Le wallet ou notre pistage par une identité numérique conforme au marché ?

Le 8 novem­bre 2023, le Con­seil de l’UE, le Par­lement européen et la Com­mis­sion européenne sont par­venus à un accord pro­vi­soire sur le futur Porte­feuille Européen d’Identité Numérique (PEIN, ou iden­tité numérique européenne notée eID, encore appelé wal­let).

Con­crète­ment, celui-ci regrouperait la carte d’identité nationale et dif­férents doc­u­ments d’i­den­ti­fi­ca­tion (pass san­i­taires [si nou­velles pandémies…], carte vitale, per­mis de con­duire, diplômes et cer­ti­fi­cats pro­fes­sion­nels, titres de trans­port, pre­scrip­tions médi­cales…). Il per­me­t­trait d’effectuer des paiements et des trans­ac­tions, l’ac­cès à l’ou­ver­ture d’un compte ban­caire, à des ser­vices en ligne publics et privés (prin­ci­pale­ment par le biais d’un smart­phone).

La France est engagée à vitesse accélérée dans ce proces­sus de numéri­sa­tion tous azimuts (voir notre arti­cle Com­ment s’op­pos­er à l’i­den­tité numérique en France et en Europe qui liste tous les pro­jets, beau­coup tran­si­tant par France Con­nect).

La ques­tion spé­ci­fique de l’i­den­tité numérique en matière de san­té, un des sujets les plus sen­si­bles pour nos lib­ertés, a été par­ti­c­ulière­ment étudié par le Syn­di­cat de la médecine générale dont nous avons repris un arti­cle (L’i­den­tité numérique en san­té : entre con­trôle et déshu­man­i­sa­tion), et dont des mem­bres ont par­ticipé à notre con­ven­tion pour un statut d’ob­jecteur du numérique (Ate­lier San­té : con­clu­sions de la con­ven­tion qui a aus­si abor­dé le sujet).

Par ailleurs, sur ce dossier com­plexe, nous reprenons ci-dessous le point de vue du col­lec­tif d’u­ni­ver­si­taires belges Car­ta Aca­d­e­m­i­ca.

Cette fois, c’est par­ti : le 8 novem­bre dernier, le Con­seil de l’UE, le Par­lement européen et la Com­mis­sion européenne sont par­venus à un accord sur le futur Porte­feuille Européen d’Identité Numérique (PEIN), appelé encore wal­let.

Le dis­posi­tif, qui devrait entr­er en vigueur dès 2027 (d’abord pour les ser­vices publics, puis pos­si­ble­ment pour le secteur privé), rassem­blera dans nos petits smart­phones l’ensemble des don­nées, doc­u­ments, jus­ti­fi­cat­ifs per­me­t­tant à cha­cun – per­son­nes physiques ou morales, organ­ismes privés ou publics – de s’identifier dans le monde numérique.

Achats en ligne, trans­ac­tions sécurisées, preuve des diplômes, par­cours de san­té : le porte­feuille européen d’identité numérique est conçu pour être la clef d’accès uni­verselle au monde numérique. En bref : toute action numérique néces­si­tant une iden­ti­fi­ca­tion fiable de la part de l’utilisateur pour­rait pass­er par le wal­let.

C’est dire que ce wal­let sera beau­coup plus qu’un sim­ple porte­feuille.

À terme, il con­stituera le passe­port d’entrée de tout un cha­cun dans son exis­tence sociale numérique. Or, ses pro­mo­teurs con­tin­u­ent de le présen­ter comme un sim­ple objet tech­nique, une sorte de super-appli­ca­tion facil­i­tant et sécurisant l’accès au numérique.

En réal­ité, il est une brique essen­tielle dans le mou­ve­ment général de numéri­sa­tion de la vie sociale. C’est d’ailleurs exacte­ment ce qu’a recon­nu, sans peut-être mesur­er la portée de ses dires, la députée européenne Romana Jerkovic, rap­por­teure du règle­ment (UE) sur l’identité numérique lors de sa présen­ta­tion à la presse le 8 novem­bre : Le cadre d’i­den­tité numérique européen est une lég­is­la­tion révo­lu­tion­naire qui propulsera la numéri­sa­tion du secteur pub­lic et de la société dans son ensem­ble [1]”.

C’est dire que l’affaire est sérieuse.

Un prob­lème démoc­ra­tique

Notre Chaire Valeurs et Poli­tiques des Infor­ma­tions Per­son­nelles (VP-IP [2]) a déjà eu l’occasion d’alerter sur le prob­lème démoc­ra­tique majeur que posait, en amont, la procé­dure qui a mis sur les rails, à marche for­cée [3], ce pro­jet com­plexe avant tout débat démoc­ra­tique, notam­ment par­lemen­taire.

C’était engager une poli­tique du fait accom­pli sur laque­lle nous ne revenons pas ici, si ce n’est pour soulign­er le prob­lème fon­da­men­tal suiv­ant : en soustrayant la ques­tion du wal­let à un vrai débat démoc­ra­tique – jusqu’à aujourd’hui, l’instauration du wal­let est com­plète­ment passée sous les radars citoyens ! –, la Com­mis­sion européenne court-cir­cuitait du même coup la ques­tion fon­da­men­tale des final­ités – le wal­let, pour quoi faire ?

La seule réponse qu’on puisse infér­er des textes et déc­la­ra­tions est : pour flu­id­i­fi­er le marché unique. L’empressement à met­tre ce pro­jet sur pied man­i­feste une con­fi­ance, jamais remise en ques­tion, dans l’alliance entre tech­nolo­gie numérique et crois­sance économique.

Nous pou­vons diag­nos­ti­quer là une forme sophis­tiquée de solu­tion­nisme tech­nologique. Est ain­si restée non débattue la ques­tion pour­tant fon­da­men­tale de savoir si cette société numérisée, économique­ment fonc­tion­nelle, était bien l’hori­zon sous lequel Européennes et Européens voulaient voir grandir leur Europe.

Des prob­lèmes de sécu­rité

La mise en place du wal­let est une opéra­tion tech­nique­ment et juridique­ment très com­plexe, notam­ment parce que l’UE, n’ayant pas la com­pé­tence pour délivr­er elle-même un tel porte­feuille d’identité, ne peut que vis­er à har­monis­er et coor­don­ner les sys­tèmes d’identité de cha­cun des 27 États de l’Union.

Il en résulte une véri­ta­ble usine à gaz tech­nologique et juridique, dont la vul­néra­bil­ité est pro­por­tion­nelle à la com­plex­ité. Notam­ment, le nom­bre d’acteurs inter­venant dans le dis­posi­tif est tel qu’il ne peut qu’augmenter les failles de sécu­rité poten­tielles.

Au-delà de cela, sig­nalons trois points de vig­i­lance prin­ci­paux :

  • En matière de sécu­rité, le Règle­ment prévoit une cer­ti­fi­ca­tion en matière de cyber­sécu­rité, mais ses modal­ités d’application font large­ment débat. Il reste, entre autres, à adopter des référen­tiels respectueux des principes européens. Et c’est loin d’être chose aisée puisque ceux-ci sont adop­tés dans des instances inter­na­tionales telle que l’ISO, dans lesquelles la Com­mis­sion européenne elle-même recon­naît l’influ­ence active d’acteurs étrangers.
  • En ce qui con­cerne l’assurance de la pro­tec­tion du nom­bre incal­cu­la­ble de don­nées per­son­nelles qui tran­siteront par le wal­let, une cer­ti­fi­ca­tion au titre du règle­ment général sur la pro­tec­tion des don­nées (RGPD) aurait pu être imposée. Hélas, si la Com­mis­sion européenne a pro­posé cette cer­ti­fi­ca­tion en juin 2021 (the wal­let shall be cer­ti­fied), le com­pro­mis du 8 novem­bre 2023 évoque une sim­ple pos­si­bil­ité de cer­ti­fi­ca­tion (the wal­let may be cer­ti­fied).
  • L’utilisation du wal­let et la cir­cu­la­tion des don­nées per­son­nelles par son inter­mé­di­aire ne s’arrête pas aux fron­tières européennes. Les ser­vices dits de con­fi­ance (sig­na­tures, archivage et attes­ta­tions élec­tron­iques de don­nées), tout comme le porte­feuille, pour­ront être four­nis par des acteurs non européens, notam­ment améri­cains. Sur ce point, un mécan­isme bien con­nu, déjà util­isé dans le RGPD, est mobil­isé : ces ser­vices pour­ront être four­nis par des prestataires étab­lis dans un pays tiers, notam­ment si un accord est con­clu entre l’UE et le pays tiers.

Or, les deux déci­sions adop­tées à ce jour par la Com­mis­sion européenne per­me­t­tant aux États-Unis de trans­fér­er les don­nées per­son­nelles col­lec­tées sur le sol européen ont déjà été invalidées deux fois par la Cour de Jus­tice de l’Union européenne [4]. Les juges n’ont-ils pas souligné l’accès dis­pro­por­tion­né et la pro­tec­tion inadéquate des don­nées européennes détenues en masse par les ser­vices de sécu­rité améri­cains ? Le 3e accord UE ‑États-Unis con­clu cet été ne fait-il pas déjà l’objet d’un nou­veau recours ? [5]

Le pro­jet d’une démoc­ra­tie con­forme au marché

Mais, indépen­dam­ment même de ces prob­lèmes de sécu­rité tech­nique et juridique, nous aime­ri­ons plus glob­ale­ment ques­tion­ner la portée socié­tale d’un tel dis­posi­tif numérique. Car la volon­té d’instaurer le PEIN dans l’Union témoigne, mieux que tout autre dis­posi­tif, de la ten­dance européenne au ren­force­ment réciproque des attentes de la Com­mis­sion européenne, de cer­tains acteurs du marché et de cer­tains États mem­bres.

Du côté du marché, les attentes sont celles de la général­i­sa­tion des ser­vices en ligne, sous pré­texte de leurs sup­posées sim­pli­fi­ca­tion et flu­id­i­fi­ca­tion, lesquelles iraient de pair avec un accroisse­ment de l’offre des don­nées util­is­ables à des fins lucra­tives. Du côté des États, elles sont glob­ale­ment celles d’une facil­i­ta­tion admin­is­tra­tive (p. ex. véri­fi­ca­tion du per­mis de con­duire), d’une ratio­nal­i­sa­tion budgé­taire, d’une interopéra­bil­ité de cer­tains sys­tèmes admin­is­trat­ifs (diplômes, san­té, trans­ports, etc [6]) et, d’une manière générale, d’une iden­ti­fi­ca­tion plus sûre des per­son­nes.

Pour le dire vite : le PEIN par­ticipe à la mise en place de ce qu’il faut bien appel­er une “démoc­ra­tie con­forme au marché”, et il en con­stituerait l’élément le plus emblé­ma­tique. Une “démoc­ra­tie marchande”, en quelque sorte, où cha­cun, doté de droits indi­vidu­els, gère dans son cock­pit ses inter­ac­tions avec le monde extérieur et les don­nées qu’il est cen­sé souhaiter partager, sur le mode de la trans­ac­tion marchande.

Le PEIN entérine un mod­èle de coex­is­tence indi­vid­u­al­iste, où l’intégration des indi­vidus est davan­tage assurée par une tech­nique par­faite­ment fonc­tion­nelle que par l’adhésion à des valeurs, une his­toire ou un pro­jet com­muns.

La con­fi­ance que les indi­vidus devraient se porter les uns aux autres et à leurs gou­ver­nants se reporte glob­ale­ment sur le sys­tème tech­nique, dont le fonc­tion­nement est conçu sur un imag­i­naire marc­hand. La “démoc­ra­tie con­forme au marchédépoli­tise la démoc­ra­tie, en inten­si­fi­ant le pou­voir tech­nocra­tique.

D’où une dernière inquié­tude, et non la moin­dre : cette inten­si­fi­ca­tion tech­nocra­tique rend pos­si­ble, par l’infrastructure tech­nique qu’elle installe, une future poten­tielle ges­tion “à la chi­noise” de notre vie sociale. Très con­crète­ment, on peut imag­in­er que les don­nées du per­mis de con­duire (dans le wal­let) soient cou­plées aux don­nées de géolo­cal­i­sa­tion du smart­phone : on pour­ra alors con­stater à dis­tance un excès de vitesse du con­duc­teur, amende automa­tique ou retrait de per­mis à la clef (côté ser­vice pub­lic), et aug­men­ta­tion de la prime d’assurance (côté ser­vice privé).

Ce serait là, on en con­vien­dra, une forme de “crédit social” européen, ce sys­tème de nota­tion tel qu’il se pra­tique déjà en Chine, basé sur un cap­i­tal de points accordé par l’État à chaque citoyen, points qu’il gagne ou qu’il perd en fonc­tion de son com­porte­ment tel qu’il est enreg­istré par tous les cap­teurs dits intel­li­gents.

Certes, nous sommes encore préservés d’un tel sys­tème de nota­tion civique par divers­es régle­men­ta­tions qui, tel le RGPD, font aujourd’hui la fierté de l’Europe – mais les textes sont plus frag­iles que la tech­nique. Un change­ment de gou­ver­nance, un bas­cule­ment poli­tique pour­raient vite les met­tre au ran­card, par exem­ple au nom de l’efficacité.

Nous l’avons dit, l’affaire est sérieuse.

Mark Hun­ya­di, Pro­fesseur de philoso­phie, UCLou­vain, (en col­lab­o­ra­tion avec les mem­bres de la Chaire VP-IP de l’Institut Mines-Télé­com : Claire Lev­al­lois-Barth, Ivan Meseguer, Mary­line Lau­rent, Patrick Wael­broeck), pour Car­ta Aca­d­e­m­i­ca

Nota bene : l’affaire est telle­ment sérieuse qu’entre le moment où ces lignes ont été écrites et leur pub­li­ca­tion, il était prévu que le texte de l’accord sur l’identité numérique soit validé le 28 novem­bre par la plus puis­sante com­mis­sion du Par­lement européen, la com­mis­sion ITRE (indus­trie, recherche et énergie), sans laque­lle rien ne peut se faire.

Or, la veille de ce vote, à 18h37 (!), le texte a été retiré de l’agenda sine die et sans expli­ca­tions – événe­ment raris­sime dans les procé­dures bien huilées de l’hémicycle. Peut-être nos par­lemen­taires sont-ils en train de se res­saisir.

Les points de vue exprimés dans les chroniques de Car­ta Aca­d­e­m­i­ca sont ceux de leur(s) auteur(s) et/ou autrice(s) ; ils n’engagent en rien les mem­bres de Car­ta Aca­d­e­m­i­ca, qui, entre eux d’ailleurs, ne pensent pas for­cé­ment la même chose. En par­rainant la pub­li­ca­tion de ces chroniques, Car­ta Aca­d­e­m­i­ca con­sid­ère qu’elles con­tribuent à des débats socié­taux utiles. Des chroniques pour­raient dès lors être pub­liées en réponse à d’autres. Car­ta Aca­d­e­m­i­ca veille essen­tielle­ment à ce que les chroniques éditées reposent sur une démarche sci­en­tifique.

[1] https://www.europarl.europa.eu/news/fr/press-room/20231106IPR09006/portefeuille-numerique-europeen-accord-entre-les-deputes-et-le-conseil

[2] https://cvpip.wp.imt.fr/accueil/

[3] M. Hun­ya­di, en col­lab­o­ra­tion avec C. Lev­al­lois-Barth, I. Meseguer, M. Lau­rent, P. Wael­boeck, mem­bres de la Chaire VP-IP de l’Institut Mines-Télé­com, Union européenne : pourquoi un porte­feuille numérique à marche for­cée ?, 6 mai 2022, https://blogs.mediapart.fr/carta-academica/blog/060522/union-europeenne-pourquoi-un-portefeuille-numerique-marche-forcee.

[4] Respec­tive­ment le 6 octo­bre 2015 avec l’arrêt dit Schrems I et le 16 juil­let 2020 avec l’arrêt dit Schrems II.

[5] https://www.nextinpact.com/article/72403/data-privacy-framework-philippe-latombe-nous-explique-son-recours-devant-tribunal-union-europeenne.

[6] Voir les pro­jets pilotes financés actuelle­ment par la Com­mis­sion européenne avant même l’adoption du règle­ment sur l’identité numérique : https://digital-strategy.ec.europa.eu/en/policies/eudi-wallet-implementation.