Souveraineté numérique en acte

Nous voterons le 28 septembre 2025 sur une nouvelle loi fédérale sur l’identité électronique et d’autres moyens de preuves électroniques, «loi sur l’e-ID¹», de son petit nom. L’Union démocratique fédérale (UDF), les Amis de la Constitution et les Jeunes UDC ont fait aboutir le référendum.

Son premier objectif est d’autoriser l’Office fédéral de la Police (FedPol) à émettre un document d’identité électronique (e-ID). Ses titulaires le présenteront au moyen d’une application pour téléphones portables et ordinateurs, elle-même émise par FedPol, déjà responsable de la délivrance et de la surveillance des documents d’identité «en dur». L’Office fédéral de l’informatique et des télécommunications (OFIT) mettra à disposition et exploitera l’infrastructure informatique nécessaire. Le projet parle d’«infrastructure de confiance».

Le deuxième objectif est d’ouvrir à d’autres organisations la possibilité d’émettre des documents associant une identité à un statut juridique, on pense à un diplôme ou une carte de membre.

De nombreux processus administratifs pourront être allégés. Mais l’enjeu est plus large. La dématérialisation du monde que nous subissons pose de réels problèmes d’identification des personnes qui évoluent dans l’espace cybernétique. Le projet répond d’abord à cela.

L’architecture générale se fonde sur l’approche dite de «l’identité souveraine» (Self souvereign identity, SSI), qu’expriment notamment ses références à la notion de confiance, trust, au centre de cette vision. Son but est de garantir que le vérificateur d’un document (le kiosquier) peut se fier à la véracité des informations figurant dans le document produit par un émetteur (FedPol) que lui présente un détenteur (l’adolescent de treize ans qui ne pourra, en principe, pas acheter son premier paquet de Marlboro). Ce système ne fonctionnera pleinement qu’à la condition que le détenteur du document soit techniquement en mesure de connaître le contenu de son propre document d’identité (aussi appelé certificat ou certification), les implications et l’historique de son utilisation.

Actuellement, la plupart des portefeuilles de cryptomonnaies fonctionnent selon l’approche SSI. Le projet de loi sur l’e-ID cherche à faire de la Confédération le fournisseur d’un tel système.

Ce «triangle de la confiance» permet d’éviter la multiplication de différents systèmes d’identification, chacun avec ses propres règles (les fameux «comptes», avec identifiant et mot de passe), avec les risques qu’ils impliquent en cas de piratage de mots de passe identiques pour plusieurs comptes d’un même utilisateur. Il restreint ensuite la possibilité pour des intermédiaires commerciaux comme Facebook ou Google de gagner en influence avec leurs propres services d’inscriptions, à l’instar de «Facebook login» – et les captations de métadonnées qui accompagnent ce genre de portail.

La loi est succincte: trente-six articles dont chacun a un titre suffisamment explicite pour indiquer que ses auteurs ont cherché l’intelligibilité au plus grand nombre. Elle fixe des principes à respecter. L’un des plus importants est celui de l’enregistrement décentralisé des données. Il réduira les risques de piratage par le cloisonnement des cibles. Berne se contentera de fournir une infrastructure informatique (clefs de cryptages, identifiants) permettant de prouver que le lien entre une personne physique et son identité telle qu’enregistrée auprès de l’Etat-civil, et exprimée dans un document numérique, est vrai.

Ces bases de données ne seront ainsi pas appelées à grossir au fil des nouvelles adhésions. Si la Rega offre d’émettre sa carte de membre au travers de cette infrastructure dite «de confiance», les données relatives au nombre d’accidents de montagne des détenteurs membres ne seront pas accessibles à la Confédération (art. 10 al. 3). De même, lorsqu’un détenteur utilisera sa carte d’identité pour ouvrir par exemple un compte bancaire, l’émetteur, c’est-à-dire la Confédération, n'en aura pas connaissance (art. 10 al 2). Les données produites par l’application de présentation de l’e-ID ne seront pas enregistrées (art. 8 al. 4).

En termes juridiques, cela signifie que toute utilisation par l’Etat d’une information obtenue en violation de cette règle constituerait une preuve illicite, a priori inutilisable et rendant nulle la décision rendue sur cette base.

D’une sourde méfiance à l’égard de l’Etat comme des «Big Techs», les opposants ne croient pas à ces cautèles. Ils soutiennent que cette loi ouvre la porte à toutes les dérives: surveillance de masse, crédit social à la chinoise, discrimination de la population sur le modèle du pass Covid, commercialisation des données par la Confédération elle-même…

Il faut juger un projet sur la base de son texte. Les risques de dérives découlent de l’absence de clarté d’une loi, et de sa possible charge idéologique. Nous l’avons souvent dénoncé à propos des lois-cadres environnementales, dont l’application se nourrit d’une agitation bureaucratique auto-gonflante justifiée par des objectifs fixés de manière générale.

Notre avis est que ce projet de loi est suffisamment précis dans les principes qu’il pose pour offrir, sur chaque point potentiellement glissant, la possibilité d’un référendum lorsque la glissade aura commencé. Par exemple, l’art. 25 impose à quiconque accepte l’e-ID comme moyen de preuve d’accepter également les documents d’identité classiques. Cela consacre la dimension facultative de l’e-ID et interdit de recourir à des systèmes de contrôle totalement automatisés. Un kiosquier complaisant pourra toujours vendre un paquet de Marlboro à un adolescent de treize ans.

Ce projet est peut-être la première expression crédible du volet numérique de notre souveraineté. Les dernières décennies ont vu la montée des «géants de la Tech», encore principalement américains. Tik Tok a inauguré l’arrivée des monstres numériques asiatiques. Ils s’assument comme des concurrents des Etats et mènent à leur manière une politique de puissance, comme Elon Musk en Ukraine avec Starlink.

Le territoire de la Confédération abrite l’une des plus grandes places financières du monde et une industrie de pointe, toutes deux cibles d’innombrables convoitises. Dans ce contexte, saluons que la Suisse cherche à se doter d’un outil d’identification de ses résidents à même de garantir que leur identité n’est pas usurpée sur le web. Les opposants dénoncent les possibles évolutions dystopiques. On peut les comprendre. Elles nous paraissent pour le moment sous contrôle.

La Ligue vaudoise votera OUI le 28 septembre prochain.

Notes:

¹   Prononcer «I-Heidi».

²   https://developers.facebook.com/docs/facebook-login/web/ - page explicative de Meta sur la manière d’installer le script du Facebook login pour permettre la connexion à son propre site internet.