Aller au contenu principal
Newsletter

Consultation publique sur l’E-ID

Die öffentliche Konsultation zum « Zielbild E-ID » wurde am 14. Oktober 2021 mit einer öffentlichen Diskussion an einer Konferenz abgeschlossen. An dieser Tagung habe ich folgende Rede gehalten:

Liebe E-ID Interessierte, geschätzte Damen bis Herren.

Ich bin beeindruckt. Und dankbar. Ich bin beeindruckt und dankbar, weil wir heute schon ein Zielbild einer vertrauenswürdigen, staatlichen E-ID öffentlich besprechen können. Nur wenige Monate, nachdem ich den Stapel der sechs gleichlautenden Motionen dem Generalsekretär des Parlaments überreichen konnte. Noch auf Papier versteht sich. Ein Zielbild, das – wenn ich die Zeichen richtig deute – in den grossen Linien reihum auf Wohlwollen stösst. Wohlwollen der Ratsmitglieder war auch nötig, während der kurzen aber intensiven Verhandlung für eine Neuauflage einer E-ID direkt nach dem Abstimmungssonntag zum E-ID Gesetz. Und ich bin froh, dass der Rückenwind, den nun die Forderung der Parlaments geniesst, von der Verwaltung aufgenommen wird, damit zügig ein Gesetzesprojekt, aber eben vor allem eine technische Umsetzung möglich wird.

E-ID als Fundament der Digitalisierung

Aber machen wir noch einmal einen Schritt zurück: Weshalb braucht es überhaupt eine E-ID? In den vergangenen Jahrzehnten haben die öffentlichen Verwaltungsapparate und die Privatwirtschaft unglaublich viel  unternommen, um ihre Dienste virtuell anzubieten. Dies zuweilen sehr  erfolgreich. Aber eben oft auch holprig. Gerade wenn es um Dinge geht, wo  eine Behörde oder ein Unternehmen Gewissheit haben muss, dass ich am virtuellen Schalter auch wirklich der bin, den ich vorgebe zu sein. Eine  Selbstverständlichkeit und Grundstein der physischen Schalterwelt wurde nämlich im virtuellen Raum aussen vor gelassen: der Personalausweis,  landläufig die ID. Wir haben gewissermassen die Digitalisierung vom Dach her gebaut, den Zubau des Fundaments müssen wir nun nachholen.

Nun, was fordert die Motion genau? Zusammengefasst: Der Staat soll die Menschen mit amtlich bestätigten digitalen Personeninformationen so ausstatten, dass sie sich selbstbestimmt und von den Behörden unbehelligt im digitalen Raum ausweisen können. Ähnlich also wie mit der physischen Identitätskarte heute.

Die Identitätskarte ist sowieso eine gute Analogie, um den Menschen zu vermitteln, wie eine E-ID funktionieren soll. Als Karteninhaber zeige ich die staatlich ausgestellte ID-Karte ja situativ, um amtliche Informationen an ein Gegenüber zu übermitteln. Bspw. um ein Bankkonto zu eröffnen, einen Strafregisterauszug zu erhalten, oder beim Alkoholkauf anonym ein Mindestalter zu belegen. Bei allen diesen Vorgängen ist es eine Angelegenheit zwischen der Karteninhaberin und dem Gegenüber; ohne Spuren bei der Behörde, die die Karte ursprünglich ausgestellt hat. Diese exemplarischen Anwendungsfälle müssen mit der E-ID auch im virtuellen Raum möglich sein.

COVID-Zertifikat als gutes Beispiel

Das COVID-Zertifikat taugt gut, um eine technische Umsetzung des dezentralen Ansatzes der ID in eine datensparsame digitale Welt zu illustrieren. Auch beim COVID-Zertifikat stellt die öffentliche Hand amtlich gültige individuelle Personeninformationen – hier in Form eines Zertifikats – aus. Diese können von den Menschen selbstbestimmt eingesetzt werden. Beim Validieren – bspw. am Eingang eines Festivals – wird die Gültigkeit des Zertifikats durch die interessierte Gegenpartei in Echtzeit geprüft, ohne dass die staatliche Behörde nachvollziehen kann, um welche Zertifikatsinhaberin es sich am anderen Ende handelt. Das ist deshalb möglich, weil nicht die eigentlichen Zertifikatsdaten verglichen werden, sondern nur ein Einbahn-kryptografisch berechneter Wert davon. Den Parteien werden sogar die technischen Bordmittel zur freien Verfügung gestellt. Das hat beispielsweise dazu geführt, dass Veranstaltungsticket-Plattformen das Zertifikat kurzerhand in ihre hauseigene Applikation einbauen konnten.

Man kann mit Fug und Recht behaupten, dass das COVID-Zertifikat technisch und methodisch gut aufzeigt, was die Motionen für eine vertrauenswürdige, staatliche E-ID fordern.

Apropos staatlich: Staatlich ist die E-ID dann, wenn der Staat die Kontrolle über den Ausstellungsprozess und den Betrieb hat. Auch das ist mit der Identitätskarte vergleichbar: Der Staat definiert die Beschaffenheit der Karte, orchestriert den Bereitstellungsprozess und stellt sie den Menschen am behördlichen Schalter aus. Dabei kommen diverse privatwirtschaftliche Komponenten ins Spiel, welche der Staat in der Privatwirtschaft beschafft.

Auch hierfür gibt das COVID-Zertifikat Hinweise, wie eine E-ID beschaffen sein müsste: So hat das Bundesamt für Informatik zwar einen Teil der Lösung selber umgesetzt. Die Zertifikats-App wurde jedoch von einem innovativen Schweizer KMU entwickelt und andere privatwirtschaftliche Komponenten durch das BIT in die Gesamtlösung eingebaut. Sicherheit  und damit Vertrauenswürdigkeit wurden durch Offenlegung des Quellcodes sichergestellt. Der Bund behält dabei immer das Heft von A-Z in der Hand.

Deux conditions pour une E-ID étatique

Je considère que deux éléments sont critiques pour le succès pour la mise en oeuvre d’une E-ID étatique:

Premièrement, la confiance, grâce à la transparence et à des étapes faciles à gérer est une condition sine qua non. L’approche pragmatique proposée par l’Office fédéral de la justice de vérifier la faisabilité technique sur la base de ce que l’on appelle des « preuves de concept » avant que les lois ne soient adaptées est juste. Le développement technique doit se faire en Open Source et se dérouler parallèlement au processus de consultation et au processus législatif.

Il est également envisageable qu’une première version de l’E-ID soit réalisée dans le cadre des possibilités légales actuelles. Ainsi, les identités électroniques de la Confédération, qui sont déjà plus d’un million, pourraient être transférées vers une infrastructure compatible selon la motion. Et il est essentiel d’éviter de légiférer sans tenir compte de l’évolution technique et des besoins de la population, de perdre beaucoup de temps et d’adopter des lois qui ne sont plus d’actualité lors de leur application. Il faut s’attendre à ce qu’une E-ID doive constamment répondre à de nouvelles exigences. Tôt ou tard, par exemple, la compatibilité internationale devra être réalisée, sans savoir aujourd’hui dans le détail ce qui sera convenu exactement.

Deuxièmement, une implication étroite des parties prenantes est nécessaire pour maximiser les avantages et donc la pénétration. Pour qu’une identité électronique crée la pénétration souhaitée et devienne courante, l’économie, le monde scientifique et la société civile doivent être impliqués et prendre la balle au bond pour leur part. Si l’économie en particulier en perçoit les avantages, elle peut agir comme une multiplicatrice extrêmement importante.

Et il est important de trouver un bon équilibre dans l’implémentation. D’une part, l’E-ID ne devrait vraiment être utilisée que lorsqu’une identification officielle est nécessaire, mais d’autre part, elle devrait être si répandue dans la population qu’elle soit disponible lorsqu’elle est nécessaire. Par exemple – et je fais une dernière référence à la mise en œuvre du certificat COVID – un “kit” pourrait être mis à disposition, qui pourrait être intégré dans les applications existantes. Par exemple, dans l’application CFF, qui est déjà installée des millions de fois.

De toute manière, la participation des parties concernées – telle qu’elle s’est déroulée jusqu’à présent et encore aujourd’hui – doit être garantie à long terme.

Avancer plus rapidement que jamais

Nous discutons d’un projet qui tient compte des développements techniques et sociaux de la numérisation dans un passé récent. Nous avons maintenant la possibilité de réaliser un projet solide et en même temps léger. Et si la discussion supplémentaire dans le cadre du référendum a permis d’acquérir beaucoup de connaissances, nous pourrons même, à moyen terme, avancer plus rapidement que jamais sur une voie largement acceptée.