Architecture du consentement

Le consentement n'est pas une case à cocher.

Le RGPD l'exige depuis 2018 ; EHDS Article 71 l'a rendu applicable l'an dernier. Decentralized Key Management est la seule architecture capable d'honorer le retrait du consentement par-delà les frontières institutionnelles.

Réserver une revue d'architecture du consentement de 30 minutes

Cinq régimes convergeant dans une fenêtre de 24 mois

Le consentement n'est plus un simple avantage organisationnel. À travers l'Europe et la Suisse, cinq régimes réglementaires distincts ont fait de l'opt-out une obligation légale contraignante — et chacun a été rédigé indépendamment des autres. Ils partagent une caractéristique : ils supposent que le responsable du traitement peut cesser d'utiliser des données identifiables à la demande, propager cet arrêt à chaque partie en aval et en apporter la preuve ultérieurement. L'infrastructure d'identité centralisée n'a jamais été conçue pour l'une de ces garanties.

  • EHDS Article 71

    En vigueur depuis le 26 mars 2025

    L'opt-out comme droit légal ; l'Article 71(8) interdit les registres de ré-identification ; le Considérant 54 impose la réversibilité.

  • GDPR Art 7(3) + Art 17(2)

    En vigueur depuis le 25 mai 2018

    Le retrait doit être aussi aisé que l'octroi du consentement ; les responsables du traitement doivent propager l'effacement à chaque destinataire en aval.

  • eIDAS 2.0 Article 5a

    En vigueur le 20 mai 2024\xC2\xA0; portefeuilles d'ici le T4 2026

    Portefeuilles d'identité contrôlés par le citoyen avec divulgation sélective et obligations de non-corrélation imposées aux parties utilisatrices.

  • FADP / HFG suisses

    FADP en vigueur au 1er septembre 2023\xC2\xA0; révision HFG en consultation

    Obligation de retrait du consentement pour les utilisations secondaires de recherche\xC2\xA0; interdiction explicite de ré-identification des données pseudonymisées.

  • PDSG allemand

    En vigueur depuis le 20 octobre 2020

    Accès contrôlé par le patient aux dossiers ePA\xC2\xA0; opt-out granulaire par catégorie de données opposable à tous les prestataires.

Chacun pris isolément est gérable. Ensemble, ils rendent l'architecture CA centralisée insuffisante.

Les cinq invariants d'ingénierie

Lisez les cinq régimes comme le ferait un ingénieur. Retirez le langage juridique et ce qui demeure est une liste de cinq invariants techniques que l'infrastructure de mise en œuvre doit satisfaire. Aucun de ces invariants n'est optionnel. Aucun ne peut être négocié par un langage contractuel raisonnable. Chacun est nommé, par clause, dans le droit primaire.

Five engineering invariants: X.509 PKI vs Federated IAM vs DKMS Comparaison : quelle architecture satisfait quel invariant d'ingénierie. X.509 en satisfait zéro. La fédération en satisfait zéro (la propagation uniquement en violant la non-corrélation). DKMS satisfait les cinq. Invariant d'ingénierie X.509 PKI IAM fédéré DKMS Identifiants à portée personnelle i Opt-out vérifiable avec horodatage Réversibilité sans ré-identification Propagation inter-responsables i i i Non-corrélation i i i eIDAS 2.0 Art 5a engineering invariants -- X.509 satisfies 0/5, Federation 0/5, DKMS 5/5 Vereign AG -- Engineering Invariants for Lawful Consent

Cliquer sur un (i) pour le raisonnement · Cliquer pour agrandir le diagramme

Five engineering invariants: X.509 PKI vs Federated IAM vs DKMS Comparaison : quelle architecture satisfait quel invariant d'ingénierie. X.509 en satisfait zéro. La fédération en satisfait zéro (la propagation uniquement en violant la non-corrélation). DKMS satisfait les cinq. Invariant d'ingénierie X.509 PKI IAM fédéré DKMS Identifiants à portée personnelle i Opt-out vérifiable avec horodatage Réversibilité sans ré-identification Propagation inter-responsables i i i Non-corrélation i i i eIDAS 2.0 Art 5a engineering invariants -- X.509 satisfies 0/5, Federation 0/5, DKMS 5/5 Vereign AG -- Engineering Invariants for Lawful Consent

Pourquoi X.509 ne peut pas fournir des identifiants à portée personnelle

X.509 identifie les entités via des certificats émis par une Autorité de Certification, et non via des clés contrôlées par le sujet. Le citoyen n'a aucune agence architecturale au niveau de la racine de confiance — l'AC décide qui est qui. EHDS Considérant 54 et eIDAS 2.0 Article 5a exigent des identifiants contrôlés par le sujet ; X.509 ne satisfait cette exigence qu'en enveloppant la PKI dans une cérémonie côté sujet que le protocole sous-jacent ne prend pas en charge nativement.

Pourquoi X.509 ne peut pas propager le retrait

X.509 ne dispose d'aucune primitive native de propagation. La révocation se propage via des CRL et des répondeurs OCSP que chaque vérificateur doit choisir explicitement de consulter — et il n'existe aucun moyen de remonter une révocation vers les données déjà partagées. Une fois qu'un certificat a signé l'autorisation pour un flux de données, le retrait reste à la discrétion du vérificateur.

Pourquoi X.509 viole la non-corrélation

Chaque certificat X.509 porte un numéro de série stable et un DN d'émetteur visibles par chaque vérificateur. Deux parties utilisatrices peuvent corréler le même sujet à travers les transactions en comparant les numéros de série. La pseudonymisation exige une nouvelle émission, qui est opérationnellement coûteuse — la corrélation est ici un choix de conception, pas un défaut.

Pourquoi la fédération ne satisfait que partiellement la propagation

L'IAM fédéré satisfait la propagation inter-responsables uniquement en violant la non-corrélation — le fournisseur d'identité voit chaque connexion auprès de chaque partie utilisatrice, créant une surface de corrélation inter-RP interdite (eIDAS 2.0 Art 5a(16)(b)). La propagation via fédération est donc comptée comme non satisfaite.

Pourquoi la fédération ne peut pas fournir la non-corrélation

Un fournisseur d'identité fédéré voit chaque tentative de connexion auprès de chaque partie utilisatrice. Même si les identifiants individuels sont pseudonymes, l'IdP détient par construction le graphe de corrélation inter-RP. eIDAS 2.0 Article 5a(16)(b) interdit précisément cette surface.

Comment DKMS propage le retrait

Les autorisations se chaînent au journal d'événements de clés (KEL) du sujet. Lorsque le sujet effectue une rotation de clé, chaque vérificateur en aval qui revérifie le KEL au moment du traitement voit la rotation et traite les justificatifs obsolètes comme invalides. Aucun push d'opérateur, aucun registre central — la propagation est un verifier-pull au moment de l'utilisation.

Comment DKMS préserve la non-corrélation

Les sujets peuvent générer un AID frais pour chaque partie utilisatrice. Le KEL derrière chaque AID est indépendant — il n'existe aucun registre central d'identité et aucun IdP qui voit chaque transaction. La corrélation inter-RP nécessite que le sujet lie délibérément les AID.

  1. Identifiants à portée personnelle

    L'identifiant que la personne concernée contrôle doit être la racine de confiance, et non un identifiant émis par une partie utilisatrice. L'EHDS Considérant 54 et eIDAS 2.0 Article 5a le nomment tous deux explicitement : le citoyen doit pouvoir agir sans que le responsable du traitement doive le rechercher dans un registre séparé. Toute architecture qui dépend du responsable pour générer et stocker l'identifiant échoue à ce test dès le premier jour.

  2. Opt-out vérifiable avec horodatage

    Le retrait doit être un événement signé cryptographiquement et horodaté que le régulateur (et un futur tribunal) peut vérifier sans se fier aux journaux du responsable du traitement. L'article 7(3) du GDPR le rend explicite : le responsable supporte la charge de la preuve. Une ligne dans une base de données interne ne constitue pas une preuve devant un forum où le responsable est le défendeur.

  3. Réversibilité sans ré-identification

    Le Considérant 54 de l'EHDS exige que l'opt-out reste réversible — le citoyen peut se réinscrire — sans que quiconque ait besoin de ré-identifier les données sous-jacentes. Cela requiert que l'opt-out opère contre un justificatif que la personne contrôle, et non contre une table de correspondance côté serveur. Les registres de consentement centralisés échouent ici structurellement.

  4. Propagation inter-responsables

    L'article 17(2) du GDPR et l'EHDS Article 71 exigent tous deux que le retrait se propage à chaque destinataire en aval. En pratique, cela signifie que le responsable initial ne peut pas simplement mettre à jour sa ligne locale — chaque partie ayant jamais reçu les données doit ré-authentifier l'autorisation et constater qu'elle a été révoquée. La fédération ne peut réaliser cela qu'en partageant des identifiants, ce qui viole l'invariant suivant.

  5. Non-corrélation

    eIDAS 2.0 Article 5a interdit aux parties utilisatrices de corréler le même citoyen entre des transactions distinctes sans consentement. L'Article 71(8) de l'EHDS exclut l'identifiant inter-organisationnel centralisé qui rendrait la propagation fédérée triviale. Les deux invariants ensemble — propager, mais ne pas corréler — sont ce qui met fin aux architectures conventionnelles.

X.509 satisfait zéro. La fédération satisfait la propagation en violant la non-corrélation. DKMS satisfait les cinq.

Le piège de l'Article 71(8)

La réponse intuitive d'ingénierie à « honorer l'opt-out à travers le réseau » est de tenir une liste des identifiants ayant opté pour le retrait — un registre de non-traitement maintenu de manière centralisée que chaque système en aval interroge avant de toucher un enregistrement. L'Article 71(8) de l'EHDS interdit précisément cette construction. La clause interdit aux responsables de données d'acquérir ou de stocker des données d'identification supplémentaires dans le seul but d'honorer les opt-outs.

Le raisonnement, rendu explicite dans le Considérant 54, est que le registre lui-même devient une base de données de ré-identification — le préjudice même que la réglementation visait à prévenir. Dès lors qu'on tient une liste des « personnes ayant opté pour le retrait », on a reconstitué le point de concentration central. L'implication structurelle est inévitable : le signal d'opt-out doit voyager avec un justificatif que la personne contrôle, et non dans une liste que le responsable maintient.

The DKMS thesis DKMS est la réponse

DKMS est le premier fondement structurellement solide pour honorer le retrait du consentement de bout en bout dans des conditions inter-organisationnelles, post-divulgation, sous surveillance réglementaire.

(Decentralized Key Management s'appuie sur KERI, une spécification ouverte de la Trust over IP Foundation.)

Comment cela fonctionne\xC2\xA0:

  1. L'AID de contrôle de l'utilisateur est la racine de confiance. Les autorisations y sont chaînées cryptographiquement, et non à un compte émis par le responsable.
  2. Chaque autorisation est ancrée dans le journal d'événements clés (KEL) de l'AID — un enregistrement en ajout seul, chaîné par hachage, dont la personne peut prouver l'état unilatéralement.
  3. Le retrait est une rotation de clé que la personne effectue elle-même. L'ancienne clé est invalidée ; l'événement de rotation est signé et horodaté dans le KEL.
  4. Les parties en aval détenant des justificatifs obsolètes doivent ré-authentifier l'état du KEL le plus récent. Le retrait se propage en échouant fermé à chaque vérificateur en aval.

Rien dans le protocole ne nécessite un opérateur central. Rien n'exige que les parties utilisatrices partagent des identifiants. Rien n'oblige le régulateur à faire confiance aux journaux du responsable plutôt qu'à ceux de la personne. Chacun des cinq invariants est satisfait par construction, et non par audit.

Là où DKMS domine — et là où il n'offre aucun avantage

L'honnêteté sur le périmètre est ce qui rend la thèse défendable. DKMS domine dans quatre conditions : les flux de données inter-organisationnels, le retrait post-divulgation, le traitement sous surveillance réglementaire et les contreparties adversariales. En dehors de ces conditions — charges de travail mono-tenant, artefacts dérivés comme les poids de modèles ML entraînés, sauvegardes déjà effectuées avant le retrait, et contreparties malhonnêtes agissant seules — DKMS offre une détection forensique mais non une prévention.

Là où DKMS domine Là où DKMS n'offre aucun avantage Flux de données inter-organisationnels Cliquer sur une ligne pour le raisonnement Persistance du consentement post-divulgation Cliquer sur une ligne pour le raisonnement Garde à caractère déterminant pour le régulateur Cliquer sur une ligne pour le raisonnement Les parties composent DKMS de bout en bout Cliquer sur une ligne pour le raisonnement Dérivés (analytique, poids ML) Cliquer sur une ligne pour le raisonnement Sauvegardes déjà effectuées Cliquer sur une ligne pour le raisonnement Contrepartie malhonnête isolée Cliquer sur une ligne pour le raisonnement Charges de travail mono-tenant Cliquer sur une ligne pour le raisonnement Là où DKMS domine — et là où il n'offre aucun avantage. Cliquer sur une ligne pour le raisonnement.

Flux de données inter-organisationnels

L'effacement côté opérateur ne peut pas atteindre les données déjà partagées avec des parties en aval. DKMS étend le chiffrement contrôlé par le détenteur à travers la chaîne de traitement — chaque récepteur vérifie le KEL au moment de l'utilisation. Le CMK centralisé ne fournit l'effacement qu'à l'intérieur des frontières du tenant de l'opérateur.

Persistance du consentement post-divulgation

L'EUDIW ARF §6.6 reconnaît explicitement que le retrait ne remet pas rétroactivement en cause un traitement antérieur licite. DKMS réduit cet écart : les vérificateurs contrôlent le KEL publié au moment du traitement, de sorte que les justificatifs obsolètes deviennent auditables comme tels. La primitive architecturale est pilotée par le détenteur, non par l'opérateur.

Garde à caractère déterminant pour le régulateur

Schrems II / Recommandations 01/2020 du CEPD Cas d'usage 3 exigent que l'importateur de données ne détienne PAS les clés. Le CMK centralisé échoue à ce test par définition (par exemple, données de santé américaines dans Azure sous l'accès FISA 702). DKMS fait de la garde des clés une propriété du côté du détenteur — l'importateur ne peut pas déchiffrer sans l'état KEL continu du détenteur.

Les parties composent DKMS de bout en bout

L'architecture n'est pertinente que si toutes les parties l'appliquent. Un vérificateur qui ignore le KEL annule la chaîne. Lorsque toutes les parties composent DKMS, le retrait se propage par simple re-vérification — aucun opérateur n'a besoin de « pousser » la suppression.

Dérivés (analytique, poids ML)

L'Avis 28/2024 du CEPD confirme explicitement que les obligations d'effacement ne se propagent pas proprement aux poids du modèle une fois l'entraînement effectué. DKMS n'offre aucune couverture supérieure au CMK ici. Le retrait ne peut pas remettre rétroactivement en cause les sorties analytiques ou les rapports réglementaires déjà déposés.

Sauvegardes déjà effectuées

Aucune architecture ne peut rappeler des données déjà répliquées sur des supports de sauvegarde hors ligne ou immuables. Le chiffrement au repos suivi de la destruction des clés gère les résidus dans la fenêtre de rétention\xC2\xA0; il ne récupère pas les archives à long terme. DKMS ne modifie pas cette propriété fondamentale.

Contrepartie malhonnête isolée

DKMS fournit une détection forensique (les signatures postérieures à une rotation de clé publiée sont auditables comme obsolètes) mais non une prévention. Un sous-traitant entièrement non-coopératif qui déchiffre le texte en clair et le stocke hors de l'enveloppe chiffrée annule la chaîne — DKMS met en évidence la violation plutôt que de la bloquer.

Charges de travail mono-tenant

Pour un SaaS sous un seul responsable, l'effacement cryptographique NIST SP 800-88 §2.5 via CMK centralisé est adéquat et plus simple. Passer à DKMS ajoute une charge opérationnelle sans bénéfice architectural lorsqu'il n'y a pas de frontières inter-domaines de confiance.

En dehors des quatre conditions où DKMS domine, le CMK centralisé est rationnel. Le dire rend la thèse plus solide.

Preuve de production

HIN — Health Info Net — est l'épine dorsale suisse de l'information de santé, reliant hôpitaux, cliniques et prestataires spécialisés au-delà des frontières cantonales. SEAL, la couche de remise d'e-mails vérifiable que Vereign fournit au sein de HIN, est en production aujourd'hui et achemine plus de 800 000 messages vérifiés par mois — la preuve que Vereign exploite déjà une infrastructure de niveau production au cœur du système de santé suisse.

Stargate, le runtime de Decentralized Key Management qui amène en exploitation le mécanisme de retrait en quatre étapes décrit ci-dessus, entre en production anticipée en juin 2026.

La couche FHIR de Stargate — les mêmes garanties appliquées à l'échange de dossiers cliniques, et non plus seulement aux messages — relève aujourd'hui de l'architecture. Sa mise en production dépend de l'onboarding côté hôpital ; la date la plus réaliste est septembre 2026.

Cinq incidents qui prouvent le schéma structurel

  1. Kaiser Foundation Health Plan — règlement d'action collective de 47,5 millions USD (2026). Des données du portail patient ont été transmises à des plateformes publicitaires via des pixels de suivi intégrés. L'architecture ne disposait d'aucun mécanisme permettant à la personne de révoquer la propagation en aval.
  2. Sutter Health — règlement d'action collective de 21,5 millions USD (2026). Même schéma : balises tierces côté portail, aucune primitive de révocation contrôlée par la personne, aucun moyen de prouver le non-traitement après coup.
  3. NHS National Data Opt-Out (2021) — admission de non-rétroactivité ; le programme GPDPR a été retardé car l'architecture ne pouvait pas honorer le retrait concernant des données déjà partagées avec des chercheurs en aval.
  4. SingHealth (2018) — 1,5 million de dossiers violés parce que les données patients résidaient dans une seule base de données monolithique sans frontières cryptographiques par patient. La personne n'avait rien à révoquer ; il n'y avait aucune clé à faire pivoter.
  5. DigiNotar (2011) — la compromission de l'autorité de certification racine a conduit les navigateurs à ne plus faire confiance à aucun certificat jamais émis par cette AC. Les personnes n'avaient aucune agence architecturale : leurs identifiants et relations de confiance étaient entièrement contrôlés par l'opérateur.

Chaque incident centralisé partage une caractéristique : l'utilisateur ne disposait d'aucune agence architecturale.

Par où commencer

Si votre organisation traite des données personnelles identifiables de santé, financières ou réglementées et est exposée à l'un des cinq régimes ci-dessus, la prochaine étape est une revue d'architecture de 30 minutes. Nous comparons votre flux de consentement actuel aux cinq invariants, identifions les lacunes et vous disons honnêtement si DKMS est la bonne réponse pour votre environnement.

Réserver une revue d'architecture du consentement de 30 minutes Télécharger la thèse sur le consentement (PDF, 24 pages)

Pour votre secteur

Application du consentement dans la santé

En savoir plus

Application du consentement dans la finance

En savoir plus

Questions fréquentes

Que requiert l'EHDS Article 71 ?
L'EHDS Article 71 (en vigueur depuis le 26 mars 2025) donne à chaque citoyen de l'UE le droit de s'opposer à l'utilisation secondaire de ses données de santé identifiables. L'Article 71(8) interdit aux responsables de données d'acquérir des données d'identification supplémentaires dans le seul but d'honorer l'opt-out — excluant les implémentations centralisées de « liste d'identifiants ayant opté pour le retrait » car la liste elle-même est un enregistrement de ré-identification prohibé. Le Considérant 54 impose que l'opt-out soit réversible et sans condition de forme.
Pourquoi un registre de consentement centralisé ne peut-il pas fonctionner\xC2\xA0?
L'Article 71(8) l'interdit explicitement. Le registre lui-même devient un enregistrement de ré-identification — précisément ce que la réglementation visait à prévenir. La réponse structurelle requiert des identifiants contrôlés par la personne, et non une liste contrôlée par un opérateur central.
DKMS garantit-il l'application du consentement\xC2\xA0?
Non. DKMS est le premier fondement structurellement solide pour honorer le retrait du consentement de bout en bout dans des conditions inter-organisationnelles, post-divulgation, sous surveillance réglementaire. En dehors de ces conditions — charges de travail mono-tenant, dérivés comme les poids de modèles ML, sauvegardes déjà effectuées, contreparties malhonnêtes agissant seules — DKMS offre une détection forensique mais non une prévention.
Comment DKMS interopère-t-il avec des contreparties X.509 / S/MIME\xC2\xA0?
Via des passerelles S/MIME ancrées dans KERI qui permettent au retrait de se propager auprès des parties utilisant X.509. La passerelle ancre le certificat X.509 à un AID KERI ; le retrait du consentement déclenche la rotation de clé de l'AID ; les vérificateurs X.509 en aval doivent récupérer et ré-authentifier.