Qu’est-ce qu’une identité numérique?

[English version can be found here]

À DIACC et IdentityNORTH, on affirme haut et fort que les identités numériques sont la clé d’un important mouvement de croissance et d’innovation dans l’économie canadienne. Les ramifications importantes de cette affirmation nous forcent à nous demander : qu’est-ce qu’une identité numérique? Pouvez-vous expliquer en termes simples ce que sont les identités numériques ou même répondre à la question : « Qu’est-ce qu’une identité? » Prenez quelques minutes pour tenter de formuler une définition claire.

Si vous n’y arrivez pas ou hésitez, ne vous en faites surtout pas. Même si j’ai fréquemment posé la question au cours des dernières années, je n’ai pas encore réussi à obtenir une réponse simple, concise et précise. Toutefois, d’excellents ouvrages de référence en ligne, comme The Field Guide to Identity par Identity Woman (Kaliya “Identity Woman” Young [anciennement Hamlin]) explorent les multiples aspects de l’identité.

En bref, je suis motivé à définir les identités numériques de manière simple et directe parce que l’absence d’une base sémantique commune pour les identités numériques rend plus difficile la réalisation de la croissance économique et de l’innovation qui seraient possibles grâce à des identités numériques robustes.

Qu’est-ce qu’une identité?

En termes simples, une identité est une représentation de qui vous affirmez être et de qui vous êtes. Une identité numérique est une représentation électronique de cette affirmation, de cette assertion d’identité. Finalement, une identité numérique de confiance est une représentation de vous à laquelle on peut se fier pour des transactions de grande valeur comme la signature d’un contrat ou une demande de passeport.

L’identité est au cœur de l’authentification des interactions sociales et de l’intégrité des processus d’affaires. C’est le point de départ de toute relation, de la confiance accordée aux transactions réalisées continuellement entre des personnes, des organisations et le gouvernement. L’identité dépend également du contexte. Dans le contexte d’une identité, il est essentiel de pouvoir distinguer une personne d’une autre de manière à ce que la prestation de services soit dirigée vers la bonne personne.

L’identité d’une personne peut être subjective ou objective. L’identité subjective est l’ensemble de propriétés psychologiques et physiologiques qui font que chaque personne se perçoit comme étant unique. C’est une construction mentale qui nous permet d’interagir avec d’autres tout en conservant notre caractère distinctif. Je n’en dirai pas plus sur l’identité subjective parce que ce qui m’intéresse principalement c’est l’identité objective d’une personne, une convention sociale qui lie des identifiants et des attributs aux personnes. Décortiquons cette définition pour évaluer sa justesse.

Une convention sociale : si vous êtes le seul survivant de la mission Mars One et vivez seul sur Mars sans communication avec la Terre, votre identité (votre nom, par exemple) ne veut plus rien dire parce que vous cessez d’être en relation avec d’autres personnes. Quand des individus interagissent, en personne, dans un groupe ou en ligne, ils doivent se désigner entre eux. Par convention sociale, chaque enfant reçoit donc un nom dès sa naissance. Cette convention est qualifiée de « sociale » parce que sa principale fonction consiste à permettre aux personnes (physiques ou morales) d’interagir. La « convention » (ou la pratique) vient du fait que les membres d’un groupe choisissent l’identifiant en fonction du contexte, c.-à-d. qu’une personne est désignée par un nom d’utilisateur dans un site Web ou alors que ses enfants l’appellent simplement « papa ».

Un identifiant est un pointeur associé à une personne en particulier. Il peut être unique à un système donné, comme c’est le cas du numéro d’assurance sociale (NAS) au Canada. Deux personnes ne peuvent avoir le même NAS. Même si un identifiant est prévu pour une personne en particulier, dans les faits, il peut ne pas être unique. Par exemple, je ne suis pas le seul à porter le nom de « Patrick Cormier ». L’identifiant peut même ne pas être lié à une convention sociale du monde réel (mon identifiant en ligne pourrait être Fidel5351). Certains types d’identifiants (comme les noms et les identifiants en ligne) peuvent ne pas être uniques dans un contexte donné et peuvent pointer vers plus d’une personne. À titre d’exemple, le NAS, le numéro de sécurité sociale, le numéro de permis de conduire ou le numéro d’employé sont également des identifiants. Je reviendrai plus loin sur le besoin d’un identifiant unique pour une personne dans un système donné.

Un attribut est une propriété susceptible d’être partagée par plusieurs personnes. Il peut être professionnel (p. ex., avocat, CPA, ingénieur, architecte). Il peut également être lié à une affiliation (p. ex., les employés d’une entreprise, les diplômés d’une université), à des caractéristiques physiques (p. ex., la couleur des yeux, le sexe, la grandeur), etc. Un attribut peut aussi être lié à des personnes morales, comme la taille d’une organisation (p. ex., les petites et moyennes entreprises).

Une personne peut être une personne physique ou morale, ce peut être toute entité ayant un statut légal. Dans le contexte qui nous préoccupe, une personne n’est pas un concept, c’est réellement une personne physique (ou une organisation). Pour fins de clarté, je ne réfère pas ici à des persona de marketing non plus — des rôles génériques.

Le fait de lier un identifiant ou un attribut à une personne implique généralement que la personne ait une manière de légitimement réclamer l’identifiant ou l’attribut. En plus de l’assertion d’identité et dans certains contextes, le lien peut également impliquer que l’identifiant ou l’attribut est légitimement associé à la personne en l’absence d’assertion d’identité.

« Lier » est l’action d’enregistrer de manière fiable une relation entre, d’une part, un ensemble d’identifiants ou d’attributs et, d’autre part, une personne. Dans les sociétés modernes, cela se traduit souvent par la possession de documents produits par un organisme gouvernemental, comme un certificat de naissance, un permis de conduire ou un passeport. Pour les assertions d’identité, les personnes utilisent également la reconnaissance collective (lorsque plusieurs autres personnes s’entendent pour dire que l’assertion est légitime) et l’authentification fondée sur les connaissances. Cependant, d’importantes violations de données font perdre de la crédibilité à ce dernier mode d’authentification qui repose sur la prémisse que seul le détenteur de l’identifiant connaît les réponses à un ensemble de questions données. Enfin, il est aussi possible d’attribuer des identifiants et des attributs à des personnes sans avoir recours à des assertions d’identité.

Une identité est donc une convention sociale qui lie des identifiants et des attributs aux personnes. Cette définition et les explications précédentes nous permettent de tirer un certain nombre de conclusions :

  • Chaque personne possède au moins autant d’identités que d’identifiants. Dans un site Web, mon identité numérique peut être connue uniquement sous l’identifiant « Fidel5351 » par les autres personnes dans le site Web. « Fidel5351 » est mon identité pour ce site Web.
  • Certaines identités sont qualifiées de juridiques parce qu’elles sont émises ou reconnues par l’État. De telles identités peuvent posséder des biens et poursuivre ou être poursuivies en justice. Dans le contexte de croissance économique propulsée par l’économique numérique, les identités numériques juridiques sont essentielles.
  • Certains contextes peuvent exiger une identité composite ou l’association d’un ensemble d’identités. C’est le cas lorsque plusieurs identités sont utilisées simultanément pour exécuter une transaction, signer un document ou créer une identité qui désigne une personne de manière unique dans un contexte ou un système en particulier. Par souci de concision, les identités composites sont souvent appelées identités contextuelles ou simplement identités.
  • Une identité contextuelle est un ensemble d’attributs d’identité utilisés pour distinguer une personne donnée dans un contexte d’identité. Même si les attributs d’identité, comme le nom et la date de naissance, peuvent identifier une personne, ils ne suffisent pas pour distinguer une personne au sein d’une vaste population (comme celle d’une province ou d’un pays). On attribue donc un identifiant artificiel à une personne dont le seul but est de désigner cette personne en particulier. Par exemple, l’association de « Patrick Cormier » et de mon numéro de permis de conduire pointe uniquement vers moi (personne d’autre ne peut affirmer porter mon nom et avoir mon numéro de permis de conduire) pour créer une identité qui peut efficacement et assurément faire la distinction entre moi et un autre Patrick Cormier.
  • Pour distinguer une identité d’une autre, il est également possible d’inclure des attributs dans l’identité. Par exemple, s’il n’y a qu’un seul avocat au Québec à porter le nom de « Patrick Cormier », mon identité « Patrick Cormier » associée aux deux attributs « avocat » et « Québec » pointerait uniquement vers moi. De la même manière, s’il y a un autre Patrick Cormier avocat, l’ajout d’un nouvel attribut ou identifiant serait nécessaire pour nous distinguer l’un de l’autre.
  • Le besoin d’identités composites et d’identités associées à des attributs est contextuel. Si vous souhaitez poursuivre quelqu’un en justice, vous devez fournir, au minimum, votre nom tel que reconnu par l’État et votre adresse. Pour obtenir des soins de santé fournis par la province, vous devez fournir votre nom et votre numéro d’assurance maladie provincial. Pour publier un article de blogue, vous pourriez n’avoir besoin que d’un pseudonyme validé, p. ex., un nom d’utilisateur associé à une adresse de courriel.

Qu’est-ce qu’une identité numérique?

Ces conclusions ne sont que quelques-unes des conclusions qu’il importe de comprendre avant d’examiner les identités numériques. Les identités numériques sont des conventions technologiques liant des identifiants numériques et des attributs à une personne. Essentielles dans le monde technologique, les identités numériques existent en diverses versions :

  • Les identités numériques autoproclamées sont des assertions d’identité, créées et utilisées sans validation externe ni vérification de leur véracité. C’est le cas, par exemple, d’un certificat numérique autosigné d’Adobe. Pour créer un tel certificat, je peux utiliser n’importe quel nom qui me plaît. De la même manière, je peux choisir un nom, l’associer à un compte Gmail et l’utiliser pour me faire connaître de mes correspondants. De toute évidence, de telles assertions ne sont pas optimales dans un contexte d’actes juridiques ou de transactions commerciales.
  • Les identités numériques vérifiées sont des identités numériques pour lesquelles les identifiants (et possiblement les attributs) ont été vérifiés par au moins un tiers, mais pas nécessairement par un tiers de confiance. Autrement dit, un tiers a validé que le propriétaire de l’identité numérique peut légitimement se réclamer des identifiants et des attributs. Dans la mesure où vous faites confiance à ce tiers et comprenez son processus de validation, vous pouvez faire confiance à la validité de l’assertion d’identité et des attributs qui y sont associés. Par exemple, si vous comprenez que les certificats numériques de signature sont émis par l’Autorité de certification X et jugez acceptable le processus d’émission de leurs certificats, vous pourriez avoir confiance en la véracité de l’assertion d’identité et des attributs afférents.
  • On parle d’identité numérique de confiance lorsque l’identité numérique a été fournie par un environnement de confiance et qu’elle respecte les conditions ou les critères de conformité de cet environnement de confiance. Par exemple, DIACC est en train de créer un environnement de confiance pour les identités numériques canadiennes. D’autre part, un environnement de confiance peut simplement être, par exemple, la reconnaissance explicite par une autorité gouvernementale de la fiabilité des identités numériques et des signatures de l’Autorité de certification X pour l’exécution de transactions Y avec le gouvernement. Plus exactement, les environnements de confiance devraient être vus comme des environnements de responsabilité comme l’explique l’article suivant (en anglais) The Trouble with Trust, & the case for Accountability Frameworks for NSTIC. Je devrais également clarifier la distinction sémantique entre la confiance objective et la confiance subjective. Par définition, la confiance est subjective; c’est l’opinion quant à la fiabilité (une qualité perçue objectivement) de quelqu’un ou de quelque chose. Lorsque je définis le terme « identités numériques de confiance », je parle de confiance objective. En d’autres mots, ce sont des identités numériques qui respectent des critères objectifs établis par un environnement de confiance et qui devraient donc être désignées par le terme « identités numériques de confiance ». Bien sûr, une personne peut (subjectivement) ne pas faire confiance à une « identité numérique de confiance ». Cependant, malgré cette distinction sémantique, je crois qu’il est valable de déterminer objectivement que le terme identité numérique de confiance désigne les identités qui respectent les conditions établies par un environnement de confiance (“trust framework”).

En réponse à la question « Qu’est-ce qu’une identité numérique? », on peut également faire référence à la raison d’être d’une telle identité. Une identité numérique devrait juridiquement équivaloir à se présenter soi-même en personne avec des documents papier. Une identité numérique devrait garantir qu’une personne en particulier est à l’autre bout de la transaction ou à l’origine d’un document signé. Par exemple, on peut utiliser des identités numériques pour signer des certificats de naissance, des passeports, des relevés de notes ou des diplômes universitaires, des contrats, des plans et dessins techniques, des déclarations sous serment, etc. En bref, pour tout document pour lequel la preuve d’origine peut être requise des semaines, des mois ou même des décennies plus tard.

Conclusion

L’économie canadienne fonctionne parce que des millions de transactions sont exécutées et documents signés quotidiennement. Imaginez un monde dans lequel, éventuellement, l’exécution de toutes ces transactions et signatures pourraient être numériques, juridiquement contraignantes et fiables. Imaginez les économies considérables réalisées parce que les personnes n’ont plus à se présenter pour signer et que les inefficacités des processus papier sont évitées. Imaginez toutes les activités commerciales qui deviendraient possibles grâce aux transactions en ligne dans un marché mondial accessible en s’affranchissant du besoin de contact en personne.

Les identités numériques peuvent être, et sont, la clé d’une société moderne, tournée vers l’avenir et technologiquement évoluée. C’est à nous de créer les environnements de confiance requis pour concrétiser cette vision. Participez à DIACC et assister à IdentityNORTH l’an prochain!