Le Conseil fédé­ral a commu­ni­qué le 4 novembre 2020 les objets soumis à la vota­tion popu­laire du  7 mars 2021. Parmi ces objets, le peuple suisse aura l’oc­ca­sion de se pronon­cer sur la Loi fédé­rale du 27 septembre 2019 sur les services d’iden­ti­fi­ca­tion élec­tro­nique (LSIE ; FF 2019 6227), la demande de réfé­ren­dum contre cette loi ayant abouti en février dernier. 

Actuellement, la Suisse ne connaît aucune procé­dure d’iden­ti­fi­ca­tion élec­tro­nique enca­drée par la loi ou faisant l’ob­jet d’une garan­tie de la Confédération quant à sa sécu­rité et sa fiabi­lité. Exception peut être faite pour les moyens d’iden­ti­fi­ca­tion prévus par la Loi fédé­rale du 19 juin 2015 sur le dossier élec­tro­nique du patient et par la Loi fédé­rale du 18 septembre 2016 sur les services de certi­fi­ca­tion dans le domaine de la signa­ture élec­tro­nique et des autres appli­ca­tions des certi­fi­cats numé­riques.

Face à la numé­ri­sa­tion de notre société, une telle iden­ti­fi­ca­tion est néces­saire pour le succès de nombreuses pres­ta­tions en ligne et de leur diffu­sion. Ces pres­ta­tions ne sont pas unique­ment issues du domaine privé, les auto­ri­tés publiques déve­lop­pant eux-mêmes des nouvelles offres élec­tro­niques dans le cadre de leur stra­té­gie de cybe­rad­mi­nis­tra­tion. Tel est le cas de la Confédération avec sa récente stra­té­gie suisse de cybe­rad­mi­nis­tra­tion 2020–2023 ou du canton de Vaud avec sa stra­té­gie numé­rique.

Toutefois, cette iden­ti­fi­ca­tion ne doit pas se faire sans cautèle de protec­tion. Ces cautèles sont néces­saires pour garan­tir les exigences concer­nant la sécu­rité et la protec­tion des données, et ce, notam­ment pour préve­nir d’éven­tuelles fuites de données toujours plus nombreuses (cf. swiss​pri​vacy​.law/19 ou swiss​pri​vacy​.law/24).

Afin de pallier à ce manque, le Conseil fédé­ral a donc déposé auprès de l’Assemblée fédé­rale un projet en date du 1er juin 2018 (FF 2018 4031). Ce projet a fait l’ob­jet de débats à l’Assemblée fédé­rale. Concrètement, l’idée de la LSIE est d’éta­blir les moyens d’iden­ti­fi­ca­tion élec­tro­nique néces­saires pour les échanges élec­tro­niques entre les citoyens, les auto­ri­tés publiques et les entre­prises. Pour ce faire, la Conseil fédé­ral a prévu un système de partage des tâches entre le secteur public et le secteur privé :

• le secteur public assu­me­rait d’abord la tâche centrale de véri­fier et de confir­mer l’iden­tité une personne, mais égale­ment celle de de contrô­ler les four­nis­seurs et leurs systèmes d’iden­ti­fi­ca­tion électronique ;
• le secteur privé s’oc­cu­pe­rait de l’ex­ploi­ta­tion des systèmes d’iden­ti­fi­ca­tion élec­tro­nique ainsi que de leur émission.

Selon le Conseil fédé­ral, cette répar­ti­tion est moti­vée en raison du fait que le secteur privé serait plus à même de déve­lop­per et de produire les supports tech­no­lo­giques requis pour une telle iden­ti­fi­ca­tion, tant celui-ci est plus proche des utili­sa­teurs et des tech­no­lo­gies néces­saires. Lors des débats parle­men­taires, cette répar­ti­tion des tâches a été criti­quée mais a fina­le­ment été adop­tée telle quelle par l’aile libé­rale de l’Assemblée fédérale.

Toutes les pres­ta­tions numé­riques ne néces­si­tant pas le même degré de sécu­rité, ni les mêmes données person­nelles, la LSIE prévoit en l’état des exigences diffé­rentes en fonc­tion du type d’iden­ti­fi­ca­tion élec­tro­nique. Selon l’art. 4 LSIE, trois types d’iden­ti­fi­ca­tion élec­tro­nique ont été rete­nus, chacune offrant un niveau de garan­tie spéci­fique en fonc­tion de critères de fiabi­lité. On distingue à cet égard : un niveau de garan­tie « faible » (réduc­tion du risque d’uti­li­sa­tion abusive ou d’al­té­ra­tion de l’iden­tité), un niveau de protec­tion « substan­tiel » (protec­tion élevée contre le risque d’uti­li­sa­tion abusive ou d’al­té­ra­tion de l’iden­tité) et un niveau de garan­tie « élevé » (protec­tion la plus élevée possible contre le risque d’uti­li­sa­tion abusive ou d’al­té­ra­tion de l’identité).

Les données person­nelles consti­tuant l’iden­tité élec­tro­nique varient en fonc­tion du niveau garan­tie (art. 5 LSIE). Ainsi, une iden­ti­fi­ca­tion élec­tro­nique d’un niveau de garan­tie « faible » ne contien­drait que le numéro d’en­re­gis­tre­ment de l’iden­ti­fi­ca­tion élec­tro­nique, le nom d’état civil, les prénoms et la date de nais­sance. Celle d’un niveau de garan­tie « substan­tiel » contien­drait en outre le sexe, le lieu de nais­sance et la natio­na­lité. Finalement, en ce qui concerne le niveau de garan­tie « élevé », elle contien­drait la photo­gra­phie de la personne. L’art. 9 LSIE prévoit enfin que le trai­te­ment de ces données ne peut inter­ve­nir que dans le but de procé­der aux iden­ti­fi­ca­tions prévues par la LSIE, empê­chant (théo­ri­que­ment) le secteur privé d’uti­li­ser ces données person­nelles à d’autres fins.

Outre les données person­nelles enre­gis­trées, la créa­tion et l’uti­li­sa­tion de l’iden­tité numé­rique diffèrent aussi en fonc­tion de chaque niveau de garan­tie. Ainsi, une iden­tité élec­tro­nique d’un niveau de garan­tie « faible » peut être enre­gis­trée en ligne avec un docu­ment d’iden­tité déli­vré par l’État et requiert au moins, pour son utili­sa­tion, une authen­ti­fi­ca­tion à un facteur. L’utilisation d’une iden­tité élec­tro­nique d’un niveau de garan­tie « substan­tiel » requiert elle un enre­gis­tre­ment par le biais d’un entre­tien person­nel auprès du four­nis­seur d’iden­tité, d’une iden­ti­fi­ca­tion par vidéo sur la base d’un docu­ment d’iden­tité déli­vré par l’État ou par le biais de la compa­rai­son avec la photo­gra­phie appo­sée sur le docu­ment d’iden­tité. Son utili­sa­tion requiert une authen­ti­fi­ca­tion à deux facteurs. Quant au niveau de garan­tie « élevé », l’en­re­gis­tre­ment de l’iden­tité numé­rique ne peut être effec­tué que lors d’un entre­tien person­nel auprès du four­nis­seur d’identité ou d’une iden­ti­fi­ca­tion par vidéo sur la base d’un docu­ment d’identité déli­vré par l’État. L’authenticité de ce docu­ment et au moins une donnée biomé­trique sont véri­fiées à l’aide d’une source offi­cielle. Quant à l’uti­li­sa­tion de l’iden­tité numé­rique, elle requiert égale­ment une authen­ti­fi­ca­tion à deux facteurs, l’un des deux devant être biométrique.

À toutes fins utiles, il y a lieu de préci­ser que les art. 25 ss LSIE prévoient la créa­tion d’une nouvelle Commission fédé­rale en charge de la bonne appli­ca­tion de la LSIE : la Commission fédé­rale des e‑ID (EIDCOM). Cette nouvelle Commission fédé­rale est notam­ment char­gée d’oc­troyer au four­nis­seur d’iden­tité la recon­nais­sance qui lui permet­tra d’of­fi­cier en cette qualité, celle-ci étant cepen­dant soumise à des condi­tions strictes (art. 13 LSIE). À ce titre, le PFPDT doit être consulté au préa­lable. Si les four­nis­seurs d’iden­tité sont soumis à des obli­ga­tions strictes, l’art. 12 al. 1 LSIE prévoit égale­ment une respon­sa­bi­lité du titu­laire d’une iden­tité numé­rique. En effet, ce dernier « doit prendre les mesures néces­saires et raison­na­ble­ment exigibles au vu des circons­tances pour empê­cher toute utili­sa­tion abusive de son e‑ID ».

Dans tous les cas, ce que nous venons de présen­ter est soumis au condi­tion­nel. La déci­sion finale d’ac­cep­ter ou non cette loi est en main du peuple.