Identité numérique : un outil d’accès qui peut aussi bloquer

Plusieurs États africains déploient ou planifient des systèmes d’identité numérique pour moderniser l’administration et organiser l’accès aux services publics. D’autres pays l’ont fait. Le mouvement semble naturel.

Mais adopter un outil parce qu’il existe ailleurs ne dit rien sur les conditions dans lesquelles il fonctionnera en Afrique.

Comment fonctionne une identité numérique

Un système d’identité numérique associe une personne à des informations vérifiées pour lui donner accès à un service en ligne. Il sert à confirmer l’identité d’un utilisateur dès qu’un accès ou une opération le nécessite.

Le cadre du National Institute of Standards and Technology (NIST), une agence américaine chargée de définir des standards techniques, distingue trois fonctions : établir l’identité, vérifier que la personne est bien celle qu’elle affirme être, puis transmettre certaines informations entre services. Il précise que l’analyse doit couvrir les risques liés au service, mais aussi ceux introduits par le système d’identité lui-même.

Ces deux dimensions sont posées dès le départ. Un dispositif d’identification ajoute ses propres points de défaillance.

Un verrou autant qu’une clé

Dans plusieurs pays africains, l’identité numérique est utilisée pour accéder à différents services, notamment les programmes sociaux, la fiscalité ou les paiements. Cette utilisation modifie la manière dont l’accès est accordé.

Lorsque la procédure échoue, l’accès est refusé, même si la personne est légitime. Le NIST demande d’identifier dès la conception les catégories d’utilisateurs, les actions qu’elles peuvent réaliser et les entités qui peuvent être affectées en cas de défaillance.

Ces éléments sont définis en amont du déploiement.

Une chaîne technique à chaque étape

Un système d’identité numérique repose sur une suite d’opérations. Les informations sont collectées, puis vérifiées. Un identifiant est attribué. L’accès est ensuite contrôlé à chaque utilisation, et certaines données peuvent être transmises à d’autres services.

Chaque étape implique des choix concrets. Les documents acceptés, les contrôles appliqués ou la manière dont les données sont conservées influencent directement l’accès au service. Selon ces choix, certains utilisateurs passent sans difficulté, d’autres rencontrent des obstacles.

Des acteurs multiples, une responsabilité partagée

Ces systèmes mobilisent plusieurs acteurs. Des administrations, des opérateurs techniques, des institutions financières et des prestataires spécialisés interviennent à différents niveaux. Certaines fonctions peuvent être assurées par des fournisseurs externes.

Le NIST indique que ces configurations doivent être documentées. Les écarts par rapport aux standards retenus doivent être explicités, tout comme les contrôles mis en place pour les compenser. Lorsqu’un système utilise des technologies comme l’intelligence artificielle, les méthodes employées et les données utilisées doivent être décrites.

Les rôles et les responsabilités doivent être clairement établis et partagés entre les acteurs.

Ce que le contexte africain ajoute

Un système d'identité numérique fonctionne à partir des données qu'il peut collecter et vérifier. Si les documents requis à l'enregistrement ne sont pas disponibles, une partie des utilisateurs ne peut pas entrer dans le système. Si la connexion est instable, l’authentification peut échouer au moment de l’accès. Ces deux points de défaillance sont présents dans des pays où la couverture en état civil reste incomplète et où les infrastructures numériques varient selon les territoires.

Le résultat est conséquent : le système ne peut pas inclure les utilisateurs qu’il ne parvient pas à enregistrer ou à authentifier. Là où l'identité numérique est conçue comme un point d'accès commun aux services publics, cette exclusion ne relève pas uniquement d’une anomalie technique; elle influence directement qui accède aux services et qui n'y accède pas.

Ces défaillances ne se voient pas toujours depuis l'administration centrale. Un utilisateur qui échoue à s'enregistrer ou qui abandonne en cours de procédure peut ne pas apparaître clairement dans les données disponibles. Le NIST recommande précisément de mesurer la performance des systèmes à partir d'indicateurs comme les taux d'échec à l'identification, les abandons et les demandes de recours. Ces données permettent d'identifier, en pratique, quels groupes d'utilisateurs le système ne parvient pas à servir.

Des mécanismes de recours

Un système sans mécanisme de recours peut laisser certaines situations sans solution. Une erreur peut empêcher l’accès à un service et rendre sa correction difficile.

Le NIST prévoit que ces mécanismes soient accessibles et documentés. Les utilisateurs doivent pouvoir faire examiner leur situation. Dans certains cas, une intervention humaine peut compléter les processus automatisés afin de traiter des situations particulières.

Ces dispositifs influencent la capacité du système à s’adapter aux cas réels.

Ce que cela implique

L’identité numérique peut faciliter l’accès aux services et simplifier certaines démarches administratives. Son déploiement implique des choix techniques et réglementaires qui influencent directement les conditions d’accès.

Les cadres existants, dont celui du NIST, mettent l’accent sur une évaluation continue. Le fonctionnement réel du système et les écarts observés après déploiement sont les principaux points d’attention.

Sources

National Institute of Standards and Technology, Digital Identity Risk Management, SP 800-63-4.