| CELEX | 52021IR3686 |
| Type | Initiative législative |
| Date | mardi 12 octobre 2021 |
| 4.2.2022 | FR | Journal officiel de l'Union européenne | C 61/42 |
Avis du Comité européen des régions sur le thème «Identité numérique européenne»
(2022/C 61/09)
|
I. RECOMMANDATIONS D’AMENDEMENT
Amendement 1
COM(2021) 281
Article premier, paragraphe 4
Règlement (UE) no 910/2014
Article 5
| Texte proposé par la Commission européenne | Amendement du CdR |
| Pseudonymes utilisés dans les transactions électroniques Sans préjudice de l’effet juridique donné aux pseudonymes en droit national, l’utilisation de pseudonymes dans les transactions électroniques n’est pas interdite.»; | Pseudonymes utilisés dans les transactions électroniques Sans préjudice de l’effet juridique donné aux pseudonymes en droit national, l’utilisation de pseudonymes dans les transactions électroniques et sur les réseaux sociaux n’est pas interdite.»; |
Exposé des motifs
Les réseaux sociaux ne sauraient invoquer le portefeuille européen d’identité numérique pour interdire le recours à des pseudonymes lors des inscriptions.
Amendement 2
COM(2021) 281
Article premier, paragraphe 7
Règlement (UE) no 910/2014
Article 6 bis, paragraphe 1
| Texte proposé par la Commission européenne | Amendement du CdR |
| Afin de garantir à toutes les personnes physiques et morales dans l’Union un accès sécurisé, fiable et continu à des services publics et privés transfrontaliers, chaque État membre délivre un portefeuille européen d’identité numérique dans un délai de 12 mois à compter de l’entrée en vigueur du présent règlement. | Afin de garantir à toutes les personnes physiques et morales dans l’Union un accès sécurisé, fiable et continu à des services publics et privés transfrontaliers, chaque État membre délivre un portefeuille européen d’identité numérique dans un délai de 24 mois à compter de l’entrée en vigueur du présent règlement. |
Exposé des motifs
L’expérience montre que les portefeuilles européens d’identité numérique constitueront une cible hautement prioritaire pour des attaques informatiques. Dans un domaine aussi sensible qui touche à des données d’identification à caractère personnel, la qualité prime la rapidité. Les délais prévus pour la mise en œuvre à l’échelon national sont trop courts (également, pour partie, dans le contexte des dispositions de la directive SRI 2). Il est de ce fait nécessaire de prolonger la période transitoire.
Amendement 3
COM(2021) 281 final — Partie 1
Article premier, paragraphe 7
Règlement (UE) no 910/2014
Article 6 bis, [nouveau] paragraphe 12
| Texte proposé par la Commission européenne | Amendement du CdR |
|
| Le portefeuille européen d’identité numérique n’est accessible aux personnes âgées de moins de 18 ans que lorsque l’identité du mineur en question a été authentifiée au moyen d’une pièce d’identité électronique du représentant légal qui en est responsable. |
Exposé des motifs
Le portefeuille européen d’identité numérique servira à certifier l’identité aussi bien en ligne que dans le monde réel. Les mineurs ne peuvent être pleinement tenus pour responsables ou appelés à rendre des comptes face à d’éventuels effets ou suites juridiques.
Amendement 4
COM(2021) 281 final — Partie 1
Article premier, paragraphe 7
Règlement (UE) no 910/2014
Article 6 ter, paragraphe 5
| Texte proposé par la Commission européenne | Amendement du CdR |
| Les États membres communiquent à la Commission le nom et l’adresse des organismes publics ou privés visés au paragraphe 3. La Commission met ces informations à la disposition des États membres. | Les États membres communiquent à la Commission le nom et l’adresse des organismes publics ou privés visés au paragraphe 3. La Commission met ces informations à la disposition des États membres au plus tard six mois après l’entrée en vigueur du présent règlement . |
Exposé des motifs
Il est proposé de modifier l’article 6 ter, paragraphe 5, du règlement (UE) no 910/2014 en ce sens qu’il convient de prévoir un délai maximal pour cette communication.
Amendement 5
COM(2021) 281
Article premier, paragraphe 9
Règlement (UE) no 910/2014
Article 7
| Texte proposé par la Commission européenne | Amendement du CdR |
| […] dans un délai de douze mois à compter de l’entrée en vigueur du présent règlement […] | […] dans un délai de vingt-quatre mois à compter de l’entrée en vigueur du présent règlement […] |
Exposé des motifs
L’expérience montre que les portefeuilles européens d’identité numérique constitueront une cible hautement prioritaire pour des attaques informatiques. Dans un domaine aussi sensible qui touche à des données d’identification à caractère personnel, la qualité prime la rapidité. Les délais prévus pour la mise en œuvre à l’échelon national sont trop courts (également, pour partie, dans le contexte des dispositions de la directive SRI 2). Il est de ce fait nécessaire de prolonger la période transitoire.
Amendement 6
COM(2021) 281
Article premier, paragraphe 11
Règlement (UE) no 910/2014
Article 10 bis, paragraphe 4
| Texte proposé par la Commission européenne | Amendement du CdR |
| La Commission publie, dans les meilleurs délais, au Journal officiel de l’Union européenne, les modifications correspondantes apportées à la liste prévue à l’article 6 quinquies. | La Commission publie, dans les meilleurs délais, au Journal officiel de l’Union européenne, les modifications correspondantes apportées à la liste prévue à l’article 6 quinquies , et les met à disposition sous la forme d’une liste distincte . |
Exposé des motifs
Une liste bien visible (liste de révocation) doit simplifier l’utilisation.
Amendement 7
COM(2021) 281 — Partie 1
Article premier, paragraphe 12
Règlement (UE) no 910/2014
Article 11 bis, [nouveau] paragraphe 4
| Texte proposé par la Commission européenne | Amendement du CdR |
|
| Les États membres s’assurent, grâce à des moyens univoques d’identification, qu’aucun citoyen ne se voit délivrer deux ou plusieurs portefeuilles européens d’identité numérique au titre de ses différentes nationalités ou d’une résidence dans plusieurs États membres. |
Exposé des motifs
Il y a lieu de s’assurer que les citoyens disposant de plusieurs nationalités et/ou de plusieurs résidences dans différents États membres de l’Union européenne ne se voient néanmoins délivrer qu’un seul portefeuille européen d’identité numérique.
Amendement 8
COM(2021) 281 — Partie 1
Article premier, paragraphe 14
Règlement (UE) no 910/2014
Article 12 bis, paragraphe 3
| Texte proposé par la Commission européenne | Amendement du CdR |
| Les États membres notifient à la Commission le nom et l’adresse de l’organisme public ou privé visé au paragraphe 1. La Commission met ces informations à la disposition des États membres. | Les États membres notifient à la Commission le nom et l’adresse de l’organisme public ou privé visé au paragraphe 1. La Commission met ces informations à la disposition des États membres au plus tard six mois après l’entrée en vigueur du présent règlement . |
Exposé des motifs
Il est proposé de modifier l’article 12 bis, paragraphe 3, du règlement (UE) no 910/2014 en ce sens qu’il convient de prévoir un délai maximal pour cette communication.
Amendement 9
COM(2021) 281
Article premier, paragraphe 29
Règlement (UE) no 910/2014
Article 30, paragraphe 3 bis
| Texte proposé par la Commission européenne | Amendement du CdR |
| La certification visée au paragraphe 1 est valable cinq ans, sous réserve d’une évaluation des vulnérabilités régulière effectuée tous les deux ans. Si des vulnérabilités sont décelées et non corrigées, la certification est retirée. | La certification visée au paragraphe 1 est valable cinq ans, sous réserve d’une évaluation des vulnérabilités régulière effectuée tous les deux ans. Si des vulnérabilités sont décelées et non corrigées, la certification est retirée. Une nouvelle certification ne peut intervenir au plus tôt qu’après un délai d’attente de deux années et une nouvelle évaluation des vulnérabilités. |
Exposé des motifs
Il semble judicieux de prévoir un délai d’attente avant la délivrance d’une nouvelle certification, sachant qu’il devrait rester possible de corriger les vulnérabilités, le cas échéant à la suite d’un remaniement technique radical.
II. RECOMMANDATIONS POLITIQUES
LE COMITÉ EUROPÉEN DES RÉGIONS
Introduction
| 1. | approuve le projet de portefeuille européen d’identité numérique, également connu sous son appellation anglaise de «European Digital Identity Wallet». Grâce à ce «portefeuille numérique», les citoyens devraient également pouvoir prouver leur identité au moyen d’équipements mobiles pour pouvoir accéder aux services en ligne des administrations publiques, échanger des documents numériques ou apporter simplement la preuve d’une caractéristique personnelle donnée, telle que l’âge. Une telle démarche est possible sans devoir pour autant révéler son identité ou d’autres données à caractère personnel; |
| 2. | se félicite des propositions de la Commission européenne visant à créer dans un premier temps une identité numérique européenne pour ensuite constituer plus largement un portefeuille européen d’identité numérique, ainsi qu’à procéder à cette fin aux modifications nécessaires du règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur («règlement eIDAS»). Ce portefeuille ne se réduit pas aux données d’identité à caractère personnel stricto sensu (identité numérique européenne) mais doit également contenir d’autres documents (y compris officiels) sous forme électronique, tels que le permis de conduire ou les diplômes; |
| 3. | soutient l’objectif de la Commission européenne de poursuivre, au regard de l’évolution des exigences du marché, le développement du règlement eIDAS afin de pouvoir en faire usage également dans le cadre d’activités économiques, tout en continuant à utiliser les moyens d’identification nationaux notifiés existants. De tels moyens numériques et sûrs d’identification revêtent une importance toute particulière pour numériser les procédures administratives; |
| 4. | réclame l’insertion dans la proposition de la Commission européenne relative à l’identité numérique européenne de dispositions claires en matière de protection des données, qui devraient se conformer aux principes établis par le règlement général sur la protection des données, notamment pour ce qui est de l’économie fondée sur les données, de la confidentialité des données et de la justification appropriée, et devraient faire en sorte que les utilisateurs soient à même de contrôler les données qu’ils souhaitent communiquer et auprès de qui; |
| 5. | tient le portefeuille européen d’identité numérique, eu égard à sa facilité générale d’utilisation et tout spécialement à son utilisation mobile, pour un outil qui doit faciliter la participation à la vie de la société; sa mise en place dans l’ensemble de l’Union est susceptible de constituer un élément tangible à l’échelle individuelle de l’identité européenne dans la conscience de chaque citoyen de l’Union; |
Avantages pour les citoyens
| 6. | voit dans la création d’un portefeuille européen d’identité numérique une occasion unique d’ancrer chez les citoyens une identité européenne qu’ils puissent percevoir concrètement et utiliser dans la pratique, y compris sur le marché unique. Ce portefeuille permet de créer un moyen d’identification commun jouant un rôle fédérateur manifeste pour toutes les parties intéressées et dont la symbolique dépasse largement sa simple utilité technique; |
| 7. | constate que le portefeuille européen d’identité numérique est une technologie axée fondamentalement sur une utilisation mobile, qu’il restera possible d’exploiter même si les appareils en usage à l’heure actuelle (téléphones ou montres intelligents) continuent d’évoluer. Les produits de demain, tels que les lunettes numériques (lunettes de réalité augmentée ou avatars numériques) ou autres équipements numériques similaires du quotidien, devraient pouvoir l’utiliser grâce à une interface appropriée (optique, le cas échéant); |
| 8. | recommande, dans ce contexte, que le développement et la mise en place de l’identité électronique européenne et du portefeuille européen d’identité numérique soient fondés sur la prestation de services susceptibles de créer une réelle valeur ajoutée transfrontalière pour les citoyens; |
| 9. | souligne qu’il s’impose d’assurer la souveraineté et la non-discrimination de tous les utilisateurs; recommande de ce fait que la communication à l’examen prévoie explicitement que les offres à l’attention des personnes physiques ne sauraient les contraindre, même indirectement, à utiliser le portefeuille européen d’identité numérique, dont l’utilisation constitue par principe un acte volontaire; |
| 10. | souligne que le portefeuille européen d’identité numérique devrait être perçu comme une offre à la disposition des citoyens, de manière que la société civile l’accueille favorablement; |
| 11. | demande qu’au-delà des questions strictement liées à la protection des données et à l’accessibilité, une conception simple soit recommandée sous la forme d’une boîte à outils qui permette également aux personnes qui connaissent de légères limitations ou qui ne maîtrisent pas la langue de participer au portefeuille européen d’identité numérique, par exemple grâce à un recours accru aux pictogrammes; |
| 12. | suggère de prévoir, dans le cadre de la mise au point des modalités, des règles relatives à l’utilisation des identités numériques par les mineurs ou dans les situations de tutelle ou de curatelle, ainsi qu’au traitement des identités numériques en cas de décès; |
Participation des acteurs économiques
| 13. | considère, au vu précisément de l’ouverture des réglementations existantes aux activités économiques, qu’une participation étroite des leaders des technologies est un facteur de réussite essentiel. Seule une solution conforme au marché offre la garantie d’une utilisation adéquate dans l’Union; |
| 14. | rappelle un aspect essentiel ayant trait à l’utilité économique dans le cadre du recours à des interfaces de paiement électronique (Paypal, Google/Apple Pay, SWIFT, etc.), lesquelles reposent dans l’économie actuelle sur des comptes propres d’utilisateur. Un portefeuille européen d’identité numérique devrait tenir compte des dispositions réglementaires pertinentes en matière de blanchiment de capitaux et de monnaies numériques (bitcoin, Ethereum, Digital-EUR, etc.); |
| 15. | demande que l’utilisation économique du portefeuille européen d’identité numérique prenne en compte les deux modèles économiques existants qui se font fondamentalement concurrence. D’un côté se trouvent les grands réseaux sociaux actifs à l’échelle mondiale, qui ont un intérêt légitime à obtenir, le cas échéant, la validation par une institution publique de leurs comptes créés sous pseudonyme. Une telle démarche porterait toutefois atteinte à la liberté d’utilisation de l’internet et ferait basculer davantage d’utilisateurs de l’espace protégé de l’internet vers le darknet. Du point de vue du Comité des régions, cette situation n’est pas du tout souhaitable. De l’autre se trouvent les fournisseurs d’identité, qui proposent des offres concurrentes du portefeuille européen d’identité numérique et qui souhaitent également tirer parti d’une identité validée par une institution publique; |
| 16. | recommande de faire en sorte, pour le contrôle des justificatifs en cas d’accès par une entreprise sur présentation d’un certificat sécurisé, que la validité dudit certificat soit limitée dans le temps et/ou soit contrôlée à intervalles réguliers; approuve les réflexions du même ordre concernant les prestataires de services de confiance mais souligne qu’il s’impose également de prévenir tout abus en ce qui concerne la justification des demandes de données contenues dans le portefeuille européen d’identité numérique émanant d’institutions ou d’organisations; |
| 17. | souligne qu’un certain nombre d’États membres ont déjà élaboré et mis en œuvre des solutions numériques pour les citoyens, dans le secteur public comme dans le secteur privé. Il importe que ces spécificités nationales puissent être maintenues dans toute la mesure du possible dans le cadre de l’identité électronique européenne. Premièrement, parce que procéder à des adaptations majeures des systèmes existants nécessite de nombreuses ressources, tant administratives que financières. Deuxièmement, parce que les citoyens de ces États membres ont acquis au fil des ans un niveau élevé de confiance dans les systèmes existants et qu’il est essentiel que cette confiance ne soit pas mise à mal par l’introduction de l’identité électronique européenne; |
Mise en œuvre et participation des États membres
| 18. | demande par conséquent d’associer étroitement les experts nationaux s’agissant de la recommandation faite par la Commission aux États membres dans sa proposition législative d’élaborer une boîte à outils commune pour une approche coordonnée en vue de mettre en place le cadre technique nécessaire au portefeuille européen d’identité numérique. À cet égard, il convient de prendre en compte les exemples existants de bonnes pratiques, tels que les résultats et les enseignements tirés des projets nationaux «Identités numériques» et «Vitrines d’identités numériques sûres»; |
| 19. | estime qu’il est nécessaire, lors de l’examen des charges et des dépenses encourues dans le cadre de la planification, de recenser également les paramètres nationaux et de les rassembler dans le cadre d’un plan global de l’Union qui soit proportionné à l’effort déployé. Il s’agira notamment de recenser et d’intégrer les calendriers nationaux de mise en œuvre, en sus des délais inhérents à l’échelon de l’Union; |
| 20. | demande de garder à l’esprit, dans le cadre de la planification d’ensemble, les charges en termes humains et financiers encourues au titre de la mise en œuvre dans les États et les collectivités locales et régionales. Le portefeuille européen d’identité numérique connaîtra le succès s’il peut être utilisé de manière suffisamment régulière. À cet égard, outre les entreprises, les administrations des différents échelons au sein des États jouent un rôle essentiel. L’engagement de ces dernières ne cesse de s’intensifier, de leur propre fait mais aussi du fait des initiatives de la Commission. La directive de l’UE sur les services ou encore le portail de l’Union apportent à cet égard une contribution précieuse à la numérisation du marché intérieur de l’Union; |
| 21. | propose de prévoir un déploiement par étapes, en particulier lors de la phase de démarrage. Une telle approche est importante en raison de la participation, parfois totalement inédite, d’acteurs économiques qui, pour partie, n’étaient jusqu’ici pas réglementés, à l’utilisation des identités électroniques à un niveau de garantie «substantiel» à «élevé» dans le cadre des évolutions envisagées par rapport au règlement eIDAS actuel; |
Protection des données et cybersécurité
| 22. | met en garde contre une mise en œuvre trop hâtive de la solution d’un portefeuille européen d’identité numérique en raison des risques techniques qui découlent du stockage centralisé des données d’identité pour des utilisations le plus souvent mobiles. Une telle solution sera sans aucun doute considérée comme une cible de premier ordre pour des cyberattaques de toute sorte et elle doit donc pouvoir faire face à chacune des menaces qui se présentent; |
| 23. | attire l’attention sur l’importance de définir de manière appropriée les schémas de certification pour les portefeuilles d’identité numérique et les schémas d’identification électronique, dont la conception devrait ressortir non pas à une entité commerciale mais à l’Agence de l’Union européenne pour la cybersécurité (ENISA), en étroite collaboration avec des groupes d’experts, y compris des représentants des collectivités locales et régionales; |
| 24. | attire l’attention sur le risque réel que présente un regroupement centralisé de types d’identité de niveaux de garantie très disparates au sein d’une seule composante technique. Si des tiers venaient à utiliser indûment cette dernière, il se présente des risques d’une grande ampleur pour les utilisateurs autorisés. En sus des dommages d’ordre financier, l’on peut penser qu’un tel cas de figure entraînerait des atteintes à la bonne réputation et à l’honneur. Un hameçonnage ciblé pourrait également causer d’importants dommages consécutifs; |
| 25. | demande de mettre en œuvre sur le plan technique le portefeuille européen d’identité numérique de manière à lui conférer une robustesse suffisante contre les cyberattaques et à permettre à l’utilisateur autorisé de le réinstaller en toute sécurité grâce à des dispositifs de blocage appropriés ainsi qu’à des systèmes de sauvegarde sécurisés conçus à cette fin. Il s’impose de concevoir ce renforcement de la robustesse du portefeuille européen d’identité numérique comme un processus permanent. La sécurité dès la conception est le fondement du succès et de la pérennité de son utilisation, et elle est également indispensable pour les activités économiques qui y recourent; aussi conviendrait-il de la prévoir dès le stade de la boîte à outils; |
| 26. | estime qu’en sus des exigences en matière de protection des données, d’accessibilité et de cybersécurité, un facteur essentiel de réussite réside également dans une solution concernant l’information et la documentation qui soit transversale d’un point de vue méthodologique et adaptée au groupe cible des utilisateurs; |
| 27. | propose d’imposer l’obligation pour les prestataires de services, par la voie de règles contraignantes, de prévoir des réglages en principe simples et transparents pour accéder aux données du portefeuille européen d’identité numérique au moyen d’outils uniformes (par exemple un tableau de bord) et de les afficher de manière visible pour les utilisateurs; |
| 28. | préconise de concevoir le projet d’identité numérique européenne de telle sorte qu’il réponde à l’objectif de résilience numérique de l’Europe et qu’il renforce la souveraineté numérique de l’Union; |
| 29. | demande de vérifier dans quelle mesure la fourniture d’une boîte à outils d’accès libre («open source») certifiée et mise à disposition par l’Union européenne pourrait constituer une base technique générale pour les fonctions de base du portefeuille européen d’identité numérique, étant entendu que l’Union européenne se chargerait de coordonner la maintenance et le développement de cette boîte à outils; |
Participation aux processus d’utilisation
| 30. | recommande, dans le cadre de la mise en œuvre du portefeuille européen d’identité numérique au moyen d’applications données, d’exiger que l’ensemble du processus d’utilisation soit présenté sous une forme orientée sur ce processus qui soit compréhensible pour le public cible des utilisateurs. Il s’impose, dans les situations prévues d’utilisation, de faire valoir le portefeuille européen d’identité numérique en tant que composante qui s’imbrique de manière homogène et dotée d’interfaces simples pour transmettre des données à l’application, et de le présenter de manière visible comme un produit de l’Union européenne au moyen d’une symbolique et d’un langage de conception limpides; |
| 31. | propose d’harmoniser l’accès au portefeuille européen d’identité numérique de sorte que ses utilisateurs puissent autoriser de manière quasi routinière son utilisation ou son accès. À cet égard, il convient de tenir compte des exigences de minimisation des données. Cette routine, d’une part, facilite l’utilisation et, d’autre part, permet même aux personnes les moins familiarisées avec les choses de l’informatique d’éviter une utilisation incorrecte; |
Communication et acceptation
| 32. | tient pour nécessaire de toucher la population de l’Union au moyen d’une communication intensive sur le portefeuille européen d’identité numérique et sur les possibilités d’utilisation qu’il offre sur le marché intérieur de l’Union, ainsi que sur les précautions prises en matière de protection et de sécurité des données; fait observer que la connectivité de haut débit pour tous dans l’Union européenne, jusque dans ses régions rurales et isolées, constitue une condition préalable essentielle pour que les citoyens utilisent et acceptent le portefeuille européen d’identité numérique; |
| 33. | préconise d’aller au-delà de l’utilisation initiale du portefeuille européen d’identité numérique et de l’élargir également à une identité de l’Union dans le monde entier en prévoyant par exemple des fonctionnalités telles que le passeport (dépôt numérique de visas, par exemple) ou la certification officielle par l’Union d’une vaccination. À cet égard, il convient de permettre l’utilisation du portefeuille européen d’identité numérique avec les certificats qu’il contient également dans les pays tiers, par la voie d’accords qu’il conviendra de conclure; |
| 34. | presse la Commission européenne d’engager des discussions et des négociations intenses avec les fournisseurs d’équipements afin d’assurer sur le plan technique la mise à disposition du portefeuille européen d’identité numérique auprès des utilisateurs finaux. Il s’agit de proposer aussi rapidement que possible la base technique, y compris sur les appareils du segment des prix les plus bas. À l’heure actuelle, sont disponibles les premières familles d’appareils dans les segments des prix moyens et les plus élevés dotés d’une certification suffisante pour obtenir le niveau de garantie «substantiel» au sens du règlement eIDAS. Pour diffuser le portefeuille européen d’identité numérique, il est judicieux d’en envisager une distribution la plus large possible également dans l’idée de faire participer les entreprises en tant que prestataire de services; |
Subsidiarité
| 35. | constate la conformité de la proposition à l’examen avec le principe de subsidiarité. Un tel échafaudage technique à l’échelle de l’Union ne produit l’effet escompté que si les règles sont suffisamment uniformes. Ses modalités concrètes relèvent du domaine de réglementation respective de chacun des États. Il ne sera nécessaire d’évaluer que les instruments de la boîte à outils qui peuvent être employés de manière transversale. |
Bruxelles, le 12 octobre 2021.
Le président du Comité européen des régions
Apostolos TZITZIKOSTAS
Initiative législative — 52021IP0508
16/12/2021
Initiative législative — 52021IP0509
16/12/2021
Initiative législative — 52021IP0511
16/12/2021
Initiative législative — 52021IP0512
16/12/2021