Document de garanties structurelles

Cadre de Souveraineté et de Confiance

La Charte de Neutralité définit ce que nous ne ferons pas. Le Cadre explique pourquoi nous ne pouvons structurellement pas le faire.

Objet

Ce document répond à une préoccupation légitime : si la Plateforme publie des indices de légitimité pour des agents publics dans les 27 États membres de l'UE, les gouvernements et institutions doivent s'assurer que la Plateforme ne peut pas être utilisée comme outil d'influence étrangère, que les données citoyennes restent sous contrôle souverain, et qu'aucun acteur — y compris l'opérateur de la Plateforme — ne peut manipuler les résultats.

1. Souveraineté des données

1.1

Stockage juridictionnel

Les données citoyennes de chaque pays sont stockées sur des serveurs situés sur le territoire de ce pays, dans la mesure du possible. En aucun cas les données citoyennes ne quittent l'UE.

1.2

Autonomie nationale des données

Les données de chaque pays existent dans une infrastructure indépendante — pas divisées logiquement dans un système partagé, mais déployées indépendamment. Un incident de sécurité dans un pays ne compromet pas les données d'un autre pays.

1.3

Pas de base de données centrale de données personnelles

Il n'existe pas de base de données centrale contenant des informations identifiables sur les citoyens de plusieurs pays. AGPT Ltd gère la Plateforme mais n'agrège pas de données personnelles entre juridictions.

1.4

Minimisation des données

La Plateforme ne collecte pas de noms, numéros de documents, adresses ou autres identifiants personnels. Le seul lien entre un citoyen et son compte est un hachage cryptographique unidirectionnel (SHA-256 avec sel saisonnier rotatif).

2. Restrictions de l'opérateur

2.1

L'opérateur ne peut pas identifier les citoyens

AGPT Ltd n'a pas accès au processus de vérification d'une manière qui révèle qui est un citoyen. La conversion eID-vers-empreinte se produit à la frontière d'authentification. L'empreinte entre dans le système, pas la personne.

2.2

L'opérateur ne peut pas modifier les indices

Les indices de légitimité sont calculés automatiquement à partir des jugements citoyens agrégés selon des formules publiées. Il n'existe pas d'interface d'administration permettant de modifier manuellement une valeur d'indice. Appliqué par architecture, pas par politique.

2.3

L'opérateur n'a pas accès aux jugements individuels

Le système ne stocke que l'état actuel du jugement de chaque compte à l'égard de chaque agent. Il n'existe pas de mécanisme permettant de répondre à la question « Comment le citoyen X a-t-il évalué l'agent Y ? »

2.4

L'opérateur ne peut pas supprimer ni amplifier sélectivement

Les règles de publication sont uniformes : chaque agent à chaque niveau est soumis aux mêmes seuils, aux mêmes calculs d'intervalles de confiance et aux mêmes mécanismes de détection des anomalies.

3. Vérifiabilité algorithmique

3.1

Méthodologie publiée

La méthodologie complète de calcul des indices est publiée dans le White Paper. Quiconque dispose des données d'entrée agrégées peut vérifier indépendamment les résultats.

3.2

Audits indépendants

AGPT Ltd s'engage à des audits indépendants réguliers par des organisations externes dans les domaines de la sécurité, de la méthodologie, de la confidentialité et de la conformité. Les résultats des audits sont publiés.

3.3

Journal de la Plateforme comme journal des modifications

Tout changement d'algorithme, de seuil de publication ou de paramètre opérationnel est documenté dans le Journal de la Plateforme avant son entrée en vigueur. Pas de mises à jour silencieuses.

4. Garanties d'indépendance

4.1

Aucun financement gouvernemental

AGPT Ltd ne reçoit aucun financement de gouvernements, d'organisations intergouvernementales ou d'entités affiliées à des États dans quelque juridiction que ce soit où la Plateforme opère.

4.2

Aucun accès gouvernemental aux données

Aucun gouvernement ne dispose d'un accès privilégié aux données de la Plateforme au-delà de ce qui est publiquement disponible. Les demandes des forces de l'ordre sont traitées dans le cadre des procédures juridiques standard.

4.3

Pas d'interrupteur d'arrêt

L'architecture de la Plateforme ne comporte pas de mécanisme permettant à un seul acteur de fermer, suspendre ou modifier substantiellement un déploiement national sans processus documenté.

4.4

Indépendance des revenus

Les revenus proviennent d'abonnements fixes (1,90 €–19,90 €/mois pour les agents ; 49 €/mois pour l'accès aux données), uniformes dans les 27 États membres et indépendants de la valeur de l'indice.