Étude prospective sur les potentialités économiques liées à l’utilisation de la carte d’identité électronique et de la
signature électronique
Rapport fi nal: juin 2008
2
Service public fédéral Economie, P.M.E., Classes moyennes et Energie Rue du Progrès, 50
B - 1210 BRUXELLES
N° d’entreprise : 0314.595.348 http://economie.fgov.be
tél. 02 277 51 11
Pour les appels en provenance de l’étranger : tél. + 32 2 277 51 11
Editeur responsable : Lambert VERJUS
Président du Comité de direction Rue du Progrès, 50
B-1210 BRUXELLES
Dépôt légal : D/2008/2295/84
0505-08
Vous trouverez cette étude:
• http://economie.fgov.be > informations économiques > études
• Infoshop SPF Economie Rue du Progrès, 48 B-1210 Bruxelles Tél. : 02 277 55 76
ouvert tous les jours ouvrables de 9h à 17h00
• Bibliothèque Fonds Quetelet City Atrium - 2ème étage Rue du Progrès, 50 B-1210 Bruxelles Tél. : 02 277 55 55 Fax : 02 277 55 53
ouvert tous les jours ouvrables de 8h30 à 16h30 E-mail : quetelet@economie.fgov.be
La reproduction de données afi n de les utiliser dans d’autres études est autorisée à condition de mentionner clairement et précisément la source. Le contenu de cette étude reproduit l’opinion de ses auteurs et non celle du SPF Economie, P.M.E., Classes moyennes et Energie.
3 Table des matières
Management Summary 6
Introduction 7
Méthodologie 8
Sources et informations consultées 10
1 Contexte général de l’eID 11
1.1 La carte eID 11
1.2 Les fonctionnalités de la carte eID 13
1.3 Positionnement des différents SPF concernés 17
2 Contexte juridique de l’eID 19
2.1 Cadre légal de la carte d’identité électronique 19
2.2 La vie privée 20
2.2.1 Cadre légal 20
2.2.2 Traitement des données d’identification (excepté le numéro de registre national) 20 2.2.3 Accès direct aux informations du Registre national 21
2.2.4 Utilisation du numéro de registre national 21
2.3 Droits en tant que citoyen 24
2.4 Carte pour étrangers 24
2.5 Kids-ID 25
2.6 Solutions futures pour la protection de la vie privée 26
2.7 Signature électronique 27
2.7.1 Cadre et valeur juridique de la signature 27
2.7.2 Archivage et horodatage électronique 28
2.8 Vol d’identité 35
2.9 Conclusions concernant le contexte juridique de l’eID 36
3 Contexte technique de l’eID 37
3.1 Démystification de l’eID 37
3.1.1 Aspects techniques de l’eID 37
3.1.2 Aspects techniques de l’utilisation de l’eID 42
3.2 Problèmes techniques de l’eID 48
3.3 Possibilités technologiques pour la prochaine génération de cartes 51
3.4 Conclusions sur le contexte technique de l’eID 56
4 Contexte économique de l’eID 57
4.1 Cadre économique 57
4.2 L’e-commerce (ou commerce électronique) 59
4.2.1 Cadre général de l’e-commerce (ou commerce électronique) 59 4.2.2 L’e-commerce (ou commerce électronique) en Europe 61
4.2.3 Le commerce électronique en Belgique 62
4.3 Motivations de l’utilisation de l’eID par les entreprises 67 4.4 Opportunités et obstacles à l’utilisation de l’eID selon les modèles commerciaux 68
4.5 Conclusions sur le contexte économique de l’eID 75
5 Contexte psychologique de l’eID 76
5.1 Consultation des utilisateurs 76
4
5.2 Contacts avec les organisations de consommateurs 78
5.3 Enquête auprès des entrepreneurs néerlandophones 78
5.3.1 Résultats de l’enquête 79
5.3.2 Résultats des discussions avec les entrepreneurs 88
5.4 Enquête auprès des entrepreneurs francophones 90
5.4.1 Résultats de l’enquête 91
5.4.2 Conclusions sur la comparaison des enquêtes francophone et néerlandophone 100 5.5 Enquête et forum de discussion chez les adolescents (Internet) 101
5.6 Conclusions sur le contexte psychologique de l’eID 104
6 Contexte international de l’eID 107
6.1 Introduction 107
6.2 Analyse des développements relatifs à l’eID dans quelques pays 108
6.2.1 L’Estonie 109
6.2.2 L’Autriche 109
6.2.3 La Finlande 110
6.2.4 L’Italie 110
6.2.5 La Suède 110
6.2.6 L’Espagne 111
6.2.7 Le Portugal 111
6.2.8 Singapour 111
6.2.9 Les Pays-Bas 112
6.2.10 La France 112
6.2.11 L’Allemagne 113
6.2.12 Le Royaume-Uni 113
6.3 Tableau comparatif 114
7 Analyse des applications de l’eID 115
7.1 Classification des applications de l’eID 115
7.2 Analyse des applications de l’eID existantes 117
7.2.1 Composants 117
7.2.2 Applications prêtes à l’emploi 118
7.2.3 Personnalisation 129
7.3 Suggestions pour les applications eID à venir 131
7.4 Conclusions des applications eID 133
8 Études de cas 134
8.1 Étude de cas Mutualité chrétienne 135
8.2 Étude de cas Partage de voitures 136
8.3 Étude de cas Ethias 137
8.4 Étude de cas iDTV 139
8.5 Étude de cas eBay 141
8.6 Étude de cas « porte-monnaie électronique » 143
8.7 Étude de cas Espaces de discussion sécurisés avec l’eID 146
8.8 Étude de cas Certipost 148
8.9 Étude de cas Isabel 150
8.10 Étude de cas Carte REAL 152
8.11 Conclusions des études de cas 155
9 Recherche scientifique relative à l’eID 156
9.1 Recherche dans des universités et des centres de recherche 156
9.2 Recherche dans les écoles supérieures 158
9.3 Description de deux projets : adapID et eIDea 160
10 Conclusions et recommandations 165
10.1 Conclusions 165
10.2 Recommandations 171
5
Annexes 173
Annexe 1 : Terminologie 174
Annexe 2 : Sources consultées 183
Annexe 3 : Listes des personnes contactées 185
Annexe 4 : Quelques autorités de certification importantes 190
Annexe 5 : Questionnaire ateliers entrepreneurs 192
Annexe 6 : Présentation de quelques appareils mobiles 195
Annexe 7 : Fiches applications eID 196
6
Management Summary
La carte d’identité électronique (eID) a été introduite en Belgique en 2003. C’était un des développements les plus prometteurs pour la promotion et l’évolution de l’e-gouvernement et un exemple pour d’autres pays. Mais la carte n’a pas connu le succès espéré ; les applications eID n’ont été disponibles que très lentement, la population n’était pas prête à installer le lecteur et le logiciel de communication/échange, toutes sortes de problèmes au niveau de la protection de la vie privée ont émergé, au niveau technique l’infrastructure n’était pas encore mise au point et il y avait des lacunes importantes au niveau juridique.
La carte, avec ses fonctionnalités d’identification, d’authentification et de signature électronique, peut également être utilisée par l’industrie et le secteur privé. Tant les grandes entreprises que les PME et les particuliers peuvent profiter de la disponibilité de cette technologie. Il y a beaucoup de possibilités : l’automatisation des processus qui peut générer des gains de temps importants et des files d’attente beaucoup plus courtes, etc.
Il est clair qu’il y a une marge de croissance importante du nombre d’applications utilisant l’eID. On se pose la question de savoir pourquoi, à présent, il n’y a pas encore tellement d’applications.
Dans notre étude nous avons recherché les obstacles et les stimulateurs au développement de l’utilisation de la carte. Quelles étaient les raisons de nature psychologique, économique, technologique ou juridique à la base du refus de l’utilisation de cette carte? En parallèle nous avons essayé de faire un inventaire des applications existantes, et nous avons exploré les éléments clé de leur succès ou de leur échec.
Voici nos conclusions principales : un entrepreneur investira uniquement sur base d’une analyse coûts-bénéfices positive et à condition que l’environnement technique et juridique soit stable. Un projet basé sur l’eID ne peut réussir que s’il n’y a pas trop d’obstacles pour les utilisateurs finaux et si le projet optimise le processus dans sa totalité.
Nos conseils s’adressent au gouvernement et plaident pour une approche intégrée du projet eID.
Il faut mettre en place un encadrement dont un plan de communication est une partie essentielle. Ce dernier doit se focaliser sur un message positif qui met en évidence les possibilités de l’eID et de la signature électronique.
Il faut un cadre juridique clair, complet et stable, afin que les entrepreneurs et les citoyens comprennent ce qui est autorisé et ce qui ne l’est pas.
Il faut prévoir un support technique qui facilite le passage vers l’eID tant pour les entrepreneurs que pour les utilisateurs,. Un logiciel de communication/échange qui est adapté au besoins réels des entrepreneurs, un helpdesk qui est disponible au moment nécessaire, vont permettre à l’entrepreneur de se sentir soutenu dans le développement des applications.
Finalement un climat de confiance doit être créé. D’une part par la mise en place d’une campagne de communication bien réfléchie et d’autre part par la mise en évidence des initiatives positives et par la stimulation de l’utilisation de l’eID.
Une fois que les citoyens et les entrepreneurs auront expérimenté les avantages de l’utilisation de la signature électronique et/ou de l’eID, ils seront plus motivés pour utiliser la carte.
7 Introduction
En septembre 2007, le SPF Economie nous a confié la réalisation d’une étude sur les potentialités de la carte d’identité électronique.
Le titre de l’étude, « Étude prospective sur les potentialités économiques liées à l’utilisation de la carte d’identité électronique et de la signature électronique », comporte de nombreux aspects.
Ces aspects ont donné lieu à une recherche d’informations sur les éléments essentiels suivants :
x Que recouvre le concept de « carte d’identité électronique » ? Quelles en sont les fonctionnalités? Quel est le matériel nécessaire pour pouvoir utiliser efficacement la carte?
x Quel est le cadre juridique? Existe-t-il une protection suffisante de la vie privée? Une signature électronique a-t-elle la même valeur juridique qu’une signature manuscrite? Qu’est-ce que l’horodatage? Les entreprises peuvent-elles utiliser l’eID? Qu’est-ce que le vol d’identité?
x Quelles sont les caractéristiques techniques de la carte? En quoi consistent les clés? En quoi consistent les certificats? Que faut-il pour sécuriser la carte?
x Qu’est-ce que le cadre économique? En quoi consistent l’e-commerce (ou commerce électronique) et l’e-business? En matière d’utilisation de la carte, quels sont les inhibiteurs et les stimulateurs? Quels modèles commerciaux pouvons-nous distinguer?
x Qu’est-ce que le contexte psychologique? Quelle est la position des entrepreneurs par rapport à l’utilisation de la carte? Observe-t-on une différence dans le comportement des jeunes et des adultes?
x Quels sont les développements au niveau international?
x Quelles applications peut-on déjà trouver sur le marché? Comment peut-on les répertorier?
Existe-t-il des applications spécifiques méritant d’être approfondies dans des études de cas?
x Quels sont les projets pour les prochaines générations de l’eID? En quoi consistent la vision et la stratégie? Quelles sont les études menées dans les universités?
Avant de débuter l’étude proprement dite, nous avons organisé un entretien personnel avec les membres du comité de pilotage (voir en annexe). Durant cet entretien, des idées concernant l’objet de l’étude ont été échangées. Nous avons pu ainsi brosser un aperçu de la problématique grâce aux différents angles d’approche des personnes concernées.
Ces entretiens nous ont amené à poser une série de constats et à établir une liste de sujets donnant lieu à étude complémentaire.
Portée de l’étude
L’étude se limite aux potentialités de l’eID en dehors de l’e-gouvernement. Nous nous sommes intéressés au monde des entreprises mais aussi aux organisations, associations et professions libérales.
L’objectif n’est certainement pas de faire de cette étude un ouvrage de référence académique ni de dresser une liste exhaustive des applications de l’eID. C’est un instantané de la situation dans le domaine des inhibiteurs et des stimulateurs de l’utilisation de l’eID, qui vise à formuler des conseils pratiques pouvant aider à l’exploitation du potentiel de la carte par le secteur privé.
8
Méthodologie
Le contexte de notre sujet est à la fois juridique, psychologique, technologique et économique.
Compte tenu de la dualité de l’approche des différents mondes, avec d’un côté, l’imprécision et la marge d’interprétation liées au monde juridique et psychologique, et d’un autre côté, la précision et la rigueur de la technologie et de l’économie, nous avons abordé l’étude de la manière suivante :
x Informer : rassembler des faits, d’une part, et des interprétations, d’autre part
x Structurer et analyser
x Conclure
Dans une première phase, lors des premiers entretiens, il est rapidement apparu que nous avions affaire à une matière complexe suscitant beaucoup de confusion, que la question était toujours considérée d’un point de vue restreint, et que de nombreux préjugés subsistaient sur le sujet. Pour délimiter correctement la problématique, il importait de prendre en compte le point de vue et les préoccupations des diverses parties concernées. Les nuances dans les définitions et la terminologie faisaient obstacle à la communication.
Lors de la collecte des informations, nous avons consulté les différents départements des pouvoirs publics impliqués dans la réalisation de la carte eID, en organisant plusieurs interviews et entretiens individuels.
Nous avons ensuite recherché les applications existantes en dehors de l’e-gouvernement. Il s’agit d’un bon baromètre afin d’évaluer le niveau d’acceptation de la technologie eID dans l’industrie.
Nous sommes partis de la liste en ligne du Fedict publiée sur http://eid.belgium.be. À nouveau, nous avons été rapidement confrontés à des préjugés et des obstacles techniques. À la suite de contacts établis avec plusieurs projets de recherche et dans le monde académique, nous avons découvert l’importance des investissements et la perspective de résultats intéressants à court terme.
Les utilisateurs ont également été consultés. Par le biais des organisations professionnelles, nous avons eu accès à une multitude d’entreprises qui ont collaboré avec enthousiasme aux divers ateliers et enquêtes.
Grâce à des recherches documentaires, nous avons défini les termes, concepts et tendances. Nous avons également analysé le mode d’implémentation et l’évolution de l’utilisation de l’eID à l’étranger.
Dans une deuxième phase, nous avons tenté d’organiser la multitude d’informations et de définir une structure efficace pour rapprocher les différentes applications. Nous avons cherché une structure pouvant aider les entreprises à déterminer si une solution est disponible à partir de leur problématique.
Nous avons mené l’analyse en groupe. Cette analyse comporte différents aspects :
x Le contexte juridique
x Le contexte technique
x Le contexte économique
x Le contexte psychologique
Pour certaines applications, nous avons cherché une description plus détaillée. Il nous a semblé que la motivation et les alternatives à certains choix apportaient une contribution intéressante au contexte.
Nous avons en partie utilisé les ateliers et les enquêtes comme caisse de résonance et confirmation de certaines tendances se dégageant de l’analyse.
9
Dans une troisième phase, nous avons recherché des modèles dans les différents contextes afin d’établir une synthèse des recherches accomplies. Cela nous a conduit à formuler des conclusions et des recommandations.
Guide de lecture
Compte tenu de l’importance de la terminologie et des définitions, nous présentons en annexe un aperçu des termes spécifiques utilisés dans ce rapport. Il peut être important pour le lecteur (la lectrice) de conserver la signification de ces termes en regard du texte pour une interprétation correcte du contenu. Notre objectif n’est pas ici d’asseoir la définition des termes. Nous souhaitons simplement communiquer avec clarté. La signification du terme authentification et les nuances entre signature numérique et électronique revêtent le plus d’importance. Il nous faut signaler d’emblée que nous avons toujours utilisé dans cette étude l’expression « signature électronique » alors que le terme exact est « signature numérique ». Nous avons opéré ce choix pour éviter toute confusion car la législation parle toujours de signature électronique.
Eu égard à la complexité de la matière traitée, le chapitre 3 a été consacré à la démystification de la technologie. Nous voulions ainsi éviter de donner raison à ce professeur qui nous déclarait lors d’un entretien : « quand on ne comprend pas, on invente ». Nous tentons dans ce chapitre de présenter brièvement et dans un langage compréhensible les aspects techniques de l’eID.
L’analyse du contexte juridique, économique, psychologique et international nous fournit également une direction pour des analyses basées sur des faits (chapitres 2, 4, 5 et 6).
Les annexes reprennent le détail des différentes applications actuelles ayant servi de base à nos recherches. Dans le chapitre 7, nous approfondissons les caractéristiques des différents groupes d’applications et dans le chapitre 8, nous analysons quelques applications spécifiques sous la forme d’études de cas.
Dans le chapitre 9, nous présentons un aperçu des recherches scientifiques menées dans le domaine de l’eID.
Enfin, le chapitre 10 présente le résultat de cette étude, avec les conclusions et les recommandations.
Rappelons à nouveau que cette étude n’a nullement pour objectif d’être un ouvrage de référence académique ni d’établir des listes exhaustives d’applications.
10
Sources et informations consultées
Pour cette étude, nous avons consulté un large éventail de sources d’informations et interrogé de nombreux acteurs. La liste complète des institutions, organisations et entreprises contactées figure en annexe.
L’interrogation des membres du comité de pilotage est un élément déjà abordé dans l’introduction. Les résultats de ces entretiens nous permettent de délimiter la mission et de la situer dans un contexte plus vaste.
En plus du SPF Economie, nous avons aussi contacté d’autres institutions gouvernementales fédérales concernées par l’eID, à savoir le SPF Intérieur, Fedict, le SPF Sécurité Sociale et l’Agence pour la Simplification Administrative de la Chancellerie du Premier Ministre. Ils nous ont expliqué le contexte de la préparation, du planning et du lancement de l’eID ainsi que toutes les problématiques qui y sont rattachées.
Nous avons également recherché les synergies et les conflits au niveau européen. À cet effet, nous avons contacté des entreprises internationales, nous avons consulté nos collègues étrangers chez IBM et nous avons établi des contacts avec la Commission européenne.
Pour avoir un aperçu de la recherche scientifique, les principaux acteurs contactés furent les universités, les hautes écoles et autres centres de recherches en charge de l’étude concernant l’eID.
Pour connaître le point de vue des entrepreneurs, nous avons contacté l’Unizo, la FEB et un réseau wallon d’universités et d’entreprises (Infopole – Cluster ICT). C’est de cette manière que nous avons pu interroger les entreprises, à travers des enquêtes et des ateliers.
De plus, bon nombre d’autres acteurs concernés ont été interrogés, comme l’organisation de consommateurs Test-Achats et le CRIOC (Centre de Recherche et d’Information des Organisations de Consommateurs), Agoria, le VVSG, etc.
Une série de sociétés et organisations qui intègrent l’eID dans leur fonctionnement ont aussi été contactées, par exemple Ethias ou les Mutualités chrétiennes. Celles-ci ont été largement examinées dans les études de cas.
Pour conclure, un grand nombre de fabricants d’applications de l’eID ont été questionnés.
11 1 Contexte général de l’eID
1.1 La carte eID
La carte d’identité électronique est la pièce d’identité légale du Belge. A l’heure actuelle, la vieille carte en papier est encore en train d’être remplacée par la nouvelle carte électronique mais en 2009 chaque Belge âgé de douze ans et plus devrait en principe disposer d’une eID.
Comment est la carte ?
Sur la nouvelle carte d’identité électronique se trouvent les mêmes données que sur les vieilles cartes en papier ainsi que quelques données supplémentaires. Il y a toutefois beaucoup de malentendus au sujet de ce qui se trouve ou non sur la carte. Beaucoup de gens pensent que la carte comprend de l’information ‘sensible’, comme le dossier médical, le casier judiciaire, etc.
Ceci n’est toutefois pas le cas. De manière à éclaircir ce qui se trouve réellement sur la carte, nous en faisons un relevé :
Les données qui peuvent être lues à l’oeil nu sont :
x Le nom
x Les deux premiers prénoms
x La première lettre du troisième prénom
x La nationalité
x Le lieu et la date de naissance
x Le sexe
x Le lieu de délivrance de la carte
x La date de début et de fin de validité de la carte
x La dénomination et le numéro de la carte
x La photo du détenteur
x Les signatures du détenteur et du fonctionnaire communal
12
x Le numéro d’identification du Registre national
x Un hologramme qui reprend la photo du détenteur et une partie de son numéro de registre national
Les données qui peuvent être lues de manière électronique :
x Le nom
x Les deux premiers prénoms
x La première lettre du troisième prénom
x La nationalité
x Le lieu et la date de naissance
x Le sexe
x Le lieu de délivrance de la carte
x La date de début et de fin de validité de la carte
x La dénomination et le numéro de la carte
x La photo du détenteur
x Le numéro d’identification du Registre national
x Le lieu de résidence principal du détenteur
x Les clés d’authentification et de signature (clés publiques)
x Les certificats d’authentification et de signature
x La certification accréditée du prestataire de service
x L’information nécessaire à l’authentification de la carte et à la protection des données lisibles électroniquement reprises sur la carte, ainsi que les certificats qualifiés y afférents
x Les autres mentions imposées par la loi
Les données qui se trouvent sur la carte, mais qui ne peuvent pas être lues, même pas de manière électronique :
x Les clés privées
x Le code pin
Seules les autorités peuvent changer les données sur l’eID. L’eID refuse les adaptations qui ne sont pas signées par le Registre national.
Les données qui ne se trouvent pas sur la carte :
x État civil
x Composition de famille
x Historique des lieux de résidence
x Informations au sujet de la profession et de la sécurité sociale
x Informations au sujet du permis de conduire, milice, élections
x Historique des consultations du dossier
13
Ces données ne sont donc pas publiques mais peuvent bien être lues et contrôlées via l’application
« Mon dossier », qui est mis à disposition par les autorités (Fedict). Il s’agit d’une application de manière à consulter votre dossier personnel dans le Registre national. Chaque Belge peut lire ses données personnelles à l’aide de l’eID et vérifier les instances qui ont lu les données. Le but est, d’une part, de créer une certaine forme de transparence, d’autre part de donner aux gens la possibilité d’identifier les erreurs et de communiquer la correction à la commune.
Il y a seulement moyen de lire ces propres données, pas de les manipuler. Il est évident que les données des autres personnes sont inaccessibles.
En quoi consiste la carte ?
La carte en tant que support physique de données a les caractéristiques suivantes :
x Sur la carte, une puce (microprocesseur) contenant toutes les données a été insérée, de manière à en permettre une lecture électronique.
x Matériau de la carte : polycarbonates pour l’eID et PVC pour la Kids-ID. La Kids-ID est la carte d’identité électronique pour les enfants de moins de douze ans, cette carte sera traitée dans le chapitre ‘Contexte juridique de l’eID’.
x Soudure de la puce : la colle est adaptée au matériau. Dans la phase de démarrage, on utilisait un autre type de colle qui a généré des problèmes au niveau de la soudure de la puce. Surtout chez les hommes qui ont souvent leur portefeuille dans la poche arrière de leur pantalon, la puce se détachait de la carte, suite à quoi ils devaient demander une nouvelle carte.
De quoi a-t-on besoin pour utiliser la carte ?
Pour utiliser la carte de façon électronique, on a besoin des éléments suivants :
x Un lecteur de carte : une liste avec les points de vente des lecteurs de cartes est disponible sur le site web : http://www.cardreaders.be
x Le software pour installer le lecteur de carte ainsi que celui pour utiliser les applications eID (middleware), peuvent être trouvés via le site web : http://www.eid.belgium.be
1.2 Les fonctionnalités de la carte eID
L’eID a trois fonctionnalités : l’identification, l’authentification et la signature électronique. Ces fonctionnalités peuvent être expliquées à un utilisateur à l’aide de la figure ci-dessous.
14
x Identification : la présentation de l’identité, donc montrer qui on est. Ceci se fait sans utiliser le code pin.
x Authentification : c’est le processus au cours duquel on vérifie si une personne est celle qu’elle prétend d’être. En d’autres mots, l’authentification garantit l’identité des individus ou des organisations avec lesquelles on communique. Pour l’authentification, le code pin est nécessaire.
x Signature électronique : c’est la signature des formulaires de façon électronique. Le code pin est utilisé ici. Quand on signe avec l’eID, ceci a la même valeur juridique qu’une signature manuscrite.
Les fonctionnalités et leur processus sont expliqués ci-après et ultérieurement dans le rapport.
Identification
L’identification est la fonctionnalité la plus simple. On utilise l’identification pour la transmission correcte d’informations, par exemple dans un hôtel, à la réception d’une entreprise, etc.
Le processus pour s’identifier est facile et rapide. La seule chose à faire est de placer la carte dans un lecteur de carte. Toutes les données apparaissent alors automatiquement sur l’écran du PC, dans une application spécialement conçue ou non.
Authentification
L’authentification avec l’eID permet de se connecter aux sites web protégés d’une façon sécurisée.
Le principe est expliqué dans le schéma1 ci-dessous.
1 En réalité, le processus est fortement automatisé, de sorte que l’utilisateur n’a guère conscience de ces différentes étapes, tant et si bien que les étapes 5 à 8 sont parfaitement transparentes pour lui. L’utilisateur ne sera en général confronté qu’à des messages signalant si la signature est valable ou non.
Exacte, facile, rapide Haute protection
Juridiquement contraignante Signatur
e
Identificati
on Authenticati
on Par exemple
un contrat
Par exemple accès sécurisé aux sites Web (avec code pin)
(avec code pin) (sans code pin)
Exacte, facile, rapide Haute protection
Juridiquement contraignante Signatur e
Identificati
on Authentification
Par exemple
Par exemple à la réception
d’une organisation (avec code pin)
(sans code pin)
15
Source : mémoire « eID : qu’est-ce que c’est, comment ça marche et quelles sont les possibilités offertes? » (Alexander Goossens)
Signature électronique
Avec la signature électronique, on peut signer en toute sécurité des contrats électroniques, des factures, des e-mails, etc.
Comment apposer une signature électronique ?
Le principe d’apposition d’une signature électronique est expliqué dans le schéma ci-dessous.
16
Source : mémoire « eID : qu’est-ce que c’est, comment ça marche et quelles sont les possibilités offertes? » (Alexander Goossens) Comment déterminer si une signature électronique est valable ?
Le contrôle de la validité d’une signature électronique est expliqué dans le schéma ci-dessous.
Source : mémoire « eID : qu’est-ce que c’est, comment ça marche et quelles sont les possibilités offertes? » (Alexander Goossens)
17 1.3 Positionnement des différents SPF concernés
Ci-dessous nous listons les différents organismes publics qui sont directement concernés par l’eID.
Nous trouvons ceci essentiel pour comprendre la chaîne de processus complète concernant la production, la diffusion et l’utilisation de l’eID et pour examiner si l’harmonisation se fait de façon optimale.
SPF Intérieur :
x Législation autour de la reconnaissance de la carte d’identité électronique
x Administrateur du Registre national (les données)
x Éditeur de la carte ; la délivrance elle-même se fait par les communes
x Helpdesk (helpdesk.belpic@rrn.fgov.be) pour les fonctionnaires publics (communes)
x Helpdesk (02/518 21 16 /17) pour les cartes perdues/volées (citoyens)
x Éditeur de la kids-ID
x Éditeur de la carte pour étranger SPF Économie :
x Auteur de la reconnaissance (législation) de la signature électronique et tiers de confiance
x Engagement du point de vue « faire des affaires », plutôt que représentant des entreprises
x Reconnaissance des autorités de certification et de leur contrôle
x Le service de la protection des consommateurs, entre autres, au sujet du commerce électronique
Fedict :
x Soutien technique lors de la réalisation de la carte et de la signature électronique
x Développement du middleware et des applications qui utilisent l’eID et la signature électronique
x Soutien technique aux SPF pour le développement des applications qui utilisent l’eID et la signature électronique
x Propriétaire du site web www.eid.belgium.be
x Helpdesk (servicedesk@fedict.be) pour les questions techniques
Chancellerie du Premier Ministre : ASA - Agence pour la Simplification Administrative :
x Stimuler la demande unique de données
x Coordonner l’eGov, stimuler la coopération entre les SPF pour aligner les processus de backoffice
18
SPF Sécurité sociale :
x Intégration de la carte SIS et de l’eID
x Gérer la base de données des mandats pour les médecins et le personnel médical
x Est pour beaucoup d’organisations l’intermédiaire pour l’obtention d’informations du Registre national
SPF Justice :
x Réglementation de l’utilisation et de l’abus de l’eID et la signature électronique
x Le projet Phénix utilisera l’eID pour identifier les personnes et leurs mandats de manière à ce qu’elles obtiennent l’accès à l’information et aux applications accordées
A côté des SPF, l’Union européenne joue aussi un rôle important dans la création d’un cadre législatif.
Union européenne :
x Réglementation :
o Dirigeant : la réglementation doit être respectée par les États membres. La législation des différents États membres doit être conforme à cette réglementation.
o Standardisant : un nombre de dispositions auxquelles les cartes et les données doivent satisfaire de manière à ce qu’une forme minimale de conformité et de compatibilité soit présente.
o Réglementaire : une économie de marché ouverte doit être possible.
Après ce relevé des principaux acteurs participant activement à l’eID, les contextes juridique, technique, économique et psychologique de l’eID seront décrits dans les chapitres suivants.
19 2 Contexte juridique de l’eID
La carte d’identité électronique permet de prouver l’identité de manière digitale. C’est une nouvelle évolution dans notre société. Comme il s’agit ici d’identité et de vie privée, il est nécessaire que l’on observe de plus près la législation.
L’eID s’inscrit au sein d’un cadre juridique large. Il existe des règlements et des directives qui ont été adoptées au niveau européen. Au niveau fédéral aussi, des lois anciennes ont été adaptées, de nouvelles lois votées, des arrêtés royaux et ministériels promulgués et des circulaires envoyées. À côté d’un simple inventaire de la législation, il est aussi nécessaire d’examiner de plus près quelques questions juridiques. Comment cela se passe-t-il au niveau de l’usage du numéro de registre national ? Est-il possible de représenter votre entreprise avec l’eID ? Que faire de l’archivage et de l’horodatage électronique des contrats qui ont été signés électroniquement ?
Nous donnerons un aperçu du contexte juridique dans les paragraphes suivants.
2.1 Cadre légal de la carte d’identité électronique
La loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques (Moniteur belge du 28 mars 2003) prévoit le principe de la création d’une carte d’identité électronique.
Suite au projet pilote impliquant onze communes, la décision a été prise de poursuivre la mise en œuvre générale de la carte électronique, cela après une évaluation positive du Conseil des Ministres et de la commission compétente de la Chambre des Représentants, par l’arrêté royal du 1er septembre 2004 (Moniteur belge du 15 septembre 2004).
Depuis le 25 mars 2003, quelques arrêtés exécutifs ont été pris :
x Arrêté royal du 25 mars 2003 (M.B. 28 mars 2003) relatif aux cartes d’identité.
x Arrêté royal du 25 mars 2003 (M.B. 28 mars 2003) portant des mesures transitoires relatives à la carte d’identité électronique
x Arrêté ministériel du 26 mars 2003 (M.B. 28 mars 2003) déterminant le modèle du document de base en vue de la réalisation de la carte d’identité électronique
x Arrêté royal du 30 novembre 2003 (M.B. 12 décembre 2003) modifiant l’arrêté royal du 25 mars 2003 portant des mesures transitoires relatives à la carte d’identité électronique
x Arrêté royal du 5 juin 2004 (M.B. 21 juin 2004) déterminant le régime des droits de consultation et de rectification des données électroniques inscrites sur la carte d’identité et des informations reprises dans les registres de population ou au Registre national des personnes physiques
x Arrêté royal du 1er septembre 2004 (M.B. 15 septembre 2004) portant des mesures transitoires relatives à la carte d’identité électronique
x Arrêté royal du 13 février 2005 (M.B. 28 février 2005) déterminant la date d’entrée en vigueur et le régime du droit de prendre connaissance des autorités, organismes et personnes qui ont consulté ou mis à jour les informations reprises dans les registres de population ou au Registre national des personnes physiques
20
x Arrêté royal du 7 décembre 2006 (M.B. 12 janvier 2007) fixant les spécifications et la procédure d’enregistrement des appareils de lecture pour la carte d’identité électronique et modifiant l’arrêté royal du 13 février 1998 relatif aux spécifications des appareils de lecture de la carte d’identité sociale
x Arrêté royal du 18 janvier 2008 (M.B. 28 février 2008) modifiant l’arrêté royal du 25 mars 2003 portant des mesures transitoires relatives à la carte d’identité électronique
x Art. 95 de la loi programme du 15 juillet 2004
2.2 La vie privée
2.2.1 Cadre légal
En ce qui concerne la vie privée, les lois suivantes sont à prendre en considération :
x Loi du 8 août 1983 organisant un registre national des personnes physiques
x Loi du 19 juillet 1991 relative aux [registres de la population, aux cartes d’identité, aux cartes d’étranger et aux documents de séjour] et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques
x Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel
2.2.2 Traitement des données d’identification (excepté le numéro de registre national)
La loi sur la protection de la vie privée entend par ‘traitement’ : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel (Art. 1§2).
Les données personnelles ne peuvent être traitées que dans un des cas suivants :
x Lorsque la personne concernée a indubitablement donné son consentement
x Lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci
x Lorsqu’il est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance
x Lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
x Lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées
x Lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi (Art. 5)
21
2.2.3 Accès direct aux informations du Registre national
On ne peut recevoir d’information ou d’accès direct que lorsqu’il y a une autorisation du comité sectoriel. L’accès ou la communication est également possible pour certains groupes (Art. 5 Loi sur le Registre national). Ces groupes ont été énumérés dans le paragraphe intitulé ‘utilisation du numéro de registre national’.
2.2.4 Utilisation du numéro de registre national Cadre légal
Le numéro de registre national ne peut pas être utilisé par tout le monde. Son utilisation est strictement réglementée. Ainsi il ne peut être utilisé que lorsque le comité sectoriel en a donné l’autorisation à certaines personnes restrictivement énumérées par la loi sur le Registre national, (Art. 8 Loi sur le Registre national).
Les groupes qui peuvent utiliser le numéro de Registre national moyennant une autorisation par un comité sectoriel sont (Art. 5 Loi sur le Registre national) :
x Les autorités publiques belges
x Les organismes publics ou privés de droit belge pour les informations nécessaires à l’accomplissement de tâches d’intérêt général
x Les personnes physiques ou morales qui agissent en qualité de sous-traitants des autorités publiques belges
x Les notaires et les huissiers de Justice
x L’Ordre des pharmaciens
x L’Ordre des barreaux flamands et l’Ordre des barreaux francophones et germanophones
Tout le problème du numéro de registre national est qu’il ne peut pas être utilisé sans autorisation du comité sectoriel, mais qu’il se lit de manière standard sur la carte d’identité électronique. Avec l’eID actuelle, il est impossible de lire les données de manière sélective. Dès que l’eID est introduite dans le lecteur de carte, toutes les données sont lues. En outre, les certificats d’authentification et de signature électronique contiennent aussi à côté du nom le numéro de registre national. Lors de la signature électronique d’un e-mail, le numéro de registre national est aussi envoyé.
L’extrait suivant de l’article 8 de la Loi sur le Registre national mérite toute notre attention :
« L’autorisation d’utiliser le numéro d’identification du Registre national est octroyée par le comité sectoriel du Registre national visé à l’article 15, aux autorités, aux organismes et aux personnes visés à l’article 5, alinéa 1er ».
La discussion qui est menée ici, est : « qu’entend-on par le terme ‘utiliser’ ? » Ce terme est très large et susceptible d’être interprété de différentes manières :
x Dans une interview avec une personne de l’administration fédérale, il nous a été assuré qu’on ne peut utiliser le numéro de registre national qu’à condition d’avoir une autorisation du titulaire du numéro.
22
x Un autre interviewé nous disait que le numéro de registre national peut être utilisé, donc lu, stocké, sauvegardé, etc, dans une entreprise, tant que ces données restent en interne. Une base de données avec les numéros de registre national ne peut donc pas être transmise à des tiers.
x D’autres affirment que la lecture du numéro est admise, ce qui n’est pas le cas pour son stockage ni sa sauvegarde.
x D’autres affirment que le numéro de registre national peut être connecté à un numéro d’identification qui peut être utilisé en interne au sein de l’entreprise (via un hachage), mais uniquement de façon telle que le numéro de registre national ne puisse en aucune manière être retrouvé sur base du numéro d’identification interne.
x D’autres affirment encore que la lecture simple du numéro de registre national est tout simplement interdite.
Utilisation du numéro de registre national par les entrepreneurs
Beaucoup d’entrepreneurs interrogés se sont posé toutes sortes de questions concernant l’utilisation :
x Pouvons-nous faire un contrôle d’accès avec l’eID ?
x Pouvons-nous utiliser le numéro de registre national de manière à chercher des personnes dans une base de données ?
La plupart des entrepreneurs sont assez convaincus que le numéro de registre national peut être utilisé comme clé unique dans une base de données d’entreprise, en d’autres termes ils ne se soucient pas trop ou ne sont pas trop conscients des conséquences juridiques de cette situation.
Un certain nombre d’entrepreneurs (par exemple Ethias) lie le numéro de registre national à un numéro d’identification interne de telle façon que cela ne fonctionne que dans un seul sens. C’est le cas chaque fois que vous vous connectez. Le système voit le numéro de registre national, le connecte au numéro d’identification interne et ensuite l’application utilisera ce numéro d’identification interne.
Dû à la confusion relative à l’utilisation du numéro de registre national, certains entrepreneurs établissent eux-mêmes des directives, comme par exemple le stockage du numéro de registre national des visiteurs pour la période de la visite, quelques jours de plus, une semaine, ou encore un mois.
Avis de la commission de la protection de la vie privée
La Commission de la protection de la vie privée a toujours interprété de manière restrictive le droit d’utiliser le numéro du Registre national. Le motif invoqué était d’éviter la banalisation de l’utilisation du numéro de registre national. En effet, il faut éviter la jonction de banques de données personnelles qui permettrait des profilages dépassant les objectifs de chacune de ces bases de données. Les entreprises pourraient alors lier les bases de données réciproques et apprendre beaucoup d’informations concernant les citoyens.
La commission a maintenu sa jurisprudence concernant l’utilisation du numéro de registre national en s’opposant à l’utilisation par d’autres personnes que celles visées à l’article 5 de la Loi sur le Registre national, même dans le cadre d’une mission d’intérêt général.
23
Problématique d’échange de données à l’aide du numéro de registre national
Des interviews avec des entrepreneurs et des citoyens, il ressort que beaucoup de gens pensent que via l’eID, des données peuvent être retrouvées concernant leurs dossiers personnels auprès de l’administration (par exemple leur profil social, le casier judiciaire,…). Ils ne sont pas trop conscients du fait que :
x ces données ne se trouvent pas sur l’eID
x ces données ne sont pas plus facilement consultables avec l’eID qu’avec l’ancienne carte d’identité, parce que ces données ne peuvent être consultées que par des personnes autorisées, par exemple le personnel de la fonction publique, qui utilisent le numéro de registre national à cette fin, ce qui était également le cas avec l’ancienne carte d’identité
Le schéma ci-dessous peut préciser cela :
Gouvernement Public
NRN Numéro de Registre National
Registre national
NRN
Finances
NRN
Sécurité Sociale
NRN
Justice
Entreprise D Entreprise A
NRN
Contrôle
Entreprise C
NRN
Stockage et liens pas autorisés!
NRN Nom Adresse Nationalité Naissance Photo Clés
Entreprise B
NRN
Gouvernement Public
NRN Numéro de Registre National
Registre national
NRN
Finances
NRN NRN
Finances
NRN
Sécurité Sociale
NRN NRN
Sécurité Sociale
NRN
Justice
NRN NRN
Justice
Entreprise D Entreprise D
Entreprise A
NRN
Entreprise A
NRN NRN
Contrôle
Entreprise C
NRN
Entreprise C
NRN NRN
Stockage et liens pas autorisés!
NRN Nom Adresse Nationalité Naissance Photo Clés
Entreprise B
NRN
Entreprise B
NRN NRN
Les bases de données de l’Administration
x Les bases de données de l’administration qui contiennent des données uniques et qui sont souvent utilisées comme référence, sont dénommées « source authentique ». Le contenu de ces sources de données authentiques et la maintenance de ces données sont réglementés par des procédures strictes (par exemple, la déclaration de naissance pour l’enregistrement dans le Registre national, la publication dans le Moniteur pour la création d’une société en vue de son incorporation dans la banque carrefour des entreprises). Pour la précision des informations, ces sources authentiques sont utilisées comme référence par les autres institutions publiques.
x Des exemples de sources authentiques sont : le Registre national, la Banque Carrefour de la sécurité sociale et la Banque Carrefour des entreprises. L’accès aux sources authentiques est réglementé de manière sévère et tombe sous le contrôle d’un comité.
x Une informatisation poussée et une tendance à la « Meilleure Gestion Administrative », obligent l’autorité à rechercher les données du citoyen et de l’entreprise dans ses propres fichiers, afin de ne pas déranger le citoyen et l’entreprise avec des questions concernant toujours les mêmes
24
informations. Des codes uniques simplifient et accélèrent les recherches d’informations. Le numéro de registre national (NRN) est utilisé comme code unique pour identifier chaque citoyen.
Bases de données d’entreprise
x Les entreprises gardent des données qui sont nécessaires à la conduite de leurs affaires. Elles utilisent en général un numéro d’identification unique pour chaque client (ce qui n’est d’ailleurs pas toujours le cas, parfois un numéro d’identification unique est gardé par dossier, ce qui fait que plusieurs numéros d’identification s’appliquent au même client). La problématique de lier le numéro de registre national au numéro d’identification unique a déjà été décrite ci-dessus.
x Les bases de données d’entreprise ne peuvent pas stocker le numéro de registre national et ne peuvent pas échanger leurs données liées au numéro de registre national.
Conclusions concernant l’utilisation du numéro de registre national
x Nous constatons clairement qu’il existe une grande imprécision sur ce qui est permis et ce qui ne l’est pas concernant le numéro de registre national et qu’il existe des interprétations diverses qui se répandent, prennent une vie propre, indépendamment de leur véracité.
x Il y a beaucoup de confusion au sein des entrepreneurs : d’une part, l’utilisation de la carte est promue et d’autre part, ils entendent que la carte serait peut-être inutilisable, à cause de la lecture du numéro de registre national.
x Il y a une imprécision auprès de la population concernant le lien entre l’eID et l’information personnelle stockée dans les bases de données de l’administration.
2.3 Droits en tant que citoyen
En tant que citoyen, vous avez les droits suivants par rapport aux informations reprises au Registre national et sur votre carte d’identité :
x Droit d’accès : droit d’accès aux données personnelles dans la base de données et sur votre carte.
x Droit de correction : droit de corriger les informations si celles-ci sont inexactes ou incomplètes.
x Droit d’information : vous avez le droit de contrôler quelles administrations et personnes ont eu accès à vos données personnelles durant les six derniers mois, à l’exception de certaines autorités.
Toutes les opérations ci-dessus peuvent être exécutées par le citoyen via l’application « Mon Dossier » du Registre national. Ces opérations sont gratuites (Art. 6 Loi du 25 mars 2003 et AR du 5 juin 2004).
2.4 Carte pour étrangers
Jusqu’à présent une carte pour étranger était délivrée à chaque étranger de plus de 12 ans, qui avait acquis un droit ou un permis de séjour en Belgique. Il s’agissait de cartes cartonnées délivrées en différentes couleurs et qui étaient créées de façon décentralisée au niveau communal.
25
Les cartes précédentes n’adhéraient plus depuis longtemps à l’image de l’administration publique moderne et dynamique : elles étaient démodées, mal protégées et ne permettaient pas à l’étranger de s’immerger complètement dans la société électronique.
Le remplacement de ces anciens documents par des cartes électroniques, qui ont un niveau élevé de conformité avec les cartes d’identité électroniques dont disposent déjà les Belges (eID), permet de satisfaire aux besoins actuels.
La délivrance des titres de séjour électroniques doit permettre à la Belgique de se conformer au règlement (CE) n° 1030/2002 du Conseil du 13 juin 2002 établissant un modèle uniforme de titres de séjour pour les ressortissants de pays tiers. Ce règlement oblige les États membres à délivrer aux étrangers des titres de séjour qui correspondent au modèle déterminé dans le règlement qui comprend certaines mentions et une partie lisible par machine.
Un projet visant la délivrance de cartes pour étrangers a été lancé dans trois communes pilotes : Anvers, Uccle et Tubize. Le mercredi 20 décembre 2006, le ministre Patrick Dewael a délivré pour la première fois des nouveaux titres de séjour pour des étrangers hors UE lors d’une conférence de presse qui s’est tenue à la maison communale d’Uccle.
Normalement les applications eID actuelles peuvent aussi fonctionner avec les cartes pour étrangers du fait que la technologie et la structure des données sont identiques.
Les principales lois et les principaux AR relatifs à la carte pour étranger sont :
x La loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques
x La loi du 15 décembre 1980 sur l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers
x L’Arrêté royal du 8 octobre 1981 sur l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers
x L’Arrêté royal du 5 juin 2004 déterminant le régime des droits de consultation et de rectification des données électroniques inscrites sur la carte d’identité et des informations reprises dans les registres de population ou au Registre national des personnes physiques (Moniteur belge du 21 juin 2004)
2.5 Kids-ID
L’arrêté royal du 18 octobre 2006 (M.B. du 31 octobre 2006) relatif au document d’identité électronique pour les enfants de moins de 12 ans modifie l’arrêté royal du 10 décembre 1996 relatif aux pièces d’identité pour les enfants de moins de douze ans. Il vise le remplacement de l’actuel certificat d’identité en carton par un document d’identité électronique, en ce qui concerne les enfants belges.
La délivrance du document d’identité électronique pour les enfants belges de moins de 12 ans se fait à la demande de la personne ou des personnes exerçant l’autorité parentale sur l’enfant concerné. La durée de validité du document est de maximum 3 ans. Ce document permet une identification rapide de l’enfant, tant à l’intérieur qu’à l’extérieur du Royaume.
La Kids-ID est donc un document d’identité et de voyage, mais offre aussi d’autres avantages :
26
x L’identification électronique est possible dès six ans. Les données reprises sur la puce permettent d’utiliser la carte sur Internet, pour surfer et chatter de manière plus sûre, mais offre aussi d’autres possibilités d’utilisation électronique. Elle pourrait, par exemple, être utilisée à l’avenir comme carte de bibliothèque, carte de membre d’un club de sport,…
x La mention sur tout document d’un numéro de téléphone central unique (+32 (0) 78 150 350), accessible 24h/24, 7j/7, à contacter si l’enfant a un problème ou est en danger. Les parents peuvent, s’ils le souhaitent fournir une liste de numéros de téléphone à joindre en cas d’urgence.
Ces numéros de téléphones sont composés automatiquement en cascade en appelant le numéro de téléphone central. Le fait d’opter pour un numéro de téléphone central associé à un système en cascade présente plusieurs avantages :
o Plus aucune donnée personnelle d’un tiers n’est mentionnée sur le document.
o Plusieurs numéros de contact peuvent être communiqués, de telle manière qu’en l’absence de réaction au premier numéro, on puisse passer au numéro suivant jusqu’à ce qu’il y ait une réaction.
o Le système est flexible dans la mesure où un numéro de contact qui n’est plus pertinent peut être supprimé et/ou modifié.
x La meilleure sécurisation du document. Différents éléments de sécurité de l’eID ont été implémentés sur le document afin de le rendre plus difficilement falsifiable.
Sur la Kids-ID à côté du numéro de registre national, se trouve un code barres qui peut être utilisé pour scanner. Le code barres est le numéro de la carte ID. Ce numéro change si une nouvelle carte est créée (par exemple en cas de perte). Il ne s’agit donc pas d’un numéro unique par personne, comme le numéro de registre national.
Une phase pilote de distribution du document d’identité électronique pour enfants de moins de douze ans est en cours dans six communes du Royaume à savoir : Koekelberg, Ottignies-Louvain- la-Neuve, Liège, Houthalen-Helchteren, Bornem et Ostende.
2.6 Solutions futures pour la protection de la vie privée
À cause des imprécisions autour de l’usage du numéro de registre national, nous avons recherché des solutions éventuelles pour ce problème :
x Quant à la meilleure protection des données d’identité sur la carte (nom, adresse,…) :
o Une possibilité est de crypter les données lors de la lecture, de sorte que le numéro de registre national par exemple n’est en grande partie plus lisible ; les problèmes susmentionnés concernant l’utilisation du numéro de registre national seraient résolus. Ici, il faut remarquer qu’il est déjà possible de laisser lire uniquement certaines données, par l’installation d’une interface. Mais ceci n’empêche pas que les données soient toujours lues par le système lui-même dans leur intégralité, même si elles sont invisibles dans l’application. De cette façon, le stockage et l’utilisation du numéro de registre national sont toujours possibles.
o Une autre possibilité est l’utilisation des justificatifs d’identité (ceci est expliqué en détail au chapitre « Contexte technique de l’eID »). Il s’agit de certificats, émis par des tiers de confiance, qui ne peuvent pas être reliés à l’identité de la personne.
Ainsi un certificat peut être émis ; dans ce dernier, il est mentionné que la personne a plus de 18 ans par exemple, sans donner son âge.
o Une autre possibilité est d’utiliser la « technologie zero knowledge » (ceci est aussi expliqué au chapitre « Contexte technique de l’eID »). Le principe est de prouver
27
qu’un certain fait est correct, sans dévoiler le fait même. Dans ce cas, la carte ne donne pas toutes les données en une fois ; le système lui pose une question. Par exemple : si on veut contrôler l’âge des visiteurs à l’entrée d’une discothèque, seul l’âge des visiteurs sera visible ; l’adresse ou le numéro de registre national ne seront pas visibles.
x Quant au danger d’un cheval de Troie (dans le monde informatique, il s’agit d’un programme qui est installé à l’insu de son utilisateur et qui en installe un autre. Ce programme permet à des personnes malveillantes d’avoir accès au PC infecté et donc de causer préjudice aux données de l’ordinateur ou à la vie privée de son utilisateur). Un verrou doit être mis sur la carte elle- même, de façon à ce que les données ne puissent plus être lues. À l’heure actuelle, le middleware crée un verrou qui empêche une application tierce de lire les données de la carte, mais cette protection n’existe plus si vous arrêtez l’application qui fait appel au middleware. Si vous laissez la carte dans le lecteur, un cheval de Troie peut alors lire les données sur la carte.
De plus, si ce verrou existe dans le middleware du gouvernement, ce n’est peut-être pas toujours le cas dans les middleware développés par les entreprises. Pour cette raison, il semble préférable que la protection soit installée sur la carte. On peut faire en sorte que l’application, pour laquelle l’eID est utilisée, demande si la carte peut bien être lue. Une autorisation sera demandée explicitement auprès du propriétaire, le programme illicitement introduit n’aura aucun effet néfaste tant que le propriétaire laisse sa carte dans le lecteur.
x Quant aux certificats : le numéro de registre national est incorporé dans les certificats. Il y a donc un problème lors de l’apposition de la signature électronique. Fedict pense enlever le numéro du certificat mais comment alors vérifier si un certificat appartient à une personne?
D’autres pays européens ont trouvé une solution pour une telle problématique, en Autriche, par exemple (voir le chapitre « Contexte international de l’eID »).
x Quant à la législation : une autre manière de régler la question du numéro de Registre national est d’adopter une réglementation qui évite le problème. Par exemple, une loi pourrait stipuler que l’utilisation du numéro de Registre national n’est pas problématique s’il s’agit simplement d’une application qui lit le numéro, sans effectuer aucun autre traitement.
2.7 Signature électronique
2.7.1 Cadre et valeur juridique de la signature
Le cadre juridique de la signature électronique comprend les lois suivantes :
x La loi du 20 octobre 2000 introduisant l’utilisation de moyens de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire.
x La loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification.
x La loi du 19 juillet 1991 relative aux registres de la population, aux cartes d’identité, aux cartes d’étranger et aux documents de séjour et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques.
x La loi du 21 mars 2003 relative au commerce électronique.
La validité juridique de la signature électronique est déterminée au niveau européen par la directive européenne relative à la signature électronique du 13 décembre 1999. Selon cette directive, tous les états membres doivent veiller à ce que la signature électronique basée sur un certificat électronique qualifié jouisse de la même validité qu’une signature manuscrite. La Belgique a transposé cette directive dans la législation nationale par la loi du 9 juillet 2001.
28
Cette loi comporte une distinction entre différentes sortes de signatures électroniques :
x La signature ‘simple’ : données sous forme électronique jointes ou liées logiquement à d’autres données électroniques et servant de méthode d’authentification. On peut parfaitement comparer cette signature avec un nom en bas d’un document ou d’un e-mail. Une signature numérisée appartient aussi à cette catégorie.
x La signature ‘avancée’ :
o Est liée uniquement au signataire ; o Permet l’identification du signataire ;
o Est créée par des moyens que le signataire peut garder sous son contrôle exclusif ; o Est reliée aux données auxquelles elle se rapporte de telle façon que toute
modification ultérieure des données puisse être détectée.
Il s’agit d’une signature, créée par un système comparable à l’eID, à la différence que ce système n’est pas géré ou contrôlé par une instance compétente. Un exemple est Isabel.
x La signature qualifiée (définition par abus de langage2) : une signature avancée créée par un dispositif sécurisé, basée sur un certificat qualifié et délivré par un prestataire de service de certification répondant aux conditions de l’annexe II de la loi. Dans le cas d’eID, le prestataire de services est Certipost.
Nous pouvons résumer la valeur juridique de la signature électronique comme suit : chaque signature électronique simple et avancée est admissible comme moyen de preuve. Toutefois, le juge apprécie lui-même le caractère probant. Une signature électronique qualifiée est par contre automatiquement assimilée à une signature manuscrite. Le juge n’a aucune liberté d’appréciation à cet égard.
2.7.2 Archivage et horodatage électronique Loi du 15 mai 2007
La possibilité d’apposer une signature électronique constitue un grand progrès dans le monde numérique. Mais ce progrès a aussi généré des problèmes : la confiance dans les relations humaines est souvent basée sur des rencontres physiques, des obligations écrites et signées par écrit, le cas échéant expédiées par recommandé et remises par le facteur à la personne en question. Il était donc nécessaire d’instaurer un climat de confiance dans le monde virtuel dans lequel les parties ne s’entendent ou ne se voient plus. Ce climat a été créé par les prestataires de services de confiance (tiers de confiance) pour des services comme la certification, l’horodatage électronique (horodatage), l’archivage, etc.
Depuis quelques années, il y avait déjà une demande pour un cadre juridique en vue de garantir la fiabilité de ces services de confiance. La loi de 2001 relative à la signature électronique était trop limitée quant au terrain applicatif, parce que le terrain applicatif ne comprend que l’intervention de la personne tiers de confiance dans le cadre de l’utilisation des signatures électroniques et des
2 La loi du 9/7/2001 ne définit pas la signature qualifiée en tant que telle, mais par abus de langage et dans un souci de concision, cette appelation désigne une signature avancée créée par un dispositif sécurisé, basée sur un certificat qualifié et délivré par un prestataire de service de certification répondant aux conditions de l’annexe II de la loi.
