Raison d’être
Confiance et gouvernance
Nous aidons les gouvernements, les entreprises et les individus à vivre dans un monde basé sur la confiance. Le Réseau de confiance Otentik définit la gouvernance, le cadre de confiance (trust framework) et les mécanismes de contrôle du réseau afin d’assurer l’authenticité et la légitimité des milliards d’objets, de biens et de documents que nous créons, utilisons ou consultons quotidiennement.
- Confiance dans l’Identité : Adopter les normes les plus strictes en matière de confiance dans l’identité de la partie certifiant les informations, qu’il s’agisse d’une organisation, d’un service ou d’une personne.
- Légitimité démontrée : Concevoir une spécification assurant la légitimité de celui qui certifie les informations.
- Pérennité : Elaborer et entretenir des Normes pour assurer la fiabilité des informations pendant des jours, des mois, des années … ou des décennies!
- Protection de la vie privée dès la conception (Privacy-by-Design) : Optimiser à la fois la transparence et la confidentialité. Planifier que quiconque puisse auditer les opérations du réseau, mais que seules les parties concernées aient accès aux informations publiées. Dans la mesure du possible, s’assurer que le réseau ne voit jamais les informations.
- En ligne … ou hors ligne*: Garder en tête que malgré un monde de plus en plus connecté, de nombreux cas d’utilisation doivent être résilients dans des environnements où l’accès en ligne est impossible, peu pratique ou peu fiable. Cela n’empêche pas un cas d’utilisation d’utiliser des informations en ligne pour des fonctionnalités supplémentaires à valeur ajoutée.
* Notez que certaines technologies de CEV (telles que celles basées sur la blockchain), et certains cas d’utilisation, peuvent exiger une connexion en ligne.
NORMEs "CEV" AFNOR & ISO
Le réseau de confiance Otentik est basé sur un cadre de confiance supporté par des Normes. Il est conçu pour transporter divers types de données fiables sur son réseau sous la forme de CEV (Cachet Électronique Visible), un code à barres 2D peu coûteux appliqué à un objet, à un bien ou à un document, voire même sous la forme d’une étiquette RFID. Le CEV inclut des données clés et incorpore une signature électronique pour détecter toute falsification ainsi que confirmer l’authenticité et la légitimité de l’émetteur.
Le réseau Otentik prend en charge plusieurs technologies de CEV, véhiculées sur des codes à barres 2D ou des étiquettes RFID. Les Normes Afnor Z42-105 (septembre 2020), ISO 22385 (février 2023) et ISO 22376 (août-septembre 2023) permettent de prendre en charge des milliers de cas d’utilisation de manière efficace, et d’assurer ainsi une large adoption du réseau.
Nous avons développé un lecteur universel multilingue de tous les CEV réalisés selon ces normes. Ce lecteur est disponible et utilisable gratuitement sur les plateformes Android et iOS : « OTENTIK Code Reader »
Cliquez ici pour aller voter sur le site de vote X-eHealth Interoperability Award 2022
1. Portée et objectifs de notre projet et pourquoi il devrait être considéré pour ce prix :
Notre projet, le Réseau de confiance interopérable OTENTIK, tout comme le projet X-eHealth est un projet d’importance stratégique pour l’UE.
L’interopérabilité est l’axe fonctionnel structurant du Réseau de confiance OTENTIK. L’interopérabilité des données de santé est la raison d’être du projet X-eHealth.
Ces deux projets sont donc faits l’un pour l’autre.
Notre Vision / Notre Ambition / Notre Volonté :
Créer une infrastructure internationale de confiance,
pleinement interopérable, ouverte, et non propriétaire,
qui permette une large diffusion d’un système de sécurité documentaire.
C’est donc à la fois un projet plus large que le Projet X-eHealth quant à son champ d’application, et un projet plus circonscrit quant à ses fonctionnalités puisqu’il concerne la sécurisation des données clés des documents électroniques ou papier, et leur interopérabilité.
Sa force c’est d’être un cadre de confiance opérationnel, pouvant s’appliquer à des champs et problématiques très divers, en faisant très simplement communiquer des systèmes d’information qui ne se connaissent pas.
L’UE s’est trouvée fort dépourvue lorsqu’il s’est agi de rendre interopérable l’ensemble des applications de Passe Sanitaire développées dans chaque pays de l’Union.
A marche forcée, elle a dû concevoir et développer un système très coûteux de passerelles entre tous les systèmes d’informations, pour aboutir à un QR Code commun de sécurisation des Passes sanitaires. Ce QR Code est un Cachet Electronique Visible (CEV), puisque ce codes 2D contient des données signées électroniquement.
Le recours à notre Réseau de confiance aurait permis très simplement de faire communiquer des systèmes d’informations qui ne se connaissaient pas, grâce à un Cachet Electronique Visible (CEV), totalement innovant, normalisé assurant tout simplement la fonction de passerelle sécurisée, directement décodable et lisible par tout un chacun grâce à une application de lecture universelle de tous les CEV du Réseau OTENTIK, disponible et utilisable gratuitement sur les stores Android et IOS.
C’est un système qui s’appuie sur eIDAS, et qui fonctionne sans aucun recours à de quelconques Bases de données. Les données sont autoportées, si bien qu’il respecte nativement le RGPD.
C’est un système normalisé (Afnor et ISO) très polyvalent et flexible, qui s’adapte facilement à des problématiques spécifiques.
Donc, plutôt que de concevoir un système spécifique à chaque fois que cette problématique d’échange de données sécurisées de manière interopérable se présente, pourquoi ne pas utiliser cette nouvelle infrastructure opérationnelle et l’utiliser pour toutes sortes de cas d’usage quel qu’en soit le domaine ?
OTENTIK est une infrastructure de confiance, directement disponible et fonctionnelle, dont c’est la vocation.
Avec le Réseau de confiance OTENTIK, les utilisateurs n’auront qu’à définir eux-mêmes les CEV dont ils auront besoin, en spécifiant librement les données (nature et formats).
Une telle approche permettra (ou non), selon les choix faits pour chaque CEV, à tout système d’information d’utiliser des CEV non émis à l’origine pour leurs besoins.
L’utilisation de l’infrastructure du Réseau de confiance OTENTIK pourrait constituer un élément de base du cadre commun, en utilisant les CEV OTENTIK pour, par exemple, les lettres de sortie ou les résultats de laboratoire qui sont dans les premiers objectifs de X-eHealth.
2. En quoi notre projet inspire la confiance dans le domaine de l’interopérabilité des données de santé :
Les fondements de la confiance dans le Réseau international de Confiance OTENTIK :
- OTENTIK a été créé par l’Association Internationale de Gouvernance du Cachet Electronique Visible (AIGCEV), agissant en tant que TSO (Trust Service Operator), qui est administrée par des Membres de référence tels que le Ministère de l’Intérieur (MDST), l’Agence Nationale des Titres Sécurisés (ANTS), la Caisse des Dépôts et Consignations (CDC), La Poste, IN Groupe (ex Imprimerie Nationale), le Comité Français d’Organisation et de Normalisation Bancaire (CFONB), le Conseil National de l’Ordre des Experts Comptables (CNOEC) ou encore la Fédération des Tiers de Confiance du Numérique (FNTC).
- OTENTIK s’appuie sur des Normes dont nous sommes les initiateurs et concepteurs, deux Normes ISO, l’une de Gouvernance (ISO 22385 – publication 09.22), l’autre relative à la technique (ISO 22376 -courant 2023) transposition de la Norme CEV Afnor XP Z42-105 (publiée en 2020) déjà utilisée dans des cas d’usage en Afrique,
- Tous les éléments intervenant dans la chaîne de confiance (manifestes, TSL, CEV et LOTL) sont audités et signés directement par OTENTIK (ou des membres habilités).
- Les éditeurs de solutions de génération et de lecture de CEV OTENTIK doivent être labellisés,
- Les Autorités de Certifications doivent être agréées par le Réseau OTENTIK,
- Les Emetteurs de documents doivent être référencés par le Réseau OTENTIK.
La garantie de l’authenticité des données, de leur légitimité et de leur interopérabilité est donc assurée.
3. En quoi notre projet est innovant dans le domaine de l’interopérabilité des données de santé.
Notre projet est innovant car le CEV OTENTIK a été conçu pour être techniquement ouvert (dont possibilité d’utiliser divers langages d’encodage), dans un environnement de confiance conçu comme une fédération de fédérations n’empiétant pas sur de quelconques prérogatives souveraines ou privées.
C’est ainsi que le projet X-eHealth pourra disposer de son propre Périmètre de Gouvernance.
L’introduction de la technique du manifeste révolutionne la technique du CEV.
Le recours à des manifestes a permis :
- L’élaboration d’une architecture de système interopérable totalement innovante,
- Le développement d’un Lecteur universel OTENTIK unique, gage de l’’interopérabilité,
- L’introduction de nouvelles fonctionnalités dont le multilinguisme (une quarantaine de langues dont toutes les langues de l’UE et l’arabe), la création de vues de présentations directement liées à chaque cas d’usage, ainsi que la gestion d’autorisations de lecture différenciées,
L’environnement de confiance OTENTIK n’empiète pas sur de quelconques prérogatives souveraines ou privées :
– les seules contraintes sont relatives au respect des Normes techniques et de Gouvernance,
– chaque Périmètre souverain sera libre de choisir ses AC, les certificats qui lui conviennent (RGS pour la France ou eIDAS pour l’Europe), de signer les manifestes des différents cas d’usage de son périmètre, et de signer sa TSL (avec une signature qualifiée eIDAS).
4. En quoi notre projet est techniquement excellent dans le domaine de l’interopérabilité des données sur la santé.
Le lecteur universel OTENTIK, pivot de l’interopérabilité, n’a pas besoin d’être mis à jour à chaque cas d’usage. Quand un lecteur (smartphone ou métier) doit lire pour la première fois un cas d’usage, il va grâce au manifeste, chercher en ligne la grille de lecture spécifique des données encodées dans le CEV. Les fois suivantes, ce même lecteur ayant conservé localement la grille de lecture pour ce cas d’usage n’aura pas besoin d’être en ligne. Tout se fera en local.
Il en résulte que dès la création d’un nouveau cas d’usage, le lecteur universel « Otentik Code Reader » (téléchargeable sur les plateformes Android et iOS, disponible et utilisable gratuitement) sera en mesure de le décoder, quel que soit le pays et la langue d’émission de l’UE.
Notre CEV OTENTIK, grâce à l’utilisation d’un manifeste, s’est débarrassé du recours très contraignant à un dictionnaire de données (en particulier dans un environnement multilingue), et fonctionne sans aucun recours à de quelconques Bases de données.
Le RGPD est nativement respecté, les données étant autoportées par le CEV.
Notre projet utilise la signature électronique, technologie éprouvée techniquement et sous administration eIDAS dans l’UE. Les manifestes sont signés électroniquement ainsi que les TSL de chaque Périmètre de Gouvernance, les CEV et la LOTL (TSL des TSL).
5. De quelle manière notre projet est positionné pour bénéficier du travail de X-eHealth, ou comment il a bénéficié du travail de votre projet dans le passé.
Le Réseau de confiance OTENTIK a vocation à se déployer internationalement.
OTENTIK a déjà des membres en Côte d’Ivoire (premiers cas d’usage opérationnels du réseau), au Canada (première AC opérationnelle), en Tunisie et en Autriche.
L’adhésion au Réseau OTENTIK et l’utilisation du CEV OTENTIK par les membres du projet X-eHealth, serait une formidable opportunité pour déployer OTENTIK dans l’UE avec un Périmètre X-eHealth, d’autant plus que cela permettrait de susciter de nouveaux cas d’usage dans d’autre domaines de l’UE.
Nous serons également portés au niveau de l’UE par France Identité Numérique (FIN) pour qui nous devrions réaliser très rapidement un POC pour leur « Justificatif d’identité numérique ». Ce sera pour FIN, l’occasion de défendre l’utilisation du CEV OTENTIK auprès de la DG Connect à l’occasion des travaux sur le eWallet.
A noter qu’un expert reconnu de la DG Connect auquel nous avons pu (trop tardivement) présenter notre solution pour rendre interopérable les différents Passes sanitaires européens, a qualifié notre proposition de « Fascinating solution ».