Aider le citoyen à protéger son identité et ses données personnelles

Piloté par l’entreprise ARIADNEXT, le projet européen SOTERIA vise à construire un outil innovant d’identification numérique qui préserve la vie privée en s’appuyant sur un stockage décentralisé et sécurisé des données personnelles. Ceci afin d’augmenter le contrôle par les citoyens sur leurs propres informations. Membre du consortium, Inria apportera son expertise en systèmes distribués et en vie privée.


Imaginez que vous vous apprêtiez à utiliser un service en ligne proposant une réduction aux clients de moins de 25 ans. Ce site web ne devrait même pas à avoir à connaître votre date de naissance. Tout ce dont il a vraiment besoin, c’est de savoir que vous avez effectivement moins de 25 ans et que, donc, vous pouvez bénéficier de la réduction. Pour préserver la vie privée, le nouvel outil divulguera uniquement le strict minimum nécessaire afin que la transaction s’effectue ou bien que le service soit rendu. Rien de plus : moins de 25 ans et droit à la réduction. C’est tout,” explique Montaser Awal, responsable de l’équipe de recherche en Intelligence Artificielle chez ARIADNEXT.

Basée à Rennes, cette société conçoit des solutions pour la vérification à distance des documents et le contrôle d’identité. Ses clients ? Les banques, les opérateurs télécom, les transports, l’industrie du jeu, les établissements de crédits, les services de paiement ou encore les compagnies d’assurances. Durant les trois ans à venir, elle va coordonner SOTERIA, un projet de recherche et d’innovation regroupant 13 partenaires*. Objectif : donner aux citoyens européens les moyens de contrôler leur vie privée numérique, les aider à mieux gérer et protéger leurs informations personnelles, conformément au Règlement général sur la protection des données (RGPD) mis en place dans l’Union. Ce projet s’inscrit aussi dans le dispositif EUid (EU digital ID scheme) qui préfigure la révision de la législation actuelle pour rendre l’usage des services en ligne plus faciles et plus sûrs partout en Europe, tout en donnant aussi aux utilisateurs plus de contrôle sur leur vie privée.

Sur le marché, on trouve des solutions pour l’identité numérique, d’autres pour la protection des données personnelles, ainsi que des solutions présentant des contraintes matérielles fortes. C’est le cas, par exemple, des systèmes basés sur des puces qui nécessitent un lecteur spécifique.

Ce que nous souhaitons faire, c’est fusionner l’identification numérique et la protection des données personnelles dans une solution unique mais sans contraintes liées au matériel de lecture.

 

France Connect

Concrètement, “les utilisateurs créeront d’abord leur identité numérique sécurisée à partir de leurs documents d’identité et de la biométrie. Une fois cette étape franchie, ils pourront accéder à des services (opérations bancaires, cours à distance, vote en ligne) ou effectuer des démarches administratives sans devoir produire à chaque fois tous ces documents ou se soumettre de nouveau à un contrôle biométrique.” Un tel système d’authentification et d’identité unique pour toutes les procédures a été mis en place par le gouvernement français sous le nom de France Connect.

Deux équipes de recherches Inria interviennent dans SOTERIA. D’une part WIDE dont les travaux concernent les systèmes distribués, mais aussi les systèmes de recommandation privée, l’apprentissage machine décentralisé, le stockage de données décentralisé, etc. D’autre part CIDRE qui travaille sur la cybersécurité*.

Aujourd’hui, les gens n’ont pas vraiment de contrôle sur leurs données personnelles, indique Davide Frey, chercheur à Inria. Elles sont stockées un peu partout, souvent sur des serveurs appartenant à des entités non européennes. SOTERIA va permettre aux utilisateurs de conserver le contrôle sur ces informations en leur donnant la possibilité de stocker leurs données privées sur le support de leur choix, que ce soit leur smartphone, leur cloud personnel ou autre.

 

Protocole de calcul multi-parties sécurisé

Un tel système de coffres forts décentralisés exige de pouvoir effectuer efficacement du calcul sur les données de façon privée. “Imaginez qu’une agence de santé veuille dresser des statistiques sur le Covid. Il faut un protocole de calcul multi-parties sécurisé pour traiter des données qui sont chiffrées mais aussi stockées à différents endroits. Le traitement va utiliser des données agrégées. À aucun moment l’agence ne pourra accéder à des données individuelles.” Depuis plusieurs années, les scientifiques de l’équipe WIDE travaillent sur des protocoles et des techniques utilisant l’apprentissage automatique pour effectuer ainsi du calcul de moyennes de façon privée. Dans le cadre de SOTERIA, ils souhaitent élargir les capacités de ces techniques à d’autres types d’opérations.

Sur l’aspect identité, deux questions scientifiques retiennent l’attention. “La première concerne ce que nous appelons la non-chaînabilité de l’identité. Un utilisateur doit pouvoir exécuter différentes actions successives (se connecter à différents sites web par exemple) sans que nul ne puisse parvenir à relier ces actions. C’est un sujet qui a son importance dans le cadre d’une gestion centralisée de l’identité. Maintenant, si l’on va plus loin et si l’on intéresse à la gestion décentralisée, le deuxième enjeu concerne l’efficacité de l’anonymisation. Imaginons que pour une annonce d’emploi ou une démarche administrative, on me demande de prouver que je suis à la fois vacciné contre le Covid et diplômé d’un doctorat. Si je fournis mon certificat de vaccination délivré par un hôpital de Rennes et mon diplôme délivré par une université à Milan, il suffit de croiser ces deux informations pour trouver un profil qui ne correspond qu’à une personne. Mon identité est ainsi révélée, mon anonymat brisé. À partir de là, le défi consiste donc à garantir l’anonymat des fournisseurs de documents.” Comment ? “Par exemple en fournissant une liste de 10 ou 100 universités dont les doctorats sont acceptés pour l’offre d’emploi ou la procédure administrative en question. Ainsi, on ne saurait pas de quelle université je viens et donc qui je suis.

SOTERIA consacrera une grande place à l’expérience utilisateur à travers des études et des panels organisés durant toute la durée du développement par l’école de commerce Audencia, à Nantes. “Ce projet vise à construire un outil pour et avec les citoyens,” rappelle Montaser Awal.

En tant que chercheur, je trouve assez remarquable qu’ARIADNEXT ait décidé de se lancer dans ce travail tout en sachant que le concept de gestion décentralisée de l’identité pourrait quelque peu impacter leur modèle économique, ajoute Davide Frey. Mais ils ont raison d’aller vers l’innovation. Et au bout du compte, cela permettra à l’entreprise de garder un temps d’avance”.

  • Le consortium comprend : ARIADNEXT, Audencia, KU Leuven, Erdyn atlantique, Computer Vision Center, Idiap, Infocons, Scytl Election Technologies SL, Stelar Security Technology Law Research GmbH, Inria, Noria Onlus, Ipcenter AT GmbH et Biocruces Bizkaia. Ce projet est financé par l’Union européenne dans le cadre du programme-cadre HORIZON 2020, convention de subvention n° 101018342. Il va durer trois ans pour se terminer à l’automne 2024.
  • WIDE est une équipe-projet Inria, CNRS et Université Rennes 1, commune à l’Irisa. CIDRE est une équipe-projet Inria, CNRS, Université Rennes 1 et CentraleSupélec, commune à l’Irisa.

Les commentaires sont clos.