Recevez chaque jour toute l'actualité du numérique

x

Identité numérique, eIDAS et blockchain... Vers un nouveau paradigme centré sur l'utilisateur

Tribune La Commission européenne a lancé une initiative intitulée "Self-sovereign identity" dont l’objectif est rendre à l’utilisateur la maîtrise de son identité numérique en s’appuyant sur la réglementation applicable au niveau européen, à savoir le Règlement eIDAS. Cette chronique de Pascal Agosti, avocat associé au sein du cabinet Caprioli & Associés, en dresse les contours.
Twitter Facebook Linkedin Flipboard Email
×

Identité numérique, eIDAS et blockchain... Vers un nouveau paradigme centré sur l'utilisateur
Identité numérique, eIDAS et blockchain... Vers un nouveau paradigme centré sur l'utilisateur © Pixabay/geralt

La question de l’identité numérique est plus que jamais d’actualité en cette période de distanciation sociale, comme en témoignent les différentes dispositions prises autour de l’identification des parties dans les actes notariés à distance, pour la tenue d’assemblées générales en droit des sociétés ou encore pour recevoir des lettres recommandées électroniques. Nul doute que ce chantier du marché numérique sera central dans ce fameux "monde d’après".

Pour ce faire, la Commission européenne a lancé une initiative intitulée "Self-sovereign identity", l’objectif étant de remettre l’utilisateur en maîtrise de la gestion de son identité numérique en s’appuyant sur la réglementation applicable au niveau européen, à savoir le Règlement eIDAS. Par la notion "d'Identité Numérique" on entend communément l’ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle, et plus spécifiquement sur les réseaux, quel que soit le type d’identifiant. Un identifiant est habituellement unique pour un contexte déterminé.

Vers un nouveau paradigme : l’User-Centric Identity

Les technologies relatives à l’identité numérique ont évolué depuis près de 25 ans mais restent tributaires du paradigme d’une identité centralisée (infrastructures à clé publique, authentification déléguée, fédération d’identité...). Les identités numériques sont établies, conservées et gérées électroniquement dans des bases de données propres à chaque prestataire (elles ne sont donc pas mutualisées). On parle de "second party identities" lorsque cette identité est effectuée par un prestataire vis-à-vis de son client uniquement pour la création d’une relation entre ce dernier et le prestataire et de "third party identities" lorsque cette identité est utilisée pour des relations avec d’autres prestataires.

Mais l’avènement du Web 2.0 a induit un changement progressif de paradigme en replaçant l’utilisateur en maîtrise de ses données d’identification : la Self-Sovereign Identity (SSI). Elle est fondée sur un "Identifiant Décentralisé" (Decentralised Identifier ou DID). En termes techniques, il s’agit d’une URL avec ses propres règles de syntaxe et processus relative à un sujet avec un Document d’identification décentralisé (DID Document)., qui décrivent comment un DID déterminé doit être utilisé et, en particulier, comment le DID Document supporte l’authentification du sujet associée à un DID.

Cette technologie s’appuie sur une DPKI (Infrastructure à Clé Publique Décentralisée), sans autorités centralisées. Il s’agit d’une nouvelle forme d’identité plus en phase avec les principes du RGPD.

Une identité qui s’appuierait sur la blockchain

Ainsi, la SSI s’appuie également sur une technologie elle-même décentralisée : la blockchain. Pour ce faire, différents principes sont à respecter :

  • L’existence indépendante des utilisateurs ;
  • Le contrôle de chaque élément d’identification par l’utilisateur lui-même ;
  • L’accès par l’utilisateur à ses propres données ;
  • La transparence des systèmes et des algorithmes utilisés ;
  • La pérennité des identités pendant une longue période avec la faculté de les effacer ou les supprimer ;
  • La portabilité des données ;
  • L’interopérabilité des données ;
  • Le consentement des utilisateurs ;
  • La minimalisation des données ;
  • La protection des données.


Une initiative européenne : le "SSI eIDAS Bridge"

La Commission européenne a développé le SSI (Self-sovereign identity) eIDAS bridge, afin de promouvoir le Règlement eIDAS comme un cadre de confiance pour l’écosystème de SSI. Ce système prévoit le recours à un identifiant vérifiable (Verifiable Credential) d’un émetteur dans un process de signature et facilite le travail du vérificateur dans toute l’Union européenne

Le rapport juridique sur la SSI analyse différents scenarii concernant le recours au Règlement eIDAS pour garantir l’identité numérique et les transactions fondées sur des technologies DLT, c’est-à-dire dans une optique centralisée. Il contient des pistes intéressantes concernant la révision en cours du Règlement eIDAS.

Les scénarios à très court terme pourraient être mis en œuvre en s’appuyant sur le Règlement eIDAS actuel, sans le modifier :
-    Utilisation de moyens d’identification notifiés et certificats qualifiés pour délivrer des Identifiants Vérifiables ;
-    eIDAS Bridge intégrant des Identifiants Vérifiables disposant d’une valeur légale et d’une reconnaissance frontalière ;
-    Utilisation de nœuds eIDAS déjà utilisés pour l’identification électronique ;

Les scénarios à court terme pourraient être mis en œuvre en s’appuyant sur le Règlement eIDAS actuel :
-    Utilisation d’Identifiants Vérifiables comme des moyens d’identification électronique eIDAS ;
-    Délivrance de Certificats qualifiés fondés sur une méthode spécifique de DID et des Identifiants Vérifiables.

Les scénarios à moyen/long terme qui requièrent des modifications légales du Règlement eIDAS :
-    Extension du mécanisme de notification eIDAS aux attestations vérifiables ;
-    Considérer la délivrance d’attestations vérifiables comme un nouveau service de confiance ;
-    Considérer les Identity Hubs comme un nouveau service de confiance ;
-    Considérer la gestion des clés déléguées comme un service de confiance indépendant ;
-    Considérer les nœuds DLT comme un nouveau service de confiance.

Sans doute, certaines pistes seront-elles abandonnées au fur et à mesure de l’avancée du projet mais les initiatives industrielles d’identité numérique décentralisée se multiplient comme le lancement d’une fondation Trust over IP dont l’objectif est de créer des standards numériques pour partager des données en confiance et assurer l’interopérabilité entre les solutions d’identité numérique.

Dans cette période où les relations à distance sont en passe de devenir la règle, ce type d’initiative devrait trouver un écho auprès du grand public mais aussi des banques, des commerçants. Une initiative à suivre et exploiter…

Pascal Agosti, avocat associé, docteur en droit
Caprioli & Associés, société membre du réseau JurisDefi



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media