eIDAS 2.0 -- bête au méchant ?¶
Quelle ne fut pas ma surprise d'apprendre que eIDAS 2.0 ne met absolument pas tout en œuvre pour protéger au mieux les identités numériques des Européens !
Dans son excellent centième épisode de MACI, le podcast de Clever Cloud, animé par Quentin Adam (entre autre président de l'OpenInternetProject), après un bon chapitre tech avec Nida LÉGÉ et Mathieu Ancelin, mais aussi de très intéressantes interventions de Sébastien Prunier et Pierre-Antoine Gourraud, je fus particulièrement surpris d'apprendre, notamment par les explications de Claire Levallois-Barth, que la dernière version de eIDAS, le portefeuille européen d’identité numérique, qui sera voté fin février au parlement européen, n'indique plus explicitement que les fournisseurs de ce portefeuille doivent être établis au sein de l'Union Européenne.
Aucune raison de mettre la parole de Quentin et/ou de ses intervenants en doute, que du contraire même, mais il vaut toujours mieux vérifier.
Entre une drashe hivernale, comme on les aime bien en Belgique, et un Orval tempéré au coin du feu, je me suis donc plongé dans la dernière version de cette réglementation (https://www.europarl.europa.eu/cmsdata/278103/eIDAS-4th-column-extract.pdf) et j'ai tenté de passer en revue bon nombre des modifications qu'elle a subi depuis le lancement du chantier en septembre 2020.
eIDAS, kesako ?
L'eIDAS, ou electronic identification, authentication, and trust services, est la régulation européenne qui réglemente la signatures et transactions électroniques au sein de l'Union.
Sa première version date de 2014 et a, entre autre, donné naissance au service de signature numérique Itsme® en Belgique. La régulation a subi plusieurs liftings depuis pour arriver, aujourd'hui, à la version 2.0, qui sera votée fin février 2024, et trace la voie vers une interopérabilité de ces services au sein de l'Union européenne.
eIDAS 2.0 permettra de mettre en place des services supplémentaires pour les citoyens (et les entreprises), par exemple, par le biais du portefeuille numérique (EDIW ou European Digital Identity Wallet), le partage sécurisé d'informations issues de son identité, mais aussi de son permis de conduire électronique ou des prescriptions médicales. eIDAS 2.0 facilitera aussi la signature numérique de documents ou l'authentification.
Sur papier, eIDAS 2.0 faciliterait grandement nos vies numériques... Mais sa mise en place n'a pas été un long fleuve tranquille.
Comme le souligne Philippe Laloux dans son interview pour Grand Angle, le podcast actualité du Soir, « on est passé à un cheveux de la surveillance à la chinoise » et d'autres problématiques particulièrement sensibles ont pu être levé pour arriver à la version finale qu'on a aujourd'hui.
Le web regorge d'information sur les avantages et les inconvénients et sur les opportunités et les dangers de la nouvelle mouture de cette régulation européenne.
Par contre, il n'y a pas tant d'information que ça sur les directives qui encadreront les futurs fournisseurs de portefeuilles électroniques.
Apparemment cet aspect semble avoir été laissé de côté au cours de ces différentes itérations. Il s'avère, en effet, qu'entre décembre 2022, où le livre de bord indique encore explicitement que :
[...] amendments 338 and 340 suggest that European digital identity wallet could be provided by qualified trust service providers established in the EU.
~ https://www.europarl.europa.eu/legislative-train/carriage/eid/report?sid=6501
et l'édition suivante qui indique que:
The ITRE committee adopted its position on 9 February 2023, which was then confirmed in plenary on 16 March 2023 (418 votes in favour, 103 against, 24 abstentions). The Parliament proposed that the wallet could be issued directly by a Member State, under a mandate from a Member State or independently from a Member State but recognised by that a Member State.
~ https://www.europarl.europa.eu/legislative-train/carriage/eid/report?sid=6801
l'idée de base, qui était une obligation que les fournisseurs de portefeuilles électroniques soient localisés sur le sol européen, soit passée à la trappe.
Dans mes recherches, je n'ai pas trouvé la justification, écrite, pour ce changement de cap qui pose quand même fortement question.
tl;dr
Pour le dire simplement, la régulation n'interdit pas les états membres de sous-traiter la gestion des identités numériques de ses citoyens à des prestataires situés dans des pays en-dehors de l'Union Européenne...
Mais ce n'est pas tout :
Compliance with the requirements set out in Article 6a related to the personal data processing operations may be certified pursuant to Regulation (EU) 2016/679.
~ https://www.europarl.europa.eu/cmsdata/278103/eIDAS-4th-column-extract.pdf
Vous avez bien lu may, pas must.
Mais certifié pour quoi ? La « Régulation (EU) 2016/679 », c'est le joli nom du GDPR/RGPD (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679).
N'est-ce pas surprenant que la moindre petite entreprise en Europe qui dispose d'un fichier Excel avec quelques adresses mails de ses clients ait du se mettre aux normes de la RGPD, mais que lorsque les états membres lancent un projet qui concerne l'identité numérique de l'ensemble de ses citoyens, on peut difficilement faire plus personnel comme données, cette même obligation devienne optionnelle ?
Bref, la régulation 2.0 de eIDAS n'impose donc pas que les fournisseurs des portefeuilles numériques soient localisés en Europe, ni même les données, aussi chiffrés soient-ils, mais en plus, la réglementation rend optionnelle le respect de la RGPD.
Personnellement ça me donne un peu le tournis et je trouve la chose tellement folle que je n'arrive pas à me décider si c'est très très bête ou alors très très méchant.
Quoi qu'il en soit, que ce soit par ignorance, et personnellement j'en doute, ou pour avoir plié face aux pressions des nombreux lobbies qui ont du défiler au parlement pour ce dossier, le résultat est le même : La protection de l'identité numériques des citoyens européens est en danger et ces choix posent question.
Dès son entrée en office, Ursula von der Leyen avait pourtant fait de la souveraineté numérique européenne une de ses deux priorités (https://www.jstor.org/stable/resrep44035.5?seq=1), l'autre étant le Green Deal. On aurait pu espérer qu'elle gagne au moins une des deux batailles...
Bref, outre les avantages évidents en matière de sécurité, d'indépendance, de resilience et de robustesse pour l'Europe, travailler à la souveraineté numérique est aussi une énorme opportunité pour les acteurs du numériques.
C'est tellement simple que même un n00b ou un consultant McKinsey pourrait comprendre : si pour une partie des besoins numériques des États, des solutions doivent être mises en place au sein même de l'Union, c'est créer des emplois et des besoins en services non délocalisables et ceci encouragerait les investissements dans le secteur et favoriserait l'innovation.
Et s'ajoute à ça qu'il devient nettement plus facile pour le législateur d'imposer des normes environnementales, sociales et sociétales. Bref, tout le monde, sauf Mr GAFAM, y gagne...
Protectionnisme ?
Non. Imposer des normes européennes sur des produits et ou services n'est pas du protectionnisme.
En l'occurrence, l'objectif est de protéger l'identité numérique des citoyens européens, pour cela des normes très strictes doivent être définies qui vont, de facto, exclure les prestataires non-européens.
Objectivement, si d'une façon ou d'une autre, une entreprise étrangère est en mesure de fournir le même niveau de service – compliqué, mais pas impossible – il devrait pouvoir le faire.
Mais laissons de côté cette opportunité économique, sociale et environnementale deux secondes et concentrons nous un instant sur le danger qu'implique ces quelques omissions dans l'eIDAS. It's not all about the money, dum dum dum dum....
A priori, je vois surtout deux risques majeurs :
Premièrement, si la réglementation eIDAS 2.0 n'interdit pas explicitement les prestataires non-européens, et de rappeler qu'elle prévoit actuellement qu'un État peut tout à fait sous-traiter la conception de son portefeuille numérique à une entreprise privée, combien de temps faudra-t-il avant qu'un acteur outre atlantique ne propose une application All-In, et tant qu'on y est, gratuite ?
De rappeler aussi que l'application de portefeuille numérique sera avant tout une application mobile et que les deux acteurs qui dominent actuellement le marché sont Apple et Google, mais que les autres membre du club select des GAFAM ont tout autant intérêt à gentiment proposer de s'occuper de la gestion de nos identités.
Encore une fois, eIDAS n'impose pas le respect strict de la RGPD, ni même un audit par des tiers et si elle préfère des solution open-source pour l'application même, elle prévoit que certaines parties de l'application, qui ne sont pas installées sur les périphériques des utilisateurs, peuvent être privées.
The source code of the application software components of the European Digital Identity Wallets shall be open-source licensed. Member States may provide that, for duly justified reasons, specific components other than those installed on user devices shall not be disclosed.
~ Chapitre II, Section I, Article 6a, Paragraphe 2a https://www.europarl.europa.eu/cmsdata/278103/eIDAS-4th-column-extract.pdf
Techniquement, ça permettrait donc, par exemple, de s'assurer que la communication entre l'application de l'utilisateur soit chiffré de bout-en-bout, sans offrir la moindre garantie que ces données le soient sur les serveurs qui centralisent ces données. Théoriquement, ces données pourraient dès lors être parfaitement accessibles et exploitables par le fournisseur du eWallet.
Aucune garantie donc sur la protection nos identités numériques et si on venait à constater une faille, étant donné que l'Europe ne s'est toujours pas dotée de mesures conservatoires (voir https://www.openinternetproject.eu/2024/01/16/a-quand-les-mesures-conservatoires-a-bruxelles/), il faudrait sans doute des années de procédures judiciaires pour y mettre un terme.
Ces années de procédures suffiront amplement pour s'imposer et tuer le marché et rendre une marche arrière extrêmement compliquée.
J'invite tout le monde qui estime que les GAFAM (ou autres acteurs numériques non-européens) n'ont aucun intérêt d'aller à l'encontre des intérêts des Européens, à lire comment Google fait trainer depuis plus de 13 ans l'affaire Google Shopping alors qu'il a été condamné.
Google n'en a rien à faire de la loi européenne, n'a aucun scrupule à recourir à des moyens illégaux tant qu'il s'agit de tuer un marché et amasser un max de blé.
Je ne pense pas qu'il soit nécessaire d'illustrer pourquoi ces acteurs seraient ravis de gérer nos identités numériques et de collecter un max d'information sur leurs « sujets » pour optimiser au possible leurs profits.
Le deuxième risque majeur qui me saute aux yeux est encore nettement plus dangereux et concerne principalement le marché américain, mais étant donné la connivence entre les entreprises et l'état dans certains pays, aussi la Chine, par exemple.
Que ce soit via le Cloud Act américain, ou sur simple demande d'un officiel en Chine, les entreprises qui viendraient à gérer ces données personnelles, n'auront d'autre choix que de fournir les données réclamées.
Il semble évident que certaines données personnelles qui seraient inclues dans ces portefeuilles numériques, que ce soient des données médicales, des affiliations à certaines organisations et/ou syndicats, des préférences sexuelles et/ou religieuses qui pourraient facilement être déduites de ces données etc., pourraient avoir des conséquences dramatiques pour certains de nos concitoyens.
On pourrait se dire qu'aucun état européen sain d'esprit ne penserait à sous-traiter la gestion des identités numériques de ces citoyens à une entreprise extra-européenne, encore plus si cette entreprise est techniquement en incapacité de suivre à la lettre la RGDP...
Et pourtant, certains pays ont bien confié la gestion de leur Health Data Hub à Microsoft alors qu'il y a pléthore d'acteurs en France qui auraient pu se charger de cette mission critique (https://www.usine-digitale.fr/article/microsoft-restera-l-hebergeur-du-health-data-hub-jusqu-en-2025.N2043032).
Cette situation est totalement inacceptable.
Il n'y a aucune raison légitime qui puisse justifier qu'on n'oblige pas les fournisseurs des portefeuilles électroniques à être des entreprises européennes et encore moins de ne pas imposer le respect à la lettre de la RGPD.