Les attestations vérifiables dans le paysage juridique européen

De temps à autre, on rencontre une solution à un problème dont on ignorait jusqu’alors l’existence. Les attestations vérifiables (ou « verifiable credentials » en anglais) en sont un exemple clair, qui deviendra sans doute beaucoup plus populaire dans les années à venir. Cela résulte en grande partie des récentes initiatives européennes.

Quel est le problème ?

Dans le monde physique, vous vous appuyez fréquemment sur des documents papier pour prouver des choses importantes. Les diplômes, les certificats de naissance et les permis de conduire sont de bons exemples : ils sont tous liés à vous d'une manière ou d'une autre, et disent quelque chose d'important sur qui et ce que vous êtes.

Les recréer sous forme électronique est facile, du moins en principe. Une organisation compétente crée une version électronique (un PDF, un document XML ou un document équivalent) et la signe. La technologie et le cadre juridique existent, et peuvent être déployés sans trop de problèmes.

Pourtant, dans la pratique, les choses peuvent être beaucoup plus difficiles. Il peut être ardu de lier le document à une personne spécifique, car les numéros d'identification uniques ne sont pas toujours disponibles, et ne sont pas toujours faciles à vérifier. En outre, comment déterminer que l'émetteur qui a signé le document a réellement la compétence pour le faire ? N'importe qui peut créer une signature numérique, alors comment une partie utilisatrice peut-elle valider l'autorité légale derrière un document ? Ce sont là les problèmes que les attestations vérifiables peuvent résoudre, tout en assurant une certaine protection des données par défaut en prime.

Que sont les attestations vérifiables, et en quoi sont-elles utiles ?

Les attestations vérifiables existent depuis un certain temps déjà et font même l'objet d'une recommandation spécifique du World Wide Web Consortium (W3C). Pour l'essentiel, les attestations vérifiables sont l'équivalent numérique des documents papier, que le titulaire peut emporter avec lui et présenter à toute tierce partie qui a besoin de s'y fier. Les exemples susmentionnés - diplômes, certificats ou licences - pourraient tous être délivrés en tant qu’attestations vérifiables numériques.

Les attestations vérifiables sont un sujet d’autant plus brûlant que ce modèle répond à un grand nombre de besoins actuels des utilisateurs. En plus d'être intrinsèquement numériques - une condition préalable essentielle aujourd'hui -, elles sont également propices à la protection des données : alors qu'un justificatif papier contient souvent beaucoup plus d'informations que ce qui est strictement nécessaire (par exemple, des informations d'identité détaillées concernant le détenteur), une attestation vérifiable peut être rendu pseudonyme, par exemple en confirmant simplement qu'une personne spécifique dans une transaction est un adulte ou possède une certaine qualification, sans divulguer d'informations d'identité qui ne sont pas strictement pertinentes dans le contexte. Les attestations vérifiables prennent donc en charge la protection des données par défaut, d'une manière plus souple que les attestations analogiques.

Deuxièmement, une attestation vérifiable peut, comme son nom l’indique, être vérifiée. Le terme "vérifiable" signifie qu'il est possible de déterminer l'authenticité et l'intégrité du document, y compris l'identité exacte de l'émetteur. Cela implique qu'une attestation doit être signée ou scellée, et qu'un modèle est établi pour vérifier l'autorité légale de l'émetteur.

Enfin, les attestations vérifiables sont conçues pour favoriser l'autonomie numérique, ou la souveraineté des données personnelles. Bien qu'une attestation doive toujours être délivrée par une organisation compétente, après sa délivrance, le détenteur ne dépend plus de l'émetteur pour l'utiliser. Comme pour un document papier, le détenteur peut choisir de la présenter à qui il veut. Il peut la stocker dans un coffre-fort numérique ou un portefeuille d'identité personnel, et la conserver en toute sécurité. En tant que telles, les attestations vérifiables sont également la pierre angulaire de certains cas d'utilisation plus avancés, comme les identités auto-souveraines qui permettent à une personne de prouver qui elle est sans impliquer un tiers dans chaque transaction. Elles sont aussi tout à fait adaptées à une intégration dans des modèles d'identité numérique basés sur la blockchain qui renforcent l'immuabilité des attestations ou de chaque session d'authentification. En bref, les attestations vérifiables sont la technologie adéquate pour les besoins d'aujourd'hui.

Quelles sont les règles en Europe ?

Jusqu'à présent, les attestations vérifiables ne sont pas soumises à une législation spécifique. Bien entendu, lorsqu'elles sont utilisées en relation avec des personnes physiques, les dispositions du règlement général sur la protection des données doivent être respectées pour la délivrance, le stockage et l'utilisation des attestations. En outre, les concepts fondamentaux sur lesquels reposent les attestations vérifiables sont amplement soutenus par le règlement européen eIDAS, qui régit l'identification électronique et certains services de confiance, notamment les signatures électroniques et les sceaux électroniques. Sur la base de ce règlement, la fiabilité et la valeur juridique des informations d'identité sous-jacentes peuvent être évaluées, et l'intégrité et l'authenticité des attestations peuvent être déterminées.

Les initiatives futures pourraient apporter un soutien supplémentaire aux attestations vérifiables. L'UE pilote déjà une infrastructure et des cas d'utilisation pour les attestations vérifiables, par l'intermédiaire de l'infrastructure européenne de services de blockchain (EBSI), qui associe les attestations à la technologie des registres distribués (« ledger » en anglais). L'intérêt de certains États membres est également réel, puisque l'utilisation d’attestations vérifiables est également testée dans le cadre du règlement sur la passerelle numérique unique, une initiative qui pourrait voir les attestations vérifiables devenir un élément constitutif des documents du secteur public en général.

Enfin, et ce n'est pas un détail, une modernisation du règlement eIDAS est attendue. La proposition de juin 2021 de modification du règlement eIDAS (parfois appelée « règlement eIDAS 2 ») prévoit la création d'un cadre juridique pour les "attestations électroniques d'attributs", définies comme une attestation sous forme électronique permettant d'authentifier des attributs. Le concept n'est pas limité aux attestations vérifiables, mais il en fait certainement partie. La proposition eIDAS 2 non seulement soutiendrait davantage la création et la validation de ces attestations vérifiables, mais permettrait également leur intégration dans des portefeuilles d'identité numérique européens normalisés.

De cette manière, la prévisibilité juridique et l'utilité des attestations vérifiables pourraient mener à une fiat officielle de l'UE. Et peut-être que, dans quelques années, nous pourrons enfin cesser de nous demander dans quel carton nous avons laissé nos anciens diplômes...

Vous avez encore des questions ou vous souhaitez un exposé introductif? Réservez un appel gratuit de 15 minutes avec Hans à hans.lawyer.brussels (réservé aux organisations).