration publique. Les utilisateurs doivent pouvoir effectuer ces opérations simplement et en toute sécurité. Soucieux d'édicter des règles claires, le Conseil fédéral a adopté à l'intention du Parlement le projet d'une nouvelle loi sur les services d'identification électronique (LSIE) à sa séance du 1er juin 2018.

Le projet du Conseil fédéral prévoit que la tâche de vérification et de confirmation officielle de l'identité d'une personne reviendra à l'État. Le développement des systèmes nécessaires pour produire les supports technologiques concrets de ces éléments d'identité numérique (e-ID) doit en revanche être laissé au secteur privé, et plus précisément aux fournisseurs d'identité.

L'État soumettra les fournisseurs d'identité et leurs solutions à une procédure de reconnaissance stricte et à des contrôles réguliers. Cette tâche doit être assurée par un organisme de reconnaissance rattaché au Département fédéral des finances (DFF).

Le fonctionnement et l'utilisation de l'e-ID devront obéir aux dispositions actuelles en matière de protection des données. Les données d'identification personnelle ne pourront être communiquées à des tiers qu'avec le consentement explicite de l'intéressé.

Le projet du Conseil fédéral prévoit également que l'e-ID ne pourra pas être cédée à des tiers et que son titulaire devra prendre les mesures nécessaires et raisonnablement exigibles, au vu des circonstances, pour empêcher toute utilisation abusive de son e-ID.

Verhandlungen

Le Conseil national examine cet objet pour la première fois pendant la session de printemps 2019. Une minorité rose-verte de la commission propose de le renvoyer au Conseil fédéral en chargeant ce dernier d'élaborer un projet prévoyant que la loi indique que l'établissement d'une e-ID est une tâche publique, qui peut être déléguée à des privés au moyen d'un mandat de prestations. Porte-parole de la minorité, Min Li Marti (S, ZH) rappelle alors que l'émission d'un passeport est une tâche de l'État et se demande pourquoi il devrait en être autrement lorsqu'il s'agit d'un passeport électronique. Selon elle, le fait que l'État déclare ne pas être en mesure d'assumer cette tâche équivaudrait à une capitulation. Les opposants à la proposition de renvoi signalent pour leur part que l'économie privée est, par nature, plus proche des utilisateurs et plus apte à suivre les évolutions de la technologie numérique. Ils ajoutent que l'État fera toujours partie de la solution, l'identification se déroulant par l'intermédiaire d'une interface établie au sein de Fedpol. La proposition de renvoi est finalement rejetée par 131 voix contre 53 et 2 abstentions.

Lors de la discussion par article, le Conseil national modifie le projet du Conseil fédéral en plusieurs points. L'une des modifications significatives est l'obligation faite à l'émetteur de l'e-ID de délivrer une e-ID à toutes les personnes qui remplissent les critères d'admissibilité. À cet égard, la conseillère fédérale Karin Keller-Sutter met en garde, en vain, contre une " obligation de contracter ". Le Conseil national veut par ailleurs inscrire dans la loi le principe selon lequel il doit être possible de faire une demande d'e-ID là où sont commandés passeports et cartes d'identité. Le Conseil national souhaite également que les données puissent être communiquées à des tiers si ceux-ci procèdent à leur traitement pour le compte du fournisseur de services d'identité.

Au vote sur l'ensemble, le Conseil national adopte le projet de loi par 128 voix contre 48 et 4 abstentions. À l'unanimité, à une voix près, le groupe socialiste et le groupe des Verts votent contre le projet.

Au Conseil des États, Anita Fetz (S, BS) propose, pendant la session d'été 2019, de renvoyer l'objet au Conseil fédéral en le chargeant d'élaborer un projet indiquant que l'établissement d'une e-ID est une tâche publique dont est chargée une unité administrative. De l'avis de la députée, l'identification électronique se doit d'être sûre et crédible. Elle estime que, à l'instar du passeport suisse, l'identification électronique doit rester aux mains de la Confédération. La confiance dans l'État est, toujours selon elle, plus grande qu'à l'égard des prestataires privés. La conseillère fédérale Karin Keller-Sutter renvoie aux expériences faites à l'étranger, où les solutions de l'État sont à peine utilisées, en raison de leur lenteur d'adaptation au progrès technologique. En outre, selon elle, l'e-ID n'est pas un passeport numérique mais un " login qualifié ". La proposition de renvoi est finalement rejetée par 32 voix contre 7.

Lors de la discussion par article, le Conseil des États suit la proposition de sa commission chargée de l'examen préalable et ne confie pas la surveillance des fournisseurs de services d'identification électronique à un service au sein de l'administration fédérale, comme le prévoyait le projet du Conseil fédéral, mais à une commission indépendante (EIDCOM). Cette autorité de surveillance indépendante doit renforcer la confiance dans l'e-ID, sa crédibilité et la visibilité du rôle de l'État. Le Conseil des États souhaite par ailleurs inscrire dans la loi le principe selon lequel le Conseil fédéral peut charger une unité administrative d'exploiter un système d'e-ID et d'émettre des e-ID. Afin de garantir l'accès du grand public à l'e-ID, la Confédération doit pouvoir prendre une participation dans les entreprises émettant l'e-ID (selon le projet du Conseil fédéral, cela n'aurait été possible que s'il n'existait pas d'émetteur reconnu pour le niveau de garantie le plus élevé). Le Conseil des États supprime aussi du projet de loi l'interdiction de laisser l'e-ID à la disposition d'un tiers, de même que les devoirs de diligence des titulaires d'une e-ID qui y sont explicitement mentionnés. Il renforce en outre les dispositions relatives à la communication des données : les fournisseurs d'identité ne doivent pas pouvoir communiquer les données à des tiers ni les utiliser eux-mêmes à d'autres fins.

Au vote sur l'ensemble, la Chambre haute adopte le projet par 33 voix contre 4 et 2 abstentions.

Durant la session d'automne 2019, le Conseil national se rallie au Conseil fédéral et maintient l'interdiction de transférer l'e-ID à des tiers et le devoir de diligence explicite. Il rejette également l'institution d'une commission indépendante. S'exprimant au nom de la majorité du conseil, Christa Markwalder (R, BE) indique que l'EIDCOM ne créerait aucune valeur ajoutée, mais davantage de bureaucratie et des coûts supplémentaires. Alors que le Conseil des États souhaite interdire la communication des données à des tiers, le Conseil national veut autoriser, dans certaines circonstances, le traitement des données par des tiers, pour éviter d'entraver la répartition du travail au sein de groupes d'entreprises ou l'assistance à la clientèle. Les conseils ne parviennent pas non plus à s'accorder sur les conditions dans lesquelles une unité administrative peut gérer un système e-ID et établir ce type d'e-ID. Le Conseil national insiste pour que cette option ne soit possible que lorsqu'il n'existe pas de fournisseur d'identité reconnu pour le niveau de sécurité le plus élevé, comme le prévoit le projet du Conseil fédéral.

Toujours pendant la session d'automne, l'objet est à nouveau soumis au Conseil des États, qui accepte le devoir de diligence explicite, mais qui tient toujours à rayer du projet d'acte l'interdiction de laisser l'e-ID à la disposition d'un tiers. Il décide également que, pour les logins et autres identifications électroniques, pour lesquels le niveau de garantie appliqué est faible, une solution remplaçant l'e-ID doit être proposée.

Concernant le traitement des données par des tiers, le Conseil des États s'efforce de trouver un compromis. Il décide que les tiers peuvent traiter des données dans le même cadre que celui qui est utilisé par les fournisseurs d'identité. En revanche, le Conseil des États ne fait pas de concession sur les autres points contestés. Selon lui, la Confédération doit pouvoir confier l'exploitation d'un système d'e-ID et l'établissement d'une e-ID à une unité administrative. Contrairement au Conseil national, il n'assortit aucune condition particulière à cette revendication. Le Conseil des États souhaite aussi que la Confédération puisse, en cas de besoin, prendre des participations dans des entreprises qui établissent l'e-ID. La Chambre haute campe également sur ses positions quant à la création d'une instance de surveillance et de contrôle indépendante.

Les deux conseils n'étant pas d'accord, le Conseil national doit à nouveau se pencher sur le projet à la session d'automne 2019 et finit par approuver la création d'une commission de surveillance indépendante. Il accepte également qu'une solution de remplacement à l'e-ID doive être proposée pour les logins et autres identifications électroniques. Même si cette condition ne s'applique qu'au niveau de garantie le plus faible, elle devrait concerner la majorité des utilisations de la vie de tous les jours, et notamment les achats en ligne.

Le Conseil national revient aussi sur l'interdiction de laisser l'e-ID à la disposition d'un tiers et la supprime du projet, constatant que le Conseil des États a approuvé les devoirs de diligence spécifiques. De l'avis de la majorité du Conseil national, ces devoirs de diligence impliquent que l'e-ID n'est pas transmissible. Le Conseil national accepte aussi le compromis du Conseil des États sur le traitement des données par des tiers. Ces derniers doivent être autorisés à traiter les données dans le cadre qui a été défini pour leur utilisation par les fournisseurs d'e-ID. Il s'agit de permettre à des entreprises externes de fournir des prestations de service ou à des groupes d'entreprises de traiter des données en leur sein.

Les conditions dans lesquelles la Confédération peut prendre une participation dans un fournisseur d'identité ou dans lesquelles le Conseil fédéral peut confier l'établissement d'une e-ID à une unité administrative restent des points controversés. Suivant la proposition du Conseil national, les conseils s'entendent finalement sur la compétence subsidiaire de la Confédération, qui ne pourra agir que si les systèmes d'e-ID privés ne fonctionnent pas.

Au vote final, le Conseil national adopte la loi par 144 voix contre 51 et 2 abstentions, le Conseil des États par 35 voix contre 2 et 8 abstentions. Des membres du groupe socialiste et du groupe des Verts ont voté contre la loi.

(Sources : communiqué de presse du Conseil fédéral ; ATS ; Bulletin officiel)

Le projet a été rejeté par le peuple le 7 mars par 64,4 % des voix.