Le 15 mars, le Parlement européen a voté par 418 voix pour, 103 voix contre et 24 abstentions, en faveur de la négociation d'un mandat de dialogue avec les États membres de l'Union européenne sur la révision du nouveau cadre de l'identité numérique européenne (eID) et la création du portefeuille européen d'identité numérique, également connu sous le nom de portefeuille EUDI ou portefeuille de l'Union européenne.

Les cartes d'identité, les cartes de santé, les certificats et de nombreux autres documents pourraient bientôt être stockés numériquement dans une application pour smartphone destinée aux citoyens de l'UE.

Selon une déclaration officielle du Parlement européen, ce système permettrait aux citoyens de s'identifier et de s'authentifier en ligne sans dépendre de grands fournisseurs commerciaux comme Apple, Google, Amazon ou Facebook.

Le nouveau cadre de l'eID permettra aux citoyens de l'UE d'avoir un accès numérique aux principaux services publics dans toute l'UE. Les citoyens conserveront le « contrôle total de leurs données » et pourront « décider eux-mêmes quelles informations partager et avec qui ».

Les législateurs européens ont fixé un objectif ambitieux pour ce nouveau portefeuille, visant à le rendre accessible à 80 % de la population d'ici à 2030. Cet objectif pourrait être atteint en imposant que le portefeuille soit pris en charge par les services d'administration en ligne, et les entreprises qui ont l'obligation légale d'identifier leurs clients par des contrôles de connaissance du client. Les grandes plateformes en ligne telles que Google ou Facebook pourraient être tenues de proposer le portefeuille de l'UE pour se connecter à leurs services, et les petites et moyennes entreprises pourraient être tenues de soutenir le portefeuille grâce à des dispositions non contraignantes et à des actes délégués.

Les négociations avec le Conseil européen sur la mise en œuvre constitueraient la prochaine étape, mais les experts en transformation numérique et en protection des données ont des doutes et des opinions divergentes sur la mise en œuvre du portefeuille.

La facilité d'utilisation est la clé de l'adoption

Le portefeuille européen, tout comme les cartes d'identité électroniques actuelles en Allemagne et dans d'autres pays européens, sera difficilement adopté par les citoyens dans leur vie quotidienne s'il n'offre pas un bon cas d'utilisation.

Le défi consiste à faciliter et à rendre plus efficace l'interaction des citoyens avec les services publics et les administrations, en permettant des processus d'authentification et de vérification, en particulier dans le secteur privé.

Selon Clemens Schleupner, responsable de l'identité numérique et des services de confiance à l'association numérique allemande Bitkom, la possibilité de stocker des pièces d'identité électroniques sur un smartphone pour les utiliser en ligne, ainsi que de numériser les permis de conduire, les cartes de santé, les passeports, les tickets, les bulletins scolaires, les cartes de crédit, les certificats d'adhésion, etc. et de les combiner dans un seul portefeuille pourrait avoir un potentiel de marché de masse.

Demande de prêt bancaire avec l'eID. Source : Commission européenne

Le portefeuille EUDI pourrait permettre d'atteindre cet objectif, mais cela ne sera possible que « si l'adoption par les citoyens européens est garantie par la sécurité et la facilité d'utilisation, la pertinence grâce à un grand nombre d'utilisations possibles et l'interopérabilité des différentes applications dans toute l'Europe », a déclaré M. Schleupner à Cointelegraph.

Christof Stein, porte-parole du commissaire fédéral allemand à la protection des données et à la liberté d'information (BfDI), s'inquiète également du manque de facilité d'utilisation et de sensibilisation du public.

M. Stein a déclaré à Cointelegraph que l'utilisation de technologies éprouvées et d'infrastructures de confiance avec des normes de sécurité informatique et de protection des données appliquées est cruciale pour les citoyens qui utilisent le portefeuille de l'UE.

Le respect de la vie privée est roi

Les règles définitives n'étant pas encore connues, il est trop tôt pour évaluer le portefeuille de l'UE à ce stade précoce de la mise en œuvre. Pour les citoyens, il est important que le cadre juridique fournisse une solution permettant d'économiser les données, et que les organisations ne demandent les données des utilisateurs que lorsqu'elles en ont besoin.

Selon M. Stein, il est essentiel que les utilisateurs soient protégés contre le suivi par les fournisseurs de portefeuilles et que ces derniers veillent à ce que le traitement des données des portefeuilles soit conforme aux exigences légales.

« Ce qu'il faut, c'est une ancre centrale de confiance permettant l'application de règles pour la protection des individus. Par exemple, l'infrastructure doit être conçue de manière à ce que toutes les organisations participant au système s'enregistrent pour s'identifier auprès des utilisateurs. »

La précédente proposition de la Commission européenne ne comportait pas de garanties essentielles en matière de protection de la vie privée, ce qui aurait permis à des tiers d'obtenir des données sur les transactions des utilisateurs, et éventuellement à des acteurs malveillants d'exploiter le système à des fins d'usurpation d'identité ou de fraude.

Selon Thomas Lohninger, directeur exécutif de l'ONG autrichienne epicenter.works, spécialisée dans la protection des données, le Parlement européen a considérablement amélioré la loi et adopté une bonne position en première lecture. Il a déclaré à Cointelegraph :

« Il est peu probable que le Parlement remporte 100 % des négociations en trilogue. Mais nous espérons que le Conseil et la Commission comprendront que le succès de l'ensemble du système dépend du respect de la vie privée et de la confiance qu'il inspire. Le portefeuille européen d'identité numérique ne sera un succès que s'il est l'outil de confiance et de choix des citoyens pour leurs données les plus sensibles en matière de santé, d'identité et de finances. »

Le problème de la « sur-identification »

M. Lohninger a également mis en garde contre la « sur-identification », c'est-à-dire que si tout le monde dans l'UE est obligé de toujours utiliser le portefeuille, cela pourrait conduire à une perte d'anonymat et de pseudonymat dans les interactions quotidiennes.

M. Stein, du BfDI, a partagé ce point de vue, estimant qu'il ne devrait pas y avoir d'obligation générale d'utiliser le portefeuille EUDI et qu'il devrait y avoir d'autres solutions.

Le Parlement européen semble avoir entendu ces préoccupations, car l'une des garanties les plus importantes du cadre d'identité récemment adopté est une clause de non-discrimination qui « protège toute personne qui choisit de ne pas utiliser le portefeuille de l'UE, qu'il s'agisse de l'accès aux services gouvernementaux, de la liberté d'entreprise ou du marché du travail ».

Au Parlement européen, les quatre commissions ont adopté cette clause de sauvegarde par consensus multipartite. Elle doit maintenant survivre au trilogue, c'est-à-dire aux négociations avec les représentants du Parlement européen, du Conseil de l'Union européenne et de la Commission européenne.

Qu'en est-il des zero-knowledge proofs ?

Comme le rapporte Cointelegraph, la commission de l'industrie, de la recherche et de l'énergie de l'Union européenne a inclus une norme relative aux zero-knowledge proofs (ZK-proofs) dans ses amendements sur l'eID.

Cette technologie, qui permet la divulgation sélective de certaines informations - comme la révélation de l'âge d'une personne, par exemple - pourrait devenir une fonction essentielle du portefeuille de l'UE, a déclaré M. Stein.

M. Lohninger, d'Epicenter.work, a fait remarquer que les ZK-proofs pourraient apporter de la « méfiance ». Par exemple, une personne pourrait prouver qu'elle est majeure à quelqu'un d'autre à différentes occasions sans que ce dernier sache qu'il s'agit de la même personne.

À lire également : Islam et crypto : Comment les actifs numériques peuvent-ils être conformes à la loi financière islamique ?

Bien que les ZK-proofs permettent d'anonymiser les données personnelles, M. Schleupner voit deux défis à relever. Premièrement, les ZK-proofs dans leur application actuelle sont « une nouvelle technologie et des vulnérabilités peuvent survenir si elles ne sont pas mises en œuvre correctement », et deuxièmement, « de nombreux cas d'utilisation [des ZK-proofs] n'ont pas encore été évalués de manière concluante ».

Avant de faire confiance à la technologie, les régulateurs de l'UE doivent s'assurer que les ZK-proofs sont conformes aux réglementations en matière de protection de la vie privée, et répondent à toutes les exigences spécifiques du règlement général sur la protection des données.

Le trilogue de l'UE a beaucoup à examiner avant de faire de l'eID un outil utilisable, sûr et fiable pour les Européens. La manière dont les régulateurs équilibreront ces considérations pourrait avoir de profondes implications pour d'autres créateurs d'identité numérique ou basée sur la blockchain.