Le Protocole de transparence des Nations Unies (UNTP) de l’UN/CEFACT est la norme mondiale en cours d’élaboration qui définit la manière dont les passeports numériques des produits et les justificatifs vérifiables doivent être structurés, signés et contrôlés. Il est délibérément conçu de manière simple et neutre vis-à-vis des fabricants : il s’agit d’un langage commun sur lequel peuvent s’appuyer les régimes obligatoires régionaux, tels que le passeport produit de l’UE, plutôt que de laisser chaque juridiction et chaque fournisseur inventer son propre format.
L’UNTP a soumis la version 0.7.0 à une consultation publique. Jusqu’à la publication de la version 1.0, toute personne et toute organisation peut faire part de ses commentaires via un registre ouvert. Nous avons soumis six commentaires. Deux d’entre eux ont déjà reçu une réponse du groupe de travail - et l’un d’eux a entraîné une modification de notre propre code.
Il ne faut pas confondre cela avec la consultation de l’UE à laquelle nous avons également participé : celle-ci portait sur le registre DPP obligatoire de la Commission européenne. L’UNTP constitue le niveau inférieur - l’infrastructure technique mondiale sur laquelle le registre de l’UE et d’autres régimes peuvent s’appuyer.
Pourquoi nous participons à l’élaboration de la norme mondiale
Un passeport produit que seul le logiciel d’un unique fournisseur peut lire et vérifier n’est pas un passeport : c’est un silo sous un nom plus flatteur. L’intérêt d’un DPP réside dans le fait qu’un acheteur, un recycleur ou une autorité de surveillance du marché puisse vérifier les informations à l’aide de n’importe quel outil conforme, et pas uniquement avec le nôtre. C’est dans la norme que se décide où exactement cette conformité est définie. Nous préférons participer à son élaboration plutôt que de devoir l’adopter plus tard.
1. Justificatifs qui survivent à des décennies (#678)
Le profil UNTP actuel prescrit des justificatifs encapsulés selon la norme W3C VC-JOSE-COSE : la signature encapsule le document sous forme de JWT. Pour un « Pass » qui doit être archivé, mis en miroir et retrouvable via son adresse de contenu pendant dix ans, l’alternative présente des avantages évidents. Les preuves intégrées selon la norme W3C Data Integrity restent dans le document lui-même, survivent à chaque redistribution, et la canonisation via le JSON Canonicalization Scheme (RFC 8785) fournit un hachage de contenu stable pour le suivi des versions. Nous avons proposé d’autoriser la suite cryptographique eddsa-jcs-2022 comme option de conformité équivalente. Nous avons approfondi, dans l’article consacré aux signatures et aux certificats, les raisons pour lesquelles un passeport doit survivre à son émetteur et comment les preuves cryptographiques permettent d’y parvenir.
Ce commentaire n’a pas seulement reçu une réponse : il a modifié notre propre vérificateur. Avec Transpareo Time Machine 2.0.0 (20 juin 2026), nous sommes passés d’un profil propriétaire allégé à la cryptosuite eddsa-jcs-2022 conforme aux normes du W3C. Ainsi, n’importe quel vérificateur d’intégrité des données peut valider un Transpareo-Pass, et pas seulement notre propre outil. Nous n’avons pas seulement exigé l’interopérabilité, nous l’avons mise en œuvre.
Dans ce même commentaire, nous avons soulevé deux points connexes : des spécifications fiables concernant la durée pendant laquelle une liste d’états doit rester accessible, avec la possibilité, si nécessaire, de reconstituer l’état de révocation à partir d’événements du cycle de vie ; et une représentation idempotente issue d’un modèle de données sémantiquement riche, afin que tout rendu conforme affiche le même passeport de la même manière, sans instructions de présentation fournies.
2. Un algorithme unique pour l’ensemble de la chaîne de confiance (#683)
La manière dont un vérificateur passe du DID de l’émetteur au registre en passant par l’ancrage d’identité numérique (Digital Identity Anchor ), puis au site de production, est aujourd’hui décrite en prose sur plusieurs pages - mais pas sous la forme d’un algorithme unique. Nous avons proposé un algorithme de vérification étape par étape pour l’ensemble de la chaîne de confiance: vérification de l’intégrité, mise en correspondance du DID de l’émetteur avec l’ancre et le registre, comparaison des critères de conformité, identification du site de production. Sans cette description unique et contraignante, les implémentations indépendantes interprètent différemment les paragraphes dispersés et parviennent à des conclusions divergentes quant à l’authenticité d’un passeport. Ce commentaire a lui aussi suscité une réponse du groupe de travail.
3. Divulgation par paliers d’un passeport unique (#679)
Un passeport réglementé doit s’adresser à plusieurs publics cibles : le grand public, les parties prenantes autorisées telles que les recycleurs et les autorités voient chacune des extraits différents du même passeport - c’est exactement ce que prescrit le règlement européen sur les batteries. Nous avons suggéré de traiter cette divulgation par niveaux comme un cas standard de première classe, plutôt que de la mettre en place a posteriori sous forme de chiffrement par destinataire.
4. Contenus multilingues directement dans le modèle de données (#680)
Aujourd’hui, UNTP stocke les informations lisibles par l’homme sous forme de chaînes de caractères monolingues. Sur les marchés réglementés et multilingues, cela ne suffit pas : un passeport valable dans toute l’UE doit comporter ses textes en plusieurs langues à la fois. Nous avons proposé d’utiliser des cartes de langue JSON-LD, de sorte qu’une seule valeur contienne toutes ses versions linguistiques. Transpareo délivre aujourd’hui des passeports en 39 langues : nous ressentons cette lacune au quotidien. Nous expliquons comment nous gérons cette diversité linguistique dans notre article sur la traduction par IA.
5. La vérifiabilité à long terme : un enjeu architectural (#681)
Ce point est lié au premier, mais d’une portée plus fondamentale : les justificatifs, les documents DID et les listes de statuts doivent rester accessibles pendant plus d’une décennie, sinon un ancien passeport ne pourra plus être vérifié à un moment donné, même s’il était valide. Nous avons demandé des lignes directrices non normatives sur la manière de garantir l’accessibilité permanente des clés, des documents DID et des listes de statuts - une question qui ne se posera que dans plusieurs années et qui, précisément pour cette raison, doit être intégrée dès aujourd’hui dans la norme.
6. Un pont vers le passeport européen des produits (#682)
L’UNTP est délibérément conçu comme un passeport B2B allégé. Le passeport produit de l’UE est un régime contraignant doté de sa propre liste d’attributs. Les développeurs ont besoin d’une correspondance explicite entre les deux: un profil indiquant comment un passeport UNTP alimente les champs obligatoires d’un passeport réglementaire. C’est précisément sur cette interface que nous travaillons quotidiennement ; c’est pourquoi nous avons réclamé la mise en place de ce pont.
Pourquoi nous faisons cela
Une norme s’améliore lorsque les personnes qui signent et vérifient réellement les passeports ont leur mot à dire - et pas seulement celles qui écrivent à leur sujet. Deux de nos six commentaires ont déjà reçu une réponse, et l’un d’entre eux a permis à notre vérificateur de passer à la suite cryptographique conforme à la norme. Nous ne sommes donc plus en marge, mais faisons désormais partie du groupe d’experts du groupe de travail sur la chaîne d’approvisionnement.
Pour nos clients, ce n’est pas une fin en soi. Plus la norme mondiale est précise et indépendante des fabricants, plus leur investissement reste sûr : les données de leurs passeports restent exportables et vérifiables avec n’importe quel outil conforme. Pas de dépendance vis-à-vis d’un fournisseur unique, pas de format qui dépend d’un seul prestataire.
Qui souhaite participer?
L’examen public se poursuit. Tous les points soulevés sont accessibles au registre public des problèmes de l’UNTP. Le groupe de travail sur la chaîne d’approvisionnement se réunit régulièrement par visioconférence ; les dates sont indiquées sur la page de gouvernance de l’UNTP. Quiconque sera amené à l’avenir à délivrer ou à vérifier des passeports de produit - fabricants, prestataires de services, recycleurs, autorités - devrait au moins prendre connaissance une fois des points en suspens. Même un retour d’information bref et techniquement précis est utile.
Et ceux qui souhaitent dès aujourd’hui vérifier de manière indépendante un passeport Transpareo peuvent le faire grâce à Transpareo Time Machine - qui, depuis la version 2.0.0, utilise précisément la suite cryptographique que nous avons promue dans le profil UNTP.