Qu'est-ce que l'identité numérique ?

Qu’est-ce que l’identité numérique ?

C’est un sujet qui revient régulièrement sur le devant de la scène, hier dans la presse spécialisée, aujourd’hui dans les médias généralistes : l’identité numérique. Un sujet récurrent, car il nous concerne tous et qu’il a un impact de plus en plus important dans la vie de tous les jours. Si la sécurisation des données est le nouveau cheval de bataille des acteurs publics européens, c’est aujourd’hui l’identité numérique que l’on cherche à uniformiser pour protéger les données personnelles des utilisateurs, et éviter leurs utilisations abusives ou frauduleuses. 

Identité numérique : définition

La définition de l’identité numérique peut être encore floue dans certains esprits, et pour cause, il s’agit d’un concept plutôt nouveau à l'échelle d'internet auquel on ne s’intéresse que depuis peu.

Commençons par rappeler qu’une identité est propre à chaque individu et qu’elle évolue avec lui tout au long de sa vie. L’identité est garantie par L’État et représente l’ensemble des critères qui permettent d’identifier un individu : prénom, nom, date de naissance, caractéristiques physiques, filiation… D’autres attributs peuvent compléter cette identification comme le statut marital, les empreintes digitales ou encore l’emploi exercé. Dans des termes juridiques, l’identité c'est :

L’ensemble des éléments qui, aux termes de la loi, concourent à l’identification d’une personne physique (dans la société, au regard de l’état civil) : nom, prénom, date de naissance, filiation, etc.

L’identité numérique prolonge cette définition en y ajoutant des attributs numériques comme les identifiants de connexion (adresse email, mot de passe) ou encore l’adresse IP. Plus généralement, l’identité numérique représente l’ensemble des attributs et données qui permettent d’identifier un individu, une organisation ou une entreprise en ligne. 

Avec la massification de l’usage d’Internet et la démocratisation du cloud, la question de la conservation des données personnelles en ligne et leur sécurisation est devenue centrale. En témoignent les fuites de données massives qu’ont connues des entreprises privées comme Facebook ou des acteurs publics comme l’AP-HP qui ont mis en lumière la vulnérabilité des systèmes de gestion des données personnelles, souvent centralisés. C’est pour parer ces éventuelles failles que de nombreux acteurs offrent aujourd’hui des solutions permettant aux utilisateurs de bénéficier d’une identité numérique sécurisée. 

Gestion de l’identité numérique de nos jours

Aujourd’hui, il est possible de créer un compte ou de s’identifier par le biais d’un seul et même service comme Google ou Facebook (pour acheter un produit sur un site e-commerce ou s’abonner à un service de streaming...), mais aussi LinkedIn (pour envoyer une candidature à une offre d’emploi). Ces moyens de s’identifier pour accéder à des services en ligne ont permis à des millions d’internautes de bénéficier d’une solution simple - plus besoin de se rappeler de tous ses mots de passe - et pratique - la saisie automatique des informations de connexion sur n’importe quel appareil nous fait gagner de précieuses minutes - mais sont-ils pour autant plus sécurisés

Devant la multiplication des fuites de données et des pratiques de traitement des données personnelles, la commission européenne a mis à jour le règlement eIDAS (Electronic IDentification And Trust Services). Cette deuxième version a pour objectif de proposer un encadrement strict qui s’applique à l’identification électronique, aux services de confiance et aux documents électroniques. Il offre un vrai cadre d’interopérabilité pour l’ensemble des États membres de l’Union européenne pour l’identification et les transactions électroniques et permet ainsi le développement d’un marché unique de la confiance numérique

Ce règlement prévoit trois niveaux de garantie pour les moyens d’identifications électroniques qui sont accordés en fonction du respect des spécifications, normes et procédures minimales. On retrouve ainsi :

  • le niveau de sécurité faible qui permet simplement de réduire le risque d’utilisation abusive ou l’altération d’identité
  • le niveau de sécurité substantiel, qui permet de réduire substantiellement le risque d’utilisation abusive ou d’altération d’identité
  • le niveau de sécurité élevé, qui permet d’empêcher l’utilisation abusive ou l’altération de l’identité

Guidés par le règlement eIDAS, de nombreux services dits de confiance ont pu mettre en place des dispositifs d’identification sécurisés. À l’avenir, nous verrons des services liés à la gestion des attestations électroniques d’attributs dans des portefeuilles d’identités numériques… sécurisés.


Vers une identité numérique décentralisée


Pour faciliter l’uniformisation des pratiques et apporter davantage de sécurité aux utilisateurs, de nombreuses solutions existent et une semble se détacher plus particulièrement : l’identité numérique décentralisée. Sur le papier, c’est la solution qui respecte le plus la philosophie d’eIDAS 2ème version tout en offrant un niveau de sécurité que les systèmes traditionnels de gestion d’identités numériques ne peuvent fournir.

Pourquoi ? 

Actuellement, la plupart des services de gestion des identités numériques sont centralisés. Ils reposent ainsi sur la création d’un compte utilisateur par individu pour l’accès à une offre, un service ou plus généralement à une plateforme. Dans ce format, l’individu a autant d’identités numériques qu’il a de profils (il est estimé que chaque personne a, en moyenne, 150 comptes Internet). 

Avec la recrudescence des failles de sécurité ces dernières années, on a vu émerger des systèmes dits “fédérés”. Exit les 150 comptes pour accéder à 150 services : il suffit désormais d’utiliser une identité numérique unique pour accéder à des services sur différents sites. Il est désormais courant d'utiliser son compte Google pour se créer un compte sur un site e-commerce ou d’utiliser son compte Facebook pour accéder au service Netflix… Une approche qui est bien plus pratique mais qui se confronte toujours à la nécessité de se créer plusieurs comptes chez plusieurs fournisseurs car il n’existe pas un fournisseur d’identité qui fonctionne avec tous les sites. 

Ces deux approches sont imparfaites : 

  • Les systèmes centralisés demandent aux utilisateurs de créer un compte pour chaque service, ce qui est fastidieux (adopter un service de gestion de mots de passe n’est malheureusement pas la norme) et aboutit souvent à l’usage d’un mot de passe unique pour tous ces services, source de vulnérabilité.
  • Les systèmes fédérés quant à eux offrent un faible niveau de sécurité - une fuite de données chez un fournisseur d’identité et c’est tous les accès reliés à ce fournisseur qui sont compromis.  Sans parler de l’absence de contrôle et de transparence sur l’utilisation des données personnelles des individus.


Comment l’identité numérique décentralisée permet le contrôle et la sécurité ?

C’est pour pallier cette absence de contrôle ou de sécurité que l’identité numérique décentralisée s’impose comme une solution de choix, tout en étant compatible avec le RGPD et l’eIDAS deuxième version. 

Mais qu’est-ce que l’identité numérique décentralisée ? 

L’identité numérique décentralisée peut être définie comme un mécanisme permettant aux utilisateurs d’administrer directement leur propre identité numérique grâce à l’utilisation d’une architecture de registre distribué comme la technologie blockchain. Ainsi, au lieu de créer et de gérer manuellement des comptes (identité centralisée) ou de faire confiance à des fournisseurs d’identité (identité fédérée), l’identité décentralisée place l’individu - le titulaire de ses attributs d’identité - au centre de chacune de ses interactions numériques avec un émetteur - l’auteur des documents justifiant les attributs d’identité d’une personne et un vérificateur - l’entité qui souhaite vérifier l’identité de l’utilisateur pour l’accès à ses services / produits. Cette relation tripartite - qu’on appelle également le triangle de la confiance - offre un niveau de sécurité et de contrôle inédit.

triangle de la confiance - identité décentralisée
Au coeur de l'identité décentralisée : un individu en contrôle de ses données

L’utilisateur redevient ainsi maître de l’ensemble des données relatives à son identité et décide donc à qui il souhaite en donner l’accès ou non. Cette identité décentralisée permet ainsi un accès plus sécurisé aux services numériques, aux services financiers et digitaux, aux services de santé, aux données liées à la vie privée, etc. Pour tout savoir sur l’identité numérique décentralisée, nous avons publié un livre blanc qui détaille les modalités pratiques d’un système d’identité numérique décentralisée. 

Le mécanisme de l’identité numérique décentralisée offre ainsi des garanties de sécurité et de contrôle qui correspondent à l’esprit et à la philosophie européenne du règlement eIDAS dans sa version 2 mais aussi à celui de la RGPD. 

L’identité numérique décentralisée à l’échelle européenne

La proposition de règlement EUid déposée par la commission européenne en juin 2021 va dans le même sens que ce projet d’identité décentralisé déjà bien amorcé un peu partout dans le monde. Ici, le but est de proposer à tous les citoyens et entreprises un accès à une identité numérique nationale qui puisse être reconnue à travers l’Union européenne. En d’autres termes, il s’agit de fournir un portefeuille numérique et gratuit à chaque citoyen, qui lui permettra s’il le souhaite de s’identifier de la même manière où qu’il se trouve dans l’Union européenne sur les grandes plateformes en ligne. Le règlement eIDAS version 2 permet à tous les acteurs technologiques de s’approprier l’identité décentralisée pour créer une solution qui assure sécurité et contrôle des données personnelles des individus.


En savoir plus sur la solution Archipels
Je veux en discuter !

6 derniers articles de blog