18.4169 · Interpellation · 2018-12-11
Département de justice et police
Liquidé
Wortlaut
Le Conseil national examine actuellement le projet d'une loi sur les services d'identification électronique, qui prévoit notamment de confier à des prestataires privés le soin de développer l'e-ID, ce moyen d'identification électronique sur lequel repose le système prévu. C'est là un raisonnement à courte vue : si la nouvelle identité électronique doit permettre d'effectuer toutes transactions cyberadministratives, vote électronique entièrement dématérialisé compris, alors il faut considérer qu'elle possède un caractère souverain duquel découle que son attribution doit rester une prérogative de l'État. Un simple outil d'identification unique conçu pour accéder à des services privés (par ex. e-Banking, Swiss Pass, etc.) ne possédera jamais la crédibilité requise pour permettre à son détenteur d'effectuer des démarches touchant à la puissance publique.
Aussi posé-je au Conseil fédéral les questions suivantes :
1. Quels stratégies et critères applique-t-il pour rattraper le retard pris en matière de cyberadministration ?
2. L'État a-t-il vraiment l'intention de déléguer l'une de ses tâches premières, soit l'identification de ses citoyens et plus largement de sa population ? Dans la négative, ne doit-il pas prendre ses responsabilités en matière d'identité électronique et jouer lui-même le rôle du fournisseur d'identité (délivrance de cette dernière et authentification des données personnelles) en proposant les plates-formes électroniques, interfaces et autres applications nécessaires ?
3. Si des prestataires privés devaient jouer le rôle de fournisseurs de l'identité électronique officielle, quels sont pour le Conseil fédéral les risques qui en résulteraient sur le plan de la protection des données ?
4. Au cas où le Conseil fédéral continuerait de privilégier l'entité actuellement candidate au développement de l'identité électronique officielle (Swiss ID): quels sont les risques de gouvernance qu'entraînerait la décision de confier cette responsabilité à ce groupement complexe qu'est le consortium ? Rappelons à cet égard que plusieurs grandes banques sont membres de ce consortium et qu'elles jouent en cette qualité le rôle de fournisseur de prestations alors même qu'elles n'acceptent pas que la Swiss ID puisse remplacer intégralement leurs propres outils d'identification.
5. La loi prévoit trois niveaux de sécurité différents, mais ne précise pas quel niveau est destiné à quel domaine d'application. Quelles exigences sont prévues en matière de cyberadministration et de santé numérique s'agissant des relations entre les citoyens et l'État (C2G, Citizens to Government), entre les entreprises et l'État (B2G, Business to Government) et entre les différents acteurs de l'État (G2G, Government to Government)? Quelles exigences sont prévues pour le cas où le vote électronique serait entièrement dématérialisé ?
Stellungnahme des Bundesrates
Le Conseil fédéral a adopté le message relatif à la loi fédérale sur les services d'identification électronique (FF 2018 4031) le 1er juin 2018. L'objet est en cours d'examen au Parlement.
1. La Confédération, les cantons et les communes poursuivent une stratégie de cyberadministration commune depuis 2008. Ils sont notamment en train d'élaborer, dans le cadre de la stratégie actuelle (2016-2019), les bases juridiques d'une identité électronique reconnue par l'État. Comparativement aux pays qui possèdent déjà une offre cyberadministrative étendue, la Suisse ne dispose pas encore de l'eID ni d'autres services fondamentaux tels que l'utilisation partagée des registres. Selon des études internationales, c'est là une raison majeure de son retard dans ce domaine. Il importe donc de poursuivre le développement des services de base dans le cadre de la stratégie de cyberadministration 2020-2023, qui est en cours d'élaboration.
2. Comme le Conseil fédéral l'a constaté dans son message du 1er juin 2018, l'État restera chargé de vérifier et de confirmer officiellement l'existence d'une personne et ses attributs d'identité (nom, sexe, date de naissance, etc.).
Vu l'essor des technologies et la pluralité des solutions possibles, le Conseil fédéral ne juge pas pertinent d'opter dès à présent pour un moyen numérique plutôt qu'un autre, au risque que d'autres technologies s'imposent sur le marché et que le système réglementé par la Confédération reste inutilisé. La solution qu'il propose - reconnaître et surveiller, à certaines conditions, les applications qui marchent et s'assurer ainsi que ce sont des applications sûres - est plus apte à garantir le succès. C'est pourquoi le Conseil fédéral propose un partenariat public-privé, qui lui semble le moyen optimal pour assurer une utilisation facile de l'e-ID par l'administration, les particuliers et les entreprises.
3. Le projet du Conseil fédéral répond aux prescriptions en matière de protection des données ; il est conçu de telle sorte que les risques soient réduits au minimum. Sur bien des points, il va au-delà des exigences de la loi sur la protection des données.
4. Le Conseil fédéral ne privilégie pas un candidat actuel unique ; le projet de loi est fondé sur l'hypothèse selon laquelle existe plusieurs fournisseurs d'identité. Nul ne sait pour l'heure combien d'organismes s'efforceront d'obtenir la reconnaissance pour offrir une e-ID. Quant à leur organisation interne, ce sont les fournisseurs d'identité qui la détermineront, tout en observant cependant les prescriptions légales, par exemple la règle selon laquelle les données d'identification personnelle doivent être conservées séparément des données concernant l'utilisation de l'e-ID (art. 9 al. 3 let. a et b du projet de loi).
5. Selon le projet du Conseil fédéral, l'association d'un niveau de garantie à un domaine d'application de l'identification électronique n'est pas inscrite dans la nouvelle loi et ses dispositions d'exécution, mais devra être réglée dans les lois spéciales ou déterminée par les exploitants privés des services utilisateurs. Le message explique au chiffre 1.2.5 (FF 2018 4042 ss) le but et les exigences de chaque niveau de garantie : une démarche auprès de l'administration publique telle qu'une demande d'extrait du casier judiciaire, ou bien l'ouverture en ligne d'un compte bancaire, requerront sans doute le niveau de garantie "substantiel".
Pour citer un exemple, la loi fédérale sur le dossier électronique du patient exige une authentification forte pour l'accès à ces dossiers, ce qui correspond dans une large mesure au niveau "substantiel".
Il n'est pas possible (du moins pour l'heure) de dire à quelles exigences devrait répondre un vote électronique entièrement dématérialisé.
Réponse du Conseil fédéral.