Le contrôleur de la protection des données de l’Union européenne a réuni des experts de l’identité numérique et des portefeuilles numériques pour évaluer la situation actuelle des plans d’identité numérique de l’UE, les possibilités futures, ainsi que des comparaisons avec d’autres systèmes et des problèmes déjà évidents.
Internet Privacy Engineering Network (IPEN) L’atelier sur l’identité numérique a décrit son objectif comme « comprendre les défis et identifier l’état de l’art des options disponibles pour des solutions conformes et améliorant la confidentialité ».
Thomas Lohninger, vice-président du groupe de coordination des droits numériques European Digital Rights (EDRi) et directeur exécutif de l’ONG de droits numériques Epicentre.Works à Vienne, a décrit les principaux problèmes de confidentialité que le projet européen implique, et en particulier les réformes en cours aux plans, dans sa présentation intitulée « Orwell’s Wallet : Missing Privacy Safeguards in the EU Digital Identity System ».
« Le règlement eIDAS de 2014 était en fait en avance sur son temps car il a inscrit dans la loi le principe de respect de la vie privée dès la conception pour le cadre d’interopérabilité à l’article 12, paragraphe 3.c. Malheureusement, ce principe a été supprimé par la Commission dans la réforme que nous examinons actuellement », a commencé Lohninger.
L’ampleur du programme n’est pas encore totalement claire, car tous les attributs ne sont pas encore connus, mais il devrait couvrir la plupart des aspects de la vie et les organisations et entreprises avec lesquelles les gens interagissent. Les laissez-passer COVID seront intégrés, indiquant la portée potentielle des cas d’utilisation compte tenu de la obligation de présenter les laissez-passer dans les lieux publics visités. D’ici 2030, la Commission vise une pénétration de 80 % dans l’UE pour son système d’identification, rappelle Lohninger.
L’implication de l’ampleur du projet est que le coût d’identification ou d’authentification d’une personne tombera à zéro et que le facteur de coût empêchant actuellement la nécessité de s’identifier à l’heure actuelle disparaîtra, déclare Lohninger.
L’omniprésence de la technologie menacera « l’inobservabilité » de la vie : « Si les transactions sont observables, nous parlons d’une abondance de données sur le comportement des utilisateurs que nous n’avons jamais vues auparavant. »
Sur le plan architectural, pour que le système mérite la confiance des utilisateurs, le schéma doit être « inobservable par conception ».
« Il doit être techniquement impossible pour tout émetteur ou fournisseur d’attributs d’observer comment le portefeuille est utilisé. Seul un tel système serait admissible, à mon avis, pour les garanties élevées de protection des données que Europe< /a> devrait signifier », déclare Lohninger, ajoutant que le Parlement européen est intervenu pour garantir que le système de laissez-passer COVID était conçu pour être inobservable.
Lohninger décrit les identifiants uniques à vie (article 11a) prévus comme « scandaleux » et comme des « super cookies ». Ce serait également illégal aux Pays-Bas et en Autriche et anticonstitutionnel en Allemagne. Il espère que cette partie sera abandonnée, tandis que la pseudonymisation sera encore renforcée pour permettre des achats anonymes et des commentaires sur les réseaux sociaux.
« Le problème sous-jacent de l’ensemble de la réforme est que nous avons une seule technologie qui tente d’encapsuler de nombreux cas d’utilisation différents », dit-il, acceptant la nécessité de s’identifier pour les services gouvernementaux, mais s’interroge sur la nécessité lorsqu’il s’agit de vérifier dans les hôtels, acheter du tabac, s’abonner au journal.
Lohninger met en garde contre un changement juridique dans les cas de fraude où les individus devront être en mesure de prouver qu’ils ne contrôlaient pas leur smartphone si des contrats sont frauduleusement mais cryptographiquement signés par eux lors d’un piratage ou d’un vol d’identité.
À mesure que le coût d’identification des individus diminue, le risque de « suridentification » augmente, déclare Lohninger. Rien n’empêcherait une partie utilisatrice de demander des quantités d’informations, par exemple pour un enregistrement tardif à l’hôtel.
« Nous devrions limiter les cas d’utilisation du portefeuille dans le secteur privé aux exigences légales de connaissance de votre client », ou rendre disponibles des pseudonymes ou une divulgation sélective, recommande Lohninger.
À mesure que de plus en plus d’applications numériques de vérification de l’âge émergent, il pourrait y avoir une suridentification particulièrement élevée des jeunes et des adolescents.
L’identité numérique de l’UE peut être positionnée comme donnant aux utilisateurs le contrôle de leurs données, mais Lohninger souligne que ce contrôle peut être illusoire, comme avec les demandes d’autorisation de cookies. Il déclare que l’une des rares choses que Google peut savoir sur une personne est son nom légal, mais avec les systèmes d’identification de l’UE et de préférences publicitaires, l’UE peut confier la dernière pièce du puzzle à Google ou à d’autres.
Lohninger est optimiste quant à l’émergence d’un bon cadre juridique pour eIDAS, mais s’inquiète du groupe de travail d’experts du Conseil. Il prétend qu’il est plein de représentants du gouvernement, tous confrontés à la pression des fournisseurs de leur pays. Il considère que le groupe divulgue des informations, mais uniquement en direction du secteur privé plutôt que de transmettre des détails aux universités ou à la société civile.
« C’est essentiellement un moyen pour Thales et d’autres grands fournisseurs d’influencer les négociations et les discussions au sein du Conseil et je suis désolé de dire que ce que nous avons vu jusqu’à présent est également très incohérent et nous ne sommes pas convaincus que cela soit réellement conduit à un cadre d’architecture de référence significatif », déclare Lohninger, avant de finalement critiquer le fait qu’il n’y a qu’un quart (Q4 2022) consacré à l’évaluation du portefeuille numérique dans la chronologie de l’UE.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
