504 experts en cybersécurité, chercheurs et associations citoyennes de 36 pays lancent un avertissement sur le projet d’identité numérique de l’UE dans une lettre ouverte[1].
Ils attirent l'attention du Parlement européen et du public sur les risques accrus de surveillance et de failles de sécurité qui pourraient nuire à l'objectif de sécurité et de confidentialité que la commission prétend poursuivre. En outre, cette réforme offrirait aux autorités une opportunité inédite de contrôle des citoyens.
BAM! passe au crible les dangers du projet eIDAS2.
Surveillance
L’Article 45, qui revêt un aspect particulièrement préoccupant, exige que les navigateurs reconnaissent tous les certificats racines fournis par les États membres de l'UE et les pays tiers approuvés. Le contrôle des certificats racines par les gouvernements pourrait permettre à ces derniers d'intercepter ou de manipuler les communications sécurisées.
Un "certificat racine" est le certificat au sommet d'une hiérarchie de certificats utilisée pour la validation de certificats numériques dans le cadre de la cryptographie à clé publique, qui est la fondation de la plupart des protocoles de sécurité sur Internet, comme le SSL/TLS pour les sites web sécurisés (https). |
Si le gouvernement remplaçait toutes les serrures des maisons par des serrures dont il détient le passe‑partout, il pourrait alors entrer et fouiller n'importe quelle maison à l'insu de ses occupants.
Abandon du principe de neutralité
En envisageant de transférer la gestion des certificats aux autorités gouvernementales, la proposition risque de rompre le principe de neutralité d’internet. Cette évolution majeure pourrait altérer l'équilibre et l'indépendance dans la validation des sites Web et des services numériques, créant des disparités dans le traitement des données. Ce changement suscite des inquiétudes sur la capacité à maintenir une gestion impartiale et sécurisée des certificats, en privilégiant les intérêts des autorités et des grandes entreprises au détriment des droits et des intérêts des citoyens.
Failles de sécurité
La proposition limite également les vérifications de sécurité sur les certificats Web, empêchant des mesures de cybersécurité plus robustes. En outre, l'absence de contrôle indépendant sur ces certificats pourrait mener à des failles de sécurité importantes, affectant la confiance globale dans le système en ligne.
Risque de censure
Le contrôle sur la gestion des certificats numériques pourrait également conférer aux autorités le pouvoir de filtrer ou de restreindre l'accès à certains sites Web et services en ligne. Un tel contrôle pourrait permettre aux gouvernements de bloquer des contenus jugés indésirables ou de limiter la communication et l'échange d'informations, posant ainsi un sérieux risque pour la liberté d'expression et l'accès à l'information. Cette perspective soulève des inquiétudes importantes en termes de droits et de démocratie.
Compromission de la confidentialité
Le Portefeuille d'Identité Numérique Européen (EDIW) présente des risques importants pour la confidentialité. Bien qu'il soit conçu pour authentifier les utilisateurs de manière fiable, l'inclusion d'informations sensibles (identité, empreinte digitale, passeport, dossier médical, informations bancaires, historique de navigation, diplômes, casier judiciaire, …). et la création d'un écosystème d'entités publiques et privées accédant à ces données posent de sérieuses questions de confidentialité.
Une opportunité pour les GAFAM
La réforme eIDAS2 pourrait inopinément favoriser les GAFAM en facilitant leur accès aux données personnelles et en renforçant leur hégémonie sur le marché numérique. Des grosses sociétés comme Microsoft se pressent déjà au portillon pour fournir leurs services[2]. Étant donné que les codes sources de Microsoft sont majoritairement propriétaires et non ouverts (open source), il deviendrait difficile, voire impossible, de vérifier si l'entreprise s’abstient de collecter des informations confidentielles à des fins d'exploitation commerciale, telles que la revente de données, le profilage ou le ciblage marketing.
Opacité du processus législatif
La réforme de l'identité numérique eIDAS2, actuellement en discussion, est marquée par une grande opacité dans le processus législatif. Les critiques se concentrent notamment sur les négociations en trilogue[3], qui se déroulent à huis clos, excluant ainsi un débat public transparent et approfondi. Cette absence de concertation ouverte avec des experts indépendants et des organismes spécialisés, soulève des inquiétudes quant à l'intégration de leurs recommandations et de leurs mises en garde. Les experts expriment la préoccupation que, sous couvert de renforcement de la sécurité et de la confidentialité, les modifications proposées pourraient en réalité les affaiblir. Ils mettent en garde contre une démarche qui semble ignorer les implications pratiques et éthiques de telles décisions législatives, essentielles pour l'avenir numérique des citoyens européens.
Le projet semble surtout avantager les autorités gouvernementales et les grandes entreprises privées, sans accorder une attention suffisante aux droits et intérêts des citoyens. Bien que le vote sur le projet doive se dérouler en février 2024 au Parlement européen, il semble que la majorité des députés n'aient pas encore eu l'opportunité d’accéder et d'examiner les détails du projet.
Les recommandations des experts
A l’issue de leur analyse du projet eIADS2, les 504 experts indépendants proposent les recommandations suivantes:
- Transparence : Les experts insistent sur l'importance de mener les discussions législatives sur l'eIDAS2 de manière ouverte et transparente, impliquant une concertation avec des spécialistes indépendants.
- Protection de la confidentialité : Renforcer les mesures de confidentialité pour éviter le suivi et le profilage non consenti des citoyens.
- Sécurité des données : Mettre en place des normes élevées de sécurité des données pour prévenir les fuites et les abus de données.
- Neutralité et concurrence : Assurer la neutralité dans le traitement des données et empêcher les grandes entreprises technologiques d'exploiter le système en leur faveur.
- Contrôle indépendant : Introduire des contrôles indépendants pour surveiller l'application des règles et la gestion des données.
- Participation citoyenne : Faciliter l'engagement des citoyens dans le processus législatif pour refléter les préoccupations et les besoins réels du public.
Les leçons de l’Histoire
Bien que l'établissement de normes communes entre les pays de l'UE puisse présenter des avantages pour les citoyens, il est essentiel que cela ne se fasse pas au détriment de la sécurité et du respect des principes démocratiques. Plus fondamentalement, cela pose la question de la place du numérique dans nos vies et de notre possibilité de la refuser ou de s'y soustraire.
Si l’identité numérique devient le sésame indispensable dans tous les aspects de notre vie, celui‑ci offre une opportunité de contrôle qui risque d’être rapidement exploitée. On se souvient du “Certificat COVID numérique de l'UE”... Créé pour “faciliter la libre circulation” dans l’UE durant la crise du COVID, il s’est rapidement transformé en un outil de contrôle et de ségrégation de la population qui refusait la vaccination. Preuve s'il en est que les autorités n'hésitent pas à enfreindre les règles de confidentialité et les principes démocratiques quand elles le jugent nécessaire.
L'histoire nous enseigne que les citoyens ne doivent pas compter sur le bon vouloir et les bonnes intentions déclarées des dirigeants. Il est essentiel d'établir des règles et des mécanismes de contrôle des institutions pour prévenir tout abus et garantir la protection des droits et libertés fondamentaux. Si le projet d’identité numérique n’offre pas ces garanties, il n’a tout simplement pas sa place dans une démocratie.
Dans les années 30, soucieux de répartir équitablement les subventions entre les différentes confessions du pays, les Pays‑Bas avaient effectué un recensement sur l'appartenance religieuse de la population. |
Lire la lettre des experts: open letter
Marcan pour BAM!