En 2024, l’Union européenne (UE) prévoit la mise en place d’un environnement juridique robuste pour encadrer l’utilisation des solutions d’identification numérique interopérables.
Dans ce contexte, la Commission européenne a présenté le 24 septembre 2020 une stratégie tridimensionnelle en matière de finance numérique pour l’UE. Dans le cadre du projet de réexamen du règlement eIDAS, la Commission vise à améliorer :
- l’efficacité de ce règlement en introduisant des règles plus harmonisées pour lutter contre le blanchiment d’argent (AML) ;
- un cadre révisé pour l’identification électronique (y compris la signature électronique simple, avancée ou qualifiée) ;
- l’accès à des services de confiance pour les transactions électroniques.
Le règlement eIDAS 2.0 voit le jour dans un contexte où des questions de transparence autour de la réutilisation des données des clients se posent.
- Le règlement Electronic Identification and Trust Services
Initialement adopté en 2014, le règlement eIDAS abroge la directive 1999/93/CE relative à l’identification électronique. Ce premier règlement, qui traitait des questions d’identification électronique (EID) et des services de confiance pour les transactions électroniques sur le marché intérieur, est désormais obsolète. La nouvelle réglementation européenne vise à renforcer la confiance dans les transactions électroniques, en mettant en évidence le “kaléidoscope des stratégies européennes” selon le journal Le Monde. eIDAS 2.0 intègre une approche de protection de la vie privée dès sa conception, assurant ainsi la confidentialité des informations collectées.
- Nouveau traitement des données personnelles
L’objectif du projet est de standardiser les titres d’identité des citoyens européens, les rendant universellement reconnus dans tous les États membres. Ainsi, les détenteurs auront la possibilité de partager uniquement les informations essentielles telles que l’état civil, l’âge, la nationalité, le sexe, le domicile, les diplômes, etc., sans divulguer les données sources. L’objectif principal est de limiter le partage d’informations aux seules données strictement nécessaires, garantissant ainsi un niveau élevé de confidentialité.
Toutes ces informations seront répertoriées dans un coffre-fort digital entièrement dédié aux informations personnelles de chaque citoyen. La biométrie sera utilisée pour assurer la sécurité de l’identification, et le chiffrement des données sera mis en œuvre à l’aide de clés publiques ou privées pour garantir leur sécurité.
- L’article 45 du règlement, un bond en arrière dans la protection de la vie privée en ligne
La signature électronique, permise par le règlement eIDAS 2.0, est soumise à la condition que les entreprises disposent d’une certification.
Selon l’article 45 de ce règlement, les navigateurs n’ont pas le pouvoir d’imposer des exigences de sécurité modernes à certaines autorités de certification (AC), sans l’approbation d’un gouvernement membre de l’UE. Cette intervention gouvernementale vise à contrôler l’interception des communications HTTPS par les AC, désignées et gérées par ledit gouvernement. En d’autres termes, il s’agit pour le gouvernement de contrôler les transferts de données sensibles des utilisateurs.
Un certificat mal délivré pourrait ouvrir la voie à l’espionnage du trafic. Par conséquent, il est crucial que les navigateurs garantissent l’utilisation de “programmes racines” fiables et conformes pour les utilisateurs.
En résumé, il est envisageable d’améliorer le niveau de sécurité des AC. Cependant, réduire de manière permanente les exigences reviendrait à alléger la responsabilité des AC. Une telle diminution des obligations des AC entraînerait inévitablement une diminution de la sécurité pour les utilisateurs d’Internet dans le monde entier.
- L’eIDAS 2.0 : le portefeuille numérique
A la fin de l’année 2020, 57 % des résidents européens affirment être en possession d’une identité numérique. Dans cette perspective, le projet de règlement diffusé le 3 juin 2021 vise à combler ce déficit de digitalisation.
La version révisée du règlement trouve sa justification dans la mise en place du Wallet européen, dont le lancement est prévu pour 2025. La création du portefeuille d’identité numérique européenne, appelé EUDIW “European digital identity wallet”, représente un avantage significatif pour la protection des utilisateurs. L’EUDIW ouvre la voie à une éventuelle anonymisation des données personnelles dans le secteur financier pour mettre en place un véritable standard européen. Cet outil permet de centraliser les informations relatives à une personne telles que son permis, ses données de santé et bancaires, etc. L’Estonie a d’ailleurs déjà mis en place une e-carte d’identité regroupant ces informations.
En vue de s’adapter aux évolutions du marché et aux avancées technologiques, les services de confiance ont conduit à la création d’un système d’archivage électronique. Ce service est conçu pour recevoir, stocker, extraire et supprimer des données et des documents électroniques, afin d’assurer leur durabilité, leur lisibilité et leur intégrité.
Dans ses conclusions des 1er et 2 octobre 2023, le Conseil européen a encouragé la Commission à proposer l’élaboration d’un cadre européen pour une identification électronique publique sécurisée, comprenant des signatures numériques interopérables. Ce cadre doit permettre aux individus de gérer leur identité en ligne en replaçant l’individu au centre de ses données.
Ces avancées sont rendues possibles grâce à un programme politique européen pour l’horizon 2030.
Il est alors possible d’envisager les dérives que pourraient engendrer l’adoption d’une telle réglementation en vertu d’une potentielle commercialisation par le secteur privé des données transférées.
Amandine Derouet
Master 2 Cyberjustice – Promotion 2023/2024
Sources :
- À propos du privacy by design : Directive 95/46/CE sur le traitement des données à caractère personnel
- Joseph Delhaye, “l’innovation numérique dans le domaine financier”, professeur de droit luxembourgeois sur la législation sur le secteur financier et Head Legal @Spuerkeess « State & Savings Bank Luxembourg »