swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Référendum contre la future Loi fédérale sur les services d’identification électronique

Livio di Tria, le 6 novembre 2020
Le Conseil fédé­ral a commu­ni­qué le 4 novembre 2020 les objets soumis à la vota­tion popu­laire du  7 mars 2021. Parmi ces objets, le peuple suisse aura l’oc­ca­sion de se pronon­cer sur la Loi fédé­rale du 27 septembre 2019 sur les services d’iden­ti­fi­ca­tion élec­tro­nique (LSIE ; FF 2019 6227), la demande de réfé­ren­dum contre cette loi ayant abouti en février dernier. 

Actuellement, la Suisse ne connaît aucune procé­dure d’iden­ti­fi­ca­tion élec­tro­nique enca­drée par la loi ou faisant l’ob­jet d’une garan­tie de la Confédération quant à sa sécu­rité et sa fiabi­lité. Exception peut être faite pour les moyens d’iden­ti­fi­ca­tion prévus par la Loi fédé­rale du 19 juin 2015 sur le dossier élec­tro­nique du patient et par la Loi fédé­rale du 18 septembre 2016 sur les services de certi­fi­ca­tion dans le domaine de la signa­ture élec­tro­nique et des autres appli­ca­tions des certi­fi­cats numé­riques.

Face à la numé­ri­sa­tion de notre société, une telle iden­ti­fi­ca­tion est néces­saire pour le succès de nombreuses pres­ta­tions en ligne et de leur diffu­sion. Ces pres­ta­tions ne sont pas unique­ment issues du domaine privé, les auto­ri­tés publiques déve­lop­pant eux-mêmes des nouvelles offres élec­tro­niques dans le cadre de leur stra­té­gie de cybe­rad­mi­nis­tra­tion. Tel est le cas de la Confédération avec sa récente stra­té­gie suisse de cybe­rad­mi­nis­tra­tion 2020–2023 ou du canton de Vaud avec sa stra­té­gie numé­rique.

Toutefois, cette iden­ti­fi­ca­tion ne doit pas se faire sans cautèle de protec­tion. Ces cautèles sont néces­saires pour garan­tir les exigences concer­nant la sécu­rité et la protec­tion des données, et ce, notam­ment pour préve­nir d’éven­tuelles fuites de données toujours plus nombreuses (cf. swiss​pri​vacy​.law/19 ou swiss​pri​vacy​.law/24).

Afin de pallier à ce manque, le Conseil fédé­ral a donc déposé auprès de l’Assemblée fédé­rale un projet en date du 1er juin 2018 (FF 2018 4031). Ce projet a fait l’ob­jet de débats à l’Assemblée fédé­rale. Concrètement, l’idée de la LSIE est d’éta­blir les moyens d’iden­ti­fi­ca­tion élec­tro­nique néces­saires pour les échanges élec­tro­niques entre les citoyens, les auto­ri­tés publiques et les entre­prises. Pour ce faire, la Conseil fédé­ral a prévu un système de partage des tâches entre le secteur public et le secteur privé :

  • le secteur public assu­me­rait d’abord la tâche centrale de véri­fier et de confir­mer l’iden­tité une personne, mais égale­ment celle de de contrô­ler les four­nis­seurs et leurs systèmes d’iden­ti­fi­ca­tion électronique ;
  • le secteur privé s’oc­cu­pe­rait de l’ex­ploi­ta­tion des systèmes d’iden­ti­fi­ca­tion élec­tro­nique ainsi que de leur émission.

Selon le Conseil fédé­ral, cette répar­ti­tion est moti­vée en raison du fait que le secteur privé serait plus à même de déve­lop­per et de produire les supports tech­no­lo­giques requis pour une telle iden­ti­fi­ca­tion, tant celui-ci est plus proche des utili­sa­teurs et des tech­no­lo­gies néces­saires. Lors des débats parle­men­taires, cette répar­ti­tion des tâches a été criti­quée mais a fina­le­ment été adop­tée telle quelle par l’aile libé­rale de l’Assemblée fédérale.

Toutes les pres­ta­tions numé­riques ne néces­si­tant pas le même degré de sécu­rité, ni les mêmes données person­nelles, la LSIE prévoit en l’état des exigences diffé­rentes en fonc­tion du type d’iden­ti­fi­ca­tion élec­tro­nique. Selon l’art. 4 LSIE, trois types d’iden­ti­fi­ca­tion élec­tro­nique ont été rete­nus, chacune offrant un niveau de garan­tie spéci­fique en fonc­tion de critères de fiabi­lité. On distingue à cet égard : un niveau de garan­tie « faible » (réduc­tion du risque d’uti­li­sa­tion abusive ou d’al­té­ra­tion de l’iden­tité), un niveau de protec­tion « substan­tiel » (protec­tion élevée contre le risque d’uti­li­sa­tion abusive ou d’al­té­ra­tion de l’iden­tité) et un niveau de garan­tie « élevé » (protec­tion la plus élevée possible contre le risque d’uti­li­sa­tion abusive ou d’al­té­ra­tion de l’identité).

Les données person­nelles consti­tuant l’iden­tité élec­tro­nique varient en fonc­tion du niveau garan­tie (art. 5 LSIE). Ainsi, une iden­ti­fi­ca­tion élec­tro­nique d’un niveau de garan­tie « faible » ne contien­drait que le numéro d’en­re­gis­tre­ment de l’iden­ti­fi­ca­tion élec­tro­nique, le nom d’état civil, les prénoms et la date de nais­sance. Celle d’un niveau de garan­tie « substan­tiel » contien­drait en outre le sexe, le lieu de nais­sance et la natio­na­lité. Finalement, en ce qui concerne le niveau de garan­tie « élevé », elle contien­drait la photo­gra­phie de la personne. L’art. 9 LSIE prévoit enfin que le trai­te­ment de ces données ne peut inter­ve­nir que dans le but de procé­der aux iden­ti­fi­ca­tions prévues par la LSIE, empê­chant (théo­ri­que­ment) le secteur privé d’uti­li­ser ces données person­nelles à d’autres fins.

Outre les données person­nelles enre­gis­trées, la créa­tion et l’uti­li­sa­tion de l’iden­tité numé­rique diffèrent aussi en fonc­tion de chaque niveau de garan­tie. Ainsi, une iden­tité élec­tro­nique d’un niveau de garan­tie « faible » peut être enre­gis­trée en ligne avec un docu­ment d’iden­tité déli­vré par l’État et requiert au moins, pour son utili­sa­tion, une authen­ti­fi­ca­tion à un facteur. L’utilisation d’une iden­tité élec­tro­nique d’un niveau de garan­tie « substan­tiel » requiert elle un enre­gis­tre­ment par le biais d’un entre­tien person­nel auprès du four­nis­seur d’iden­tité, d’une iden­ti­fi­ca­tion par vidéo sur la base d’un docu­ment d’iden­tité déli­vré par l’État ou par le biais de la compa­rai­son avec la photo­gra­phie appo­sée sur le docu­ment d’iden­tité. Son utili­sa­tion requiert une authen­ti­fi­ca­tion à deux facteurs. Quant au niveau de garan­tie « élevé », l’en­re­gis­tre­ment de l’iden­tité numé­rique ne peut être effec­tué que lors d’un entre­tien person­nel auprès du four­nis­seur d’identité ou d’une iden­ti­fi­ca­tion par vidéo sur la base d’un docu­ment d’identité déli­vré par l’État. L’authenticité de ce docu­ment et au moins une donnée biomé­trique sont véri­fiées à l’aide d’une source offi­cielle. Quant à l’uti­li­sa­tion de l’iden­tité numé­rique, elle requiert égale­ment une authen­ti­fi­ca­tion à deux facteurs, l’un des deux devant être biométrique.

À toutes fins utiles, il y a lieu de préci­ser que les art. 25 ss LSIE prévoient la créa­tion d’une nouvelle Commission fédé­rale en charge de la bonne appli­ca­tion de la LSIE : la Commission fédé­rale des e‑ID (EIDCOM). Cette nouvelle Commission fédé­rale est notam­ment char­gée d’oc­troyer au four­nis­seur d’iden­tité la recon­nais­sance qui lui permet­tra d’of­fi­cier en cette qualité, celle-ci étant cepen­dant soumise à des condi­tions strictes (art. 13 LSIE). À ce titre, le PFPDT doit être consulté au préa­lable. Si les four­nis­seurs d’iden­tité sont soumis à des obli­ga­tions strictes, l’art. 12 al. 1 LSIE prévoit égale­ment une respon­sa­bi­lité du titu­laire d’une iden­tité numé­rique. En effet, ce dernier « doit prendre les mesures néces­saires et raison­na­ble­ment exigibles au vu des circons­tances pour empê­cher toute utili­sa­tion abusive de son e‑ID ».

Dans tous les cas, ce que nous venons de présen­ter est soumis au condi­tion­nel. La déci­sion finale d’ac­cep­ter ou non cette loi est en main du peuple.



Proposition de citation : Livio di Tria, Référendum contre la future Loi fédérale sur les services d’identification électronique, 6 novembre 2020 in www.swissprivacy.law/25


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Sécurité des produits et protection des données : les assurer et les associer, ça coule de source
  • Rapport concernant l’amélioration de la gestion des données dans le domaine de la santé
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law