Services d‘identification électronique

Loi sur les services d‘identification électronique (objet no 18.049)
Prise de position de privatim du 4 octobre 2018

Compte tenu des effets étendus de l’e-ID, privatim prend position comme suit par rapport au projet actuel de la loi fédérale sur les services d‘identification électronique (ci-après: LSIE) :

Le numéro d’enregistrement de l’e-ID

Proposition

L’utilisation et le traitement du numéro d’enregistrement de l’e-ID doit être restreint. Le numéro d’enregistrement de l’e-ID ne doit être utilisé que pour la communication entre la Confédération et les fournisseurs de services d’identification (ci-après: IdP) ou entre les IdP.

Exposé

Le numéro d’enregistrement de l‘e-ID permet d’identifier une personne de manière univoque à travers ses transactions digitales avec toutes les institutions. Dans l’actuel projet de loi, le numéro ne change plus dès l’attribution de l’e-ID et est utilisé de façon illimitée par tous les services. Ceux-ci peuvent donc l’utiliser à d’autres fins. En définitive, on est confronté à une ID univoque, pouvant être utilisée aussi bien par les prestataires des services étatiques que privés. Si l’e-ID obtient la diffusion souhaitée, on doit admettre qu’il crée une «obligation de fait» de son utilisation dans le cadre des transactions digitales. Cela a pour conséquence de conduire à une «utilisation incontrôlée» du numéro d’enregistrement de l‘e-ID avec un risque d’une interconnexion de données personnelles entre les divers systèmes (comme cela est décrit au point 1.2.6.3 du message concernant la loi sur les services d‘identification électronique par rapport à la relation existant entre le numéro d’enregistrement e-ID et le numéro d’AVS, NAVS13).

Cette réglementation est en contradiction avec des lois existantes. Ainsi la loi fédérale sur le dossier électronique du patient du 19 juin 2015 (LDEP, RS 816.1) prévoit que le numéro d’identification du patient  peut être utilisé par les communautés, les communautés de référence et les portails d’accès (art. 5 al. 1 LDEP). . Hors de  ce cadre restreint, le numéro d’identification du patient ne peut être utilisé que dans le domaine de la santé  (art. 6 al. 1 LDEP). . Le message concernant la loi sur les services d‘identification électronique indique au point 1.2.3 que l’E-Health peut être un domaine où il serait utile d’utiliser l’e-ID. Si l’e-ID peut être utilisé dans le cadre de la LDEP et que le numéro d’enregistrement e-ID y est traité sans restriction, l’effet escompté de l’identification sectorielle (numéro d’identification du patient) du DEP devient obsolète.

Le traitement systématique du numéro AVS (NAVS13) est aussi soumis à des conditions strictes de protection de ce numéro d’identification sectoriel. Dans une étude d’expert mandatée par l’Office fédéral de justice (OFJ) et le préposé fédéral à la protection des données et à la transparence (PFPDT) auprès de l’EPF de Zurich, le Prof Dr. David Basin conclut, le 27 septembre 2017, sur la base d’une analyse de risque globale, que l’aménagement continuel du numéro AVS comme identificateur de personnes universel donne lieu à des risques élevés pour les droits fondamentaux et les droits de la personnalité des citoyennes et citoyens. Ces risques ne se laissent réduire de manière substantielle que par la création d’identificateurs sectoriels (comme dans le dossier électronique du patient ou le registre du commerce) et par une interconnexion de ces identificateurs avec d’autres données personnelles qui intervient exclusivement sur la base d’un processus sécurisé.

Le postulat «Concept de sécurité pour les identifiants des personnes» (no 17.3968) demande au Conseil fédéral de montrer de quelle manière il est possible de faire face aux risques liés à l’utilisation du numéro d’assuré AVS (NAVS13) en tant qu’identifiant des personnes unique. Le Conseil fédéral propose d’accepter le postulat et précise que l’utilisation systématique qui est faite du numéro AVS a beaucoup progressé depuis son introduction en 2008. Il a chargé le Département fédéral de l’intérieur de présenter un avant-projet de modification des dispositions de la loi fédérale sur l’assurance-vieillesse et survivants relatives à l’utilisation systématique du NAVS13 par les autorités, selon des conditions clairement définies. Le Conseil fédéral cite, dans ce contexte, l’étude du Prof. Dr. Basin, indiquée ci-dessus. Aussi longtemps qu’il n’y aura pas eu de prise de position définitive sur cette question, le numéro AVS ne doit pas être utilisé.

Des numéros d’identification sectoriels compliquent l’interconnexion de données personnelles au-delà des systèmes individuels.

Droits et obligations des exploitants d’un service utilisateur les données d’identification personnelle e-ID

Proposition

Les droits et obligations ainsi que les conditions pour les exploitants d’un service utilisateur des données d’identification personnelle e-ID doivent être concrétisés (art. 20 ss LSIE), notamment pour ce qui est des informations qu’ils traitent dans le cadre de la loi. Dans ce contexte, il convient en particulier de régler de manière plus claire les questions de l’évitement de données, du blocage de l’e-ID, de la destruction et du transfert d’informations, du lieu de sauvegarde et du Subcontracting.  En outre, il faut définir de façon plus claire les standards minimaux du niveau de sécurité et les mesures techniques ou organisationnelles à prendre.

Exposé

La LSIE règle les exigences, les obligations ainsi que la surveillance et le contrôle des IdP. En revanche, le projet de loi ne règle pas de manière suffisante la responsabilité pour garantir une sécurité adéquate. Cela vaut surtout pour le traitement des informations relevant de l’e-ID par les exploitants d’un service utilisateur des données d’identification personnelle. Cet aspect est délégué aux IdP (art. 20 LSIE). Dès lors, la sécurité pour les informations (données personnelles) durant le processus de traitement n’est pas garantie, aussi longtemps que cette lacune subsiste.

Prise de position en PDF

Articles similaires

Comment concevoir des por... Dans l’administration numérisée, les portails web font l’interface entre l’administration et les citoyens. Les technologies actuelles permettent de mettre à disposition et d’utiliser ces services 24 heures
Pourquoi le vol de donné... Les données de 800 000 clients, dont leurs nom, date de naissance et numéro de téléphone mobile, ont été volées chez un partenaire de l’opérateur. Ces informations pourraient
Avant-projet de la LPD Une occasion de renforcer la protection des données privatim salue l’avant-projet (AP) de la révision totale de la loi fédérale sur la protection des données (LPD). Il
La sphère privée des cr... La protection de la sphère privée est un droit fondamental dont le respect concerne toutes les personnes en Suisse y compris les requérants d’asile. Un nouveau avant-projet de
Passeports et documents d... Prise de position sur l’arrêté sur les passeports et les documents d’identité biométriques Le projet ne contiendra pas d’interdiction d’utiliser les données du Système d’informa-tion relatif aux
Plus que jamais: attentio... Tant en Suisse qu’en Europe, les Etats rappellent les conditions dans lesquelles les données personnelles peuvent être collectées, utilisées et stockées. En cette période de pandémie, c’est
Journée de la protection... À l’occasion d’une présentation aux médias, les autorités de protection des données de la Confédération et des cantons ont abordé les défis communs qui les attendent en
digma 2017.1 Articles parus dans la revue «Digma: Zeitschrift für Datenrecht und Informationssicherheit», No.1/2017 Dossier sur la réforme de la loi sur la protection des données. «Souveräner Datenschutz ist notwendig» Die
Données personnelles : l... Un sondage réalisé par l’institut CSA montre que, contrairement aux idées reçues, les plus jeunes sont au moins aussi inquiets sur ce point que leurs aînés. Le
L’utilisation du numér... Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de l’ETH de Zurich montre que les