Identité numérique : partager ses données de manière sélective et sécurisée

Stéphane Mavel, en charge de la stratégie Identité Numérique d’IDnow revient sur le sujet et partage son expertise.

Bien que les entreprises soient de plus en plus sensibilisées et tentent de sécuriser leurs systèmes d’information, la centralisation des données personnelles augmente le risque de cyberattaques, comme nous le rappelle régulièrement l’actualité, en relatant des exemples de vols de données personnelles, parfois par millions. Une seule attaque, ou piratage ciblé, met en danger toutes les données contenues dans un système centralisé.

Par ailleurs, et malgré le cadre imposé par le Règlement Général de la Protection des Données (RGPD) et autres réglementations, le stockage de données personnelles centralisé accroît le risque de leur utilisation à des fins commerciales sans avoir effectué au préalable le consentement de l’utilisateur.

Identité numérique : le moyen de ne fournir que les données nécessaires au service

Pour reprendre le contrôle de la diffusion de ses données personnelles, il est possible d’utiliser la divulgation sélective. Grâce à ce système, l’utilisateur ne partage qu’une partie de ses données, celles strictement nécessaires au service demandé.  

Ainsi, pour accéder à un site de paris sportifs en ligne (interdit aux mineurs), l’utilisateur n’aura plus besoin de fournir sa pièce d’identité complète, ni même sa date de naissance exacte pour prouver qu’il a plus de 18 ans. Il pourra partager la donnée ‘majorité’ de son identité numérique, car cette information aura déjà été vérifiée par ailleurs.

Encore plus loin vers une identité auto-souveraine grâce aux portefeuilles d’identité numérique

L’identité auto-souveraine (Self Sovereign Identity, SSI) permet de donner à l’utilisateur le contrôle de ses propres données, sans qu’elles puissent être manipulées, dupliquées ou volées. Le portefeuille d’identité numérique (Digital Identity Wallets), souhaité par l’Union européenne, constituera un élément central de ce futur paradigme. Il permettra à chaque citoyen de contrôler sa propre identité numérique, et de maitriser la manière dont celle-ci est utilisée.

Cette divulgation sélective sera donc intégrée à la technologie du portefeuille d’identité numérique avec le concept de « preuve de zéro connaissance » (Zero-Knowledge-Proof, ZKP). Ce protocole de sécurité cryptographique permettra de prouver l’authenticité d’un attribut concernant une personne (la majorité par exemple). La vérification de l’authenticité pourra être effectuée sans avoir à révéler la valeur réelle des données, comme la date de naissance. Si un vol de données dans l’entreprise a lieu, celle-ci ne les ayant jamais eues en sa possession, aucune donnée personnelle ne pourra être usurpée.

Le protocole ZKP compte parmi les plus sûrs au monde en matière de protection de la vie privée des utilisateurs de services en ligne. En y ayant recours, l’utilisation des données d’identité personnelles peut être considérablement limitée. Et le modèle va bien au-delà du principe de minimisation des données qui, jusqu’à présent, a souvent été difficile à respecter dans la pratique.

Souveraineté des données grâce au stockage décentralisé

Aujourd’hui stockées dans d’immenses bases de données privées et publiques, les données personnelles de chaque citoyen seront décentralisées demain avec le wallet. Chaque citoyen européen pourra les gérer individuellement depuis son propre smartphone et deviendra ainsi souverain de ses données afin de les transmettre en toute connaissance de cause, sans craindre qu’elles ne tombent entre de mauvaises mains. Il reprendra ainsi le contrôle de sa vie numérique, de ses données personnelles et de leur diffusion.

Même si l’utilisation du portefeuille d’identité numérique ne sera pas obligatoire, l’UE espère que tous les citoyens se laisseront convaincre par cet outil simple et facile à utiliser. Le concept de preuve de zéro connaissance jouera un rôle central.