Self-Sovereign Identity (SSI) : tout comprendre au concept

Self-Sovereign Identity ou la révolution de l'identité numérique

Avec la numérisation de notre société et la dématérialisation de la grande majorité des échanges, la question de l’identité numérique est au centre de toutes les préoccupations. De l’ouverture d’un compte bancaire au paiement de ses factures de gaz et d’électricité, en passant par la prise de rendez-vous chez son médecin traitant, les interactions numériques entre organisations et individus se sont multipliées, souvent pour le meilleur (prendre un rendez-vous en 2 clics est une expérience facile), quelquefois pour le pire (avec la perte de contrôle sur ses propres données personnelles et leur exploitation). 

Aujourd’hui, la question de la confiance et de la sécurité dans le domaine numérique est devenue plus cruciale que jamais. Les années 2021 et 2022 ont été témoins d'une augmentation alarmante des violations de données, avec plus de 2.6 milliards d'enregistrements personnels compromis (1.5 milliards en 2022 selon Verizon Data Breach Investigations Report (DBIR) de Verizon Cyber Security Consulting Research en 2023), illustrant une vulnérabilité grandissante face aux cyberattaques et aux fuites de données. Cette tendance préoccupante s'est poursuivie en 2023, où, dans les premiers huit mois de l'année, plus de 360 millions de personnes ont été victimes de violations de données corporatives et institutionnelles. Ces chiffres alarmants soulignent l'urgence de repenser les systèmes de gestion de l'identité numérique, orientant naturellement vers une adoption accrue du concept de Self Sovereign Identity comme réponse aux inquiétudes croissantes en matière de sécurité et de confidentialité des données.

Définition du Self-Sovereign Identity

Ce que l’on appelle le Self-Sovereign Identity (SSI) ou identité numérique auto-souveraine décrit une approche où l’individu doit pouvoir contrôler et gérer son identité numérique, sans l’intervention d’une autorité administrative tierce. Cette approche user-centric - où l’individu a les pleins pouvoirs et le contrôle sur la gestion de ses données personnelles - fait aujourd’hui défaut à la plupart des expériences utilisateurs sur Internet où lesdites données sont stockées, gérées et utilisées par les fournisseurs de services en ligne, parfois sans que l’internaute ait pleinement conscience du périmètre d’utilisation de ses dernières. Avec le Self Sovereign Identity, l’individu est donc remis au centre de l’expérience numérique.

En fait, le SSI s’inspire tout simplement du monde physique au sein duquel :

1) chacun est libre de partager ou non des informations personnelles le concernant.

2) les prestataires demandent des informations dont ils ont strictement besoin pour donner accès à leurs services (contrairement à nombre de services en ligne qui vous demandent des informations et données personnelles complémentaires et non-nécessaires à l’accès à une prestation).

Ainsi, dans le monde réel un étudiant qui souhaite profiter d’une réduction à un musée présente sa carte étudiant, un voyageur qui demande un visa de tourisme fournit les pièces justificatives demandées par le pays de destination, un employé qui veut profiter d’une réduction entreprise pour son abonnement à la salle de sport fournit son contrat de travail justifiant son droit d’accès à tarif préférentiel.

Vous l’avez compris : dans le monde physique, on ne demande que ce dont on a besoin pour donner accès à un service.

Avec le SSI, il s’agit donc de répliquer cette approche dans le monde numérique en remettant l’individu et ses données personnelles au centre de l’expérience. Dans ce modèle, pour créer un compte sur un réseau social, il ne vous faudrait rien de plus qu’une adresse e-mail, un mot de passe et une preuve de votre âge. Les prestataires de services et autres fournisseurs d’accès ne récolteraient plus que les informations strictement nécessaires pour leurs prestations, ni plus, ni moins (plus de traçage de vos comportements en ligne pour accéder à un service e-mail ou à un réseau social). Mais surtout : vous contrôlerez désormais les accès des services tiers à vos données personnelles, avec la possibilité de les révoquer à tout instant.

Triangle de confiance du Self-Sovereign Identity (SSI)

Au cœur du modèle d'identité décentralisée réside le concept fondamental du triangle de confiance, qui est essentiel pour comprendre comment les relations de confiance humaines sont traduites et préservées dans l'environnement numérique. Ce modèle repose sur trois piliers : les émetteurs, les titulaires et les vérificateurs.

  • Les émetteurs sont les entités qui créent et délivrent des attestations vérifiables. Ces attestations peuvent être des documents d'identité, des qualifications professionnelles, des preuves de domicile, ou tout autre justificatif nécessaire pour prouver un aspect de l'identité ou des compétences d'une personne.
  • Les titulaires sont les individus ou organisations qui possèdent ces attestations. Ils les stockent dans un portefeuille numérique sécurisé et ont le pouvoir de décider quelles informations partager, avec qui, et dans quel contexte.
  • Les vérificateurs sont les parties intéressées par la vérification de l'authenticité des attestations fournies par les titulaires. Il peut s'agir d'employeurs, d'institutions financières, de services gouvernementaux, ou de toute autre entité nécessitant une preuve d'identité ou de qualification.

Les technologies d’aujourd’hui permettent à l’écosystème numérique de prendre la direction du Self Sovereign Identity dans son offre de produits et services, redonnant ainsi le contrôle des données d’identification aux utilisateurs finaux.

C’est une petite révolution qui va demander quelques ajustements de la part des acteurs du numérique, dont les business models reposent, pour une grande partie, sur l’exploitation de ces données personnelles, et surtout l’application de nouveaux règlements pour un encadrement des pratiques de l’industrie comme le font des dernières réglementations européennes : le RGPD, le DMA et tout particulièrement le règlement eIDAS 2.

Quelles évolutions réglementaires en la matière ?

Si le concept de Self Sovereign Identity promet une expérience digitale novatrice, il ne date pourtant pas d’hier. En 2016, Christopher Allen publie sur son blog un article qui détaille les 10 principes de l’identité décentralisée - Existence, Contrôle, Accès, Transparence, Persistence, Portabilité, Interopérabilité, Consentement, Minimisation et Protection - dont vous pouvez retrouver des descriptions plus exhaustives en page 38 de notre livre blanc.

Ce qui a véritablement changé la donne sur cette approche ces dernières années a été l’émergence de nouvelles technologies et l’application d’un cadre réglementaire qui rendent le SSI possible. Le RGPD ou encore le règlement eIDAS oeuvrent à la sécurisation des données et à l’apport d’un cadre d’expression du SSI.

Notons que l’Europe se positionne au cœur du processus en proposant des initiatives innovantes et axées Self Sovereign Identity. C’est notamment le cas avec eIDAS 2 qui permet de créer un cadre de confiance numérique ainsi que le projet d’identité numérique européenne qui serait une identité numérique, auto-souveraine et utilisable partout en Europe.

eIDAS 2.0 : vers un espace numérique plus cohérent

L'eIDAS 2.0 s'inscrit dans la continuité du règlement original de 2016, qui avait pour but de faciliter les transactions électroniques sécurisées au sein de l'UE. Si la première version a posé les fondements d'un espace de confiance numérique, elle a aussi révélé des incohérences dans son application à travers les différents États membres, entravant ainsi l'uniformité des pratiques d'identification et de confiance électroniques.

Avec la deuxième version eIDAS 2.0 adoptée en février 2024 par le Parlement européen, l'Europe s'engage à surmonter ces défis en définissant des directives plus claires et en instaurant des obligations précises pou tous les acteurs. En intégrant les prestataires de services de confiance qualifiés (PSCQ) dans son périmètre, eIDAS 2.0 s'assure que ces derniers respectent des standards élevés de sécurité etde fiabilité, garantissant ainsi la protection optimale des utilisateurs.

Portefeuille européen d'identité numérique

L'un des piliers d'eIDAS 2.0 est la création d'un portefeuille européen d'identité numérique (EUDI), destiné à chaque citoyen, résident et entreprise de l'UE désireux de l'adopter. Cet outil vise à équiper au moins 80 % des citoyens de l'UE d'une solution d'identification numérique d'ici 2030, facilitant ainsi leurs interactions sécurisées à travers l'Union.

Les portefeuilles d'identité numérique permettront aux utilisateurs de gérer leurs données personnelles de manière sécurisée et centralisée, offrant un contrôle accru sur les informations partagées avec les services requérant des attributs d'identité spécifiques. Cette orientation vers les besoins des consommateurs et citoyens marque une évolution notable par rapport à la vision initialement centrée sur les relations inter-entreprises (B2B) d'eIDAS.

Pour rappel, le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques dans l'optique de sécuriser les données personnelles et de préserver l’identité numérique de chaque citoyen européen.


Comment l'identité numérique décentralisée peut soutenir le SSI ?

L'émergence du Self-Sovereign Identity (SSI) marque une révolution dans la gestion de l'identité numérique, promettant un contrôle accru aux utilisateurs sur leurs données personnelles. Cependant, la réalisation de cette vision nécessitait une infrastructure capable de supporter les principes fondamentaux du SSI : autonomie, sécurité, et interopérabilité. C'est dans ce contexte que la blockchain, avec sa nature intrinsèquement décentralisée, a joué un rôle déterminant.

Contrairement à ce que beaucoup pourraient penser, l'application de la blockchain dépasse largement le cadre des cryptomonnaies et des NFT (Non-Fungible Tokens). Au cœur de son utilité se trouve la capacité à faciliter des relations directes entre pairs, sans qu'une partie tierce n'ait à posséder ou contrôler ces relations. Cette caractéristique est fondamentale pour le modèle d'identité décentralisée qui s'inscrit dans la philosophie du SSI.

L’identité numérique décentralisée, basée sur la blockchain, se présente d’autant plus comme une solution pertinente car, dans ce modèle, l’utilisateur administre directement sa propre identité numérique grâce à l’utilisation d’une architecture de registre distribué. C’est une alternative de premier choix au modèle actuel qui veut qu’à chaque création de compte pour l’accès à un service (bancaire, réseau social, mutuelle…), l’identité numérique est gérée dans des bases de données propres à chaque prestataire de service.

Cette centralisation augmente considérablement les points de défaillance et s’accompagne d’une accumulation de données personnelles chez les géants de la technologie.

Aujourd’hui, avec la multiplication des services en ligne, on ne compte plus le nombre de profils utilisateurs créés. On estime en effet qu’une personne possède environ 150 comptes différents, soit 150 points d’entrées différents aux données personnelles d’un seul et unique individu, ce dernier sachant rarement de quelle façon ses informations personnelles seront utilisées par les fournisseurs de services (qui ne sont d’ailleurs pas invulnérables aux cyberattaques comme en témoignent les nombreuses failles de sécurité de ces dernières années).

Portefeuilles numériques pour les citoyens et les entreprises

Les portefeuilles numériques jouent un rôle crucial dans le modèle d'identité décentralisée en stockant les attestations vérifiables d'attributs d'identité. Similaire à un portefeuille physique qui contient des cartes d'identité, des permis de conduire, et d'autres documents importants, un portefeuille numérique offre une solution élégante pour stocker, protéger, et gérer les identités numériques.

  • Stockage sécurisé : Les portefeuilles numériques offrent un espace sécurisé pour stocker les clés cryptographiques privées et les attestations vérifiables, garantissant que seul le détenteur légitime puisse accéder et utiliser ces informations.
  • Facilité d'accès et de partage : Les utilisateurs peuvent facilement accéder à leurs attestations et les présenter de manière sélective avec les vérificateurs, sans avoir à divulguer plus d'informations que nécessaire pour la transaction en cours.
  • Interopérabilité: La conception des portefeuilles numériques vise à garantir leur compatibilité avec différents systèmes et standards, permettant aux utilisateurs de naviguer dans le monde numérique avec une identité unifiée et reconnue à travers divers services et plateformes.

Les portefeuilles numériques ne se limitent pas au stockage des attestations vérifiables ; ils facilitent également des transactions sécurisées et authentifiées, renforçant ainsi l'efficacité et la confiance dans les échanges numériques. En incorporant la gestion de l'identité numérique dans des portefeuilles accessibles et conviviaux, le modèle d'identité décentralisée promeut une nouvelle ère de souveraineté numérique pour les utilisateurs, leur permettant de contrôler pleinement leur identité et leurs données personnelles dans le monde numérique.

Quels cas d’usages pour le SSI ?

Le SSI permet d’offrir une expérience utilisateur beaucoup plus fluide et sécurisée pour l’internaute. Le SSI va impacter plusieurs secteurs et réinstaurer de la confiance numérique tant pour les individus que les entreprises.

Voici quelques exemples :

Pour les Individus

  • Finance et Banque : Le SSI simplifie les démarches bancaires en sécurisant la création de comptes, les transactions et les virements. Il permet aux utilisateurs de prouver leur identité de manière sécurisée sans divulguer d'informations superflues, facilitant ainsi l’accès à des services financiers personnalisés et sécurisés.
  • Éducation : Dans le secteur de l’éducation, le SSI permet une gestion simplifiée et sécurisée des dossiers académiques. Les étudiants peuvent facilement partager leurs diplômes et certificats d’études avec des institutions ou employeurs, tout en préservant la confidentialité et l’authenticité de ces documents.
  • Santé : Le SSI transforme l’accès aux services de santé en rendant plus aisé la prise de rendez-vous, la gestion des dossiers médicaux et l'inscription auprès des mutuelles. Cette approche assure une meilleure protection des données sensibles et facilite la communication entre patients et professionnels de santé.

Pour les Entreprises

  • Authentification et gestion d’identité: Les entreprises bénéficient du SSI pour offrir une expérience d’authentification sans friction, tout en renforçant la sécurité. Cela élimine les processus d'authentification lourds et réduit les risques de fraude.
  • Conformité et sécurité des données: Avec le SSI, les entreprises peuvent mieux se conformer aux réglementations sur la protection des données, comme le RGPD, en donnant aux utilisateurs le contrôle sur leurs informations. Cela aide à bâtir une confiance numérique et à minimiser les risques de violations de données.
  • Simplification des processus d’onboarding (KYC- KYB- KYE) : Que ce soit pour l’intégration de nouveaux employés ou l'acquisition de clients, le SSI permet de rationaliser et sécuriser les processus d’onboarding en vérifiant l'identité de manière efficace et respectueuse de la vie privée.
  • Approvisionnement et chaîne logistique : Dans le secteur de l’approvisionnement, le SSI peut être utilisé pour vérifier l’authenticité des produits et la fiabilité des fournisseurs, améliorant ainsi la transparence et la confiance dans la chaîne logistique.

La solution Archipels d’identité adopte une approche SSI

Conscient des enjeux techniques complexes que représente une approche SSI pour une entreprise, Archipels propose justement des solutions clés en main pour permettre aux entreprises et administrations qui le souhaitent d’opter pour un système d’identité numérique basée sur l’approche Self-Sovereign Identity. Vérification automatique d’identité, émission d'attestations, Archipels s’adapte à tous vos cas d’usage tout en respectant la confidentialité de vos utilisateurs finaux et les normes réglementaires européennes sur la sécurisation des données. 

De cette manière, les entreprises qui le souhaitent peuvent complètement révolutionner leur manière d’appréhender la gestion de données et la sécurité numérique de leurs utilisateurs, tout en améliorant de manière substantielle l’expérience utilisateur - de l’onboarding au monitoring des usagers et clients - et ainsi augmenter leur chiffre d’affaires.

Si vous souhaitez explorer la question du Self-Sovereign Identity avec nous, n’hésitez pas à nous contacter !

En savoir plus sur la solution Archipels
Je veux en discuter !

NOs 6 Derniers articles du blog