Un seul identifiant et un seul mot de passe, fondés sur nos informations officielles, pour accéder à des dizaines, voire des centaines de services en ligne. Voilà ce que promet l’identité électronique, sur laquelle nous voterons le 7 mars. Présentée ainsi, l'«e-ID» fait rêver. Et pourtant, partisans et opposants se déchirent sur la loi qui devra rendre possible cette identité électronique prévue pour nous faciliter la vie. Quels sont les enjeux pour les utilisateurs et les entreprises? Sans dogmatisme, le point en dix questions.

Comment fonctionnerait l’e-ID?

Attaquée par un référendum, la loi fédérale sur les services d’identification électronique prévoit un schéma avec quatre acteurs. Il y a au centre l’utilisateur (1). S’il veut obtenir une e-ID, il pourra la demander auprès d’un fournisseur (2), qui sera officiellement reconnu et certifié par la Confédération (3), plus précisément l’Office fédéral de la police (Fedpol). Ensuite, l’utilisateur pourra employer son e-ID auprès d’un prestataire de services (4), par exemple une banque, une commune, une assurance ou un opérateur télécoms. La forme de l’e-ID n’est pas définie (clé USB, app, etc.).

Quelles données seront utilisées?

A la base, la Confédération prévoit de créer des sets de données officielles de trois niveaux. Le premier, dit de «confiance faible», comprendra le numéro d’enregistrement de l’e-ID, le nom d’état civil, les prénoms et la date de naissance. Le deuxième niveau, dit de «confiance substantielle», inclut, en plus, le sexe, le lieu de naissance et la nationalité. La photographie de l’utilisateur est comprise dans le troisième niveau, dit de «confiance élevée». Voilà donc les trois niveaux de données de base mis à disposition par la Confédération, et elle facturera ces données aux fournisseurs certifiés (le montant est inconnu).

Ensuite, libre à ces derniers d’ajouter, avec le consentement des utilisateurs clients chez eux, d’autres données: un numéro de téléphone, une adresse postale ou un e-mail, par exemple. Ces données pourront être stockées et utilisées librement par le fournisseur d’e-ID: elles ne sont pas protégées par la loi.

Qui seront les fournisseurs de l’e-ID?

Ce sera un marché ouvert. Toute entreprise inscrite en Suisse, ayant obtenu entre autres le feu vert du préposé fédéral à la protection des données et s’engageant à traiter les données sur sol helvétique, pourra devenir fournisseur. En plus de la société WiseKey, un consortium a déjà annoncé qu’il voudra devenir fournisseur: c’est la coentreprise SwissSign, qui compte déjà 1,7 million de personnes inscrites pour sa SwissID (on y reviendra plus loin). SwissSign regroupe les CFF, La Poste, Swisscom, des banques (telles que Credit Suisse, UBS et certaines banques cantonales), des assurances (telles que Swiss Life, Vaudoise et Zurich) et des caisses maladie (CSS et Swica).

Libre à d’autres entreprises de devenir elles aussi fournisseurs, les critères fixés par Berne n’étant pas élevés. «Je ne m’attends pas à une grande concurrence, car les coûts de gestion, pour le fournisseur, seront a priori élevés. Il y aura aussi une prime à un acteur déjà établi et reconnu et SwissSign pourrait emporter la grande majorité de ce marché. Et ce n’est pas un problème, car je pense que cette activité sera peu rentable. Mais ce sera une activité très utile, car l’e-ID bénéficiera à un nombre incalculable de sociétés qui n’auront plus à se soucier d’identifier elles-mêmes leurs clients», estime Sébastien Kulling, directeur romand de Digitalswitzerland. Mais «SwissSign n’est pas une entreprise de philanthropie, pondère Benoît Gaillard, conseiller communal PS à Lausanne et coordinateur, en Suisse romande, de la campagne contre la loi sur l’e-ID. Les entreprises espèrent pouvoir suivre de plus près les utilisateurs de leurs sites et services.»

Lire aussi: E-ID et saine méfiance de soi

Quel sera le coût pour l’utilisateur?

Mystère, la loi ne disant rien à ce sujet. «Cette inconnue est problématique. Peut-être que le service sera gratuit, peut-être qu’il deviendra payant avec le temps, peut-être qu’il y aura un système d’abonnement. Libre aux fournisseurs de faire ce qu’ils veulent», relève Benoît Gaillard, qui soulève d’autres soucis. «L’e-ID pourra être utilisé pour s’identifier auprès de services cantonaux, communaux ou fédéraux: est-il normal qu’un ou des fournisseurs privés fixent librement le prix pour s’y connecter, alors qu’à la base, il s’agit de données issues de registres fédéraux? C’est absurde.»

Benoît Gaillard pointe un troisième problème. «La loi fixe, pour chacun des trois niveaux de données de base fournies par la Confédération, trois niveaux de sécurité différents, mais sans les spécifier. Il est donc possible que vous deviez payer davantage pour utiliser certaines données. Si, à l’avenir, l’e-ID devait être utilisée pour voter ou accéder à des données de santé, ce service risque de n’être accessible qu’aux utilisateurs qui payent le plus.»

SwissSign ne dit pas le contraire. «Nous estimons que les e-ID seront émises gratuitement pour les niveaux de confiance «faible» et «substantiel». Pour le niveau «élevé», qui devrait être néanmoins réservé à un nombre très limité d’utilisateurs (sans doute un pourcentage à un chiffre), il n’est pas certain que cela soit gratuit. Car il y aura une obligation légale de mises à jour des données de manière hebdomadaire», précise une porte-parole de SwissSign. Le consortium affirme qu’il vendra ces données à prix coûtant, soit au prix que lui facturera la Confédération.

Qui acceptera l’e-ID?

On imagine qu’à terme, de nombreux services de l’Etat accepteront l’e-ID, pour commander un nouveau permis de conduire ou une attestation de l’Office des poursuites. Les entreprises, elles, seront libres de l’accepter ou non. Benoît Gaillard est réservé: «Prenez une banque, qui possède déjà des systèmes d’identification solides pour ses clients. Voudra-t-elle, en parallèle, leur permettre d’utiliser une e-ID avec sans doute un système d’authentification moins fort et qu’elle ne maîtrise pas directement? On peut en douter.»

Quel sera le modèle d’affaires autour de l’e-ID?

SwissSign affirme via une porte-parole que «la mise en place de l’infrastructure représente un projet d’investissement qui se chiffre en dizaines de millions de francs». Logiquement, les fournisseurs de l’e-ID voudront rentabiliser leur investissement, même si la porte-parole avertit qu'«il ne faut pas s’attendre à des revenus généreux, car l’activité liée à l’identité électronique n’est pas une vache à lait.»

Pour gagner de l’argent, les fournisseurs de l’e-ID «vont sans doute prélever des commissions auprès des entreprises qui accepteront leur service, chaque fois qu’un consommateur utilisera son identité électronique, estime Benoît Gaillard. L’intérêt d’un fournisseur d’identité dans ce système privatisé est clair: inciter l’utilisateur à s’identifier avec son e-ID dans le maximum d’endroits possible, afin de générer le maximum de transactions. Les services y trouvent aussi leur compte, en constituant sur cette base des profils nombreux.»

Lire encore: Passeports électroniques privés: une invraisemblable bureaucratie

Faut-il s’inquiéter pour nos données?

A priori pas. «Les règles sont strictes, on peut estimer qu’elles seront respectées. Reste les risques de fuite et d’abus. Or on aurait aisément pu avoir une structure avec moins de stockage centralisé», estime Benoît Gaillard. Les données des utilisateurs seront stockées en Suisse. Paradoxalement, et convaincu qu’une loi sur l’e-ID est nécessaire, Sébastien Kulling émet une réserve du même ordre. «Les données des clients devraient être stockées de manière centralisée, ce qui n’est pas totalement sûr. Je trouve dommage que la loi n’ait pas prévu un système décentralisé, encore plus difficilement piratable», avance le responsable de Digitalswitzerland.

Par ailleurs, Benoît Gaillard affirme qu’un usage commercial des données est légal et donc possible, une fois le consentement de l’utilisateur obtenu: un magasin en ligne pourra par exemple faire des études sur l’âge moyen de ses clients. Mais il y a des garde-fous, affirment les partisans de l’e-ID: les clients peuvent avoir accès à leurs données en ligne et ainsi déterminer qui reçoit leurs données et vérifier quelles données ils ont partagées avec quel service en ligne.

Sébastien Kulling précise que le fournisseur saura quand un utilisateur a employé son e-ID, et lequel des trois niveaux de données a été demandé par le prestataire de services. Mais le fournisseur ne saura jamais quelle transaction (achat d’un ordinateur, demande d’extrait de casier judiciaire, etc.) a été effectuée.

Y a-t-il des concurrents à l’e-ID?

Oui, mais avec une identification moins poussée de l’utilisateur. La SwissID du consortium SwissSign va, en cas de oui le 7 mars, être transformée en e-ID. Il existe aussi la solution Mobile ID créée par Swisscom, Sunrise et Salt et qui permet de s’identifier à certains services en recevant un code par SMS. Il existe aussi certaines solutions cantonales.

Quel rôle joueront Google, Facebook ou Amazon?

Il est possible que certains de ces géants de la tech, qui remplissent les conditions pour être certifiés par la Confédération, demandent à devenir fournisseurs. C’est par exemple le cas de Microsoft et Google, qui possèdent des centres de données en Suisse. Il est aussi possible que ces multinationales acceptent que leurs clients suisses s’identifient avec leur e-ID. «S’impliquer dans l’e-ID sera dans leur intérêt, suggère Benoît Gaillard. Cela pourrait permettre d’accéder facilement à certaines fonctions «premium», comme d’avoir un compte certifié chez Twitter ou de devenir un vendeur de confiance sur Amazon. Et l’e-ID étant reliée à notre véritable identité, cela pourrait réduire, sur les réseaux sociaux, le nombre de propos injurieux.»

Pourquoi l’Etat ne se charge-t-il pas de tout?

Les partisans de l’e-ID estiment que ce serait une très mauvaise idée car l’Etat devrait investir massivement dans cette technologie, ou alors lancer un appel d’offres et sans doute qu’un seul fournisseur serait choisi et deviendrait de facto un monopole. Mais ce sera sans doute le cas avec la loi soumise au vote le 7 mars, estime Benoît Gaillard: «De toute façon, l’Etat investit pour créer les bases de données. Je pense que SwissSign deviendra un acteur quasi monopolistique privé en raison de la structure de ce marché. Il vaut donc mieux un monopole sous contrôle public, avec un cahier des charges précis et une garantie de transparence. La Confédération pourrait créer une entité à cette fin, ou octroyer une concession à une entreprise publique, pourquoi pas La Poste.»