Qu’est-ce que l’identité numérique en Suisse ?
Les processus commerciaux et les accords entre personnes passent de plus en plus souvent par la voie numérique. Afin de pouvoir également traiter en ligne, de manière sécurisée, des transactions plus complexes, il est nécessaire que les partenaires d’affaires et les particuliers puissent avoir confiance dans l’identité de leur interlocuteur. À cet effet, il convient de disposer d’une identité numérique (e-ID) capable d’attester clairement, comme un passeport ou une carte d’identité, de l’identité d’une personne et des données personnelles d’identification requises pour l’opération en cours (telles que prénom, nom et date de naissance, etc.).
Les cas d’utilisation suivants illustrent la manière dont SwissID soutient la numérisation des processus et simplifie l’expérience numérique des utilisateurs au quotidien :
avec SwissID, un seul mot de passe suffit à l’utilisateur pour se connecter en toute sécurité à une multitude de services en ligne
avec SwissID, l’utilisateur justifie de son identité en ligne et, si nécessaire, d’autres informations telles que son âge
avec SwissID, l’utilisateur remplit sa déclaration d’impôts, la signe et l’envoie directement à l’administration fiscale, le tout en ligne et sans rupture de support
avec SwissID, l’utilisateur conclut valablement des contrats en ligne / les signe valablement
avec SwissID, l’utilisateur communique activement ses données à des fournisseurs de services en ligne sélectionnés et les gère de manière centralisée sur un seul lieu
En créant une co-entreprise (SwissSign Group), les initiateurs réalisent l’intention du Conseil fédéral qui a récemment proposé un tel partage des tâches entre l’État et le marché, en vue du projet de loi fédérale sur les services d’identification électronique (loi e-ID). Le consortium salue explicitement la proposition du Conseil fédéral. Dans le cadre d’une concentration judicieuse de l’expertise et d’un partage des tâches entre l’État et l’économie privée, il convient désormais de créer une identité numérique commune en Suisse. Celle-ci permettra à la population de s’identifier en ligne en toute sécurité et d’échanger efficacement des attributs d’identité (données personnelles) à des fins d’identification. En partant de cette base, il deviendra possible de conclure des contrats par voie de signature électronique, de passer de manière sécurisée des commandes dans l’e-commerce, ou encore d’accéder à des fonctions de cybergouvernement. L’utilisation de l’e-ID sera gratuite pour le client final.
Efficace dans la mise en œuvre
Les associés fondateurs de la nouvelle entreprise constituent une base de promoteurs qui bénéficient d’une expérience avérée et entretiennent des relations clients avec une partie importante de la population, ce qui leur permet d’exploiter des processus de vérification existants. Ces associés sont donc en mesure de développer en Suisse un système efficace d’identification numérique. Les clients bancaires, en particulier, disposent déjà de moyens d’authentification et ont l’expérience de ces processus d’identification dans le cadre de la banque en ligne.
La Poste et les CFF seront donc très rapidement en mesure d’offrir à leurs clients et utilisateurs une identité confirmée sur la base de SwissID. Fin octobre, la Poste à lancé avec succès la phase pilote du rattachement de SwissID à son login client, avec 3000 clients. Environ 1000 clients ont migré en l’espace de dix jours. Au terme de la phase pilote débutera l’extension successive du périmètre de clients susceptibles de procéder au rattachement. Ainsi, les solutions destinées aux fournisseurs de services en ligne, par exemple dans le commerce en ligne ou le transport de personnes, devraient bientôt être suivies d’e-ID pour des applications simples de cybergouvernement ou l’accès à certains services des banques et assurances.
Facteurs de succès
Autres facteurs fondamentaux du succès de l’identité numérique : la confiance et l’acceptation. Celles-ci sont garanties, d’abord, par la surveillance étatique des émetteurs d’e-ID et de l’utilisation des données. Par ailleurs, les associés impliqués disposent d’un savoir-faire important dans le domaine du traitement et du stockage des données personnelles, en conformité avec les normes de sécurité les plus strictes.
Les fournisseurs privés offrent les identités numériques, alors que la Confédération les reconnaît, réglemente, contrôle et surveille. Ce modèle est prometteur, comme le montrent des exemples en Suède, en Norvège et au Danemark. Il permet un partage efficace des tâches entre le marché et l’État, tout en garantissant que les fournisseurs d’identité (IdP) se conforment à des exigences strictes. Ce modèle correspond largement à celui de l’UE, ce qui est particulièrement souhaitable du point de vue de l’interopérabilité internationale.
Dans l’environnement numérique, presque chaque fournisseur dispose aujourd’hui de sa propre procédure d’identification, ce qui entraîne des coûts élevés. Des moyens d’identification électronique largement acceptés et utilisables permettraient d’organiser et de gérer les processus commerciaux et administratifs sur Internet de manière nettement plus efficace.
Sûre grâce à des normes strictes
Les exigences en matière de sécurité, par exemple lors de l’établissement ou de l’utilisation d’un e-ID, peuvent varier en fonction du type d’opération commerciale. Pour cette raison, le projet de loi prévoit trois niveaux : « faible », « substantiel » et « élevé ». L’exploitant du service en ligne devra pouvoir décider lui-même du niveau de sécurité nécessaire en fonction de l’application considérée.
S’agissant des prestations électroniques des autorités (cybergouvernement), le niveau sera défini par les bases légales de l’application en cause. L’organisme de reconnaissance responsable de l’autorisation vérifie régulièrement le respect par les prestataires des processus prédéfinis et des normes techniques. Si le contrôle est positif, il peut accorder ou renouveler la reconnaissance.
SwissSign Group SA sera donc très rapidement en mesure d’offrir à ses clients et utilisateurs une identité confirmée sur la base de SwissID. Des solutions destinées aux fournisseurs de services en ligne devront suivre à brève échéance, à savoir des e-ID pour des solutions d’e-commerce, des applications simples en cybergouvernement ou des accès à des services sélectionnés de banques et de compagnies d’assurance.
Les applications d’e-ID dans les domaines de la cybersanté et de la banque en ligne sont nettement plus exigeantes, et il est probable qu’il faudra encore quelque temps avant de pouvoir disposer de solutions fiables dans ces domaines.
La délivrance d’une identité électronique pouvant être garantie par l’État devra être possible pour deux catégories de personnes : d’abord pour les Suissesses et Suisses qui disposent au moment de l’établissement de l’e-ID d’un document d’identité valable. Ensuite pour les ressortissantes et ressortissants étrangers qui, au moment de l’établissement, disposent d’un titre de séjour valable.
La nouvelle entreprise souhaite toutefois offrir des e-ID à une troisième catégorie de personnes, par exemple celles disposant d’autres permis, comme les frontaliers qui désirent passer des commandes au moyen de leur e-ID sur des sites marchands suisses.
Acceptée dans le cadre des conditions définies par l’État
Le rôle de l’État dans l’introduction et l’exploitation de l’e-ID est central. L’État ne définit pas seulement les bases légales de l’e-ID, mais il est également responsable des données d’identité et certifie et surveille l’« identity broker ». De plus, il fournit des interfaces à ses propres banques de données. Enfin, la Confédération, les cantons et les communes sont d’importants fournisseurs de prestations qui contribuent à la diffusion de l’e-ID.
Les entreprises intégrées au système n’assumeront aucune tâche étatique, mais mettront leurs systèmes d’identification et d’authentification à la disposition d’autres organismes privés et publics.
Le mécanisme respectera intégralement les exigences en matière de protection des données. Le dialogue avec le Préposé fédéral à la protection des données et à la transparence (PFPDT) a été engagé à un stade précoce. Celui-ci accorde une haute priorité à ce projet et se félicite que son administration dispose à l’avenir, grâce à SwissSign, d’un interlocuteur unique.
L’« écosystème » d’e-ID
La mise en œuvre de l’identité numérique suisse prévoit un système dans lequel un individu se procure une identité numérique personnelle (e-ID) auprès d’un « identity provider » (IdP). Il peut s’agir d’une banque, d’une autre entreprise ou d’un organisme public. En vue d’établir un e-ID, cet « identity provider » vérifie les données par rapport aux éléments d’identité disponibles dans les registres officiels. Toutefois, la personne en cause conserve en permanence la maîtrise de ses données et décide quels attributs d’identité elle souhaite communiquer. À l’aide de son identité électronique individuelle, la personne peut maintenant s’identifier de manière univoque, dans le cadre des relations numériques, auprès de tout fournisseur de prestations (« relying party »), p. ex. dans le commerce de détail, l’e-commerce ou sa commune. Ce fournisseur de prestations (« relying party ») vérifie l’identité de la personne auprès d’un « identity broker » qui assure l’interopérabilité, rendant ainsi l’e-ID disponible chez un fournisseur de prestations. La solution de broker adhérera au standard introduit par SwissID. Dans ce contexte, la simplicité et la rapidité de la vérification seront cruciales pour garantir une expérience client positive. En tant qu’organisme de reconnaissance étatique, la Confédération légitime l’« identity broker », créant ainsi la confiance dans le système.