Début décembre, les Etats membres se sont entendus sur une position commune pour un accord sur l'identité numérique européenne lors de la réunion du Conseil "Télécommunications".
Qu'est-ce que l'identité numérique européenne ?
Il s'agirait d'établir un portefeuille numérique commun dans l'ensemble des Etats membres. Cela permettrait donc de pouvoir identifier, authentifier ou encore vérifier des données telles que l'âge, des documents officiels, dans n'importe quel Etat membre, unifiant de facto un peu plus le marché unique.
Ainsi, chaque citoyen européen disposerait d'un identifiant unique, et aurait accès à ses données via une application mobile.
L'objectif de l'Union européenne par ce règlement serait de concurrencer les systèmes établis par Amazon, Google ou encore Facebook qui rassemblent les informations de tout un chacun.
Que contient ce texte ?
- Pour la correspondance des données (record match), le pistage des individus est problématique dans certaines constitutions, notamment en Allemagne. Un compromis a été trouvé, l'Etat ne pouvant utiliser comme unique source d'information les documents officiels des individus. De plus, le principe de l'identifiant unique est maintenu avec un libellé afin que les Etats membres protègent les données personnelles et empêchent le profilage ;
- Pour le niveau de garantie et éviter toute usurpation d'identité, un des enjeux est que certains Etats comme la France, possèdent déjà de tel portefeuille et ne peuvent s'aligner sur des exigences plus strictes. De nombreux Etats membres étant en faveur d'un niveau de sécurité élevé, il a été conclu qu'il serait possible de se mettre à niveau pour les utilisateurs de portefeuilles nationaux ayant un niveau de sécurité inférieur ;
- Pour les parties utilisatrices, une question critique se trouvait sur le fait que les personnes ou organisations utilisant l'identité numérique aient à communiquer aux Etats membres les informations sur leur utilisation. Le texte laisse le soin aux autorités nationales de décider si cette notification devra être obligatoire ou non. Il est également prévu dans le compromis de mettre en place un régime spécifique selon le secteur concerné comme par exemple les données de santé ;
- Pour la certification, l'Agence de l'UE pour la cybersécurité (ENISA) sera en charge d'établir un système de certification sur la cybersécurité de l'UE (Cybersecurity Act), avec un angle spécifique pour le portefeuille numérique. Les Etats membres auront à désigner des organismes publics ou privés afin de certifier ces portefeuilles. Les autorités nationales chargées de la cybersécurité pourront également procéder à une vérification réciproque des portefeuilles ;
- Afin d'assurer la sécurité de ces portefeuilles, les documents officiels seront chiffrés et stockés grâce aux nouvelles technologies, notamment la puce Secure Element empêchant tout accès non autorisé aux données sensibles. Néanmoins, tous les smartphones n'en sont pas équipés pour le moment et une mesure de transition a été incluse afin de stocker ces données en dehors du téléphone ;
- Selon la loi sur les marchés numériques (DMA), il sera également nécessaire de considérer l'interopérabilité et la comptabilité avec les produits et services concurrents ;
Et maintenant ?
La Commission européenne a désormais deux ans, avant l'expiration du délai, pour adopter des actes d'exécution sur les spécificités techniques et opérationnelles, ainsi qu'aux exigences de cybersécurité à respecter dans les 6 mois suivant l'entrée en vigueur du règlement.