Du contrôle d'identité sur la plateforme Fédération

L’étude en cours sur la conformité au contrôle export des projets Fédération nous amène à envisager de façon concrète la mise en place d’un mécanisme de contrôle d’identité sur la plateforme. La principale raison en est que si des projets sont déterminés comme entrant dans le cadre du contrôle des exportations, il sera nécessaire de s’assurer de la nationalité des participants, pour qu’ils puissent se poursuivre en conformité avec la loi (par exemple, pour des technologies considérées comme militaires, pour des travaux menés en France seuls des citoyens français peuvent y participer).

Nous avons fait au sein du bureau de l’association une réunion dédiée au sujet cette semaine, je recopie ici les notes de cette réunions pour favoriser la discussion sur le sujet au sein de l’association.

1. Contrôle d’identité et contrôle export
   Certitude : une fois que les projets soumis au contrôle export au titre du dual use ou militaire seront désignés, il faudra mettre en place du contrôle d’identité (pour assurer que menés par des citoyens
   français).
   Peut-être créer un sous-projet dédié à la brique “contrôlée” avec le groupe habilité qui travaillerait sur les éléments soumis à contrôle export ?
   Question de la double nationalité ?

2. “Nettoyage” sur les membres inscrits sur la plateforme
   2.1. Statut des comptes non confirmés
   On fixe qu’un compte non confirmé au bout d’une semaine est supprimé (mais rappel mail au bout de 24h), à documenter sur le wiki et vérifier modalités d’implémentation avec webu.
   2.2. Comptes dont adresse email est obsolète
   Passer à un mode où on doit vérifier le compte tous les 12 mois, sans connexion ? Envoyer un message automatique demandant de se connecter pour que le compte ne soit pas désactivé, et prendre en compte les messages revenant en erreur. A documenter et vérifier modalités d’implémentation.
   2.3 Comptes à pseudos
   = mettre des informations fausses en nom et prénom dans le formulaire d’inscription. Mais effectivement impossible à vérifier (qu’on soit Max Grosbill ou Henri Dupont, impossible d’être sûr sans administratif).
   On laisse ce cas de côté.
   2.4. Comptes désactivés
   Dans texte sur confidentialité des données, on écrit : “Nous supprimons vos données au plus tard deux mois après la fermeture de votre Compte. »
   Mais en pratique pas mis en oeuvre aujourd’hui --> action Nicolas W sur mise en oeuvre avec webu.

3. Perspectives blockchain et liens avec outils tiers d’authentification
   On regarde rapidement France Connect, qui a priori pourrait s’appliquer à notre cadre. A creuser sur le fait qu’on réponde aux critères.
   https://partenaires.franceconnect.gouv.fr/fcp/fournisseur-service

En conclusion, on a donc échangé sur des points qui dépassent le pur contrôle export, mais clairement au-delà de l’aspect du « nettoyage » des comptes sur la plateforme, le consensus est que le contrôle d’identité ne sera mis en oeuvre que dans le cadre des obligations légales, et il doit être complètement automatisé. Pas question de mettre en oeuvre une « administration Fédération » dédiée à cela.

Je me pose une question cependant, l’approche « blockchain » permet-elle d’assurer la suppression de donnée confidentielle même après son ajout ?

Sinon je pense que l’usage de franceconnect est top !

Non, mais aucune donnée privée ne serait stockée sur la blockchain en clair : la clé de chiffrement individuelle des contributeurs est absolument nécessaire pour le relire. En somme, ça permet à l’utilisateur de prouver que c’est lui qui est à l’origine d’une contribution enregistrée sur la blockchain, mais ça ne permet pas à quelqu’un d’autre de tracker l’identité d’un individu.
A noter aussi qu’il n’y aura pas de lien entre l’authentification par blockchain des contributions et les données personnelles qu’un membre a renseigné sur la plateforme.

Je viens de lire un article qui parle d’une initiative européenne en approche, à suivre ?