Portefeuille numérique européen : le texte progresse, des désaccords persistent
![Image [France Identité numérique] lance un programme de [bug bounty] public](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-bug-errors-885x690.jpg)
![Image [Identité numérique :] Entrust veut racheter Onfido](https://incyber.org//wp-content/uploads/2024/02/incyber-news-cybersecurite-cybersecurity-rachat-fusion-885x690.jpg)
![Image [France :] un nouveau prestataire de tiers payant victime d’un vol de données](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
La Commission européenne, le Parlement et le Conseil européens ont bouclé un cycle de négociations sur ce texte-clé de la transformation numérique de l’UE
La Commission européenne, le Parlement et le Conseil européens ont progressé vers un accord sur la loi relative au portefeuille numérique européen, le 28 juin 2023. Cette journée de négociations interinstitutionnelles, surnommées « trilogues », a permis de résoudre certains désaccords sans pour autant finaliser le texte.
« Nous sommes parvenus à un accord politique sur les éléments-clés de la proposition. Il reste encore du travail à faire, mais nous sommes très proches de trouver un accord final sur l’ensemble du paquet », a commenté Romana Jerković, négociatrice en chef du Parlement européen.
Les trois institutions ont ainsi ajouté, en préambule du texte, la garantie que ces portefeuilles seront déployés dans « des conditions équitables, raisonnables et non discriminatoires ». Elles ont aussi supprimé le concept litigieux « d’identifiant unique et persistant », jugé peu respectueux de la vie privée. Elles l’ont remplacé par une vérification de l’identité sur la base de plusieurs données personnelles.
Le Parlement a par ailleurs réussi à imposer à ses partenaires de nouvelles fonctionnalités pour les portefeuilles :
- émission et révocation « d’attestation électronique d’attributs » directement par les utilisateurs ;
- génération et stockage local de pseudonymes ;
- possibilité d’authentifier un autre portefeuille tiers, et d’échanger des attestations d’attributs de portefeuille à portefeuille ;
- création d’un tableau de bord permettant d’accéder aux fonctionnalités essentielles (dont la suppression de ses données personnelles ou le signalement d’une activité suspecte).
Quelques points de désaccord persistent toutefois. Les portefeuilles devront ainsi respecter un système de certification européenne en matière de cybersécurité. Mais le Conseil et le Parlement ne sont pas parvenus à s’entendre sur la conformité au RGPD. Le premier veut la limiter au volontariat, le second la rendre obligatoire.
De même, aucun accord complet n’a été trouvé sur la monétisation de certaines fonctionnalités du portefeuille. Le texte garantit désormais la gratuité, pour les personnes physiques, de la délivrance, l’utilisation à des fins d’authentification et la révocation du portefeuille. Cela signifie, en creux, une possible facturation des organisations, notamment pour les signatures électroniques au-delà d’un certain seuil.
Les négociations ont conservé pour l’instant, malgré l’opposition du Parlement, l’introduction d’un service de confiance permettant de suivre les cours de la Bourse. Les institutions européennes doivent par ailleurs encore définir précisément les attributions des autorités nationales chargées de mettre en œuvre le cadre relatif à l’identité numérique.
Pas de consensus non plus sur les « certificats d’authentification de sites web qualifiés » (QWAC). Ils doivent permettre d’authentifier l’identité de la personne ou de l’organisation à l’origine d’un site web, afin d’éviter d’éventuelles escroqueries. Le Parlement a ajouté des mesures restrictives en cas d’atteinte des QWAC à la vie privée mais le sujet demeure polémique.