Certifier son identité sur le Web en toute sécurité

La loi fédérale sur les services d’identification électronique (e-ID) doit rendre l’identification sur Internet plus simple et plus sûre. Une avancée dans la numérisation à plébisciter dans les urnes le 7 mars prochain.

C’est un fait dont les internautes suisses n’ont pas forcément conscience: les solutions actuelles pour s’identifier personnellement sur Internet ne sont pas vraiment régulées. Pour les entreprises, les particuliers et les autorités, effectuer des démarches en ligne impose plus que jamais une identification sûre et facile. C’est pour créer des règles claires et améliorer la sécurité juridique et la fiabilité que les autorités fédérales ont mis sur pied la loi fédérale sur les services d’identification électronique (e-ID). Le référendum ayant abouti, nous voterons sur ce texte le 7 mars prochain.

A la traîne dans le domaine de la numérisation, la Suisse dispose ici d’une occasion rêvée d’effectuer un bond en avant dans ce domaine. Ce projet bénéficie d’un large soutien, auquel j’associe volontiers le mien. Fruit d’un long processus, cette loi crée des règles claires pour une meilleure protection des données et une plus grande sécurité juridique. Surtout, elle garantit que les data resteront en Suisse. En se dotant d’un tel système, notre pays accroîtra son indépendance vis-à-vis des grandes plateformes internationales, qui ne répondent de loin pas à nos exigences en matière de protection des données et de sécurité.

Sur une base volontaire

Ce système permet de s’identifier en toute sécurité sur Internet et de réduire les innombrables comptes et connexions, et par là l’accumulation de mots de passe. Il sera par exemple possible de s’épargner certaines démarches administratives. Il ne s’agit pas d’un substitut aux documents d’identité officiels car, contrairement, au passeport, l’e-ID ne contient pas de données biométriques, comme les empreintes digitales. Les données personnelles ne peuvent être utilisées que pour l’identification sur demande de la personne propriétaire de ce sésame numérique. La transmission et la commercialisation des données sont par ailleurs interdites. L’e-ID s’acquiert sur une base volontaire. Celles et ceux qui n’entendent pas y recourir auront de toute manière accès à tous les types de services administratifs.

Un point fait particulièrement débat: l’infrastructure technique sera développée et exploitée par des cantons ou des communes, mais aussi par des entreprises privées. D’aucuns craignent que l’Etat abandonne ainsi une partie de sa mission régalienne. Il n’en est rien: la loi prescrit clairement que la souveraineté sur les données d’identité reste exclusivement du ressort de la Confédération. Elle seule peut garantir l’exactitude des caractéristiques d’identification d’une personne, et elle ne donne pas accès aux registres de l’État à des tiers. Pour le reste, j’estime qu’en confiant cette tâche à des sociétés privées, on utilise les bonnes compétences là où elles sont. On en trouve d’ailleurs un certain nombre dans le canton de Vaud.

Un mot encore: refuser ce texte constituerait un pas en arrière extrêmement préjudiciable pour une Suisse qui a le devoir de se numériser davantage pour demeurer compétitive. Il n’existe pas d’alternative à ce texte. Reprendre l’ensemble du processus nous ferait perdre au moins quatre ans. C’est un «luxe» que nous ne pouvons pas nous permettre.

Photo: AdobeStock

Claudine Amstein

Claudine Amstein

Claudine Amstein est la directrice de la Chambre vaudoise du commerce et de l’industrie, depuis 2005. Après avoir été juriste et secrétaire générale de la Chambre vaudoise immobilière, elle en reprend la direction en 1993. Elle a été constituante au Grand Conseil vaudois, avant d’en être députée pendant dix ans. Elle est très engagée dans les associations faîtières de l'économie suisse.

17 réponses à “Certifier son identité sur le Web en toute sécurité

  1. Comment peut-t’on proférer autant de mensonges dans un texte aussi court ?

    “s’identifier en toute sécurité sur Internet”: même le texte de loi prévoir un “eID faible” pour l’accès à des sites peu importants. Autant donner un pied de biche aux hackers pour atteindre le niveau supérieur. Une solution à trois étages, c’est déjà une cacophone politique plutôt qu’une solution sécurisée De plus, mettre tous ses oeufs dans le même panier, c’est carrément suicidaire: ça c’est vraiment “un luxe que l’on ne peut pas se permettre”.

    “sur une base volontaire” ? Dans la pratique, dès qu’un site WEB aura mis en place une identification eID, nous serons obligés de l’adopter pour continuer à avoir les services (poste, CFF, carte de crédit, ebanking, vignette auto, rendez-vous de médecin, etc). Il faut ajouter que la propagande est mensongère car elle prétend qu’il sera possible de continuer à faire ses achats sur internet sans eID, C’EST FAUX ! Car pour payer (carte de crédit, paiement bancaire), un eID sera obligatoire !
    “elle garantit que les data resteront en Suisse”, et accessibles par n’importe qui sur la planète ! Quelles sont les garanties ? N’importe quel informaticien honnête vous confirmera qu’aucune garantie n’est possible.

    “accroîtra son indépendance vis-à-vis des grandes plateformes internationales”, c’est une blague ? A moins de développer une solution open-source gérée par l’état, toutes les solutions proposées se basent sur des plateformes propriétaires (principalement américaines) avec “backdoor” permettant l’accès aux données en tout temps (ça a même un nom en jargon informatique que l’on peut traduire par “vulnérabilité exploitable”).

    “La transmission et la commercialisation des données sont par ailleurs interdites”, ah oui ? et quelles sanctions sont prévues ? Une suspension temporaire ? (impossible sans bloquer tous les utilisateurs qu’il faudrait migrer). Une très très grosse amende ? … au puissant consortium (banques, assurances, poste, CFF ? (qui pourra se payer de bons avocats). Dans la pratique, il ne se passera rien comme dans le cas de l’affaire Crytpto. Par contre, une fois le mal fait, impossible de revenir en arrière, c’est le simple citoyen qui ne paiera les conséquences.
    “à la traîne dans le domaine de la numérisation”, vous plaisantez ? il est à peu près possible de tout faire en ligne aujourd’hui (déclaration d’impôts, demande de documents, rendez-vous bureau des auto, envoi factures assurances maladie, prise de rendez-vous médecin, etc). Par contre, il est vrai, que notre anonymat est préservé car si chaque fournisseur sait ce que l’on fait avec lui, aucun fournisseur n’est au courant de TOUTES nos activités.

    On peut encore ajouter qu’il n’est pas très sain que votre fournisseur de eID soit informé chaque fois que vous prendrez rendez-vous chez un médecin avec une plateforme de type “OneDoc” si les assurances maladues font partie du consortium eID…

    Plutôt que de relayer les dogmes politique, prenez rendez-vous avec un spécialiste de la sécurité informatique indépendant… et si alors vous persistez à défendre l’indéfendable, ce ne sera plus une simple question d’incompétence technique…

  2. Bonjour,

    Y-a-t-il un coût pour l’usager?

    Par ailleurs, il convient de dire aussi que l’intérêt pour l’Etat est de connaitre les identités de ceux qui interviennent sur le WEB, qui n’est pas forcément un avantage pour la liberté d’expression.

    Merci d’avance,

    1. L’aspect du prix n’est effectivement pas réglé par la loi. Vu le côté facultatif de cet e-ID et que la concurrence entre les fournisseurs règnera, on peut raisonnablement penser que le prix devrait être abordable. S’agissant de l’aspect des données privées, des garde-fous existent, notamment avec la liberté d’utiliser l’e-ID ou non.

      1. Je me permets de vous confirmer qu’en matière de SECURITE cette loi ne règle RIEN ! Au contraire !
        Ingénieur en informatique, dirigeant ma société depuis 25 ans dans le domaine nous nous efforçons de tester les pires des cas d’intrusions pour nos clients.
        POUR INFO: je n’ai JAMAIS eu de système qui ont résisté plus de 2 semaines à nos simulations d’attaques informatique par intrusion !
        L’ensemble des bases de données furent l’objectif …..
        Ceci avec des groupes d’ingénieurs de 5 personnes par projet. Que ce soit sur n’importe quels systèmes d’exploitations !
        Donc vos CERTITUDES sont erronées! et ne font qu’induire en erreur le citoyen qui lui n’a pas ces connaissances en informatique !
        De plus en écoutant les politiciens qui soutiennent ce projet E-ID j’ai honte pour la Suisse!
        Ne pas être capable de construire un projet comme celui-ci en utilisant les ressources de nos grandes écoles , et en les externalisant prouve que nos autorités n’ont pas confiance à nos ingénieurs ! ni aux compétences internes à leurs administrations !

        1. Merci pour ce post. Je suis aussi dans l’informatique depuis 25 ans. J’ai lu le matériel de vote ainsi que le projet de loi et je suis tombé de ma chaise !

          Plutôt qu’une accélération de la numérisation, ce projet risque de donner un sacré coup de frein car les plus informés sur les risques feront machine arrière et reviendront au processus physique pour certains services.

          Ou alors viser une solution alternative à l’étranger où la protection des données et des consommateur est plus élevée (achat, carte de crédit et compte bancaire à l’étranger). Rappelons que le RGPD n’est pas vraiment en vigueur pour les citoyens Suisses.

      2. Je viens de relire le texte de loi: s’il est précisé que le eID ne sera pas obligatoire (pas d’obligation d’acheter le service), rien n’est mentionné concernant l’obligation des prestataires de service de maintenir un accès au service sans eID.

        Pour parler clairement, impossible d’acheter un billet de train en ligne sans eID.
        Moi j’appelle ça une obligation de prendre le eID.

  3. «cette loi crée des règles claires pour une meilleure protection des données et une plus grande sécurité juridique»

    Votre affirmation n’est juste que dans un seul cas : les prestataires (publics ou privés) et leurs infrastructures informatiques sont localisés en Suisse, ou au pire dans l’Union Européenne (RGPD, voir le dernier lien ci-dessous) , ne sont pas d’origine américaine et n’ont aucune activité économique aux Etats-Unis.

    Dans tous les autres cas de figure on se perd dans les entrelacs complexes des subtilités juridiques et politiques internationales, extrêmement mouvantes, qui ne garantissent, à long terme, ni la protection de nos données ni la sécurité juridique.

    Pour les courageux qui veulent en savoir plus :

    https://fr.wikipedia.org/wiki/CLOUD_Act#:~:text=Le%20Clarifying%20Lawful%20Overseas%20Use,notamment%20op%C3%A9r%C3%A9es%20dans%20le%20Cloud.

    Lhttps://www.letemps.ch/opinions/cloud-act-consequences

    https://francoischarlet.ch/2020/cloud-act-pas-ce-que-vous-croyez

    https://www.edoeb.admin.ch/edoeb/fr/home/documentation/datenschutz/Datenschutz%20-%20International/DSGVO.html

  4. Perdre 4 ans pour un système plus sécurisé, ça vaut la peine.
    Les caisses maladies sont un exemple de l’abandon au privé sous prétexte de compétences. Or, la transparence est un soucis, et la tentation de magouilles a été trop forte au détriment des cantons romands.
    Pour des raisons stratégiques de sécurités, l’Etat doit garder certains domaines. L’abandon des vaccins en Suisse nous coûte beaucoup d’argents, la droite libérale en est responsable.
    L’e-ID est aussi une erreur de ces mêmes milieux. La sécurité est un pilier de la démocratie et doit être préservée.

    L’UE abandonne des principes libéraux pour boucher les trous stratégiques, et la Suisse devrait construire une brèche stratégique et sécuritaire ?

  5. Il est totalement faux de dire que La loi fédérale sur l’(e-ID) dit rendre l’identification sur Internet plus simple et plus sûre !
    Son but n’est que de ficher le citoyen par une mesure qui sera une contrainte imposée après quelques temps !
    Il ne faut absolument pas plébisciter ce projet d’inquisition dans la liberté du citoyen.
    Contrairement à ce que vous dites, Les internautes suisses ont conscience que les solutions actuelles pour s’identifier personnellement sur Internet ne sont pas vraiment régulées. Mais ils ont conscience aussi que laisser ces données d’identifications aux mains d’entreprises privées qui tôt ou tard vont trouver le moyen de les vendre car sur internet tout se revend !
    Et nous connaissons les acheteurs : Assurances, Banques, Services administratifs, etc …
    Sans compter que ces données vont très vite se retrouver en mains de mafias bien organisés qui vont sans doute les utiliser à bon escient !
    Je me permets de faire ces remarques car ça fait 30 ans que je travaille dans le domaine de l’IT et de la sécurité des systèmes informatiques.
    Vous dites aussi que pour les entreprises, les particuliers et les autorités, effectuer des démarches en ligne impose plus que jamais une identification sûre et facile.
    Ce qui est concevable, mais pensez-vous réellement qu’il est sûr de laisser ses données ultra personnelles à des entreprises privées comme Microsoft ou Apple et même Amazon qui se sont déjà tous profiler auprès de l’administration fédérale de l’informatique pour fournir la gestion du E-ID.
    Non c’est de la poudre aux yeux.
    Ce n’est pas juste de dire que le but de cette loi est de créer des règles claires et améliorer la sécurité juridique et la fiabilité ! C’est pour externaliser une responsabilité que l’état, les services informatiques de l’état Suisse, les responsables politiques ne veulent pas prendre.
    Le jour ou comme lorsque Ruag s’est fait pirater pendant 2 ans une immense partie de ses données, nous n’avons plus trouvé aucun responsable ! Plus personne ne pouvait répondre devant la justice de la perte de données sensibles de la confédération ! Ni politicien, ni fonctionnaire, personne n’a été inquiété ! Pourquoi ? parce que tout était soigneusement externalisé !
    Vous dites que la Suisse est à la traîne dans le domaine de la numérisation, vous oublier que l’EPFL ainsi que l’ETH de Zurich ont reçu des centaines de millions depuis 2 décennie pour développer des projets de numérisation. Et que dire du service de l’informatique de la confédération, qui depuis 2 décennie dispose de budget équivalent au PIB de certains pays !
    Don oui la Suisse dispose ici d’une occasion rêvée d’effectuer un bond en avant dans ce domaine mais en responsabilisant ses propres compétences, celles qui sont dans tous ses services pour développer un outils Suisse, gérer par la Confédération dont je vous rappelle il est de son devoir de maintenir la sécurité et la gestion de l’identité du citoyen !!!!
    Si ce projet bénéficie d’un large soutien et du vôtre, je pense que vous n’avez pas les compétences pour en maitriser les tenants et aboutissants pour essayer d’informer le citoyen !
    Cette loi devrait créer des règles claires pour une meilleure protection des données et une plus grande sécurité juridique uniquement si la gestion de ces ID est faite par la CONFEDERATION et non pas par des prestataires externes, et pour certains totalement étranger.
    Rappeler vous Crypto, les actionnaires et directeurs était américains, allemands, et suédois sous couvert d’une entreprise Suisse dont les actions étaient détenues par une société Liechtensteinoise !
    En finalité PERSONNE n’a été désigné responsable du piratage et de l’espionnage des données transitant sur ces machines « Suisse » !
    J’ai attentivement pu prendre connaissance des arguments technologiques qui ont été mis en avant par les instigateurs de ce projet E-ID, ils sont obsolètes, et ne correspondent déjà plus aux normes 21 d’une réelle protection des données et de sécurité.
    C’est faux de dire que ce sera sur une base volontaire, car ce point n’est pas garanti dans le temps ! Dans moins d’une année, ils peuvent instaurer une obligation !
    Si vous dites que ce E-ID permettra de s’épargner certaines démarches administratives, cela voudra donc dire que le citoyen n’aura pas les mêmes chances d’éviter ces démarches administratives si il n’a pas accés à l’informatique. Si il est âgé et peuinformatisé, il sera donc discriminé et n’aura pas pour lui le principe d’égalité que devrait lui garantir la Constitution ?
    Vous dites encore ; l’e-ID ne contient pas de données biométriques, comme les empreintes digitales. Pour l’instant c’est vrai, par contre j’ai une information sur un projet qui germe depuis quelques temps à Berne qu’à terme, c’est à dire en moins de 3 ans, ce E-ID devra intégrer ces données !
    Vous avancez encore : Les données personnelles ne peuvent être utilisées que pour l’identification sur demande de la personne propriétaire de ce E-ID. Comment pouvez vous avoir cette certitude puisqu’elle n’est inscrite nul part ! et qu’au contraire il sera plus que probable que cess données seront exigées pour une identification sans que la personne ne pourra s’y opposée !!! Tout ceci n’est pas inscrit, vous en faites des certitudes !
    Pour finir vous dites que La transmission et la commercialisation des données sont par ailleurs interdites. Il serait légitime de l’oser l’espèrer. Voulez vous la liste des entreprises Suisse ou internationale comme par exemple Ruag, MasterCard, Sony, ou de grosses banques qui se sont fait soit piraté les données ou soit on eux même revendues un certain nombre de ces données à d’autres groupes ?
    Je crois réver quand je vois que nos politiciens et ceux qui soutiennent ce projet vive au pays des bisounours ou tout est tellement beau, sans risque,
    L’e-ID s’acquiert sur une base volontaire pour l’instant, et dés qu’un fonctionnaire zélé aura la bonne idée de dire que ce serait bien que ce soit obligatoire quel sera le recours du citoyen ? aucun !

    Si vous estimez qu’en confiant cette tâche à des sociétés privées, on utilise les bonnes compétences là où elles sont vous oubliez que nos impôts payent des centaines de millions à nos EPF, au département informatique de la confédération et sans oublier à des startups Suisse active dans ce domaines mais qui n’auront aucune chance devant un Microsoft lors de l’appel-d’offre pour réaliser ce projet !
    Concernant votre « mot encore »: refuser ce texte constituerait un pas en arrière extrêmement préjudiciable pour une Suisse ! …. Et qu’Il n’existe pas d’alternative à ce texte c’est prendre les gens pour ce qu’ils ne sont pas : des moutons qui vont suivre la voix qui porte le plus !
    Non ils devront décider car ils ont les moyens de discerner et surtout de se rendre compte de ce qu’il se passe avec l’externalisation aux GAFAM de tous les services ….
    Pour encore vous reprendre, le citoyen sait voir que son réel «luxe» c’est de garder une indépendance de sa Suisse devant les lobbys industriels qui gravitent autour de nos conseillers fédéraux et autres fonctionnaires !

    1. Concernant le eID de haute sécurité (qui sera obligatoire dans le cas de l’accès à un compte bancaire), la photo est stockée dans le eID. Il y aura donc bien un stockage des données biométriques et un système de reconnaissance faciale sur l’app de eID sur le smartphone et il faudra regarder la caméra pour accéder au compte…
      (ce qui ne rends pas le système plus sûr car ces données sont piratables)

  6. Aucun doute que Facebook, Google ou le chinois Baidu se feront un plaisir de venir officiellement nous espionner avec l’accord du Conseil Fédéral.

    Cerise sur le gâteau, ils se feront payer par les citoyens.

  7. Je pense que l’un des cantons alémaniques (Schwytz?) va offrir (vendre) ce service à tous les confédérés. Vaud aura le sien pour ses résidants et Genève à la traîne, ensablé par la gauche, comme toujours.

    1. Relisez le projet, le service sera fourni par une société privée. Les cantons, y compris Schwytz sont hors jeu.

  8. “14 juin 2023: la Suisse est paralysée par une cyberattaque majeure du plus grand fournisseur d’eID du pays. Une grande majorité de citoyens Suisses ne peuvent plus accéder aux divers services internet y compris le paiement en ligne, certains ont reçu des demandes de rançon. Des déclarations fiscales ont aussi été dérobées et placées sur internet. Vu l’ampleur de l’attaque, le fournisseur n’a pas été capable d’activer le plan de continuité qui avait pourtant été remis aux autorités lors du dernier contrôle annuel. Les pirates ont utilisé un nouveaux virus créé par des hackers russes mais l’origine de l’attaque proviendait d’un autre pays. De plus, il semble que les comptes bancaires de certains clients aient été vidés. La transaction ne sera malheureusement pas réversible car les transferts ont eu lieu dans de muliples pays hors UE et USA et l’argent a été immédiatement retiré à des points de collecte cash. Il est donc peu probable que le victimes soient indemnisés.

    La Suisse regrette amèrement sa stratégie d’identifiant unique confié au privé et aura beaucoup de peine à sortir de cette crise qui devrait avoir un impact majeur sur la croissance économique. Une cellule de crise a été mise en place pour le soutient moral de ceux qui ont tout perdu et envisageaient de commettre l’irréparable”

    Science fiction ?

    Pour rappel:

    “2014: plus de Gb de données ont été volées lors de l’attaque de cyberespionnage contre l’entreprise Ruag, L’attaque a été menée de manière très ciblée et professionnelle. La cyberattaque contre l’entreprise d’armement avait été rendue publique début mai”

    “12.05.2017: Une cyberattaque mondiale vise des groupes télécoms et perturbe les services d’urgence d’hôpitaux des hôpitaux”

    “2018: 120 hôpitaux français victimes d’une cyberattaque. La totalité des 120 établissements de santé du groupe privé Ramsay, générale de santé a subi une cyberattaque depuis le 10 août. La situation semble aujourd’hui sous contrôle”

    “01.01.2021: Microsoft a reconnu jeudi que les pirates à l’origine de la gigantesque cyberattaque qui a visé des systèmes du gouvernement américain et des entreprises privées étaient allés plus loin dans son réseau que le géant des logiciels avait révélé jusque-là”

    Il y a des sujet avec lesquels il ne faut pas plaisanter et faire de la politique.

    Un expert en sécurité informatique

  9. Si l’on peut comprendre vos réticences à un “vrai” service public (il n’y a qu’à voir le gourbi qu’est un swisscom/bluewin, si vous travaillez sur leur site, dans mon cas après rupture de disque et non assistance en Uruguay), le problème me parait plus être dans le camp des lobbyistes.

    Regardez le e-vote, on a essayé de faire croire que la concurrence stimulait, résultat, tous se sont plantés.

    La petite Suisse devrait commencer à comprendre qu’on n’est plus en 1848, que le fédéralisme, c’est bien, mais que face à un monde globalisé, ce n’est pas votre CVCI qui va donner le tempo, et même si elle vous nourrit 🙂

  10. Même si ce projet devait passer de justesse, ce serait un échec en cas de score serré ou de “röstigraben”. Car si même un tiers de la population devait refuser le projet, cela dénoterait une méfiance importante et un échec cuisant dès les premiers incidents lors de la mise en place (ce qui ne manquera pas d’arriver).

    Il n’est pas possible de vendre un produit sur la base de la contrainte, il faut convaincre et générer l’adoption par le public en faisant ses preuves. Ce type de projet devrait réunir au moins 80 % de vote positif pour avoir une chance.

    Car on parle bien de contrainte en transformant la population suisse en clientèle captive du privé qui n’aura d’autre choix que d’utiliser un eID pour continuer à utiliser les services sur internet. L’état ne peut pas imposer de livrer ses données au privé. C’est un choix personnel basé sur d’intimes convictions. La loi devrait au moins prévoir l’obligation de maintenir une obligation de fournir un services alternatif sur internet, ce qui n’est pas le cas. C’est donc bel et bien un viol de la liberté de la sphère privée.

    Une approche par canton avec un champ d’application plus modeste ainsi qu’une approche moins dogmatique (imposer la privatisation de tâches essentielles) permettrait d’avancer plus rapidement en faisant consensus.

    Si l’approche choisie divise la population alors ce n’est pas la bonne, on ne choisit pas la confrontation sur un tel sujet.

  11. En réponse à vos nombreuses réactions:

    Aujourd’hui déjà, lorsque l’on accède à des services en ligne auprès de fournisseurs (banques, e-commerce, etc.), il nous faut des clés d’accès sur lesquelles il n’existe aucun contrôle, car il n’existe pas de cadre légal spécifique.
    L’avantage de la loi fédérale sur les services d’identification électronique (e-ID) est qu’elle pose un cadre juridique clair. La souveraineté sur les données d’identité reste exclusivement du ressort de la Confédération. Il existe donc un contrôle.

Les commentaires sont clos.