La Suisse et la mondialisation du portefeuille d’identité numérique

| 0 Commentaires
Hand Holding Smartphone With Digital E Wallet On Virtual Screen
Reinhard Riedl
/0 Commentaires/dans /par

Une coopération mondiale autour de l’infrastructure de confiance numérique est-elle possible ? L’Europe, les États-Unis, la Chine et la Suisse œuvrent-ils véritablement dans la même direction ? Et si oui, les droits des individus seront-ils au cœur des préoccupations – ou bien céderons-nous à la tentation d’une surveillance généralisée par les États et les entreprises ?

L’idée d’une infrastructure mondiale de confiance numérique a de quoi séduire. Elle permettrait aux individus – et aux machines autonomes – de prouver leur identité dans les interactions en ligne, en y joignant des attributs personnels vérifiables, tels que la formation, l’expérience professionnelle ou le lieu de résidence. Et cela au-delà des frontières nationales. Mais ce rêve peut-il devenir réalité ?

Le lancement d’une collaboration mondiale sur les portefeuilles d’identité numérique, les 1er et 2 juillet à Genève, suscite à la fois de l’espoir et des inquiétudes. D’une part, en raison de la diversité des acteurs représentés. D’autre part, car la coopération entre l’Europe, les États-Unis et la Chine est au centre des discussions. Plusieurs questions se posent : existe-t-il une volonté sincère de coopérer ? (Si oui, cela représenterait une opportunité historique.) La souveraineté numérique des individus est-elle réellement la priorité ? (Si non, cela constituerait un obstacle inacceptable.) Enfin, sommes-nous protégés contre le risque que cette infrastructure devienne à terme un instrument de surveillance globale ? (Car les lois et déclarations politiques, à elles seules, ne suffisent pas.)

Il est révélateur d’observer qui est perçu comme la menace principale pour l’autodétermination numérique. Même parmi les experts suisses du numérique, les peurs divergent : certains redoutent une dérive centralisatrice de la Commission européenne – désolé, chers collègues à Bruxelles, mais tel est le discours de certains spécialistes IT – d’autres se méfient des États-Unis ou de la Chine. Et à l’intérieur même de ces régions, les entités considérées comme problématiques diffèrent. Rarement quelqu’un identifie toutes les régions comme menaçantes. Mais si l’on additionne toutes ces inquiétudes, il en ressort que chaque acteur majeur est perçu comme un risque potentiel.

La collaboration numérique mondiale devrait ainsi poursuivre trois objectifs principaux. Premièrement, elle devrait favoriser l’émergence d’une infrastructure mondiale de confiance numérique en assurant l’interopérabilité globale des portefeuilles d’identité numérique. Tel est son objectif central, sur lequel un large consensus existe. Deuxièmement, elle doit garantir qu’il soit techniquement exclu que cette infrastructure puisse se transformer en machine de surveillance. Troisièmement, elle devrait contribuer à rationaliser le débat public et à dissiper les peurs diffuses au sein de la population. Si l’intuition du danger peut être utile en zones de crise, où des réactions rapides s’imposent, le discours technologique exige au contraire une désignation claire des enjeux. Les suppositions vagues et anxieuses s’avèrent souvent contre-productives dans ce contexte.

Qu’est-ce qu’un portefeuille d’identité numérique ?

L’idée est simple, mais puissante : chaque personne dispose d’un portefeuille numérique sécurisé, dans lequel elle peut stocker des certificats d’attributs vérifiables, délivrés par des institutions dont l’identité est elle-même authentifiée. Ces certificats ne résident que dans le portefeuille de l’utilisateur ou utilisatrice, qui en a le plein contrôle. Les tiers à qui ils sont présentés peuvent vérifier leur authenticité et leur validité.

Tant que le système dans son ensemble est résilient face aux manipulations, la fiabilité des attributs repose sur la confiance accordée aux institutions émettrices. Dans la complexité du monde réel, c’est la forme de fiabilité maximale accessible dans les interactions numériques.

Un exemple : si je doute de l’âge déclaré par une personne, je peux exiger une preuve d’âge. Libre à moi ensuite d’évaluer si je considère l’institution émettrice comme fiable. Il se peut que je me méfie d’un certificat numérique émanant d’un pays inconnu, mais que j’accorde ma confiance à un certificat fondé sur les registres d’un pays voisin. Il se peut aussi que ces deux certificats affichent des âges différents, et que celui que je juge plus fiable contienne des données erronées. Mais il n’existe aucun arbitre universel de la vérité dans le monde réel – et si c’était le cas, il serait facile d’en mal interpréter les jugements. Les mythologies antiques sont riches d’exemples illustrant de telles dérives.

Ce que doivent permettre les portefeuilles

Pour convaincre pleinement, les portefeuilles d’identité numérique doivent répondre à plusieurs exigences. Ils doivent pouvoir être utilisés aussi par des machines autonomes. Les certificats d’attributs doivent être fiables et sécurisés, permettre des déclarations fines (« le contrôle de sécurité de niveau N a validé… »), mais aussi limiter les informations révélées à des aspects précis (par exemple, uniquement « moins de 14 ans »), voire à des preuves anonymes.

Il va de soi que l’institution émettrice ne doit pas être informée lorsqu’un certificat est utilisé. De plus, il doit être techniquement exclu de relier entre eux plusieurs certificats anonymes émis à la même personne.

Deux questions critiques

Aussi simple que cela puisse paraître, deux questions décisives se posent : Pouvons-nous faire confiance à une telle infrastructure numérique de confiance ? Autrement dit, les portefeuilles d’identité numérique et les certificats d’attributs sont-ils protégés contre la surveillance et la manipulation ? Et : cette infrastructure de confiance numérique va-t-elle véritablement décoller ? Sommes-nous en mesure de résoudre le problème bien connu de la poule et de l’œuf ? Y aura-t-il suffisamment d’utilisateurs des portefeuilles d’identité numérique, et suffisamment de cas d’usage pertinents ?

La confiance dans ces portefeuilles et dans les certificats d’attributs qu’ils contiennent – y compris l’identité électronique (eID), équivalent numérique du passeport – dépend entièrement de leur mise en œuvre technique. Cela signifie qu’elle repose notamment sur l’architecture, les algorithmes utilisés, les logiciels déployés et le matériel sous-jacent. Cela exige un discours structuré, scientifique et public.

La réussite du déploiement dépend, d’une part, de la confiance du public dans l’implémentation technique et du coût d’adoption pour les individus : est-ce gratuit, simple à installer et à utiliser ? D’autre part, elle dépend également de la capacité du secteur économique à proposer des cas d’usage concrets et pertinents, ainsi que de la capacité des individus à en percevoir la valeur ajoutée. Il faut des modèles d’affaires solides, des solutions logicielles standardisées pour les entreprises, mais aussi une communication efficace afin de rendre visibles les bénéfices concrets que les citoyens peuvent tirer de l’utilisation d’un portefeuille d’identité numérique.

Le vote suisse sur l’eID : un test de confiance

 En Suisse, un référendum est prévu en septembre sur la loi fédérale relative à l’identité électronique (BGElD). Cette loi vise à établir une infrastructure de confiance conforme au modèle évoqué ici. Beaucoup d’acteurs sont optimistes, car la solution suisse a été développée de manière participative, avec une base logicielle open source, et de nombreuses entreprises suisses se sont engagées à présenter des cas concrets pendant la campagne.

Le défi : les arguments économiques – comme la réduction des coûts d’onboarding pour les banques – peuvent faciliter l’adoption du système, mais ne répondent pas aux craintes de surveillance systématique. Le cœur du débat portera probablement sur la sécurité à long terme de l’infrastructure. Il est donc essentiel de parler à la fois de sécurité technique et de gouvernance. L’architecture choisie peut structurer ces discussions.

La réunion de Genève place la question de la confiance internationale sous les projecteurs. Si la Suisse souhaite une interopérabilité avec l’UE – notamment avec son portefeuille d’identité numérique – peut-elle garantir une protection contre une surveillance étrangère ? Et inversement : la solution suisse a-t-elle des chances d’être acceptée par l’UE ? Car celle-ci exige une certification spécifique du matériel et des logiciels, qui n’est actuellement pas prévue dans le modèle suisse.

Certes, l’UE fait face à un paradoxe : il n’existe pas encore de référentiel clair pour cette certification (l’ENISA y travaille), ce qui oblige les États membres à certifier leurs propres solutions dans l’intervalle. Cela ne signifie cependant pas que l’UE renoncera à ses exigences de sécurité. Mais prétendre pouvoir livrer aujourd’hui la solution idéale serait illusoire. L’expérience des vingt dernières années a montré qu’aucun système d’identité numérique ne réussit sans apprentissage progressif.

Creative Commons Licence

AUTHOR: Reinhard Riedl

Le professeur Reinhard Riedl est chargé de cours à l'Institut Digital Technology Management de la HESB Économie. Il s'engage dans de nombreuses organisations et est membre du comité de pilotage de TA-Swiss. Il est en outre membre du comité directeur d'eJustice.ch, de Praevenire - Verein zur Optimierung der solidarischen Gesundheitsversorgung (Autriche) et d'All-acad.com, entre autres.

Posts from Reinhard Riedl

Create PDF

Posts associés

Désolé, aucun article similaire n'a été trouvé.

0 réponses

Laisser un commentaire

Rejoindre la discussion?
N’hésitez pas à contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *