Document de garanties structurelles

Cadre de Souveraineté et de Confiance

La Charte de Neutralité définit ce que nous ne ferons pas. Ce Cadre explique pourquoi nous ne pouvons structurellement pas le faire.

Publié par AGPT Ltd. En vigueur à compter de la date de lancement de la Plateforme.

Objet

Ce document répond à une préoccupation légitime : lorsqu'une Plateforme publie des indices de légitimité pour des agents exerçant une autorité publique dans 27 États membres de l'UE, les gouvernements et les institutions ont besoin de l'assurance que la Plateforme ne peut être utilisée comme instrument d'influence étrangère, que les données des citoyens restent sous contrôle souverain, et qu'aucun acteur – y compris l'opérateur de la Plateforme – ne peut manipuler les résultats.

1. Souveraineté des données

Où résident les données des citoyens, comment elles sont séparées, et ce que l'opérateur ne conserve jamais.

1.1

Résidence juridictionnelle des données

Les données des citoyens de chaque pays sont stockées sur des serveurs situés dans ce pays dans la mesure du possible. Lorsque l'infrastructure nationale ne répond pas encore aux exigences de sécurité, de disponibilité et de conformité de la Plateforme, les données sont stockées dans l'UE dans une infrastructure adaptée à la juridiction. En aucun cas les données des citoyens ne sont transférées hors de l'UE.

1.2

Indépendance nationale des données

Les données de chaque pays existent dans leur propre infrastructure indépendante. Les bases de données sont entièrement séparées – non partitionnées logiquement au sein d'un système partagé, mais déployées de façon indépendante. Un incident de sécurité affectant l'infrastructure d'un pays n'expose pas les données d'un autre pays. Les requêtes de données transfrontalières sont architecturalement impossibles.

1.3

Absence de base de données personnelles centralisée

Il n'existe aucune base de données centrale contenant des informations identifiables sur des citoyens de plusieurs pays. AGPT Ltd opère la Plateforme mais n'agrège pas de données personnelles entre juridictions. Les seules données transfrontalières sont les indices agrégés publiés – qui sont publics par conception.

1.4

Minimisation des données

La Plateforme ne collecte ni noms, ni numéros de document, ni adresses, ni aucun identifiant personnel. Le seul lien entre un citoyen et son compte est un hachage cryptographique à sens unique (SHA-256 avec un sel saisonnier) dérivé de la vérification eID. Ce hachage ne peut être inversé pour identifier la personne.

2. Contraintes de l'opérateur

Ce qu'AGPT Ltd – l'opérateur de la Plateforme – est structurellement incapable de faire.

2.1

L'opérateur ne peut identifier les citoyens

AGPT Ltd n'a pas accès au processus de vérification d'identité d'une manière qui révélerait qui est un citoyen quelconque. La conversion eID-vers-empreinte s'effectue à la frontière d'authentification. Ce qui entre dans le système est une empreinte, non une personne.

2.2

L'opérateur ne peut modifier les indices

Les indices de légitimité sont calculés automatiquement à partir des jugements citoyens agrégés selon des formules publiées. Il n'existe aucune interface administrative permettant de modifier manuellement une valeur d'indice. Le pipeline de calcul est déterministe : à données d'entrée identiques, il produit toujours les mêmes résultats. C'est l'architecture qui l'impose, non une politique.

2.3

L'opérateur ne peut accéder aux jugements individuels

Le système ne conserve que l'état actuel du jugement de chaque compte envers chaque agent (confiance, défiance ou neutre). Ces états sont anonymes et ne peuvent être rattachés à une personne. Il n'existe aucun mécanisme permettant d'interroger « comment le citoyen X a-t-il jugé l'agent Y » – le modèle de données ne le permet pas.

2.4

L'opérateur ne peut supprimer ni amplifier de manière sélective

Les règles de publication sont uniformes : tout agent à tout échelon est soumis aux mêmes seuils, aux mêmes calculs d'intervalle de confiance, à la même détection des anomalies. Il n'existe aucune configuration par agent susceptible d'être utilisée pour retarder une publication, relever des seuils ou traiter différemment un agent quelconque.

3. Vérifiabilité algorithmique

Comment toute personne peut vérifier que les chiffres sont calculés correctement.

3.1

Méthodologie publiée

La méthodologie complète de calcul des indices est publiée dans le Livre Blanc et résumée sur chaque Plateforme nationale. Cela inclut : la formule, la méthode de l'intervalle de confiance, les seuils de publication, les règles d'arrondi et les critères de signalement des anomalies. Toute personne disposant des données d'entrée agrégées peut vérifier indépendamment le résultat.

3.2

Audits indépendants

AGPT Ltd s'engage à procéder à des audits indépendants périodiques par des organisations tierces couvrant : la sécurité (tests de pénétration annuels), la méthodologie (revue académique), la confidentialité (revue de l'architecture de protection des données) et la conformité (revue juridique de l'adhérence au RGPD). Les résultats des audits sont publiés.

3.3

Le Journal de la Plateforme comme registre des modifications

Toute modification apportée à l'algorithme, aux seuils de publication ou aux paramètres opérationnels est documentée dans le Journal de la Plateforme (teisond.com/journal) avant sa mise en œuvre. Le Journal est un registre public, versionné et permanent. Il n'existe aucune mise à jour silencieuse.

4. Garanties d'indépendance

4.1

Absence de financement gouvernemental

AGPT Ltd ne reçoit de financement d'aucun gouvernement, organisation intergouvernementale ou entité affiliée à l'État. Cela s'applique à toutes les juridictions dans lesquelles la Plateforme opère.

4.2

Absence d'accès gouvernemental aux données

Aucun gouvernement ne dispose d'un accès privilégié aux données de la Plateforme au-delà de ce qui est publiquement disponible. Les demandes des forces de l'ordre sont traitées par les procédures juridiques standards (ordonnances judiciaires) dans la juridiction concernée, et uniquement dans la mesure où cela est techniquement possible – ce qui est limité, la Plateforme ne conservant pas de données personnelles identifiables.

4.3

Absence d'interrupteur de coupure

L'architecture de la Plateforme ne comporte aucun mécanisme permettant à un acteur unique (y compris la direction d'AGPT Ltd) d'arrêter, de suspendre ou d'altérer matériellement le déploiement d'un pays sans processus documenté. Des procédures d'urgence existent pour les incidents de sécurité, mais elles sont enregistrées, auditables et divulguées dans le Journal de la Plateforme.

4.4

Indépendance des revenus

Les revenus de la Plateforme proviennent d'abonnements à prix fixe souscrits par des agents et des institutions. Les tarifs d'abonnement sont fixés par niveau d'autorité (1,90 €–19,90 €/mois), uniformes dans les 27 pays de l'UE, et ne dépendent pas de la valeur de l'indice. L'abonnement achète de la profondeur d'analyse, non une influence sur les résultats.

4.5

Résilience structurelle

Si AGPT Ltd cessait d'opérer, la méthodologie (publiée dans le Livre Blanc), l'architecture du code source (documentée) et les données agrégées (publiques) existent indépendamment de la société. La Plateforme est conçue de sorte que ses résultats publics pourraient être vérifiés, répliqués ou poursuivis par un autre opérateur utilisant la même méthodologie publiée.

Trajectoire de propriété

La Plateforme est conçue pour passer du contrôle de l'opérateur à la propriété citoyenne. Ce n'est pas une promesse de futur – c'est un engagement architectural présent. L'infrastructure construite aujourd'hui est construite pour être transmise. Le calendrier, le mécanisme et la trajectoire de gouvernance sont documentés dans le Livre Blanc (Section 9).

Ce que ce Cadre ne garantit pas

Aucune architecture technique n'élimine tous les risques. Ce Cadre est honnête sur ses limites.

Des campagnes coordonnées par de vrais citoyens vérifiés sont possibles. La Plateforme les détecte et les signale, mais ne peut empêcher les citoyens de s'organiser.

Des gouvernements peuvent tenter d'exercer des pressions juridiques par la voie de tribunaux locaux. AGPT Ltd opère sous le droit anglais et maintient des réserves juridiques pour répondre aux contestations juridictionnelles.

La Plateforme dépend de l'infrastructure eID opérée par les gouvernements nationaux. Si un gouvernement dégrade son propre système eID, la qualité de la vérification dans ce pays peut en être affectée.

Ce sont des risques réels. L'objet du Cadre n'est pas de revendiquer la perfection, mais de garantir que l'opérateur de la Plateforme ne sera jamais la source du problème.

Le Cadre de Souveraineté et de Confiance est un document public permanent. Toute modification est publiée dans le Journal de la Plateforme avec sa justification complète avant d'entrer en vigueur. Les versions antérieures demeurent dans l'archive publique.

AGPT Ltd – Advanced Global Polling Technology Ltd, Royaume-Uni · teisond.com