Identifiants vérifiables
Contexte
Les gouvernements interagissent avec les individus dans leur pays à diverses fins - pour offrir des emplois, des subventions, des bénéfices sociaux, des contrats, etc. Les entités privées telles que les banques, les entreprises et les établissements d'enseignement interagissent également avec les individus pour déterminer l'éligibilité et la validité d'un certain nombre de programmes.
Le fondement de ces processus est d'établir les attributs de l'individu en vérifiant les documents afin de déterminer son éligibilité aux services ou aux prestations.
Dans le scénario actuel, les deux secteurs (public et privé) consacrent des efforts considérables à la vérification de l'authenticité des données individuelles, sans garantie de succès. Les erreurs peuvent être coûteuses : des sommes d'argent considérables et des opportunités ne parviennent pas aux personnes concernées. Elles peuvent également être dangereuses, si des personnes non vérifiées ont accès à des systèmes et processus sensibles.
Les identifiants vérifiables numériquement, une amélioration simple et marginale des systèmes existants, construite à l'aide d'une approche d'infrastructure publique numérique, peuvent résoudre ce problème à grande échelle.
Que sont les identifiants vérifiables ?
Toute autorité émettrice (qu'il s'agisse de l'identité nationale, de certificats scolaires, de certificats de revenus, de lettres de recommandation, de permis de conduire, d'identité fiscale, etc.) peut rendre ses certificats infalsifiables tout en conservant une autonomie totale.
Les certificats papier peuvent contenir un code QR en ligne/hors ligne signé numériquement qui connecte le document papier à un serveur officiel et récupère le certificat original pour vérification. Les copies électroniques des certificats peuvent être signées numériquement pour ajouter une couche supplémentaire de sécurité garantissant l'authenticité.
Cette méthode ne nécessite aucune centralisation. Elle permet aux différents services de conserver le contrôle de leurs certificats et évite les bases de données à stockage unique qui deviennent par inadvertance la cible de cyberattaques et de fuites.
Comment cela fonctionne-t-il ?
Les interfaces de programmation d'applications (API) des différentes autorités de délivrance sont ouvertes pour créer une recherche de données en temps réel entre les systèmes. Les données sont récupérées (mais pas stockées) sur la base d'appels API effectués d'un système à l'autre demandant de valider un élément particulier de données sur la base du consentement de l'individu. Toute autorité émettrice de données et toute autorité consommatrice de données peuvent se relier au même réseau en connectant leurs API et en procédant à leur propre vérification conformément aux lignes directrices émises par le pays.
Les données ne doivent être vérifiées que sur la base du consentement de la personne. Comme pour tous les DPI, la personne doit être au centre de l'infrastructure.
Une personne peut spécifier les données qu'elle souhaite faire vérifier, la partie avec laquelle elle souhaite les partager et la période de temps pendant laquelle elle souhaite les partager. Le consentement est granulaire, spécifique (par exemple pour un prêt ou une prestation sociale), simple à comprendre et révocable.
Il peut y avoir trois grands modes de partage des données :
Le consentement et les données sont partagés en même temps par l'intermédiaire de la même plateforme : Dans ce modèle, l'interface elle-même (portefeuilles ou e-lockers) obtient le consentement de l'utilisateur par l'intermédiaire de sa plateforme et partage les données immédiatement. Par exemple, digilocker en Inde
a) Portefeuilles : Dans les portefeuilles numériques, les utilisateurs peuvent donner leur accord pour récupérer leurs documents signés numériquement auprès de diverses entités. Ces documents sont stockés sur le tableau de bord de l'utilisateur et peuvent être montrés à n'importe qui. Ces portefeuilles permettent à l'individu de contrôler toutes ses données d'identification vérifiables.
b) e-Lockers (Casiers électroniques) : Dans ce cas, les documents ne sont stockés dans aucun tableau de bord. Lorsque l'utilisateur donne son consentement, ces documents peuvent être récupérés auprès du fournisseur et affichés à l'utilisateur ou au consommateur de données auquel il a donné son consentement. Ces e-lockers sont gérés par une ou plusieurs entités dans le pays et permettent la fédération d'informations d'identification vérifiables.
Le consentement et les données sont partagés séparément et gérés par des entités différentes : Dans ce modèle, le consentement est géré par un intermédiaire tiers appelé gestionnaire de consentement. Ces entités obtiennent le consentement de l'utilisateur conformément à l'artefact de consentement spécifié et le communiquent aux fournisseurs de données qui partagent ensuite séparément ces données avec les consommateurs de données. Par exemple, l'écosystème des agrégateurs de comptes en Inde.
Le consentement est géré par le fournisseur de données : Dans ce modèle, les données sont partagées entre deux entités, par exemple deux ministères, sans que l'individu ne soit directement impliqué (bien que ce soit en fin de compte au bénéfice de l'individu). Le consentement est donné par le fournisseur de données lui-même au moment du partage des données.
Il existe de nombreux exemples de ce DPI :
Singpass, à Singapour, s'efforce désormais de délivrer des identifiants obtenus grâce à l'identifiant Singpass. L'UE a récemment publié les spécifications des portefeuilles numériques ; l'Argentine dispose d'identifiants vérifiables, tout comme l'Inde, et l'Open Wallet Foundation est un ardent défenseur de l'identité portable et des identifiants. Certains États américains acceptent également les certificats mDL (permis de conduire mobile) conformes à la norme ISO (par exemple, la Californie).
Avantages :
L'ouverture des API permet également à de nombreux acteurs du marché de créer des produits directs et indirects. Par exemple, diverses applications destinées aux utilisateurs peuvent être développées, en se concentrant sur différents groupes cibles, langues, objectifs, etc. qui permettent aux gens de donner leur consentement de manière transparente (selon un artefact de consentement spécifié) pour que leurs données soient récupérées et partagées avec des tiers.
Les identifiants vérifiables renforcent les individus et les institutions ; ils permettent aux personnes de posséder leurs données et aux institutions de se concentrer sur la fourniture de services du dernier kilomètre sur la base de ces données.
Ce n'est que lorsque nous pouvons facilement connaître chaque individu que nous pouvons construire efficacement pour chacun d'entre eux.
Résumé de l'approche du DPI en matière d’identifiants vérifiables :
Niveau technique
Niveau de gouvernance
Niveau de marché
a) L'utilisation d'API ouvertes/standard permet l'interopérabilité entre l'autorité émettrice des données et toute autorité consommatrice de données.
b) intégrer des codes QR lisibles à la machine en ligne ou hors ligne et signés numériquement sur tous les documents physiques
c) Signer numériquement tous les documents délivrés en ligne - cette opération peut être effectuée par un service au nom de plusieurs agences, par des services ou par des entités privées elles-mêmes.
d) Permettre l'accès à des informations d'identification vérifiables par le biais de eLockers ou de portefeuilles.
a) Spécifier un artefact de consentement qui explique à l'individu quelles données il consent à partager, dans quel but, avec qui, pendant combien de temps, et quelles sont les méthodes pour révoquer le consentement.
b) Des organismes d'autorégulation (OAR) d'acteurs du marché peuvent être mis en place pour contrôler les applications destinées aux utilisateurs et traitant du consentement. Toutes les applications doivent être sans données (elles ne peuvent accéder à aucune donnée, la consultation des données se fait en coulisses, elles servent simplement à l'expérience de l'utilisateur).
a) Permettre la création d'applications multiples qui s'adressent à différentes sections de la société en fonction de la région, de la langue, de l'objectif, etc.
Ressources supplémentaires sur les identifiants vérifiables :
Normes du W3C sur les VC
Le wiki de Sunbird RC sur les sociétés de capital-risque
DIVOC (une infrastructure d'accréditation qui a délivré plus de 20 millions de documents) :
Identifiants vérifiables 101 deck
Last updated