La protection des données personnelles à l’heure de l’identité numérique européenne
Longuement débattue du fait des risques qu’elle soulève, l’identification électronique est devenue une nécessité au sein de l’espace numérique européen. La protection des données a donc été placée au centre des préoccupations pour parvenir à la création de l’identité numérique européenne.
En matière de protection des données à caractère personnel, l’identification des personnes est un sujet à part qui revêt un caractère spécial, puisqu’elle est le point de départ de la réflexion ayant conduit au vote de la loi Informatique et Liberté du 6 janvier 1978. Il s’agissait à l’origine d’un projet initié au début des années 1970, dénommé SAFARI, qui avait pour objet la création d’un système automatisé permettant d’identifier les Français au moyen d’un identifiant unique et de faciliter les démarches administratives. Révélé dans un article paru dans Le Monde le 21 octobre 1974, le projet avait suscité une vive polémique qui conduisit à son abandon définitif, ainsi qu’à la création de la Commission Informatique et Liberté le 24 mars 1974, puis au vote de la Loi.
Depuis, les nouvelles technologies et le droit de la protection des données à caractère personnel n’ont cessé de se développer jusqu’à devenir pour les premières le principal moyen de communication et pour le second une nouvelle matière juridique qui a pénétré la vie publique et économique. Au cours de cette période, la croissante dématérialisation des échanges a également renforcé la nécessité de mettre en œuvre des moyens d’identification et d’authentification électroniques des personnes alors même que ceux-ci avaient été auparavant fortement contestés. Si le Règlement eIDAS I1 avait instauré la possibilité pour les États de procéder à la déclaration de schémas d’identification électronique, le Règlement eIDAS2 II parachève le mouvement en instituant une nouvelle identité numérique européenne à travers le portefeuille européen d’identité numérique (PEIN) : celui-ci permet à son titulaire de faire la preuve de son identité et de se prévaloir d’attributs le concernant (par exemple, un permis de conduire dématérialisé). La mise en œuvre d’un tel instrument oblige donc à concilier, d’une part, le besoin d’identifier les personnes et, d’autre part, la protection de leurs données à caractère personnel. C’est du moins ce que le législateur européen s’est efforcé de faire dans le cadre du Règlement eIDAS II.
I. La sécurité des données
Afin que le PEIN permette à ses titulaires d’utiliser leurs données d’identification et leurs attestations électroniques tout en assurant la transparence et la traçabilité des interactions, la protection des données à caractère personnel a été renforcée au moyen d’un encadrement de la création (A) et des fournisseurs des PEIN (B).
A- L’encadrement de la création des PEIN
Le PEIN est un moyen d'identification électronique ayant pour finalité de permettre à son titulaire de stocker, de gérer et de valider en toute sécurité des données d'identification personnelle et des attestations électroniques. Les données d'identification électronique doivent représenter de manière univoque le titulaire du portefeuille. Pour cela, la sécurité du PEIN est placée au centre de la conception des PEIN qui doit être conforme à un ensemble de spécifications fonctionnelles et techniques prévues par le Règlement (Règlement eIDAS II, Article 5 bis, 4 et 5) et par certains actes d’exécution. De plus, et sauf pour des raisons dûment justifiés, les composants logiciels sout soumis à des licences ouvertes dites Open Source assurant une certaine transparence quant à la conception des PEIN (Article 5 bis, 3).
Les PEIN font par ailleurs l’objet d’une certification par un organisme d’évaluation de la conformité valable pour une durée de maximale 5 ans durant laquelle le fournisseur est soumis à un contrôle continu qui prend la forme d’un audit des vulnérabilités bisannuel (Article 5 quater, 1 et 4). En cas d’atteinte à l’intégrité des PEIN, il est prévu un mécanisme de suspension de 3 mois maximum et/ou de retrait définitif par l’État membre concerné en fonction de la gravité de l’atteinte. Ces événements sont portés à la connaissance des utilisateurs affectés (Article 5 sexies).
B- L’encadrement de la fourniture des PEIN
Au-delà de la conception du PEIN, les fournisseurs de PEIN sont soumis à un encadrement correspondant à celui applicable à l’ensemble des prestataires de services de confiance qualifiés (Article 5 bis, 20). Ils ont notamment l’obligation de vérifier l'identité de la personne à laquelle ils délivrent un PEIN selon des procédures définies par la Commission ; celles-ci doivent garantir un niveau de fiabilité élevé, c’est-à-dire le niveau le plus protecteur. Cette vérification devrait pouvoir intervenir notamment en présence du demandeur sur la base d'un document officiel d’identité ou bien à distance sur la base d’un moyen d’identification électronique présentant lui aussi un niveau de garantie élevé (Article 5 bis, 24). Les fournisseurs sont également tenus d‘apporter une assistance technique aux utilisateurs qui peuvent signaler les difficultés qu’ils rencontrent (Article 5 bis, 10).
Les fournisseurs ont par ailleurs l'interdiction de collecter les données relatives à l’utilisation des PEIN dès lors qu’elles ne sont pas nécessaires à leur fourniture ou encore de combiner les données d’identification personnelle ou d’autres données à caractère personnel stockées ou relatives à l’utilisation du PEIN avec des données à caractère personnel provenant de tout autre service, à moins que l’utilisateur n’en ait fait expressément la demande. Pour garantir cela, les données à caractère personnel relatives à la fourniture du PEIN sont maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur du PEIN (Article 5 bis, 14).
II. Le contrôle sur les données
La protection des données à caractère personnel dans le cadre de l’utilisation du PEIN est en outre renforcée par le contrôle qu’exerce son titulaire sur les données que cette utilisation génère (A) ainsi que par le contrôle des personnes avec lesquelles les utilisateurs interagissent (B).
A- Le contrôle des utilisateurs sur les données issues de l’utilisation du PEIN
Le Règlement eIDAS II concède une place centrale à l'utilisateur du PEIN, qui maîtrise la circulation de ses données (Article 5 bis, 4). Son contrôle s’illustre notamment par la possibilité de ne pas utiliser le PEIN. L’utilisation du PEIN étant volontaire, le fait de ne pas l’utiliser ne doit en aucun cas limiter ou désavantager la personne dans l’accès aux services. L’utilisateur est libre de stocker, gérer, valider, partager et présenter les données du PEIN ou des attestations électroniques à des tiers mais aussi de les supprimer. L’utilisateur peut également décider de procéder à une divulgation sélective des données contenues dans le PEIN (Article 5 bis 15).
L’utilisateur se voit également offrir la possibilité d’utiliser un pseudonyme, ce qui ne peut être refusé dès lors que l’identification n’est pas requise par le droit applicable (Article 5 ter, 9). Enfin, le PEIN doit pouvoir être révoqué librement par l’utilisateur qui en fait la demande ou bien en cas de décès de celui-ci (Article 5 bis, 9).
Afin de rendre le contrôle de l’utilisateur pleinement effectif, celui-ci dispose d’un journal de toutes les transactions effectuées avec le PEIN au moyen d’un tableau de bord commun lui permettant notamment de consulter les données, de demander leur rectification ou leur effacement, d’exercer son droit à la portabilité des données mais encore de procéder à un signalement en cas de demande illégale ou suspecte formulée par un tiers (Article 5 bis, 4). De plus, l’utilisateur est aussi informé des éventuelles politiques de divulgation concernant les attributs électroniques lors de l’utilisation du PEIN (Article 5 bis, 5).
B- Le contrôle des parties utilisatrices
Les personnes qui interagissent avec les utilisateurs dans le cadre de l’utilisation du PEIN, dénommées parties utilisatrices, doivent s’enregistrer auprès de l’État membre dans lequel elles sont établies en lui communiquant certaines informations d’identification ainsi que les cas d’utilisation envisagés du PEIN, étant précisé qu’elles ne peuvent demander plus d’information aux utilisateurs que ce qui est prévu lors de l’enregistrement (Article 5 ter, 1 à 3).
Cet enregistrement, qui fait l’objet d’une liste gérée et rendue publique par les États membres, couplé aux mécanismes de signalement, permet aux États membres d’effectuer un contrôle efficace de l’utilisation des PEIN par les personnes qui interagissent avec les utilisateurs et ainsi de générer une certaine confiance vis-à-vis de cette nouvelle identité numérique (Article 5 bis, 18).
1 Règlement (UE) n° 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
2 Règlement (UE) 2024/1183 du parlement européen et du conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique.
Article publié dans Option finance le 8 janvier 2026
