dimanche, novembre 24, 2024

Le portefeuille d’identification numérique de l’Europe — Facile pour les utilisateurs ou cauchemar pour la confidentialité des données ?

Le 15 mars, le Parlement européen a voté par 418 voix contre 103 (avec 24 abstentions) en faveur de la négociation d’un mandat de négociation avec les États membres de l’Union européenne sur la révision de la nouvelle identité numérique européenne (eID) cadre et la création du «portefeuille européen d’identité numérique», également connu sous le nom de Portefeuille EUDI ou portefeuille de l’UE.

Les cartes d’identité des citoyens, les cartes de santé, les certificats et de nombreux autres documents pourraient bientôt être stockés numériquement dans une application pour smartphone destinée aux citoyens de l’UE.

Selon Selon une déclaration officielle du Parlement européen, le système permettrait aux citoyens de s’identifier et de s’authentifier en ligne sans dépendre de grands fournisseurs commerciaux comme Apple, Google, Amazon ou Facebook.

Le nouveau cadre de l’eID est censé donner aux citoyens de l’UE un accès numérique aux principaux services publics dans toute l’UE. Les citoyens resteront « en plein contrôle de leurs données » et pourront « décider eux-mêmes quelles informations partager et avec qui ».

Les législateurs européens ont fixé un objectif ambitieux pour ce nouveau portefeuille, visant à l’amener à 80% de la population d’ici 2030. Cela pourrait être réalisé en exigeant que le portefeuille soit pris en charge par les services d’administration en ligne et les entreprises qui ont l’obligation légale d’identifier leurs clients par le biais de contrôles Know Your Customer. Cela pourrait obliger les grandes plateformes en ligne comme Google ou Facebook à proposer le portefeuille européen pour se connecter à leurs services, avec une législation non contraignante et des actes délégués qui pourraient obliger les petites et moyennes entreprises à prendre en charge le portefeuille.

Les négociations avec le Conseil européen sur la mise en œuvre seraient la prochaine étape, mais les experts en transformation numérique et en protection des données ont des doutes et des opinions divergentes sur la mise en œuvre du portefeuille.

La convivialité est la clé de l’adoption

Le portefeuille de l’UE – comme les cartes d’identité électroniques actuelles en Allemagne et dans d’autres pays européens des pays — ne sera guère adopté par les citoyens dans leur vie quotidienne s’il n’offre pas un bon cas d’utilisation.

L’enjeu est de rendre plus simple et plus efficace l’interaction des citoyens avec les services publics et les administrations, permettant des processus d’authentification et de vérification, notamment dans le secteur privé.

Selon Clemens Schleupner, responsable de la politique des services d’identité et de confiance numériques à l’association numérique allemande Bitkom, la possibilité de stocker des identifiants électroniques sur un smartphone pour les utiliser en ligne ainsi que de numériser les permis de conduire, les cartes de santé, les passeports, les billets, les bulletins scolaires, les cartes de crédit cartes, certificats d’adhésion, etc., et les combiner dans un seul portefeuille pourrait avoir un potentiel de marché de masse.

Demander un prêt bancaire avec eID. Source : Commission européenne

Le portefeuille EUDI pourrait rendre cela possible ; cependant, cela ne réussira que « si l’adoption par les citoyens européens est assurée par la sécurité et la convivialité, la pertinence grâce à un nombre élevé d’utilisations possibles et l’interopérabilité de différentes applications dans toute l’Europe », a déclaré Schleupner à Cointelegraph.

Le manque de convivialité et de sensibilisation du public sont également des préoccupations importantes pour Christof Stein, porte-parole du commissaire fédéral allemand à la protection des données et à la liberté d’information (BfDI).

Stein a déclaré à Cointelegraph que l’utilisation de technologies éprouvées et d’infrastructures fiables avec des normes de sécurité informatique et de protection des données appliquées est cruciale pour les citoyens utilisant le portefeuille de l’UE.

La vie privée est reine

Comme les règles définitives ne sont pas encore connues, il est trop tôt pour évaluer le portefeuille de l’UE à ce stade précoce de la mise en œuvre. Pour les citoyens, il est important que le cadre juridique fournisse une solution de sauvegarde des données qui ne permette aux organisations de demander des données utilisateur que lorsqu’elles en ont besoin.

Selon Stein, il est essentiel que les utilisateurs soient protégés contre le suivi par les fournisseurs de portefeuilles, et les fournisseurs de portefeuilles doivent s’assurer que le traitement des données du portefeuille est conforme aux exigences légales.

« Ce qu’il faut, c’est un ancrage central de confiance permettant de faire respecter les règles de protection des personnes. Par exemple, l’infrastructure doit être conçue de sorte que toutes les organisations participant au système doivent s’enregistrer pour s’identifier auprès des utilisateurs.

La précédente proposition de la Commission européenne manquait des garanties de confidentialité essentielles qui auraient permis à des tiers d’obtenir des données sur les transactions des utilisateurs, permettant éventuellement à des acteurs malveillants d’exploiter le système à des fins d’usurpation d’identité ou de fraude.

Selon Thomas Lohninger, directeur exécutif de l’ONG autrichienne de protection des données epicentre.works, le Parlement européen a considérablement amélioré la loi et adopté une bonne position en première lecture. Il a déclaré à Cointelegraph :

« Il est peu probable que le Parlement remporte 100 % des négociations du trilogue. Mais nous espérons que le Conseil et la Commission se rendront compte que le succès de l’ensemble du système dépend de la confidentialité et de la confiance qui y sont intégrées. Seulement s’il s’agit de l’outil de confiance et choisi par les citoyens pour leurs données de santé, d’identité et financières les plus sensibles le portefeuille d’identité numérique européen peut-il être un succès ? »

Le problème de la « sur-identification »

Lohninger a également mis en garde contre la « sur-identification », c’est-à-dire que si tout le monde dans l’UE est obligé de toujours utiliser le portefeuille, cela pourrait entraîner une perte d’anonymat et de pseudonymat dans les interactions quotidiennes.

Stein de BfDI partageait ce point de vue, arguant qu’il ne devrait y avoir aucune obligation générale d’utiliser le portefeuille EUDI et qu’il devrait y avoir des alternatives.

Le Parlement européen semble avoir entendu ces préoccupations, car l’une des garanties les plus importantes du cadre d’identité récemment adopté est une clause de non-discrimination qui « protège toute personne qui choisit de ne pas utiliser le portefeuille de l’UE, que ce soit pour accéder aux services gouvernementaux, la liberté d’entreprise ou le marché du travail.

Au Parlement européen, les quatre commissions ont adopté cette garantie avec un consensus interpartis. Maintenant, cette garantie doit survivre au trilogue — négociations avec des représentants du Parlement européen, du Conseil de l’Union européenne et de la Commission européenne.

Qu’en est-il des preuves à connaissance nulle ?

Comme Cointelegraph l’a rapporté, le comité de l’industrie, de la recherche et de l’énergie de l’UE a inclus une norme pour les preuves à connaissance nulle (épreuves ZK) dans ses amendements eID.

Cette technologie, qui permet la divulgation sélective de certaines informations – comme ne révéler que son âge, par exemple – pourrait devenir une fonction essentielle du portefeuille de l’UE, a déclaré Stein.

Lohninger d’Epicentre.work a noté que les épreuves ZK pourraient fournir une « inappétence ». Par exemple, quelqu’un pourrait prouver qu’il est majeur à quelqu’un d’autre à différentes occasions sans que cette dernière ne sache que la première est la même personne.

Récent : Islam et crypto : comment les actifs numériques peuvent se conformer à la loi financière islamique

Bien que les épreuves ZK permettent d’anonymiser les données personnelles, Schleupner voit deux défis. Premièrement, les épreuves ZK dans leur application actuelle sont « une nouvelle technologie et des vulnérabilités peuvent survenir si elles ne sont pas implémentées correctement », et deuxièmement, « de nombreux cas d’utilisation [of ZK-proofs] n’ont pas encore fait l’objet d’une évaluation concluante.

Avant de faire confiance à la technologie, les régulateurs de l’UE doivent s’assurer que les épreuves ZK sont conformes aux règles de confidentialité et répondent à toutes les exigences spécifiques du règlement général sur la protection des données.

Le trilogue à l’UE a beaucoup à considérer avant de faire de l’eID un outil utilisable, sûr et fiable pour les Européens. La façon dont les régulateurs équilibrent ces considérations pourrait avoir de profondes implications pour d’autres créateurs d’identité numérique ou basée sur la blockchain.