4. Des objections de principe et des interrogations pratiques qui doivent être prises en compte
La création d'une carte nationale d'identité dotée de fonctions d'authentification et de signature électroniques suscite des objections de principe et des interrogations pratiques qui doivent être prises en compte.
a) Des objections de principe
D'aucuns considèrent que la carte nationale d'identité doit exclusivement servir à prouver son identité dans les cas prévus par la loi. Ils s'opposent ainsi, pour des raisons de principe, à ce que ce document puisse être utilisé pour sécuriser les échanges électroniques .
Telle a été notamment la position défendue aussi bien par MM. Thierry Wickers, président de la Conférence des bâtonniers, que par Mme Monique Herold et M. Alain Weber, respectivement vice-présidente et responsable de la commission Libertés et informatique de la Ligue des droits de l'homme, lors de leur audition par la mission.
M. François Giquel, vice-président de la Commission nationale de l'informatique et des libertés, a également exprimé des réserves en soulignant qu'une telle extension des fonctions de la carte nationale d'identité, en lui conférant davantage de valeur, pourrait accroître les risques d'atteinte aux personnes.
D'autres admettent l'intégration des fonctions d'authentification et de signature électroniques au sein de la carte nationale d'identité à la stricte condition d'en limiter l'utilisation à la sphère publique , c'est-à-dire à l'administration électronique.
M. Alain Bauer, président de l'Observatoire national de la délinquance, a ainsi considéré que la nouvelle carte d'identité n'avait pas vocation à servir dans toutes les circonstances de la vie et à devenir un outil commercial.
Dans sa recommandation sur le projet de carte nationale d'identité électronique du 16 juin 2005, le Forum des droits sur l'internet observe cependant que seule la possibilité d'utiliser la carte nationale d'identité électronique dans des transactions privées a suscité les réticences des participants au débat public, la possibilité de l'utiliser dans les téléprocédures administratives ne suscitant quant à elle guère d'intérêt.
b) Des interrogations pratiques
La création d'une carte nationale d'identité dotée de fonctions d'authentification et de signature électroniques ne doit pas entraîner une aggravation des inégalités .
Dans cette hypothèse, il conviendrait :
- de créer un document doté de fonctionnalités équivalentes au bénéfice des étrangers ;
- de permettre à l'ensemble du territoire national d'avoir accès au haut débit ;
- de favoriser l'équipement en micro-ordinateurs et en lecteurs de cartes à puce de l'ensemble de la population, les personnes âgées et celles disposant de faibles ressources étant actuellement nettement sous-équipées ;
- de permettre un accès à l'administration électronique sans recourir à un micro-ordinateur, soit par téléphone soit au moyen de bornes installées dans les communes.
La création d'une telle carte ne doit pas non plus conduire à une remise en cause de la possibilité d'échanges électroniques anonymes .
La totalité des démarches administratives ne nécessite pas d'identification formelle. Il en va de même de nombreuses transactions privées.
Dans sa recommandation sur le développement de l'administration électronique, le Forum des droits sur l'Internet estimait ainsi qu' : « Il ne faut pas faire de l'usage de la signature électronique un préalable systématique au déploiement des services en ligne. Il est de nombreux services, comme la simulation d'impôts, dont l'usage doit pouvoir rester anonyme. Même quand l'identification ou l'authentification des usagers est nécessaire, elle peut très souvent fonctionner sur la base de simples identifiants et mots de passe. Quant au besoin de signature à proprement parler, il ne doit pas être surestimé : ce n'est pas parce que les formulaires papier comportent une case destinée à la signature du demandeur que leur équivalent électronique devrait être revêtu d'une signature électronique, car bien souvent la signature est demandée sur le formulaire papier sans avoir de réelle portée juridique . »
Les exigences de sécurité techniques peuvent être modulées en fonction de la nature des échanges : le dispositif d'authentification prévu pour la carte nationale d'identité, très sécurisé, ne doit pas devenir un standard obligé pour tous les échanges électroniques.
Le ministère de l'économie, des finances et de l'industrie a ainsi prévu une gradation des mesures de sécurité en fonction de la nature des services proposés et du niveau de confidentialité ou de valeur juridique probante exigé : anonymat (simulations, actualité fiscale, téléchargements), simple adresse électronique de correspondance (réponses en ligne), authentification par mot de passe, authentification par l'usage de certificat électronique.
Dans son étude précitée sur Internet et les réseaux numériques, le Conseil d'Etat soulignait que : « l'anonymat est une question complexe, au carrefour d'intérêts éthiques, économiques et politiques : l'individu veut se promener et agir librement comme dans sa vie quotidienne réelle, les entreprises veulent l'identifier pour mieux le servir, les autorités répressives ont besoin de retrouver les coupables d'infractions et donc de les identifier. L'équation est facile à poser moins facile à résoudre . L'individu doit pouvoir rester anonyme sur le réseau pour aller et venir, effectuer des paiements, envoyer des lettres... Cet anonymat peut se faire au moyen de la pseudonymisation. Il ne saurait cependant interdire de retrouver l'identité des personnes si nécessaire . »
L'anonymat des échanges électroniques s'avère en effet relatif, dans la mesure où un fournisseur d'accès peut conserver toutes les données de connexion correspondant à une adresse IP, c'est-à-dire « l'adresse réseau » de la machine d'un utilisateur connecté au réseau Internet, et associer à chaque adresse IP, même dynamique, l'ensemble des données personnelles relatives à l'internaute, qui est son client.
La directive 1999/93/CE du 13 décembre 1999 portant sur un cadre communautaire pour les signatures électroniques reconnaît ainsi la légitimité de l'utilisation d'un pseudonyme tout en indiquant, dans son considérant n° 25, qu'« il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification des personnes conformément au droit communautaire ou national . » Son annexe I relative aux exigences concernant les certificats qualifiés prévoit ainsi que tout certificat qualifié doit comporter le nom du signataire ou un pseudonyme qui est identifié comme tel.
La création d'une carte d'identité dotée de fonctions d'authentification et de signature électroniques ne doit pas conduire les administrations à mettre en place un identifiant unique, comme l'a souligné le Forum des droits sur l'internet dans sa recommandation du 16 juin 2005.
Elle ne doit pas conduire non plus à une éviction des entreprises privées du marché de la certification.
Lors de son audition par la mission, M. Jacques Sauret, directeur de l'Agence pour le développement de l'administration électronique a estimé que, loin d'aboutir à un tel résultat, elle permettrait de structurer un marché de la certification qui peine à se développer.
Enfin, les risques afférents à la possibilité d'utiliser la carte électronique pour des transactions privées doivent être pris en compte . Elle ne doit :
- ni inciter les commerçants à imposer la justification de son identité pour tout paiement alors qu'en l'état actuel du droit, seul l'article L. 131-15 du code monétaire et financier oblige à présenter « un document officiel portant sa photographie » lors d'un paiement par chèque ;
- ni leur permettre d'établir des fichiers des habitudes de vie et de consommation de leurs clients ;
- ni rendre l'Etat, en sa qualité de prestataire de services de certification, destinataire d'informations relatives aux engagements privés souscrits par les particuliers,
- ni conduire à une mise en jeu de sa responsabilité pour les préjudices subis en cas de fraude.
Telles sont sans doute les raisons pour lesquelles la perspective d'une utilisation de la carte d'identité électronique pour des transactions privées est accueillie avec de réelles réticences.
Ces considérations montrent que l'enjeu essentiel de la création de titres d'identité électroniques tient à la nécessité d'assurer la protection des données personnelles qu'ils contiennent, au nom du droit constitutionnel au respect de la vie privée.