Une identité électronique sécurisée pour le monde physique et numérique
Position de la Poste relative à loi fédérale sur les services d’identification électronique (LSIE)
Section Contenu riche
Le quotidien ainsi que les besoins des personnes et des entreprises en Suisse évoluent. Les processus des entreprises et des pouvoirs publics sont de plus en plus numériques. Aujourd’hui, un grand nombre d’achats et de prestations de la vie quotidienne peuvent être effectués en ligne, voire se déroulent exclusivement en ligne. Une identité électronique fiable permet de faire avancer efficacement des processus commerciaux numériques sans rupture de média et de développer les activités en ligne ainsi que les applications de la cyberadministration. Dans ce contexte, la possibilité de justifier de son identité de manière univoque dans le monde numérique est essentielle à une avancée sûre de la transformation numérique en Suisse. La nouvelle loi fédérale sur les services d’identification électronique crée les bases juridiques pour une identité électronique d’État et d’autres moyens de preuve électroniques.
Les systèmes numériques sûrs font depuis longtemps partie du quotidien de la Poste: c’est grâce à eux qu’elle peut mettre en œuvre dans le monde numérique sa compétence clé dans le monde physique, à savoir la transmission sûre et digne de confiance d’informations sensibles. Ces dernières années, la Poste a développé ses compétences et ses ressources dans les technologies d’information et de chiffrement. Aujourd’hui, elle propose des solutions numériques pour les autorités, ainsi qu’à destination de sa clientèle privée et commerciale. SwissSign, une société du groupe détenue à 100% par la Poste, et par extension par les pouvoirs publics, propose notamment des solutions d’identification et d’authentification certifiées sous la marque SwissID. SwissID n’est pas seulement utilisée dans l’économie privée, mais aussi par 13 cantons, plusieurs communes et villes, ainsi que par d’autres services publics. Elle compte déjà plus de 4,3 millions d’utilisatrices et d’utilisateurs.
Contenu du projet
Grâce à la nouvelle identité électronique (e-ID), les utilisatrices et les utilisateurs pourront justifier de leur identité en ligne de manière simple, sûre et rapide. Toutes les personnes disposant d’une carte d’identité suisse, d’un passeport suisse ou d’un titre de séjour émis par la Suisse pourront demander une e-ID. L’obtention et l’utilisation de l’e-ID seront gratuites et facultatives. La Confédération proposera une application pour smartphone permettant de gérer l’e-ID en toute sécurité. L’e-ID pourra être utilisée tant sur Internet – p. ex. pour commander un extrait du casier judiciaire – que dans le monde physique, comme preuve de l’âge pour acheter de l’alcool par exemple.
Contrairement au concept initial de la LSIE – que le peuple suisse a clairement rejeté le 7 mars 2021 –, l’actuel projet de loi prévoit d’attribuer un rôle fort à l’État. L’e-ID repose sur une infrastructure gérée par l’État. Toutefois, cette infrastructure ne sera pas utilisée exclusivement pour l’émission d’e-ID étatiques. Elle sera aussi mise à la disposition de services étatiques et privés afin que ceux-ci puissent émettre d’autres moyens de preuve électroniques, par exemple des extraits du casier judiciaire, des permis de conduire, des diplômes d’écoles supérieures ou des ordonnances médicales. La structure de confiance étatique crée ainsi les conditions requises pour un écosystème ouvert qui permet d’émettre, d’utiliser et de présenter différents moyens de preuve électroniques de manière sécurisée. Il est prévu que cet écosystème de moyens de preuve électroniques soit développé progressivement.
Le projet suit une approche fondée sur les principes de la protection de la sphère privée dès la conception («privacy by design»), de la minimisation des données et de l’enregistrement décentralisé des données.
Points de vue défendus par la Poste
1. Mise en place de l’écosystème
Nous saluons le fait que l’actuel projet de loi, c’est-à-dire l’infrastructure annoncée, prévoie différents moyens de preuve électroniques et tende vers un écosystème ouvert.
Nous appelons à faire preuve de diligence et d’efficacité dans la mise en place de ce dernier.
2. Égalité de traitement entre l’e-ID étatique et les fournisseurs d’identité privés
L’e-ID n’est pas un login au sens de l’autorisation d’accès (authentification) à un service numérique. Il s’agit d’une preuve d’identité numérique, soit l’alter ego dématérialisé du passeport ou de la carte d’identité. Selon nous, cette distinction n’est pas établie assez distinctement dans la LSIE, en particulier car la Confédération a développé entre temps sa propre solution de login avec le service d’authentification dénommé AGOV pour les applications publiques.
AGOV doit servir de passerelle à l’e-ID étatique notamment pour l’identification dans le contexte du dossier électronique du patient (DEP). Du point de vue de la Poste, la règlementation envisagée autour du projet AGOV et du DEP doit être revue, en particulier pour le motif énoncé ci-après. Selon les prescriptions de la LSIE en vigueur, seuls les moyens d’identification électroniques fournis par des émetteurs certifiés peuvent être utilisés pour ouvrir et utiliser le DEP. À l’heure actuelle, il existe trois solutions privées et certifiées d’identification et d’authentification: SwissID, TrustID et HIN eID. La nouvelle LSIE doit permettre l’utilisation de l’e-ID étatique pour l’identification au DEP via AGOV. En tant que future émettrice de l’e-ID, la Confédération ne devrait pas être soumise à l’obligation de certification.
Nous ne comprenons pas cette inégalité en matière d’obligation de certification des différents émetteurs d’identité numérique, soit la Confédération d’une part et les fournisseurs actuellement certifiés de l’autre. De ce fait, les fournisseurs d’identité actuels, qui ont dû mener à bien un projet de certification compliqué pour le DEP, seront traités de manière inégale et leurs solutions seront écartées du marché.
Nous demandons à ce que s’appliquent à la Confédération, dans le cadre de l’émission de l’e-ID étatique pour l’accès au DEP, les mêmes exigences que celles des procédures de certification pour les fournisseurs d’identité privés existants.
3. Mesures supplémentaires pour renforcer la confiance
En vue de renforcer la confiance dans les interactions au sein du monde numérique, le projet de loi prévoit que la Confédération puisse également confirmer l’identité des vérificateurs (entreprises privées p. ex.) en les inscrivant dans un registre des agréments prévu à cet effet. Cette disposition permettra également aux particuliers de savoir, lors de la réalisation d’une transaction numérique, si le partenaire commercial est bien celui qu’il prétend être.
Cela constitue du point de vue de la Poste un aspect central qui favorise dans une large mesure la confiance mutuelle entre les acteurs dans le monde virtuel.
La Poste propose d’identifier les vérificateurs dans le registre de l’infrastructure de confiance prévu à cet effet. Contrairement à la proposition du Conseil fédéral, nous proposons de régler ce point au niveau de la loi afin d’en souligner l’importance.
Il est prévu que l’État propose un portefeuille électronique (wallet) pouvant contenir l’e-ID et d’autres moyens de preuve électroniques. Nous voyons d’un œil positif le fait que les utilisatrices et les utilisateurs puissent utiliser d’autres applications (privées) pour conserver et présenter leurs moyens de preuve électroniques.
Pour des raisons de sécurité, nous proposons de ne transférer dans les portefeuilles électroniques que les moyens de preuve qui sont émis par des prestataires de services de confiance qui jouissent d’une reconnaissance.
Des mesures supplémentaires visant à renforcer la confiance et la sécurité sont possibles. Par exemple, la législation de l’Union européenne va si loin qu’une identité électronique est acceptée, selon eIDAS 2.0 et dans le cadre du portefeuille d’identité numérique de l’UE, uniquement si son niveau de sécurité est «Élevé».
Un niveau de sécurité plus élevé peut avoir un effet sur la rapidité d’adoption de l’e-ID.
Informations complémentaires
Identification
L’identité électronique est une forme numérique de preuve d’identité qui permet à une personne de justifier de son identité en ligne. Un moyen d’identification électronique est composé d’un attribut personnel, comme un nom ou une adresse de courrier électronique, et d’un facteur secret d’identification, comme un mot de passe ou un élément biométrique. Dans le monde physique, l’identification se fait au moyen d’un document officiel comme un passeport ou une carte d’identité.
Authentification
Dans le cadre d’un login ou d’une connexion, la vérification porte sur le droit d’une personne à accéder à une ressource ou à un service en particulier. Il s’agit donc d’une autorisation d’accès. Dans le cadre du processus de login, la première étape sert à confirmer que la personne est effectivement en possession de l’identité électronique qu’elle utilise, et la seconde étape à attester qu’elle est autorisée à accéder au service en question. L’authentification est une procédure qu’il s’agit de répéter à chaque fois et généralement avant chaque utilisation d’un service.
AGOV
Ce sigle désigne le service d’authentification des autorités suisses. AGOV est par ailleurs un fournisseur d’identité et un réseau d’identités de la Confédération et des cantons. Depuis début 2024, il est entré en production et il est à disposition du public. Il permet aux particuliers de se connecter aux services en ligne de l’administration au moyen d’une procédure d’inscription uniforme, s’ils utilisent pour cela une identité numérique appartenant au réseau d’identités AGOV.
SwissID et e-ID étatique – deux choses différentes
SwissID est une identité numérique sûre qui peut être utilisée pour accéder à des services en ligne nécessitant une preuve d’identité, p. ex. l’accès au dossier électronique du patient. En revanche, il ne s’agit aucunement d’une preuve d’identité numérique officielle. L’e-ID est une preuve d’identité numérique, soit l’alter ego dématérialisé du passeport ou de la carte d’identité. Ce n’est pas un login au sens d’un moyen d’accès (authentification) à des services numériques.