Vers une identité auto-souveraine ?

Depuis la création d’Internet, l’identité numérique des internautes est devenue un élément crucial de la vie quotidienne des gens. Cette identité numérique est un moyen de prouver électroniquement que l’on est bien la personne que l’on prétend être et donc de se distinguer des autres internautes. Des identifications plus ou moins poussées sont généralement nécessaires pour utiliser des services Internet. De tels processus d’identification doivent satisfaire à un certain nombre d’exigences, notamment la protection des données personnelles des utilisateurs et la possibilité de contrôler leurs droits d’accès. Il est difficile de répondre à des exigences aussi variées en même temps, c’est pourquoi l’identité numérique a évolué au fil du temps.

Au début du World Wide Web, les adresses IP (Internet Protocol) étaient attribuées de manière centralisée par l’IANA (Internet Assigned Numbers Authority). Cette forme d’« identité centralisée » a été remplacée par le concept d’« identité fédérée », qui reste dominante à ce jour. Par exemple, Microsoft Passport autorisait l’utilisation de plusieurs services Internet Microsoft avec un seul compte. Avec l’émergence ultérieure d’une identité numérique centrée sur l’utilisateur, soutenue par des initiatives telles que OpenID, on a pu constater que la tendance a été vers la décentralisation de l’identité numérique en mettant l’accent sur la possibilité pour les utilisateurs de contrôler leurs données personnelles et de gérer leur identité indépendamment des services individuels.

Cependant, l’identité centrée sur l’utilisateur est pour l’instant un échec relatif dans le sens où la plupart des identités en ligne sont encore créées par des fournisseurs de services uniques comme Facebook ou Google. En conséquence, dans la plupart des cas, l’identité des utilisateurs est toujours contrôlée par une entreprise avec plusieurs implications pratiques, notamment la capacité du fournisseur de services à faire usage des informations personnelles des internautes ou à supprimer les accès d’un individu, souvent sans que l’utilisateur ne puisse intervenir ^(1)(2)(3).

Qu’est-ce que l’identité auto-souveraine ?

Selon le rapport de l’Assemblée nationale sur l’identité numérique du 8 juillet 2020, l’identité auto-souveraine permet au citoyen de sélectionner « certains attributs, tout en choisissant les entités de certification qu’il souhaite. Le Gemalto Trust ID Network, qui permet à l’utilisateur de bénéficier d’un contrôle total des accès à ses données personnelles, constitue une application industrielle intéressante de ce concept » ⁽⁴⁾.

Une nouvelle tentative de créer une identité numérique centrée sur l’utilisateur a été conceptualisée comme une Identité auto-souveraine (IAS), elle est souvent associée à la technologie Blockchain ⁽⁵⁾.

Dans un article devenu classique, Christopher Allen (2016) identifie dix principes sous-jacents à ce concept ⁽⁶⁾. Ceux-ci visent la possibilité d’un contrôle individuel sur les informations d’identification des internautes :

• L’identité est indépendante des administrateurs ou des fournisseurs d’identité.
• Le contrôle de l’identité numérique incombe à l’utilisateur.
• L’accès complet pour les utilisateurs à leurs propres données est aisé et gratuit.
• Il y a une véritable transparence au sujet des systèmes d’identification et des algorithmes.
• L’identité numérique a une durée de vie définie.
• La portabilité de l’identité numérique est assurée afin que les informations et les services relatifs à l’identité soient transportables.
• Il y a une interopérabilité de l’identité numérique.
• L’objectif du renforcement de l’économie des données est explicite.
• La protection des droits des utilisateurs est une priorité.

Comme suggéré dans un Livre blanc de la Fondation Sovrin, ces principes peuvent être regroupés en trois catégories : sécurité, contrôlabilité et portabilité ⁽⁷⁾.

L’IAS crée un environnement dans lequel tous les participants peuvent faire confiance aux données, y compris les individus, les émetteurs d’informations d’identification et les autorités. Pourtant, l’IAS n’a pu gagner du terrain que ces dernières années en raison de la montée en puissance de la Blockchain, qui peut remplacer les processus classiques d’enregistrement de la gestion des identités par une base de données décentralisée.

Enjeux sécuritaires et sociétaux de l’identité auto-souveraine

Bien qu’il existe de nombreux projets et initiatives axés sur l’IAS, il y a de nombreuses variations tant dans la terminologie que dans la compréhension de son architecture. Les innovations ont été principalement menées par des entreprises et des groupes de travail du secteur privé, et sont généralement accompagnées de mises en garde importantes quant à leur capacité à respecter les 10 principes d’Allen. Par exemple, un défi clé est de continuer à contrôler, et donc à administrer, son identité de manière suffisamment intuitive pour des personnes avec des compétences limitées en informatique comme le sont certaines populations âgées.

Le remplacement d’un processus centralisé de gestion des identités, tel que Microsoft Passport, par un processus gouverné par l’IAS, signifie non seulement que les individus auront un meilleur contrôle sur leur identité, mais également qu’ils pourront disposer d’un moyen de stockage et de transmission des données en toute sécurité.

L’existence de tels défis, cependant, ne veut pas dire que l’IAS n’a pas un potentiel considérable qui peut être exploré dans une variété de contextes. Par exemple, l’IAS est une réponse concrète au nouveau Règlement général de l’UE sur la protection des données (RGPD). Le RGPD vise à renforcer les droits des individus en exigeant une transparence accrue, une économie et une portabilité des données. Le règlement prévoit en outre la mise en œuvre de concepts tels que la « privacy by default » et la « privacy by design » : conformément à ces principes, l’IAS pourrait non seulement donner aux citoyens le plus haut niveau de contrôle sur leurs données, mais également un moyen de partage sélectif des données personnelles avec les fournisseurs de services qui permette une économie des données et une confidentialité par défaut et par conception.

La transparence créée par l’auto-gouvernance des données individuelles pourrait également renforcer le marché unique numérique européen en supprimant les barrières liées au manque de confiance en certains acteurs privés. Pour les entreprises, l’IAS peut offrir de nouvelles façons de remplir leurs obligations et ainsi fournir des informations utiles à leurs clients.

L’IAS a également des applications intéressantes dans le secteur financier où les exigences de sécurité et la demande croissante des clients pour une meilleure expérience numérique peuvent être mieux satisfaites.

Dans le domaine de la conformité, le Gouvernement britannique a organisé un essai sandbox ⁽⁸⁾ de solutions KYC (Know Your Customer ou connaissance du client) basées sur l’IAS pour l’intégration des utilisateurs au portail de la Financial Conduct Authority (FCA). Les utilisateurs peuvent stocker des Informations personnelles identifiables (PII) dans une application de portefeuille mobile sécurisée et accorder ou refuser l’accès à celles-ci lorsqu’ils interagissent avec l’autorité. En outre, ils pourraient utiliser leurs informations d’identification réutilisables pour s’inscrire à plusieurs services et produits financiers. Cela pourrait conduire à une meilleure sécurité des données des clients, une meilleure traçabilité des informations à des fins réglementaires, l’intégration plus rapide des nouveaux clients et un accès transparent à une gamme plus large de services financiers.

* * *

L’IAS est donc un concept important qui a émergé ces dernières années et qui ne manque pas d’applications potentielles, malgré une série de défis pratiques qui doivent encore être relevés ^{(9)(10)(11)(12)}. ♦

(1) Tobin Andrew et Reed Drummond, The Inevitable Rise of Self-Sovereign Identity, The Sovrin Foundation, 2016, p. 29.
(2) Mühle Alexander, Grüner Andreas, Gayvoronskaya Tatiana et Meinel Christoph, « A Survey on Essential Components of a Self-Sovereign Identity », Computer Science Review, 2018, p. 80-86.
(3) Der Uwe, Jähnichen Stefan et Sürmeli Jan, « Self-Sovereign Identity: Opportunities and Challenges for the Digital Revolution », 2017 (https://arxiv.org/pdf/1712.01767.pdf).
(4) Mission d’information commune sur l’identité numérique, Rapport d’information n° 3190, Assemblée nationale, 8 juillet 2020 (https://www.assemblee-nationale.fr/dyn/15/dossiers/identite_numerique_mi).
(5) Une technologie de stockage et de transmission d’informations sans organe de contrôle
(6) Allen Christopher, « The Path to Self-Sovereign Identity », Life with Alacrity, 2016 (http://www.lifewithalacrity.com/).
(7) Sovrin Foundation, Sovrin™: A Protocol and Token for Self- Sovereign Identity and Decentralized Trust, 2018.
(8) Le « bac à sable réglementaire » permet aux entreprises de tester des propositions innovantes sur le marché avec de vrais consommateurs dans un environnement contrôlé.
(9) Stokkink Quinten et Pouwelse Johan, « Deployment of a Blockchain-Based Self-Sovereign Identity » in 2018 IEEE international conference on Internet of Things (iThings) and IEEE green computing and communications (GreenCom) and IEEE cyber, physical and social computing (CPSCom) and IEEE smart data (SmartData), 2018, p. 1336-1342.
(10) Kondova Galia et Erbguth Jörn, « Self-Sovereign Identity on Public Blockchains and the GDPR », in Proceedings of the 35th Annual ACM Symposium on Applied Computing, 2020, p. 342-345.
(11) Othman Asem et Callahan John, « The Horcrux Protocol: a Method for Decentralized Biometric-Based Self-Sovereign Identity », 2018 International Joint Conference on Neural Networks (IJCNN), 2018, p. 1-7.
(12) Wang Fennie et Filippi (de) Primavera, « Self-Sovereign Identity in a Globalized World: Credentials-Based Identity Systems as a Driver for Economic Inclusion », Frontiers in Blockchain, 2020, 22 pages.