PEIN

Portefeuille Européen d’Identité Numérique

Le 8 novembre dernier, le Conseil de l’UE, le Parlement européen et la Commission européenne sont parvenus à un accord sur le futur Portefeuille Européen d’Identité Numérique, appelé encore wallet. Les dangers sont importants. L’affaire est tellement sérieuse qu’entre le moment où ces lignes ont été écrites et leur publication, le texte a été retiré de l’agenda sine die et sans explications.

Cette fois, c’est parti : le 8 novembre dernier, le Conseil de l’UE, le Parlement européen et la Commission européenne sont parvenus à un accord sur le futur Portefeuille Européen d’Identité Numérique (PEIN), appelé encore wallet.

Le dispositif, qui devrait entrer en vigueur dès 2027 (d’abord pour les services publics, puis possiblement pour le secteur privé), rassemblera dans nos petits smartphones l’ensemble des données, documents, justificatifs permettant à chacun – personnes physiques ou morales, organismes privés ou publics – de s’identifier dans le monde numérique.

Achats en ligne, transactions sécurisées, preuve des diplômes, parcours de santé : le portefeuille européen d’identité numérique est conçu pour être la clef d’accès universelle au monde numérique. En bref : toute action numérique nécessitant une identification fiable de la part de l’utilisateur pourrait passer par le wallet. C’est dire que ce wallet sera beaucoup plus qu’un simple portefeuille.

À terme, il constituera le passeport d’entrée de tout un chacun dans son existence sociale numérique. Or, ses promoteurs continuent de le présenter comme un simple objet technique, une sorte de super-application facilitant et sécurisant l’accès au numérique.

En réalité, il est une brique essentielle dans le mouvement général de numérisation de la vie sociale. C’est d’ailleurs exactement ce qu’a reconnu, sans peut-être mesurer la portée de ses dires, la députée européenne Romana Jerkovic, rapporteure du règlement (UE) sur l’identité numérique lors de sa présentation à la presse le 8 novembre : « Le cadre d’identité numérique européen est une législation révolutionnaire qui propulsera la numérisation du secteur public et de la société dans son ensemble[1] ».C’est dire que l’affaire est sérieuse.

Un problème démocratique

Notre Chaire Valeurs et Politiques des Informations Personnelles (VP-IP[2]) a déjà eu l’occasion d’alerter sur le problème démocratique majeur que posait, en amont, la procédure qui a mis sur les rails, à marche forcée[3], ce projet complexe avant tout débat démocratique, notamment parlementaire.

C’était engager une politique du fait accompli sur laquelle nous ne revenons pas ici, si ce n’est pour souligner le problème fondamental suivant : en soustrayant la question du wallet à un vrai débat démocratique – jusqu’à aujourd’hui, l’instauration du wallet est complètement passée sous les radars citoyens ! –, la Commission européenne court-circuitait du même coup la question fondamentale des finalités – le wallet, pour quoi faire ?

La seule réponse qu’on puisse inférer des textes et déclarations est : pour fluidifier le marché unique. L’empressement à mettre ce projet sur pied manifeste une confiance, jamais remise en question, dans l’alliance entre technologie numérique et croissance économique.

Nous pouvons diagnostiquer là une forme sophistiquée de solutionnisme technologique. Est ainsi restée non débattue la question pourtant fondamentale de savoir si cette société numérisée, économiquement fonctionnelle, était bien l’horizon sous lequel Européennes et Européens voulaient voir grandir leur Europe.

Des problèmes de sécurité

La mise en place du wallet est une opération techniquement et juridiquement très complexe, notamment parce que l’UE, n’ayant pas la compétence pour délivrer elle-même un tel portefeuille d’identité, ne peut que viser à harmoniser et coordonner les systèmes d’identité de chacun des 27 États de l’Union.

Il en résulte une véritable usine à gaz technologique et juridique, dont la vulnérabilité est proportionnelle à la complexité. Notamment, le nombre d’acteurs intervenant dans le dispositif est tel qu’il ne peut qu’augmenter les failles de sécurité potentielles. Au-delà de cela, signalons trois points de vigilance principaux :

  • En matière de sécurité, le Règlement prévoit une certification en matière de cybersécurité, mais ses modalités d’application font largement débat. Il reste, entre autres, à adopter des référentiels respectueux des principes européens. Et c’est loin d’être chose aisée puisque ceux-ci sont adoptés dans des instances internationales telle que l’ISO, dans lesquelles la Commission européenne elle-même reconnaît l’influence active d’acteurs étrangers.
  • En ce qui concerne l’assurance de la protection du nombre incalculable de données personnelles qui transiteront par le wallet, une certification au titre du règlement général sur la protection des données (RGPD) aurait pu être imposée. Hélas, si la Commission européenne a proposé cette certification en juin 2021 (the wallet shall be certified), le compromis du 8 novembre 2023 évoque une simple possibilité de certification (the wallet may be certified).
  • L’utilisation du walletet la circulation des données personnelles par son intermédiaire ne s’arrête pas aux frontières européennes. Les services dits de confiance (signatures, archivage et attestations électroniques de données), tout comme le portefeuille, pourront être fournis par des acteurs non européens, notamment américains. Sur ce point, un mécanisme bien connu, déjà utilisé dans le RGPD, est mobilisé : ces services pourront être fournis par des prestataires établis dans un pays tiers, notamment si un accord est conclu entre l’UE et le pays tiers.

 Or, les deux décisions adoptées à ce jour par la Commission européenne permettant aux États-Unis de transférer les données personnelles collectées sur le sol européen ont déjà été invalidées deux fois par la Cour de Justice de l’Union européenne[4]. Les juges n’ont-ils pas souligné l’accès disproportionné et la protection inadéquate des données européennes détenues en masse par les services de sécurité américains ? Le 3e accord UE -États-Unis conclu cet été ne fait-il pas déjà l’objet d’un nouveau recours ?[5]

Le projet d’une démocratie conforme au marché

Mais, indépendamment même de ces problèmes de sécurité technique et juridique, nous aimerions plus globalement questionner la portée sociétale d’un tel dispositif numérique. Car la volonté d’instaurer le PEIN dans l’Union témoigne, mieux que tout autre dispositif, de la tendance européenne au renforcement réciproque des attentes de la Commission européenne, de certains acteurs du marché et de certains États membres.

Du côté du marché, les attentes sont celles de la généralisation des services en ligne, sous prétexte de leurs supposées simplification et fluidification, lesquelles iraient de pair avec un accroissement de l’offre des données utilisables à des fins lucratives. Du côté des États, elles sont globalement celles d’une facilitation administrative (p. ex. vérification du permis de conduire), d’une rationalisation budgétaire, d’une interopérabilité de certains systèmes administratifs (diplômes, santé, transports, etc[6].) et, d’une manière générale, d’une identification plus sûre des personnes.

Pour le dire vite : le PEIN participe à la mise en place de ce qu’il faut bien appeler une « démocratie conforme au marché », et il en constituerait l’élément le plus emblématique. Une « démocratie marchande », en quelque sorte, où chacun, doté de droits individuels, gère dans son cockpit ses interactions avec le monde extérieur et les données qu’il est censé souhaiter partager, sur le mode de la transaction marchande.

Le PEIN entérine un modèle de coexistence individualiste, où l’intégration des individus est davantage assurée par une technique parfaitement fonctionnelle que par l’adhésion à des valeurs, une histoire ou un projet communs.

La confiance que les individus devraient se porter les uns aux autres et à leurs gouvernants se reporte globalement sur le système technique, dont le fonctionnement est conçu sur un imaginaire marchand. La « démocratie conforme au marché » dépolitise la démocratie, en intensifiant le pouvoir technocratique.

D’où une dernière inquiétude, et non la moindre : cette intensification technocratique rend possible, par l’infrastructure technique qu’elle installe, une future potentielle gestion « à la chinoise » de notre vie sociale. Très concrètement, on peut imaginer que les données du permis de conduire (dans le wallet) soient couplées aux données de géolocalisation du smartphone : on pourra alors constater à distance un excès de vitesse du conducteur, amende automatique ou retrait de permis à la clef (côté service public), et augmentation de la prime d’assurance côté service privé.

Ce serait là, on en conviendra, une forme de « crédit social » européen, ce système de notation tel qu’il se pratique déjà en Chine, basé sur un capital de points accordé par l’État à chaque citoyen, points qu’il gagne ou qu’il perd en fonction de son comportement tel qu’il est enregistré par tous les capteurs dits intelligents.

Certes, nous sommes encore préservés d’un tel système de notation civique par diverses réglementations qui, tel le RGPD, font aujourd’hui la fierté de l’Europe – mais les textes sont plus fragiles que la technique. Un changement de gouvernance, un basculement politique pourraient vite les mettre au rancard, par exemple au nom de l’efficacité.

Nous l’avons dit, l’affaire est sérieuse.

Mark Hunyadi, Professeur de philosophie, UCLouvain, (en collaboration avec les membres de la Chaire VP-IP de l’Institut Mines-Télécom : Claire Levallois-Barth, Ivan Meseguer, Maryline Laurent, Patrick Waelbroeck), pour Carta Academica (https://www.cartaacademica.org/).

Nota bene : l’affaire est tellement sérieuse qu’entre le moment où ces lignes ont été écrites et leur publication, il était prévu que le texte de l’accord sur l’identité numérique soit validé le 28 novembre par la plus puissante commission du Parlement européen, la commission ITRE (industrie, recherche et énergie), sans laquelle rien ne peut se faire.

Or, la veille de ce vote, à 18h37 (!), le texte a été retiré de l’agenda sine die et sans explications – événement rarissime dans les procédures bien huilées de l’hémicycle. Peut-être nos parlementaires sont-ils en train de se ressaisir.

Les points de vue exprimés dans les chroniques de Carta Academica sont ceux de leur(s) auteur(s) et/ou autrice(s) ; ils n’engagent en rien les membres de Carta Academica, qui, entre eux d’ailleurs, ne pensent pas forcément la même chose. En parrainant la publication de ces chroniques, Carta Academica considère qu’elles contribuent à des débats sociétaux utiles. Des chroniques pourraient dès lors être publiées en réponse à d’autres. Carta Academica veille essentiellement à ce que les chroniques éditées reposent sur une démarche scientifique.

Notes

[1] https://www.europarl.europa.eu/news/fr/press-

[2] https://cvpip.wp.imt.fr/accueil/

[3] M. Hunyadi, en collaboration avec C. Levallois-Barth, I. Meseguer, M. Laurent, P. Waelboeck, membres de la Chaire VP-IP de l’Institut Mines-Télécom, Union européenne : pourquoi un portefeuille numérique à marche forcée ?, 6 mai 2022, https://blogs.mediapart.fr/carta-academica/blo

[4] Respectivement le 6 octobre 2015 avec l’arrêt dit Schrems I et le 16 juillet 2020 avec l’arrêt dit Schrems II.

[5] https://www.nextinpact.com/article/72403/data-priv

[6] Voir les projets pilotes financés actuellement par la Commission européenne avant même l’adoption du règlement sur l’identité numérique : 

https://digital-strategy.ec.europa.eu/en/policies/eu

 Source: https://blogs.mediapart.fr/carta-academica/

Carta Academica est un collectif d’universitaires belges qui a décidé d’intervenir dans le débat public