Identité décentralisée : ce que c’est et pourquoi c’est important

La vérification d’identité fait désormais partie intégrante des activités professionnelles, que ce soit pour ouvrir un compte, signer un accord, déposer des documents légaux ou accéder à un service. Dans la plupart des cas, cela se déroule en coulisses, jusqu’à ce qu’un problème survienne ou ralentisse le processus. De nombreuses interactions reposent encore sur une approche centralisée : les organisations collectent, stockent et contrôlent les données personnelles, servant d’intermédiaires entre les personnes et les parties demandant une preuve d’identité.

Cette approche est sous pression. Les grands entrepôts de données centralisés sont devenus des cibles fréquentes pour les attaquants, contribuant à l’augmentation des violations de données et des fraudes à l’identité. Les personnes doivent souvent répéter les mêmes étapes de vérification auprès de différents services, en partageant chaque fois plus d’informations que nécessaire.

L’identité décentralisée émerge comme une alternative. Elle permet aux individus de stocker et présenter leurs propres justificatifs vérifiés, réduisant la dépendance vis-à-vis de ces intermédiaires.

Un nouveau modèle pour l’identité numérique

L’identité décentralisée transfère le contrôle des justificatifs des institutions vers les individus.

Dans cette approche, une organisation de confiance, telle qu’un organisme gouvernemental, une université ou un organisme de délivrance de licences, délivre un justificatif numérique vérifiable. L’individu conserve ce justificatif, souvent de manière sécurisée sur son propre appareil, dans une application appelée généralement un portefeuille d’identité numérique. Lorsque la preuve d’identité ou d'une qualification est requise, la personne la présente directement.

Tout cela est rendu possible grâce à la vérification cryptographique. Plutôt que de dépendre d’un tiers, le système confirme deux éléments :

• Ces données proviennent-elles bien de la source revendiquée ?
• Les données ont-elles été modifiées ?

Ces justificatifs sont signés numériquement et validés instantanément, sans contacter l’organisation émettrice. Cela réduit la nécessité de partager ou de stocker fréquemment des données personnelles.

Pensez-y comme à un permis de conduire physique. Vous le recevez d’une autorité de confiance et le présentez lorsque nécessaire. La personne qui procède à la vérification ne contacte pas l’organisme émetteur à chaque fois. Le même principe s’applique ici, la preuve cryptographique remplaçant l’inspection visuelle.

Pourquoi le modèle actuel augmente les risques et la complexité

L’approche centralisée de la vérification d’identité crée des difficultés qui deviennent difficiles à gérer à grande échelle. Les bases de données d’identités volumineuses sont des cibles de grande valeur, où une seule violation peut exposer une grande quantité de données sensibles.

La vérification est également souvent inutilement répétée alors que la même information a déjà été confirmée ailleurs. Chaque nouvelle relation commence typiquement de zéro, ralentissant l’accueil des nouveaux venus et dupliquant les efforts entre les systèmes.

Dans de nombreux cas, prouver un seul attribut implique encore de partager des documents entiers. Résultat : plus de données personnelles sont partagées que nécessaire.

Les justificatifs sont aussi difficiles à réutiliser. Lorsqu’ils sont liés à une plateforme ou institution, ils ne sont pas facilement transférables.

Comment fonctionne l’identité décentralisée

L’identité décentralisée réduit les échanges de données répétés et l’exposition inutile. Elle repose sur un modèle simple composé de trois rôles : l’émetteur, l’individu, et le vérificateur.

1. Une organisation de confiance agit en tant qu’émetteur. Elle crée un justificatif numérique et le signe avec des clés cryptographiques, confirmant ainsi la validité des informations.
2. L’individu stocke le justificatif de façon sécurisée sur son propre appareil. Cela peut inclure une preuve d’identité, des certifications professionnelles, ou d’autres attributs vérifiés.
3. Un tiers agit comme vérificateur. Lorsque le vérificateur a besoin de l’information, l’individu présente le justificatif directement.
4. Le vérificateur utilise la signature numérique de l’émetteur pour confirmer l’authenticité du justificatif.

Le processus est instantané et résistant à la falsification. Tant que la signature est valide et que le justificatif n’a pas été révoqué, il peut être considéré comme fiable sans contacter l’émetteur.

Qu’est-ce qui change au moment de la vérification ?

La différence entre centralisé et décentralisé est la plus visible au point de vérification.

Dans une approche centralisée, la vérification dépend d’échanges successifs entre le vérificateur et l’émetteur, impliquant souvent la transmission ou l’exposition des données personnelles.

Avec l’identité décentralisée, cet échange n’est pas nécessaire. L’individu présente un justificatif vérifiable instantanément. L’émetteur n’a pas à intervenir.

Cela crée une interaction plus directe entre l’individu et le vérificateur, avec moins d’exposition de données et moins d’étapes de vérification répétitives.

Pourquoi l’identité décentralisée importe pour les organisations

Si votre organisation dépend de la vérification d’identité, l’identité décentralisée change à la fois l’exposition au risque et la manière dont la vérification se déroule au quotidien.

Elle réduit la nécessité de stocker des données personnelles sensibles, ce qui peut en limiter l’impact en cas de violation. Les organisations peuvent vérifier les justificatifs quand c’est nécessaire sans maintenir de vastes bases de données d’identités. Cela change la gestion de l’identité à travers l’accueil, la conformité et les processus de transaction, et peut réduire à la fois les besoins de stockage et la charge liée à la gestion des données sensibles.

La vérification peut être plus efficace en évitant les contrôles répétés entre systèmes. Les justificatifs n’ont pas besoin d’être réémis ou revérifiés à chaque interaction.

Les individus peuvent ne partager que ce qui est strictement nécessaire pour réaliser une transaction, plutôt que des documents entiers. Cela favorise la minimisation des données et s’aligne sur l’évolution des attentes réglementaires.

Avec le temps, la vérification d’identité peut évoluer depuis des processus répétitifs et gourmands en données vers un échange direct, plus sûr et plus facile à gérer à grande échelle.

Où cela prend déjà forme

L’identité décentralisée est en train d’être mise en œuvre concrètement, soutenue par les gouvernements, les organismes de normalisation et des initiatives sectorielles.

En Nouvelle-Zélande, le Digital Identity Services Trust Framework définit des standards pour les prestataires du secteur. La loi australienne sur l’identité numérique (2024) établit un cadre légal pour l’identité numérique réutilisable. Dans l’Union européenne, le nouveau cadre eIDAS 2.0 oblige les États membres à proposer des portefeuilles d’identités numériques permettant aux citoyens de stocker et partager des justificatifs vérifiés au-delà des frontières.

Parallèlement, des standards ouverts tels que les justificatifs vérifiables rendent possibles des systèmes interopérables entre plateformes et prestataires, au lieu de rester liés à un fournisseur unique.

Ensemble, ces évolutions marquent un passage vers une identité comme infrastructure partagée, et non plus uniquement contrôlée par chaque organisation.

Ce que cela change pour les processus dépendants de l’identité

L’impact de l’identité décentralisée se voit particulièrement dans les processus qui nécessitent de vérifier l’identité d’une personne.

Des démarches comme l’accueil des nouveaux clients, les contrôles de conformité et la signature de contrats reposent toutes sur la vérification de l’identité, souvent plusieurs fois lors d’une même interaction. Aujourd’hui, ces étapes sont généralement réalisées par envoi de documents, contrôles manuels ou validations par un tiers.

Avec les justificatifs décentralisés, les personnes peuvent présenter directement des données vérifiées, réduisant le besoin de vérifications répétées et limitant la fréquence d’échange de données sensibles.

Un domaine où cela commence à se concrétiser est la signature de documents. Des plateformes telles que la signature numérique vérifiée proposée par Lumin utilisent des justificatifs vérifiables au moment de la signature, aidant à s’assurer que le signataire est bien la personne qu’il prétend être, sans étapes supplémentaires ni procédures de vérification séparées.

Quelles perspectives pour l’identité décentralisée ?

Les systèmes centralisés restent courants, et de nombreuses organisations continueront à les utiliser en parallèle des nouvelles approches.

En même temps, cette évolution devient difficile à ignorer. Avec la maturité des standards et l’élargissement des cadres réglementaires, l’identité décentralisée passe des pilotes à des déploiements plus larges. Elle devient une composante de l’infrastructure qui soutient les interactions numériques.

Pour les organisations qui dépendent de la vérification d’identité, anticiper ce changement peut faciliter la transition à mesure que ces nouveaux modèles sont mis en place.