10106/22  du 01/07/2022

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 13/07/2022


JUSTICE ET AFFAIRES INTÉRIEURES

Proposition de règlement du Parlement européen et du Conseil modifiant le règlement (UE) n 910/2014 en ce qui concerne l'établissement d'un cadre européen relatif à une identité numérique

COM (2021) 281 final - textes E15907

(Procédure écrite du 26 juillet 2022)

La proposition de règlement COM(2021) 281 final vise à établir un cadre européen pour une identité numérique, afin de rendre accessibles à tous les citoyens et à toutes les entreprises européens des solutions d'identité numérique hautement sécurisées, permettant le partage ciblé de données d'identité, et utilisables dans toute l'Union.

À cette fin, elle modifie le règlement dit « eIDAS » de 20141(*). Ce dernier encourageait les États membres à mettre en place des solutions d'identification numérique notifiées à la Commission européenne et créait un cadre d'interopérabilité permettant la reconnaissance mutuelle par les États membres de ces solutions d'identification numérique.

Le règlement de 2014 n'a pas atteint ses objectifs, seuls 19 États2(*) ayant, en 2021, notifié au moins un schéma d'identification électronique3(*), et les lacunes techniques d'interopérabilité limitant, dans les faits, l'accès transfrontière à ces systèmes.

Parallèlement, depuis 2014, de nombreuses solutions d'identité numérique ont été développées par des acteurs privés, illustrant l'intrusion de ces derniers - notamment des GAFAM - dans ce domaine régalien. Or la numérisation croissante de l'accès aux services commerciaux, mais aussi aux services publics, nécessite la mise en oeuvre de moyens d'identification et d'authentification fiables. Ces derniers doivent en outre être adaptés aux nouveaux besoins, par exemple le partage ciblé des attributs pertinents pour pouvoir accéder à un service donné, à l'exclusion des données d'identité principales.

À cette fin, la proposition de règlement prévoit la délivrance, dans chaque État membre, d'un portefeuille européen d'identité numérique, au titre d'un schéma d'identification électronique notifié, conçu selon des normes techniques communes, et ayant fait l'objet d'une évaluation de la conformité et d'une certification au sein du cadre européen de cybersécurité. Son utilisation par les citoyens serait gratuite.

La proposition de règlement prévoit ainsi l'obligation pour tous les États membres de fournir un portefeuille européen d'identité numérique dans un délai de 12 mois à compter de l'entrée en vigueur du texte, dans le cadre d'un schéma d'identification électronique notifié répondant à un niveau de garantie élevé, la Commission ayant précisé que les moyens d'identification électronique déjà développés par les États membres pourraient intégrer le portefeuille, dans la mesure où ils seraient conformes aux spécifications de ce dernier.

De nouveaux attributs électroniques seront inclus, tels que la composition de la famille, les certificats médicaux, les qualifications professionnelles, les autres permis et les données de paiement, afin de pouvoir garantir la reconnaissance juridique paneuropéenne de ces justificatifs sous forme électronique. Le portefeuille doit permettre aux utilisateurs de limiter le partage des données d'identité à ce qui est strictement nécessaire à la fourniture d'un service.

Alors que le règlement de 2014 ne pose d'obligations que pour les États, l'actuelle proposition fait également obligation à certains acteurs privés comme les très grandes plateformes en ligne au sens du Digital Services Act (DSA), ou d'autres fournisseurs de services en ligne pour lesquels une identification forte est requise par le droit national ou européen, dans certains secteurs comme la banque ou la santé, d'accepter l'utilisation transfrontière des portefeuilles. Le secteur public serait également tenu d'accepter les moyens d'identification de ce portefeuille.

Les portefeuilles nationaux devront répondre à une architecture technique et opérationnelle commune, déterminée par des actes d'exécution de la Commission. Cette dernière a d'ores et déjà présenté une recommandation visant à travailler au niveau technique sur la mise en place d'un cadre commun, travaillée dans le cadre du groupe d'experts eIDAS.

En outre, la proposition ajoute trois nouveaux services de confiance (services d'archivage électronique, registres électroniques, gestion des dispositifs de certification de signatures et de cachets électroniques à distance), et renforce la fiabilité des certificats qualifiés d'authentification de sites internet. Plus particulièrement, le nouveau service de confiance qualifié pour la gestion des dispositifs de création de signatures et de cachets électroniques à distance doit permettre de sécuriser les situations dans lesquelles l'identification est requise par la loi (santé, lutte contre le blanchiment, procédure judiciaire etc.).

La proposition de règlement est en ligne avec l'objectif de la Commission européenne de 80 % d'utilisateurs d'une solution d'identification électronique en Europe d'ici 20304(*). Visant à approfondir le marché unique numérique et à accélérer la transition numérique, en augmentant le niveau de confiance dans l'usage des services numériques, elle est aussi, pour la Commission, un enjeu de souveraineté, dans la mesure où les solutions d'identification électronique privées sont majoritairement développées par des acteurs extra-européens, sans garanties suffisantes de respect de la législation européenne, notamment en matière de cybersécurité et de protection des données à caractère personnel.

Compte tenu de ces éléments, la commission a décidé de ne pas intervenir plus avant sur ces textes.


* (1) 1 Règlement (UE) n° 910/2014 du Parlement et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

* (2) 2 18 Etats membres de l'Union et la Norvège.

* (3) 3 La France a notifié en février 2021 la solution « FranceConnect+ /The Digital Identity La Poste ».

* (4) 4 Objectif fixé dans le cadre du programme d'action numérique de l'Union à l'horizon 2030, COM(2021) 574 final.