Publié

Les risques de l'identité électronique décortiqués par des spécialistes

L'identité électronique (e-ID) verra le jour grâce à un partenariat public-privé. [Keystone - Christian Beutler]
Quels sont les risques d’avoir une identité électronique? / La Matinale / 3 min. / le 15 février 2021
L'identité électronique, en votation le 7 mars, permettra l’authentification d’une personne sur Internet, ce qui est censé nous faciliter la vie. Mais des spécialistes pointent du doigt certains risques et lacunes de la loi.

Grâce à l'identité électronique, le nombre des mots de passe devrait être sensiblement réduit, car les utilisateurs pourront ouvrir un compte bancaire, payer une facture ou faire des démarches administratives avec une seule identité. Mais cette nouvelle loi est combattue par référendum, notamment parce que ce seront des entreprises privées qui se chargeront de cette identité électronique.

A l'ère du tout numérique, l'idée d'une identité électronique, appelée aussi e-ID, a de quoi séduire. Plusieurs pays européens l'utilisent, et ils font appel eux aussi à des fournisseurs privés.

Mode d'emploi

Concrètement, si vous demandez cette identité numérique, le fournisseur va contacter l'Office fédéral de la police (fedpol), qui vérifiera. Elle sera ensuite fabriquée et gérée par un fournisseur privé.

Ce fournisseur peut être n'importe quelle entreprise, même une commune ou une caisse maladie. Certains groupes informatiques, comme Trust ID ou Swiss Sign - un consortium qui regroupe les CFF, la Poste et Swisscom, - le font déjà.

Concept critiqué

Les voix critiques se demandent pourquoi laisser le privé effectuer une tâche qu'ils estiment être celle de l'Etat. Même s'il existe plusieurs garde-fous pour le privé: toutes les données sont cryptées, certaines sont effacées après 6 mois, elles sont toutes conservées en Suisse, les fournisseurs ne peuvent pas les transmettre à des tiers et une commission indépendante veillera à l'application de la loi.

Pourtant, certains jugent ce cadre encore trop flou, comme Jean-Henry Morin, professeur de systèmes d'information à l'Université de Genève: "Il va y avoir effectivement un encadrement des pratiques, mais on ne sait rien sur la surveillance qui sera pratiquée, sur les normes établies par les fournisseurs privés. Il peut donc y avoir des situations de risque potentiel", a-t-il expliqué lundi dans La Matinale.

Lacunes pointées du doigt

Sébastien Kulling, directeur pour la Suisse romande de Digital Switzerland, est favorable à cette loi mais pointe certaines lacunes: "Le risque, à mon avis, réside davantage dans le fait de garder les données dans un lieu centralisé. Il faudrait décentraliser le processus et le stockage des données, pour éviter un piratage. La question n'est pas que le fournisseur soit privé ou public, mais vraiment de savoir comment on gère vos données une fois stockées".

La gestion des données pose donc des questions. Mais elle n'est pas la seule source d'inquiétude. L'usurpation d'identité n'est toujours pas pénalisée en Suisse. Mais pour Christophe Gerber, directeur de Trust ID, recourir au privé est un gage de sécurité.

"C'est un faux débat de penser que l'Etat gérera les identités de façon plus sécurisée", estime Christophe Gerber. "Nous travaillons chaque jour avec des dizaines de clients différents dans la cybersécurité, donc je suis d'avis que les entreprises privées sont mieux placées pour développer la technologie. Par contre, pour l'opérer, c'est un choix politique et même sociétal."

Gratuite ou non?

Reste enfin la question du coût: l'e-ID sera-t-elle gratuite? Certains s'y engagent et le Conseil fédéral veut l'encourager, mais rien n'est certain, car développer une identité sécurisée coûte cher. En l'état, la loi ne le précise pas.

Sujet radio: Virginie Langerock

Adaptation web: Jean-Philippe Rutz

Publié