Politique de confidentialité

Self Sovereign Identity : tout comprendre au concept

Globe icon

Self-Sovereign Identity ou la révolution de l'identité numérique

Avec la numérisation de notre société et la dématérialisation de la grande majorité des échanges, la question de l’identité numérique est au centre de toutes les préoccupations. De l’ouverture d’un compte bancaire au paiement de ses factures de gaz et d’électricité, en passant par la prise de rendez-vous chez son médecin traitant, les interactions numériques entre organisations et individus se sont multipliées, souvent pour le meilleur (prendre un rendez-vous en 2 clics est une expérience facile),  quelquefois pour le pire (avec la perte de contrôle sur ses propres données personnelles et leur exploitation). 

Aujourd’hui, plus que jamais, la question de la confiance et de la sécurité est devenue centrale, notamment grâce à une prise de conscience collective face aux fuites de données et cyberattaques massives de ces dernières années (en 2020, dans le monde, le nombre de données personnelles compromises - parmi lesquelles noms, identifiants et mots de passe - s’est élevé à 36 milliards contre 15,1 milliards en 2019 soit plus du double). Pour répondre à ces inquiétudes, l’approche du Self Sovereign Identity s’est naturellement imposée. 

Définition du Self-Sovereign Identity

Ce que l’on appelle le Self-Sovereign Identity (SSI) ou identité numérique auto-souveraine décrit une approche où l’individu doit pouvoir contrôler et gérer son identité numérique, sans l’intervention d’une autorité administrative tierce. Cette approche user-centric - où l’individu a les pleins pouvoirs sur la gestion de ses données personnelles - fait aujourd’hui défaut à la plupart des expériences utilisateurs sur Internet où lesdites données sont stockées, gérées et utilisées par les fournisseurs de services en ligne, parfois sans que l’internaute ait pleinement conscience du périmètre d’utilisation de ses dernières. Avec le Self Sovereign Identity, l’individu est donc remis au centre de l’expérience numérique.

En fait, le SSI s’inspire tout simplement du monde physique au sein duquel 1) chacun est libre de partager ou non des informations le concernant et 2) les prestataires demandent des informations dont ils ont strictement besoin pour donner accès à leurs services (contrairement à nombre de services en ligne qui vous demandent des informations complémentaires et non-nécessaires à l’accès à une prestation).

Ainsi, dans le monde réel un étudiant qui souhaite profiter d’une réduction à un musée présente sa carte étudiant, un voyageur qui demande un visa de tourisme fournit les pièces justificatives demandées par le pays de destination, un employé qui veut profiter d’une réduction entreprise pour son abonnement à la salle de sport fournit son contrat de travail justifiant son droit d’accès à tarif préférentiel. 

Vous l’avez compris : dans le monde physique, on ne demande que ce dont on a besoin pour donner accès à un service.

Avec le SSI, il s’agit donc de répliquer cette approche dans le monde numérique en remettant l’individu et ses données personnelles au centre de l’expérience. Dans ce modèle, pour créer un compte sur un réseau social, il ne vous faudrait rien de plus qu’une adresse email, un mot de passe et une preuve de votre âge. Les prestataires de services et autres fournisseurs d’accès ne récolteraient plus que les informations strictement nécessaires pour leurs prestations, ni plus, ni moins (plus de traçage de vos comportements en ligne pour accéder à un service email ou à un réseau social). Mais surtout : vous contrôlerez désormais les accès des services tiers à vos données personnelles, avec la possibilité de les révoquer à tout instant.

Le triangle de la confiance : fondement du SSI

Les technologies d’aujourd’hui permettent à l’écosystème numérique de prendre la direction du Self Sovereign Identity dans son offre de produits et services, redonnant ainsi le contrôle des données d’identification aux utilisateurs finaux.

C’est une petite révolution qui va demander quelques ajustements de la part des acteurs du numérique, dont les business models reposent, pour une grande partie, sur l’exploitation de ces données personnelles, et surtout l’application de nouveaux règlements pour un encadrement des pratiques de l’industrie.

Quelles évolutions réglementaires en la matière ?

Si le concept de Self Sovereign Identity promet une expérience digitale novatrice, il ne date pourtant pas d’hier. En 2016, Christopher Allen publie sur son blog un article qui détaille les 10 principes de l’identité décentralisée - Existence, Contrôle, Accès, Transparence, Persistence, Portabilité, Interopérabilité, Consentement, Minimisation et Protection - dont vous pouvez retrouver des descriptions plus exhaustives en page 38 de notre livre blanc

Ce qui a véritablement changé la donne sur cette approche ces dernières années a été l’émergence de nouvelles technologies et l’application d’un cadre réglementaire qui rendent le SSI possible. Le RGPD ou encore le règlement eIDAS oeuvrent à la sécurisation des données et à l’apport d’un cadre d’expression du SSI. 

Notons que l’Europe se positionne au cœur du processus en proposant des initiatives innovantes et axées Self Sovereign Identity. C’est notamment le cas avec eIDAS 2ème version qui permet de créer un cadre de confiance numérique ainsi que le projet d’identité numérique européenne qui serait une identité numérique, auto-souveraine et utilisable partout en Europe.

Pour rappel, le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques dans l'optique de sécuriser les données personnelles et de préserver l’identité numérique de chaque citoyen européen.


Comment l'identité numérique décentralisée peut soutenir le SSI ?

Le Self Sovereign Identity est une approche qui s’est affirmée avec le temps mais qui souffrait jusqu’à présent de l’absence de technologie robuste et sécurisée, capable de protéger les données personnelles de chacun et d’en rendre l’accès la plus sûre possible. 

La technologie blockchain résout cette problématique en offrant une architecture qui épouse pleinement la logique SSI, grâce à l’immutabilité des données d’identification ancrées sur la blockchain ou encore la sécurisation de ces dernières avec la décentralisation du registre. 

L’identité numérique décentralisée, basée sur la blockchain, se présente d’autant plus comme une solution pertinente car, dans ce modèle, l’utilisateur administre directement sa propre identité numérique grâce à l’utilisation d’une architecture de registre distribué. C’est une alternative de premier choix au modèle actuel qui veut qu’à chaque création de compte pour l’accès à un service (bancaire, réseau social, mutuelle…), l’identité numérique est gérée dans des bases de données propres à chaque prestataire de service.

Cette centralisation augmente considérablement les points de défaillance et s’accompagne d’une accumulation de données personnelles chez les géants de la technologie.

Aujourd’hui, avec la multiplication des services en ligne, on ne compte plus le nombre de profils utilisateurs créés. On estime en effet qu’une personne possède environ 150 comptes différents, soit 150 points d’entrées différents aux données personnelles d’un seul et unique individu, ce dernier sachant rarement de quelle façon ses informations personnelles seront utilisées par les fournisseurs de services (qui ne sont d’ailleurs pas invulnérables aux cyberattaques comme en témoigne les nombreuses failles de sécurité de ces dernières années).

En redonnant à l’utilisateur les clés de son identité numérique, la combinaison de l’approche SSI et de la technologie blockchain permettrait notamment :

  • D’accéder de manière sécurisée à ses services numériques : paiement de ses impôts, édition d’attestation de droits...
  • D’accéder à ses services financiers digitaux : création d’un compte bancaire, ordre de virement...
  • De renforcer la protection sur sa vie privée : diminution des risques de cyberattaques grâce à l’utilisation d’un registre distribué
  • De simplifier les services liés à l’éducation : fourniture d’accès à un diplôme ou un certificat d’étude
  • D’accéder à ses services de santé : prise de rendez-vous chez un médecin, création d’un compte chez une mutuelle...
  • D’améliorer l’expérience client sur de nombreuses plateformes : création de compte sans mot de passe...

La plateforme Archipels d’identité augmentée adopte une approche SSI

Conscient des enjeux techniques complexes que représente une approche SSI pour une entreprise, Archipels propose justement des solutions clés en main pour permettre aux entreprises et administrations qui le souhaitent d’opter pour un système d’identité numérique basée sur l’approche Self-Sovereign Identity. Vérification automatique d’identité, certification de documents à valeur probante ou encore archivage électronique en moins d’une seconde, la plateforme Archipels s’adapte à tous vos cas d’usage tout en respectant la confidentialité de vos utilisateurs finaux et les normes réglementaires européennes sur la sécurisation des données. 

De cette manière, les entreprises qui le souhaitent peuvent complètement révolutionner leur manière d’appréhender la gestion de données et la sécurité numérique de leurs utilisateurs, tout en améliorant de manière substantielle l’expérience utilisateur - de l’onboarding au monitoring des usagers et clients - et ainsi augmenter leur chiffre d’affaires. 

Si vous souhaitez explorer la question du Self-Sovereign Identity avec nous, n’hésitez pas à nous contacter

En savoir plus sur la plateforme Archipels :
Demander une démo
logo archipels animation