L'identité auto-souveraine et la Blockchain, une réponse au RGPD
L'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD ) a bouleversé les règles en matière de respect de la vie privée et d'utilisation de données personnelles. La gestion des identités digitales est devenue plus complexe, à la fois pour les organisations et les individus.
Dans un article publié le 5 juillet 2018, Gartner partage avec nous deux pistes qui, selon lui, permettront de relever les défis du RGPD : la personnification et l'identité auto-souveraine.
Il définit la personnification comme « la livraison et l'optimisation d'expériences numériques pertinentes basées sur l'appartenance supposée d'un individu dans un segment de clientèle et sur ses circonstances immédiates plutôt que sur son identité personnelle. ». Elle a donc pour objectif de connaitre un individu le plus finement possible sans avoir à l'identifier personnellement.
Le concept d'identité auto-souveraine ou self-sovereign identity (SSI), est, quant à lui, plus compliqué à définir. Cette nouvelle forme d'identité digitale, reposant sur la technologie Blockchain, donne aux individus un meilleur contrôle sur leurs données personnelles, tout en facilitant leurs interactions avec les organisations. Il est nécessaire d'expliquer ce concept afin d'appréhender l'impact et les possibilités de l'identité auto-souveraine.
Lire aussi : 5 managers IT qui nous ont inspiré en 2024
L'évolution de l'identité digitale
Afin d'éclaircir le concept d'identité auto-souveraine, commençons par revoir l'histoire de l'identité digitale.
La première forme d'identité digitale est représentée par le « modèle en silos ». Les organisations accordent un accès à chaque individu pour utiliser ses services. L'individu doit créer un compte pour chacune d'elles, multipliant ainsi ses identités, les rendant difficiles à suivre et offrant une expérience utilisateur complexe.
Est ensuite apparue une deuxième forme d'identité digitale, représentée par le « modèle fédéré ». Dans ce modèle, un tiers de confiance, authentificateur d'identité, permet de s'identifier auprès des autres organisations affiliées. L'exemple principal est le Microsoft Passport qui permet aux utilisateurs, grâce à une authentification unique, d'accéder aux services de l'ensemble des sites web affiliés à Microsoft.
La troisième forme d'identité digitale est représentée par le « modèle user-centric ». Dans ce modèle, le tiers de confiance permet de s'identifier auprès d'autres organisations, sans que ces dernières ne soient affiliées. Ce modèle apparait au travers des invitations « Connectez-vous avec Facebook » ou bien « Connectez-vous avec Google ». Ces tiers de confiance centralisent les identités digitales, et en sont les garants.
L'identité auto-souveraine est le dernier modèle en date d'identité digitale. Elle est née de la volonté d'offrir aux individus la possibilité de contrôler et de protéger leur identité digitale. Gartner nous explique qu'elle consiste à « utiliser l'architecture en registres distribués de la Blockchain pour permettre aux consommateurs d'administrer leur propre identité et leurs préférences en termes de consentement d'une manière portable à travers toutes les plateformes qui les intéresseraient ».
La sécurisation du « portefeuille d'identité » grâce à la Blockchain
Le concept de l'identité auto-souveraine repose sur la création d'un « portefeuille d'identité » digital personnel. Les individus peuvent y définir différentes déclarations sur leur identité, les faire valider, et les partager selon leur souhait.
Voyons un exemple concret d'utilisation de l'identité auto-souveraine. Monsieur Martin créé son « portefeuille d'identité » digital sécurisé sur une Blockchain. Il intègre à son portefeuille un ensemble de déclarations le concernant, par exemple, les informations présentent sur sa carte d'identité : nom, prénom, date de naissance, etc. Il y intègre également un scan de sa carte d'identité qui servira de preuve.
Monsieur Martin transmet ensuite ses déclarations et leurs preuves à une autorité compétente. Cette dernière valide les déclarations de Monsieur Martin, propriétaire de tel « portefeuille d'identité », et lui transmet les certifications signées correspondant à l'ensemble des informations présentes sur sa carte d'identité. À l'avenir, quand Monsieur Martin voudra prouver une information justifiable avec sa carte d'identité, il n'aura qu'à autoriser l'accès à la certification correspondante.
Si par exemple Monsieur Martin veut acheter de l'alcool, il devra prouver qu'il a plus de 18 ans. La solution classique serait de montrer sa carte d'identité au vendeur. Cependant, cette méthode dévoilerait des informations qui ne sont pas nécessaires : son nom, son adresse, ou sa date de naissance. En utilisant son « portefeuille d'identité », il pourrait autoriser uniquement l'accès à la certification « J'ai plus de 18 ans » validée par l'autorité adéquate.
Le « Portefeuille d'identité » en pratique
L'identité auto-souveraine au service du RGPD
Le concept d'identité auto-souveraine présente de nombreux avantages pour les responsables de traitement de données.
1. Il permet tout d'abord d'attester du consentement des individus sur l'utilisation de leurs données personnelles puisque les autorisations accordées sont tracées dans la blockchain. Les demandes d'autorisations d'accès aux données personnelles peuvent être accompagnées de toutes les informations nécessaires à l'obtention de l'accord. De plus, il permet d'accéder à des données véridiques et à jour. En effet, le porteur du « portefeuille d'identité » donne accès à une certification qui est, de par les propriétés de la Blockchain, infalsifiable. Si une déclaration certifiée devient fausse, l'autorité responsable peut émettre un message public sur la Blockchain invalidant la certification concernée.
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
2. Le principe d'identité auto-souveraine présente également une solution de contournement aux problématiques liées au cycle de vie de la donnée. Dans ce modèle d'identité digitale, l'utilisateur donne un droit de consultation pérenne aux organisations. Suite à cette autorisation, ces dernières peuvent alors accéder aux données utiles à chaque fois que cela sera nécessaire sans avoir à les stocker, tant que l'utilisateur ne révoque pas le droit de consultation.
3. Du point de vue des individus, l'identité auto-souveraine facilite l'application et le respect des droits fondamentaux. En effet, nous pouvons prendre l'exemple des droits d'accès et de rectification. Les individus étant propriétaires de leur « portefeuille d'identité », ils savent exactement quelles sont les informations qu'il contient et qui y a accès. Ils peuvent mettre à jour ces déclarations à tout moment. Pour les droits d'information, d'effacement ou d'opposition, les individus ont la possibilité grâce à la SSI d'accepter ou de refuser l'accès à leurs données personnelles. Une fois l'accès accordé, ils peuvent à tout moment révoquer cette autorisation. Toutes ces décisions sont tracées sur la Blockchain, et une utilisation frauduleuse de données personnelles pourra donc être facilement prouvée.
En somme, les avantages de l'identité auto-souveraine sont donc nombreux, à la fois pour les organisations voulant utiliser des données personnelles sans risquer d'être sanctionnées par le RGPD, mais aussi pour les individus, qui bénéficient d'un contrôle simple sur leurs données.
Plusieurs modèles d'identités auto-souveraines grandissent actuellement en parallèle. À l'époque où l'utilisation des données personnelles représente à la fois une opportunité évidente et un risque certain, l'émergence d'un réseau décentralisé de gestion des identités permettra, comme l'annonce Gartner, de relever, voire de dépasser, les défis du RGPD.
(Crédit photo : Shutterstock)
Cédric Belharrat, Consultant - mc2i Groupe.
Sur le même thème
Voir tous les articles Cybersécurité