L’Identité numérique est un sujet qui revient régulièrement sur le devant de la scène, hier dans la presse spécialisée, aujourd’hui dans les médias généralistes : l’identité numérique. Un sujet récurrent, car il nous concerne tous et qu’il a un impact de plus en plus important dans la vie de tous les jours. Si la sécurisation des données est le nouveau cheval de bataille des acteurs publics européens, c’est aujourd’hui l’identité numérique que l’on cherche à uniformiser pour protéger les données personnelles des utilisateurs, et éviter leurs utilisations abusives ou frauduleuses.
Définition empirique
L’identité numérique est décrite de différentes façon : empreinte numérique, empreinte digitale, “existence moi virtuelle ”.
La réputation en ligne et les images associées forment l’image associée l’identité numérique qui se manifeste à travers différents types de traces numériques.
Pour un grand nombre d’acteurs public, politiciens, chef d’entreprise et de citoyens, elle fait déjà partie de leur quotidien, et change la manière dont nous échangeons avec les institutions.
On parle alors identité agissante car elle est déterminée par les différentes actions menées sur le web par l’utilisateur.
On peut garder une trace de l’internaute en observant ses attitudes et ses habitudes à partir de ses comptes personnels de réseaux sociaux et messagerie.
De même que son ami sur Facebook notamment. Ses données seront ainsi récoltées.
Le code bancaire et le mot de passe sont stockés par la plupart des sites e-Commerce.
Définition de l’identité numérique régalienne
Une identité numérique est un ensemble d’attributs numériques (identifiants) et d’informations d’identification pour le monde numérique Qui permettent une identification comparable à l’identité d’une personne pour le monde réel.
Un système d émise ou réglementée par un système d’identification national, une identité numérique sert à identifier une personne en ligne ou hors ligne de manière indiscutable.
L’identité numérique comporte alors des attributs (identifiants) tels qu’un numéro, un nom, un lieu et date de naissance, une citoyenneté, des données biométriques, généralement définis par la législation nationale.
Cette identité numérique régalienne est caractérisée par une identification spécifique (un numéro d’identification unique comme en Inde, un identifiant mobile comme en Finlande ou en Estonie, ou une carte eID comme en Allemagne, Belgique, Italie, Espagne ou Portugal) qui peut être utilisée pour authentifier son propriétaire et donc garantir son identité.
Définition au sens de la blockchain
Cette identité numérique est calculée et résulte des différentes analyses menées à propos de l’identité agissante. Cela permet d’établir un profil de l’individu ou d’un service auquel il est affilié.
La Blockchain qui est une technologie de stockage et de transmission d’informations, transparente, sécurisée, fonctionnant sans contrôle centralisé sont mis en œuvre en Estonie, afin d’appuyer le développement d’un programme d’e-résidence, et au Royaume-Uni pour améliorer l’efficacité des versements des prestations sociales.
Depuis 2016*, les « Dispositifs d’Enregistrement Électronique Partagé (DEEP) », davantage connue par le grand public sous son appellation anglophone de « blockchain technology » ont une existence légale en France.
Une blockchain est un réseau d’ordinateurs – plus ou moins nombreux et puissants – qui s’échangent des informations et des données. Les protocoles et algorithmes. En dictent aux ordinateurs, qui reconnectent une façon d’échanger des informations réciproques.
Ces ordinateurs connectés au reseau consacrent une partie de leur puissance de calcul pour valider, enregistrer et maintenir en toute autonomie un journal et un historique commun des échanges effectués par les utilisateurs d’un DEEP.
La nature de ces transactions d’informations peut varier selon l’objectif de chaque DEEP : transactions financières (p.n.b. Bitcoin), transactions contractuelles (contrats numériques), transactions sociales (droits de votes électroniques et signature électronique) et transactions phygitales (traçabilité numérique de biens de consommation et de produits physiques).
Nouveaux besoins, nouveaux défis pour l’identité et les données personnelles
L’émergence de nouveaux droits numériques
On comprend mieux ce qui est attendu de l’identité numérique.
Par exemple le ressortissant et le résident français disposent d’un système de mutualisation des authentifications mis en place par l’État dans un contexte administratif, France Connect, qui repose sur la distinction entre des fournisseurs d’identité et des fournisseurs de service
Les informations d’identité sont sécurisées électroniquement et permettent d’identifier leur détenteur :
- Dans le monde réel grâce à une lecture numérique
- En ligne dans un contexte numérique.
La numérisation des données d’identité doit répondre aux quatre demandes sociales exprimées ci-après.
- Droit à la préservation d’un espace d’intimité qui concerne l’ensemble des données personnelles de l’individu.
- Droit à la « sûreté numérique » et protection contre les différentes atteintes à la personne qu’il s’agisse d’usurpation d’identité, d’atteinte à la réputation ou au « libre-arbitre »
- Droit à la résilience de l’identité légale numérisée en cas d’attaque
- Droit à profiter d’un environnement numérique de confiance où les allégations produites peuvent être certifiées grâce à l’approfondissement de la relation entre l’État et d’autres acteurs clés de la vie du citoyen (banques, assurances, établissement de formations diplômants…).
Les États régaliens doivent mettre en place les textes et les procédures nécessaires à la réalisation de ce nouvel équilibre social, ainsi que les institutions nécessaires. Cependant la réalisation d’un tel univers de confiance passe aussi par des processus et des innovations techniques.
C’est pour cela que le concept “privacy by design” qui consiste à instaurer d’emblée « un paramètre basé sur le plus haut niveau de protection des données personnelles est capital.
Les Orientations techniques d’identité numérique
Déclinés en spécifications, les objectifs politico-juridiques doivent être traduits par les orientations techniques suivantes :
Permettre la minimisation des informations communiquées (exemple de la preuve de majorité requise pour un achat en ligne sans communication de son identité, ou même de sa date de naissance) ;
la recherche de la minimisation doit s’apprécier dans un contexte plus général de dissociation de l’identification et de l’authentification (dans le monde physique, pour prendre le métro, il n’est pas nécessaire de décliner son identité).
Cette dissociation doit aller jusqu’à l’utilisation de pseudonymes, comme dans certains domaines de la vie courante.
La recherche de la minimisation des données personnelles communiquées s’apparente au principe de proportionnalité dégagé par la CNIL, selon lequel seules les données « utiles » pour l’accès au service doivent être communiquées.
Ce principe est aussi parfois nommé « distributivité sélective ». Dans le même temps, il paraît de plus en plus nécessaire d’ancrer toutes les données dans un univers de confiance : toute identification doit reposer sur l’identité juridique préservée comme référent unique, incontournable, gage de la sécurité juridique indispensable à la vie civile, économique, et à la préservation de l’ordre public. Assurer la résilience de l’identité en cas d’usurpation, implique de s’arrimer à l’identité régalienne.
La défense contre l’usurpation des données personnelles réaffirmer le rôle de l’État comme garant des données d’identité, de leur caractère incontestable et vérifiable, comme tiers de confiance ultime.
La mise en place du principe de privacy by design implique aussi de permettre à l’individu d’accéder aux données qui le concernent, voire de manifester son consentement avant de recueillir les informations qui le concernent. Non seulement il est important de l’informer et de recueillir son avis, mais il serait aussi nécessaire de lui permettre en tout temps de faire valoir ses droits : rectification, effacement, portabilité, retrait du consentement.
Ces diverses capacités participent l « encapacitation » de l’individu ou l’accroissement de sa responsabilité, en lui offrant la possibilité de contrôler l’usage de ses données personnelles et, même, de contribuer à la gestion de ses propres données.
L’objectif est de lui offrir la possibilité de décider lui-même du périmètre des données communiquées en fonction de l’usage en ligne qui est recherché. La réalisation de cette gestion par l’individu de ses propres données personnelles serait un apport décisif, surtout si l’on parvient à conserver l’ancrage des données sur l’identité régalienne.
Une réflexion plus approfondie révèle que le danger est celui de « l’associabilité » qui consiste à pouvoir relier les actions effectuées par l’utilisateur dans des contextes différents.
Le cloisonnement des données doit être de rigueur : France Connect recueille un trop grand nombre de données d’identité sans que cela soit nécessaire
Les usurpations constantes du titre d’ingénieur ou de docteur sont un bon exemple du besoin de contrôle.
La Blockchain et identification numérique pourrait aller jusqu’à la détention d’un support individuel des données personnelles par la personne intéressée.
QUEL MODÈLE ÉCONOMIQUE POUR GERER L’IDENTE NUMERIQUE?
L’identité numérique c’est des enjeux économiques importants. La Poste a choisi de rendre accessible gratuitement son service d’identité auprès du GRAND public, mais va le facturer pour le BtoBtoC.
Exemple: Une banque veut utiliser cette solution pour offrir la possibilité à ses clients d’ouvrir un compte bancaire en ligne alors elle doit payer.
En Europe, la mise en place d’une identité numérique publique pose également la question de la place des industriels du secteur. « Il faut une étroite collaboration entre le gouvernement qui émet l’identité régalienne et les industriels de l’identité qui pourront déployer les solutions technologiques« , estime Philippe Barreau, président de la Secure Identity Alliance, entité regroupant 3M, Gemalto, Morpho (Safran) et Oberthur Technologies.
Pour Conclure
La mise en place d’une architecture décentralisée d’identification doit être favorisée, sauf en ce qui concerne l’identité légale car c’est le fondement de la certitude.
Le schéma actuel d’identification construit autour de France Connect qui pour l’instant se fonde sur des moyens d‘identifications électroniques ne fonctionnant pas à partir de titres électroniques est intéressant.
On doit permettre pour les forces de sécurité de mettre à profit les ressources de traçabilité pour faciliter la recherche de délinquants et de terroristes dans les conditions d’un État de droit sous le contrôle de la justice.
L’identité doit être accessible pour permettre une vérification de l’identité juridique de l’administré : un seul maître mot : la confiance qui est garantie par l’ancrage de l’identité numérique dans l’identité régalienne.
L’identité des individus est garantie par l’État et l’identité numérique doit continuer à se fonder sur cette identité régalienne même si on peut agir sous un pseudonyme.
La victime d’une usurpation d’identité doit disposer d’un recours étatique. Confiance dans l’usage fait par le service en ligne des seules données identifiant ou authentifiant un utilisateur grâce à la minimisation et au cloisonnement des données transmises qui deviendra la règle
La minimisation doit décourager et à limiter la portée de toute utilisation frauduleuse des données. Cela va induire la confiance dans les allégations produites sur Internet par une certification appropriée.
Exemple : les usurpations de diplômes sont certainement plus répandues mais tout aussi nocives pour un bon fonctionnement de la société que les usurpations d’identité.
Chacun doit pouvoir s’identifier ou de s’authentifier grâce aux données de son choix, pour lutter contre la crainte d’un big brother omniscient que celle et plus concrètement contre le profilage.
Confiance dans la traçabilité des actions qui pourront être mises au jour par les forces de l’ordre dans un contexte de lutte contre la criminalité et le terrorisme. Certains que ces objectifs peuvent paraitre difficiles à concilier ; de surcroît, certains ne sont pas uniquement du ressort de l’État. Il importe cependant de déterminer dans quelle mesure et à quelles conditions l’utilisation de blockchains peut aider à les atteindre.
Bibliographie:
LE RÈGLEMENT EIDAS : “Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique, et abroge la directive 1999/93/CE. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement.”
