Identité numérique et respect de la vie privée : peut-on concilier les deux  ?

 |  | 1013 mots
(Crédits : DR)
OPINION. Cartes de paiement, numéros de téléphones portables, sites web et médias sociaux, applications d'entreprises... Toutes ces identités numériques sont devenues partie intégrante du tissu social. Mais la question de la maîtrise de ces nombreuses identités numériques se pose désormais. (*) Par Hicham Bouali, directeur avant-ventes EMEA chez One Identity.

Nous sommes désormais définis par de nombreuses identités numériques : cartes de paiement, numéros de téléphones portables, sites web et médias sociaux, applications d'entreprises... on peut dire sans risque que nos informations personnelles sont stockées partout. Et d'une certaine manière, ces identités numériques sont devenues partie intégrante du tissu social, à tel point qu'il est difficile d'imaginer qu'elles disparaissent.

Identité et anonymat

Mais la question de la maîtrise de ces nombreuses identités numériques se pose désormais : comment s'assurer qu'une entité à qui l'on confie son identité ne l'utilisera pas de façon détournée, ou ne se la fera pas dérober à l'avenir ? Plusieurs projets en cours évaluent la technologie de la blockchain dans le cadre de la gestion des identités. Le principe de base est que ces dernières doivent être portables et vérifiables partout et à tout moment, et que chacun doit pouvoir créer librement des identités numériques chiffrées, sans avoir besoin d'un tiers de confiance qui détiendrait toutes ces informations de manière centrale. Car aucun dépôt central ne peut aujourd'hui garantir que des pirates informatiques ne le pilleront pas.

A l'inverse, la blockchain permet d'envisager une preuve dite "zéro connaissance". Il s'agit d'un concept selon lequel une personne peut prouver à une autre qu'elle connaît une certaine information ou qu'elle satisfait à une certaine exigence sans avoir pour autant à divulguer des informations réelles. Par exemple, avec un systèmes "zéro connaissance", un internaute peut prouver qu'il a plus de 21 ans sans avoir à révéler sa date de naissance. La personne disposerait d'un indicateur lié à son identité indiquant qu'elle a plus de 21 ans. L'entité chargée de vérifier cette information n'aurait pas besoin de connaître la date de naissance réelle mais devrait seulement valider la signature numérique de l'autorité, qui a émis et attesté l'information (et qui n'a pas besoin d'être une autorité centrale). Tout cela peut se faire grâce à la technologie de la blockchain sans nécessiter de répertoire central unique vulnérable.

Faut-il créer une identité numérique unifiée ?

Cependant, dans un monde décentralisé, il existe plusieurs exemples de cas où une identité numérique centrale est le meilleur moyen de relever certains défis spécifiques, telles des situations d'urgence. Ainsi, récemment, certains gouvernements ont pu utiliser les données de localisation des téléphones portables comme identité numérique ad hoc pour suivre les mouvements de la population dans un contexte épidémique.

Dans de telles situations, il peut donc sembler très utile d'avoir une identité numérique unifiée, adossée à un répertoire central (et gouvernemental, donc). Mais cela crée toute une série de nouveaux défis en termes de vie privée et de droits de l'homme. Car il sera difficile (et des exemples récents le confirment) de conserver la confiance des populations face à ce qui peut être perçu comme un suivi invasif rattaché à une identité unique dont il est difficile de se défaire.

D'autant qu'une même technologie peut aussi être utilisée de manière abusive. Ainsi le gouvernement chinois a-t-il déjà commencé à utiliser des logiciels de reconnaissance faciale pour identifier les personnes qui sortent en pyjama, ce qui est considéré comme un comportement non civilisé. Les photos des personnes, qui enfreignent les règles ont été mises en ligne, dans un principe d'humiliation publique. Mais cet exemple est "anecdotique" si l'on considère les raisons plus évidentes pour lesquelles un gouvernement autoritaire aurait intérêt à mettre en place une identité unifiée pour traquer ses citoyens.

Le jeu en vaut-il la chandelle ?

À mesure que nos identités numériques évoluent, il est nécessaire de trouver un équilibre entre les avantages qu'elles procurent et les risques qu'elles créent. La première étape pour y parvenir est d'éviter les systèmes monolithiques, qui peuvent présenter un point de défaillance unique. Ces systèmes offrent une grande assurance quant à l'identification d'un individu mais peuvent aussi être une arme à double tranchant et entraîner une sur-identification. C'est notamment ce qui s'est passé aux États-Unis avec les numéros de sécurité sociale et le système de crédit.

Ces informations personnelles se sont avérées beaucoup trop faciles à obtenir par les escrocs, ce qui a fait naître toute une industrie du vol d'identité (un problème moins présent en Europe, où de telles informations simples à obtenir ne peuvent provoquer un tel impact sur la vie quotidienne).

La réponse : l'intégrité contextuelle

L'une des clés pour aborder ce problème est le concept d'intégrité contextuelle, telle que proposée par Helen Nissenbaum, professeur de sciences de l'information à Cornell Tech. L'idée est que seules les informations d'identité minimales requises sont fournies au demandeur en fonction du contexte de la demande. Par exemple, un prestataire de soins de santé peut avoir besoin de connaître le sexe et le poids d'une personne, mais pas un commerçant en ligne. À l'inverse, un comparateur de crédits en ligne peut avoir besoin de connaître les revenus d'une personne tels qu'ils figurent sur les formulaires fiscaux, mais un prestataire de soins de santé n'aura pas besoin de le savoir.

Tout ceci milite pour la création d'une identité auto-souveraine ainsi que le concept d'intégrité contextuelle. Une personne devrait pouvoir posséder et contrôler tous les aspects de son identité. Elle devrait pouvoir contrôler quelles informations sont partagées, où elles sont détenues et - surtout - quand elles sont effacées. Il ne faut pas demander aux individus de céder le contrôle de leur identité à une seule organisation, de manière permanente. Cela était évident avant l'ère moderne de la technologie - nous possédons ce que nous sommes, et nous nous devons de prendre cette question très au sérieux.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 31/08/2020 à 15:31 :
Pourquoi doit on se poser la question, puisque c'est votre vie privé qui les intéresse?!
a écrit le 31/08/2020 à 14:01 :
L'identité numérique c'est la négation de la personne.
"Je ne suis pas un numéro" ( Le prisonnier-serie britannique).
Les rapports humains, ce n'est pas un numéro qui parle à un autre numéro. En dehors des besoins administratifs, le fichage, le traçage, la surveillance vidéo, la collecte d'informations personnelles, toute action qui porte atteinte à la liberté individuelle devrait être interdite.
Nos sociétés vont elles aujourd'hui mieux qu'il y a 40 ans? Non.
Il y avait des problèmes, mais pas cette anxiété perpétuelle dans laquelle la responsabilité originelle des médias (info en continu) est immense.
a écrit le 31/08/2020 à 12:56 :
"Identité numérique et respect de la vie privée : peut-on concilier les deux  ?"

Non, pourquoi
a écrit le 31/08/2020 à 11:50 :
A premier abord, un article intéressant
A deuxième abord, un article imbittable, comme d'ailleurs beaucoup d'articles sur les notions de "privacy" , "blockchain", etc
Pourtant, ancien prof de math et d'informatique, je prétends bien connaître l'arrière plan technique de ces sujets : cryptographie, clé privées/publiques, 0-knowledge, et aussi par ex Bitcoin, son fonctionnement et ses aspects de sécurité, pas évidents du tout, etc
L'exemple donné sur comment prouver qu'on a plus de 21 ans est emblématique: en quoi mettre cet indicateur dans la blockchain est-il mieux que l'avoir dans un site centralisé (et répliqué pour des raisons évidentes de sécurité/disponibilité)?
Des explications m'intéresseraient!
a écrit le 31/08/2020 à 9:28 :
"Toutes ces identités numériques sont devenues partie intégrante du tissu social."

Numérique = virtuel Tissu social = réel il faut quand même pas mal de croyance pour affirmer qu'une identité numérique, qui n'existe pas donc, pourrait avoir une incidence sur le réel tissu social.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :