Le 16 septembre 2020, Ursula von der Leyen, présidente de la Commission européenne déclarait dans son discours sur l’état de l’Union que “chaque fois qu’une application ou un site web nous propose de créer une nouvelle identité numérique ou de nous connecter facilement via une grande plateforme, nous n’avons aucune idée de ce que deviennent nos données, en réalité”. De cette affirmation, allusion à peine voilée aux solutions permettant de se connecter à des plateformes et autres services en ligne à partir de son compte Google, Facebook ou encore Twitter, dérive une proposition : la mise en place d’une “identité électronique européenne sécurisée”. Si l’idée d’une sorte de carte d’identité numérique européenne permettant une identification aisée auprès de différents services en ligne et visant à simplifier les démarches administratives en ligne peut présenter un intérêt pour les citoyens ou consommateurs mais aussi pour l’administration et les entreprises privées, cette identité numérique soulève de nombreux enjeux juridiques et techniques.
I/ Les objectifs du projet d’identité numérique européenne
À la suite de cette déclaration d’intentions d’Ursula von der Leyen, la Commission a présenté, le 3 juin 2021, sous la forme d’une proposition de règlement européen, un “cadre européen relatif à une identité numérique européenne” visant à définir le projet d’identité numérique européenne, ses objectifs et les étapes préalables à sa mise en œuvre.
Il est ainsi prévu que cette identité numérique européenne prenne la forme de “portefeuilles numériques qui seront en mesure d’établir un lien entre leur identité numérique nationale et la preuve d’autres attributs personnels” (à l’instar du permis de conduire par exemple). Aussi, plus qu’une simple carte d’identité numérique, il s’agit d’instaurer des “portefeuilles” contenant non seulement la vérification de l’identité d’un individu mais également la preuve de l’obtention de certains titres, permis ou documents : en somme, il s’agit de mettre en place un coffre fort numérique permettant, au sein de l’Union européenne de prouver son identité et certains “attributs personnels”.
Cela ne va pas sans rappeler le dispositif France connect, bien que ce dernier ne se limite qu’à l’identification des citoyens réalisant des démarches administratives en ligne.
Au sein de l’Union, la Commission estime que depuis l’adoption et l’entrée en application du règlement n°910/ 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (dit “eIDAS”), près de 60% des européens ont accès à de tels systèmes d’identification.
Or, si les systèmes que l’on connaît actuellement au sein de l’Union européenne visent surtout la réalisation de démarches administratives en ligne, le projet d’identité européenne, tel que présenté en juin 2021 par la Commission vise un champ d’utilisations bien plus large : il s’agira bien évidemment de réaliser des démarches administratives en ligne mais pas seulement. Ainsi, sont visés par la Commission, entre autres choses, l’ouverture d’un compte bancaire, le fait d’apporter la preuve de son âge sur certains sites internet, le fait de louer une voiture, ou encore un moyen de signer électroniquement des documents. En d’autres termes, les possibilités d’utilisation sont nombreuses, dépassant largement l’identification en ligne auprès des administrations.
Par ailleurs, il convient de noter que les portefeuilles relevant de ce dispositif “pourront être fournis par des autorités publiques ou par des entités privées, à condition d’être reconnus par les États membres”, et seront interopérables au sein de l’Union.
Maintenant, si ce projet peut sembler prometteur, il n’est encore qu’un projet. En Droit, la Commission estime possible de se fonder sur l’article 114 du TFUE, ce projet s’inscrivant dans la mise en place du marché unique numérique et la Commission estimant que confier aux seuls États membres la réalisation d’un tel projet poserait notamment des problèmes de “confiance”. Afin d’aller au plus vite, la Commission a accompagné sa proposition de règlement d’une recommandation conviant les États membres à élaborer une “boîte à outils” afin, notamment, de doter le projet d’une architecture technique et de définir des normes techniques.
Il faudra encore du temps pour que le projet d’identité numérique européenne aboutisse, avant qu’un règlement soit adopté, entre en application, et que les citoyens européens ne se saisissent de leurs nouvelles identités numériques, d’autant que ce projet soulève de nombreux enjeux.
II/ Les enjeux soulevés par le projet : la sécurité certes mais pas uniquement
L’un des enjeux majeurs du projet est, sans aucun doute, la sécurité. Sur ce point, si le projet est bien entendu annoncé comme sécurisé et que cela est l’un des objectifs de l’identité numérique européenne, il faudra attendre de voir ce à quoi ressembleront les “portefeuilles” qui seront mis à la disposition des européens en pratique afin de s’assurer de leur sécurité, et d’identifier des éventuelles vulnérabilités et menaces.
Un autre enjeu fondamental est celui de l’adoption d’un tel dispositif par les citoyens européens. Alors que le pass sanitaire et plus particulièrement le certificat numérique de vaccination, lui aussi porteur de nombreux enjeux , fait face à certaines réticences, qu’en sera t-il d’un dispositif permettant non seulement de justifier de son identité en ligne, de prouver son âge ou de stocker certains titres et documents ? Les européens auront-ils confiance en ces portefeuilles ? N’y verront-ils pas une atteinte à la protection de leurs données personnelles ?
Anticipant certainement ces critiques et ces réticences, la Commission propose notamment que le recours à l’identité numérique européenne soit optionnel : dans la présentation de sa proposition, la Commission appuie sur le fait que l’identité numérique européenne devrait être “disponible pour tous les citoyens, résidents et entreprises de l’UE qui souhaitent l’utiliser”.
Par ailleurs, il faudra également veiller à encadrer les types de données qui seront transmises aux entreprises ou organismes publics et autres administrations qui proposeront l’identification via l’identité numérique européenne. Sur ce point, la Commission indique qu’il est nécessaire que l’utilisateur de ce moyen d’identification conserve une “maîtrise” sur ses données, cela passant notamment par la possibilité pour l’utilisateur de sélectionner les documents et informations auxquels les tiers pourront avoir accès et par la traçabilité du partage de ces informations. Au fond, une vigilance toute particulière devra être portée sur le respect par les dispositifs issus du projet des principes fondamentaux de la protection des données à caractère personnel, tels que définis par le RGPD; seront particulièrement visées la transparence, la minimisation des données, et la sécurité.
En définitive, le projet d’instaurer une identité numérique européenne, concrétisé par la proposition de règlement de la Commission est encore un projet : si étudier plus avant ladite proposition présente un intérêt certain, il ne faut pas oublier que de nombreux éléments et détails techniques feront l’objet de débats ou de lobbying, de sorte que le règlement qui entrera en application d’ici quelques années sera probablement très différent.
L’idée à l’origine du projet et les objectifs de l’identité numérique européenne ne devrait cependant pas être bouleversés : il s’agira toujours de mettre en place des portefeuilles numériques permettant notamment de “demander et d’obtenir, de stocker, de sélectionner, de combiner et de partager en toute sécurité, d’une manière qui soit transparente pour l’utilisateur et traçable par ce dernier, les données légales nécessaires d’identification personnelle et l’attestation électronique d’attributs pour s’authentifier en ligne et hors ligne en vue d’utiliser des services publics et privés en ligne” (article 6 bis de la proposition de règlement précitée).
Il faudra donc être patient, mais un nouvel outil permettant l’identification en ligne arrivera prochainement sous la forme de cette identité numérique européenne, découlant d’un règlement européen qui posera certainement de nombreuses questions et ne manquera pas de provoquer le débat, notamment autour de la question de la protection des données personnelles.