1. Existence
L’utilisateur représenté par cette identité est réel. Il existe.
2. Maîtrise
Un utilisateur contrôle l’usage de son identité numérique et des éléments qu’il en révèle. L’utilisateur est l’autorité ultime sur son identité numérique. Cela ne signifie pas qu’il contrôle tous les éléments de son identité : des éléments, des allégations sur l’utilisateur, peuvent être fournis par des tiers.
3. Accès
Un utilisateur doit avoir accès à toute l’information contenue dans son identité numérique et que la sienne. Il ne doit y avoir aucune donnée cachée. Cela ne signifie pas que l’utilisateur puisse modifier tous les éléments contenus dans son identité numérique.
4. Transparence
Les systèmes et algorithmes doivent être transparents et le code open-source pour pouvoir être évaluer en terme de sécurité.
5. Persistance
Une identité est faite pour durer, de préférence éternellement ou au moins aussi longtemps que l’utilisateur le souhaite. Les données contenues dans l’identité et les clés cryptographiques peuvent changer mais l’identité reste. C’est un objectif idéal, mais l’obsolescence est rapide sur Internet : l’identité numérique a la durée de vie du système qui la supporte.
Le droit à l’oubli doit pouvoir exister : l’utilisateur garde la maîtrise sur l’existence ou non de son identité numérique. Des données contenues dans l’identité numérique peuvent être modifiées ou supprimées selon le cas, au fil du temps.
6. Portabilité
Une identité doit être portable (données et services associés). Elle ne doit pas être liée à une tierce partie susceptible de disparaître ou non utilisable parce que l’utilisateur s’est déplacé, changé de pays par exemple. L’utilisateur garde la maîtrise de son identité.
7. Interopérabilité
L’identité doit être globale, aussi largement utilisable que possible, dépassant les frontières, tout en restant sous le contrôle de l’utilisateur.
8. Consentement
L’utilisateur accepte l’usage de son identité numérique mais le partage des données contenues dans son identité doit se faire avec son consentement. Le consentement n’est pas nécessairement interactif. L’utilisateur peut avoir défini préalablement avec qui il accepte de partager certaines informations.
9. Minimalisation
La divulgation de données d’identité doit se limiter au strict minimum pour la tâche à accomplir. Par exemple, si un service demande un âge minimum, ne pas fournir l’âge exact, etc.
10. Protection
La protection des droits de l’utilisateur doit primer. S’il y a un conflit entre les exigences du réseau et les droits de l’utilisateur, le système d’identité doit arbitrer en faveur de l’utilisateur.
Cet article a le mérite de poser les bases pour un système d’identité numérique autonome, sans un contrôle par une quelconque autorité. Quelques points sont discutables : une identité globale pour une utilisation la plus large possible, le droit à l’oubli difficile voire impossible à implémenter sur Internet. Un tel système soulève des questions techniques, par exemple est ce que l’utilisateur peut créer des attributs d’identité ? Existera-t-il des ontologies pour ces attributs, permettant une interopérabilité ? …
L’auteur, Christopher Allen, est architecte logiciel chez Blockstream et est un spécialiste de la blockchain. L’implémentation technique n’est pas exposée dans l’article mais la technologie blockchain répond aux principes définis.
Aucun commentaire:
Enregistrer un commentaire