Glossaire de l'identité numérique : Concepts, standards et réglementations clés
Si votre équipe croise sans cesse des termes comme justificatifs vérifiables, eIDAS 2.0 ou cadres de confiance, ce glossaire vous aide à y voir plus clair. Nous définissons ici les concepts, rôles, standards et réglementations qui façonnent l'identité numérique aujourd'hui.
4 [{"lang":"vi","url":"/vi/blog/digital-identity-glossary/"},{"lang":"pt-pt","url":"/pt/blog/digital-identity-glossary/"},{"lang":"es-es","url":"/es/blog/digital-identity-glossary/"},{"lang":"en-nz","url":"/blog/digital-identity-glossary/"}]Vous pouvez également lire cet article en Tiếng Việt, Português, Español et English.
Table des matières
- 1. Concepts fondamentaux
- 2. Rôles dans le triangle de confiance
- 3. Standards et formats
- 4. Réglementations et cadres de confiance
Partager cet article
L'identité numérique transforme la manière dont les entreprises vérifient l'identité de leurs interlocuteurs, avec l'apparition d'un nouveau vocabulaire difficile à suivre.
Ce glossaire propose une explication en langage simple des termes que vous rencontrerez le plus souvent en lisant sur les justificatifs numériques, l'identité vérifiée et les cadres réglementaires mis en place par les gouvernements et l'industrie. Nous avons regroupé les définitions en quatre rubriques :
- Concepts fondamentaux : les éléments de base expliquant le fonctionnement de l'identité numérique.
- Rôles dans le triangle de confiance : qui fait quoi lors de la délivrance, la détention et la vérification d'un justificatif.
- Standards et formats : les spécifications techniques sur lesquelles reposent les justificatifs.
- Réglementations et cadres de confiance : les lois et structures de gouvernance qui déterminent l’accréditation et l’usage de l’identité numérique.
Concepts fondamentaux
Voici les notions et termes essentiels au fonctionnement de l'identité numérique.
Identité numérique : Version électronique d'une personne, d'une organisation ou d'une chose, utilisée lors d'interactions en ligne. Une identité numérique regroupe des informations telles que nom, date de naissance, adresse ou diplômes, qui définissent qui on est dans un contexte donné.
Justificatif numérique : Enregistrement électronique attestant d'une information concernant une personne ou une organisation. Il peut s'agir d'un attribut d'identité (âge, nationalité), d'une qualification (diplôme universitaire) ou d'une autorisation (licence professionnelle). Un justificatif numérique est délivré par une organisation de confiance et partagé sous format électronique, plutôt qu'en version papier ou scannée.
Justificatif vérifiable : Un justificatif numérique pouvant être contrôlé cryptographiquement, ce qui signifie que l'organisation qui le reçoit peut confirmer qui l'a émis et s'il n'a pas été modifié depuis sa délivrance. Les justificatifs vérifiables évitent les vérifications manuelles et se valident instantanément, sans contacter l’émetteur. Ils sont conçus sur la base de standards ouverts, notamment le W3C Verifiable Credentials Data Model.
En savoir plus sur les justificatifs vérifiables et leur fonctionnement.
Attribut d'identité : Information précise concernant une personne, telle que nom complet, date de naissance, adresse ou nationalité. Un justificatif regroupe souvent plusieurs attributs, mais certains se concentrent sur un seul attribut, comme la preuve d'âge.
Vérification de l'identité (vs. authentification) : Deux concepts liés mais différents. La vérification de l'identité est le contrôle unique permettant de confirmer que quelqu’un est bien la personne qu’il prétend être lors de la première création de son identité auprès d’une organisation. L’authentification consiste à vérifier, à chaque connexion, que la personne qui accède au service est bien celle dont l'identité a été vérifiée au départ.
Divulgation sélective : Il s'agit de permettre à quelqu’un de ne partager que certaines informations strictement nécessaires au vérificateur, et non l'intégralité d’un justificatif ou d’un document. Par exemple, prouver que vous avez plus de 18 ans sans dévoiler votre date de naissance complète. La divulgation sélective est l'une des caractéristiques de respect de la vie privée essentielles des justificatifs vérifiables.
Portefeuille d'identité numérique : Application sécurisée, généralement sur un appareil mobile, permettant au détenteur de stocker ses justificatifs numériques. Les justificatifs sont conservés sur l'appareil de la personne, non dans une base de données centrale, et le détenteur choisit quand et avec qui les partager.
En savoir plus sur les portefeuilles d'identité numérique.
Identité décentralisée : Approche dans laquelle les individus détiennent et contrôlent eux-mêmes leurs justificatifs, au lieu de confier la gestion à une organisation centrale. Les justificatifs sont présentés directement au vérificateur, qui confirme leur authenticité grâce à la cryptographie, sans avoir besoin de contacter l’émetteur initial. Cela limite la diffusion des données personnelles et supprime le besoin de grandes bases centrales d’identité.
Pour en savoir plus, consultez notre explication sur l'identité décentralisée.
Triangle de confiance : Modèle à trois parties décrivant le processus de délivrance, détention et vérification des justificatifs numériques. Les trois rôles sont l'émetteur (organisation de confiance qui crée le justificatif), le détenteur (personne ou organisation à qui il appartient) et le vérificateur (celui qui a besoin de le valider). Chaque rôle interagit avec les deux autres et ensemble, ils forment la base du fonctionnement des justificatifs numériques.
Interopérabilité : Capacité des justificatifs émis par une organisation à être acceptés et vérifiés par une autre, quel que soit le système, secteur ou pays. L'interopérabilité permet qu'un justificatif soit utile au-delà de son contexte initial, et dépend de standards partagés, non d'intégrations ponctuelles entre fournisseurs spécifiques.
Rôles dans le triangle de confiance
Chaque justificatif numérique passe par trois parties avant d'être reconnu comme fiable, selon le schéma du triangle de confiance. Voici les trois rôles qui le composent.
Émetteur : Organisation qui crée un justificatif numérique et garantit l’exactitude des informations qu’il contient. Exemples : autorités publiques qui délivrent des documents d'identité, universités qui attribuent des diplômes, organismes professionnels qui octroient des licences. L'émetteur appose une signature numérique permettant de vérifier l'origine et l'intégrité du justificatif ultérieurement.
Détenteur : Personne ou organisation à qui appartient le justificatif, qui le conserve et le partage. Dans la plupart des modèles, le détenteur garde son justificatif sur son appareil et choisit les moments et les personnes avec lesquelles il le partage. Il ne peut pas modifier le justificatif lui-même.
Vérificateur (ou partie de confiance) : Organisation qui doit valider un justificatif avant de fournir un service, finaliser une transaction ou satisfaire à une obligation réglementaire. Le vérificateur contrôle la signature numérique du justificatif pour confirmer qu'il provient d'un émetteur de confiance et n’a pas été altéré. Selon la réglementation, on parle aussi souvent de « partie de confiance ».
Découvrez notre explication détaillée sur le triangle de confiance.
Standards et formats
Les règles techniques ouvertes qui permettent aux justificatifs numériques de fonctionner de façon cohérente sur tous systèmes et chez tous prestataires. Vous n'avez pas besoin de maîtriser tous ces détails, mais leurs noms reviennent souvent dans les textes professionnels ou juridiques.
Verifiable Credentials Data Model : Standard ouvert du World Wide Web Consortium (W3C) qui définit la structure, la signature et la présentation des justificatifs vérifiables. Suffisamment flexible pour couvrir de nombreux justificatifs (documents d'identité, relevés académiques, etc.), il s’agit de l’un des deux formats principaux cités dans les spécifications européennes et sectorielles.
mdoc : Format de justificatif défini dans la norme internationale ISO/IEC 18013-5 pour stocker des documents d'identité sur un appareil mobile. Un mdoc est signé cryptographiquement et peut être partagé via Bluetooth, NFC ou en ligne pour des contrôles à distance. Conçu spécifiquement pour les documents d'identité, ce format est utilisé dans des programmes gouvernementaux du monde entier.
mDL : Permis de conduire mobile. Une mDL est un type particulier de mdoc : version numérique d’un permis de conduire physique, pouvant être conservée dans un portefeuille d'identité numérique et partagée en ligne. Plusieurs états américains, australiens et autres délivrent désormais des mDL, souvent utilisées pour la vérification d’âge ou d’identité dans les aéroports.
Justificatifs à divulgation sélective (SD-JWT VC) : Format de justificatif reposant sur le standard JSON Web Token (JWT), auquel s’ajoute la divulgation sélective. Celle-ci permet au détenteur de ne partager qu'une information précise dont le vérificateur a besoin. Ce format est de plus en plus utilisé dans l’écosystème européen, en complément des formats W3C et ISO, et cité dans les actes d’application d'eIDAS 2.0.
OpenID for Verifiable Credential Issuance (OID4VCI) : Protocole définissant la façon dont l’émetteur envoie un justificatif numérique au portefeuille du détenteur. OID4VCI s’appuie sur OAuth 2.0, très répandu chez les développeurs, et fonctionne avec tous les formats principaux de justificatifs. C’est l’un des protocoles de délivrance de référence dans les spécifications européennes et sectorielles.
Infrastructure à clé publique (PKI) : Technologie cryptographique fondamentale permettant la création et la vérification des signatures numériques. La PKI utilise des paires de clés privées et publiques pour prouver qu’un document signé provient bien du titulaire de la clé privée et n’a pas été modifié. La plupart des solutions d'identité numérique et de services de confiance reposent sur la PKI, y compris pour les signatures électroniques avancées et qualifiées sous eIDAS.
Réglementations et cadres de confiance
Les lois et règles encadrant l’accréditation et l’utilisation de l'identité numérique. Si elles varient selon les pays, elles évoluent toutes vers : des prestataires accrédités, des justificatifs utilisables au-delà des frontières, et plus de contrôle pour l'utilisateur sur ses données.
Digital Identity Services Trust Framework (DISTF) : Cadre réglementaire et de gouvernance néozélandais pour l’accréditation des services d'identité numérique, mis en place par la loi Digital Identity Services Trust Framework Act 2023. Le DISTF définit les exigences pour délivrer ou accepter des justificatifs numériques vérifiés en Nouvelle-Zélande. Il est supervisé par une Autorité indépendante de gestion du Cadre de confiance.
eIDAS 2.0 : Règlement (UE) 2024/1183, actualisant le cadre européen pour l'identité numérique, les signatures électroniques et les services de confiance. Sa grande nouveauté est l’introduction du portefeuille européen d'identité numérique, que chaque État membre de l’UE doit mettre à disposition de ses citoyens. eIDAS 2.0 définit également les trois niveaux de signature électronique (SES, AES et QES) et le régime des prestataires de services de confiance autorisés à les délivrer.
En savoir plus sur eIDAS 2.0.
Signature électronique simple (SES) : Forme de signature électronique la plus basique selon eIDAS. Elle correspond à la saisie d’un nom à la fin d’un document, l’appui sur un bouton « J’accepte » ou l’insertion d’une image de signature. Les SES sont acceptées pour la plupart des contrats courants ne nécessitant pas d’authentification forte.
Signature électronique avancée (AES) : Signature électronique apportant plus de garanties que la SES. Selon eIDAS, une AES doit être liée de façon unique au signataire, permettre son identification, être créée sous son contrôle exclusif et permettre de détecter toute modification du document après sa signature. L’AES est courante pour les contrats commerciaux nécessitant une meilleure traçabilité.
Signature électronique qualifiée (QES) : Niveau le plus élevé de la signature électronique au sens d’eIDAS, et seul équivalent légal à la signature manuscrite dans toute l’UE. Une QES doit être générée avec un certificat qualifié délivré par un prestataire de confiance qualifié, et appliquée via un dispositif sécurisé certifié. Avec eIDAS 2.0, le portefeuille européen d'identité numérique doit grandement faciliter l’accès à la QES.
NIST SP 800-63 : Les Digital Identity Guidelines de l’Institut national des standards et de la technologie américain, ensemble très cité de préconisations techniques sur la validation d'identité, l'authentification et la fédération. Même rédigées pour les agences fédérales américaines, leurs exigences influencent de nombreux autres cadres internationaux.
Prestataire de services de confiance : Organisation accréditée pour fournir des services d'identité ou de confiance, comme l'émission de certificats, la validation de signatures, ou la gestion d'identités numériques. Dans l'UE, un « prestataire qualifié » (QTSP) est celui qui satisfait aux exigences d’eIDAS 2.0 et peut délivrer des signatures électroniques qualifiées.
Registre de confiance : Liste tenue par l’organisme d’accréditation qui recense les émetteurs et vérificateurs autorisés au sein d’un cadre de confiance donné. Les registres apportent une façon fiable de vérifier qu’un justificatif provient bien d'une source accréditée, et permettent une application cohérente de la gouvernance à l’échelle de l’écosystème.
Partager cet article