Même après une révision du texte, les scientifiques restent critiques vis-à-vis de la législation eIDAS. L’adaptation permet en effet encore et toujours aux entreprises de collecter trop de données ou aux gouvernements d’espionner le trafic web des citoyens.
L’eIDAS est le cadre juridique permettant l’identification numérique européenne (telle qu’Itsme) et un portefeuille numérique correspondant (pour vous permettre d’obtenir votre permis de conduire numériquement dans toute l’UE, entre autres).
Début novembre, plusieurs chercheurs et ONG ont tiré la sonnette d’alarme à ce sujet: les passages techniques du texte permettent, entre autres, aux gouvernements d’imposer leurs propres certificats et ainsi de pouvoir espionner le trafic web des citoyens s’ils le souhaitent, sans trop de contrôle. Mais ils permettent également aux entreprises de lier différents identifiants en ligne les uns aux autres, générant un meilleur profil numérique de personnes, ce qui s’avère intéressant pour la publicité ciblée, entre autres.
Selon la Commission européenne, le texte a été amendé et il n’y a plus aucun risque d’espionnage ou d’autres problèmes de confidentialité. Même si le texte a été revu en profondeur, cela n’empêche pas les scientifiques de camper sur leurs positions: la version modifiée ne suffit toujours pas.
Dans une nouvelle lettre ouverte, ils reconnaissent que des mesures ont été prises dans la bonne direction, mais que la menace n’a pas pour autant disparu. ‘Malgré les affirmations de la Commission européenne, nous ne pensons pas que nos préoccupations concernant la surveillance de masse aient été traitées de manière suffisante’ peut-on lire dans la lettre que Data News a pu consulter.
Parmi les signataires belges figurent les professeurs Bart Preneel (KU Leuven), Jean-Jacques Quisquater (UC Louvain), Claudia Diaz (KU Leuven), Olivier Pereira (UC Louvain), Nigel Smart (KU Leuven) et Ingrid Verbauwhede (KU Leuven), tous spécialisés dans le cryptage.
Mentionné certes, mais à peine contraignant
La lettre invite le Parlement européen à amender le texte avant qu’il ne soit voté. Cela se passera le 28 novembre au sein de la commission ITRE du Parlement européen. Un vote général suivra au début de l’année prochaine.
Très concrètement, les auteurs de la lettre font observer que la dernière version du texte de loi stipule explicitement dans les considérants, à savoir le texte d’accompagnement, que les navigateurs conservent leur liberté en matière de sécurité web, de vérification de domaine et de cryptage. Mais cela ne suffit pas. D’un point de vue purement légal, un considérant n’a que très peu d’impact, et les scientifiques souhaitent que cela soit inclus dans l’article 45 du texte.
Un autre point qui avait été avancé précédemment déjà, est que, selon l’Europe, les certificats (QWAC) ne seraient utilisés que pour confirmer l’authentification entre le navigateur et le serveur web, et n’auraient donc aucun impact sur le cryptage du trafic web. C’est techniquement incorrect selon les scientifiques, qui se référent en l’occurrence au protocole TLS qui, en combinaison avec des certificats, sécurise le trafic web.
Si ces questions ne sont pas amendées, les scientifiques concernés déclarent qu’ils déconseilleront au Parlement européen d’approuver le texte. Ils insistent sur le fait que le texte aborde également de nombreux aspects positifs, tels que le droit aux pseudonymes et à la protection contre la discrimination, mais qu’il ne protège pas la confidentialité et le droit à une communication en ligne sûre, engendrant des risques supplémentaires.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici