Identité personnelle et avenir des interactions numériques

C’est le moment idéal pour repenser la façon dont nous engageons avec les autres utilisateurs numériquement. Les interactions en ligne sont de plus en plus répandues et les données à caractère personnel nous concernant sont réparties dans de nombreuses applications et services d’entreprises, comme des miettes de pain laissées sur un sentier. Pendant ce temps, les réglementations et les exigences techniques associées à la collecte et au stockage de ces données augmentent, obligeant les entreprises à réexaminer leurs systèmes de gestion des identités et des accès et à évoluer pour suivre le rythme. La donne est en train de changer et il est temps que les gens aient plus de contrôle sur leur soi numérique.
 

Et si les individus pouvaient déterminer comment partager les données et avec qui ? Et si ces données étaient toujours à jour ? Et si au lieu d’avoir simplement un profil client unifié dans une seule entreprise, chaque personne pouvait avoir une expérience d’identité pour toutes les entreprises et les personnes avec lesquelles elle interagit ?

L’identité personnelle détient la clé pour répondre à ces questions. Également appelée identité décentralisée ou identité auto-souveraine, l’identité personnelle permet aux individus, plus qu’à une entreprise ou à une autre organisation, de contrôler, gérer et partager leurs propres informations liées à l’identité. Le concept gagne du terrain alors que de plus en plus de personnes exigent une juridiction sur les données à caractère personnel et que les entreprises ont confiance dans les identités vérifiées de leurs clients. Chez Ping, nous prenons les devants pour nous assurer que chacun a la pleine propriété de ses propres données à caractère personnel.

Dans le modèle de l’identité personnelle, les individus stockent des données liées à l’identité dans un portefeuille numérique sur un appareil mobile afin de pouvoir maintenir ces informations à jour et partager exactement les données qu’ils souhaitent - jusqu’à l’attribut - avec les entreprises et d’autres individus. Cela simplifie la façon dont les gens révèlent en toute sécurité des informations personnelles pour prouver leur identité lorsqu’ils font des achats en ligne, demandent un prêt, effectuent des transactions bancaires et plus encore. Les entreprises bénéficient également de ce modèle car l’identité personnelle permet aux entreprises de mieux protéger la confidentialité des clients, d’améliorer l’expérience utilisateur et d’atténuer les défis associés à la collecte de données à caractère personnel.

Année après année, de plus en plus d’interactions quotidiennes entre les personnes et les entreprises deviennent numériques, en grande partie à cause de l’omniprésence des téléphones mobiles. (D’après les derniers chiffres, plus de 6 milliards de personnes ont accès aux smartphones) La pandémie n’a été qu’un accélérateur d’une tendance déjà en marche :

• 64 % des nouveaux comptes courants ont été ouverts via mobile ou web en 2020, contre seulement 36 % des demandes en présentiel.

   

• Le nombre d’acheteurs numériques de 2014 à 2021 est passé de 1,32 milliard à 2,14 milliards.

   

• On estime que 53,3 millions d’Américains utiliseront des services de rencontres en ligne en 2024, contre 44,2 millions en 2020.

Mais le paradigme actuel n’est pas durable à long terme. Aujourd’hui, chaque entreprise ou organisation avec laquelle un utilisateur interagit possède et gère une version spécifique des données d’identité de cet utilisateur, dont la base est un nom d’utilisateur et un mot de passe. Les fournisseurs d’identité et les fournisseurs de services doivent se connaître les uns les autres et avoir une certaine forme d’accord (c’est-à-dire des normes) qui permet l’échange d’informations.

Mais à mesure qu’une personne s’engage avec un nombre croissant de fournisseurs de services, ses données liées à l’identité sont réparties sur plusieurs fournisseurs d’identité (IdP). Une fois que cet utilisateur cesse de faire affaire avec un fournisseur de services, il ne peut plus accéder à ces informations, laissant derrière lui des restes de données à caractère personnel qui peuvent rapidement devenir obsolètes.

L’identité personnelle forcera un changement majeur dans la façon dont les utilisateurs interagissent avec les entreprises et les autres individus, car elle révolutionne la façon dont nous établissons des relations de confiance entre les personnes et les entreprises. Les clients exigent plus de confidentialité et la possibilité de garder le contrôle sur ce qu’ils divulguent sur eux-mêmes. Dans le même temps, les entreprises et les particuliers doivent être assurés que l’humain à l’autre bout de la transaction numérique est bien celui qu’il prétend être et que les informations qu’il fournit sont valides. 

Avec l’identité personnelle, les entreprises qui délivrent des informations que les utilisateurs peuvent stocker et partager n’ont aucun lien avec les entreprises avec lesquelles l’utilisateur peut choisir de partager ces données vérifiables de manière indépendante, permettant ainsi une confidentialité accrue et une vérification d’identité renforcée.

Le passage des entreprises et autres organisations contrôlant les informations d’identité aux individus gérant leurs propres données a déjà commencé et, chez Ping, nous avons vu comment cela crée une meilleure expérience utilisateur. Les portefeuilles numériques sont une méthode pratique et conviviale de stockage et d’accès aux informations personnelles, et ils simplifient l’enregistrement et d’autres interactions en stockant les informations sur un appareil facilement accessible : le smartphone de l’utilisateur. Cela permet aux utilisateurs d’accéder plus facilement à des informations à jour et, au lieu d’un long processus de recherche, de collecte et de partage d’informations, un individu peut s’en occuper en quelques glissements de doigt.

L’identité personnelle réduit également le risque de fraude. La fraude ne peut jamais être complètement éliminée car chaque transaction numérique comporte un risque, mais elle est atténuée lorsque les processus d’ouverture de compte ou d’enregistrement en ligne sont sécurisés. Les entreprises ont une plus grande confiance dans l’identité de l’utilisateur, ainsi que dans la validité et l’actualité des informations qu’elles présentent. 

L’identité personnelle diminue également le fardeau du partage d’informations. Nous avons tous vu les statistiques montrant comment la quantité de données collectées dans le cours normal des affaires augmente de façon exponentielle, et que le transfert de la propriété du stockage des informations personnelles d’une entreprise à l’individu peut aider à alléger le fardeau de la conformité aux exigences techniques, réglementaires et de conformité que présente le stockage des données. 

En février de cette année, Ping a annoncé le projet COVID Freedom pour permettre aux fournisseurs de vaccins, aux entreprises et aux particuliers de prouver en toute sécurité les résultats de la vaccination et des tests COVID à d’autres. Cet élément essentiel de données à caractère personnel a été un point de départ important pour faciliter le partage sécurisé des données à caractère personnel et a résolu le besoin immédiat de rouvrir les communautés en toute sécurité. 

Ping franchit une nouvelle étape pour innover dans les interactions numériques en utilisant l’identité personnelle, en élargissant le soutien au-delà de la preuve du statut de vacciné au COVID-19. Nous avons récemment annoncé deux nouvelles offres qui sécuriseront et rationaliseront la manière dont les consommateurs échangeront des informations personnelles avec des entreprises et d’autres particuliers :

• ShoCard est un portefeuille numérique pour les consommateurs qui l’utilisent pour stocker et partager en toute sécurité des informations personnelles les concernant. 

   

• PingOne for Individuals permet aux entreprises de délivrer des cartes d’identité et d’information numériques à leurs utilisateurs. Ces cartes numériques sont liées à des données vérifiées et stockées dans le portefeuille ShoCard.

Le processus implique trois entités différentes :

1. Les émetteurs. Il s’agit des sources officielles de données vérifiables qui délivrent aux utilisateurs des données relatives à l’identité. Par exemple, un émetteur peut être un collège émettant des relevés de notes, un employeur fournissant des sources officielles d’historique d’emploi ou un bureau de crédit publiant un historique de crédit. Les entreprises peuvent utiliser le service PingOne Credential disponible avec PingOne for Individuals pour créer et émettre des informations d’identification vérifiées, ou des cartes, que les utilisateurs peuvent stocker sur leur portefeuille numérique ShoCard.
    

2. Les utilisateurs. Il s’agit des personnes qui stockent les informations d’identité vérifiées de l’émetteur, comme un permis de conduire, un carnet de vaccination ou une carte d’assurance maladie, dans leur portefeuille ShoCard sur leur appareil mobile. Pour ajouter les informations vérifiées à son portefeuille, l’utilisateur scanne un code QR ou clique sur un lien fourni par l’émetteur. Ces données portables ne sont stockées que dans le portefeuille ShoCard et ne sont jamais hors du contrôle de l’utilisateur, elles peuvent par ailleurs être partagées avec autant de personnes ou d’entreprises que l’utilisateur le souhaite.
    

3. Les vérificateurs. Il s’agit des entreprises ou des personnes qui ont besoin de confirmer une information sur quelqu’un. Par exemple, il peut s’agir d’un employeur devant confirmer le statut d’obtention du diplôme universitaire, d’un fournisseur de soins de santé demandant une preuve d’assurance ou d’un rendez-vous en ligne cherchant à être rassuré qu’il parle à la bonne personne. L’utilisateur scanne un code QR pour partager toutes les informations vérifiées et actuelles qu’il souhaite divulguer au vérificateur.
   

    

Si vous êtes intéressé par les rouages de ces solutions, voici quelques détails sur ce qui se passe dans les coulisses.

Lorsqu’un utilisateur télécharge et installe l’application ShoCard, il crée un profil qui est une identité unique liée à une clé privée sur son appareil mobile. Il crée ce profil en utilisant son smartphone pour se faire un selfie en direct, qui est ensuite vérifié par rapport à la photo de son papier d’identité officiel. Si les photos correspondent, la carte d’identité est examinée pour s’assurer qu’elle n’a pas été falsifiée et qu’elle correspond aux pièces d’identité émises par le gouvernement. Ensuite, l’appareil est lié à l’individu et établit une base pour que l’utilisateur collecte des cartes numériques à placer dans le portefeuille ShoCard. 

Les utilisateurs créent ensuite des cartes numériques (c’est-à-dire des revendications d’identité) via le service PingOne Credential ou PingOne for Individuals SDK et stockent ces cartes dans leur portefeuille ShoCard. Le service PingOne Credential est une méthode sans code permettant aux entreprises de configurer et d’émettre des cartes numériques, tandis que PingOne for Individuals SDK permet aux entreprises d’émettre et de vérifier les déclarations d’identité des utilisateurs.

Ces réclamations doivent être créées par les émetteurs utilisant le chiffrement pour certifier les données. PingOne for Individuals et ShoCard utilisent des registres publics pour gérer la révocation et les modifications d’un identifiant. Cette plate-forme est indépendante de la blockchain. La version actuelle exploite le Registre public Hedera pour sécuriser les enregistrements d’informations d’identification de manière chiffrée. En gérant les identifiants sur ce registre public, nous pouvons mieux garantir que chaque identifiant est inviolable et sécurisé, ne pouvant être modifié que par le détenteur de sa clé. De plus, ce processus permet à un émetteur de révoquer le statut de la réclamation si quelque chose a changé, et cela sera reflété dans l’application ShoCard. Tout vérificateur peut vérifier le statut d’une réclamation qu’un utilisateur partage avec lui concernant son état actuel et sa véracité. 

Notre initiative « COVID Freedom » visait à permettre aux particuliers, aux entreprises et aux fournisseurs de vaccins de partager en toute sécurité des informations sur le statut de vacciné et les résultats des tests. Mais ce n’est qu’un exemple de la façon dont l’identité personnelle peut être exploitée pour rationaliser et sécuriser le partage des informations personnelles. Les organisations utilisent l’identité personnelle de diverses manières :

Clubs de sport mondiaux

Dans ce scénario, l’entreprise est à la fois le vérificateur et l’émetteur. Le club de sport a accès aux données des joueurs et peut confirmer leur identité lorsque ceux-ci se présentent sur le terrain pour éviter les substitutions frauduleuses de joueurs pendant les matchs.

Fournisseur d’assurance maladie

Les prestataires d’assurance maladie émettent des réclamations d’assurance, telles que des informations concernant les quotes-parts, les franchises élevées, le statut de la franchise, etc..., qui permettent aux hôpitaux et autres organismes de santé (les vérificateurs) de comprendre la couverture d’un patient, aidant le vérificateur à décider comment facturer, recueillir et réagir.

Plateforme de billetterie événementielle

La revente de billets a longtemps tourmenté l’industrie de l’évènementiel. Pour réduire cette pratique, les vendeurs autorisés pourraient vérifier les acheteurs au moment de l’achat, ou les sites pourraient accéder à l’identité de l’utilisateur et aux détails du billet d’événement avant d’admettre l’utilisateur à un événement. 

Individuel en tant que vérificateur

Les particuliers peuvent agir en tant que vérificateur dans diverses situations, par exemple lors de la vente d’une voiture en ligne. Dans ces cas, le site Internet du fournisseur de données, tel que le site où la voiture a été vendue, peut vérifier les informations et lorsque les individus se rencontrent, le site Internet peut fournir une URL de vérification où l’individu peut scanner un code QR et confirmer les informations.

Ce ne sont là que quelques-unes des interactions dans lesquelles l’identité personnelle promet de jouer un grand rôle. Nous voyons déjà des entreprises se tourner vers l’avenir sur la façon dont l’identité personnelle peut révolutionner leurs interactions avec les clients et les employés. Ping est ravi d’être à l’avant-garde pour redonner aux individus le contrôle sur la façon dont ils partagent les données à caractère personnel les concernant avec les autres. En savoir plus sur notre initiative d’Identité personnelle.