Il est temps d’aborder un sujet qui fait régulièrement la une des médias : l’identité numérique. Ce concept, de plus en plus important dans notre vie quotidienne, concerne chacun d’entre nous. Alors que les autorités publiques européennes se concentrent sur la sécurisation des données, l’attention se tourne désormais vers l’uniformisation de l’identité numérique afin de protéger les informations personnelles des utilisateurs et de prévenir les abus et les fraudes.
Qu’est-ce que l’identité numérique ?
La définition de l’identité numérique peut varier selon les personnes et reste floue pour certains. Pourtant, ce concept est essentiel dans l’univers d’Internet, mais on ne s’y intéresse que depuis peu.
L’identité, propre à chaque individu, évolue tout au long de sa vie. Garantie par l’État, elle regroupe des critères permettant d’identifier une personne tels que le prénom, le nom, la date de naissance, les caractéristiques physiques, la filiation, etc. Des attributs supplémentaires, tels que le statut matrimonial, les empreintes digitales ou l’emploi exercé, peuvent également compléter cette identification. L’identité numérique, quant à elle, ajoute des attributs numériques tels que les identifiants de connexion (adresse e-mail, mot de passe) ou encore l’adresse IP. En somme, l’identité numérique représente l’ensemble des attributs et des données qui permettent d’identifier une personne, une organisation ou une entreprise en ligne.
Avec l’essor d’Internet et du cloud, la conservation et la sécurisation des données personnelles en ligne sont devenues des enjeux majeurs. Les récentes fuites massives de données, touchant aussi bien des entreprises privées comme Facebook que des organismes publics tels que l’AP-HP, ont mis en lumière la vulnérabilité des systèmes de gestion des données personnelles, souvent centralisés. Afin de remédier à ces failles, de nombreux acteurs proposent désormais des solutions garantissant une identité numérique sécurisée.
La gestion de l’identité numérique aujourd’hui
Il est maintenant possible de créer un compte ou de s’identifier grâce à un unique service, tel que Google ou Facebook, pour effectuer des achats en ligne ou s’abonner à des services de streaming. LinkedIn peut également être utilisé pour postuler à un emploi. Ces moyens d’identification en ligne ont simplifié la vie de millions d’internautes : plus besoin de retenir tous ses mots de passe, la saisie automatique des informations de connexion sur n’importe quel appareil permet de gagner un temps précieux. Mais sont-ils pour autant plus sécurisés ?
Face à la multiplication des fuites de données et des pratiques de traitement des informations personnelles, la Commission européenne a mis à jour le règlement eIDAS (Identification électronique et services de confiance). Cette deuxième version vise à fournir un cadre strict pour l’identification électronique, les services de confiance et les documents électroniques. Elle favorise l’interopérabilité au sein de l’Union européenne et encourage ainsi le développement d’un marché unique de la confiance numérique.
Ce règlement prévoit trois niveaux de garantie pour les moyens d’identification électronique, accordés en fonction du respect des spécifications, des normes et des procédures minimales. Cela comprend un niveau de sécurité faible, réduisant le risque d’utilisation abusive ou d’altération de l’identité, un niveau de sécurité substantiel, réduisant substantiellement ce risque, et enfin un niveau de sécurité élevé, empêchant toute utilisation abusive ou altération de l’identité.
Guidés par le règlement eIDAS, de nombreux services de confiance ont pu mettre en place des dispositifs d’identification sécurisés. À l’avenir, nous verrons l’émergence de services liés à la gestion des attestations électroniques d’attributs dans des portefeuilles d’identités numériques, offrant une sécurité accrue.
Vers une identité numérique décentralisée
Pour uniformiser les pratiques et garantir une meilleure sécurité aux utilisateurs, de nombreuses solutions existent, dont l’identité numérique décentralisée semble se démarquer. Cette approche respecte la philosophie du règlement eIDAS tout en offrant un niveau de sécurité supérieur aux systèmes traditionnels de gestion des identités numériques.
Actuellement, la plupart des services de gestion des identités numériques sont centralisés. Chaque individu possède donc autant d’identités numériques qu’il a de profils en ligne (environ 150 en moyenne). Face à cette situation, des systèmes dits “fédérés” sont apparus. Ils permettent d’utiliser une identité numérique unique pour accéder à différents services en ligne. Par exemple, il est courant d’utiliser son compte Google pour se connecter à un site de commerce en ligne ou son compte Facebook pour accéder à Netflix. Cependant, cette approche nécessite toujours de créer plusieurs comptes chez différents fournisseurs, car il n’existe pas de fournisseur d’identité compatible avec tous les sites.
Ces deux approches présentent des inconvénients. Les systèmes centralisés obligent les utilisateurs à créer un compte pour chaque service, ce qui est fastidieux et conduit souvent à l’utilisation d’un mot de passe unique pour tous ces services, ce qui est vulnérable. Les systèmes fédérés, quant à eux, offrent un faible niveau de sécurité, car la fuite de données chez un fournisseur compromet tous les accès liés à ce dernier. De plus, l’utilisation des données personnelles par ces fournisseurs manque souvent de contrôle et de transparence.
Comment l’identité numérique décentralisée garantit-elle le contrôle et la sécurité ?
C’est pour remédier à ces problèmes de contrôle et de sécurité que l’identité numérique décentralisée apparaît comme la solution idéale. Cette approche, conforme au RGPD et au règlement eIDAS deuxième version, permet aux utilisateurs de gérer directement leur propre identité numérique en utilisant une architecture de registre distribué telle que la technologie blockchain. Ainsi, au lieu de créer et de gérer manuellement des comptes (identité centralisée) ou de faire confiance à des fournisseurs d’identité (identité fédérée), l’identité décentralisée place l’individu au centre de ses interactions numériques. L’utilisateur est le titulaire de ses attributs d’identité, l’émetteur est l’auteur des documents justifiant ces attributs, et le vérificateur est l’entité souhaitant vérifier l’identité de l’utilisateur pour l’accès à ses services ou produits. Cette relation tripartite, également appelée triangle de confiance, offre un niveau de sécurité et de contrôle sans précédent.
Grâce à l’identité numérique décentralisée, l’utilisateur retrouve le contrôle total sur ses données d’identité et décide lui-même de l’accès qui peut être donné ou non à ces informations. Cette approche améliore la sécurité des services numériques, des services financiers, des données de santé, de la vie privée, etc. Pour en savoir plus sur l’identité numérique décentralisée, consultez notre livre blanc détaillant les modalités pratiques de ce système.
Grâce à son respect du règlement eIDAS et du RGPD, l’identité numérique décentralisée offre des garanties de sécurité et de contrôle conformes à la philosophie européenne.
L’identité numérique décentralisée à l’échelle européenne
La proposition de règlement EUid, déposée par la Commission européenne en juin 2021, va dans la même direction que le projet d’identité décentralisée déjà bien amorcé dans le monde entier. L’objectif est de fournir à tous les citoyens et à toutes les entreprises un accès à une identité numérique nationale reconnue dans toute l’Union européenne. En d’autres termes, chaque citoyen se verrait offrir gratuitement un portefeuille numérique permettant une identification identique quel que soit le pays de l’Union européenne. Le règlement eIDAS version 2 permet à tous les acteurs technologiques de s’approprier l’identité décentralisée pour créer une solution garantissant la sécurité et le contrôle des données personnelles des individus.
