Protection des données à caractère personnel

La fédération d'identités offre une architecture et des mécanismes assurant le respect de la législation relative à la protection des données à caractère personnel. RENATER a notamment travaillé avec la CNIL sur l'élaboration de recommandations concernant l'usage de la fédération d'identités. Elles sont l'objet de la fiche numéro 10 du Guide "Informatique et Libertés" pour l'enseignement supérieur et la recherche.

La fédération d'identités permet notamment de diffuser un jeu minimal d'informations concernant l'utilisateur vers une ressource à laquelle il accède : seules les informations réellement nécessaires pour l'accès à la ressource sont diffusées. Dans de nombreux cas, cela permet d'éviter de divulguer des informations nominatives de l'utilisateur. En effet, un profil générique d'utilisateur suffit souvent pour l'accès à une ressource : appartenance ou non à un établissement ou à une filière de formation par exemple.

Pour certaines ressources, la fédération permet même de ne diffuser aucune information, se contentant d'indiquer seulement le fait que l'utilisateur est correctement authentifié auprès de son établissement de rattachement. On a ainsi des accès authentifiés et contrôlés mais qui restent anonymes.

Avec la fédération d'identités, les établissements de rattachement des utilisateurs gardent la maîtrise des informations qui sont diffusées, et ce en fonction de chacune des ressources auxquelles les utilisateurs accèdent. Il est également possible de permettre aux utilisateurs de vérifier les informations personnelles qui sont diffusées lorsqu'ils accèdent pour la première fois à une ressource.