Le système bancaire ouvert et l’identité numérique font actuellement l’objet d’une grande attention. Ces deux sujets ont tendance à susciter des opinions tranchées et des points de vue passionnés. Bien que le débat sur n’importe quel sujet soit sain, l’objectif principal du système bancaire ouvert et de l’identité numérique reste le même : donner aux individus et aux organisations le contrôle de leurs propres informations et s’assurer qu’elles sont protégées.
Les banques au Canada ont l’énorme responsabilité de protéger leurs clients, tant d’un point de vue moral que législatif. Les banques détiennent des millions de dossiers (si ce n’est plus) qui contiennent des renseignements personnels. Si ces dossiers étaient divulgués, cela pourrait avoir des effets dévastateurs non seulement sur la banque elle-même, mais aussi sur ses clients, et potentiellement sur l’économie. Pour ces raisons, de nombreuses institutions financières utilisent des modèles d’identité «centralisés» ou «fédérés» pour gérer et protéger leurs données. Cette approche s’est avérée efficace dans le passé, mais elle présente des inconvénients. Plus précisément, le stockage des données dans un système centralisé augmente le risque de fuites de données, les données peuvent être collectées, stockées et partagées avec d’autres parties à l’insu de l’utilisateur, et les données sont détenues et contrôlées par des organisations, des applications et des services.
Alors, quelle est l’alternative, direz-vous? La réponse réside dans un modèle d’identité décentralisé. L’identité décentralisée est un modèle centré sur l’utilisateur, dans lequel le contrôle du partage des informations est activement entre les mains du sujet d’un justificatif numérique (une identité numérique est un type de justificatif numérique). Les avantages d’un modèle décentralisé résident dans le fait que les données sont stockées par l’utilisateur (ce qui réduit le risque de fuites de données à grande échelle), que les données ne sont partagées que lorsque l’utilisateur donne son autorisation et que les données sont entièrement détenues et contrôlées par l’utilisateur.
L’avantage d’un modèle décentralisé pour les banques est qu’elles n’ont plus à se soucier du stockage, de l’administration et de la protection de grandes quantités de renseignements personnels, ceux-ci étant désormais stockés dans les portefeuilles individuels de leurs clients. En l’absence de grandes quantités de données sensibles (et précieuses) stockées sur leurs systèmes, les banques deviennent une cible moins attrayante pour les individus mal intentionnés qui cherchent à accéder à leurs systèmes. Cela se traduira par une baisse des coûts de plateforme et d’architecture pour les banques, ainsi que par une réduction de leur risque de cyberincident.
Le principal problème du modèle bancaire actuel est toutefois l’inclusion financière. Selon une étude réalisée par Acorn Canada, 3% des Canadiens, soit environ un million de personnes, n’ont pas de compte bancaire et 15%, soit environ 450 000 Canadiens, sont sous-bancarisés (ils ont peut-être un compte bancaire, mais leur engagement dans le secteur financier traditionnel reste limité.)¹ Les raisons de cette exclusion financière varient : des méthodes actuelles par lesquelles les banques évaluent le risque qu’un client peut présenter, aux exigences de solde minimum, en passant par les problèmes géographiques ou d’accessibilité (par exemple, pas de succursale dans leur région, ou incapacité physique à se rendre à une succursale). Ces problèmes peuvent créer des obstacles importants lors de la recherche de nouveaux services tels que les cartes de crédit, les prêts ou les prêts hypothécaires. C’est en s’attaquant à ces problèmes que nous voyons les véritables avantages de la combinaison du système bancaire ouvert et de l’identité numérique.
Le système bancaire ouvert cherche à faire tomber ces barrières en ouvrant le marché à de nouveaux concurrents et services, et en élargissant la vision du profil des clients pour les décisions que prennent les banques, comme l’approbation d’un prêt hypothécaire, etc. Ce changement de paradigme est favorisé par la croissance des technologies financières, dont les principaux services rendent les services bancaires et financiers plus accessibles et plus simples pour les clients. La technologie financière utilise l’automatisation pour accélérer les processus, et les demandes de prêts et d’hypothèques peuvent être effectuées en ligne sans aucune interaction humaine. L’élargissement de la vision de leur profil bancaire permet aux clients d’avoir une image plus claire de leurs finances, ce qui leur permet de prendre des décisions éclairées concernant leurs dettes, leurs achats et leur budget global. Le système bancaire ouvert pourrait potentiellement faciliter la gestion automatisée des flux de liquidités, ce qui signifie qu’un client pourrait voir toutes ses transactions sur ses comptes en un seul endroit. En regroupant leurs comptes de transactions, les clients peuvent mettre de côté des fonds pour payer leurs engagements financiers (factures, paiements par carte de crédit, etc.) et n’auront à se soucier que d’un seul chiffre – le solde disponible restant sur tous les comptes.
Le rôle de l’identité numérique dans cet écosystème signifie, avant tout, que les gens peuvent utiliser les services du système bancaire ouvert sans jamais avoir à se rendre dans une succursale pour y faire vérifier leur identité, répondant ainsi aux défis géographiques soulignés ci-dessus. Elle soutient également les aspects du système bancaire ouvert liés à la portabilité des données et au consentement du client. Pour ce faire, elle permet aux clients de contrôler la manière dont ils partagent leurs données et avec qui ils les partagent. Pour donner le contrôle au client, il faut établir un triangle de confiance (voir la figure 1), dans lequel l’émetteur (par exemple, la province de l’Ontario) est en mesure de délivrer un «Justificatif» (par exemple, un permis de conduire) à un «Titulaire» (le client en question). Le Titulaire peut ensuite présenter l’«Assertion» à un «Vérificateur» (par exemple, une banque qui cherche à valider l’identité du client pour pouvoir lui offrir un service).
Figure 1. – Triangle de confiance
En partageant ces assertions numériquement, le client n’a plus besoin de se rendre physiquement dans une succursale pour faire vérifier son identité par la banque. De même, le client ayant désormais le contrôle de ses renseignements personnels, il peut présenter ce profil dans le cadre d’autres interactions, avec d’autres entités, afin de bénéficier de services ailleurs. Comme le client possède et contrôle désormais ses informations et son identité, il peut exploiter ces données dans un grand nombre de scénarios, tout comme il le ferait avec son permis de conduire physique ou une autre pièce d’identité avec photo délivrée par le gouvernement. La différence est que tout cela peut désormais se faire de manière numérique.
Les assertions d’identité numérique ouvrent également la voie à des possibilités intéressantes d’amélioration en matière de protection de la vie privée, telles que la «divulgation sélective» et la «preuve à divulgation nulle de connaissance». La «divulgation sélective» permet à l’utilisateur de ne divulguer que les informations requises par le «Vérificateur». L’exemple souvent utilisé est celui de l’admission dans un établissement soumis à des restrictions d’âge. Au lieu de présenter l’ensemble du justificatif (par exemple, le permis de conduire), seules la date de naissance et la photo d’identité ont besoin d’être communiquées. La «preuve à divulgation nulle de connaissance» consiste à fournir une attestation vérifiable d’un attribut d’identité acceptable sans fournir les données elles-mêmes. Dans l’exemple ci-dessus, la capacité de fournir une réponse fiable «oui» à la question «avez-vous 18 ans ou plus?», sans divulguer l’âge réel du «Titulaire». Nous explorerons ces concepts plus en détail dans une prochaine publication. Dans le contexte du système bancaire ouvert, le client ne partage que la quantité minimale de données dont il a besoin pour cette transaction précise, ce qui réduit le risque que ses données soient manipulées ou volées et réduit son profil de risque.
Finalement, le système bancaire ouvert et l’identité numérique cherchent tous deux à faire entrer dans le monde numérique des services que nous utilisons tous les jours, d’une manière sécurisée, réfléchie et éthique, tout en rendant ces services accessibles à des clients qui ne pourraient peut-être pas en bénéficier dans un monde analogique. Pouvoir posséder les données de notre identité et contrôler comment et quand elles sont partagées est le véritable avantage que l’identité numérique peut offrir à mesure que nous avançons dans ce monde numérique.
¹https://www.canada.ca/content/dam/fin/migration/consultresp/pdf-pssge-psefc/pssge-psefc-03.pdf (en anglais)
