Lexipedia

Andrey Gerhard · Nationalrat · 2024-03-14

Andrey Gerhard · Nationalrat · Freiburg · Grüne Fraktion · 2024-03-14

Wortprotokoll

Trois ans après le référendum sur l'e-ID, nous examinons aujourd'hui une nouvelle tentative que nous espérons prometteuse. Seulement trois jours après la votation populaire, six motions identiques ont été déposées par tous les partis politiques en faveur d'une nouvelle version d'une e-ID fiable et étatique. Nous en examinons aujourd'hui le résultat.

Le projet n'est pas contesté. La commission vous propose d'entrer en matière. La commission salue dans une grande majorité le fait que les choses avancent rapidement et que ce service de base important soit mis à disposition de la population, des entreprises et des autorités le plus rapidement possible. L'enjeu de ce projet est majeur. D'une part, l'e-ID est essentielle pour une numérisation sans rupture. D'autre part, à l'ère de l'intelligence artificielle et du "deep-fake", la monnaie d'échange sera l'authenticité. Une identification électronique fiable devient donc de plus en plus importante. Avec l'e-ID, il sera possible d'ouvrir un compte bancaire, d'obtenir un extrait du registre de poursuite ou de signer un contrat en quelques clics.

Avant d'entrer dans le détail des décisions de la commission, permettez-moi de résumer brièvement les principaux éléments du projet. Une identité électronique est remise gratuitement à toute personne disposant d'une carte d'identité ou d'un passeport valide. La demande se fait soit en temps réel et de manière complètement numérisée, soit au bureau des passeports par du personnel formé.

Dans une application de portefeuille spécialement mise à disposition pour l'e-ID, les utilisateurs et utilisatrices disposeront d'une poignée d'attributs individuels officiellement confirmés, comme le nom, la date de naissance ou le numéro AVS. L'e-ID pourra être utilisée de manière à ce que l'autre partie ne reçoive que les données que l'utilisateur autorise. Les autorités ou d'autres parties tierces ne pourront pas tirer de conclusions sur ces transactions. L'utilisation de l'e-ID n'est pas la seule solution. L'utilisation de l'e-ID reste donc, comme la carte d'identité physique, une affaire confidentielle entre ses utilisateurs et utilisatrices et le vérificateur de l'e-ID.

Les moyens techniques nécessaires se composent de ce que l'on appelle l'infrastructure de confiance et le système d'information. Le système d'information est nécessaire pour la création ou la révocation d'une e-ID. L'infrastructure de confiance constitue la base de la mise à disposition des justificatifs d'identité dans une application pour smartphone. Outre l'e-ID, d'autres justificatifs, tels que des diplômes ou des certificats, peuvent donc également être enregistrés. L'infrastructure a pour but de fournir un endroit fiable aux utilisatrices et utilisateurs, mais pas plus que cela. En effet, les processus en aval, tels que les systèmes de gestion des clientèles ou des services de signature, ne font pas partie de l'infrastructure gouvernementale, mais elles sont laissés au secteur privé.

Je vais maintenant passer en revue le dépliant pour vous présenter les délibérations de la commission. A l'article 1, sur les principes du projet, votre commission souhaite que deux points supplémentaires soient ajoutés. Il s'agit de la traçabilité, de la réutilisation et du contrôle par l'Etat de ces infrastructures. En ce qui concerne la question du contrôle en particulier, des réserves ont été formulées, à savoir qu'il ne peut jamais être absolu, car des composants du secteur privé seront toujours utilisés.

Cela a été pris en compte par une formulation appropriée. Cette proposition a été adoptée à l'unanimité.

L'article 3 alinéas 4 et 5 prévoit que l'infrastructure de confiance sera utilisée par des émetteurs et des vérificateurs privés. La commission souhaite que les entreprises ou les organisations puissent demander un certificat d'authenticité, comme c'est le cas avec des badges sur les plateformes des médias sociaux. Cette proposition a également été adoptée à l'unanimité.

L'article 3a, qui est nouveau, est le résultat d'une suggestion de l'Office fédéral de la justice (OFJ). Dans le cadre de la décision sur le choix de la technologie, il est apparu qu'une clause explicite était nécessaire afin que les preuves d'âge anonymes restent effectivement anonymes. Il doit donc être possible de surmonter une barrière d'âge sur un site web avec l'e-ID en confirmant simplement le fait d'avoir plus de 18 ans, de sorte que, lors d'une prochaine vérification de l'âge, le vérificateur ne puisse pas conclure qu'il s'agit effectivement du même titulaire d'e-ID. Comme il s'agit de systèmes supplémentaires visant à renforcer la protection de la vie privée, ils seront donc ajoutés à l'article 9, ce qui est une conséquence logique. Cette proposition a été adoptée par 20 voix contre 1 et 1 abstention. [PAGE 537]

L'article 7 alinéa 4 traite de l'historique individuel des transactions pour lesquelles l'e-ID est utilisée. La commission souhaite, à l'unanimité, que les usagers aient la possibilité de choisir si certaines transactions doivent y figurer ou non, de manière donc comparable à ce qui est possible avec les navigateurs Internet, à savoir pouvoir utiliser l'e-ID en mode privé.

A l'article 11, la commission souhaite une formulation qui ne liste pas les différents systèmes mais qui précise que, conformément aux principes énoncés dans l'article 1, tous les systèmes doivent être fondés sur du code logiciel en open source. Cela permet également d'éviter que la base légale doive être adaptée si un autre système devait être ajouté. Afin de maximiser la sécurité des systèmes, l'Office fédéral de l'informatique et de la télécommunication (OFIT) doit publier des directives de divulgation des vulnérabilités pour des hackers éthiques. Des spécialistes bien intentionnés qui découvrent des vulnérabilités doivent disposer d'instructions sur la manière de traiter de telles découvertes afin que les autorités puissent y réagir de manière ordonnée. De même, les systèmes doivent être régulièrement testés par des tiers compétents afin de détecter des vulnérabilités potentielles.

La commission considère ces adaptations comme essentielles pour améliorer la cybersécurité et les a adoptées à l'unanimité.

A l'article 16, la commission, à l'unanimité, souhaite rendre plus explicite le fait que les données biométriques ne soient collectées que lors de la demande numérique en self-service. Le passage au bureau des passeports ne génère pas de telles données.

A l'article 17, la commission souhaite à l'unanimité que l'e-ID soit explicitement liée à une personne.

A l'article 18, un autre motif de révocation de l'e-ID doit être mentionné, à savoir lorsque la sécurité de l'e-ID ne peut plus être garantie. Ici aussi, la commission a pris sa décision à l'unanimité.

Dans l'adaptation de l'article 22 alinéas 1 et 2, la commission veut protéger les utilisateurs contre la suridentification. Les champs de données ne doivent être demandés que s'ils sont absolument nécessaires à la transaction. S'il est prouvé qu'un vérificateur n'a pas respecté ces principes, les utilisateurs doivent être informés de ce fait au moment de la[NB]transaction.[NB]Cette proposition a été adoptée par 21 voix contre[NB]2.

A l'article 25 alinéa 5, la commission souhaite à l'unanimité formuler une exigence similaire concernant les directives de divulgation des vulnérabilités et des tests réguliers de la sécurité du système d'information par des tiers compétents.

A l'article 26 alinéa 2 lettre b, la commission souhaite, par 18 voix contre 1 et 2 abstentions, que les données biométriques collectées pour le processus de délivrance soient utilisées exclusivement pour enquêter sur les fraudes d'identité.

Lors du vote sur l'ensemble, la loi sur l'e-ID a été adoptée par 21 voix pour 0 contre et 3 abstentions. L'entrée en matière sur l'arrêté fédéral sur les crédits d'engagement alloués à la mise en place et à l'exploitation de l'e-ID n'a pas été contestée. Le projet du Conseil fédéral a été adopté par 20 voix pour contre 0 et 2 abstentions.

Je tiens à remercier, au nom de la commission, l'administration et en particulier l'OFJ, qui est responsable du dossier. Non seulement les propositions de la commission ont été examinées sous tous les angles et en un temps record, mais en plus, les membres de la commission ont reçu des propositions très constructives. La commission est également très reconnaissante de l'approche pionnière, inclusive, itérative et transparente adoptée au cours des trois dernières années.

Permettez-moi, chers collègues, une appréciation personnelle: ce type de cocréation entre l'économie, la science, la société civile et différents offices de l'administration, à travers différents départements, devrait donner un signal pour les prochains programmes de numérisation importants et complexes. Je voudrais également remercier chaleureusement mes collègues de la Commission des affaires juridiques de m'avoir nommé rapporteur, alors que je n'en étais pas membre. Je me suis beaucoup investi dans ce dossier, c'est donc un grand honneur pour moi. Merci beaucoup.