Normes techniques pour les systèmes d'identification numérique - World Bank ...

 
CONTINUER À LIRE
Normes techniques pour les systèmes d'identification numérique - World Bank ...
Public Disclosure
   Diffusion        Authorized
             publique autorisée                  Public Disclosure
                                                 Diffusion publique Authorized
                                                                    autorisée    Public Disclosure
                                                                                   Diffusion       Authorized
                                                                                             publique autorisée   Public Disclosure
                                                                                                                   Diffusion        Authorized
                                                                                                                              publique autorisée

numérique
                                  CATALOGUE DE

d’identification
pour les systèmes
Normes techniques
© 2018 Banque internationale pour la reconstruction et le développement / Banque mondiale
1818 H Street NW
Washington D.C., 20433
Téléphone : 202-473-1000
Site Internet : www.worldbank.org

Cet ouvrage, initialement publié en anglais sous le titre Catalog of Technical Standards for Digital Identification Systems, a
été établi par les services de la Banque mondiale avec la contribution de collaborateurs extérieurs. Les observations, inter-
prétations et opinions qui y sont exprimées ne reflètent pas nécessairement les vues de la Banque mondiale, de son Conseil
des Administrateurs ou des pays que ceux-ci représentent.

La Banque mondiale ne garantit pas l’exactitude des données contenues dans cet ouvrage. Les frontières, les couleurs, les
dénominations et toute autre information figurant sur les cartes du présent ouvrage n’impliquent de la part de la Banque mon-
diale aucun jugement quant au statut juridique d’un territoire quelconque et ne signifient nullement que l’institution reconnaît
ou accepte ces frontières.

Droits et licences

Le contenu de cet ouvrage fait l’objet d’un dépôt légal. La Banque mondiale encourageant la diffusion de ses travaux, cet
ouvrage peut être reproduit, en tout ou en partie, à des fins non commerciales à condition qu’une attribution complète à
l’ouvrage soit fournie.

Pour tout autre renseignement sur les droits et licences, y compris les droits dérivés, envoyez votre demande,
par courrier, à l’adresse suivante : World Bank Publications, The World Bank Group, 1818 H Street NW, Washington, DC
20433 (États-Unis d’Amérique). Télécopie : 202-522-2625. Courriel : pubrights@worldbank.org.
TABLE DES MATIÈRES
ABRÉVIATIONS . .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . v

REMERCIEMENTS  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . vii

À PROPOS DE L’INITIATIVE ID4D .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . vii

1. INTRODUCTION .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 1

2. OBJECTIF .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 2

3. CHAMP D’APPLICATION .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 3

4. CYCLE DE VIE DE L’IDENTITÉ .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
        4.1 Enregistrement .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
                 4.1.1 Inscription  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
                 4.1.2 Validation  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
        4.2 Délivrance  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 5
        4.3 Authentification  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 5
        4.4 Gestion du cycle de vie  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 6
        4.5 Fédération  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 6

5. NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
        5.1 En quoi les normes sont-elles importantes ?  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
        5.2 Organismes de normalisation .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
        5.3 Normes techniques .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .8
                 Normes techniques pour assurer l’interopérabilité  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 8
                 Normes techniques pour des systèmes d’identité fiables  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 9
        5.4 Cadres  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .                                  15
                 5.4.1 Niveaux de garantie .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 16

6. CAS D’UTILISATION PAYS  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 18
        Exemple 1 : L
                     ’ID-Kaart en Estonie – Carte intelligente et carte d’identité sur mobile  .  .  .                                                                              18
        Exemple 2 : Le système indien d’identification biométrique Aadhaar  .  .  .  .  .  .  .  .  .  .  .  . 20
        Exemple 3 : Malawi – Biométrie et carte intelligente  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 22
        Exemple 4 : eID intelligente au Pakistan – Biométrie et carte intelligente  .  .  .  .  .  .  .  .  .  24
        Exemple 5 : Carte d’identité électronique avec certificat numérique au Pérou  .  .  .  .  .  . 26

7. CONCLUSION  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 28

BIBLIOGRAPHIE .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 29

ANNEXE A : COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS
ET GROUPES DE TRAVAIL DE L’ISO/IEC ET LEUR MANDAT  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 30

                                                                                                                                                                                             iii
LISTE DES FIGURES
     FIGURE 1         CADRE D’INTEROPÉRABILITÉ – CINQ COMPOSANTES  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 3

     FIGURE 2         CYCLE DE VIE DE L’IDENTITÉ  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4

     FIGURE 3         NORMES POUR SYSTÈME D’IDENTIFICATION  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 9

     FIGURE 4 ARBRES DE DÉCISION CONCERNANT LE CHOIX DES NORMES  .  .  .  .  .  .  .  .  .  .  .  .  . 10

     FIGURE 5         NIVEAUX D’AUTHENTIFICATION ISO ET EIDAS .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 17

     FIGURE 6 ISO/IEC JTC 1 : SOUS-COMITÉS ET GROUPES DE TRAVAIL EN CHARGE
     DE LA GESTION DE L’IDENTITÉ .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 31

iv
ABRÉVIATIONS

AFNOR    Association française de normalisation
ANSI     American National Standard Institute (Institut américain de normalisation)
ASN.1    Abstract Syntax Notation One
BAPI     Biometric Application Programming Interface (Interface de programme
         d’application biométrique)
BM       Banque mondiale
CAP      Programme d’authentification CAP
CBEFF    Common Biometric Exchange Formats Framework (Cadre de formats d’échange
         biométriques communs)
CEI      Commission électrotechnique internationale
CEN      Comité européen de normalisation
CITeR    Center for Identification Technology Research
DHS      Department of Homeland Security (ministère de la Sécurité intérieure)
DIN      Institut de normalisation allemand
eID      Carte d’identité électronique
EMV      Europay, MasterCard et Visa— Norme de paiement par carte intelligente
EMVCo    EMV Company
FIDO     Fast IDentity Online (protocole d'authentification forte pour les paiements en ligne)
GSM      Global System for Mobile Communication (précédemment Groupe Spécial Mobile)
GSMA     GSM Association
IBIA     International Biometrics and Identification Association (Association internationale
         de l’identité biométrique)
ID       Identification
ID4D     lnitiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale
INCITS   Comité international pour les normes relatives aux technologies de l’information
ISO      Organisation internationale de normalisation
JTC      Comité technique mixte
NADRA    Service en charge de la base de données nationale et de l’enregistrement (Pakistan)
NICOP    Carte d’identité nationale pour les Pakistanais de l’étranger
NIST     Institut national des normes et de la technologie (États-Unis)
OACI     Organisation de l’aviation civile internationale
OASIS    Organization for the Advancement of Structural Information Standards (consortium mondial
         pour la normalisation et la standardisation de formats de fichiers ouverts)vi
ODD      Objectif de développement durable
OIT      Organisation internationale du travail
OpenID   Open ID Foundation
PIN      Numéro d’identification personnel

                                                                                                    v
PKI     Infrastructure à clés publiques
     PSA     Organisme pakistanais de normalisation
     RFID    Radio-Frequency Identification (identification par radiofréquences)
     RMG     Groupe de gestion des enregistrements
     SA      Standards Australia (autorité australienne de normalisation)
     SIA     Secure Identity Alliance
     SIS     Institut suédois de normalisation
     SNBA    Association nationale suédoise de biométrie
     TI      Technologies de l’information
     TIC     Technologies de l’information et des communications
     UIDAI   Autorité indienne de l’identification unique
     UIN     Numéro unique d'identification des personnes physiques
     UIT-T   Secteur de la normalisation des télécommunications de l’Union internationale
             des télécommunications
     WG      Groupe de travail
     ZLA     Zone de lecture automatique

vi
À PROPOS DE L’INITIATIVE ID4D
L’initiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale mobilise les connaissances
et savoir-faire de différents secteurs partout dans le monde, dans le but d’aider les pays à réaliser le potentiel
transformationnel qu’offrent les systèmes d’identification numérique, et ainsi atteindre les Objectifs de développement
durable. Mise en œuvre dans tout le Groupe de la Banque mondiale, l’initiative concerne les pratiques et unités mondiales,
qui travaillent sur le développement numérique, la protection sociale, la santé, l’inclusion financière, la gouvernance, la
parité hommes‑femmes et les questions juridiques, entres autres.

L’initiative ID4D se fixe pour mission de donner à tous les individus les moyens d’accéder aux services et d’exercer leurs
droits. Elle vise à cet effet à donner une forme officielle d’identification au plus grand nombre, en s’appuyant sur ses trois
piliers : i) leadership avisé et analyses pour créer des données probantes et combler les lacunes de connaissances ;
ii) plateformes et réunions de niveau international pour donner de l’ampleur aux bonnes pratiques, collaborer et renforcer
la sensibilisation ; et iii) engagement national et régional pour apporter l’aide technique et financière nécessaire à la mise
en œuvre de systèmes d’identification numérique fiables, inclusifs et responsables, intégrés aux données d’état-civil.

Les travaux de l’initiative ID4D sont rendus possibles avec le soutien du Groupe de la Banque mondiale, de la Fondation
Bill & Melinda Gates, d’Omidyar Network et de l’État australien.

Pour en savoir plus sur l’initiative ID4D, visiter id4d.worldbank.org.

REMERCIEMENTS
Le catalogue a été préparé par Anita Mittal, avec des contributions de Tariq Malik, Ott Köstner, Flex Ortega De La Tora,
Adam Cooper, Seth Ayers, Daniel Bachenheimer, Alastair Treharne, Dr Narjees Adennebi, Sanjay Dharwadker, Marta Ienco,
Stéphanie de Labriolle et Dr Adeel Malik.

Le catalogue a été présenté lors de deux ateliers, organisés en septembre 2017 et en mars 2018. Les discussions qui
se sont engagées à cette occasion en ont guidé le contenu et la conception. Les organisations suivantes ont participé à
ces ateliers : Accenture, l’Institut américain de normalisation, Caribou Digital, le Centre pour le développement mondial,
la Digital Impact Alliance (DIAL), Ernst & Young, la Commission européenne, l’Alliance FIDO, la Fondation Bill & Melinda
Gates, le Government Digital Service, la GSMA, ID2020, l’OACI, l’IOM, iSPIRIT, Mastercard, Mercy Corp, Microsoft,
l’Institut national des normes et de la technologie des États-Unis, Omidyar Network, One World Identity, l’Open Identity
Exchange, l’Open Society Foundation, Plan International, PricewaterhouseCoopers, la Secure Identity Alliance, Simprints,
le Forum économique mondial, le Programme des Nations Unies pour le développement, le HCR, l’UNICEF, USAID, Vital
Strategies et WFP.

                                                                                                                                 vii
1.       INTRODUCTION
Les systèmes d’identification fiables et inclusifs, tels qu’ils   privée, à la viabilité budgétaire et au choix à effectuer
sont consacrés dans la cible 16.9 des Objectifs de déve-          parmi les différentes technologies, ainsi qu’à la façon de
loppement durables (ODD), qui confie aux pays la charge           les mettre en œuvre.
de « garantir à tous une identité juridique, notamment
grâce à l’enregistrement des naissances », sont essen-            S’ils s’inscrivent dans une approche évolutive et interopé-
tiels au développement. Les individus doivent pouvoir faire       rable, les systèmes d’identification numérique fiables sont
la preuve de leur identité juridique pour avoir accès aux         sources d’économies pour les populations, les pouvoirs
droits et aux services. Sans cette preuve, elles peuvent          publics et les entreprises. À l’inverse, il est fort probable
se retrouver exclues de la vie politique, économique et           que les initiatives disparates et les investissements com-
sociale. S’agissant des États, les systèmes d’identification      partimentés dans les systèmes d’identification numérique
modernes permettent une administration et une prestation          feront double emploi, et ne pourront rivaliser avec les
des services plus efficaces et transparentes, une réduc-          avantages considérables que les systèmes d’identifica-
tion de la fraude et des abus associés aux virements et           tion numérique universels sont capables d’apporter aux
aux paiements des prestations, une sécurité renforcée,            secteurs public et privé. Les approches communes et les
une meilleure précision des statistiques essentielles à la        systèmes d’identification fédérés au niveau régional ou
planification et une plus grande capacité à répondre aux          sous-régional peuvent également aider à renforcer la pro-
catastrophes et épidémies.                                        position de valeur des systèmes d’identification numérique.
                                                                  La fiabilité et l’interopérabilité d’un système d’identification
En dépit des avantages que procurent ces systèmes, on             dépend de son degré de respect des normes techniques
estime à environ 1 milliard le nombre de personnes qui ne         (ci-après les « normes »).
disposent pas de preuve d’identité1 dans le monde. Dans le
but de combler ce « déficit d’identité », de nombreux pays        Les normes fixent des protocoles de communication, des
ont commencé à réformer leurs systèmes d’identification           régimes d’essai, des mesures de qualité et des meilleures
existants et à mettre en place de nouveaux systèmes. À            pratiques cohérents et universellement partagés, concer-
cet effet, la plupart ont misé sur les possibilités offertes      nant la saisie, le stockage, la transmission et l’utilisation
par les nouvelles technologies d’identification numérique,        des données d’identité, ainsi que le format et les caracté-
notamment l’identification biométrique, les documents             ristiques des documents d’identité et des protocoles d’au-
d’identité électroniques, comme les cartes intelligentes et       thentification. Elles sont dès lors cruciales à chaque stade
les cartes d’identité mobiles, et les infrastructures d’au-       du cycle de vie de l’identité, notamment l’inscription, la vali-
thentification en ligne.                                          dation, la déduplication et l’authentification. Les normes
                                                                  aident à s’assurer que les composants des systèmes
Ces avancées, en particulier conjuguées à d’autres tech-          d’identité sont interopérables, peuvent être testés et sont
nologies numériques notamment, telles que les systèmes            capables d’atteindre les cibles de performance attendues.
de paiement mobiles et en ligne, ont le potentiel de com-         Sans normes, il est impossible de garantir l’efficacité d’un
bler les carences des systèmes d’identification papier. En        système d’identification interconnecté et interopérable.
parallèle, l’identification numérique pose de nombreux
défis associés à la protection des données et de la vie

1
 Estimation de la série de données ID4D de la
Banque mondiale, 2018.

                                                                                                                                     1
2.      OBJECTIF
    Les normes sont essentielles à la fiabilité, l’interopé-      ii) identifier les domaines dans lesquels l’existence de
    rabilité et la viabilité des systèmes d’identification. Le    normes concurrentes amène à devoir faire des choix ; et
    présent rapport se propose de recenser les normes et          iii) évaluer l’applicabilité des normes pour un pays en
    cadres techniques internationaux actuellement appli-          développement. Cette démarche devrait également facili-
    cables d’un bout à l’autre du cycle de vie de l’identité en   ter l’échange d’expériences parmi les pays, et ainsi éviter à
    vue d’assurer l’interopérabilité technique des différents     chaque pays ou acteur de « réinventer la roue ». Un arbre
    systèmes. Les acteurs de l’écosystème des systèmes            de décision des normes techniques, organisé par domaine
    d’identification peuvent utiliser ce catalogue de normes      technologique, est proposé pour faciliter la sélection des
    techniques comme source de référence. Une analyse             normes techniques dans le catalogue. Des études de cas
    du catalogue des normes existantes, organisées en             par pays illustrent l’application de cet arbre de décision
    catégories et sous-catégories, devrait aider à : i) identi-   pour l’Estonie, l’Inde, le Malawi, le Pakistan et le Pérou.
    fier les domaines dans lesquels les normes font défaut ;

2
3.      CHAMP D’APPLICATION
L’identité numérique est une notion générique, dont les           normes techniques qui relèvent du champ d’application
acceptions diffèrent selon le contexte. Dans le présent           du présent rapport sont les normes nécessaires à l’éla-
document, l’identité numérique désigne un ensemble d’at-          boration de systèmes d’identification numérique fiables et
tributs et de justificatifs, saisis et stockés par des moyens     interopérables, qui permettent : i) la création d’une identité
électroniques et capables d’identifier une personne de            numérique pour chaque individu, après validation de son
façon unique. Les systèmes d’identité numérique peuvent           identité par des processus définis ; ii) la délivrance de jus-
prendre des formes diverses, chacune encadrée par                 tificatifs associés à son identité ; et iii) la mise en place
des normes différentes. Cinq composantes forment le               de mécanismes permettant à chacun d’établir son identité
cadre d’interopérabilité pour les systèmes d’identification       (s’authentifier) au moyen de son identité numérique ou de
numérique (figure 1). Le présent rapport ne concerne              ses justificatifs.
que la composante « Interopérabilité technologique ». Les

Interoperability Framework
FIGURE   1 blocks
5 building  Cadre d’interopérabilité – Cinq composantes

                                            Questions juridiques, politiques et réglementaires concernant
  Juridique                                 l’identité, la protection et la confidentialité des données

                                            Opérabilité, sécurité, confidentialité et performance, y compris sous
  Gouvernance et gestion                    forme de conditions contractuelles et commerciales (convention de
                                            services (SLA), par exemple)
                                            Normes de processus concernant les phases de travail, les cadres de
  Interopérabilité des processus
                                            confiance et la reconnaissance réciproque, notamment les fédérations
  d’identité                                (eIDAS, par exemple)

                                            Normes de données, et dictionnaires de données pour assurer
  Interopérabilité sémantique               la cohérence sémantique des données et des informations échangées

                                            Normes concernant les composants logiciels et matériels,
  Interopérabilité technologique            les systèmes et les plateformes qui permettent la communication
                                                                                                                          CHAMP
                                            machine-machine                                                           D’APPLICATION

                                                                                                                                      3
4.      CYCLE DE VIE DE L’IDENTITÉ

    FIGURE 2 Cycle de vie de l’identité

                                      1. Enregistrement (preuve de l’identité)
                                                                                                                                  2. D
                                                                                                                                       éliv
                                                                                                                                           ran
                         Résolution         Validation      Vérification
                                                                                                    Contrôle /
                                                                                                                              Déliv           ce
                                                                                               Évaluation du risque                ran           (g
                                                                                                                                      ce           es
                                                                                                                                               Ma
                                                                                                                                                     t

                                                                                                                                                            io
                                                                                                                                                 in
                                                                                                                                                   te

                                                                                                                                                              n
                                                                                                                                                                 de
                                                                                                                                                    na

                                                                                                                                                                   sj
                                                                                                                                                      nc

                                                                                                                                                                     us
                                                                                                                                                        e
                                                                        té

                                                                                        tité
                                                                     nti

                                                                                                                                                                       tifi
                                                                                      en

                                                                                                                                                                R
                                                                l’ide

                                                                                                                                                                          cat
                                                                                  l’id

                                                                                                                                                                           évo

                                                                                                                                                                             ifs)
                                                                            Maintenance de

                                                                                                                                                                              cati
                                                            5. Gestion de

                                                                                                                                                                                  on
                                                                                                Cycle de vie de l’identité

                                                                                                                                                                3. Authen
                                                                                                                                                        Vérifi

                                                                                                                                                                         tific
                                                                                                                                                             cat
                                                                                            tio s
                                                                                        isa but
                                                                                               n

                                                                                                                                                                ion

                                                                                                                                                                             atio
                                                                                     ni attri

                                                                                                                                                                    (1
                                                                                       m

                                                                                                                                                                                 n
                                                                                   M s

                                                                                                                                                                      :1
                                                                                    de

                                                                                                                                                                                   d
                                                                                                                                                                        )
                                                                                    i

                                                                                                                                                                                    el
                                                                                                                                                                                      ’id
                                                                                                              s
                                                                                                            ue                    d’a
                                                                                                         isq n

                                                                                                                                                                                         en
                                                                                                                                      c
                                                                                                      s r tio                    (po cès)                tit
                                                                                                    de alua                     Élig litique                é
                                                                                                     Év           des rôles         ibil
                                                                                                                                         ité
                                                                                                             on   Gestion
                                                                                                          ati
                                                                                                   Autoris
                                                                                                4.

    Partout dans le monde, les écosystèmes de l’identité numé-                                      4.1 Enregistrement
    rique, formés de modèles d’identité disparates et d’acteurs
    ayant des responsabilités, des intérêts et des priorités dif-                                   L’enregistrement est l’étape la plus importante de la créa-
    férents, sont de plus en plus complexes. Il est indispen-                                       tion d’une identité numérique. Le processus se divise en
    sable de comprendre les processus et les technologies mis                                       deux phases consécutives : l’inscription et la validation.
    en jeu dans l’identification numérique pour identifier les
    normes qui s’appliquent à un système donné. À cet effet,
    le présent chapitre offre un panorama du cycle de vie de                                        4.1.1 Inscription
    l’identité numérique (basé sur le rapport Technology Lands-
    cape for Digital Identification report (2018)). Ce cadre sert                                   C’est au cours de la phase d’inscription que sont saisis et
    ensuite à analyser les normes d’identification en question                                      enregistrés les principaux attributs qui composent l’identité
    au chapitre 6.                                                                                  d’une personne qui déclare une certaine identité. Il peut
                                                                                                    s’agir de données biographiques (nom, date de naissance,
    Les identités numériques sont créées et utilisées dans le                                       sexe, adresse et adresse électronique, par exemple) ou
    cadre d’un cycle de vie qui comporte trois stades fonda-                                        biométriques (empreintes digitales et scan de l’iris, par
    mentaux : i) l’enregistrement (inscription et validation) ;                                     exemple), ainsi que d’autres attributs, de plus en plus
    ii) la délivrance des documents ou justificatifs ; et iii) la                                   nombreux. Les attributs saisis pendant cette phase et la
    vérification de l’identité pour autoriser la prestation des                                     méthode utilisée ont des répercussions importantes sur la
    services ou l’exécution des transactions. Les fournisseurs                                      fiabilité de l’identité (voir plus bas les observations concer-
    d’identité assurent en outre la gestion continue du système,                                    nant les niveaux de garantie), ainsi que sur son utilité et
    notamment l’actualisation et la révocation ou la résiliation                                    son interopérabilité avec d’autres systèmes d’identité
    des identités ou des justificatifs (voir figure 2 ci-dessus).                                   nationaux et internationaux.

                                                                                                    4.1.2 Validation
                                                                                                    Une fois que la personne a déclaré une identité pendant la
                                                                                                    phase d’inscription, cette identité est validée par comparai-
                                                                                                    son des attributs présentés avec les données existantes.
                                                                                                    La phase de validation garantit que l’identité existe (le
                                                                                                    déclarant est vivant) et qu’une seule personne la déclare

4
(le déclarant est unique dans la base de données). Dans                 peuvent, par exemple, délivrer des cartes SIM com-
les systèmes d’identité numérique modernes, on vérifie le               portant des certificats numériques. Ils peuvent aussi
caractère unique d’une identité en procédant à un exercice              utiliser d’autres équipements de réseaux mobiles qui
de déduplication pour s´assurer que les attributs ne sont               permettent de vérifier simplement et en toute sécu-
pas déjà utilisés et associés à une autre identité dans le              rité l’identité des utilisateurs des services adminis-
système. Pour cela, on procède à une vérification 1 : N à               tratifs en ligne (eGovernment) et autres plateformes
partir des données biométriques. Il est également possible              publiques ou privées.
d’établir des liens entre l’identité déclarée et les identités
présentes dans d’autres bases de données (par exemple,
                                                                    •   Identité (justificatif) dans un entrepôt centralisé
                                                                        ou dans le nuage : contrairement aux systèmes
les registres d’état civil, registres de la population, etc.).          qui délivrent des justificatifs portables, cartes intel-
                                                                        ligentes et cartes SIM notamment, certains sys-
                                                                        tèmes se contentent de stocker les certificats et les
                                                                        données biométriques sur un serveur. Ce type de
4.2 Délivrance                                                          système ne permet pas la délivrance d’un dispo-
                                                                        sitif physique pour le stockage des justificatifs. Le
Avant qu’une personne puisse utiliser un justificatif pour              numéro d’identité peut être délivré sous une forme
faire valoir son identité, l’identité enregistrée est soumise           non électronique (en Inde, par exemple, le pro-
à un processus de délivrance ou d’accréditation, à l’issue              gramme Aadhaar ne délivre qu’un reçu papier). Un
duquel les fournisseurs d’identité peuvent délivrer diffé-              environnement anti-fraude avec génération et ges-
rents types de justificatifs (numéros d’identification, cartes          tion de clés cryptographiques pour protéger contre
intelligentes et certificats, par exemple). Pour considérer             le vol les justificatifs d’identité stockés dans l’entre-
qu’une identification est numérique, les justificatifs délivrés         pôt centralisé permettra de renforcer le niveau de
doivent être électroniques, autrement dit qu'ils doivent stoc-          sécurité et de garantie du système d’identité.
ker et communiquer les données de façon électronique.

Types de systèmes de justificatifs électroniques :
                                                                  4.3 Authentification
  •   Cartes intelligentes : ces cartes intègrent des
                                                                  Une fois enregistrée, et après réception de ses justifica-
      éléments de sécurité avancés, et contiennent une
                                                                  tifs, une personne peut utiliser son identité numérique pour
      puce informatique sur laquelle sont enregistrées une
                                                                  accéder aux bénéfices et services associés. Par exemple,
      clé cryptographique numérique et/ou des données
                                                                  les contribuables peuvent payer leurs impôts au moyen
      biométriques. Les cartes intelligentes peuvent se
                                                                  d’un portail de services publics en ligne, tandis que les
      présenter sous la forme d’une carte avec ou sans
                                                                  clients des banques peuvent utiliser leurs cartes de paie-
      contact ou d’une carte SIM avec fonction NFC
                                                                  ment intelligentes ou leur application de banque en ligne
      (communication en champ proche). Les données
                                                                  ou mobile pour réaliser des transactions. Pour accéder
      stockées sur une carte intelligente peuvent être
                                                                  aux services, l’utilisateur doit s’authentifier au moyen d’un
      consultées hors ligne, de manière à permettre de
                                                                  ou plusieurs facteurs qui relèvent le plus souvent de l’une
      vérifier l’identité en l’absence de connexion Internet
                                                                  des trois catégories suivantes : quelque chose que l’on
      ou de réseau mobile.
                                                                  connaît, quelque chose que l’on a ou quelque chose que
  •   Cartes avec code à barres 2D : ces cartes peuvent           l’on est. L’authentification au moyen de ces attributs peut
      être personnalisées au moyen d’un code à barres             être réalisée au travers de différents mécanismes :
      2D chiffré, contenant les données personnelles et
      biométriques d’une personne. Ce code à barres                 •   Cartes intelligentes : les possesseurs de carte
      vient, soit remplacer, soit compléter, une puce                   intelligente peuvent prouver leur identité (s’authenti-
      informatique. Le code à barres 2D est un moyen                    fier) au moyen d’un ou plusieurs facteurs d’authen-
      économique de fournir une identité numérique et                   tification, lesquels offrent des niveaux de garantie
      de vérifier l’identité du porteur de la carte en com-             variables. Par exemple, un simple code PIN pour
      parant les caractéristiques biométriques du por-                  les opérations présentant un risque faible, ou une
      teur à celles contenues dans la carte. L’Afrique                  signature numérique reposant sur la technologie
      (Mali et Ghana notamment), l’Amérique latine et le                d’infrastructure à clés publiques (PKI) pour les uti-
      Moyen-Orient (Liban notamment) ont déployé ce                     lisations à risque fort. Les empreintes digitales sont
      système à grande échelle. Plus récemment, l’Égypte                un moyen d’établir avec certitude un lien avec l’uti-
      l’a utilisé pour vérifier l’identité des votants lors des         lisateur. Les cartes intelligentes, dotées d’une puce
      dernières élections.                                              électronique sur laquelle sont stockées les données
  •   Identité mobile : il est possible d’utiliser les télé-            d’identité, permettent à leur détenteur de s’en servir
      phones et autres dispositifs mobiles pour offrir aux              afin de s’authentifier hors ligne ou dans les régions
      individus une identité numérique portable et un                   isolées disposant d’une connectivité limitée, sans
      moyen d’authentification permettant d’exécuter une                consultation d’une base d´identité centrale. En effet,
      diversité de transactions en ligne. Les fournisseurs              la puce permet de réaliser, en local, une procédure

                                                                                                                                    5
d´authentification, en comparant les données bio-           4.5 Fédération
          métriques (empreintes digitales par exemple) du
          détenteur de la carte avec les données stockées sur         La fédération est la capacité d’une organisation d’accep-
          la puce (Match on Card).                                    ter l’identité générée et gérée par une autre organisation,
      •   Identité mobile : l’identité mobile utilise les appli-      et repose sur la confiance entre ces deux organisations.
          cations sur smartphones, l’authentification par             L’organisation utilisatrice doit avoir la conviction que l’orga-
          protocole USSD ou par SMS ou les cartes SIM, et             nisation de confiance dispose de politiques et de normes
          peut incorporer plusieurs facteurs d’authentifica-          comparables aux siennes, et qu’elle les applique. Les pro-
          tion offrant des niveaux de garantie variables. Par         tocoles de fédération et le cadre d’assurance facilitent la
          exemple, un simple code PIN pour les opérations             fédération de l’identité numérique dans et entre les orga-
          présentant un risque faible ou bien, pour les tran-         nisations et les pays. Le fournisseur du justificatif utilise
          sactions présentant un risque fort, des solutions           des protocoles de fédération tels que SAML (Security
          d’authentification à facteurs multiples (avec recours       Assertion Mark-up Language) pour transmettre le résultat
          à la biométrie notamment) ou une signature mobile           de l’authentification à l’organisation utilisatrice. Cette der-
          numérique reposant sur la technologie d’infrastruc-         nière saisit le justificatif et l’envoie à l’organisme émetteur
          ture à clés publiques (PKI) comportant un élément           pour vérification. Après vérification du justificatif, l’orga-
          sécurisé. Il est possible de renforcer l’authentifi-        nisme émetteur envoie un ensemble d’informations sur
          cation au moyen d’un troisième et d’un quatrième            l’utilisateur, le résultat de l’authentification et le degré de
          facteurs, comme le lieu où se trouve l’individu ou          fiabilité des justificatifs utilisés pour authentifier l’utilisateur.
          l’analyse dynamique de ses gestes (façon de réali-          Pour une utilisation efficace de la fédération partout dans
          ser sa signature, par exemple).                             le monde, l’accord et l’alignement avec le cadre d’assu-
                                                                      rance défini par l’ISO et l’adoption de protocoles de fédé-
      •   Identité dans un entrepôt centralisé ou dans le
                                                                      ration en tant que normes sont essentiels.
          nuage : au lieu de délivrer un document d’identité
          ou un justificatif mobile, un système d’identité numé-
          rique peut faire appel à la biométrie pour l’authentifi-    La fédération peut intervenir à des niveaux multiples :
          cation à distance. Dans ce cas, l’identité est évaluée
          et vérifiée au moyen d’un ordinateur ou d’un autre            •    Un organisme peut accepter les justificatifs émis par
          dispositif doté d’un lecteur biométrique connecté au               un autre organisme, tout en authentifiant et autori-
          nuage. Un système basé dans le nuage élimine le                    sant l’individu localement :
          besoin de justificatifs physiques et le coût qui y est              ––   Un passeport émis par le Département
          associé, mais nécessite une infrastructure TIC fiable                    d'État des États-Unis est accepté comme
          pour assurer la connectivité, la sécurité de la base                     justificatif valable par un pays étranger ;
          de données centralisée dans un entrepôt (ou plu-                         pour autant, les services de l’immigration de
          sieurs entrepôts pour les infrastructures TIC les plus                   ce pays authentifient le titulaire et exigent
          robustes) et la protection des données transmises                        un visa (autorisation).
          entre le dispositif biométrique et la base centrale
          lors du processus d´authentification (confidentialité         •    Un organisme peut accepter les caractéristiques
                                                                             spécifiques (attributs) décrivant un individu qui éma-
          et intégrité des données).
                                                                             nent d’un autre organisme :
                                                                              ––   Votre banque vous demandera votre notation
                                                                                   de crédit délivrée par l’un des organismes de
    4.4 Gestion du cycle de vie                                                    notation du crédit, plutôt que de détenir et
                                                                                   d’actualiser elle-même ces informations.
    Pendant tout le cycle de vie, les fournisseurs d’identité
    numérique gèrent et organisent le système d’identité,               •    Un organisme peut accepter une décision d’autori-
    notamment les installations, le personnel, la tenue des                  sation prise par un autre organisme :
    registres, la conformité, l’audit et l’actualisation du statut            ––   Aux États-Unis, par exemple, un permis de
    et du contenu des identités numériques. En effet, les utili-                   conduire vous autorisant à conduire dans
    sateurs (les détenteurs d’identité) pourront être amenés à                     un État est accepté dans un autre.
    devoir actualiser un ou plusieurs attributs liés leur identité,
    par exemple leur adresse, leur situation maritale, leur pro-      Le cycle de vie de l’identité exige l’application de normes
    fession, etc. De leur côté, les fournisseurs d’identité pour-     techniques à chaque étape et sous-étape (voir Chapitre 6).
    ront devoir révoquer une identité, autrement dit annuler          Dans une large mesure, les types d’attributs (biométriques,
    l’identité numérique pour des questions de fraude ou de           biographiques et autres) saisis pendant l’inscription et les
    sécurité par exemple, ou résilier une identité dans le cas        méthodes utilisées pour les enregistrer ont des répercus-
    du décès de l’individu.                                           sions importantes sur le degré de fiabilité et de confiance
                                                                      que le système d’identité est capable d’offrir, ainsi que sur
                                                                      son utilité et son interopérabilité avec d’autres systèmes
                                                                      d’identité nationaux et internationaux.

6
5.	NORMES TECHNIQUES RELATIVES
    À L’IDENTITÉ NUMÉRIQUE
                                                                  Selon la veille technologique de l’Union internationale
5.1 En quoi les normes                                            des télécommunications (UIT), plusieurs organismes
    sont-elles importantes ?                                      s’emploient à élaborer des normes techniques pour les
                                                                  systèmes d’identification numérique. Il s’agit d’organisa-
En règle générale, les normes techniques établissent le           tions internationales, comme les agences spécialisées
cahier des charges et les procédures concernant le fonc-          des Nations Unies, de consortiums d’entreprises et d’or-
tionnement, l’entretien et la fiabilité des matériaux, maté-      ganismes nationaux. Chacun de ces trois types d’orga-
riels, produits, méthodes, procédés et services dont se           nismes est brièvement décrit ci-dessous.
servent les individus ou les organisations. Les normes
garantissent la mise en œuvre de protocoles universelle-            •   Organisations internationales. De grandes orga-
ment reconnus, nécessaires pour assurer le fonctionne-                  nisations internationales prennent une part active à
ment, la performance, la compatibilité et l’interopérabilité.           l’élaboration de normes techniques utiles à l’identité
Ces facteurs sont à leur tour indispensables à la mise au               numérique : l’Organisation internationale de nor-
point et à l’adoption d’un produit. Si l’adoption de normes             malisation (ISO), la Commission électrotechnique
influe favorablement sur la pénétration du marché et sur                internationale (CEI), le Secteur de la normalisa-
le commerce international, leur absence risque de com-                  tion des télécommunications de l’UIT (UIT-T),
promettre l’efficacité et la fiabilité d’un système d’identité,         l’Organisation de l’aviation civile internationale
en matière d’interopérabilité, de connectivité et de dépen-             (OACI), l’Organisation internationale du travail
dance à un fournisseur unique notamment.                                (OIT), le Comité européen de normalisation (CEN),
                                                                        le World Wide Web Consortium (W3C) et l’Internet
Alors que les cartes d'identité électroniques remplacent                Engineering Task Force (IETF) / Internet Society.
progressivement les systèmes papier, l'interopérabilité
entre les différents systèmes, technologies et dispositifs,         •   Organismes nationaux. Outre les organisations
                                                                        internationales, des organismes nationaux élaborent
ainsi que les impératifs de sécurité sur lesquels reposent
                                                                        eux aussi des normes techniques, reposant sur
ces systèmes, sont de plus en plus complexes. Il devient
                                                                        leurs besoins et systèmes propres. Parmi ces
dès lors d’autant plus important de disposer de normes
                                                                        organismes, on peut notamment citer notamment
pour encadrer la gestion de l’identité, et de savoir choi-
                                                                        l’Institut américain de normalisation (ANSI), l’Institut
sir parmi les différentes normes proposées. Cependant, la
                                                                        national des normes et de la technologie (NIST) des
rapidité des innovations, les bouleversements technolo-
                                                                        États-Unis, le Comité international pour les normes
giques, la diversification des solutions techniques, l'évolu-
                                                                        relatives aux technologies de l’information (INCITS),
tion des impératifs d´interopérabilité et de connectivité, et
                                                                        basé aux États-Unis, le ministère de la Sécurité
la nécessité d´améliorer en permanence la mise en œuvre
                                                                        intérieure (Department of Homeland Security –
des normes ne facilitent en rien la tâche.
                                                                        DHS) des États-Unis, le ministère de la Défense
                                                                        (Department of Defense – DoD) des États-Unis,
                                                                        Standards Australia (SA), l’Institut de normalisation
                                                                        suédois (SIS), l’Association nationale suédoise de
5.2 Organismes de normalisation                                         biométrie (SNBA), l’Institut de normalisation allemand
                                                                        (DIN), l’Association française de normalisation
Les normes sont définies de façon rigoureuse par des                    (AFNOR), l’Organisme de normalisation néerlandais
organismes créés et mandatés expressément à cet effet.                  (NEN), l’Autorité indienne de l’identification unique
Dans le cas des normes qui encadrent les technologies                   (UIDAI), le Bureau indien de normalisation (BIS) et
de l’information et des communications (les TIC), ces                   l’Organisme pakistanais de normalisation (PSA).
organismes, avec l’appui d’experts, fixent, surveillent et
actualisent en continu les normes techniques destinées à            •   Consortiums d’entreprises. Des consortiums
satisfaire des besoins variés. Sans pour autant s´y limi-               d’entreprises et quelques organisations à but non
ter, ces organismes se concentrent sur la production de                 lucratif participent également, soit à l’élaboration
normes liées aux divers protocoles qui facilitent la fonc-              des normes, soit à la promotion de bonnes pratiques
tionnalité et la compatibilité des solutions techniques et              visant à satisfaire les besoins de leurs membres.
garantissent ainsi l´interopérabilité entre les systèmes.               Principaux exemples : le Biometric Consortium,
Ces normes, et les mises à jour qui s’y rapportent, sont                consortium parrainé par le gouvernement des États-
régulièrement publiées à l’intention du public2.                        Unis, la Secure Identity Alliance (SIA), le Center

2
    FAQ de l’IEEE (lien)

                                                                                                                                   7
for Identification Technology Research (CITeR), le           Normes techniques pour assurer l’interopérabilité
          Biometrics Council de l’IEEE, le Biometrics Institute
                                                                       Les normes relatives à l’interopérabilité relèvent des six
          (Australie), la Smart Card Alliance, l’International
                                                                       grands domaines ci-dessous :
          Biometrics and Identification Association (IBIA),
          l’initiative Kantara, Open Identity Exchange,
          Open Security Exchange, l’Asian Pacific Smart                 1. Biométrie – Norme d’image. Plusieurs normes
          Card Association (APSCA), l’Organization for the                 concurrentes sont utilisées pour prendre une image
          Advancement of Structural Information of Standards               du visage (PNG, JPEG, JPEG2000 dans la plupart
          (OASIS), la Fast IDentity Online (FIDO) Alliance et              des systèmes, et éventuellement GIF/TIFF (normes
          l’Open ID Foundation.                                            propriétaires) dans quelques-uns). L’image des
                                                                           empreintes digitales a recours aux normes JPEG,
                                                                           JPEG2000 et WSQ. L’image des empreintes digi-
    Si on observe les grands organismes de normalisation, on
                                                                           tales a recours aux normes JPEG, JPEG2000 et
    constate que les pays et les consortiums d’entreprises les
                                                                           WSQ. Des notes sont proposées pour guider le choix
    plus actifs (par l’entremise des sous-comités et groupes
                                                                           de la norme d’image, notamment pour les images du
    de travail, par exemple) sont en contact et collaborent
                                                                           visage ou des empreintes digitales.
    avec l’Organisation internationale de normalisation, ou
    ISO, pour modifier ou confirmer les normes qui concernent           2. Biométrie – Pour assurer la reconnaissance biomé-
    leurs besoins. Voir l’Annexe A pour en savoir plus sur les             trique dans un environnement à systèmes ouverts
    comités, sous-comités et groupes de travail techniques de              (au sens où le système va interagir avec d´autres
    l’ISO qui travaillent sur les normes concernant le cycle de            systèmes externes ou où le système utilise des appli-
    vie de l’identité numérique.                                           cation open source), il est indispensable d’appliquer
                                                                           des normes qui encadrent les formats d’échange
                                                                           de données biométriques et d’autres qui encadrent
                                                                           les interfaces biométriques si l’on veut garantir un
    5.3 Normes techniques                                                  échange complet, qui atteste de l´intégralité et de
                                                                           l´intégrité des données transmises, et une interopéra-
    La présente rubrique énumère les normes techniques                     bilité optimale. Les données biométriques conformes
    recensées pour les systèmes d’identité. Elles concernent               à un format d’échange de données biométriques cer-
    pour la plupart le justificatif utilisé pour authentifier l’uti-       tifié ISO 19794 représentent la composante essen-
    lisateur. Le présent rapport ne contient et ne décrit pas              tielle de l’interopérabilité biométrique. Les normes qui
    les normes techniques qui concernent les applications                  encadrent les formats d’échange de données biomé-
    d’identité partagées avec une application logicielle (appli-           triques définissent des formats différents selon les
    cation web / ordinateur de bureau / portail). Les normes               modalités biométriques utilisées. Les parties qui s’en-
    techniques sont regroupées en deux tableaux. Le premier                tendent sur un format d’échange de données biomé-
    tableau dresse la liste des normes nécessaires pour assu-              triques certifié ISO 19794 devraient pouvoir décoder
    rer l’interopérabilité. Le second dresse la liste des normes           leurs données biométriques mutuelles sans difficulté.
    qui concernent la fiabilité des systèmes d’identification et           Les normes applicables à l’interface biométrique sont
    énoncent diverses contraintes, en matière de sécurité et               les normes ISO 19785 – Technologies de l'informa-
    de qualité notamment. Ces normes sont réexaminées en                   tion – Cadre de formats d'échange biométriques com-
    continu par les organismes de normalisation. Dans les                  muns et ISO 19784 – Technologies de l'information
    deux tableaux, les normes sont accompagnées d’un lien                  – Interface de programmation d'applications biomé-
    dirigeant vers un site Internet contenant des informations             triques (BioAPI). Ces normes facilitent l’échange de
    à propos de la norme en question. La page du site de l’ISO             données biométriques au sein d’un même système
    énumérant les différentes normes donne des informations                ou parmi plusieurs systèmes. La norme ISO 19785
    sur la version la plus récente de la norme en question,                définit la structure de base d’un registre d’informa-
    si elle est disponible, et contient un lien dirigeant vers             tions biométriques (BIR) normalisé, qui comporte le
    cette version.                                                         registre dans lequel est consigné l’échange de don-
                                                                           nées biométriques, avec des métadonnées comme la
                                                                           date de saisie, la date d’expiration, la présence de
                                                                           chiffrement ou non, etc. La norme 19784 définit une
                                                                           API système ouverte, qui facilite les communications
                                                                           entre les applications logicielles et les services de
                                                                           technologie biométrique sous-jacents.
                                                                        3.   Carte / Carte intelligente – Pour les pays qui délivrent
                                                                             un justificatif tangible, carte d’identité électronique
                                                                             physique, par exemple, les normes comme ISO 7810
                                                                             sont utiles pour assurer l’interopérabilité et l’inter-
                                                                             connectivité. Pour les cartes avec contacts sur les-
                                                                             quelles est insérée une puce informatique en relief,

8
la norme ISO / IEC 7819 s’applique par-         FIGURE 3 Normes pour système d’identification
       tout dans le monde. Pour les cartes sans
       contact, lorsque la puce informatique est
       incorporée à l’intérieur de la carte, c’est                                              CHOIX
       la norme ISO / IEC 14443 qui est suivie.
       Pour les cartes qui peuvent également
       servir de documents de voyage élec-
       troniques, incluant les cartes d´identité,                                                             Normes
       les passeports, les permis de conduire                                                                 biométriques
       électroniques et les autres documents
       de voyage lisibles à la machine (MRTD)
       utilisés pour franchir les frontières, la
       conformité à la norme OACI 9303 est                                                                    Normes
       préconisée. Chaque système d’identité
       sélectionnera un type de carte en fonc-
                                                                                                              encadrant
                                                                                                              les documents
       tion de critères variés, comme le coût ou
       les éléments de sécurité.
                                                               Normes
  4.   Signatures numériques – Plusieurs
                                                            pour système                                      Normes
       normes non concurrentes sont indiquées.             d’identification                                   encadrant
       Elles s’appliquent en fonction de l’utilisa-
       tion de la signature numérique pour les                                                                les signatures
       systèmes d’identité.                                                                                   numériques
  5.   Code à barres 2D – La colonne contenant
       les notes d’aide au choix de la norme pré-                                                             Normes
       sente les avantages et les inconvénients                                                               encadrant
       des deux formats de codes à barres à
       deux dimensions couramment utilisés
                                                                                                              les codes
       dans les systèmes d’identité, le PDF417                                                                à barres
       et le code QR.
  6.   Protocoles de fédération – On a de plus
       en plus recours à l’association Open                                                                   Protocole
       ID Connect et OAuth pour répondre                                                                      de fédération
       aux besoins de fédération, alors que le
       protocole SAML a été beaucoup utilisé
       précédemment.
La liste des normes applicables pour un sys-                      2.   Les normes citées à l’extrémité de la branche de
tème d’identité va consister en la somme des normes rete-              l’arbre sont les normes applicables en fonction des
nues dans chacune des six catégories ci-dessus.                        décisions prises en matière de choix de technologie
                                                                       et de conception système.
La figure 4 présente un schéma d’arbre de décision, qui           3.   À certains embranchements, il faudra choisir parmi
permet de sélectionner les normes applicables en fonction              plusieurs normes concurrentes. Le tableau contient
des technologies retenues pour la mise en œuvre du sys-                des notes d’aide au choix qui aideront à sélectionner
tème d’identification.                                                 l’une des normes concurrentes disponibles.
                                                                  4.   Le tableau dressant la liste des normes contient une
  1.   Partir du sommet et descendre le long de l’arbre en             brève description des normes et un lien renvoyant
       suivant chaque branche tant que la catégorie de                 à celles-ci.
       technologies ou de normes mentionnée à chaque
       embranchement s’applique au système d’identité.

Normes techniques pour des systèmes d’identité fiables
Le tableau « Normes techniques pour des systèmes                 aux responsables de la mise en œuvre des systèmes
d’identité fiables » énumère les normes qui contiennent          d’identification les moyens d’adopter des lignes directrices
des lignes directrices concernant les aspects des sys-           et des bonnes pratiques en terme de normes pour leurs
tèmes d’identification liés à la qualité, aux méthodes d’es-     systèmes. Dans le cadre de son système Aadhaar, l’Inde
sai, à la confidentialité des données et à l’accessibilité, en   a par exemple publié un document définissant des lignes
vue de renforcer la fiabilité de ces systèmes. Elles donnent     directrices en matière de sécurité encadrant le recours à la

                                                                                                                                9
Vous pouvez aussi lire