1. Portée et objectifs de notre projet et pourquoi il devrait être considéré pour ce prix :
Notre projet, le Réseau de confiance interopérable OTENTIK, tout comme le projet X-eHealth est un projet d’importance stratégique pour l’UE.
L’interopérabilité est l’axe fonctionnel structurant du Réseau de confiance OTENTIK. L’interopérabilité des données de santé est la raison d’être du projet X-eHealth.
Ces deux projets sont donc faits l’un pour l’autre.
Notre Vision / Notre Ambition / Notre Volonté :
Créer une infrastructure internationale de confiance,
pleinement interopérable, ouverte, et non propriétaire,
qui permette une large diffusion d’un système de sécurité documentaire.
C’est donc à la fois un projet plus large que le Projet X-eHealth quant à son champ d’application, et un projet plus circonscrit quant à ses fonctionnalités puisqu’il concerne la sécurisation des données clés des documents électroniques ou papier, et leur interopérabilité.
Sa force c’est d’être un cadre de confiance opérationnel, pouvant s’appliquer à des champs et problématiques très divers, en faisant très simplement communiquer des systèmes d’information qui ne se connaissent pas.
L’UE s’est trouvée fort dépourvue lorsqu’il s’est agi de rendre interopérable l’ensemble des applications de Passe Sanitaire développées dans chaque pays de l’Union.
A marche forcée, elle a dû concevoir et développer un système très coûteux de passerelles entre tous les systèmes d’informations, pour aboutir à un QR Code commun de sécurisation des Passes sanitaires. Ce QR Code est un Cachet Electronique Visible (CEV), puisque ce codes 2D contient des données signées électroniquement.
Le recours à notre Réseau de confiance aurait permis très simplement de faire communiquer des systèmes d’informations qui ne se connaissaient pas, grâce à un Cachet Electronique Visible (CEV), totalement innovant, normalisé assurant tout simplement la fonction de passerelle sécurisée, directement décodable et lisible par tout un chacun grâce à une application de lecture universelle de tous les CEV du Réseau OTENTIK, disponible et utilisable gratuitement sur les stores Android et IOS.
C’est un système qui s’appuie sur eIDAS, et qui fonctionne sans aucun recours à de quelconques Bases de données. Les données sont autoportées, si bien qu’il respecte nativement le RGPD.
C’est un système normalisé (Afnor et ISO) très polyvalent et flexible, qui s’adapte facilement à des problématiques spécifiques.
Donc, plutôt que de concevoir un système spécifique à chaque fois que cette problématique d’échange de données sécurisées de manière interopérable se présente, pourquoi ne pas utiliser cette nouvelle infrastructure opérationnelle et l’utiliser pour toutes sortes de cas d’usage quel qu’en soit le domaine ?
OTENTIK est une infrastructure de confiance, directement disponible et fonctionnelle, dont c’est la vocation.
Avec le Réseau de confiance OTENTIK, les utilisateurs n’auront qu’à définir eux-mêmes les CEV dont ils auront besoin, en spécifiant librement les données (nature et formats).
Une telle approche permettra (ou non), selon les choix faits pour chaque CEV, à tout système d’information d’utiliser des CEV non émis à l’origine pour leurs besoins.
L’utilisation de l’infrastructure du Réseau de confiance OTENTIK pourrait constituer un élément de base du cadre commun, en utilisant les CEV OTENTIK pour, par exemple, les lettres de sortie ou les résultats de laboratoire qui sont dans les premiers objectifs de X-eHealth.
2. En quoi notre projet inspire la confiance dans le domaine de l’interopérabilité des données de santé :
Les fondements de la confiance dans le Réseau international de Confiance OTENTIK :
- OTENTIK a été créé par l’Association Internationale de Gouvernance du Cachet Electronique Visible (AIGCEV), agissant en tant que TSO (Trust Service Operator), qui est administrée par des Membres de référence tels que le Ministère de l’Intérieur (MDST), l’Agence Nationale des Titres Sécurisés (ANTS), la Caisse des Dépôts et Consignations (CDC), La Poste, IN Groupe (ex Imprimerie Nationale), le Comité Français d’Organisation et de Normalisation Bancaire (CFONB), le Conseil National de l’Ordre des Experts Comptables (CNOEC) ou encore la Fédération des Tiers de Confiance du Numérique (FNTC).
- OTENTIK s’appuie sur des Normes dont nous sommes les initiateurs et concepteurs, deux Normes ISO, l’une de Gouvernance (ISO 22385 – publication 09.22), l’autre relative à la technique (ISO 22376 -courant 2023) transposition de la Norme CEV Afnor XP Z42-105 (publiée en 2020) déjà utilisée dans des cas d’usage en Afrique,
- Tous les éléments intervenant dans la chaîne de confiance (manifestes, TSL, CEV et LOTL) sont audités et signés directement par OTENTIK (ou des membres habilités).
- Les éditeurs de solutions de génération et de lecture de CEV OTENTIK doivent être labellisés,
- Les Autorités de Certifications doivent être agréées par le Réseau OTENTIK,
- Les Emetteurs de documents doivent être référencés par le Réseau OTENTIK.
La garantie de l’authenticité des données, de leur légitimité et de leur interopérabilité est donc assurée.
3. En quoi notre projet est innovant dans le domaine de l’interopérabilité des données de santé.
Notre projet est innovant car le CEV OTENTIK a été conçu pour être techniquement ouvert (dont possibilité d’utiliser divers langages d’encodage), dans un environnement de confiance conçu comme une fédération de fédérations n’empiétant pas sur de quelconques prérogatives souveraines ou privées.
C’est ainsi que le projet X-eHealth pourra disposer de son propre Périmètre de Gouvernance.
L’introduction de la technique du manifeste révolutionne la technique du CEV.
Le recours à des manifestes a permis :
- L’élaboration d’une architecture de système interopérable totalement innovante,
- Le développement d’un Lecteur universel OTENTIK unique, gage de l’’interopérabilité,
- L’introduction de nouvelles fonctionnalités dont le multilinguisme (une quarantaine de langues dont toutes les langues de l’UE et l’arabe), la création de vues de présentations directement liées à chaque cas d’usage, ainsi que la gestion d’autorisations de lecture différenciées,
L’environnement de confiance OTENTIK n’empiète pas sur de quelconques prérogatives souveraines ou privées :
– les seules contraintes sont relatives au respect des Normes techniques et de Gouvernance,
– chaque Périmètre souverain sera libre de choisir ses AC, les certificats qui lui conviennent (RGS pour la France ou eIDAS pour l’Europe), de signer les manifestes des différents cas d’usage de son périmètre, et de signer sa TSL (avec une signature qualifiée eIDAS).
4. En quoi notre projet est techniquement excellent dans le domaine de l’interopérabilité des données sur la santé.
Le lecteur universel OTENTIK, pivot de l’interopérabilité, n’a pas besoin d’être mis à jour à chaque cas d’usage. Quand un lecteur (smartphone ou métier) doit lire pour la première fois un cas d’usage, il va grâce au manifeste, chercher en ligne la grille de lecture spécifique des données encodées dans le CEV. Les fois suivantes, ce même lecteur ayant conservé localement la grille de lecture pour ce cas d’usage n’aura pas besoin d’être en ligne. Tout se fera en local.
Il en résulte que dès la création d’un nouveau cas d’usage, le lecteur universel « Otentik Code Reader » (téléchargeable sur les plateformes Android et iOS, disponible et utilisable gratuitement) sera en mesure de le décoder, quel que soit le pays et la langue d’émission de l’UE.
Notre CEV OTENTIK, grâce à l’utilisation d’un manifeste, s’est débarrassé du recours très contraignant à un dictionnaire de données (en particulier dans un environnement multilingue), et fonctionne sans aucun recours à de quelconques Bases de données.
Le RGPD est nativement respecté, les données étant autoportées par le CEV.
Notre projet utilise la signature électronique, technologie éprouvée techniquement et sous administration eIDAS dans l’UE. Les manifestes sont signés électroniquement ainsi que les TSL de chaque Périmètre de Gouvernance, les CEV et la LOTL (TSL des TSL).
5. De quelle manière notre projet est positionné pour bénéficier du travail de X-eHealth, ou comment il a bénéficié du travail de votre projet dans le passé.
Le Réseau de confiance OTENTIK a vocation à se déployer internationalement.
OTENTIK a déjà des membres en Côte d’Ivoire (premiers cas d’usage opérationnels du réseau), au Canada (première AC opérationnelle), en Tunisie et en Autriche.
L’adhésion au Réseau OTENTIK et l’utilisation du CEV OTENTIK par les membres du projet X-eHealth, serait une formidable opportunité pour déployer OTENTIK dans l’UE avec un Périmètre X-eHealth, d’autant plus que cela permettrait de susciter de nouveaux cas d’usage dans d’autre domaines de l’UE.
Nous serons également portés au niveau de l’UE par France Identité Numérique (FIN) pour qui nous devrions réaliser très rapidement un POC pour leur « Justificatif d’identité numérique ». Ce sera pour FIN, l’occasion de défendre l’utilisation du CEV OTENTIK auprès de la DG Connect à l’occasion des travaux sur le eWallet.
A noter qu’un expert reconnu de la DG Connect auquel nous avons pu (trop tardivement) présenter notre solution pour rendre interopérable les différents Passes sanitaires européens, a qualifié notre proposition de « Fascinating solution ».