e-ID : quels enjeux ?

Nous voterons le 7 mars sur le projet de loi fédérale sur l’identité numérique. Une loi pour laquelle le Conseil fédéral a opéré un choix radical en donnant la possibilité à des entreprises privées de délivrer des passeports suisses numériques (e-ID). En 2020, formellement, j’ai repris la responsabilité des services informatiques de la Ville de Genève et fait figurer la transition numérique dans le nom du département. Par ceci, j’ai surtout voulu signifier l’importance du portage politique d’une démarche que j’avais déjà entreprises depuis plusieurs années, à savoir la volonté d’une transition numérique responsable, audacieuse et créative pour le secteur public. C’est dans l’esprit de cette transition que j’aimerais développer quelques courts billets de blog autour des enjeux de cette identité numérique.

1er constat, partagé d’ailleurs par un journaliste du Temps du 1er février : parmi les enjeux des votations du 7 mars, celui de ce futur passeport numérique manque singulièrement de débat politique. Pourtant, les enjeux nous concernent toutes et tous. Ils déploieront aussi des conséquences sur un temps très long.

Pourquoi cette absence (relative) de débat ? C’est le chapitre que je souhaite aborder avec ce texte. Les autres suivront successivement jusqu’au 7 mars.

En échangeant autour de moi et avec les services municipaux de la Ville de Genève, je constate qu’il y a certainement une mécompréhension. Nous avons en effet déjà plusieurs solutions d’identification (plus ou moins performantes, d’ailleurs) qui permettent par exemple d’accéder à des services publics (inscrire son enfant au parascolaire, réserver un terrain de sport ou un livre dans une bibliothèque) ou privés (on pense bien sûr à tout le domaine du e-commerce, mais aussi aux identifications bancaires plus sécurisées par exemple). Ces identifications gagneraient assurément – pour les collectivités publiques genevoises – à pouvoir être harmonisées. Qu’on puisse accéder avec un même identifiant aux différents services de l’Etat par exemple.

A contrario, pour le secteur privé, nous avons déjà des « providers d’identité ». Vous pouvez utiliser votre compte Google ou Facebook, pour accéder à d’autres services, des achats en magasin par exemple, sans avoir à s’inscrire avec un identifiant spécifique. C’est ce modèle qu’a choisi le Conseil fédéral en déléguant cette tâche à des entreprises privées. On y voit naturellement un gage de flexibilité et une économie de moyens. On peut considérer que c’est un choix naturel et pratique, puisque nous utilisons déjà au quotidien de multiples identifiants.

En réalité, cela procède d’une très mauvaise compréhension de ce qu’on entend par « passeport numérique ». Celui-ci n’est pas simplement un identifiant nous permettant de réserver un court de badminton (pour cela un login avec un courriel et un code suffisent), ni même ce qui nous permet de nous connecter pour des transactions de e-banking. Il s’agit véritablement de ce qui constituera notre identité officielle numérique. Un équivalent de notre passeport ou notre carte d’identité.

Dans le futur, nous pourrons signer des initiatives, voter et nous porter candidat.e.s à une élection via ce sésame numérique. Elle nous servira à nous identifier comme légitime bénéficiaire de prestations sociales par exemple. Nous devrons peut-être l’employer pour passer une frontière (geste dont on prend conscience depuis quelques mois qu’il n’est pas forcément anodin). On ne peut donc pas la comparer à un simple login, mais devons la mettre en regard de notre actuel passeport. Un document délivré de manière exclusive par l’Etat, en lien avec les cantons et les communes.

Je reviendrai ultérieurement sur les questions de protection des données et de business-model, mais souhaitais commencer cette série de blogs par ce rappel du sujet même de la votation du 7 mars. En tout état de cause, ceci montre en tout cas qu’un débat élargi et approfondi est nécessaire sur la meilleure manière d’appréhender notre avenir numérique, individuel et collectif.

___________________

commentaire supplémentaire ajouté le 4.2.21:
Je me réjouis de constater les nombreux commentaires suscités par ce billet de blog, qui prouvent qu’un réel débat sur ce projet de loi et plus globalement sur ces enjeux numériques est nécessaires. Quelques précisions: je suis personnellement opposé à ce projet de loi et ma volonté avec ce billet était justement de mettre en évidence la différence fondamentale qui existe entre ce qui constituera notre identité citoyenne officielle, et de simples login d’accès à des services privés.
Je poursuivrai avec d’autres dimensions problématiques de cette loi, dont les aspects relatifs aux données, au modèle d’affaire ou aux tâches qui devraient rester propres aux collectivités publiques.

(source: https://www.eid-referendum.ch)

Sami Kanaan

Sami Kanaan est Maire de Genève 2014-2015, 2018-2019 et 2020-2021, Conseiller administratif en charge du Département de la culture et de la transition numérique, Président de la Commission fédérale pour l'enfance et la jeunesse, Vice-président de l'Union des villes suisses et de l'Union des villes genevoises.

15 réponses à “e-ID : quels enjeux ?

  1. Le problème, ce n’est pas le concept d’identité numérique: il faut suivre les besoins de la société et un eID sera nécessaire.

    Mais l’idée de sous-traiter la gestion à une société privée (CFF, UBS, etc) qui va elle-même sous-traiter à diverses sociétés (comme elle l’a fait pour son informatique interne) est bien trop prématuré et dangereux. Stocker ces données dans des clouds privé sur des technologies propriétaires et les faire administrer par des employés aux quatre coins du monde (Inde, Ukraine, USA, Mexique), c’est de la folie. De plus, il faut être conscient que ces société garderont une trace de toutes les utilisations de l’eID…

    Un contrôle de l’Etat ? Sous-traiter ce que l’on ne comprends pas, c’est assurément déjà perdre le contrôle. Il faut procéder par étapes et commencer avec une solution simple sous le contrôle de la confédération (en partant d’expérience des cantons).

    Sans compter, la carte blanche sur les coûts avec ce principe d’eID à divers niveaux de sécurité (simple citoyen lambda qui ne pourra pas faire grand chose et pass VIP pour cadre supérieur de multinationale).

    Pas la peine d’avoir une armée et des avions de combats si l’on décide de sous-traiter quelque chose d’aussi fondamental que la vérification de l’identifé de ses propres citoyens…

    Le problème, c’est que les politiciens qui ont décidé de cela à Berne sous la pression de divers lobby appâtés par la perspective de 8.6 mio de clients captifs donc bien juteux ne comprennent tout simplement à ce domaine (comme d’ailleurs une majorité de concitoyens qui vont tomber dans le panneau comme des moutons).

  2. Félicitations, car effectivement, on a un peu le sentiment que ces 3 objets sont traités “sous le coude”.

    Celle dont vous attirez l’attention est particulièrement délicate, à l’heure où le monde entier se demande comment réduire la puissance des GAFFAMM (le dernier M pour Elon Musk, qui a mérité d’être dans le coup).
    Alors qu’on a vu l’échec du e-vote pour appliquer la même stratégie de division, au lieu de gérer un unique projet confédéral. Nul doute que le e-identité fera appel aux mêmes gaffamesques de la part des obtenteurs privés (ou pricés).

    Pour les deux autres objets (hors sujet), on connait d’une part la stratégie UDC de peser le champignon sur les mauvais côtés de notre pays pour obtenir des votes et sa science d’ériger des baudruches en lanternes.

    L’accord de libre-échange avec l’Indonésie parait alléchant avec ses garde-fous pour la durabilité.
    Mais, ce doit sûrement être du greenwashing, ce pays étant au milieu de la liste des pays les plus corrompus.

  3. Ce qui est présenté comme un défi technologique et proposé comme activité routinière facilement externalisable est, en fait, une mission très délicate.
    Prétendre aux électeurs que la ligne de partage entre l’état (qui approuve) et la société (qui émet le passeport) est claire est un pur mensonge. Les informaticiens connaîssent bien ces problèmes de “master data”: disposer d’une base de données à jour de tous les citoyens répliquée chez un sous-traitant est tout sauf simple (surtout dans un pays comme la Suisse qui fonctionne de manière décentralisée Canton/Communes). Il faut aussi pouvoir notamment révoquer un eID très rapidement en cas d’abus (hacker, etc) ce qui devrait parfois être fait de manière autonome par la société privée. La société choisie devra donc disposer d’une certaine autonomie dont elle pourrait alors abuser (notamment en cas de conflit d’intérêt et que cette société fourni d’autres services au client qu’un eID: banque, etc). Il est donc préférable d’intégrer d’abord tout le bazar en gardant le contrôle à l’interne (ce qui demande une intégration des divers services de l’Etat) et de gérer le eID à l’interne (en tout cas au début).

  4. Aux USA, la crise des subprimes a été en partie causée par le fait que le contrôle du crédit avait été confiée aux agences de notation devenues incapables de rappeler à l’ordre leur clients (les banques) car elles en dépendaient financièrement.

    Que penser si la société choisie pour l’eID devait déjà avoir comme gros client d’autres sociétés, certains citoyens influents ou recevoir des fonds d’un parti politique alors qu’elle disposerait, par exemple, de la possibilité d’empêcher quelqu’un de voter en ligne ?

    Le simple fait que cela soit techniquement possible donnerait des arguments à des groupes extrêmistes ou complotistes d’attaquer la validité d’une votation…

    Certaines tâches doivent rester internes à l’Etat et il est préférable d’en assumer le coût que de payer les pots cassés.

  5. Non à l’e-iD! Cette idée séduisante est très dangereuse pour notre démocratie – confier toutes nos données sensibles et juridiques à des entreprises privées. De plus, il n’y a aucun débat, comme ce post le relève justement.
    Pourquoi les médias (RTS) n’en parlent-ils pas? C’est scandaleux!

  6. Des Apple, ORACLE, Microsoft et AMAZON vont stocker les données des citoyens sur des serveurs aux USA !
    Amazon, Apple, Microsoft, Facebook, Oracle, etc.. etc.. se sont fait piraté des millions de données d’utilisateurs ces 2 dernières années, et on va leur confier les données de nos concitoyens ?
    Privatiser notre identité numérique fera de notre PAYS un sous-état dépendant des USA ! Notre PAYS sera asservi ! Nous n’avons donc pas de fierté ?
    Nos grands-parents, parents ont payés cher leur indépendance aux travers les dernières guerres, pour faire de notre état un état libre et fier !
    Réveillons-nous, c’est une énorme escroquerie morale qu’on essaye de nous faire passer !
    Les partis bourgeois qui se défendent de prôner notre indépendance devant l’europe mais ont menti au peuple quand ils osent défendre ce projet de loi !
    Les conseillers nationaux des partis bourgeois sont irresponsables et visiblement sous l’influence des entreprises qui portent ce projet !
    Pourquoi ne pas saisir l’opportunité de mettre en œuvre un service public d’identité numérique et garder le contrôle sur une tâche fondamentale de l’Etat !
    Nous prouvons donc par ceci que nos centaines de fonctionnaires du département fédéral de l’informatique n’ont pas de compétence pour mettre en œuvre ceci avec des ressources d’entreprises SUISSE ! Nous avons des centres informatiques avec les plus puissants ordinateurs du monde à Mano au Tessin, dans les 2 EPF, payés à prix d’or, qui nous servent donc à rien comme les ingénieurs qui travaillent dessus ?

  7. Comment le E-ID sera utilisé par nos assureurs ?
    Pour information, avec mon entreprise nous sommes sous-traitant IT pour une grosse assurance maladie proche des milieux politiques à BERN. Nous sommes sollicités depuis plusieurs mois déja pour mettre en place un protocole intelligent permettant de croiser les informations de base de données pour “suivre” la vie d’un client.
    Je me suis apercu que nous intégrons de futures données “sensibles” (je me doute maintenant desquels !!!!) pour les croiser avec ceux des 2 plus gros GAFAM qui gére nos bases de données pour suivre à la virgule prés les pérrégrinations de notre client Alpha. Jusqu’à savoir tout sur lui !!! Nul doute que ce e-ID va grandement simplifier la vie des assureurs maladie ! ainsi que des assurances sociales, des caisse de chomage, etc…

    1. C’est certain qu’on va se faire scanner par l’ETAT et que ces données vont se retrouver chez des assureurs.
      Ils auront la maitrise de notre vie privée!
      Ils sauront tout de nous, car ils verront facilement à quoi nous avons utilisé notre fameuse E-ID pour transmettre à des assureurs: Attention il a commandé des produits anti-cholesterol et l’assureur va nous pénaliser !

  8. Mais qui, dites moi qui? Aurait l’idee de ne disposer que d’une seule clé pour son coffre-fort, sa voiture, son bureau, sa maison, son chalet,etc.

    Qui n’aurait pas peur que s’il la perd ou si on la lui dérobe ou falsifie elle autorise le voleur à accéder à tous ses biens?

    A chacun chez soi pour ma part je préfère encore la faiblesse de la diversité mais la force de sa complexité.

    1. Vous avez raison, l’important est de NE PAS AVOIR DE BASE CENTRALISEE ! Déjà le numéro AVS public n’est pas acceptable, ce devrait être un No réservé à l’AVS seule ! Je rêve d’une banque qui n’a pas de fichier informatique !

  9. Je suis d’accord avec les commentaires publiés plus haut.

    D’autre part, il me manque des éléments/infos purement pratiques.
    Par exemple, Article 2 de la loi:
    “Au sens de la présente loi, on entend par: a. système e-ID: un système électronique géré par un fournisseur d’identité pour l’établissement, la gestion et l’utilisation des e-ID; b. service utilisateur: une application informatique permettant aux titulaires d’une e-ID de s’identifier via un système e-ID.”

    Il pourra donc y avoir plusieurs “système ID” = plusieurs systèmes électroniques actifs en parallèle??
    Est-ce que tous les “services utilisateurs” seront obligés d’accepter toutes les e-ID comme identifiant??

    Et puis en pratique, à quoi pourraient ressembler les 3 “Niveau de garantie” de l’article 4 (Faible, substantiel, élevé)? A noter que le niveau “substantiel” exige de livrer plus de données personnelles (Article 5)

    À quoi ressemblera l’e-ID concrètement? Un nom d’tilisateur + mot de passe? Quid d’autres éléments de sécurité comme pour l’e-Banking?
    S’il n’y a rien d’autre, comment est assurée la fameuse sécurité suplémentaire? Surtout en considérant qu’on aurait une seule clef d’accès pour tout, ce qui est contraire aux principes de base des identifications sur internet
    etc… etc.

    Concernant l’information au publique, je propose une action plus engagée de la part du Temps, avec par exemple un Dossier dédié à ce sujet.

  10. Demandez à la confédération d’introduire une clause de dédommagement total et illimité pour les conséquences en cas de piratage, et le projet s’arrêtera faute de sous-traitant. C’est donc bien le citoyen lambda qui paiera pour les conséquences en cas défaillance du système… un nouveau too big to fail !

  11. Sérieux ? Le paradis des hackers. Le eID devrait très bien se revendre sur le DarkNet vu la palette de services prévus. Bonne nouvelle pour ceux qui n’ont pas droit à certaines prestations de l’Etat. Et, avec la dématérialisation, impossible de poursuivre les criminels en cas d’abus qui seront bien à l’abri dans leur lointaines contrées…
    La naiveté (bêtise ?) n’a décidément pas de limites.

    1. Il est évident que toutes solutions relatives à l’identité numérique doit être “open source”, c’est à dire contrôlable par n’importe que spécialiste en informatique, pour être sûr de l’absence de portes dérobées ou autre fantaisies. Alors Je pose donc la question corollaire: quelle entreprise privée sera d’accord avec cette exigence incontournable ? En revanche, si l’Etat commande une solution à une/des société privées, il est facile de définir cette exigence comme préliminaire.

Les commentaires sont clos.