De l’identité auto-souveraine (Première Partie) 

La cinquième clé de notre souveraineté passe par le numérique. Ce défi est aussi celui d’une transformation profonde de nos économies, de nos sociétés, de nos imaginaires même. (…) L’Europe a cet attachement unique à l’équilibre permanent entre la liberté, la solidarité et la sécurité et c’est bien cela qui est en jeu dans la révolution numérique.  L’Europe, qui a construit après-guerre un modèle économique de rattrapage, doit prendre la tête de cette révolution par l’innovation radicale.

Discours d’Emmanuel Macron pour une Europe souveraine, unie, démocratique, 26 septembre 2017

Dans le monde numérique en constante évolution, l’Europe se doit de suivre le rythme.

Avec le développement rapide des technologies de l’information et de la communication, il est temps pour l’Europe de se doter d’un système de gestion d’identité numérique efficace, capable de répondre aux besoins des citoyens et des entreprises. La Commission européenne a ainsi annoncé la création d’un portefeuille d’identité numérique européen centralisé.

L’objectif est de permettre aux citoyens européens de prouver leur identité en ligne de manière sécurisée et d’accéder à des services, tels que les services bancaires, les services publics et les achats en ligne, plus facilement.

Si nous possédons tous de moyens d’identification matériels (carte d’identité, carte vitale, …), nous avons de plus en plus à gérer également nos identifiants numériques (pour des sites Internet marchands, les réseaux sociaux ou même les services publics). Et ces systèmes d’identité/d’identification actuels sont nombreux : nom, prénom, âge, sexe, adresse, profession, numéro de cartes bancaires… sans que nous ne puissions avec certitude savoir “qui a quoi et pourquoi” au contraire, par exemple, d’un passeport émis et utilisé par les seules autorités étatiques.

En effet, les systèmes d’identité/d’identification numériques sont nombreux et gérés soit par autant d’infrastructures informatiques que de services auxquels vous êtes “connectés” (Apple, Darty, …), soit par un service tiers (“se connecter avec votre compte Google“…).

Les données personnelles enregistrées par les utilisateurs se retrouvent ainsi démultipliées sur une multitude de bases de données plus ou moins transparentes sur lesquelles le gestionnaire a techniquement tous les pouvoirs sur l’identité numérique des utilisateurs.

Dans ce contexte, l’idée d’un portefeuille d’identité numérique européen centralisé unique est de plus en plus discutée. Mais, cette initiative soulève de nombreux débats et interrogations.

En premier lieu, la question de la relation entre l’identité et la citoyenneté.

La citoyenneté est traditionnellement associée à un territoire, à une culture et à une histoire commune, alors que l’identité est plus subjective et peut être influencée par des facteurs tels que la race, la religion et l’orientation sexuelle. Les États membres de l’Union européenne ont des politiques d’immigration et d’intégration différentes, et la définition de la citoyenneté varie d’un pays à l’autre. Dans ce contexte, l’utilisation d’un portefeuille d’identité numérique unique ne devra pas compromette les droits des citoyens à l’égalité et à la non-discrimination.

Vaste chantier… politique (avec des implications fortes sur notre système de gouvernance européenne -vers un fédéralisme ? – et … juridique (quelle base légale pour un règlement européen -vis-à vis du principe de subsidiarité ?

En deuxième lieu, donc, la question de la souveraineté.

Si le portefeuille d’identité numérique peut aider à renforcer la souveraineté européenne en créant un marché unique numérique et en réduisant la dépendance aux grandes entreprises technologiques américaines et chinoises, sa mise en place effective pourrait également donner aux États européens une plus grande influence sur les citoyens :

– Qui contrôlera l’infrastructure et les données du portefeuille d’identité numérique ? L’Europe ou chacun des Etats ?
– Comment s’assurer que les citoyens européens sont protégés contre les abus potentiels, tels que la surveillance de masse ou la collecte de données personnelles à des fins commerciales ?

Et par ricochet, le troisième point, la sécurité.

Tout système centralisé est potentiellement plus faible qu’une multitude de points d’accès. Or, si le système évoqué est la cible d’attaques informatiques de grande ampleur, ceci compromettra alors les données personnelles de millions de personnes. Pour garantir la sécurité du système, il est donc crucial que les gouvernements européens travaillent ensemble pour mettre en place des mesures de sécurité solides et efficaces.

De l’identité auto-souveraine (Deuxième Partie)

“La citoyenneté est l’état d’appartenance à une communauté politique, mais elle ne peut être réalisée que si l’individu est capable de se distinguer des autres membres de la communauté par ses actions et ses œuvres, par son identité unique et singulière.”
Hannah Arendt, née   le 14 octobre 1906 à Hanovre et décédée le 4 décembre 1975 à New York

Nous l’écrivions précédemment, le portefeuille d’identité numérique européen (unique et centralisé) est, selon nous, annonciateur d’une révolution de bon sens : ce portefeuille d’identité numérique inverse le paradigme actuel de la collecte des données personnelles en vous redonnant le droit et le pouvoir de décider quand, comment et avec qui vos informations personnelles sont partagées.

Mais, est-ce LA solution ? Et ce notamment au regard de principes européens fondateurs et indéfectiblement liés : identité, citoyenneté et souveraineté.

Qu’est-ce que l’identité auto-souveraine ?

Dans le monde numérique actuel, le concept de “l’identité auto-souveraine”  (self-sovereign identity ou SSI) prend de l’ampleur et connaît un certain succès : il met en avant la capacité de chacun à contrôler et à gérer ses données personnelles, son identité numérique, ainsi que les interactions avec les services en ligne.

Ce concept propose ni plus ni moins de redonner aux individus le contrôle de leurs données personnelles et de leur identité numérique en leur permettant de créer, de stocker et de gérer eux-mêmes leurs informations d’identification sans avoir besoin d’intermédiaires ou de tiers de confiance.

Contrairement aux systèmes d’identité traditionnels, où les données personnelles sont souvent stockées dans des bases de données centralisées contrôlées par des tiers de confiance tels que des gouvernements, des entreprises ou des organisations, l’identité auto-souveraine permet à chaque individu de créer une identité numérique unique qui est stockée sur un registre public de la blockchain ou autres systèmes décentralisés.

Les individus ont donc un contrôle total pouvant choisir les informations qu’ils souhaitent partager et avec qui, tout en ayant la possibilité de révoquer l’accès à ces informations à tout moment.

Autre possibilité, non négligeable, les identités auto-souveraines sont conçues pour être interopérables, ce qui signifie qu’elles peuvent être utilisées dans différents contextes et applications sans avoir à recréer une nouvelle identité chaque fois.

Tout ceci semble merveilleux. Comme pour le portefeuille d’identité numérique européen.

Les risques de l’identité auto-souveraine ?

Comme vous pouvez le conjecturer, les principaux risques pour la démocratie sont manifestes :

1. Exclusion numérique : Si l’identité auto-souveraine est la seule méthode d’identification acceptée pour accéder à des services gouvernementaux ou des prestations sociales, les personnes qui ne peuvent pas accéder ou ne savent pas comment utiliser ces technologies (dont la blockchain) seront définitivement exclus.
2. Attaques informatiques : Les systèmes d’identité auto-souveraine sont vulnérables aux attaques informatiques : tout protocole de sécurité connaît des failles…

Mais plus encore, l’identité auto-souveraine interroge en son rapport avec la citoyenneté.

Alternative à la centralisation des données d’identité, sans nécessité d’une autorité centrale de confiance, par le biais de (d’un ?) registre(s) distribué(s), tel que la blockchain, ce concept charmant (et libertaire ?), n’est-il pas la pire arme contre le concept de citoyenneté qui nous est si cher ?

Certes, citoyenneté et identité numérique sont de plus en plus étroitement liées.

Mais, si la citoyenneté est le statut d’être un membre à part entière d’une communauté, souvent associée à un État-nation, l’identité numérique “n’est que” la représentation numérique d’une personne en ligne. Aussi, les gouvernements ne devraient-ils pas avoir un rôle primordial à jouer dans la création de l’identité numérique de leurs citoyens ?

C’est bien ces gouvernements qui sont chargés de délivrer des pièces d’identité et de garantir l’authenticité de ces documents. Cependant, avec la montée en charge de l’identité auto-souveraine et donc la possible décentralisation de l’identité numérique, les citoyens pourront, eux-mêmes, créer et gérer leur propre identité numérique, sans avoir besoin d’un gouvernement…

La fin de l’Etat souverain ?

De l’identité auto-souveraine (Troisième Partie)

“Internet a été construit sans couche d’identité.”
Kim Cameron, chef de l’architecture de l’identité chez Microsoft de 2004 à 2019.

Nous l’avons vu, l’émergence du concept d’identité numérique gérée de manière décentralisée peut, si elle n’est pas réfléchie, conduire à une citoyenneté diluée et à un abandon de souveraineté. Mais revenons un pas en arrière pour bien comprendre l’importance du débat.

L’identité numérique décentralisée (auto-souveraine ou non) est un nouveau modèle d’identité sur Internet né d’un besoin exprimé par les internautes et possible du fait de la rencontre des nouvelles technologies et normes en matière de cryptographie, de réseaux distribués et du cloud computing.

Le besoin exprimé vient du fait que l’Internet a été construit sans aucun moyen de savoir à qui et à quoi vous vous connectez.

Lorsqu’Internet a été initialement développé dans les années 60 et 70 par l’armée américaine (parrainée par la Defense Advanced Research Projects Agency, ou DARPA), son objet était d’interconnecter des machines aux fins d’un partage d’informations et de ressources sur différents réseaux. La solution, l’échange de données par paquets et le protocole TCP/IP, était si géniale qu’elle a finalement permis un véritable « réseau de réseaux » :
(l’”inter-net”). Cependant, avec le protocole TCP/IP, vous ne connaissez que l’adresse de la machine à laquelle vous vous connectez. Cela ne vous dit rien sur la personne, l’organisation ou la chose responsable de cette machine.

“The Internet was built without a way to know who and what you are connecting to. This limits what we can do with it and exposes us to growing dangers. If we do nothing, we will face rapidly proliferating episodes of theft and deception that will cumulatively erode public trust in the Internet.”
“The Laws of Identity,” Kim Cameron

Et le fait qu’il y ait aujourd’hui quasiment 5 milliards de personnes et 12 milliards d’objets connectés ne rend pas les choses des plus faciles pour établir une confiance stable et durable.

Transparence, Confiance, Sécurité et Contrôle, voilà bien les défis de l’identité numérique et de ses corollaires que sont nos droits sur notre vie privée et nos données personnelles.

Comme le justifie notre Institut, les réflexions qui sont à mener dès aujourd’hui sur ces questions d’identité numérique doivent et ne peuvent que se fonder sur une approche basée sur les droits de l’homme (ABDH).

L’ABDH est une approche qui place les droits de l’homme au centre de toutes les politiques et pratiques, y compris celles liées à la technologie et à l’Internet. Elle se fonde sur les principes universels de l’égalité, de la dignité humaine, de la non-discrimination et de la participation. L’ABDH reconnaît également que les droits de l’homme sont interdépendants et indivisibles, ce qui signifie que la violation d’un droit peut avoir des répercussions sur d’autres droits.

Les principes qui fondent l’ensemble du système juridique relatif au droit à la vie privée et à la protection des données à caractère personnel sont : légalité, licéité et légitimité ; consentement ; transparence ; finalité ; loyauté ; proportionnalité ; minimisation ; qualité ; responsabilité et sécurité.

Il nous faut donc maintenant progresser vers une harmonisation à l’échelle mondiale, de manière à relever les défis de la protection de la vie privée et des données personnelles, un droit humain fondamental qui – par sa transversalité – favorise le plein exercice d’autres droits fondamentaux comme le droit à la liberté, à l’égalité, à l’honneur et à la dignité humaine à l’ère numérique.

L’Europe a déjà pris en compte cette approche avec, par exemple, le RGPD.

Mais il faut maintenant lutter efficacement contre les risques d’utilisation abusive des technologies de l’information et de la communication, de l’intelligence artificielle et d’autres évolutions technologiques, ce qui, en retour, permettra aux personnes concernées de conserver leur pouvoir de contrôle sur leurs données personnelles.

L’identité numérique doit être une expérience de sens partagé, de respect mutuel et de lien social, ce qui est le principe même de la confiance, première source de paix.

Sa mise en place nécessite une gouvernance démocratique exigeante et des politiques de coopération non plus verticale mais bien horizontale.

Si les principes de loyauté et de proportionnalité ont été largement violés, que ce soit par certaines entreprises privés (dont Facebook) ou des gouvernements pour le contrôle de leurs « Gentils Membres » ou citoyens; si le principe de sécurité est aujourd’hui prégnant; les principes de qualité et de responsabilité seront les chantiers cruciaux de l’identité numérique.

Le changement de paradigme que l’identité numérique se doit d’opérer est bien plus important que les seuls sauts technologiques qui permettent aujourd’hui sa construction.

… If we do nothing, we will face rapidly proliferating episodes of theft and deception that will cumulatively erode public trust in the Internet …

Il est donc essentiel que les gouvernements, les entreprises, la société civile et les individus travaillent ensemble pour veiller à ce que les droits de l’homme soient respectés dans les environnements numériques.

En conclusion, l’approche basée sur les droits de l’homme est essentielle pour garantir les droits numériques des citoyens et doit être à la base de la réflexion sur l’identité numérique. En veillant à ce que les normes des droits de l’homme soient respectées en ligne, nous pourrons nous assurer que la technologie et l’Internet seront utilisés de manière éthique et responsable, en soutenant l’inclusion numérique et en protégeant les droits fondamentaux des citoyens.

En travaillant ensemble, nous pouvons faire en sorte que la technologie serve les intérêts de tous et revalorise nos souverainetés.

Mais la distance entre cet idéal et la réalité est grande, l’intelligence collective étant bien malmenée ces temps-ci.