Identité électronique

Le troisième objet soumis au vote du peuple le 7 mars prochain est le projet de loi fédérale sur les services d’identification électronique (LSIE). On peut parler, sans abus de langage, de la création d’un passeport électronique.

Souveraineté numérique

Chaque utilisateur d’internet dispose, à l’heure actuelle, d’identifiants lui permettant de bénéficier de divers services.

Le soussigné lui-même en possède plusieurs: un accès auprès de sa banque, de son opérateur de téléphonie mobile, de quelques compagnies aériennes, ou encore auprès des plateformes Facebook et Twitter. Cet accès Facebook l’autoriserait à accéder à d’autres plateformes, comme le site de musique en ligne Deezer, ou le réseau social Instagram. Un compte Gmail, fourni par Google, lui octroie un compte Youtube. Toutes ces applications ne vérifient que rarement que leur utilisateur existe réellement.

Les GAFAM¹ sont très présents dans la mise à disposition de ces services. En particulier, Google et Facebook donnent accès à un nombre croissant de services en ligne parallèles. Une part importante de notre identification sur le réseau internet est entre leurs mains, ainsi que le traitement des données fournies pour assurer cette identification.

Que l’Etat encadre la création d’un passeport numérique et contre, un tant soit peu, les GAFAM n’est pas une mauvaise idée en soi. La souveraineté d’un pays doit, autant que possible, également s’étendre au monde virtuel.

Un système touffu

La LSIE fixe la procédure de délivrance du passeport numérique. En premier lieu, des fournisseurs d’identité auront préalablement été reconnus par la Confédération, au travers de l’Unité de pilotage informatique de la Confédération (UPIC). Elle sera créée pour l’occasion. Cette reconnaissance est soumise à des critères tout à fait ordinaires de respect du droit suisse ou de fiabilité des employés en terme de sécurité. Les fournisseurs d’identité doivent être inscrits au Registre du commerce. En application de la loi sur le droit international privé, au moins une des personnes habilitée à la représenter (administrateur, sociétaire) doit être domiciliée en Suisse pour être reconnue.

Cela signifierait par exemple que l’antenne suisse de Google, inscrite au Registre du commerce de Zurich, pourrait offrir ses services. Trois de ses administrateurs sont domiciliés en Suisse, mais aucun n’en a la nationalité. Peut-on réellement parler d’une société suisse dans un tel cas de figure? Une personne morale n’est pas que le résultat abstrait d’une procédure d’inscription au Registre du commerce. Elle est aussi les gens qui la composent, et en particulier sa direction. Nous doutons de pouvoir encore réellement parler de souveraineté numérique si un tel mastodonte étranger devait, dans l’exercice d’une tâche régalienne, proposer ses services à la Confédération.

La personne intéressée à disposer d’une identification électronique formule sa demande à l’Office fédéral de la police (FedPol), par l’intermédiaire d’un fournisseur d’accès reconnu. FedPol adresse en retour au fournisseur d’identité ses «données d’identification personnelle», à savoir son nom, son numéro AVS, son sexe, etc. Plus le niveau de sécurité de l’identifiant est élevé, plus le nombre de données transmises est important.

De l’autre côté se retrouvent les «exploitants d’un service utilisateur». Il s’agit des exploitants des plateformes auxquelles le passeport numérique donnerait accès. Il s’agirait par hypothèse de l’administration fédérale, de la Poste, de certaines banques, de Swisscom…

En définitive, plusieurs relations se tissent, dans un réseau complexe: UPIC – fournisseur d’accès pour la reconnaissance; demandeur – fournisseur d’accès – FedPol, pour l’octroi du passeport; fournisseur d’accès – exploitant de service utilisateur pour l’utilisation effective du passeport.

La prétendue nécessité d’un passeport numérique ne doit pas nous interdire de questionner cette bureaucratie. Il faut rappeler que le projet de LSIE émane depuis le début du Conseil fédéral, soit de l’administration. Aussi le projet en porte-t-il la marque: une loi précise, de multiples et complexes relations entre des acteurs qu’elle crée pour partie et une terminologie technique touffue. Cela laisse de prime abord à penser que le système a été très bien réfléchi, et qu’il sera donc efficace.

Rien n’est pourtant plus faux. Les systèmes administratifs trop complexes sont souvent les plus fragiles, sinon les plus lourds à utiliser. Dans ce dernier cas de figure, le public n’y recourt tout simplement pas à moins d’y être forcé. Le projet manque alors coûteusement sa cible. C’est ici l’impression que nous laissent les mécanismes mis en place dans la LSIE.

Une loi hybride

La base constitutionnelle principale du projet de LSIE est l’art. 95 de la Constitution fédérale, autorisant très généralement la Confédération à légiférer en matière d’activités lucratives privées, l’art. 96 sur la concurrence et l’art. 97 sur la protection des consommateurs. On s’étonnera que la Confédération n’invoque pas sa compétence de législation dans le domaine du droit de cité, ou du droit civil, dont découlent les règles sur l’Etat-civil et les documents d’identité. Si l’on considère le cyberespace comme une extension de la vie quotidienne, il eût fallu invoquer ces fondements-là, pas les compétences de police économique.

Berne considère en réalité la LSIE comme une loi d’encadrement de l’activité économique ayant, dans le cyberespace, trait à l’identification des personnes. Elle ne la voit que corollairement comme une loi sur le passeport numérique. Cette inversion des priorités déséquilibre le projet. Une telle démarche serait pourtant défendable si les Etats modernes ne subissaient pas, dans le domaine électronique, de puissants effets de cliquet, ou, autrement dit, de mises devant le fait accompli.

Une centralisation

Le but avoué de la Confédération est de recourir au passeport numérique dans le cadre de la cyberadministration. Ce passeport verra ainsi son rôle croître. Il risque bien, à terme, de devenir le seul passeport utilisable. Le livret de service est en train de connaître une telle évolution.

Le passeport numérique doit donc d’abord être pensé dans cette perspective. Le rapport entre le citoyen et l’Etat – titulaire ex rege du pouvoir de délivrer des documents d’identité à ses citoyens – doit être le plus direct possible. La machinerie mise en place dans la LSIE ne respecte pas cette exigence.

Dans le Canton de Vaud, les passeports sont délivrés par le Service de la population. Les cartes d’identité sont délivrées par les communes, ce qui instaure une proximité entre les citoyens et leurs autorités. Dans vingt ou trente ans, le passeport numérique aura pris de l’importance. La LSIE risque fortement de supplanter les règles et procédures régissant la délivrance par les cantons et les communes des documents d’identité classiques.

Cantons et communes sont totalement absents du projet soumis au vote du peuple, qui ne les mentionne même pas. Notre Canton connaît pourtant déjà un système d’identification électronique pour les prestations en ligne de l’Etat de Vaud. Il est consacré dans la LCyber². Son système est beaucoup plus simple que celui proposé par la LSIE, et autorise déjà la cyberadministration. Il nous paraît satisfaisant. Nous en faisons, à titre professionnel, presque quotidiennement l’expérience avec le Registre foncier. Cela met en doute les compétences supposément supérieures de la Confédération en la matière.

Même dans l’exécution de tâches relevant du fédéralisme d’exécution, ce sont bien des fonctionnaires cantonaux qui tiennent les guichets: qu’il s’agisse du Service des automobiles, du chômage, de l’AVS ou de l’état-civil. La création d’une identité électronique uniquement fédérale autorisera à terme le remplacement, total ou partiel, des guichets réels de ces autorités cantonales. Un guichet virtuel fédéral unique finira par les supplanter. Nous voterons NON.

Notes:

¹    Google, Amazon, Facebook, Apple, Microsoft

²    Loi vaudoise sur les moyens d’indentification électronique et le portail sécurisé des prestations en ligne de l’Etat, BLV 172.67.