Loi sur l'e-ID: la volonté populaire ignorée

par Michael Straumann*

(2 février 2025) En 2021, les Suisses ont rejeté la loi sur l'e-ID. Le Conseil fédéral et le Parlement tentent désormais de faire passer l'identité électronique à l’aide d’un nouveau projet. – Ce ne sont pas les citoyens qui délégitiment l'Etat, c'est l'Etat lui-même.

L'exemple le plus récent est le projet de loi sur l'identité électronique en Suisse, adopté le 20 décembre par le Conseil national et le Conseil des Etats lors de la session d'hiver.¹ Il s'agit de faire en sorte que tous les ressortissants suisses et les personnes disposant d’un titre de séjour en Suisse obtiennent à l'avenir, outre leur passeport et leur carte d'identité, un certificat numérique électronique (e-ID). Le gouvernement fédéral prévoit déjà son introduction pour 2026 – ce qui soulève la question: pourquoi une telle précipitation?

Les votes populaires ne sont plus contraignants pour la politique

Il y a quatre ans, les Suisses ont déjà voté sur le projet de loi sur l'e-ID,² qui avait alors connu un échec cuisant! 64,4% des votants s’étaient opposés à l'identité électronique. Au lieu d'accepter simplement la volonté du peuple, le gouvernement suisse ose maintenant une deuxième tentative. Ce n'est pas le premier cas où le Conseil fédéral ne met pas en œuvre les décisions du peuple. On se souvient de l'initiative contre l'immigration de masse,³ acceptée par 50,3% des votants en 2014. L'initiative demandait que la Suisse gère à nouveau l'immigration de manière autonome par des nombres maximums et des contingents. En 2016, le Parlement a décidé une mise en œuvre qui prévoyait un traitement préférentiel pour les demandeurs d'emploi nationaux dans certaines catégories professionnelles, sans pour autant introduire de contingents. Les exigences de l'initiative n'ont pas été mises en œuvre.⁴

La même chose se produit actuellement avec la loi sur l'e-ID. En 2021, on a voté sur une identité électronique émise par des entreprises privées. Cette fois, le Conseil fédéral tente d'imposer l'e-ID par la voie étatique. La Confédération affirme avec audace⁵ que la loi sur l'e-ID a été rejetée parce que la population ne voulait pas que l'e-ID soit délivrée par des entreprises privées.

Cependant, si l'on étudie l'analyse VOX de cette votation populaire, on s'aperçoit que cela ne correspond pas à la vérité. Depuis 1977, l'analyse VOX⁶ étudie à la suite des votations le comportement de vote de la population suisse afin de déterminer les raisons des décisions prises. Lors de la votation sur la loi e-ID,⁷ l'analyse a constaté que deux aspects étaient au premier plan des motivations du camp du non: la protection des données et le rôle de l'Etat. En troisième lieu, le scepticisme à l'égard du rôle des émetteurs privés de l'e-ID n'a été exprimé que de manière isolée. Il s'agissait donc en général de préoccupations liées à la protection des données – et non pas de la question de savoir si ce sont des entreprises privées ou l'Etat qui émettent l'e-ID.

L'initiative contre l'immigration de masse et la loi sur l'e-ID montrent que la politique suisse ne se conforme à la volonté du peuple que lorsque cela correspond à son propre agenda.

«Facultatif», mon œil!

Le Conseil fédéral affirme que l'e-ID sera «facultative» – le même Conseil fédéral qui, au début de la campagne de vaccination contre la Covid au printemps 2021, affirmait que le certificat Covid serait volontaire. Par la suite, la règle des 3G a été introduite sur l'ensemble du territoire suisse et la règle 2G a été mise en œuvre cet hiver après le deuxième référendum contre la loi Covid.

Le scepticisme n'est toutefois pas seulement de mise en raison des expériences de la période covid. La loi sur l’e-ID prévue contient une disposition selon laquelle l'identité électronique doit être acceptée partout où une pièce d'identité traditionnelle est aujourd'hui exigée. Cela signifie qu'en tant que citoyen, on peut continuer à s'identifier à ces endroits avec sa carte d'identité physique. Mais cette protection est loin d'être suffisante. En effet, elle ne concerne que les endroits où une pièce d'identité traditionnelle doit déjà être présentée actuellement. Cela ne concerne toutefois pas les futurs lieux d'utilisation de l'e-ID. De plus, l'article 31 de la loi sur l'e-ID prévoit des dispositions problématiques en matière de frais:⁸

Les cantons peuvent exiger des taxes supplémentaires lorsque des personnes souhaitent obtenir des services sur place plutôt qu'avec l'e-ID. En d'autres termes, on est discriminé financièrement si l'on ne veut pas présenter d'e-ID.

Parallèlement à l'adoption de la loi sur l'e-ID, le Conseil des Etats suisse a accepté une motion⁹ selon laquelle la signature d'initiatives ou de référendums ne devrait à l'avenir être possible qu'avec l'e-ID. Cela signifie que les citoyens suisses seront contraints d'utiliser une identité électronique pour pouvoir exercer leurs droits démocratiques.

Protection des données insuffisante

Un autre point critique de l'e-ID prévue par le Conseil fédéral est la protection des données. Pour l'établissement de cette e-ID, on utilise ce qu'on appelle la «détection de présence».¹⁰ Cette procédure vérifie que la personne qui s'identifie est bien une personne présente et vivante et qu'il ne s'agit pas d'une imitation ou d'une tentative de fraude. la «détection de présence»¹¹ va certes au-delà d'une simple comparaison du visage avec une image à basse résolution de l'Office fédéral de la police suisse (fedpol), utilisée pour l'e-ID et le passeport. Toutefois, grâce à l'intelligence artificielle, les prises de vue «deep fake» sont désormais très répandues. Lors de l'établissement de l'e-ID, le visage est le critère déterminant, ce qui est extrêmement problématique.

A l'époque des médias sociaux, où tout le monde poste des photos de soi, on trouve des prises de vue de presque tout le monde sur Internet. Ces images peuvent être utilisées abusivement pour des «deep fakes» ou même pour des masques de fabrication professionnelle. Avec une procédure d'émission aussi peu sûre, l'obtention frauduleuse d'une e-ID devient un jeu d'enfant. C'est la porte ouverte à l'usurpation d'identité.

La Confédération est parfaitement consciente que la procédure d'émission qu'elle a choisie n'est pas sûre. La loi elle-même en témoigne: les données issues du processus d'établissement doivent être conservées pendant 20 ans et les données biométriques ne sont effacées que cinq ans après l'expiration de l'e-ID (cf. article 27).¹² La longue durée de conservation est nécessaires à des fins d’enquête concernant l’obtention frauduleuse d’une e‑ID. La Confédération admet ainsi qu'une personne puisse utiliser une e-ID pendant des années sous une fausse identité.

Par ailleurs, le Forum économique mondial (WEF) met lui aussi en garde contre l'usurpation d'identité par des enregistrements deep fake:¹³

«Avec la disponibilité croissante d'outils d'IA sophistiqués pour les fraudeurs, le problème s'aggrave de manière dramatique. La technologie de deepfake pilotée par l'IA permet aux criminels d'imiter à s'y méprendre l'apparence des personnes. Ils peuvent ainsi contourner les systèmes de vérification et obtenir l'accès à des ressources sensibles.»

La protection des données n'est pas seulement menacée lors de l'émission de l'identité électronique. Chaque fois que l'on présente sa carte d'identité électronique, les données correspondantes sont enregistrées sur des serveurs. Or, de nombreuses entreprises ne disposent pas de systèmes de cybersécurité qui protègent suffisamment ces serveurs. Cela fait des entreprises et des données sensibles des citoyens une cible attrayante pour les cybercriminels. La loi sur l'e-ID n'exige toutefois pas de normes de sécurité supplémentaires pour protéger les titulaires de l'e-ID contre de telles cyberattaques.

De la transparence? C'est raté!

L'identité électronique est-elle au moins mise en place de manière transparente? Pas du tout! Pour que la Confédération puisse garantir que l'e-ID protège réellement la sphère privée, l'ouverture des sources du logiciel doit être assurée. Or, cela n'est pas prévu dans la loi sur l'e-ID. La loi permet de garder le code source secret «tant que les droits de tiers ou des motifs importants de sécurité excluent ou limitent» sa divulgation (cf. article 12).¹⁴ Le logiciel de l'e-ID n'est donc pas basé sur les principes de l'open source.

La Confédération suit plutôt le concept de Sécurité par l’obscurité,¹⁵ qui tente de garantir la sécurité d'un système en gardant son fonctionnement secret. Le National Institute for Standards and Technology le déconseille expressément.¹⁶ Ainsi, l'Etat suisse ignore l'état actuel de la recherche en matière de sécurité informatique.

Surveillance et contrôle

Outre le caractère prétendument volontaire, la protection insuffisante des données et le manque de transparence, le potentiel d'abus par la surveillance est un autre point central de la critique. Avec l'e-ID, l'Etat a la possibilité de suivre ses citoyens à la trace. Contrairement à l'e-ID, les pièces d'identité physiques ne laissent guère de traces numériques. Elles ne sont que rarement demandées dans la vie quotidienne et les données ne sont généralement pas enregistrées. Avec l'e-ID, c'est complètement différent. Chaque fois que l'on présente le certificat numérique électronique, des données personnelles sont enregistrées.

La Suisse ne serait pas le premier pays à disposer d'une e-ID. Dans certains pays, l'infrastructure de la carte d'identité numérique électronique est déjà utilisée pour surveiller et contrôler la population. L'exemple le plus marquant est la Chine avec son système de crédit social. En Autriche et en Italie également, de tels systèmes de crédit social sont déjà testés.¹⁷ L'e-ID pourrait donner à l'Etat un instrument de surveillance qui dépasse de loin les possibilités de contrôle des systèmes totalitaires du siècle dernier. L'e-ID représente donc un danger considérable pour les droits fondamentaux des citoyens en Suisse. Il convient à cet égard de se référer au Message du Conseil fédéral relatif à la loi sur l'e-ID, où l'on peut lire sous Contenu du projet:¹⁸

«L’infrastructure de confiance mise en place par la Confédération pour gérer les e-ID peut également être utilisée par les autorités cantonales et communales et par les acteurs du secteur privé qui souhaitent établir des moyens de preuves électroniques. Ainsi, les documents officiels, tels que les attestations de domicile ou les extraits du registre des poursuites, mais aussi les diplômes, les billets de concert ou les cartes de membre, peuvent être émis sous forme numérique à l’aide de l’infrastructure de confiance de l’Etat, puis enregistrés et gérés en toute sécurité dans l’application fournie par la Confédération ou dans une application de son choix.»

Cela signifie-t-il qu'à l'avenir, les certificats et attestations de vaccination seront également émis via l'e-ID? Dans le message, au chapitre 4 «Présentation du projet», sous-titre «Réglementation proposée» il est précisé:¹⁹

«Dans ce cadre, l’Etat exploitera les systèmes de base nécessaires (registre de base, registre de confiance) et offrira un portefeuille électronique étatique sous forme d’application mobile, qui pourra contenir l’e-ID et d’autres moyens de preuves électroniques. Les titulaires du portefeuille pourront présenter leur e-ID et autres moyens de preuves électroniques de manière sécurisée et transparente.»

Ce «portefeuille étatique» est-il un cheval de Troie pour toutes sortes de justificatifs – que ce soit le certificat de vaccination ou le compte CBDC? Une chose est sûre: avec l'e-ID, l'Etat obtient de vastes possibilités de surveiller, de contrôler et de piloter ses citoyens.

Dans quelle mesure l'e-ID est-elle réellement étatique?

L'e-ID est exploitée avec un logiciel propriétaire.²⁰ Contrairement aux logiciels open source, le fournisseur contrôle strictement la manière dont le logiciel peut être utilisé et transmis à autrui.

Pour la mise en œuvre de l'e-ID, fedpol est tributaire de la collaboration avec une entreprise privée. fedpol elle-même n'est responsable que du stockage et de la gestion des données. Ainsi, en février 2024, un appel d'offres a été publié pour la vérification en ligne des demandeurs dans le cadre du processus de délivrance de l'e-ID.²¹ Le mandat a ensuite été attribué à ELCA Informatique SA,²² une entreprise basée à Pully dans le canton de Vaud. Bien que les Suisses aient rejeté le premier projet de loi sur l'e-ID faisant appel à des entreprises privées en tant qu'émetteurs, la nouvelle e-ID étatique continue de dépendre de ces dernières.

En outre, le certificat d'identité électronique prévu ne fonctionnera dans un premier temps que sur les systèmes d'exploitation d'Apple et de Google. Même Rolf Rauschenbach, le chargé d'information e-ID, l'a reconnu lors d’un événement de l'organisation de protection des données «Société numérique». A la question de savoir si l'application portefeuille électronique, dans lequel l'e-ID est enregistrée, sera également disponible en dehors du Google Play Store ou de l'Apple App Store, il a répondu:²³

«Au début, non. Et cela est justement lié au fait que nous voulons garantir le «holderbinding», c'est-à-dire être sûrs qu'une e-ID est émise dans un portefeuille fédéral et non dans un autre portefeuille. Et lors de la présentation, il doit être possible de prouver par cryptographie que l'e-ID présentée a effectivement été émise dans un portefeuille fédéral. Et pour cela, nous devons recourir à certaines infrastructures des fabricants d'appareils et des fournisseurs d'App Store. Ce n'est malheureusement pas possible autrement.»

En d'autres termes: pour obtenir un e-ID, un citoyen suisse est entièrement à la merci des grands groupes technologiques. Cela montre à quel point l'E-ID n'est en réalité pas «étatique».

Pourquoi une e-ID?

On peut donc se demander à quoi sert une preuve d'identité numérique. Quel est le but de l'opération? La Confédération explique d'une part que l'e-ID est nécessaire pour les démarches administratives.²⁴ Mais pour cela, il n'est pas nécessaire d’avoir une e-ID, car il existe déjà un service d’authentification des autorités.²⁵

D'autre part, la Confédération explique que le certificat d'identité numérique est destiné à la vérification de l'âge au quotidien,²⁶ par exemple au supermarché ou au kiosque. Pour cela, la carte d'identité physique suffit entièrement, de toute façon elle est plus appropriée en termes de protection des données, puisqu'aucune donnée n'y est enregistrée. Les cartes d'identité traditionnelles sont nettement supérieures à l'e-ID, tant en termes de sécurité que d'économie de données.

Les organisations de défense des droits civiques lancent un référendum

Plusieurs organisations ont annoncé début janvier qu'elles allaient lancer un référendum contre la loi sur l'e-ID – notamment le Mouvement de défense des droits civiques «MASS-VOLL!» dont je fais moi-même partie et dont j'ai été membre du comité pendant deux ans.

«Lehrernetzwerk Schweiz» [Réseau suisse des enseignants], le groupe de policiers «Wir für euch» [Nous pour vous], «Mouvement Fédératif Romand», «Action Suisse», «HelvEthica Ticino», «Piratenpartei Schweiz», «Amis de la Constitution» et «Aufrecht Schweiz» récoltent également des signatures contre la Loi sur l’e-ID.

* Michael Straumann, né en 1998, étudie les sciences politiques et la philosophie à l’Université de Zurich et travaille comme stagiaire rédactionnel pour le magazine «Schweizer Monat». Il est l’éditeur de «StrauMedia».

Source: https://www.straumedia.ch/p/der-ignorierte-volkswille, 21 janvier 2025

(Traduction «Point de vue Suisse»)

1 https://www.eid.admin.ch/fr/parlament-verabschiedet-das-e-id-gesetz-f

2 https://de.wikipedia.org/wiki/Eidgen%C3%B6ssische_Volksabstimmung_%C3%BCber_das_e-ID-Gesetz

3 https://www.ejpd.admin.ch/ejpd/fr/home/themes/abstimmungen/2014-02-09.html

4 https://www.swissinfo.ch/ger/demokratie/presseschau_nicht-umsetzung-einer-volksinitiative-wirft-hohe-wellen/42759520

5 https://x.com/barbouillech/status/1878881144013500489?mx=2

6 https://vox.gfsbern.ch/fr/

7 https://vox.gfsbern.ch/wp-content/uploads/2021/04/d_vox_schlussbericht_def.pdf

8 https://www.fedlex.admin.ch/eli/fga/2025/20/fr

9 https://www.parlament.ch/de/services/news/Seiten/2024/20241211101944914194158159026_bsd056.aspx

10 https://www.klippa.com/fr/blog/informations/detection-de-presence/

11 https://x.com/i/spaces/1OwGWNwPDApKQ/peek?clipID=e71ebd44-9fa1-4116-9975-80f215bbb05e

12 https://www.fedlex.admin.ch/eli/fga/2025/20/fr#art_27

13 https://www.weforum.org/stories/2025/01/how-ai-driven-fraud-challenges-the-global-economy-and-ways-to-combat-it/

14 https://www.fedlex.admin.ch/eli/fga/2025/20/fr#art_12

15 https://fr.wikipedia.org/wiki/Sécurité_par_l%27obscurité

16 https://fr.wikipedia.org/wiki/Sécurité_par_l%27obscurité

17 https://www.derstandard.at/consent/tcf/story/2000137200820/belohnung-fuer-umweltfreundliches-verhalten-was-bringen-oekotokens

18 https://www.fedlex.admin.ch/eli/fga/2023/2842/fr

19 https://www.fedlex.admin.ch/eli/fga/2023/2842/fr#lvl_4/lvl_4.1

20 https://www.egovernment.de/was-ist-proprietaere-software-a-880466/

21 https://www.eid.admin.ch/fr/fedpol-publie-l-appel-d-offres-pour-la-solution-d-authentification-en-ligne-des-personnes-demandant-la-delivrance-d-une-e-id

22 https://x.com/LangstrumpfPipo/status/1879546390814261345

23 https://www.digitale-gesellschaft.ch/event/netzpolitischer-abend-zu-stand-der-entwicklung-der-staatlichen-e-id/

24 https://www.fedlex.admin.ch/eli/fga/2023/2842/fr

25 https://www.agov.admin.ch/fr

26 https://www.fedlex.admin.ch/eli/fga/2023/2842/fr