Le projet RA21 et Seamless Access
Le projet RA21 et sa réception
Initié en 2016 par l”association des éditeurs STM, le projet RA21 démarre mi-2017 et définit un ensemble de recommandations à destination des éditeurs et des bibliothèques. Les grands éditeurs (Elsevier, Springer Nature, Wiley, ACS, IEEE, Wolters Kluwer, Taylor and Francis) ainsi que de nombreux prestataires des bibliothèques (Proquest, OCLC, Ebsco, OpenAthens, LibLynx) ont participé au comité de pilotage et sont majoritaires dans les groupes de travail. Ce travail aboutit à la publication d’un rapport de la NISO en juin 2019.
L’ARL pointait un certain nombre de questions et d’inquiétudes en commentaires de ce rapport :
- la composition du comité de pilotage et son nécessaire rééquilibrage,
- l’évaluation précise des effets probables dans le monde réel sur la vie privée des utilisateurs et la gestion des données dans les différentes implémentations possibles du standard,
- la garantie pour tout système d’authentification d’un accès public, car de nombreuses bibliothèques de recherche sont tenues par la loi de le fournir (walk-in users)
- la conformité aux dernières normes d’accessibilité (WCAG 2.1 AA)
- la vérification et l’audit des implémentations et usages de l’authentification fédérée pour s’assurer que les fournisseurs et les éditeurs respectent leurs obligations contractuelles, en particulier du point de vue de la gestion des données
Et en particulier, un point qui nous intéresse plus spécifiquement au sein du GTI : “le besoin de statistiques sur l’utilisation des ressources électroniques, qui sont d’une importance capitale pour leur budgétisation et d’autres décisions de gestion. Actuellement, les serveurs proxy des bibliothèques génèrent ces données agrégées, qui sont protégées par les politiques de données des bibliothèques et des universités, sans dépendre des éditeurs et des vendeurs pour les fournir. Dans sa version actuelle, la recommandation RA21 est destinée à remplacer les systèmes d’authentification IP contrôlés par les bibliothèques, mais elle ne prévoit pas d’équivalent pour les données d’utilisation contrôlées par les bibliothèques. Au lieu de cela, il semble probable que la recommandation contraigne les bibliothèques de recherche à une plus grande dépendance vis-à-vis des fournisseurs de services, qui pourraient souvent avoir des incitations importantes à retenir ou à manipuler les données pertinentes – par exemple, pour obtenir un avantage informationnel dans les négociations de prix. Il sera important de se pencher sur cette question à l’avenir.”
Dans les réponses apportées à ces questions, il est confirmé que “l’adoption plus généralisée de l’authentification fédérée permettrait en effet de réduire le volume du trafic des clients passant par un serveur proxy fourni par l’institution. Il convient de noter que d’autres mécanismes d’accès actuellement utilisés ont le même effet, comme l’authentification IP directe, les VPN et d’autres systèmes de mise en cache des droits (…). La plupart des fournisseurs de ressources scientifiques fournissent des rapports COUNTER qui font l’objet d’un audit indépendant, ce qui élimine toute possibilité de fausse déclaration. Pour les institutions qui recherchent des informations d’utilisation plus granulaires que celles qui sont disponibles par COUNTER, la partie ‘Future Work’ de la recommandation note qu’une spécification d’attribut formelle à cette fin sera développée.”
L’évolution de RA21 en Seamless Access
SeamlessAccess reprend les principes fondateurs du projet RA21 : « un service conçu pour favoriser une expérience d’accès en ligne plus rationalisée lors de l’utilisation d’outils de collaboration scientifique, de ressources d’information et d’infrastructures de recherche partagées. Ce service favorise l’authentification numérique en s’appuyant sur l’infrastructure existante de signature unique de l’établissement d’origine, tout en maintenant un environnement qui protège les données personnelles et la vie privée. »
L’orientation et la mise en œuvre du service proviennent de l’initiative RA21, un projet conjoint de l’Association internationale des éditeurs STM et de la NISO (National Information Standards Organization). Bien que l’origine de l’effort ait été dans les communautés de l’édition savante et des bibliothèques, l’applicabilité de SeamlessAccess est pour toutes les parties qui veulent utiliser l’identité fédérée dans le cadre de leurs flux de travail d’authentification et d’autorisation.
La gouvernance de ce service est assurée par la Coalition for Seamless Access, une collaboration entre quatre organisations : GÉANT, Internet2, la NISO et l’International Association of STM Publishers (STM). Chaque organisation participant au comité de gouvernance offre un soutien financier ou en nature pour le fonctionnement du service.