À l'approche de son adoption définitive, une loi européenne sur l’identité numérique fait craindre des répercussions problématiques concernant la protection de la vie privée sur Internet. Explications.

Au cours des dernières années, l'Union européenne a adopté des textes de loi significatifs marquant un tournant dans la manière dont nos données privées sont gérées par les grandes entreprises de la Tech, entre autres. On pense par exemple à celui qui a forcé l'arrivée des iPhone avec un connecteur USB-C, à la loi sur les services numériques (DSA) ou encore au Digital Markets Act qui entraîne pas mal de changements pour les services Google, Microsoft  ou Apple. Pas de la meilleure manière pour ce dernier d'ailleurs.

Globalement, ces lois sont un pas dans la bonne direction, protégeant le consommateur européen et obligeant les géants américains à plus de transparence et d'ouverture. Mais il y en a certaines qui font grincer des dents les défenseurs de la vie privée sur Internet. Celle sur le portefeuilles numérique européen en fait partie. Nommée eIDAS 2.0, c'est en réalité une révision de la précédente loi sur l'identité numérique en vigueur dans l'UE. Si son but principal est de permettre la dématérialisation des documents officiels comme la carte d’identité ou le permis de conduire, ce n'est pas son seul objectif.

Une loi européenne pourrait se révéler désastreuse pour la vie privée des internautes

La loi eIDAS 2.0 veut aussi modifier la façon dont les navigateurs Web gèrent la sécurité et l'authentification des sites Internet. Pour comprendre, il faut d'abord expliquer ce qu'il en est actuellement. Levez les yeux vers le haut de l'écran et regardez à gauche de la barre d'adresse. Vous voyez le symbole représentant un cadenas ? Il indique que l'accès au site de Phonandroid utilise le protocole HTTPS. Cela signifie que la connexion entre le navigateur et le serveur qui la fournit est chiffrée.

Lire aussi – L’Union européenne adopte la loi sur la régulation de l’IA après quelques modifications

En cliquant sur le cadenas, vous pouvez voir le message “Votre connexion à ce site est sécurisée” sur Firefox par exemple. Et vous voyez également qui a délivré le certificat permettant d'affirmer cela. Toujours dans le cas de ce site, c'est Google Trust Services LLC. C'est ce point précis que veut changer l'article 45 de la loi eIDAS 2.0. S'il est appliqué en l'état, le texte permettra aux gouvernements des États membres de délivrer eux-mêmes ces certificats. Les navigateurs seront obligés de les accepter comme dignes de confiance.

Cela va même plus loin puisque Firefox, Google, Opera et les autres n'auront pas le droit de retirer ces certificats même s'ils constatent des activités malveillantes, à moins que les gouvernements ne l'autorisent. Pour la professeure associée de l'École polytechnique fédérale de Lausanne Carmela Tronsoco, “[la loi] modifie l'équilibre des pouvoirs en déplaçant ces contrôles de sécurité vers les États membres“, ce qu'elle trouve “extrêmement dangereux“. En théorie, cela autoriserait les autorités à intercepter tout notre trafic Internet.

Même un VPN ne pourrait pas éviter la surveillance sur Internet si la loi européenne eIDAS n'est pas modifiée

L'avis de Harry Halpin, informaticien et créateur de NymVPN, est beaucoup plus tranché. Selon, lui, l'Europe deviendrait “un régime de surveillance pire que celui de la Chine et de la Russie“. Il pense que “le Parlement européen ne savait pas ce qu'il faisait” et qu'il est “incroyable qu'une règle aussi idiote soit adoptée“. Au-delà des formules chocs, il rappelle qu'après application de eIDAS 2.0, les VPN ne seront plus une solution efficace pour protéger sa vie privée sur le Web.

Lire aussi – Netflix, Prime Video : l’Europe voudrait lever le géoblocage des plateformes de streaming

Le gouvernement se retrouverait en effet “au milieu de notre connexion“. Il explique que “le VPN est à un niveau inférieur : il défend la connexion réseau, mais il y a aussi le site Web ou l'application qui s'exécute au-dessus du réseau. Utiliser un VPN n'aurait pas vraiment d'importance car le gouvernement pourrait intercepter le trafic au niveau du navigateur Web. Il pourrait légalement intercepter tout le trafic […], même s'il est crypté, et s'il ne veut pas que vous ou même Google en soyez informés“.

Tout n'est heureusement pas si noir dans les faits. La version actuelle de la loi eIDAS 2.0 est pour l'instant provisoire. Les équipes du navigateur Opera par exemple, sont confiantes et estiment qu'elle sera révisée avant son adoption. Les experts s'accordent pour dire que le texte définitif sera présenté en mars 2024, afin qu'il soit entériné avant les élections européennes de juin.

Source : TechRadar