Le règlement 910/2014 eIDAS sur les transactions électroniques demande la stricte application de la Directive 95/46/CE sur toutes les données personnelles utilisées pendant les phases d’identification des citoyens. Depuis 1995 tous les états membres se sont dotés d'une déclinaison de cette Directive. On peut donc s’attendre à ce que l’implémentation du protocole eIDAS par la commission soit exemplaire sur la protection des données privées.
Privacy by Design
Malheureusement, la Directive de protection des personnes physiques, au regard des traitements des données à caractères personnelles, n'est plus suffisante pour assurer le secret de la vie privée. Le prochain règlement sur la protection des données privées, sur lequel travaille la Commission, s'inspire largement de l'initiative Canadienne Privacy-by-Design. Car il n’est plus possible de simplement faire reposer la confidentialité des informations par de simple déclaration CNIL puis attendre les incidents, il faut l’intégrer dès la conception. Le fait que l’on puisse faire fuiter en clair des millions d’informations privées, prouve les négligences des éditeurs et l’inadaptation des lois.
eIDAS a-t-il intégré la protection de la vie privée ?
Parmi les mesures techniques que doit prendre un responsable de traitement dans le cadre de la Directive 95/46/CE on trouve : "...protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau..." On ne parle pas de vol, ni de son usage dans des opérations illicites.
Pour le règlement eIDAS, le contrôleur adjoint européen de la protection des données Giovanni BUTTARELLI rappelle en 2013 certaines obligations, qui en 1995 n’était pas encore sensibles : "...les obligations […] concernant les violations de données et les incidents de sécurité, doivent concorder avec les exigences établies dans la directive révisée «Vie privée» et dans le règlement proposé sur la protection des données".
Du seul point de vue calendaire eIDAS est en avance sur la prochaine proposition de règlement sur la protection des données, il agit donc dans un entre deux. La Directive de 1995 n’est plus suffisante, pour autant rien ne la remplace encore.
Et la technique ?
eIDAS, dans la partie système d’identification, est basé sur SAML v2. C'est une norme technique pour établir une relation de confiance entre une source d'identité et un service. Il n'existe pas de notion de données personnelles dans SAML, mais des assertions transportant des attributs. SAML assure simplement par un mécanisme de signature et de chiffrement que les données échangées ne seront pas compromises. Notons que l’implémentation n’impose pas le chiffrement, ce qui semble insuffisant, au regard des faiblesses des flux SSL à assurer cette fonction.
Comme SAML ne définit pas ce que sont les attributs d'une identité, la commission a imposée dans un acte d’exécution les attributs suivants :
- Nom courant
- Prénom courant
- Date de naissance
- Numéro d'identifiant unique dans l'état membre
Quatre autres attributs sont optionnels :
- Le nom de naissance
- Le prénom de naissance
- Le lieu de naissance
- Le genre
Même si l'information semble minimale, elle est dans certain cas disproportionnée. Pour prouver que je suis majeur, je n'ai pas besoin de fournir ma date de naissance, il suffit que je sois né une bonne dizaine d'année avant la date du jour.
L'identifiant unique pose aussi problème, dans certains états membres il emporte avec lui des informations comme le genre et le lieu de naissance.
Il est donc légitime de craindre que ces d'attributs d’identité ne soient pas accepter par certains états membres, en particulier l'identifiant unique, comme en l'Allemagne ou au Portugal ou leurs usages sont interdits.
Dans ce dernier cas, il est possible de fournir une alternative par un numéro neutre comme le fait FranceConnect, mais pour les autres attributs la question reste entière. Il est dommage que la notion de pseudonyme autorisée dans le cadre de la signature électronique ne le soit pas pour l'identification, car c'est un moyen efficace de protéger l'anonymat.
Une vie après eIDAS ?
Il est probable que le déploiement d'eIDAS rencontrera des difficultés dès lors que le règlement européen sur les données privées sera entré en vigueur. Raison de plus pour aller vite.
Stéphane POPOFF
Pour aller plus loin
Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Exploitez tout le potentiel du Big Data et de l’Internet des objets
Architecte des systèmes d'identité et d'accès, je dispose d'une bonne culture de développement. Proche des utilisateurs je défends bec et ongle leurs intérêts dans les projets d'intégration.