23.1017 · Question · 2023-03-16
Département de justice et police
Liquidé
Wortlaut
La loi fédérale sur les services d'identification électronique (LSIE) a été rejetée en votation populaire le 7 mars 2021. Les représentants de tous les groupes politiques ayant alors déposé plusieurs motions demandant la mise en place d'une identification électronique fiable par l'État, le Conseil fédéral a fait préparer une ébauche de solution qui a été discutée dans le cadre d'une audition publique, d'une consultation publique et d'une procédure de consultation. Il est désormais prévu d'élaborer sur la question un message d'ici l'été 2023 mais, comme le Conseil fédéral l'a annoncé fin 2022, il reste encore à approfondir certains points suite à la consultation, parmi lesquels le cercle des personnes pouvant obtenir un moyen d'identification électronique (e-ID), le processus d'émission, la protection des données, la facilité d'utilisation et l'organisation de l'assistance technique au niveau des cantons.
C'est dans ce contexte que je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :
1. S'agissant du cercle des personnes pouvant obtenir une e-ID, du processus d'émission et de la protection des données, quels sont les aspects qu'il faut encore éclaircir ?
2. L'architecture du futur système e-ID a-t-elle déjà été définie ?
3. Comment s'assurera-t-on que seront bien mises en oeuvre les exigences formulées tant au cours de la campagne de votation que dans les motions votées au Conseil national, à savoir que ne seront collectées que les données nécessaires et que celles-ci seront enregistrées de manière décentralisée ?
4. À quoi ressemblera la future architecture ? Est-il prévu d'utiliser des systèmes différents pour les différents niveaux de sécurité ou une solution e-ID est-elle envisagée pour tous les niveaux d'autorisation ?
5. Pour quelles applications l'e-ID servira-t-elle ? Qu'adviendra-t-il des systèmes déjà existants tels que Swiss ID ?
6. L'e-ID sera-t-elle utilisée à l'avenir pour des applications d'entreprises parapubliques ?
Stellungnahme des Bundesrates
1. Il ne reste rien de fondamental à éclaircir ; ce sont plutôt des questions qui peuvent admettre différentes réponses selon l'éclairage politique ou technique. Les solutions choisies seront intégrées dans le message que le Conseil fédéral présentera à l'automne 2023.
2. La décision de principe du Conseil fédéral du 17 décembre 2021 (identité souveraine, protection des données dès la conception, minimisation des données) implique certains choix en matière d'architecture du système, qui doivent être transposés au niveau de la loi et qui sont déjà contenus dans l'avant-projet. Les décisions à prendre en la matière relèvent toutefois de divers degrés d'abstraction. Le but est donc d'édicter des dispositions légales qui restent essentiellement neutres concernant l'infrastructure et les technologies choisies.
3./4. Pour ce qui est de l'architecture du futur système, prenons ici pour exemple l'eID, les autres preuves électroniques étant régies selon des principes similaires. L'émetteur (fedpol) établit l'e-ID dans des systèmes informatiques qui lui sont propres avant de la transmettre à son titulaire par un canal sécurisé. Le ou la titulaire conserve son e-ID dans un portefeuille électronique, le plus vraisemblablement dans une application pour smartphone. Une application idoine devrait être fournie gratuitement par la Confédération. Lorsqu'on leur présente une e-ID, les autorités ou les entreprises par exemple peuvent vérifier qu'elle est authentique et valide auprès d'un registre géré par la Confédération. Ce registre ne contient aucune des données de l'e-ID et ne permet pas de déduire qui est son titulaire, quel est son contenu ou comment elle est utilisée.
Les exigences posées sont mises en oeuvre de la même manière que dans l'avant-projet mis en consultation. L'enregistrement est décentralisé du fait que l'e-ID est conservée dans un portefeuille électronique du titulaire. La minimisation des données est assurée premièrement en ce que l'émetteur de l'e-ID ne reçoit aucune information sur la façon dont elle est utilisée, deuxièmement parce qu'il est possible, au lieu de présenter son e-ID complète, de n'en présenter que quelques attributs, voire une simple information découlant logiquement de ces attributs (par exemple " a plus de 18 ans ").
L'e-ID devra avoir un niveau de sécurité " substantiel " pour pouvoir être reconnue à l'étranger, notamment dans l'UE, ou pour être utilisée en lien avec le dossier électronique du patient. De plus, l'e-ID comprendra la mention du document d'identité à partir duquel elle est émise. Les autorités et les entreprises pourront accorder des droits différents selon le document dont il s'agit. Par exemple, on peut imaginer de voir les banques refuser l'e-ID comme pièce pour l'ouverture d'un compte si elle est fondée sur telle ou telle catégorie de titre de séjour pour étranger.
5. En principe, c'est le titulaire qui choisira quand et pour quoi il veut utiliser son e-ID (identité souveraine). Avec le message seront proposées des dispositions visant à prévenir le risque d'excès de formalisme (demande abusive de présenter une e-ID sans raison légitime ou de présenter plus que les attributs strictement nécessaires d'une e-ID).
Par ailleurs, le Conseil fédéral ne saurait se prononcer sur la stratégie commerciale de fournisseurs privés.
6. Si une entreprise parapublique doit identifier une personne dans un processus réglé par la loi et qu'elle offre la possibilité de s'identifier par la voie numérique, elle devra accepter l'e-ID.
Pour toutes les autres démarches, ce type d'entreprise sera libre de permettre l'utilisation de l'e-ID, tant que cela ne mène pas à un abus de formalisme.
Réponse du Conseil fédéral.