Le continent européen tel qu'on le connait est un espace bien réel avec ses terres, ses mers, ses montagnes et ses peuples divers. Au sein de cet espace, et ce depuis plus d’un demi-siècle, la construction européenne avance, mettant en place des institutions, une coopération économique, la zone Euro, une libre circulation, l’espace Schengen, une collaboration industrielle, le programme Erasmus, ainsi que de nombreuses autres réalisations, grâce à un processus démocratique validé par des élections régulières.
Née pour assurer la paix sur le continent, l’Union européenne s'est constituée autour de la création d'un marché commun pour le charbon et acier puis s’est élargie à d’autres domaines, dont la politique agricole commune ou la politique de transport. Désormais, elle est en passe de créer un Marché unique numérique et un Référentiel d'identité commun pour nos espaces virtuels.
Cette transformation majeure concerne l’ensemble d’Internet, des technologies numériques : un règlement complexe décidé à Bruxelles et Strasbourg est en train de bouleverser la vie de 500 millions de citoyens de l’Union européenne. Bien que ce changement se produise à l’échelle continentale, il passe presque inaperçu, les débats sur ce sujet restent à la fois timides, entre spécialistes, ou limités aux seules frontières nationales.
En France, par exemple, le Gouvernement envisage l’adoption d’un décret visant constituer une base de données commune aux détenteurs de passeports et de cartes d'identité. Ce fichier massif a pour but de permettre l’identification systématique de toute la population grâce à la biométrie, plus précisément par la reconnaissance faciale ou à la reconnaissance d’image, à des fins policières ou administratives.
En parallèle, le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS) pilotent actuellement une application pour smartphone nommée “Alicem” qui permet à tout particulier de prouver son identité sur le web. Ce système est développé pour répondre aux normes énoncées par le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS). D’après le ministère de l'intérieur, l'application permettra d'assurer sa mission régalienne de certification d’identité dans un monde digital, désormais complémentaire au monde physique.
L’Europe d’antan
Avant de nous tourner vers notre avenir numérique, il est intéressant de revisiter le passé et d'analyser comment ont été établies l'identité des personnes physiques et par qui. Durant le Moyen Âge, et jusqu'à la révolution française, l'identification des personnes est régie principalement par les autorités religieuses. C'est dans les registres paroissiaux que sont inscrits les baptêmes, mariages et décès. L'état jacobin va par la suite instaurer un état civil centralisé, voulant mieux connaître l'ensemble de sa population pour des raisons de fiscalité, de police et afin de pouvoir lever des troupes militaires.
Au fil des décennies, sur le continent européen, l'état civil se perfectionne de plus en plus, d’abord avec l'introduction de la date et du lieu de naissance des parents dans les actes de naissance des enfants. Des registres spécifiques voient également le jour afin de recenser certaines minorités et groupes sociaux, comme les “vagabonds, mendiants et gens de voyage”, les appelés et déserteurs, les étrangers, etc. L'état colonial commence également à établir un état civil pour “les indigènes” sous son contrôle. Tout cela avant 1914.
La France, après la 2ème guerre mondiale, ajoutera également un numéro de Sécurité sociale (NIR) au registre. A la même période, Les pays poursuivant le modèle de « L’état providence », comme le Danemark, fusionnent en fait l’état civil dans une immense base de données et qui cumule les services sociaux avec les autres fonctions de l’état comme la fiscalité.
Au XIXème siècle un système de passeports émerge pour les voyages hors des frontières nationales. Ce document permet à la fois d'attester de la nationalité du voyageur et de contrôler les entrées sur le territoire et plus largement, les migrations.
Les passeports sont un élément clé de la souveraineté étatique. Au XXème siècle, les régimes totalitaires commencent à introduire les cartes d'identité liées aux registres de l'état civil. Ainsi, l’Allemagne nazi introduit en 1938 une carte obligatoire pour sa population juive. Un pratique repris par le régime de Vichy pendant l'occupation.
Aujourd'hui la carte nationale d'identité existe dans tous les pays de l'Union européenne. La détention d'une telle carte est obligatoire dans tous les pays à l'exception de l'Italie, l'Autriche, le Royaume-Uni, de la Lituanie et la France. Dans certains pays, comme l’Autriche et Estonie, les citoyens puissent s’identifier à travers de leurs smart phone s’ils ont téléchargé leur carte d'identité.
L'histoire continue. Les décisions d'aujourd'hui sont l'histoire de demain. Les données collectées et conservées par l'État, comme tout le monde devrait s’identifier, ne sont pas des banalités administratives. Surtout pas dans cette ère de l'information, où les données ont été déclarées le nouveau pétrole. C'est pourquoi nous avons besoin d’un débat, la transparence et des décisions démocratiquement légitimées, ce qui correspond à notre canon de valeurs d’aujourd'hui.
Les Meilleurs des mondes
Au plan mondial il existe deux types de surveillance principales le plus connu est basé sur l'état civil, grâce aux cartes d’identités gérées par les autorités étatiques. Ce système est en train d'être modernisé et numérisé partout, y compris dans les États en voie de développement. Le deuxième système de surveillance sur le plan global a été mis en place par les fournisseurs d'internet, opérateurs mobiles, et plateformes américaines et chinoises telles que Facebook/WhatsApp, Google, Amazon, Tencent et Alibaba. Cette industrie numérique prospère grâce à un modèle d'affaires d’exploitation commerciales des données.
Surveillance à l’européenne
En Europe, l’écosystème numérique mit en place transcende les frontières nationales et cible avant tout les citoyens non-européens. Le Système d’information Schengen (SIS II) opère un traitement de donnés grâce à une base centrale située à Strasbourg et, dans chaque État participant à l’espace Schengen, à partir des bases nationales.
Les informations concernent essentiellement des personnes étrangères recherchées par les autorités de l’État où ils sont résidants, afin de pouvoir procéder à des extraditions, ficher les personnes jugées non-admissibles dans l’espace Schengen, ou les surveiller pour des raisons spécifiques.
Par ailleurs, le Système d'information sur les visas (VIS) traite les données de chaque personne demandant un visa pour un court séjour dans un État Schengen, ou en situation de transit par cet espace. VIS utilise la biométrie, et majoritairement les empreintes digitales. Les données restent ensuite stockées indéfiniment. Elles sont accessibles aux autorités compétentes pour l'émission et refus de visas, aux ambassades, consulats, et aux postes frontières des États de l’espace Schengen. Enfin, les données (y compris les empreintes digitales) des demandeurs d'asile et immigrants illégaux se trouvant sur le territoire de l'UE sont déjà depuis plusieurs années disponibles dans la base de données EURODAC.
D'ici 2022, l'UE introduira des mécanismes additionnels à cet écosystème numérique. Par exemple, le nouveau système d'entrée / sortie (EES) permet d’enregistrer les données sur les entrées et sorties des ressortissants de États tiers dans les États membres de l'UE, données enregistrées auprès des frontières extérieures. Par ailleurs, pour aller plus loin dans le fichage des voyageurs de États tiers qui n'ont pas besoin d'un visa, l'UE a prévu d’introduire le Système européen d’information et d’autorisation concernant les voyages (ETIAS). Les voyageurs seront obligés de passer par une application en ligne avant d’entrer. Enfin, le nouveau système décentralisé européen d'information sur les casiers judiciaires des ressortissants de pays tiers (ECRIS-TCN) permettra aux autorités d'identifier les condamnations des États de l'UE à l'égard de ressortissants d’États tiers.
Agrandissement : Illustration 1
Cet écosystème sophistiqué est basé sur des données biométriques, permettant l’identification unique de chaque personne. Bien qu'il se concentre à l'heure actuelle principalement sur les citoyens non européens, ce système peut facilement être élargi pour inclure également tous les citoyens européens, étant donné que les autorités ont déjà stocké leurs données biométriques. Autre que la biométrie, l'adoption d'un règlement sur l’interopérabilité est l'innovation majeure de ces dernières années. Les systèmes biométriques existants seront partiellement fusionnés et interrogés via un masque de recherche uniforme. Toutes les données biométriques existantes se retrouveront donc dans un "référentiel d'identités communes". Cette interopérabilité prévoit, dans une étape ultérieure, de connecter également d'autres bases de données de chaque pays membre. L’Union Européenne évolue de la collecte de données à la connexion de ces données, grâce au système sTESTA, ou réseau privé de l’Union, isolé d'Internet, qui permet aux fonctionnaires de différentes administrations de communiquer au niveau transeuropéen de manière sûre et rapide. sTESTA est un réseau privé de réseaux.
De plus, dans le cadre de sécurité intérieure, les institutions de l'UE sont parvenues à un accord sur le renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des titres de séjour délivrés aux étrangers vivant dans un État membre. En vertu des nouvelles règles, les cartes d'identité devront inclure une photo et deux empreintes digitales du titulaire de la carte, stockées numériquement, sur une puce sans contact. Ce processus n’exige pas obligatoirement le stockage de ces empreintes dans une base de données.
Surveillance à la Silicon Valley
Le deuxième type de système de surveillance au plan mondial est privé. Mis en place durant les dernières années par l'industrie numérique elle-même : les fournisseurs d'internet, opérateurs mobiles, et plateformes américaines et chinoises telles que Facebook/WhatsApp, Google, Amazon, WeChat, et Alibaba collectent et stockent nos données personnelles, nos habitudes, nos amis, là où nous sommes nos achats, etc., etc. Cette industrie numérique prospère car elle est capable de collecter, stocker, et profiler toute personne qui utilise son téléphone ou son ordinateur. Et l’arrivée de la technologie G5 est susceptible de permettre la fourniture de données additionnelles, en lien avec nos voitures et nos intérieurs connectés et intelligents. La recette est simple : extraire les données personnelles et vendre aux annonceurs des prédictions sur le comportement des utilisateurs. Mais, pour que les profits croissent, le pronostic doit se changer en certitude. Pour cela, il ne suffit plus de prévoir : il s’agit désormais de modifier à grande échelle le comportement humain comme nous l'avons vu dans le cas de Cambridge Analytica ou de PokemonGo.
Le plan de Facebook visant à émettre de l'argent virtuel (« Libra ») va encore plus loin en lui permettant de fusionner sa cote de crédit avec les données des réseaux sociaux. L'utopie de Facebook est déjà une réalité en Chine : WeChat est la plus grande plateforme au monde combinant médias sociaux, marché, paiements et l’identité. La Chine nous donne également l’exemple de la manière dont les deux types peuvent être harmonisés : D’un côté la surveillance de l’État, de l’autre le capitalisme de surveillance.
Le carrefour de l’identité numérique
Il existe un carrefour, où les systèmes de surveillance se croisent, le système traditionnel avec ses documents de base comme une carte d'identité émis par l'état et les traces numérique sur la toile: l’identité numérique.
Porter un téléphone portable ans sa poche et se balader dans les rues, même sans l’utiliser, laisse des traces numériques avec les antennes-relais. Cela est encore plus probant lors de l’utilisation d’internet. La technologie est capable d’identifier toute personne, même lorsqu’elle se pense en sécurité grâce à son anonymat, il est possible de repérer où elle se trouve, d’enregistrer ses habitudes, et de faire le lien avec son entourage.
Parfois on est obligé de prouver qu’on a le droit d'accéder à un site, par exemple à un compte bancaire, sur les comptes en ligne de la sécu, de l’assurance maladie, de l'employeur, ou encore aux sites des autorités fiscales. La procédure d'accès à de tels sites s’appelle l'authentification. Quelque fois un mot de passe suffit. D'autres fois cela est plus compliqué et nécessite des applications spécifiques. C’est l’authentification qui garantit la fiabilité de l’identité numérique d’une personne.
L'identité numérique est la représentation numérique d’une entité réelle. Elle peut appartenir à une personne physique, mais aussi à un robot d'usine, un serveur dans un centre des données, etc. L’identité numérique désigne ainsi l'ensemble de nos droits et traces numériques personnelles en ligne, ainsi que les transactions de nos compteurs électriques, voitures autonomes, gadgets et appareils ménagers intelligents, qui nous sont directement reliés.
Les États membres de l’UE se sont mis d’accord pour mettre en place des Services de confiance pour les transactions électroniques dans chaque état membre. Chaque citoyen doit s'y inscrire afin que ce service puisse effectuer une authentification. Il a également été décidé que la biométrie ferait partie de la technologie standard pour justifier d’une “authentification élevée”.
Les États se sont mis en ordre de marche pour faire appliquer ce règlement. La France, au vu de ses traditions jacobines, a fait de l`application Alicem, mentionné ci-dessus, la préfiguration d’un service étatique d’identité numérique très large. Il n'est pas encore clair si d'autres Services de confiance sont prévus.
En Belgique la Carte d’identité électronique (eID) est la preuve de l’inscription au registre national des personnes physiques. L’eID permet de s’authentifier pour prouver son identité et de signer de manière électronique en tant que personne majeure. En parallèle à ce système étatique, il existe le système belge d'identification mobile nommé itsme®, qui offre la commodité d’un processus unique d’enregistrement, de connexion et de signature pour de nombreux services privés en ligne. Itsme® a été lancée par quatre grandes banques et trois des plus grands opérateurs de télécommunications du pays. Aujourd'hui, les utilisateurs effectuent des transactions bancaires et commerciaux, et ainsi des transactions avec les institutions étatiques à travers de cette application.
En Suisse, le parlement vient de décider que la Carte d’identité électronique (eID) sera émise par un consortium des banques, assurances, et par un des plus grands opérateurs mobile du pays, Swisscom. Suite à cette décision, des associations de la société civile viennent de lancer un « référendum contre la privatisation de la carte d'identité électronique ».
La technologie blockchain en embuscade
Dans le domaine des nouvelles technologies, la recherche se dirige aussi vers une « identité auto-souveraine » en utilisant la technologie blockchain (et d’autres technologies distribuées) pour gérer l’identité numérique des personnes de manière décentralisée. L’idée est de créer de nouveaux types d’identités numériques, conçues pour améliorer la vie privée, la sécurité et le contrôle individuel. Les avocats de cette technologie veulent dépasser la contradiction entre la protection des libertés individuelles d’une part et un état trop intrusif de l’autre.
En effet, la technologie blockchain a été utilisé pour créer les crypto-monnaies comme le Bitcoin qui n’est pas reconnus par la Banque central européenne basée à Francfort. Il existe donc deux approches différentes pour créer des identités numériques avec la technologie blockchain: individuellement ou sous la supervision de l’État. Comme il est peu probable que les États européens acceptent une telle « crypto-identité » on estime que cette technologie devrait – au minima- se révéler utile pour aider les citoyens à gérer les données liées à leur identité.
En Allemagne, la récente « stratégie blockchain » du gouvernement fédéral soutient la recherche de systèmes innovants dans le domaine de l’identité numérique, qui permettraient de ne pas confier à l'État seule la gestion et la conservation d'un registre numérique complet des citoyens. Des expérimentations sur des systèmes décentralisés d’identification et certification sont ainsi prévues avec le secteur privé.
Un débat continental s’impose
Sauf pour les nerds spécialistes de la technologie numérique, cet article peut causer un mal de crâne vertigineux. Pourtant, il incite tout le monde sur ce continent à participer à une réflexion qui s’impose.
La mise en œuvre actuelle du règlement pour un Marché unique numérique et un Référentiel d'identité commun intervient en ce moment dans les couloirs des bâtiments administratifs de Bruxelles et Strasbourg sans débat publique, sans bruit, et en absence quasi-totale d’implication de la société civile européenne. L’élément clé de cette architecture règlementaire future est l'identité numérique qui désigne l'ensemble de nos droits et traces en ligne : c’est notre identité, l’identité de chaque citoyen européen. Il est temps pour les acteurs de la société civile de l’UE de faire un effort majeur pour se consulter, se réunir, et ainsi de s'assurer une place à la table des négociations, pour participer aux choix cruciaux qui nous attendent. Ce ne sont ni un Marché unique numérique, ni un Référentiel d'identité commun qui sont les priorités des citoyens, mais une société de l’information inclusive et règlementée à l’instar de nos valeurs. Notre vie dans une société ouverte et digne a besoin d’un cadre légal qui ne nous limite pas au rôle de consommateurs (si on est européen) ou de surveillés (si on porte un passeport étranger) mais qui nous traite bel et bien comme citoyens libres et responsables.