WO2022268741A1 - Procede et ensemble permettant a des terminaux utilisateurs d'echanger en toute confidentialite des donnees personnelles avec une plateforme de serveur - Google Patents
Procede et ensemble permettant a des terminaux utilisateurs d'echanger en toute confidentialite des donnees personnelles avec une plateforme de serveur Download PDFInfo
- Publication number
- WO2022268741A1 WO2022268741A1 PCT/EP2022/066766 EP2022066766W WO2022268741A1 WO 2022268741 A1 WO2022268741 A1 WO 2022268741A1 EP 2022066766 W EP2022066766 W EP 2022066766W WO 2022268741 A1 WO2022268741 A1 WO 2022268741A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- identity
- data
- key
- management server
- unique
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000036541 health Effects 0.000 claims abstract description 10
- 238000007726 management method Methods 0.000 claims description 71
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000013523 data management Methods 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 2
- 238000010200 validation analysis Methods 0.000 claims description 2
- 239000000470 constituent Substances 0.000 abstract 1
- 230000008901 benefit Effects 0.000 description 5
- 238000004883 computer application Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Definitions
- the present invention relates to a method and to an assembly, or information system, allowing user terminals to exchange personal data with a platform of servers whose architecture guarantees that none of the servers which it does not store all the data associated with the same identity.
- This process and this information system advantageously find application for the exchange of sensitive personal data, for example, but not limited to, in the field of health (the separation offered by the invention of the identity data of on the one hand, and medical data on the other, guarantees the confidentiality of the medical file).
- the present invention is placed in this context and aims to overcome the drawbacks of known architectures.
- the subject of the invention is a personal data communication method implemented by an information system comprising a user terminal, and a set of servers, in which the set of servers comprises at least one identity management server, one key management server and one data management server, each having an attached database.
- the method is remarkable in that it comprises the following steps, for the storage of identity information: a. transmission, by the identity provider system to the identity management server, of a request to store identity information, b. in response to the storage request: transmission, by the identity management server to the key management server, of a request to generate a pair of associated unique keys, and, vs. in response to the generation request: generation, by the key management server, of a pair of associated unique keys, namely a unique identity key and a unique data key; storage, by the key management server, of this pair of unique keys in its attached database; and transmission, by the key management server to the identity management server, of only the unique identity key; d. upon receipt of the unique identity key: storage, by the identity management server, of said unique identity key in its attached database by associating it with said identity information, the database attached to the data server being intended to store only data associated with unique data keys.
- the method comprises the following steps, for the search for identity information: a. transmission, by the user terminal to the identity management server, of a search request containing at least partial identity information; b. in response to the search request: search, by the identity management server, for identity information in its attached database from said at least partial identity information; and transmission, by the identity management server to the user terminal, of said found identity information and of the associated unique identity key; vs. upon receipt of the unique identity key: transmission, by the user terminal to the key management server, of a request for retrieval of the associated unique data key, said retrieval request containing the unique key of identify ; d.
- the invention proposes a method and an information system which are part of a strategy for eliminating the residual risk encountered by known architectures by partitioning the data between different servers, each of them not having access only to a subset of the personal data that does not make it possible to reconstitute the whole.
- This process comprises the following steps: a. 1) the identity provider sends the identity server a request to store identity information, b. 2) the identity server sends to the key server a request to generate a pair of associated unique keys: an identity key and a data key c. B) the key server returns the unique identity key to the identity server, and the latter registers it by associating it with the identity information concerned, d. 4) the user terminal performs a search with the identity server e.
- the identity server sends back to the user terminal the identity information found and the associated unique identity key f.
- the user terminal sends to the key server a request for retrieval of the unique data key associated with the unique identity key g.
- the user terminal receives the unique data key returned by the key server h. 8) the user terminal sends a request to the data server with the unique data key i. 9) the data server sends back to the user terminal the data associated with the unique data key
- An advantage of the invention is to allow the use of dedicated or public "Cloud” resources, taking advantage of the functional and technological richness of the services they offer, while preserving the confidentiality of the personal data stored. from the host's point of view of each of the servers.
- Another advantage of the invention is to increase the overall level of security of the information system by reducing the attack surface of each server and by significantly increasing the complexity of an attack on the service platform. implementing the process.
- database means any structured collection of data stored on a single physical computer medium or several separate media, regardless of the type of its structure, the type of software database management system or the type of computer hardware on which the data is stored, the server to which this database is attached can thus access this data, carry out searches and extract all or part of the data which are stored there.
- a database can reside on the same medium as the server to which it is attached or it can reside on a remote medium which this server can access via a wireless communication network.
- the identity provider system may be, for example and not limited to, a computer system of a reception service for people, such as a patient admission computer system of a entry office of a hospital department, capable of receiving identity information from said persons.
- the or each user terminal can be any type of fixed or mobile terminal, and in particular of the desktop or portable computer type, tablet, smartphone, connected watch, or any other type of object. appropriate electronics, etc., the terminal possibly being capable of being used by a human operator. If necessary, the user terminal may transmit its requests to the various servers of the information system through a computer service, interfaced between the mobile terminal and these servers, such as the IT department of a hospital or clinic.
- the or each user terminal may be equipped with a processor capable of implementing a software program or a computer application, installed beforehand or which can be downloaded from a program library or which can be accessed from a browser. Internet.
- the method according to the invention may for example comprise a step of displaying an input interface, by an operator, of at least one item of information, total or partial, of identity, which will then be integrated into the search request transmitted by the user terminal to the identity management server.
- the or each user terminal may include a software interface capable of collecting, from another information system, at least one information, total or partial, of identity, which will then be integrated into the search request transmitted by the user terminal to the identity management server.
- the or each user terminal may transmit a search request for a unique identity, in particular containing at least complete identity information, such as a first and last name, or a search request for a plurality of identities, in particular containing at least partial identity information, such as all male persons.
- the identity management server will be able to search, in its attached database, for all the identity information corresponding to this partial identity information and transmit the identity information found and the unique keys. associated, the subsequent steps of the method according to the invention then being implemented for each of these unique keys.
- the database attached to the identity management server only contains identity information and unique identity keys
- the database attached to the key management server only contains unique key pairs. of identities and data
- the database attached to the data management server contains only data and unique keys of data.
- the data stored in the database attached to the data management server are personal data from which it is substantially not possible to identify, directly or indirectly, the people to whom they belong.
- the data stored in the database attached to the data management server includes health data, or even consists exclusively of health data.
- the identity information stored in the database attached to the identity management server is personal data from which it is possible to identify, directly or indirectly, the persons to whom they belong.
- the identity information stored in the database attached to the identity management server include, for each identity, at least one of the following elements: birth name, User name, First names, Date of birth, Place of birth, Nationalities, Gender, Addresses, Telephone numbers .
- the identity information stored in the database attached to the identity management server includes, for each identity, a national identification number, in particular a national health identification number (or INS).
- the identity information is composed of the identity traits of a natural person, defined as all the characteristics which make it possible to recognize a natural person and to establish his individuality with regard to a law, a regulation or a standard (date and place of birth, surname, first name, parentage, etc.). These elements can be attested by official civil status documents.
- the digital identity corresponds to the representation of a physical individual in an information system.
- the third-party identity provider When the third-party identity provider is a healthcare establishment (or a group of healthcare establishments), it can, for example, also transmit at least one digital identifier from its repository, in particular for example, but not limited to GIRR (Permanent Patient Identifier) or INS (National Health Identity).
- GIRR Periodent Patient Identifier
- INS National Health Identity
- the method comprises the following steps, for the storage of data associated with at least one identity: a. transmission, by the user terminal to the identity management server, of a search request containing at least partial identity information; b. in response to the search request: search, by the identity management server, for identity information in its attached database from said at least partial identity information; and transmission, by the identity management server to the user terminal, of said found identity information and of the associated unique identity key; vs. upon receipt of the unique identity key: transmission, by the user terminal to the key management server, of a request for retrieval of the unique associated data key, said retrieval request containing the unique key of identify ; d.
- the method further comprises at least one user authentication step.
- This step may be implemented prior to the step of transmission, by the user terminal, of the search request, the authentication step being implemented via the mobile terminal.
- the authentication step may include a sub-step for displaying an interface for entering authentication information, on the user terminal, and a sub-step for verifying the identification information entered.
- an authentication server in particular separate from the identity management, key management and data management servers.
- the authentication step could be implemented by a single (or SSO) and/or decentralized (such as OpenID) authentication system.
- the method also comprises validation with the external authentication system, by at least one of the servers, of the requests that it receives.
- an authentication token may be delivered by the authentication server to the user terminal, and this token will be included in each of the requests transmitted by the user terminal to the various servers of the information system during the implementation of the steps of the method according to the invention.
- each server When receiving a request, each server will verify the validity of the authentication token with the authentication server and will transmit its response only in the event of a positive response from the authentication server.
- At least one of said servers is a “Cloud Computing” type server.
- the present invention will advantageously find an industrial application by using three separate “Cloud” hosts for each of the three servers of the assembly, object of the invention: thus the data protection conferred by the strict separation made possible by the method will be maximum.
- the invention also relates to an information system for implementing the method according to the invention, comprising at least one user terminal, as well as at least one identity management server, a key management and a data server, wherein: a. each user terminal communicates with the identity management server by exchanging only identity information and a unique identity key associated with this identity information; b. each user terminal communicates with the key management server by exchanging only a unique identity key and a unique data key together forming a pair of unique keys c. each user terminal communicates with the data management server by exchanging data of any type with the exception of identity information and identity keys.
- the invention also relates to a computer program product downloadable from a communication network, and/or stored on a medium readable by computer, tablet or smartphone, and/or executable by a microprocessor, and characterized by that he includes program code instructions for implementing the method of the invention.
- FIG. 1 illustrates the general architecture of an information system according to one possible embodiment.
- FIG. 1 is a sequence diagram representing an embodiment of the method according to the invention.
- FIG 3 illustrates an example of data recording in the identity server before and after the association of the identity key H(id).
- FIG 4 illustrates an example of data recording in the key server, associating the keys H(id) and 0.
- FIG 5 illustrates an example of data recording in the data server associated with the data key.
- the information system 1 comprises at least one user terminal 5, and a set of servers comprising at least one identity management server 2, a key management server 3 and a data management server 4, each having an attached database (not shown).
- the information system is interfaced with a computer system, to which the user terminal 5 belongs, as well as an identity provider system 1.
- the information system is used in the context of a clinical study conducted by a laboratory.
- the identity supplier system 1 could thus be a computer application or a software program of the laboratory computer system making it possible to enroll a subject in the clinical study and each user terminal could be a computer station, a mobile computer, a smartphone or a digital tablet belonging to this computer system allowing a user to consult and/or store data, which may be identity information and/or clinical data collected during the study. It goes without saying that the possibility given to a user to consult or store clinical data and/or identity information will depend on the rights that will be granted to him, with regard to the role he fulfills vis-à-vis the clinical study.
- the information system be used in the context of health data management of a hospital or a clinic, the identity provider system 1 thus being able to be an admission module of the patient of the computer system of the hospital or of the clinic, and each user terminal being a computer station, a mobile computer, a smartphone or a digital tablet belonging to this computer system and likely to be used by medical personnel to consult or store health data of admitted patients.
- each user terminal 5 can make requests to servers 2, B and 4 and receive responses from these servers through a computer application or a software program, installed on the user terminal or accessible from an internet browser, the application or the software communicating with the servers through a wireless connection, each server being a “cloud computing” type server.
- the database attached to the identity management server 2 contains only information about the identities of the subjects of the study and unique keys. of identities, the database attached to the key management server 3 contains only unique key pairs of identities and data and the database attached to the data management server 4 contains only clinical data and keys unique data.
- each user terminal 5 must address one of the servers 2, 3 or 4 depending on the type of data that it wishes to store or consult, it being understood that none of the servers has at the both the identity information of the study subjects and the clinical data of these subjects collected during the study.
- each user terminal 5 communicates with the identity management server 2 by exchanging only identity information and a unique identity key associated with this identity information; b. each user terminal 5 communicates with the key management server 3 by exchanging only a unique identity key and a unique data key forming together a pair of unique keys c. each user terminal 5 communicates with the data management server 4 by exchanging data of any type with the exception of identity information and identity keys.
- step El for example implemented during the enrollment of a new subject, the system 1 transmits to the identity management server 2 a request for storage of identity information of said subject.
- Identity information may include one or more of the following: a. birth name b. Use name vs. First names d. Date of birth e. Place of birth f. Nationalities g. Sex h. Addresses i. Telephone numbers j. Existing ID numbers from third-party identity repositories
- the server 2 stores this identity information in its attached database, as shown in [Fig 3].
- the server 2 transmits to the key management server 3, a request to generate a pair of associated unique keys.
- step E2 when the server 3 receives this request, it generates a pair of unique keys using an ad hoc algorithm, for example, but not limited to, based on the time stamp ("timestamp ”) and a SHA-256 type hash function.
- time stamp time stamp
- SHA-256 type hash function One of the keys will be an identity unique key while the other will be a data unique key.
- the server 3 stores these 2 associated keys in its attached database and transmits, in a step E3, to the server 2 only one of the keys, namely the unique identity key.
- H(id) designates the unique identity key generated by the server 3, and sent to the server 2b.
- D denotes the unique data key generated by server 3, associated with H(id)
- server 2 receives the unique identity key H(id) from server 3 and adds it to the relevant identity information record, as shown in [Fig 3]. It may be envisaged that, as a variant, the storage of the identity information is carried out in step E3, concomitantly with the storage of the unique data key, rather than in step E1.
- the method allows the identity management server 2 to store only the identity information and H(id); it does not store any other personal data.
- the key management server 3 only stores the pairs of keys ⁇ H(id), D ⁇ ; it does not store any identity data or any other personal data.
- a step E4 the user terminal 5 transmits a search request to the identity management server 2 to carry out a search there, possibly using a parameter which may be partial identity information.
- the identity management server 2 performs the requested search and returns, to the user terminal 5, one or more results, according to its internal authorization rules. For each result obtained, the response sent back to the terminal by the identity server consists of: a. Identity information found, b. The H(id) key associated with this found identity information.
- step E6 the user terminal 5 interrogates the key management server B asking it to provide it with the unique data key D associated with the unique identity key H(id).
- step E7 if the request is valid with regard to its internal authorization rules, the server 3 returns the key D to the user terminal 5.
- a step E8 the user terminal 5 makes a request to the data management server 4 using the unique data key D.
- This could be a data consultation request. allowing the user of the terminal 5 to consult all or part of the data associated with the subjects sought during steps 4 and 5 and which are stored in the database attached to the server 4, or of a data storage request , allowing the user of the terminal 5 to store, in the database attached to the server 4, data of the subjects sought during steps 4 and 5 and collected during the study.
- the request is a data consultation request.
- the data management server 4 returns to the user terminal 5 the data associated with the unique data key D.
- the method makes it possible to guarantee the isolation of the data exchanged.
- the identity server only stores identity information and unique identity keys H(id).
- the key server only stores unique keys of identities H(id) and data D.
- the data server only stores data linked solely to unique data keys D and not to identity information, as shown in [Fig 5]
- the key server 3 and the data server 4 are hosted by three distinct service providers, so that none of these suppliers can have access to personal data linked to an identity.
- this system and this method offer an additional advantage. Indeed, a control body, such as an ethics committee, may need to consult both the identity information, which will be stored in the database of the server 2, and certain clinical data, such as the collection of informed consent which will be stored in the database of the server 4. The method thus allows this control instance to access this set of data.
- an operator of the study like the laboratory, must have access only to clinical data, and not to identity information. He can thus access the server 4 to consult these clinical data by a specific access channel, without having to use the method according to the invention, so that there is no risk of correlation between the identity information and clinical data for drawing study conclusions.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
La présente invention est relative à un procédé et à un ensemble permettant à des terminaux utilisateurs d'échanger des données personnelles avec une plateforme de serveurs dont l'architecture garantit qu'aucun des serveurs qui la composent ne stocke la totalité des données. L'ensemble de serveurs comporte au moins un serveur d'identités, un serveur de clés et un serveur de données. Le procédé comprend les étapes de : Stockage d'informations d'identités; Génération d'une paire de clés associées : clé d'identité et clé de données; Recherche des informations d'identités à partir de la clé d'identité; Recherche des données à partir de la clé de données. Le procédé et l'ensemble selon l'invention sont particulièrement destinés à la gestion des données de santé, sans toutefois y être limités.
Description
Description
PROCEDE ET ENSEMBLE PERMETTANT A DES TERMINAUX UTILISATEURS D'ECHANGER EN TOUTE CONFIDENTIALITE DES DONNEES PERSONNELLES AVEC
UNE PLATEFORME DE SERVEUR
[0001] La présente invention est relative à un procédé et à un ensemble, ou système d'information, permettant à des terminaux utilisateurs d'échanger des données personnelles avec une pla teforme de serveurs dont l'architecture garantit qu'aucun des serveurs qui la composent ne stocke la totalité des données associées à une même identité.
[0002] Ce procédé et ce système d'information trouvent avantageusement application pour des échanges de données personnelles sensibles, par exemple, mais non limitativement, dans le domaine de la santé (la séparation offerte par l'invention des données d'identité d'une part, et des données médicales d'autre part, garantit la confidentialité du dossier médical).
[0003] Classiquement, les applications traitant des données personnelles sont hébergées dans des ressources à distance : le « Cloud » (terminologie anglo-saxonne utilisée dans ce qui suit) - dédié ou public. Ceci permet d'offrir un accès fluide et sans faille à des ressources informa tiques externes (capacité de stockage, puissance de traitement, etc.).
[0004] Toutefois, ces architectures présentent un défaut majeur : les informations d'identité (nom, prénom, date de naissance, lieu de naissance, etc.) auxquelles sont rattachées les données « utiles » de l'application sont directement reliées entre elles au sein d'une même base de données hébergée. De ce fait, une fuite de données, que celle-ci soit due par exemple à un incident de cyber sécurité, présente un risque majeur immédiat pour la confidentialité des informations les utilisateurs.
[0005] Alors qu'il existe des moyens pour chiffrer au repos les données stockées, le risque résiduel lié à la perte de données confidentielles reste élevé dans la mesure ou aucune mesure d'anonymisation de ! ces données n'est mise en oeuvre.
[0006] La présente invention se place dans ce contexte et vise à pallier les inconvénients des archi tectures connues.
[0007] A ces fins, l'invention a pour objet un procédé de communication de données personnelles mis en oeuvre par un système d'information comportant un terminal utilisateur, et un en semble de serveurs, dans lequel l'ensemble de serveurs comprend au moins un serveur de gestion des identités, un serveur de gestion de clés et un serveur de gestion de données, chacun comportant une base de données attachée.
[0008] Le procédé est remarquable en ce qu'il comporte les étapes suivantes, pour le stockage d'informations d'identités : a. transmission, par le système fournisseur d'identités au serveur de gestion des identités, d'une demande de stockage d'informations d'identités, b. en réponse à la demande de stockage : transmission, par le serveur de gestion des identi tés au serveur de gestion de clés, d'une demande de génération d'une paire de clés uniques associées, et,
c. en réponse à la demande de génération : génération, par le serveur de gestion de clés, d'une paire de clés uniques associées, à savoir une clé unique d'identité et une clé unique de données ; stockage, par le serveur de gestion de clés de cette paire de clés uniques dans sa base de données attachées ; et transmission, par le serveur de gestion de clés au serveur de gestion des identités, de seulement la clé unique d'identité ; d. à la réception de la clé unique d'identité : stockage, par le serveur de gestion des identités, de ladite clé unique d'identité dans sa base de données attachée en l'associant auxdites informations d'identités, la base de données attachée au serveur de données étant desti née à stocker uniquement des données associées à des clés uniques de données.
[0009] Le procédé est également remarquable en ce qu'il comporte les étapes suivantes, pour la recherche d'informations d'identités : a. transmission, par le terminal utilisateur au serveur de gestion des identités, d'une de mande de recherche contenant au moins une information partielle d'identité ; b. en réponse à la demande de recherche : recherche, par le serveur de gestion des identités, d'informations d'identité dans sa base de données attachée à partir de ladite au moins une information partielle d'identité ; et transmission, par le serveur de gestion des iden tités au terminal utilisateur, desdites informations d'identité trouvées et de la clé unique d'identité associée ; c. à la réception de la clé unique d'identité : transmission, par le terminal utilisateur au ser veur de gestion de clés, d'une demande de récupération de la clé unique de données as sociée, ladite demande de récupération contenant la clé unique d'identité ; d. en réponse à la demande de récupération : transmission, par le serveur de gestion de clés au terminal utilisateur, de la clé unique de données associée à la clé unique d'identité ; e. à la réception de la clé unique de données, transmission, par le terminal utilisateur au serveur de gestion de données, d'une demande de données contenant la clé unique de données ; f. en réponse à la demande de récupération : transmission, par le serveur de gestion de données au terminal utilisateur, des données associées à la clé unique de données.
[0010] Ainsi, l'invention propose un procédé et un système d'information qui s'inscrivent dans une stratégie d'élimination du risque résiduel rencontré par les architectures connues en cloi sonnant les données entre différents serveurs, chacun d'eux n'ayant accès qu'à un sous- ensemble de la donnée personnelle ne permettant pas de reconstituer le tout. Ce procédé comprend les étapes suivantes : a. 1) le fournisseur d'identités envoie au serveur d'identités une demande de stockage d'in formations d'identités, b. 2) le serveur d'identités envoie au serveur de clés une demande de génération d'une paire de clés uniques associées : une clé d'identité et une clé de données c. B) le serveur de clés renvoie au serveur d'identités la clé unique d'identité, et celui-ci l'en registre en l'associant aux informations d'identités concernées,
d. 4) le terminal utilisateur effectue une recherche auprès du serveur d'identités e. 5)le serveur d'identité renvoie au terminal utilisateur les informations d'identité trouvées et la clé unique d'identité associée f. 6) le terminal utilisateur envoie au serveur de clés une demande de récupération de la clé unique de données associée à la clé unique d'identité g. 7) le terminal utilisateur réceptionne la clé unique de données renvoyée par le serveur de clés h. 8) le terminal utilisateur envoie une demande au serveur de données avec la clé unique de données i. 9) le serveur de données renvoie au terminal utilisateur les données associées à la clé unique de données
[0011] Un avantage de l'invention est de permettre l'utilisation de ressources « Cloud » dédié ou public, en tirant partie de la richesse fonctionnelle et technologique des services qu'ils pro posent, tout en préservant la confidentialité des données personnelles stockées du point de vue de l'hébergeur de chacun des serveurs.
[0012] Un autre avantage de l'invention est d'augmenter le niveau de sécurité global du système d'information en réduisant la surface d'attaque de chaque serveur et en augmentant signi ficativement la complexité d'une attaque de la plateforme de services implémentant le pro cédé.
[0013] Dans le contexte de la présente invention, on entend par "base de données" n'importe quelle collection structurée de données stockée sur un seul support physique informatique ou plusieurs supports distincts, indépendamment du type de sa structure, du type de logi ciel de gestion de base de données ou du type de matériel informatique sur lequel les don nées sont stockées, le serveur auquel cette base de données est rattachée pouvant ainsi accéder à ces données, y effectuer des recherches et en extraire tout ou partie des données qui y sont stockées. Une base de données peut résider sur le même support que le serveur auquel elle est rattachée ou elle peut résider sur un support distant auquel ce serveur peut accéder par un réseau de communication sans-fil.
[0014] Dans le contexte de la présente invention, le système fournisseur d'identités pourra être, par exemple et non limitativement, un système informatique d'un service de réception de personnes, comme un système informatique d'admission de patients d'un bureau des en trées d'un service hospitalier, susceptible de recevoir des informations d'identités desdites personnes.
[0015] Dans ce procédé, le ou chaque terminal utilisateur peut être n'importe quel type de termi nal fixe ou mobile, et notamment de type ordinateur de bureau ou portable, tablette, smartphone, montre connectée, ou tout autre type d'objet électronique approprié, etc., le terminal pouvant être susceptible d'être utilisé par un opérateur humain. Le cas échéant, le terminal utilisateur pourra transmettre ses demandes aux différents serveurs du système d'information au travers d'un service informatique, interfacé entre le terminal mobile et
ces serveurs, comme le service informatique d'un hôpital ou d'une clinique.
[0016] Avantageusement, le ou chaque terminal utilisateur pourra être équipé d'un processeur apte à mettre en œuvre un programme logiciel ou une application informatique, installé au préalable ou pouvant être téléchargée depuis une bibliothèque de programme ou encore pouvant être accessible depuis un navigateur internet. Lors de la mise en œuvre dudit pro gramme logiciel ou de ladite application informatique, le procédé selon l'invention pourra par exemple comporter une étape d'affichage d'une interface de saisie, par un opérateur, d'au moins une information, totale ou partielle, d'identité, laquelle sera ensuite intégrée à la demande de recherche transmise par le terminal utilisateur au serveur de gestion d'iden tités. En variante, le ou chaque terminal utilisateur pourra comporter une interface logi cielle apte à collecter, depuis un autre système d'information, au moins une information, totale ou partielle, d'identité, laquelle sera ensuite intégrée à la demande de recherche transmise par le terminal utilisateur au serveur de gestion d'identités.
[0017] Dans l'invention, le ou chaque terminal utilisateur pourra transmettre une demande de re cherche d'une identité unique, notamment contenant au moins une information d'identité complète, comme un nom et un prénom, ou une demande de recherche d'une pluralité d'identité, notamment contenant au moins une information d'identité partielle, comme l'ensemble des personnes de sexe masculin. Le cas échéant, le serveur de gestion des iden tités pourra chercher, dans sa base de données attachée, l'ensemble des informations d'identités correspondant à cette information d'identité partielle et transmettre les infor mations d'identités trouvées et les clés uniques associées, les étapes ultérieures du procédé selon l'invention étant alors mises en œuvre pour chacune de ces clés uniques.
[0018] Avantageusement, la base de données attachée au serveur de gestion des identités con tient uniquement des informations d'identités et des clés uniques d'identités, la base de données attachée au serveur de gestion de clés contient uniquement des paires de clés uniques d'identités et de données et la base de données attachée au serveur de gestion de données contient uniquement des données et des clés uniques de données.
[0019] Dans le contexte de la présente invention, les données stockées dans la base de données rattachée au serveur de gestion de données sont des données personnelles à partir des quelles il n'est sensiblement pas possible d'identifier, directement ou indirectement, les personnes auxquelles elles appartiennent.
[0020] De préférence, les données stockées dans la base de données rattachée au serveur de ges tion de données comportent des données de santé, voire consistent exclusivement, en des données de santé.
[0021] Dans le contexte de la présente invention, les informations d'identité stockées dans la base de données rattachée au serveur de gestion des identités sont des données personnelles à partir desquelles il est possible d'identifier, directement ou indirectement, les personnes auxquelles elles appartiennent.
[0022] De préférence toujours, les informations d'identité stockées dans la base de données
rattachée au serveur de gestion des identités comportent, pour chaque identité, au moins l'un des éléments suivants : Nom de naissance, Nom d'usage, Prénoms, Date de naissance, Lieu de naissance, Nationalités, Sexe, Adresses, Numéros de téléphone. De façon alterna tive ou cumulative, les informations d'identité stockées dans la base de données rattachée au serveur de gestion des identités comportent, pour chaque identité, un numéro d'identi- fiant national, notamment un numéro d'identifiant national santé (ou INS).
[0023] Dans l'application du procédé au domaine de la santé, les informations d'identité sont com posées des traits d'identité d'une personne physique, définis comme l'ensemble des carac téristiques qui permettent de reconnaître une personne physique et d'établir son individua lité au regard d'une loi, d'un règlement ou d'une norme (date et lieu de naissance, nom, prénom, filiation, etc.). Ces éléments peuvent être attestés par des documents officiels d'état civil. L'identité numérique correspond à la représentation d'un individu physique dans un système d'information.
[0024] Lorsque le fournisseur d'identité tiers est un établissement de santé (ou un groupement d'établissements de santé), il peut par exemple transmettre en outre au moins un identi fiant numérique issu de son référentiel, notamment par exemple, mais non limitativement, GIRR (Identifiant Permanent du Patient) ou INS (Identité Nationale de Santé).
[0025] Dans un mode de réalisation de l'invention, le procédé comporte les étapes suivantes, pour le stockage de données associées à au moins une identité : a. transmission, par le terminal utilisateur au serveur de gestion des identités, d'une de mande de recherche contenant au moins une information partielle d'identité ; b. en réponse à la demande de recherche : recherche, par le serveur de gestion des identités, d'informations d'identité dans sa base de données attachée à partir de ladite au moins une information partielle d'identité ; et transmission, par le serveur de gestion des iden tités au terminal utilisateur, desdites informations d'identité trouvées et de la clé unique d'identité associée ; c. à la réception de la clé unique d'identité : transmission, par le terminal utilisateur au ser veur de gestion de clés, d'une demande de récupération de la clé unique de données as sociée, ladite demande de récupération contenant la clé unique d'identité ; d. en réponse à la demande de récupération : transmission, par le serveur de gestion de clés au terminal utilisateur, de la clé unique de données associée à la clé unique d'identité ; e. à la réception de la clé unique de données, transmission, par le terminal utilisateur au serveur de gestion de données, d'une demande de stockage de données contenant la clé unique de données et des données associées à au moins une identité associée à l'infor mation partielle d'identité et destinées à être stockées ; f. en réponse à la demande de récupération : stockage, par le serveur de gestion de données dans sa base de données attachées, des données associées à la clé unique de données.
[0026]
[0027] Dans un mode de réalisation de l'invention, le procédé comporte en outre au moins une
étape d'authentification de l'utilisateur. Cette étape pourra être mise en oeuvre préalable ment à l'étape de transmission, par le terminal utilisateur, de la demande de recherche, l'étape d'authentification étant mise en oeuvre via le terminal mobile. Par exemple, l'étape d'authentification pourra comporter une sous-étape d'affichage d'une interface de saisie d'informations d'authentification, sur le terminal utilisateur, et une sous-étape de vérifica tion des informations d'identification saisies, auprès d'un serveur d'authentification, no tamment distinct des serveurs de gestion des identités, de gestion de clés et de gestion de données. En variante, l'étape d'authentification pourra être mise en oeuvre par un système d'authentification unique (ou SSO) et/ou décentralisé (comme OpenID).
[0028] Dans ce cas, de préférence, le procédé comprend également la validation auprès du sys tème d'authentification externe, par au moins l'un des serveurs, des demandes qu'il reçoit.
[0029] Par exemple, à l'issue de l'étape d'authentification, un jeton d'authentification pourra être remis, par le serveur d'authentification, au terminal utilisateur, et ce jeton sera inclus dans chacune des demandes transmises par le terminal utilisateur aux différents serveurs du sys tème d'information lors de la mise en oeuvre des étapes du procédé selon l'invention. Lors de la réception d'une demande, chaque serveur procédera à une vérification de la validité du jeton d'authentification auprès du serveur d'authentification et transmettra sa réponse uniquement en cas de réponse positive du serveur d'authentification.
[0030] Avantageusement, au moins l'un desdits serveurs, notamment chacun desdits serveurs, est un serveur de type « Cloud Computing ». La présente invention trouvera avantageusement application industrielle en recourant à trois hébergeurs « Cloud » distincts pour chacun des trois serveurs de l'ensemble, objet de l'invention : ainsi la protection des données conférée par la stricte séparation rendue possible par le procédé sera maximale.
[0031] L'invention a également pour objet un système d'information pour la mise en oeuvre du procédé selon l'invention, comprenant au moins un terminal utilisateur, ainsi qu'au moins un serveur de gestion d'identités, un serveur de gestion de clés et un serveur de données, dans lequel : a. chaque terminal utilisateur communique avec le serveur de gestion d'identité en échan geant uniquement des informations d'identité et une clé unique d'identité associée à ces informations d'identité ; b. chaque terminal utilisateur communique avec le serveur de gestion de clés en échangeant uniquement une clé unique d'identité et une clé unique de données formant ensemble une paire de clés uniques c. chaque terminal utilisateur communique avec le serveur de gestion de données en échan geant des données de tout type à l'exception d'informations d'identité et de clés d'iden tités.
[0032] L'invention porte également sur un produit programme d'ordinateur téléchargeable depuis un réseau de communication, et/ou stocké sur un support lisible par ordinateur, tablette ou smartphone, et/ou exécutable par un microprocesseur, et caractérisé par en ce qu'il
comprend des instructions de code de programme pour la mise en oeuvre du procédé de l'invention.
[0033] La présente invention est maintenant décrite à l'aide d'exemples uniquement illustratifs et nullement limitatifs de la portée de l'invention, et à partir des illustrations jointes, dans lesquelles :
[0034] La figure [Fig 1] illustre l'architecture générale d'un système d'information conforme à un mode de réalisation possible.
[0035] La figure [Fig 2] est un diagramme de séquence représentant un exemple de réalisation du procédé selon l'invention.
[0036] La figure [Fig 3] illustre un exemple d'enregistrement de données dans le serveur d'identités avant et après l'association de la clé d'identité H(id).
[0037] La figure [Fig 4] illustre un exemple d'enregistrement de données dans le serveur de clés, associant les clés H(id) et 0.
[0038] La figure [Fig 5] illustre un exemple d'enregistrement de données dans le serveur de don nées associées à la clé de données.
[0039] On a représenté, en [Fig 1], un système d'information selon un exemple de réalisation de l'invention.
[0040] Le système d'information 1 comporte au moins un terminal utilisateur 5, et un ensemble de serveurs comprenant au moins un serveur de gestion des identités 2, un serveur de ges tion de clés 3 et un serveur de gestion de données 4, chacun comportant une base de don nées attachée (non représenté).
[0041] Le système d'information est interfacé avec un système informatique, auquel appartient le terminal utilisateur 5, ainsi qu'un système fournisseur d'identités 1.
[0042] Dans l'exemple décrit, le système d'information est employé dans le cadre d'une étude cli nique menée par un laboratoire. Le système fournisseur d'identités 1 pourra être ainsi être une application informatique ou un programme logiciel du système informatique du labo ratoire permettant d'enrôler un sujet dans l'étude clinique et chaque terminal utilisateur pourra être un poste informatique, un ordinateur mobile, un smartphone ou une tablette numérique appartenant à ce système informatique permettant à un utilisateur de consulter et/ou de stocker des données, pouvant être des informations d'identité et/ou des données cliniques collectées au cours de l'étude. Il va de soi que la possibilité donnée à un utilisateur de consulter ou de stocker des données cliniques et/ou des informations d'identité dépen dra des droits qui lui seront concédés, au regard du rôle qu'il remplit vis-à-vis de l'étude clinique.
[0043] On pourra concevoir que le système d'information soit employé dans le cadre d'une gestion de données de santé d'un hôpital ou d'une clinique, le système fournisseur d'identités 1 pouvant ainsi être un module d'admission de patient du système informatique de l'hôpital ou de la clinique, et chaque terminal utilisateur étant un poste informatique, un ordinateur mobile, un smartphone ou une tablette numérique appartenant à ce système informatique
et susceptible d'être utilisé par le personnel médical pour consulter ou stocker des données de santé des patients admis.
[0044] Dans l'exemple décrit, chaque terminal utilisateur 5 peut effectuer des demandes auprès des serveurs 2, B et 4 et recevoir des réponses de ces serveurs par le biais d'une application informatique ou d'un programme logiciel, installée sur le terminal utilisateur ou accessible depuis un navigateur internet, l'application ou le logiciel communiquant avec les serveurs au travers d'une connexion sans-fil, chaque serveur étant un serveur de type « cloud com puting ».
[0045] Comme cela va être décrit ultérieurement, en lien avec la [Fig 2], la base de données atta chée au serveur de gestion des identités 2 contient uniquement des informations d'identi tés des sujets de l'étude et des clés uniques d'identités, la base de données attachée au serveur de gestion de clés 3 contient uniquement des paires de clés uniques d'identités et de données et la base de données attachée au serveur de gestion de données 4 contient uniquement des données cliniques et des clés uniques de données. En d'autres termes, chaque terminal utilisateur 5 doit s'adresser à l'un des serveurs 2, 3 ou 4 en fonction du type de données qu'il souhaite stocker ou consulter, étant entendu qu'aucun des serveurs ne dispose à la fois des informations d'identité des sujets de l'étude et des données cli niques de ces sujets collectées au cours de l'étude.
[0046] Plus précisément : a. chaque terminal utilisateur 5 communique avec le serveur de gestion d'identité 2 en échangeant uniquement des informations d'identité et une clé unique d'identité associée à ces informations d'identité ; b. chaque terminal utilisateur 5 communique avec le serveur de gestion de clés 3 en échan geant uniquement une clé unique d'identité et une clé unique de données formant en semble une paire de clés uniques c. chaque terminal utilisateur 5 communique avec le serveur de gestion de données 4 en échangeant des données de tout type à l'exception d'informations d'identité et de clés d'identités.
[0047] On a ainsi représenté en [Fig 2] un exemple de réalisation d'un procédé de communication selon l'invention, mis en oeuvre par le système d'information de la [Fig 1]
[0048] Dans une étape El, par exemple mise en oeuvre lors de l'enrôlement d'un nouveau sujet, le système 1 transmet au serveur de gestion des identités 2 une demande de stockage d'in formations d'identité dudit sujet.
[0049] En réponse, le serveur de gestion des identités 2 peut mettre en oeuvre son traitement par la création d'un nouvel enregistrement d'identité ou par la mise à jour d'un enregistrement existant. Les informations d'identités peuvent comporter l'un ou plusieurs des éléments suivants : a. Nom de naissance b. Nom d'usage
c. Prénoms d. Date de naissance e. Lieu de naissance f. Nationalités g. Sexe h. Adresses i. Numéros de téléphone j. Des numéros d'identifiants existants provenant de référentiels d'identité tiers
[0050] Le serveur 2 stocke ces informations d'identités dans sa base de données attachée, comme montré en [Fig 3].
[0051] Dans une étape E2, le serveur 2 transmet au serveur de gestion de clés 3, une demande de génération d'une paire de clés uniques associées.
[0052] Ainsi, à l'étape E2, lorsque le serveur 3 reçoit cette demande, il génère une paire de clés uniques à l'aide d'un algorithme adhoc, par exemple, mais non limitativement basé sur le marquage temporel (« timestamp ») et une fonction de hachage de type SHA-256. L'une des clés sera une clé unique d'identité tandis que l'autre sera une clé unique de données. On pourra prévoir en variante que chaque clé de ladite paire soit générée par un algorithme de génération aléatoire d'une chaîne de caractères alphanumériques d'une longueur don née, suffisamment grande pour garantir l'unicité de la clé. Des exemples de clés sont mon trés en [Fig 4]
[0053] Le serveur 3 stocke ces 2 clés associées dans sa base de données attachée et transmet, dans une étape E3, au serveur 2 seulement l'une des clés, à savoir la clé unique d'identité. Dans ce qui suit, le vocabulaire suivant sera utilisé : a. H(id) désigne la clé unique d'identité générée par le serveur 3, et envoyée au serveur 2 b. D désigne la clé unique de données générée par le serveur 3, associée à H(id)
[0054] À l'issue de l'étape E3, le serveur 2 reçoit la clé unique d'identité H(id) de la part du serveur 3 et l'ajoute à l'enregistrement d'informations d'identités concerné, comme montré en [Fig 3]. On pourra envisager qu'en variante, le stockage des informations d'identités soit réalisé à l'étape E3, concomitamment avec le stockage de la clé unique de données, plutôt qu'à l'étape El.
[0055] On comprend ainsi qu'à l'issue de ces trois premières étapes, le procédé permet au serveur de gestion des identités 2 de ne stocker que les informations d'identité et H(id) ; il ne stocke aucune autre donnée personnelle. Similairement, le serveur de gestion de clés 3 stocke uniquement les couples de clés { H(id), D } ; il ne stocke aucune donnée d'identité ni aucune autre donnée personnelle.
[0056] Dans une étape E4, le terminal utilisateur 5 transmet une demande de recherche au serveur de gestion des identités 2 pour y effectuer une recherche, éventuellement à l'aide d'un pa ramètre pouvant être une information partielle d'identité.
[0057] Dans une étape E5, le serveur de gestion des identités 2 effectue la recherche demandée
et renvoie, au terminal utilisateur 5, un ou plusieurs résultats, en fonction de ses règles d'habilitation internes. Pour chaque résultat obtenu, la réponse renvoyée au terminal par le serveur d'identité se compose : a. Des informations d'identités trouvées, b. De la clé H(id) associée à ces informations d'identités trouvées.
[0058] Dans une étape E6, le terminal utilisateur 5 interroge le serveur de gestion de clés B en lui demandant de lui fournir la clé unique de données D associée à la clé unique d'identité H(id). Dans une étape E7, si la demande est valide au regard de ses règles d'habilitations internes, le serveur 3 renvoie la clé D au terminal utilisateur 5.
[0059] Dans une étape E8, le terminal utilisateur 5 effectue une demande auprès du serveur de gestion de données 4 à l'aide de la clé unique de données D. Il pourra ici s'agir d'une de mande de consultation de données, permettant à l'utilisateur du terminal 5 de consulter tout ou partie des données associées aux sujets recherchés lors des étapes 4 et 5 et qui sont stockées dans la base de données attachée au serveur 4, ou d'une demande de stock age de données, permettant à l'utilisateur du terminal 5 de stocker, dans la base de données attachée au serveur 4, des données des sujets recherchés lors de étapes 4 et 5 et collectées pendant l'étude.
[0060] Dans l'exemple décrit, la demande est une demande de consultation de données. Ainsi, dans une étape E9, le serveur de gestion de données 4 renvoie au terminal utilisateur 5 les données associées à la clé unique de données D.
[0061] À l'issue de ces dernières étapes, le procédé permet de garantir l'isolation des données échangées. En effet, selon une caractéristique particulière le serveur d'identité ne stocke que des informations d'identités et des clés uniques d'identités H(id). Selon une autre ca ractéristique particulière de l'invention, le serveur de clés ne stocke que des clés uniques d'identités H(id) et de données D.
[0062] Enfin, selon encore une autre caractéristique, le serveur de données ne stocke que des don nées rattachées uniquement à des clés uniques de données D et non à des informations d'identité, comme montré en [Fig 5]
[0063] Avantageusement, dans l'application du procédé à un hébergement « Cloud » dans lequel le serveur d'identités 2, le serveur de clés 3 et le serveur de données 4 sont hébergés par trois fournisseurs de services distincts, de sorte qu'aucun de ces fournisseurs ne peut avoir accès à une donnée personnelle reliée à une identité.
[0064] On notera qu'au-delà des avantages conférés par le système et le procédé selon l'invention, dans le cadre d'une étude clinique, ce système et ce procédé offrent un avantage supplé mentaire. En effet, une instance de contrôle, tel qu'un comité d'éthique, peut avoir besoin de consulter à la fois les informations d'identité, qui seront stockées dans la base de don nées du serveur 2, et certaines données cliniques, comme le recueil du consentement éclairé qui sera stocké dans la base de données du serveur 4. Le procédé permet ainsi à cette instance de contrôle d'accéder à cet ensemble de données. En revanche, un opérateur
de l'étude, comme le laboratoire, doit avoir accès seulement aux données cliniques, et non aux informations d'identité. Il peut ainsi accéder au serveur 4 pour consulter ces données cliniques par une voie d'accès spécifique, sans devoir employer le procédé selon l'invention, de sorte qu'il n'existe pas de risque de corrélation entre les informations d'identité et les données cliniques pour l'établissement des conclusions de l'étude.
[0065] Les figures décrites ci-dessus sont destinées à fournir une compréhension générale de la structure de divers modes de réalisation. Ces figures ne sont pas destinées à servir de des cription complète de tous les éléments et de toutes les caractéristiques des appareils, des processeurs et des systèmes qui utilisent les structures ou les méthodes qui y sont décrites. De nombreux autres modes de réalisation ou combinaisons de ceux-ci peuvent être raison nablement envisagés par des personnes ayant des compétences ordinaires dans l'art en combinant les modes de réalisation divulgués. D'autres modes de réalisation peuvent être dérivés de l'exposé de l'invention, de sorte que des substitutions et/ou des modifications structurelles et/ou logiques peuvent être envisagées sans s'écarter du cadre de l'invention.
[0066] En outre, la divulgation et les illustrations doivent être considérées comme illustratives plu tôt que restrictives, et les revendications annexées sont destinées à couvrir toutes les mo difications, améliorations et autres modes de réalisation qui entrent le cadre de l'invention. Ainsi, la portée des revendications ne doit pas être restreinte ou limitée par la description qui précède.
Claims
[Revendication 1] Procédé de communication de données personnelles mis en oeuvre par un système d'information comportant un terminal utilisateur et un ensemble de serveurs, dans lequel l'ensemble de serveurs comprend au moins un serveur de gestion des identités, un serveur de gestion de clés et un serveur de gestion de données, chacun comportant une base de données attachée, le procédé étant caractérisé en ce qu'il comporte les étapes suivantes, pour le stockage d'informations d'identités : a. (El) transmission, par un système fournisseur d'identités au serveur de gestion des identités, d'une demande de stockage d'informations d'identités, b. (E2) en réponse à la demande de stockage : transmission, par le serveur de gestion des identités au serveur de gestion de clés, d'une demande de génération d'une paire de clés uniques associées, et, c. (E3) en réponse à la demande de génération : génération, par le serveur de gestion de clés, d'une paire de clés uniques associées, à savoir une clé unique d'identité et une clé unique de données ; stockage, par le serveur de gestion de clés de cette paire de clés uniques dans sa base de données attachées ; et transmission, par le serveur de gestion de clés au serveur de gestion des identités, de seulement la clé unique d'identité ; d. à la réception de la clé unique d'identité : stockage, par le serveur de gestion des identités, de ladite clé unique d'identité dans sa base de données attachée en l'associant auxdites informations d'identités, la base de données attachée au serveur de données étant destinée à stocker uniquement des données associées à des clés uniques de données ; et en ce qu'il comporte les étapes suivantes, pour la recherche d'informations d'identités : e. (E4) transmission, par le terminal utilisateur au serveur de gestion des identités, d'une demande de recherche contenant au moins une information partielle d'identité, f. (E5) en réponse à la demande de recherche : recherche, par le serveur de gestion des identités, d'informations d'identité dans sa base de données attachée à partir de ladite au moins une information partielle d'identité ; et transmission, par le serveur de gestion des identités au terminal utilisateur, desdites informations d'identité trouvées et de la clé unique d'identité associée, g. (E6) à la réception de la clé unique d'identité : transmission, par le terminal utilisateur au serveur de gestion de clés, d'une demande de récupération de la clé unique de données associée, ladite demande de récupération contenant la clé unique d'identité ;
h. (E7) en réponse à la demande de récupération : transmission, par le serveur de gestion de clés au terminal utilisateur, de la clé unique de données associée à la clé unique d'identité, i. (E8) à la réception de la clé unique de données : transmission, par le terminal utilisateur au serveur de gestion de données, d'une demande de données contenant la clé unique de données, j. (E9) en réponse à la demande de récupération : transmission, par le serveur de gestion de données au terminal utilisateur, des données associées à la clé unique de données.
[Revendication 2] Procédé selon la revendication 1, caractérisé en ce que la base de données attachée au serveur de gestion des identités contient uniquement des informations d'identités et des clés uniques d'identités, en ce que la base de données attachée au serveur de gestion de clés contient uniquement des paires de clés uniques d'identités et de données et en ce que la base de données attachée au serveur de gestion de données contient uniquement des données et des clés uniques de données.
[Revendication B] Procédé selon l'une des revendications 1 ou 2, caractérisé en ce que les données stockées dans la base de données dudit serveur de gestion de données sont des données de santé.
[Revendication 4] Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que les informations d'identité stockées dans la base de données rattachée au serveur de gestion des identités comportent, pour chaque identité, au moins l'un des éléments suivants a. Nom de naissance b. Nom d'usage c. Prénoms d. Date de naissance e. Lieu de naissance f. Nationalités g- Sexe h. Adresses i. Numéros de téléphone.
[Revendication 5] Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que les informations d'identité stockées dans la base de données rattachée au serveur de gestion des identités comprennent, pour chaque identité, un numéro d'identifiant national.
[Revendication 6] Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comporte en outre une étape d'authentification de l'utilisateur, mise en oeuvre préalablement à l'étape de transmission, par le terminal utilisateur, de la demande de recherche, l'étape d'authentification étant mise en oeuvre via le terminal mobile.
[Revendication 7] Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend la validation auprès d'un système d'authentification externe, par au moins l'un des serveurs, des demandes qu'il reçoit.
[Revendication 8] Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que au moins l'un desdits serveurs est un serveur de type « Cloud Computing ».
[Revendication 9] Système d'information pour la mise en oeuvre du procédé selon l'une des revendications 1 à 8, comprenant au moins un terminal utilisateur, ainsi qu'au moins un serveur de gestion d'identités, un serveur de gestion de clés et un serveur de données, dans lequel : a. chaque terminal utilisateur communique avec le serveur de gestion d'identité en échangeant uniquement des informations d'identité et une clé unique d'identité associée à ces informations d'identité ; b. chaque terminal utilisateur communique avec le serveur de gestion de clés en échangeant uniquement une clé unique d'identité et une clé unique de données formant ensemble une paire de clés uniques c. chaque terminal utilisateur communique avec le serveur de gestion de données en échangeant des données de tout type à l'exception d'informations d'identité et de clés d'identités.
[Revendication 10] Produit programme d'ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur, tablette ou smartphone, et/ou exécutable par un microprocesseur, caractérisé en ce qu'il comprend des instructions de code de programme pour la mise en œuvre du procédé selon l'une quelconque des revendications 1 à 8
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2106588A FR3124341B1 (fr) | 2021-06-21 | 2021-06-21 | Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs |
| FRFR2106588 | 2021-06-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2022268741A1 true WO2022268741A1 (fr) | 2022-12-29 |
Family
ID=78212165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2022/066766 WO2022268741A1 (fr) | 2021-06-21 | 2022-06-20 | Procede et ensemble permettant a des terminaux utilisateurs d'echanger en toute confidentialite des donnees personnelles avec une plateforme de serveur |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR3124341B1 (fr) |
| WO (1) | WO2022268741A1 (fr) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050283620A1 (en) * | 2004-06-17 | 2005-12-22 | Bassam Khulusi | System and method for dis-identifying sensitive information and associated records |
| WO2010115607A1 (fr) * | 2009-04-03 | 2010-10-14 | Digidentity B.V. | Système de données sécurisé |
| US11003789B1 (en) * | 2020-05-15 | 2021-05-11 | Epsilon Data Management, LLC | Data isolation and security system and method |
-
2021
- 2021-06-21 FR FR2106588A patent/FR3124341B1/fr active Active
-
2022
- 2022-06-20 WO PCT/EP2022/066766 patent/WO2022268741A1/fr unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050283620A1 (en) * | 2004-06-17 | 2005-12-22 | Bassam Khulusi | System and method for dis-identifying sensitive information and associated records |
| WO2010115607A1 (fr) * | 2009-04-03 | 2010-10-14 | Digidentity B.V. | Système de données sécurisé |
| US11003789B1 (en) * | 2020-05-15 | 2021-05-11 | Epsilon Data Management, LLC | Data isolation and security system and method |
Also Published As
| Publication number | Publication date |
|---|---|
| FR3124341B1 (fr) | 2023-10-27 |
| FR3124341A1 (fr) | 2022-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101893729B1 (ko) | 복수의 블록체인에 기반한 데이터 공유 방법 | |
| US11196540B2 (en) | End-to-end secure operations from a natural language expression | |
| US11777729B2 (en) | Secure analytics using term generation and homomorphic encryption | |
| CN112272188B (zh) | 一种电商平台数据隐私保护的可搜索加密方法 | |
| US11004548B1 (en) | System for providing de-identified mortality indicators in healthcare data | |
| EP2494491B1 (fr) | Identification par controle de donnees biometriques d'utilisateur | |
| FR2999757A1 (fr) | Procede d'acces securise a des donnees medicales confidentielles, et support de stockage pour ledit procede | |
| FR2930390A1 (fr) | Procede de diffusion securisee de donnees numeriques vers un tiers autorise. | |
| FR2881248A1 (fr) | Systeme et procede d'anonymisation de donnees personnelles sensibles et procede d'obtention de telles donnees | |
| FR3048530B1 (fr) | Systeme ouvert et securise de signature electronique et procede associe | |
| EP2166484A1 (fr) | Procédé d'accès à des données nominatives, tel qu'un dossier médical personnalisé, à partir d'un agent local de génération | |
| FR3082023A1 (fr) | Une application logicielle et un serveur informatique pour authentifier l’identite d’un createur de contenu numerique et l’integrite du contenu du createur publie | |
| WO2022068355A1 (fr) | Procédé et appareil de chiffrement basés sur une caractéristique d'informations, dispositif, et support d'enregistrement | |
| CA3189628A1 (fr) | Systemes et methodes de suivi de la propagation des donnees de nature delicate | |
| EP1011223A1 (fr) | Procédé de création et gestion d'au moins une clé cryptographique et système pour sa mise en oeuvre | |
| FR3110984A1 (fr) | Partage sécurisé d'informations de justificatif d'identité | |
| US20190332718A1 (en) | System and method for executing access transactions of documents related to drug discovery | |
| CN117390657A (zh) | 数据加密方法、装置、计算机设备和存储介质 | |
| FR3073643A1 (fr) | Procede d'obtention d'une identite numerique de niveau de securite eleve | |
| WO2022268741A1 (fr) | Procede et ensemble permettant a des terminaux utilisateurs d'echanger en toute confidentialite des donnees personnelles avec une plateforme de serveur | |
| US11977584B2 (en) | System and method of correlating multiple data points to create a new single data point | |
| KR20200141124A (ko) | 특정 정보를 문서에서 분리 저장하는 방법 및 선택적으로 정보 공개범위를 결정하여 제공하는 방법 및 이를 이용한 서버 | |
| Elmeleegy et al. | Preserving privacy and fairness in peer-to-peer data integration | |
| FR3103922A3 (fr) | Stockage de tokens sécurisé | |
| EP4078893A1 (fr) | Procédé et dispositif de contrôle d'accès anonyme à une plateforme collaborative d'anonymisation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22737806 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |