Le Conseil de l’UE a adopté, mardi 6 décembre, sa position en vue d’entamer les négociations interinstitutionnelles avec le Parlement européen concernant le futur portefeuille d’identité numérique européen (eID), qui devra attribuer aux citoyens et entreprises de l'UE une identification sûre et fiable (EUROPE 13053/7).
« Nous sommes face à une avancée majeure dans la manière dont les gens utilisent leur identité et leurs références dans leurs contacts quotidiens avec les entités publiques et privées et dans la manière dont ils utilisent les services numériques. Tout cela en gardant fermement le contrôle de leurs données », a commenté le vice-premier ministre tchèque chargé de la numérisation, Ivan Bartoš.
Concrètement, le texte adopté par le Conseil de l’UE prévoit d’abord que les portefeuilles 'eID' soient dotés d’un niveau d’assurance 'élevé', pour s’assurer que la personne qui revendique une identité est bien sa détentrice.
Poussée par certains États membres ayant déjà mis en œuvre un portefeuille disposant d’un moyen d’assurance 'substantiel' à l’échelle nationale, une autre disposition a été introduite pour permettre aux utilisateurs d’utiliser leur moyen national d’identification numérique en conjonction avec des procédures supplémentaires afin de garantir le niveau d’assurance élevé fixé par le futur règlement.
Une partie du texte est aussi consacrée à la cybersécurité. Sur ce point, le Conseil de l'UE estime que le règlement devrait s’appuyer sur les systèmes de certification existants dans le cadre de la législation sur la cybersécurité (EUROPE 12283/7) afin de certifier la conformité des portefeuilles développés.
De ce fait, certaines dispositions de cette législation, telles que le mécanisme d'examen par les pairs entre les autorités nationales de certification de la cybersécurité, devraient s’appliquer au portefeuille numérique. Les États membres, pour leur part, devraient désigner des organismes publics et privés accrédités pour certifier le portefeuille.
Par ailleurs, la partie du texte dédiée à la notification des parties utilisatrices a également été revue. Le texte prévoit, ici, que seules les informations minimales requises soient nécessaires pour s’authentifier auprès du portefeuille. Cependant, le texte prévoit aussi des dispositions spécifiques en raison d'exigences sectorielles, telles que celles applicables au traitement de catégories particulières de données à caractère personnel.
Plusieurs dispositions ont été ajoutées pour s’assurer de la bonne articulation du texte avec d’autres règlements existants, tels que la législation sur les marchés numériques (DMA) (EUROPE 13054/14). Sur ce point, les contrôleurs d’accès ('gatekeepers') seraient notamment tenus d'assurer, gratuitement, une interopérabilité effective avec « le même système d'exploitation, le même matériel ou les mêmes caractéristiques logicielles » pour le portefeuille que ceux qui sont disponibles ou utilisés pour la fourniture de leurs propres services complémentaires.
Le texte précise également que « la délivrance, l'utilisation à des fins d'authentification et la révocation des portefeuilles devraient être gratuites pour les personnes physiques », mais que lorsque les portefeuilles sont utilisés pour l'authentification, les services qui s'appuient sur l'utilisation du portefeuille peuvent engendrer des coûts, notamment pour la délivrance des attestations électroniques des attributs du portefeuille.
Enfin, les États membres se sont aussi mis d’accord pour que la période de mise en œuvre de 24 mois du texte soit calculée à partir de l'adoption des futurs actes d’exécution. (Thomas Mangin)