Quels sont les principaux enjeux posés par l’identité numérique ? Pierre Laperdrix, chargé de recherche CNRS au sein de l’équipe-projet Spirals (1), a répondu aux questions de Monaco Hebdo.
Qu’est-ce que l’identité numérique ?
L’identité numérique est un lien entre une personne physique et une identité virtuelle, comme un compte avec une adresse e-mail, par exemple. Il n’y a donc pas que les États qui ont accès à l’identité numérique. Sur Airbnb ou sur Le Bon Coin, on doit parfois envoyer une copie de sa carte d’identité pour prouver qui on est. Chaque site a donc sa propre identité numérique pour ses utilisateurs. Il n’y aura donc pas forcément une identité globale, valable partout sur Internet.
Qu’est-ce qui est complexe avec la mise en place de l’identité numérique, à l’échelle d’un État ?
Les coûts de mise en place et d’infrastructure sont un frein. Mais c’est surtout l’adaptation au changement qui peut poser problème. Il faut en effet que tous les processus qui sont déjà en place puissent évoluer vers quelque chose qui est totalement dématérialisé. Or, on ne peut pas provoquer une coupure brutale, et passer du jour au lendemain d’une version « papier » à une version numérique. Il faut aussi mettre en place une authentification forte, pour être sûr que c’est bien la bonne personne qui se connecte.
« L’État monégasque n’a aucun intérêt à partager ces données avec des tiers pour les monétiser, par exemple. Si cela était fait, ou en cas de problèmes de respect de la vie privée, ça ne ferait que délégitimer ce service »
Quelles informations liées à l’identité numérique peuvent être collectées ?
Il y a d’abord les informations que l’utilisateur va entrer, et donc donner de lui-même, comme des photos personnelles sur un réseau social, par exemple. Ensuite, il y a ce qui découle de la façon dont on utilise l’outil numérique. Ce peut être, par exemple, les données de connexion : à quelle heure l’utilisateur s’est connecté, depuis quelle adresse IP, le type de pages visualisées, etc. Ces données de connexion peuvent révéler un certain nombre de choses sur l’utilisateur, sans être déterminantes pour autant.
Dans le cas de l’identité numérique déployée par un État comme Monaco, faut-il s’inquiéter ?
Si tout est réalisé en interne par l’État monégasque, et qu’ils ne font appel à aucun partenaire tiers pour traiter ces données, il n’y a aucune raison que ces données soient utilisées à des fins de traçage. Je ne sais pas comment ils vont stocker les données de connexion, et comment ils vont les traiter. Mais, encore une fois, les données de connexion ne révèlent pas grand-chose. En effet, savoir qu’un utilisateur a fait une demande de passeport à telle heure avec telle adresse IP, ça présente assez peu d’intérêt.
« Dans le secteur du numérique, on ne peut pas garantir la sécurité à 100 %. Chaque année, des exemples de fuites de base de données, et de problèmes de sécurisation font la “une” des journaux »
Que vise un État en créant une identité numérique pour ses administrés ?
L’intérêt pour un État comme Monaco, c’est de dématérialiser les démarches administratives, tout simplement pour faciliter les choses et les accélérer. En revanche, sur Google ou sur Facebook, en lisant les politiques de vie privée de ces entreprises, il est clairement indiqué que les données personnelles récoltées peuvent être transmises à des partenaires commerciaux. Mais l’État monégasque n’a aucun intérêt à partager ces données avec des tiers pour les monétiser, par exemple. Si cela était fait, ou en cas de problèmes de respect de la vie privée, ça ne ferait que délégitimer ce service. Résultat, les gens reviendraient peut-être à la version « papier », et on perdrait alors tout l’intérêt apporté par l’outil numérique.
Lorsqu’on s’inscrit, ou que l’on s’authentifie, sur un site Internet, comment être certain que ces données ne seront pas piratées et revendues à des tiers ?
Dans le secteur du numérique, on ne peut pas garantir la sécurité à 100 %. Chaque année, des exemples de fuites de base de données, et de problèmes de sécurisation font la « une » des journaux. Cela peut être dû à un bug dans un programme qui permet d’accéder à des services censés être sécurisés. Mais, même si un système est très sécurisé, on peut aussi passer par quelqu’un qui a les droits d’accès à ces données pour parvenir à les faire « fuiter ». La technique et l’humain ne sont pas infaillibles. Il n’y a donc pas de risque zéro. Mais je pense que l’État monégasque a dû faire les audits nécessaires pour être sûr que l’infrastructure qu’il a mis en place suit toutes les bonnes pratiques à adopter en termes de sécurisation de bases de données et d’infrastructures.
1) L’équipe-projet Spirals est commune à l’Institut national de recherche en sciences et technologies du numérique (Inria) et au laboratoire Centre de Recherche en Informatique, Signal et Automatique (Cristal) de Lille. Pierre Laperdrix est aussi le créateur du site amiunique.org, qui permet de vérifier quelle est l’empreinte de votre navigateur.
