Dès le premier jour, nous nous sommes inquiétés de ce projet de loi et de son potentiel de remise en cause de l'anonymat en ligne, des scénarios d'abus à l'encontre des groupes vulnérables de la société et des risques de traçage et d'espionnage. Nous avons publié cinq prises de position, témoigné devant deux commissions du Parlement européen, rédigé des amendements, été en contact permanent avec les législateurs du Parlement, du Conseil et de la Commission, prononcé des discours publics sur la loi, répondu à d'innombrables demandes des médias et envoyé trois lettres ouvertes, dont la dernière a été signée par plus de 400 universitaires et 30 ONG. À quoi cela a-t-il servi ? Examinons le texte final.
Le Bon
Protections contre la discrimination
La protection contre la discrimination est un pilier essentiel de la protection de la liberté de choix et de l'inclusion de tous les groupes dans la société. Celle-ci va au-delà de la nature volontaire du portefeuille qui était déjà inscrite dans la proposition initiale. Les quatre commissions du Parlement européen ont adopté à une large majorité que l'accès aux services publics et privés, l'accès au marché du travail et la liberté d'entreprendre ne doivent en aucun cas être restreints ou désavantagés pour les personnes physiques ou morales qui n'utilisent pas le portefeuille. Le texte final garantit que toute personne qui décide de ne pas utiliser le portefeuille dans une situation donnée ne peut se voir imposer un prix plus élevé ou être exclue de l'accès à un service ou à un bien. Cette disposition était l'une de nos principales demandes, afin de protéger, par exemple, les personnes sans smartphone et leur participation à la société (personnes âgées, enfants, etc.), ainsi que toute personne dont les documents officiels ne correspondent pas à son identité réelle (par exemple, les personnes transgenres).
Réglementation des cas d'utilisation
Le grand changement de la réforme eIDAS est que le secteur privé peut également utiliser le portefeuille pour demander à ses clients, utilisateurs ou visiteurs leurs informations personnelles. Ces informations peuvent être délivrées par le gouvernement, comme le nom réel, la date de naissance, le diplôme, les certificats de vaccination, les tickets de transport public ou le permis de conduire, mais elles peuvent également provenir du secteur privé, comme dans les programmes de fidélisation de la clientèle ou l'évaluation du crédit. Dans ce contexte, nous devons nous attendre aux pires formes de capitalisme de surveillance et aux tentatives des entreprises d'obtenir des informations fiables sur une personne, qu'il peut être très préjudiciable pour elle de transmettre. Conscients de ce risque, nous avons exigé que les informations que les entreprises peuvent demander aux personnes soient limitées.
Le texte actuel garantit que toutes les parties utilisatrices s'enregistrent dans le pays où elles sont établies, s'identifient avec leurs coordonnées, fournissent des informations sur le cas d'utilisation pour lequel elles veulent utiliser le portefeuille et les informations concrètes qu'elles veulent demander à l'utilisateur. Le portefeuille limite ensuite les informations que la partie utilisatrice peut demander à ce qui figure dans son enregistrement. Si, par exemple, un magasin de spiritueux s'enregistre pour vérifier l'âge, il ne peut pas demander d'autres informations qui pourraient figurer dans le portefeuille, comme des informations sur la santé. En outre, la liste des entreprises enregistrées, leurs cas d'utilisation et les informations qu'elles ont l'intention de demander doivent être accessibles au public en ligne. Lorsqu'un utilisateur est invité via le portefeuille à fournir des informations le concernant, il voit d'abord l'identité de l'entreprise qui le sollicite. L'utilisateur peut alors refuser de partager certaines ou toutes les informations qui lui sont demandées. Si une partie utilisatrice se comporte mal, l'utilisateur peut révoquer son consentement à ce qu'elle dispose de ses données et déposer une plainte auprès d'une autorité de régulation nationale. L'entreprise peut alors être exclue du système (voir le "privacy cockpit" et le "forum-shopping" ci-dessous).
Identifiant unique
La proposition initiale prévoyait un numéro de série pour tous les êtres humains en imposant un identifiant unique et persistant pour chacun. Ce numéro aurait permis de corréler tout ce que fait un utilisateur dans tous les domaines de la société (santé, transport, finance, commerce, etc.). Le suivi et le profilage en ligne et hors ligne auraient été plus faciles que jamais. Nous avons commencé à travailler sur ce dossier avec l'objectif principal d'empêcher ce numéro de série et nous avons gagné. Le texte final ne mentionne plus d'identifiant unique et persistant et inclut même des garanties supplémentaires en matière de protection de la vie privée qui devraient empêcher le traçage.
Droit au pseudonymat
De nombreuses personnes ont besoin de l'anonymat en ligne pour exercer leurs droits fondamentaux, en particulier la liberté d'expression. Le portefeuille crée une infrastructure technique qui pourrait permettre d'identifier facilement et à peu de frais tout le monde en ligne et hors ligne à grande échelle. Dans de nombreuses interactions en ligne, c'est exactement ce que les entreprises aimeraient avoir : des informations d'identité certifiées par le gouvernement à notre sujet, en particulier dans le cadre de la publicité basée sur la surveillance. Le texte final du règlement eIDAS contrecarre cette tendance en instaurant un droit au pseudonymat. Il permet aux utilisateurs d'utiliser un pseudonyme généré par le portefeuille et qui n'est stocké que localement. Toutefois, ce droit peut être limité par la législation nationale et européenne.
Divulgation sélective, connaissance zéro et dissociabilité
Lorsqu'une entreprise demande des informations dans le portefeuille, l'utilisateur peut accepter de tout transmettre, de ne rien transmettre ou de "divulguer sélectivement" seulement certaines parties de ce qui lui a été demandé. Le portefeuille devrait également inclure la possibilité de prouver qu'un certain attribut sur soi-même est vrai, sans révéler l'information sous-jacente réelle. C'est ce qu'on appelle la "connaissance zéro". Par exemple, il est possible de prouver qu'une personne a plus de 18 ans sans révéler sa date de naissance. Malheureusement, la "connaissance zéro" n'est exigée des États membres que dans un considérant, de sorte qu'elle n'est pas forcément disponible dans tous les pays.
Lorsqu'une entreprise ne demande pas l'identification d'un utilisateur, mais seulement un certain attribut le concernant, cela doit être fait de manière à ce que les preuves multiples d'attributs soient "dissociables" les unes des autres. "L'impossibilité d'établir un lien" signifie que plusieurs interactions avec la même entreprise ou avec des entreprises différentes ne peuvent pas être reliées entre elles, ce qui empêche de suivre l'utilisateur et d'établir son profil. En pratique, cela signifie que si une personne prouve son âge avec le portefeuille tous les samedis soirs dans un club, les enregistrements numériques empêchent le propriétaire du club de savoir que c'est la même personne qui vient chaque semaine. Bien que, de manière générale, la vérification de l'âge soit souvent une mauvaise idée, ces techniques de préservation de la vie privée limitent au moins le risque.
Cockpit de confidentialité
Le portefeuille disposera d'un historique complet de toutes les demandes d'informations que l'utilisateur a reçues, des informations sur les entreprises qui ont demandé ces informations et, éventuellement, des informations que l'utilisateur a partagées avec elles. En outre, le portefeuille devra offrir la possibilité de demander la suppression de toute donnée personnelle figurant dans les dossiers de l'entreprise et de déposer une plainte auprès de l'autorité nationale de protection des données.
La Brute
Inobservabilité
La plus grande honte de cette réforme est le fait qu'il n'existe absolument aucune garantie empêchant les gouvernements qui fournissent le portefeuille de surveiller tout ce que ses utilisateurs font avec. Étant donné que cet outil peut être utilisé dans tous les domaines de la vie (santé, transport, finances, Internet, etc.), la quantité d'informations qu'un gouvernement peut obtenir sur la vie des gens est d'un niveau panoptique. Les utilisateurs du portefeuille pourraient voir leur vie entière reflétée dans ce seul ensemble de données sur la façon dont ils utilisent le portefeuille. Cette situation aurait pu être évitée grâce à des normes techniques garantissant l'inobservabilité. Le Parlement européen a adopté un excellent texte qui aurait fait exactement cela. Malheureusement, le texte final comprend des dispositions très larges qui permettent aux gouvernements de savoir tout ce que fait un utilisateur, même sans son consentement. Ce n'est qu'une question de temps avant que les forces de l'ordre n'exigent l'accès à ces informations.
Le Truand
Les certificats QWAC
L'idée que le propriétaire d'un nom de domaine soit visible dans le navigateur web a été abandonnée par tous les navigateurs du monde en 2009. En 2021, la Commission a jugé bon de forcer le monde entier à réintroduire cette idée du milieu des années 2000 de "validation étendue" sous le nouveau nom de "Qualified Website Authentication Certificates (QWAC)". Si personne n'utilisera ces certificats, le véritable préjudice causé par ce système est que tous les navigateurs web du monde seront obligés de faire confiance aux certificats racine de tous les fournisseurs européens de services de confiance, qu'ils soient réellement dignes de confiance ou non.
En réponse aux révélations d'Edward Snowden sur la surveillance de masse exercée par le gouvernement, la part du trafic web chiffré est passée de moins de la moitié à 95 %. La sécurité de ce chiffrement dépend des listes de certificats de confiance établies par les navigateurs et les gouvernements du monde entier ont tenté à plusieurs reprises d'attaquer ce système. Avec la proposition initiale, l'UE aurait brisé toute l'architecture de confiance du World Wide Web et même s'il s'était avéré qu'un certificat était utilisé à des fins de surveillance, rien dans la loi n'aurait permis au navigateur de l'exclure.
Le dernier rebondissement de cette histoire est que, quelques jours seulement avant l'accord final, les négociateurs ont accepté une modification du texte qui garantit la liberté des navigateurs de protéger l'authentification de domaine et le chiffrement du trafic web de la manière et avec la technologie qu'ils jugent les plus appropriées. En pratique, cela signifie que les navigateurs auront un moyen de résister aux QWAC qui sapent le chiffrement, en les séparant de TLS. Ainsi, nous pouvons au moins nous attendre à ce que des navigateurs comme Mozilla luttent contre l'affaiblissement de l'architecture de confiance du web. Pour d'autres, comme Microsoft, l'espoir est moindre.
Forum-Shopping
Certains pays de l'UE ont créé un modèle commercial en n'appliquant pas les lois européennes contre les grandes entreprises. En ce qui concerne la nouvelle identité numérique européenne, Facebook Ireland ou les sociétés de jeux d'argent en ligne à Malte seront soumis à la seule réglementation de leurs autorités publiques nationales. Alors que d'autres lois européennes, comme le GDPR ou la DSA, ont tenté de s'attaquer à ce problème et d'y apporter des solutions, cette loi eIDAS n'essaie même pas de le résoudre. Lorsque Facebook Ireland exige soudainement le nom réel, des informations financières ou de santé d'une personne, alors qu'elle n'en a pas le droit, aucune plainte contre elle ne sera traitée avec diligence, car l'autorité irlandaise de protection des données considère ironiquement qu'il lui appartient de protéger Facebook et non nos données. Ainsi, dans de tels cas, les agences de régulation des autres pays de l'UE n'ont aucune possibilité de virer une entreprise de l'écosystème Wallet si elle est située dans l'un de ces havres de paix. Le seul garde-fou contre cette situation est le suivant : ne pas utiliser le portefeuille pour partager des données lorsque l'entreprise qui demande les données provient de l'un de ces pays.
Sécurité et certifications
Le portefeuille sera délivré par un État membre de l'UE. Ce même État membre devra nommer des organismes de certification qui vérifieront si leur portefeuille national est réellement sûr et conforme à la loi. En outre, au cours des premières années, il n'y aura pas de norme de sécurité à l'échelle de l'UE, mais seulement des systèmes nationaux de certification de la sécurité. Ces systèmes seront discutés entre les États membres, mais dans la pratique, nous verrons des niveaux de sécurité très différents d'un État membre à l'autre, ce qui mettra potentiellement en danger de nombreux utilisateurs. Le backend du portefeuille pourrait ne pas recevoir de certification de sécurité du tout. À l'origine, le portefeuille était également censé être certifié s'il respectait les normes de confidentialité et le GDPR. Mais comme les États membres ont fait pression avec succès contre cela, c'est maintenant à eux de décider si leur Wallet national sera certifié pour la conformité à la vie privée ou non.
Source ouverte
Le code du programme de l'application du portefeuille doit être sous licence open source et accessible au public. Malheureusement, cette obligation a été fortement combattue par les États membres et édulcorée à la dernière minute pour ne pas inclure le logiciel du back-end. Ainsi, dans sa forme actuelle, le règlement donne aux États membres la possibilité de ne pas divulguer le code source de l'application dorsale pour des "raisons dûment justifiées, notamment à des fins de sécurité publique". Cela n'empêche pas seulement le contrôle public. Il prive également le public d'un énorme morceau de logiciel, payé par l'argent public, qui - avec une licence ouverte ou gratuite - aurait pu bénéficier au développement d'innombrables autres applications informatiques.
Plans techniques
Six mois après l'adoption de la loi, la Commission devra annoncer les spécifications techniques sur la manière dont le portefeuille est censé fonctionner. C'est pourquoi, au cours des deux dernières années, un groupe de représentants des États membres s'est réuni dans le plus grand secret et sous l'influence de groupes industriels pour préparer cette norme technique. Le document qu'ils ont produit s'appelle "Architecture Reference Framework" (ARF) et a été publié pour la dernière fois en janvier 2023 en tant que version 1.0. La version interne 1.2 la plus récente date de juin 2023 et toutes deux ne pourraient être plus éloignées du texte juridique adopté démocratiquement : Presque toutes les garanties de la législation que nous avons expliquées ici sont absentes de l'ARF. Sans un gros travail, soit le calendrier ne tiendra pas, soit le portefeuille sera accueilli avec méfiance parce qu'il est en infraction avec la loi.
Conclusion
Enfin, il est important de dire que nous aurions souhaité que cette réforme fasse l'objet de plus d'attention. Nous étions la seule organisation de la société civile à travailler sur eIDAS, et nos collègues du monde de la protection des consommateurs, beaucoup plus important, ont dû dé-prioriser ce dossier très tôt. Nous avons travaillé sur cette question complexe et technique pendant plus de deux ans, sans financement ni projet spécifique. En tant que chien de garde, nous sommes guidés par les risques que nous pouvons éviter pour la population et non par la récompense que nous pourrions obtenir ou les permissions que d'autres nous accordent. Nous ne pouvons le faire que parce que nous avons plus d'un millier de membres bienfaiteurs qui financent ce combat pour la liberté grâce à leurs dons récurrents. N'hésitez pas à nous rejoindre !
MISE À JOUR : Le mercredi 8 novembre 2023, les négociateurs se sont réunis pour le dernier trilogue politique et se sont mis d'accord sur le texte qui est à la base de ce billet. Il y aura une dernière réunion technique pour nettoyer le langage, mais des changements substantiels dans le trilogue ne sont pas prévus. Les États membres doivent voter au Conseil de l'UE en décembre 2023 et le Parlement doit voter en commission ITRE le 28 novembre et en février 2024 en séance plénière. Au final, les changements dépendent de la majorité politique. Nous avons basé cette analyse sur le texte final du trilogue politique qui devrait devenir la loi.
Licence internationale Creative Commons Attribution 4.0, "CC BY 4.0epicenter.works"
Sources : epicenter.works, European Digital Rights (EDRi).
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de ce règlement de l'Union Européenne sur la réforme de l'identité numérique ?
Pensez-vous que les préoccupations soulevées par l'EDRi et l'epicenter.works sont crédibles et pertinentes ?
Voir aussi
La réglementation européenne eIDAS 2.0, dont l'article 45 est enfoui dans le texte, fera reculer la sécurité du web de 12 ans, ce qui nous ramène à l'âge des ténèbres de 2011, d'après l'EFF
Mauvaise eIDAS : l'UE se tient prête à intercepter et espionner vos connexions HTTPS dans le cadre d'un énième projet qui signe la fin de la confidentialité des communications numériques en Europe
Dernière chance de corriger eIDAS : la loi secrète de l'Union européenne sur l'identification électronique qui menace la sécurité de l'internet, d'après Mozilla