Résumé

  • L'assurance de l'identité dans un registre doit distinguer l'existence d'une personne morale, l'identité d'un individu, son pouvoir d'agir et l'authenticité de la transaction demandée.
  • La fraude sur les ressources est documentée: le RIPE NCC a signalé des accès non autorisés, des documents frauduleux et deux transferts annulés par la suite, tandis qu'ARIN publie des résultats trimestriels sur les fraudes présumées liées aux ressources numériques.
  • Les pratiques actuelles des RIR combinent preuves du registre du commerce, documents d'identité, authentification multifacteur, contrôles vidéo, filtrage des sanctions et services de données tiers, créant une chaîne d'approvisionnement de vérification croissante.
  • Un seul niveau de vérification pour chaque action est disproportionné. La consultation de compte, les mises à jour de contacts, les demandes de nouvelles ressources, le déblocage de transfert et la récupération contestée présentent des risques différents et nécessitent des assurances différentes.
  • Les petits opérateurs et les opérateurs transfrontaliers sont confrontés à des obstacles distincts liés à la couverture documentaire, à la translittération, à la connectivité, à la qualité des appareils, aux différences de forme juridique et aux hypothèses des fournisseurs sur les registres familiers.
  • La confidentialité exige une minimisation des données, une conservation courte, une transmission protégée, un objectif clair, une réutilisation restreinte et une suppression vérifiable, en particulier pour les images de passeport, les vidéos faciales et les modèles biométriques.
  • Les registres devraient publier des données agrégées sur l'achèvement, le rejet, l'examen manuel, le délai et les recours; confier la décision finale à un personnel responsable; et préserver au moins une voie viable qui ne dépend pas d'un seul fournisseur d'identité privé.

L'identité au registre est une chaîne de revendications

L'expression « connaître son client » est trop concise pour l'administration des ressources numériques. Un registre doit répondre à plusieurs questions distinctes. L'organisation existe-t-elle? L'individu est-il une personne réelle? Cet individu est-il autorisé à représenter l'organisation? L'organisation détient-elle les droits d'enregistrement en question? La demande actuelle est-elle vraiment approuvée par le titulaire? Une restriction légale est-elle pertinente pour le service demandé?

Un seul document répond rarement à toutes ces questions. Un passeport peut attester de l'identité d'une personne mais ne dit rien sur l'autorité de l'entreprise. Un extrait du registre du commerce peut montrer qu'une personne morale existe mais peut ne pas identifier l'employé chargé des opérations réseau. Une connexion au compte peut prouver la possession d'identifiants tout en laissant ouverte la question de leur vol. Un accord de transfert signé peut être authentique mais exécuté par une personne sans pouvoir d'engager l'entreprise.

Les contrôles doivent correspondre à la revendication. Lorsqu'un demandeur crée une organisation membre, le registre peut avoir besoin de preuves d'établissement et d'autorisation d'un dirigeant. Lorsqu'un ingénieur met à jour un contact de routage, une authentification forte du compte et un rôle délégué peuvent suffire. Lorsqu'une partie libère une détention IPv4 de valeur, le registre doit confirmer le détenteur légal, le pouvoir du signataire et une approbation indépendante par un canal établi. Lorsqu'un ancien compte est récupéré, la continuité historique importe autant que l'identité actuelle.

Confondre les revendications produit à la fois une sécurité faible et une charge inutile. Collecter davantage de données faciales ne résout pas un contrôle défectueux de l'autorité de l'entreprise. Exiger un extrait d'entreprise frais ne prouve pas qu'une connexion actuelle est contrôlée par la bonne personne. Une bonne conception demande quelle défaillance causerait un préjudice, puis choisit des preuves qui répondent à cette défaillance.

Cette approche revendication par revendication crée également de meilleures justifications. Un registre peut dire que l'identité personnelle a été vérifiée mais que l'autorité de signature reste non résolue. Le demandeur peut corriger le problème pertinent au lieu de répéter chaque étape. Elle rend visibles les limites des fournisseurs: une société d'identité peut valider un document et une correspondance faciale, tandis que le registre doit encore décider de l'autorité légale et du droit aux ressources.

La fraude est un risque réel pour les registres

L'argument en faveur de contrôles renforcés n'est pas hypothétique. Lerapport d'enquête sur le registre du RIPE NCCdécrit des tentatives de prise de contrôle de ressources par accès non autorisé au compte et documents frauduleux. Deux transferts ont été effectués puis annulés. Le rapport indique que le RIPE NCC a mené 219 enquêtes de détournement et examiné 12 transferts contestés en 2022, suivis de 201 enquêtes de détournement et huit transferts contestés en 2023.

Ces chiffres nécessitent de la prudence. Une enquête de détournement n'est pas une preuve que la vérification d'identité a échoué, et un transfert contesté n'est pas nécessairement frauduleux. La valeur du rapport réside dans le mécanisme confirmé: l'accès compromis et les faux documents peuvent produire des modifications d'enregistrement non autorisées. Corriger ces modifications consomme du temps du personnel et peut affecter le routage, la réputation et les transactions de marché.

ARIN définit la fraude sur les ressources numériques de manière suffisamment large pour inclure les faux documents utilisés pour obtenir des ressources, sécuriser un transfert, effectuer des modifications d'enregistrement non autorisées ou détourner des ressources dans sa base de données. Sonservice de signalement de fraudeenquête sur les signalements, et ARIN publie désormaisdes résultats trimestrielssans identifier les soumetteurs. Cette pratique de publication reconnaît que des preuves institutionnelles agrégées peuvent être partagées sans exposer un informateur.

La récupération de compte crée un autre risque. ARIN a verrouillé les comptes qui n'avaient pas activé l'authentification multifacteur obligatoire avant octobre 2024. Sesconseils de récupération de compteindiquent qu'une personne peut avoir besoin d'une vidéoconférence, d'une pièce d'identité avec photo délivrée par le gouvernement et de questions de sécurité. Lors de l'ARIN 55 en 2025, le responsable de l'intégrité et de la surveillance du registre, Reese Radcliffe,a déclaré que les demandes signalées pour créer une organisation nécessiteraient un appel Zoom avec le soumetteur du ticket et la personne signant l'accord de services d'enregistrement, et que les personnes qui ne poursuivaient pas ne se présentaient généralement pas à l'appel. Il a également dit qu'ARIN n'avait pas encore de chiffres. Il s'agit d'une preuve opérationnelle qualitative que la vérification assistée peut dissuader certaines demandes suspectes, pas d'un taux de dissuasion mesuré.

Aucun contrôle unique n'est décisif. Les fraudeurs peuvent utiliser des faux documents, des médias synthétiques, des e-mails d'entreprise compromis, des initiés corrompus ou de l'ingénierie sociale. Les utilisateurs légitimes peuvent échouer à une comparaison faciale ou perdre un ancien dispositif d'authentification. Le but n'est pas une barrière infaillible. C'est une preuve en couches qui augmente le coût des modifications non autorisées tout en gardant la correction disponible.

La porte du RIR devient déjà une chaîne d'approvisionnement

Les règles de diligence raisonnable du RIPE NCC exigent la preuve qu'une personne physique ou morale contractante existe et est valablement représentée. Laprocédure publiéeénumère les documents d'identité pour les personnes physiques, les preuves du registre du commerce pour les personnes morales et des preuves supplémentaires lorsque l'autorité est incertaine. Elle reconnaît également que les formes juridiques diffèrent et que les entités dans des zones contestées peuvent avoir besoin de preuves alternatives d'établissement.

En 2021, le RIPE NCC a annoncé qu'il utiliserait des tiers pour le filtrage des sanctions, les informations commerciales et la validation automatisée des documents d'identité. Sonexplication publiquea identifié iDenfy pour les vérifications de documents d'identité et a décrit la suppression des informations d'identité soumises dans les 14 jours. Une réponse connexe sur la liste de diffusion RIPE a déclaré que le RIPE NCC restait le responsable du traitement au sens de la loi européenne sur la protection des données.

En 2025, un récit de RIPE Labs surle KYC des membresa décrit une surveillance automatisée soutenue par des données commerciales, un filtrage des sanctions, des vérifications de transfert et une enquête par une équipe dédiée de surveillance du registre. Elle a nommé Altares Dun & Bradstreet comme source pour les événements d'entreprise tels que les changements de nom, les fusions et les acquisitions. Il ne s'agit plus d'une simple vérification de document à l'entrée. Il s'agit d'une dépendance continue à plusieurs services externes de données et de vérification.

Les directives d'entrée publiques d'APNIC exigent également un soutien documentaire. Sapage Get IPénumère les pièces d'identité et de vérification d'emploi parmi les exigences de la demande. Ladéclaration de confidentialitéd'APNIC indique que les demandes peuvent inclure des documents de preuve d'identité et que des tiers peuvent aider à la vérification des entreprises et de l'identité.

Le modèle d'ARIN utilise davantage d'interactions assistées par le personnel dans certains cas, y compris la vérification d'identité par vidéo pour la vérification des organisations et des points de contact. Les différents RIR combinent donc les personnes, les registres publics, les contrôles de compte et les fournisseurs dans des proportions différentes. La tendance commune est une assurance plus forte et davantage de dépendances.

Cette tendance nécessite une gouvernance. Le demandeur doit savoir quelle entité reçoit quelles données, quelle revendication elle vérifie, combien de temps elle conserve le matériel, comment un résultat peut être contesté et ce qui se passe lorsque le service est indisponible. Sans ces informations, la porte du registre est formellement une administration d'intérêt public mais pratiquement une chaîne de décisions privées.

Les petits opérateurs ne ressemblent pas à des acteurs établis réduits

Les grands opérateurs réseau ont souvent des registres d'entreprise matures, un personnel juridique, plusieurs contacts autorisés, des appareils gérés et une connectivité fiable. Un petit FAI, un réseau communautaire, un entité à un échange ou un cabinet de conseil technique peut avoir un seul dirigeant qui est également l'ingénieur réseau. La documentation peut être dans une langue locale ou délivrée par une autorité municipale. L'opérateur peut se connecter depuis une région où la bande passante mobile est chère ou instable.

La vérification à distance peut imposer des exigences d'équipement cachées. Un téléphone moderne, une caméra fonctionnelle, une capacité NFC, un navigateur pris en charge et une vidéo ininterrompue peuvent être supposés. La capture de documents d'identité peut échouer en raison de reflets, de laminage usé, d'écritures non prises en charge ou d'une caméra qui ne peut pas résoudre les éléments de sécurité. La comparaison faciale peut échouer en raison de l'éclairage, de l'âge de l'image, de changements d'apparence ou de besoins d'accessibilité.

Le temps est aussi un coût. Un grand demandeur peut répartir la vérification répétée entre ses employés. Un fondateur qui gère le déploiement, les clients et les finances peut perdre des jours à cause d'un contrôle automatisé échoué et de la correspondance de support. Si les frais ont déjà été payés ou qu'une date de clôture de transfert est proche, l'incertitude devient un levier commercial sur le demandeur.

Les petits opérateurs n'ont pas droit à une sécurité plus faible sur les actifs de grande valeur. Ils ont droit à des voies proportionnées et utilisables. Un registre peut exiger une preuve solide tout en offrant une vidéo assistée, une attestation professionnelle vérifiée, un matériel notarié, une vérification en personne lors d'un événement régional ou une autre alternative documentée. Les preuves doivent répondre au même risque sans exiger la même technologie.

La conception doit également respecter les rôles techniques délégués. La personne autorisée à mettre à jour les enregistrements de routage n'a pas besoin d'être un dirigeant de l'entreprise. Exiger que les dirigeants effectuent chaque action opérationnelle crée des goulots d'étranglement et encourage le partage d'identifiants. Le registre doit soutenir la délégation explicite, les privilèges limités, l'expiration, les multiples approbateurs pour les actions à haut risque et la révocation rapide.

Une bonne conception d'identité soutient donc les petites organisations au lieu de faire comme si chaque membre avait un service de conformité. Elle crée une preuve initiale claire, puis permet une délégation durable et vérifiable afin que l'administration réseau de routine ne collecte pas à plusieurs reprises des données d'identité sensibles.

La vérification transfrontalière amplifie les erreurs de classification

Les registres régionaux desservent des territoires juridiquement diversifiés. Les numéros d'entreprise diffèrent en longueur et en signification. Certains organismes publics sont créés par la loi plutôt que par un enregistrement commercial. Les entreprises individuelles peuvent ne pas être des personnes juridiques séparées. Les noms peuvent apparaître dans plusieurs écritures ou translittérations. Les adresses peuvent ne pas suivre une structure postale familière. Les dirigeants et les bénéficiaires effectifs peuvent résider dans des pays différents de l'exploitation réseau.

Un fournisseur de données commerciale a tendance à être le plus performant là où les registres sources sont numérisés, standardisés et commercialement accessibles. Une absence de correspondance peut signifier que l'entité n'existe pas. Elle peut aussi signifier que le fournisseur manque de couverture, que le registre est en retard, que l'orthographe diffère ou que la forme juridique est en dehors du modèle du fournisseur. Traiter l'absence de correspondance comme une fraude transfère les limites géographiques du fournisseur dans la politique du registre.

La procédure du RIPE NCC offre un principe plus défendable: les preuves ordinaires du registre du commerce sont préférées, mais d'autres preuves peuvent être considérées lorsque la source habituelle n'est pas disponible. Dans les zones revendiquées par plus d'un État reconnu, elle permet des preuves provenant de l'autorité choisie par la partie signataire. Dans un territoire auto-proclamé, elle peut considérer des preuves d'établissement avec un matériel supplémentaire. Ces dispositions reconnaissent la complexité juridictionnelle sans abandonner la vérification.

Les transferts transfrontaliers ajoutent une autre couche. Le registre expéditeur peut reconnaître le détenteur source sous un enregistrement juridique, tandis que le registre récepteur vérifie le destinataire sous un autre. Les noms, l'historique des fusions et l'autorité doivent être réconciliés. Un rejet partagé d'un fournisseur ne suffit pas. Chaque registre reste responsable de son côté de la transaction et doit communiquer la revendication précise non résolue.

Le filtrage des sanctions doit être séparé de la vérification d'identité. Une identité fiable peut être soumise à une restriction légale; une identité incertaine n'est pas une preuve de sanction. Combiner les deux en un résultat de risque opaque empêche un demandeur de savoir s'il doit corriger un document, établir une autorité ou demander un examen juridique.

L'accès linguistique compte aussi. Les instructions et les motifs doivent être disponibles dans les langues de service que le registre prétend soutenir. Les demandeurs doivent pouvoir soumettre des traductions certifiées ou des preuves en écriture originale sans que le logiciel normalise silencieusement un nom juridique en une discordance.

La hiérarchisation des risques est plus forte qu'une preuve universelle maximale

Lesdirectives du GAFI sur l'identité numériquede 2020, rédigées pour la diligence raisonnable des clients financiers, recommandent une approche fondée sur les risques et technologiquement neutre. Une institution doit comprendre l'assurance d'un système d'identité numérique et décider si elle est appropriée pour le risque concerné. Les registres ne sont pas des banques simplement parce qu'ils vérifient l'identité, mais le principe de proportionnalité se transpose bien.

LesDirectives sur l'identité numériquedu NIST de 2025 rendent la structure plus explicite. La vérification d'identité, l'authentification et la fédération ont des niveaux d'assurance distincts. L'évaluation des risques prend en compte les préjudices découlant d'un accès non autorisé et les préjudices introduits par le système d'identité lui-même, y compris l'exclusion, la perte de confidentialité et les obstacles de service. L'adaptation peut ajouter des contrôles compensatoires plutôt que d'imposer une méthode à tous les utilisateurs.

Un registre devrait définir des niveaux de transaction. La lecture de données publiques ne nécessite aucune preuve personnelle. La consultation de matériel de compte confidentiel nécessite un contrôle de compte authentifié. La maintenance de routine des enregistrements nécessite une autorité déléguée et une authentification forte. La création d'une relation contractuelle nécessite des preuves d'établissement et de représentation. La libération d'une ressource de valeur, la récupération d'un compte contesté ou le changement du détenteur légal nécessitent une confirmation indépendante plus forte.

Le risque peut également changer au sein d'une transaction. Une mise à jour de contact normale peut devenir à haut risque si elle remplace chaque contact établi à partir d'un nouvel appareil et est suivie immédiatement d'une demande de transfert. Une nouvelle demande d'adhésion peut être ordinaire jusqu'à ce que les registres d'entreprise soient en conflit. Une vérification progressive est plus proportionnée que la collecte du maximum de preuves de tous à l'entrée.

La hiérarchisation devrait être publique au niveau du principe. Les membres doivent savoir quelles actions nécessitent une preuve plus forte et quelles voies alternatives existent. Les signaux de fraude exacts peuvent rester protégés. Le registre doit documenter pourquoi chaque niveau répond à un préjudice plausible et l'examiner par rapport aux résultats réels.

Le système devrait éviter les étiquettes de risque permanentes. Une session de caméra échouée dans le passé n'est pas la preuve qu'un opérateur est généralement peu fiable. Une discordance d'entreprise corrigée ne devrait pas assombrir les demandes ultérieures. Les indicateurs de risque ont besoin d'une expiration, d'un contexte et de contrôles d'accès.

Une matrice d'assurance pratique

Au niveau le plus bas, une personne crée un compte, lit du matériel public ou s'abonne à des avis. La confirmation par e-mail, la résistance aux robots et la sécurité de compte ordinaire peuvent suffire. Collecter un passeport ici créerait un risque de confidentialité sans protéger une ressource.

Au niveau opérationnel de routine, un utilisateur établi modifie les contacts techniques, les objets de routage ou la délégation inverse dans le cadre de l'autorité existante. L'authentification multifacteur résistante au hameçonnage, les rôles limités, les notifications et l'historique d'audit sont plus pertinents que la répétition de la capture de documents d'identité. Les modifications à haut risque peuvent nécessiter un deuxième approbateur autorisé.

Au niveau organisationnel, un nouveau membre ou détenteur de ressources doit établir l'existence légale et la représentation. Le registre peut vérifier un registre public, une loi constitutive ou une source équivalente, identifier le signataire et enregistrer comment l'autorité a été établie. Une personne physique peut fournir des preuves d'identité appropriées via des méthodes prises en charge.

Au niveau transactionnel, un transfert ou une fusion nécessite des preuves reliant le détenteur légal, le signataire autorisé, l'enregistrement de la ressource et la transaction. Une confirmation indépendante via un contact établi et une période d'attente pour les modifications inhabituelles peuvent réduire le risque de prise de contrôle. Le destinataire nécessite sa propre vérification.

Au niveau de la récupération et du contentieux, le registre doit supposer que certains signaux existants peuvent être compromis. Les contacts historiques, les contrats, la succession d'entreprise, l'historique des paiements, les attestations précédentes et la vérification assistée peuvent être combinés. Aucun score commercial unique ne devrait régler l'affaire. Des contrôles temporaires devraient préserver le statu quo pendant l'examen.

Cette matrice rend les contrôles cumulatifs uniquement lorsque nécessaire. Elle clarifie également quelles preuves peuvent être réutilisées. Un enregistrement d'entreprise vérifié actuel n'a pas besoin d'être téléchargé pour chaque action. Une image de passeport ne devrait pas être conservée indéfiniment simplement parce que le fait d'une vérification réussie reste pertinent. Le registre peut enregistrer le résultat, la méthode, la date et l'assurance sans conserver le matériel source le plus sensible plus longtemps que justifié.

La confidentialité est une exigence opérationnelle

La vérification d'identité collecte des matériels particulièrement sensibles: numéros d'identité, images de documents, adresses, dates de naissance, images faciales et vidéos. Une violation peut exposer des informations qui ne peuvent pas être modifiées aussi facilement qu'un mot de passe. La confidentialité fait donc partie de la sécurité du registre, pas un intérêt opposé.

LeRèglement général sur la protection des donnéesde l'Union européenne exige la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité. Ces principes fournissent une base de référence utile au-delà des juridictions où le règlement s'applique directement.

LaSP 800-63Adu NIST exige une évaluation documentée des risques de confidentialité pour la vérification d'identité et l'inscription. Elle appelle à des canaux protégés, une protection des informations stockées, un avis sur les attributs obligatoires et facultatifs, une évaluation de la conservation et un recours. Elle reconnaît également que les services tiers créent des risques de chaîne d'approvisionnement.

Pour un registre, la minimisation commence par la conception des revendications. Si la question est de savoir si un signataire dépasse un seuil d'âge légal, une confirmation d'attribut peut suffire; la conservation de la date de naissance complète peut ne pas l'être. Si le registre du commerce confirme déjà un dirigeant, une deuxième copie du même enregistrement peut ajouter peu de valeur. Si le fournisseur peut renvoyer un résultat de validation signé par oui ou non, le registre peut ne pas avoir besoin du document complet.

La conservation doit être spécifique. Le fait que l'identité ait été vérifiée avec succès peut devoir rester tant qu'un contrat ou un droit de ressource se poursuit. L'image du document peut n'être nécessaire que pour une courte période de contestation. Les modèles biométriques peuvent ne pas être nécessaires du tout. Chaque catégorie devrait avoir une justification de conservation publiée, une limite d'accès et une méthode de suppression.

Les demandeurs doivent savoir si leurs informations traversent les frontières, quel fournisseur les reçoit et si le fournisseur peut les réutiliser pour améliorer un autre service. Le consentement est une base faible lorsque refuser signifie perdre l'accès à des fonctions essentielles du registre. Le registre doit s'appuyer sur une base légale et contractuelle claire, offrir des alternatives proportionnées et rester responsable envers le sous-traitant.

La biométrie nécessite une retenue mesurée

La comparaison faciale peut relier un entité en direct à un document d'identité et rendre l'usurpation d'identité à distance plus difficile. Elle introduit également des faux positifs, des faux négatifs, des risques d'usurpation et un traitement biométrique sensible. Son utilisation doit dépendre du risque de transaction et des performances mesurées.

Les exigences actuelles de vérification d'identité du NIST fixent des attentes concrètes. La vérification un-à-un doit répondre à des seuils déclarés de faux positifs et de faux négatifs. Les performances selon les groupes démographiques doivent être évaluées, les résultats des tests opérationnels doivent être publiés sous forme résumée, et un résultat un-à-plusieurs ne doit pas entraîner de refus sans confirmation manuelle. Le NIST exige également des tests contre les attaques de présentation et les médias manipulés.

L'évaluation de la technologie de reconnaissance facialedu NIST montre pourquoi les affirmations générales des fournisseurs sont insuffisantes. Les taux d'erreur varient selon l'algorithme, le groupe démographique, la qualité de l'image et la tâche. Un mauvais éclairage peut augmenter les faux négatifs, tandis que les différences de faux positifs peuvent persister même avec de bonnes images. Un registre doit évaluer le produit réel dans des conditions ressemblant à ses utilisateurs, ne pas se fier uniquement à un titre de laboratoire.

La biométrie ne devrait pas être la voie d'entrée universelle. Une personne incapable ou non disposée à effectuer un contrôle facial automatisé devrait disposer d'une alternative assistée ou documentaire à un coût et un temps comparables. Le handicap, les changements d'apparence, les pratiques religieuses, les limitations d'appareil et la mauvaise connectivité sont des intrants de conception opérationnelle, pas un comportement suspect.

Le registre ne devrait jamais utiliser le score de confiance d'un fournisseur biométrique comme raison publique de refuser une adhésion ou une transaction. Un score faible signifie que la méthode n'a pas établi la revendication au niveau d'assurance requis. Cela devrait déclencher une autre méthode ou un examen humain. L'échec d'une interaction de capteur n'est pas une preuve de fausse identité.

La collecte biométrique nécessite également une suppression stricte. Conserver des vidéos brutes ou des modèles réutilisables élargit le préjudice sans nécessairement améliorer les décisions futures. Si la conservation est requise pour un litige défini, l'accès doit être restreint, crypté et limité dans le temps, avec une preuve de suppression disponible pour l'auditeur indépendant du registre.

Les preuves de rejet manquent d'infrastructure de gouvernance

Les registres publient des manuels de politiques, des comptes de membres, des statistiques de ressources et certains résultats de fraude. Ils publient beaucoup moins sur les résultats de la vérification d'identité. Sans preuves d'achèvement et de rejet, les membres ne peuvent pas savoir si une porte plus forte prévient efficacement la fraude ou exclut des opérateurs légitimes.

Lerapport annuel 2024 du RIPE NCCa révélé neuf nouvelles demandes d'adhésion bloquées et six avertissements officiels de diligence raisonnable. Ces chiffres sont précieux mais limités. Ils ne montrent pas en soi pourquoi les demandes ont été bloquées, combien de demandes totales ont été évaluées, si les demandeurs ont corrigé le problème, quelle voie de vérification a échoué ou si un recours a changé le résultat.

Un ensemble de preuves responsable devrait rapporter les demandes commencées et terminées; les tentatives de vérification par méthode; la réussite, les tentatives, l'examen manuel et le refus automatiques; le temps d'achèvement médian et du centile supérieur; les grandes catégories de raisons; l'utilisation de voies alternatives; l'indisponibilité du fournisseur; l'abandon après échec; les recours; les annulations; et la fraude confirmée détectée. Les résultats doivent être segmentés avec soin par type de document, groupe de juridiction, forme juridique et taille d'organisation lorsque la confidentialité le permet.

Les dénominateurs sont essentiels. Dix refus parmi cent demandes signifient quelque chose de différent de dix parmi dix mille. L'abandon ne doit pas être traité comme un succès ou une fraude. Une personne peut partir parce que le processus est difficile, parce que les frais ont changé, ou parce que la demande était malveillante.

Les catégories de raisons doivent séparer l'authenticité du document d'identité, la non-correspondance faciale, l'existence de l'entreprise, l'autorité de représentation, les sanctions, la demande en double, les frais impayés et l'éligibilité à la politique de ressources. Les combiner en « échec de la diligence raisonnable » cache quel contrôle crée la charge.

La publication n'a pas besoin d'exposer des individus ou des seuils défensifs. Les petites cellules peuvent être combinées. Les méthodes de fraude sensibles peuvent être résumées. L'objectif est de permettre aux membres de tester la proportionnalité et les performances des fournisseurs, pas d'enseigner l'évasion.

Une évaluation indépendante devrait comparer les rapports des fournisseurs avec les résultats du registre. Un fournisseur peut rapporter que le logiciel a produit un résultat, tandis que le registre enregistre que le demandeur a eu besoin d'un support répété ou d'une correction humaine ultérieure. L'achèvement opérationnel et la précision substantielle comptent tous deux.

Les motifs et le recours protègent les deux parties

Les refus d'identité nécessitent une explication soignée. Trop de détails peuvent aider un fraudeur à affiner de faux documents. Trop peu laisse un demandeur légitime incapable de corriger une erreur. La réponse est une divulgation par étapes.

Un motif initial peut identifier la revendication échouée et l'étape suivante: l'authenticité du document n'a pas pu être établie; le registre du commerce ne correspondait pas; l'autorité de représentation reste non confirmée; ou la transaction nécessite un examen renforcé. Il doit identifier les preuves alternatives acceptables et une voie de soutien sans révéler un score défensif.

Un demandeur légitime qui effectue une authentification plus forte devrait recevoir des informations plus spécifiques sur la source de données et la discordance. Le registre devrait permettre la correction des enregistrements inexacts. Lorsqu'une source tierce a causé le problème, le demandeur ne devrait pas être renvoyé indéfiniment; le registre devrait pouvoir évaluer lui-même les preuves primaires.

Le recours doit atteindre quelqu'un ayant l'autorité de s'écarter du résultat du fournisseur et du premier examinateur. Le dossier devrait inclure les preuves soumises, les vérifications effectuées, les motifs, la réponse du fournisseur, les communications et le calendrier. Un recours réussi devrait corriger la décision et tout marqueur de risque persistant.

Les cas urgents ont besoin d'une voie accélérée. Une récupération de compte contestée ou un transfert en attente peut causer un préjudice opérationnel et financier pendant que l'identité est examinée. Des gels temporaires peuvent préserver les ressources, mais le registre devrait éviter de changer le titulaire ou l'autorité de sécurité de routage jusqu'à ce que le litige soit résolu.

Le résultat devrait alimenter l'apprentissage institutionnel. Des recours répétés impliquant une classe de documents peuvent indiquer une mauvaise couverture du fournisseur. Des annulations répétées d'une discordance d'entreprise peuvent montrer que la source de données commerciales est obsolète. Un registre qui traite chaque correction comme une exception isolée n'améliorera jamais la porte.

Les alternatives doivent être équivalentes, non punitives

Une voie alternative n'est pas significative si elle prend des mois, coûte nettement plus cher ou n'est disponible qu'après un échec automatisé répété. Les registres doivent concevoir les alternatives en même temps que la méthode numérique préférée.

La SP 800-63A du NIST reconnaît la vérification assistée à distance, les méthodes sur site et les référents de confiance pour les personnes qui ne peuvent pas effectuer des étapes technologiques lourdes en raison de la bande passante, des appareils, des capacités ou d'autres obstacles. Le modèle fédéral exact n'a pas besoin d'être copié, mais le principe est solide: des preuves humaines plus fortes peuvent compenser une limitation de canal.

Pour les registres, les alternatives pourraient inclure une session vidéo sécurisée avec du personnel formé, une vérification directe avec une autorité émettrice, une attestation juridique qualifiée, un examen en personne dans un bureau ou une réunion régionale planifiée, ou un membre parrain avec une responsabilité définie. Chaque voie devrait produire un enregistrement d'assurance comparable.

Les preuves alternatives doivent être listées par revendication. Une loi peut établir un organisme public lorsqu'un extrait d'entreprise n'existe pas. Une procuration peut établir une représentation. Les contrats historiques et les contacts établis peuvent soutenir la récupération. Les identifiants gouvernementaux vérifiables cryptographiquement peuvent réduire la copie de documents là où ils sont disponibles, mais ils devraient ajouter une voie plutôt que d'en éliminer d'autres.

Les coûts doivent être transparents. Si un examen manuel renforcé est nécessaire parce que le fournisseur choisi par le registre manque de couverture, facturer une pénalité au demandeur serait difficile à justifier. Si un demandeur crée une complexité inhabituelle ou des revendications non fondées répétées, des frais publiés peuvent être raisonnables. La distinction doit être visible.

Les niveaux de service doivent également être comparables. Une voie humaine ne peut pas toujours égaler un contrôle automatisé instantané, mais le registre devrait publier les délais attendus et surveiller si certains groupes attendent systématiquement plus longtemps. L'accessibilité et le soutien linguistique font partie de la conception du service.

Un fournisseur privé ne doit jamais détenir le veto final

Les sociétés d'identité proposent des bibliothèques de documents, la comparaison faciale, les tests de vivacité, les données de sanctions, l'intelligence des appareils et des informations d'entreprise. Leur échelle peut améliorer la détection des fraudes. Elle peut aussi concentrer le pouvoir.

Un fournisseur peut manquer de couverture pour une juridiction, modifier une règle d'acceptation, subir une panne, interrompre un produit ou être acquis. Des restrictions contractuelles peuvent empêcher le registre d'expliquer un résultat ou d'exporter des preuves. Plusieurs fournisseurs nominaux peuvent dépendre de la même source de données ou du même service cloud.

Le registre doit conserver l'autorité finale. Un résultat de fournisseur est une preuve, pas un jugement. Le personnel doit pouvoir examiner le matériel source, accepter une alternative et enregistrer une décision indépendante. Le contrat doit permettre l'audit des résultats, l'évaluation des performances démographiques et géographiques, les tests de sécurité et l'accès du régulateur lorsque requis.

La portabilité est essentielle. Les formats de données, les enregistrements d'assurance, la configuration, les codes de raison et les preuves de suppression doivent être exportables. Le registre doit savoir comment passer à un autre service sans forcer chaque membre à répéter la vérification d'identité. Une voie interne réduite doit rester disponible pendant la transition ou une panne.

Les tests de concentration doivent retracer les dépendances en dessous de la marque. Si la validation de documents, le filtrage des sanctions et les données d'entreprise dépendent tous d'un identifiant externe ou d'un fournisseur d'infrastructure, des contrats séparés ne créent pas de résilience. Les dépendances critiques doivent avoir des plans de continuité et des objectifs de rétablissement définis.

Le registre devrait publier le rôle de chaque fournisseur, l'emplacement du traitement, la conservation et les modifications importantes. Il n'a pas besoin de révéler la configuration défensive. Les membres ont besoin de suffisamment d'informations pour comprendre qui participe à une décision importante et où leurs données sensibles voyagent.

Les achats doivent être testés comme un contrôle de continuité

Les achats d'identité sont souvent évalués par des affirmations de précision, des certificats de sécurité et le prix. Un registre a besoin d'un test plus large car le service se trouve devant l'adhésion, les transferts et la récupération de compte. Le contrat doit être traité comme faisant partie de la continuité institutionnelle.

La première exigence est un objectif défini. Chaque fonction du fournisseur doit correspondre à une revendication particulière, comme l'authenticité du document, la présence en direct, l'existence de l'entreprise ou le statut des sanctions. Les produits de fraude larges qui combinent des signaux non liés en un seul score sont plus difficiles à gouverner. Le registre doit savoir quelle entrée a provoqué l'escalade et doit interdire l'utilisation de ses données de demandeur pour un enrichissement commercial non lié.

La deuxième exigence est l'accès aux preuves. Le registre a besoin de suffisamment d'informations sous-jacentes pour examiner un résultat sans devenir dépendant de la conclusion du fournisseur. Cela ne signifie pas conserver chaque image biométrique. Cela signifie recevoir des catégories de raisons documentées, des sources de validation, des limites de confiance, des horodatages et une voie sécurisée pour l'examen des cas. Si un fournisseur ne peut pas expliquer un échec matériel à l'institution responsable, son résultat ne devrait pas soutenir un refus final.

La troisième exigence est un service mesuré. Les objectifs de disponibilité doivent couvrir l'ensemble du parcours du demandeur, pas seulement une réponse d'interface. Les rapports doivent inclure l'achèvement réussi, les tentatives, les documents non pris en charge, les faux échecs découverts lors de l'examen, le temps de traitement et l'escalade du soutien. Les performances doivent être examinées par les populations et les appareils réellement servis.

La quatrième exigence est un changement contrôlé. Un fournisseur doit donner un préavis des nouvelles règles de documents, des composants de comparaison faciale, des pratiques de conservation, des sous-traitants et des régions d'hébergement. Les mises à jour de sécurité d'urgence peuvent aller plus vite, mais le registre doit pouvoir identifier quelle version a affecté une décision. Une version commerciale ne doit pas modifier silencieusement l'accès des membres.

La cinquième exigence est la sortie. Avant de signer, le registre doit démontrer qu'il peut exporter les enregistrements d'assurance, préserver les preuves de décision, diriger les nouveaux demandeurs vers une autre voie et continuer la récupération urgente. Un test de migration doit inclure les identifiants révoqués, les recours ouverts et les obligations de suppression. Les clauses de sortie qui n'ont jamais été exercées offrent une faible réassurance.

La sixième exigence est le confinement des défaillances. Si le fournisseur est indisponible, les détenteurs déjà vérifiés doivent conserver un accès sûr aux services non liés. Les nouvelles transactions à haut risque peuvent être mises en pause, mais la visibilité de routine des enregistrements, le soutien et les fonctions de sécurité sensibles au temps ne devraient pas disparaître simplement parce qu'un composant de vérification est en panne.

La septième exigence est une assurance indépendante. Les tests de sécurité doivent traiter la transmission des documents, l'accès au compte, le privilège administratif, les sous-traitants et la suppression. L'évaluation des performances doit traiter à la fois la détection des fraudes et l'échec des utilisateurs légitimes. L'auditeur du registre doit pouvoir inspecter les preuves pertinentes plutôt que d'accepter un résumé marketing.

Les achats ne peuvent pas résoudre tous les problèmes de gouvernance. Ils peuvent, cependant, empêcher un service commercial d'acquérir une autorité par défaut. Le test décisif est de savoir si le registre reste capable de comprendre, d'examiner et de poursuivre la fonction lorsque le fournisseur a tort ou est absent.

L'assurance d'identité a besoin d'un dossier de service visible par les membres

Chaque événement de vérification terminé devrait produire un dossier concis pour le membre. Il devrait indiquer quelles revendications ont été établies, la méthode d'assurance, la date, l'expiration ou le déclencheur de révision, les données conservées par le registre, l'implication du fournisseur et la voie pour corriger une erreur. Il ne devrait pas exposer les détails défensifs ou les numéros de documents réutilisables.

Ce dossier réduit la collecte répétée. Un membre peut voir que l'existence organisationnelle et l'autorité de représentation restent valides tandis qu'une nouvelle transaction à haut risque nécessite seulement une approbation supplémentaire. Le personnel peut distinguer un rôle expiré d'une identité non vérifiée. Les auditeurs peuvent évaluer si le niveau appliqué correspondait à l'action.

Le membre devrait également voir les délégations: qui peut administrer les contacts, qui peut autoriser les transferts, si deux approbations sont nécessaires et quand un rôle expire. Une délégation claire est un contrôle de fraude car les changements de privilège inhabituels deviennent visibles. Cela aide également les petits opérateurs à éviter les comptes partagés.

Les corrections doivent préserver l'historique sans perpétuer le préjudice. Si un nom légal est mis à jour ou une fausse discordance est annulée, l'enregistrement actif doit être exact et les anciennes preuves sensibles doivent suivre leur limite de conservation. Un marqueur de risque corrigé ne devrait pas continuer à influencer les décisions ultérieures de manière invisible.

Le dossier de service n'est pas un profil d'identité public. L'accès appartient au titulaire, au personnel autorisé et aux réviseurs ayant un besoin défini. Les données d'enregistrement publiques doivent rester régies par des règles de divulgation séparées. Le but est de rendre l'assurance compréhensible pour la partie qui y est soumise.

La vérification d'identité doit rester séparée du droit aux ressources

Une personne ou une entreprise vérifiée n'a pas automatiquement droit à une ressource numérique. Une demande de ressource peut encore échouer aux conditions techniques ou politiques. Inversement, un droit légitime ne devrait pas être perdu simplement parce qu'une méthode de vérification numérique a échoué.

Séparer ces décisions améliore la responsabilité. L'enregistrement d'identité peut indiquer que l'existence légale, l'identité personnelle et l'autorité de représentation ont atteint un niveau d'assurance défini. La décision sur les ressources peut indiquer si l'action demandée respecte la politique applicable. Une décision de sanction peut identifier la base légale et le service concerné. Chacune a ses propres preuves et son propre examen.

Cette séparation empêche également une réutilisation excessive. Les plans réseau détaillés soumis pour établir le besoin en ressources ne devraient pas être transmis à un fournisseur d'identité. Les images de passeport ne devraient pas influencer l'évaluation de la politique des ressources. Les indicateurs de fraude devraient être limités aux fonctions de sécurité et d'intégrité autorisées.

La publication WHOIS et RDAP nécessite une autre frontière. La vérification d'identité peut collecter des données privées pour établir un titulaire, mais le service d'enregistrement public ne doit divulguer que les champs justifiés par son objectif et ses règles d'accès. La vérification n'implique pas qu'un nom de passeport, une adresse personnelle ou un numéro de document appartiennent aux données d'enregistrement public.

L'institution doit maintenir un lien vérifiable entre le titulaire vérifié et l'enregistrement public sans exposer la preuve elle-même. Les modifications de ce lien méritent une autorisation forte et une notification. La précision des données publiques peut s'améliorer tandis que l'exposition de l'identité privée diminue.

L'assurance continue doit se concentrer sur le changement

L'identité n'est pas établie de manière permanente lors de l'inscription. Les entreprises fusionnent, se dissolvent ou changent de dirigeants. Le personnel part. Les domaines de messagerie expirent. Les identifiants sont volés. Les ressources bougent. Une assurance continue est raisonnable, mais une preuve maximale répétée ne l'est pas.

Le compte KYC 2025 du RIPE NCC décrit une surveillance des détails légaux et des événements d'entreprise. Une telle surveillance peut identifier les changements qui nécessitent un examen. Le risque est de traiter chaque alerte de données commerciales comme concluante. Un signal de fusion d'un fournisseur devrait conduire à une confirmation, pas à une réaffectation ou une résiliation automatique.

Les registres devraient définir les événements qui déclenchent une re-vérification: un changement de nom légal, un transfert, une récupération de compte, un remplacement complet des contacts, une longue inactivité, un enregistrement public contradictoire ou un signalement de fraude crédible. Les connexions ordinaires doivent reposer sur l'authentification plutôt que sur une capture d'identité répétée.

Les membres doivent recevoir un avis et du temps pour corriger les informations obsolètes. Une suspension soudaine peut nuire au routage et aux services de sécurité. Lorsque le risque est immédiat, le registre peut restreindre les modifications à fort impact tout en préservant l'accès aux enregistrements essentiels et au soutien.

L'autorité déléguée doit avoir un cycle de vie. Les organisations doivent examiner périodiquement les rôles, retirer le personnel parti et maintenir plus d'un contact de confiance. Le registre peut fournir des alertes et des rapports sans exiger un document du dirigeant à chaque fois.

La surveillance continue a aussi besoin de limites. La surveillance commerciale ouverte peut collecter plus d'informations que les objectifs du registre ne le justifient. Les sources, les catégories de déclencheurs, la conservation et l'examen humain doivent être documentés. Une personne doit pouvoir corriger un faux événement d'entreprise ou un lien d'identité erroné.

Ce que la NRS peut défendre sans devenir la porte d'identité

La Number Resource Society a un intérêt légitime de plaidoyer dans la manière dont les portes d'identité affectent ses membres et les autres opérateurs. Elle peut rechercher les schémas d'échec, documenter l'exclusion, convoquer les entreprises concernées, militer pour des sauvegardes proportionnées et représenter un membre qui l'a autorisée dans la gouvernance des RIR. Elle n'établit pas l'identité du titulaire, n'approuve pas un transfert, ne conserve pas de preuves d'identité, n'exploite pas un compte de registre, n'émet pas une attestation de routage ni ne tranche un litige.

Une identité précise soutient ces fonctions, mais la preuve et la décision restent avec le RIR compétent ou un autre opérateur légalement autorisé, sous réserve des tribunaux et d'un examen indépendant le cas échéant.

Chaque RIR ou autre exploitant de service de registre autorisé devrait maintenir une politique d'assurance publique qui sépare l'existence légale, l'identité personnelle, l'autorité de représentation, l'approbation de transaction et la restriction légale. Chaque action du registre devrait avoir un niveau proportionné, des classes de preuves acceptées, des alternatives, une conservation et un examen. La NRS peut comparer ces politiques publiées et soumettre des recommandations fondées sur des sources; elle ne peut pas transformer la procuration d'un membre en autorité sur le registre ou sur un autre détenteur.

Chaque registre exécutant devrait préférer les attributs faisant autorité à l'accumulation de documents. Une revendication vérifiée provenant d'une source publique peut être enregistrée sans conserver des images inutiles. Les identifiants réutilisables peuvent réduire la divulgation répétée lorsqu'ils sont assurés de manière indépendante et non liés à un seul fournisseur. Les membres devraient pouvoir choisir parmi les méthodes approuvées par ce registre qui atteignent une assurance équivalente.

Les registres exécutants devraient publier des preuves de résultats agrégés et commander des tests indépendants. Leurs conseils d'administration responsables, leurs membres et leurs examinateurs indépendants devraient examiner la concentration des fournisseurs, les incidents de confidentialité, les disparités de rejet, les annulations de recours et la continuité du service. Un taux élevé de refus ou d'abandon dans une juridiction devrait déclencher une enquête de l'opérateur.

La NRS peut analyser les preuves résultantes, enquêter auprès des membres et défendre une correction, mais elle n'audite pas le fournisseur au nom du registre ni ne certifie le résultat.

Chaque registre exécutant devrait conserver une voie dotée de personnel pour les cas difficiles. Un jugement humain qualifié n'est pas un échec du service numérique là où le droit, la langue ou les preuves sont réellement complexes. L'échec serait de rendre cette voie inaccessible ou non responsable.

Enfin, un RIR ou un opérateur autorisé devrait pouvoir changer de fournisseur d'identité sans changer qui peut être membre. Le modèle de couverture d'un fournisseur ne doit jamais devenir la géographie tacite de la gouvernance des ressources numériques. La NRS peut insister pour cette portabilité; elle n'est pas elle-même le fournisseur, l'autorité d'achat ou le service de vérification de secours.

Ce que la période 2020-2027 montre

La période a commencé avec une confiance croissante dans le fait que l'identité numérique pourrait soutenir la diligence raisonnable à distance. Les directives du GAFI de 2020 mettaient l'accent sur une utilisation fondée sur les risques plutôt que sur une technologie obligatoire unique. En 2021, le RIPE NCC a ajouté publiquement des services commerciaux de sanctions, de données commerciales et de documents d'identité. En 2024 et 2025, l'authentification multifacteur obligatoire, les vérifications vidéo de récupération et les fonctions d'intégrité dédiées du registre sont devenues plus visibles.

La même période a exposé les limites. Des documents frauduleux confirmés ont atteint les processus de transfert. Les médias à distance sont devenus plus faciles à manipuler. Les chaînes de fournisseurs se sont étendues. La confidentialité et les performances biométriques ont reçu un traitement technique plus détaillé. La révision 2025 du NIST a répondu avec des exigences plus strictes en matière de fraude, de recours, d'expérience client, de tiers et de performances démographiques.

D'ici 2027, un registre crédible devrait pouvoir répondre à des questions de base avec des preuves. Quelles actions nécessitent quelle assurance? Combien de demandeurs terminent chaque méthode? Qui est envoyé en examen manuel? Pourquoi les demandes sont-elles refusées? À quelle fréquence les refus sont-ils annulés? Combien de temps le matériel sensible est-il conservé? Quelles dépendances des fournisseurs peuvent interrompre le service? Quelle alternative reste-t-il en cas de panne?

Si ces réponses ne sont pas disponibles, des vérifications d'identité plus fortes peuvent encore arrêter certaines fraudes, mais leur légitimité et leur efficacité nette ne peuvent pas être évaluées. Une sécurité qui ne mesure que les abus détectés et ignore l'exclusion légitime est incomplète.

Les signes d'alerte

Le premier signe d'alerte est une voie de vérification unique pour chaque demandeur et transaction. Cela suggère que la commodité d'achat, et non le risque, définit le contrôle.

Le deuxième est un abandon inexpliqué. Si de nombreux demandeurs commencent mais ne terminent pas, le registre ne devrait pas supposer qu'ils étaient malveillants. Il devrait enquêter sur les obstacles de canal, de langue, d'appareil, de frais et de documents.

Le troisième est un refus générique que le personnel ne peut pas annuler. Cela signifie que le fournisseur a le veto pratique.

Le quatrième est une conservation indéfinie des images d'identité ou des données biométriques. La charge de justification devrait augmenter avec la sensibilité et le temps.

Le cinquième est une disparité répétée par juridiction, type de document, âge, teint de peau, handicap ou taille d'organisation sans tests opérationnels et correction. La différence ne prouve pas la discrimination, mais ignorer une différence mesurée est indéfendable.

Le sixième est le couplage de services. Si la défaillance d'un fournisseur d'identité désactive la maintenance de routine des données de routage ou les actions de sécurité de routage pour des détenteurs déjà vérifiés, la porte est trop large.

Le septième est la confusion des catégories. L'incertitude d'identité, les sanctions, le paiement, l'inéligibilité politique et la fraude présumée ne devraient pas s'effondrer en une seule étiquette défavorable.

Une identité forte devrait préserver l'entrée, pas la privatiser

Les ressources numériques Internet ont une valeur opérationnelle et économique. Les registres ne devraient pas les libérer ou les modifier sur la seule force d'un mot de passe et d'un fichier téléchargé. L'existence de l'entreprise, l'identité individuelle, l'autorité de représentation et l'approbation de transaction méritent une vérification sérieuse.

La méthode détermine si cette protection reste légitime. Un contrôle biométrique universel peut imposer des barrières inégales. Une correspondance de données commerciales peut confondre une couverture faible avec une inexistence. Une panne de fournisseur peut interrompre le service. Un score opaque peut devenir un refus que personne au registre ne peut expliquer.

L'assurance hiérarchisée selon le risque est la meilleure conception. Elle applique des preuves solides là où une action non autorisée causerait un préjudice grave, utilise l'authentification et la délégation pour les opérations de routine, et offre des alternatives assistées ou documentaires lorsque la vérification automatisée échoue. Elle minimise et supprime les données sensibles, mesure le rejet et le recours, et maintient le jugement final avec le registre.

Le cas positif pour la NRS dans ce débat est qu'une organisation indépendante de membres et de plaidoyer peut exposer où les contrôles d'identité excluent des opérateurs légitimes et peut faire pression sur les institutions compétentes pour obtenir des preuves, des motifs et des recours. Ce cas ne dépend pas de la transformation de la NRS en un registre plus mince, un fournisseur d'identité ou un service de secours futur.

Une identité précise du titulaire rend crédible l'administration responsable du registre, mais le RIR exécutant ou un autre opérateur autorisé doit contrôler ses normes de preuve, ses motifs et sa continuité, tandis qu'un réviseur indépendant ou un tribunal fournit le recours pertinent.

La porte du registre devrait être difficile pour un imposteur et navigable pour un petit opérateur légitime. Elle devrait reconnaître la diversité juridique transfrontalière sans accepter des revendications invérifiables. Elle devrait bénéficier de l'expertise technique privée sans accorder à une entreprise privée l'autorité finale. Une identité forte n'est pas la quantité maximale de données qu'un registre peut collecter. C'est le minimum de preuves fiables, appliqué proportionnellement au risque, avec une voie claire de correction lorsque la porte se trompe.