BOITIER SÉCURISÉ À CONTENU PRÉDÉTERMINÉ ET GESTION DYNAMIQUE

(19)

(11)

EP 3 420 172 B1

(12)	FASCICULE DE BREVET EUROPEEN

(45)	Mention de la délivrance du brevet:
	05.01.2022 Bulletin 2022/01

(21)	Numéro de dépôt: 17714845.9

(22)	Date de dépôt: 27.02.2017

(51)

Int. Cl.:

E05G 1/026^(2006.01)
E05G 1/04^(2006.01)
G07C 9/00^(2020.01)

E05B 19/00^(2006.01)
E05G 1/10^(2006.01)

(52)	Classification Coopérative des Brevets (CPC) :
	G07C 9/00912; E05B 47/026; E05G 1/026; E05G 1/04; E05G 1/10; E05B 47/0002; E05B 19/0005; E05B 2047/0094

(86)	Numéro de dépôt:
	PCT/FR2017/050434

(87)	Numéro de publication internationale:
	WO 2017/144836 (31.08.2017 Gazette 2017/35)

(54)	BOITIER SÉCURISÉ À CONTENU PRÉDÉTERMINÉ ET GESTION DYNAMIQUE SICHERES GEHÄUSE MIT VORGEGEBENEM INHALT UND DYNAMISCHER VERWALTUNG SECURE HOUSING WITH PREDETERMINED CONTENTS AND DYNAMIC MANAGEMENT

(84)	Etats contractants désignés:
	AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

(30)

Priorité:

26.02.2016 FR 1651602

(43)	Date de publication de la demande:
	02.01.2019 Bulletin 2019/01

(73)	Titulaire: Mopeasy
	92200 Neuilly Sur Seine (FR)

(72)	Inventeur:
	SOUFFLET, Stanislas 75017 Paris (FR)

(74)	Mandataire: Cornuejols, Georges
	Cassiopi 230 Avenue de l'Aube Rouge 34170 Castelnau-le-Lez 34170 Castelnau-le-Lez (FR)

(56)

Documents cités: :

EP-A1- 2 459 832
US-A- 5 295 743
US-A1- 2009 255 304

DE-U1-202012 100 168
US-A1- 2002 014 961

Il est rappelé que: Dans un délai de neuf mois à compter de la date de publication de la mention de la délivrance de brevet européen, toute personne peut faire opposition au brevet européen délivré, auprès de l'Office européen des brevets. L'opposition doit être formée par écrit et motivée. Elle n'est réputée formée qu'après paiement de la taxe d'opposition. (Art. 99(1) Convention sur le brevet européen).

Description

[0001] La présente invention concerne un kit comprenant un boîtier sécurisé à contenu prédéterminé et gestion dynamique ainsi qu'une étiquette positionnable sur un objet. Elle se rapporte au domaine des coffres forts et boîtiers sécurisés.

Etat de la technique

[0002] Il est connu de l'homme du métier des boîtiers sécurisés permettant de partager un objet, tel qu'une clé d'accès à un lieu (appartement, maison, partie de maison, garage, dépendance, etc.) ou à un véhicule, entre plusieurs personnes. Le mode le plus simple est un boîtier fermé à clé dont la clé est copiée en autant d'exemplaires que d'utilisateurs et qui contient la clé d'accès à un lieu ou à un véhicule. La clé d'ouverture du boîtier peut être remplacée par divers systèmes d'accès tels que, par exemple, un digicode, une empreinte biométrique, etc.

[0003] Dans le cadre plus particulier du partage de véhicule, la solution la plus classique, mais réservée à des flottes fermées de véhicules, est la boîte à clés contenant une multitude de clés correspondant aux véhicules stationnés dans un garage. Ces solutions sont donc limitées aux situations où les véhicules sont toujours stationnés dans un garage. Elles sont donc onéreuses puisqu'elles impliquent un gardiennage.

[0004] Une autre solution pour le partage de véhicule, utilisée en particulier dans les partages pour le grand public, est de modifier structurellement le véhicule pour supporter ce type de fonction. L'ouverture de la voiture est faite par un lecteur de badge et non par une clé « classique » fournie par le fabricant de l'automobile. La clé du véhicule est alors en fait dans une boîte à clés à l'intérieur du véhicule, dans la boîte à gants. Cette transformation du véhicule rapproche cette solution des systèmes fermés de gestion de parcs de véhicules et présentent le même inconvénient de coût.

[0005] Par ailleurs, se pose le problème d'authentifier la personne qui se présente comme étant bien l'utilisateur temporaire prévu pour le véhicule.

[0006] Un second problème à résoudre est d'associer correctement le(s) véhicule(s) avec le(s) contenu(s) de la boîte à clé puisque, très souvent, des véhicules différents stationneront successivement sur la même place de stationnement et partageront donc la boîte à clé. US2002/014961 A1 décrit un boîtier sécurisé pour partage de clés.

Brève description de l'invention

[0007] La présente invention vise à remédier à tout ou partie de ces inconvénients.

[0008] A cet effet, selon un premier aspect, la présente invention vise un kit selon la revendication 1.

[0009] Ainsi, contrairement à ce qui était connu dans l'art antérieur, le boîtier mis à disposition de différents utilisateurs ne peut être verrouillé que s'il est vide ou contient un objet prédéterminé. Lorsque le boîtier est vide, pour qu'un utilisateur déverrouille le boîtier, y place un objet et verrouille le boîtier, grâce à un authentifiant de l'utilisateur et un identifiant de l'objet, il faut cumulativement, que l'utilisateur soit authentifié et que l'objet soit identifié. Au cas où l'utilisateur est authentifié mais que l'objet n'est pas identifié, un signal d'alerte perceptible par l'utilisateur est déclenché au niveau du boîtier.

[0010] Dans le cas de l'auto-partage, le boîtier déclenche une alerte si l'objet mis dans le boîtier, par exemple la clé et/ou des documents, ne correspond pas à l'objet associé au véhicule attendu.

[0011] Les moyens d'authentification de l'utilisateur candidat pour déterminer si l'utilisateur candidat correspond à l'authentifiant d'utilisateur devant réaliser le dépôt de l'objet, comportent un moyen de lecture, à l'extérieur du boîtier, d'un identifiant porté par l'objet, et détermination si l'identifiant lu correspond à l'identifiant d'objet reçu.

[0012] Grâce à ces dispositions, on authentifie l'utilisateur devant déposer l'objet par l'objet lui-même, par lecture d'une étiquette électronique, ce qui simplifie la procédure et permet de vérifier, avant même d'ouvrir la porte du boîtier, que l'objet à déposer est bien entre les mains de l'utilisateur et pourra donc se trouver dans le boîtier après le verrouillage de la porte.

[0013] Dans des modes de réalisation, le boîtier objet de la présente invention comporte, de plus :

un moyen d'accès à un authentifiant d'un utilisateur devant retirer l'objet,
des moyens d'authentification d'un utilisateur candidat pour, après verrouillage de la porte en présence de l'objet dans le boîtier, déterminer si l'utilisateur candidat correspond à l'authentifiant d'utilisateur devant retirer l'objet,
le contrôleur du dispositif de verrouillage étant adapté, de plus, pour, lorsque la porte est fermée et que le dispositif d'identification d'objet a indiqué que le boîtier contient un objet identifié, ne transmettre une commande de déverrouillage au dispositif de verrouillage qu'après authentification de l'utilisateur devant retirer l'objet.

[0014] Ainsi, un deuxième authentifiant étant défini pour un deuxième utilisateur, le boîtier ne se déverrouille pas jusqu'à l'authentification par le biais de cet autre authentifiant.

[0015] Dans des modes de réalisation, le contrôleur est adapté pour, après déverrouillage, si le dispositif d'identification de l'objet indique que l'objet identifié reste dans le boîtier au-delà d'une durée prédéterminée, déclencher une alerte perceptible par l'utilisateur au niveau du boîtier.

[0016] Ainsi, le boîtier vérifie, après déverrouillage, l'absence d'identification de l'objet. Au cas où l'utilisateur est authentifié mais que l'objet identifié reste dans le boîtier au-delà d'une durée prédéterminée, un signal d'alerte perceptible par l'utilisateur est déclenché au niveau du boîtier.

[0017] Dans des modes de réalisation, le moyen de réception d'un identifiant d'un objet est adapté pour communiquer avec un serveur d'identification et pour recevoir du serveur un identifiant de l'objet.

[0018] Grâce à ces dispositions, les identifiants des objets peuvent être gérés de manière centralisée et chaque boîtier peut aisément être rendu destinataire d'un objet à déposer.

[0019] Dans des modes de réalisation, le dispositif d'identification effectue l'identification de l'objet prédéterminé par reconnaissance du code d'identification, le code d'identification étant reproduit sur l'objet.

[0020] Grâce à ces dispositions, l'utilisateur associe un support de code à l'objet, par exemple par collage de l' étiquette sur un document administratif. Ce qui facilite la mise en œuvre du service, par l'utilisateur.

[0021] Dans des modes de réalisation, le dispositif d'identification d'objet est un lecteur d'étiquette électronique adapté pour lire une étiquette électronique associée à l'objet et conservant le code d'identification.

[0022] Grâce à ces dispositions, quelle que soit la configuration géométrique de l'objet, à l'endroit, à l'envers ou dans une pochette, l'objet peut être identifié facilement et rapidement. De plus, la falsification d'une étiquette électronique est plus complexe que celle d'une étiquette imprimée. On peut donc sécuriser le service en mettant en œuvre des étiquettes électroniques.

[0023] Dans des modes de réalisation, le contrôleur est adapté pour transmettre l'alerte à un utilisateur du boîtier par des moyens lumineux et/ou sonores.

[0024] Grâce à ces dispositions, l'utilisateur est immédiatement averti d'une erreur de sa part.

[0025] Dans des modes de réalisation, le contrôleur est adapté pour transmettre l'alerte à un serveur de réception d'alertes.

[0026] Grâce à ces dispositions, les alertes peuvent être mémorisées et horodatées, ce qui assure une traçabilité des étapes du service.

[0027] Dans des modes de réalisation, le boîtier objet de la présente invention comporte un émetteur-récepteur adapté pour communiquer avec un serveur d'authentification et pour recevoir du serveur au moins un authentifiant d'utilisateur.

[0028] Grâce à ces dispositions, un serveur peut gérer les authentifiants d'utilisateurs de manière centralisée et chaque boîtier peut aisément être rendu accessible à chaque utilisateur du service.

[0029] Dans des modes de réalisation, le boîtier objet de la présente invention comporte un émetteur-récepteur adapté pour transmettre un authentifiant d'utilisateur lu sur l'objet par les moyens d'authentification à un serveur d'authentification et recevoir du serveur d'authentification une information de correspondance de l'authentifiant lu avec un authentifiant d'utilisateur.

[0030] Grâce à ces dispositions, l'authentification est réalisée par le serveur, de manière plus sécurisée qu'une authentification réalisée par le boîtier.

[0031] Dans des modes de réalisation, les moyens d'authentification comportent un clavier et les moyens d'authentification sont adaptés pour authentifier l'utilisateur par saisie d'un authentifiant sur le clavier et comparaison avec un authentifiant calculé en l'absence de connexion avec un serveur.

[0032] Grâce à ces dispositions, l'utilisateur peut recevoir un code sur un terminal portable communicant, par exemple un téléphone mobile, et le saisir. Il n'a donc pas besoin d'une clé physique.

[0033] Dans des modes de réalisation, au moins un authentifiant d'utilisateur est à usage unique.

[0034] Grâce à ces dispositions, le risque de capture et de réutilisation d'un authentifiant par un tiers non autorisé est réduit.

[0035] Dans des modes de réalisation, au moins un authentifiant est à usage limité dans le temps.

[0036] Grâce à ces dispositions, le risque de capture et de réutilisation d'un authentifiant par un tiers non autorisé est réduit.

[0037] Dans des modes de réalisation, la porte est mobile en coulissement vertical entre la position fermée et la position ouverte de sorte que la gravité maintient la porte en position fermée en l'absence d'une autre force, et en ce que le dispositif de verrouillage comporte une encoche dans la porte et une goupille solidaire du boîtier, la goupille étant maintenue dans l'encoche par un ressort lorsque la porte est fermée.

[0038] Grâce à ces dispositions, même en cas de panne électrique, l'objet déposé par l'utilisateur est protégé par la porte du boîtier.

[0039] Dans des modes de réalisation, le dispositif de verrouillage comporte de plus des moyens de déplacement en translation de la goupille adaptés pour la faire sortir de l'encoche et ainsi déverrouiller la porte sur ordre du contrôleur.

[0040] Dans des modes de réalisation, le boîtier objet de la présente invention comporte une serrure unique d'ouverture de maintenance et aucune attache de fixation apparente.

[0041] Le boîtier est ainsi protégé contre une agression physique, celle-ci étant généralement effectuée sur une attache de fixation.

[0042] Selon un deuxième aspect, la présente invention vise un procédé selon la revendication 10.

[0043] L'étape d'authentification de l'utilisateur candidat pour déterminer si l'utilisateur candidat correspond à l'authentifiant mémorisé d'utilisateur devant réaliser le dépôt de l'objet, comporte une étape de lecture, à l'extérieur du boîtier, d'un identifiant porté par l'objet, et de détermination si l'identifiant lu correspond à l'identifiant d'objet reçu.

[0044] Dans des modes de réalisation, le procédé objet de la présente invention comporte, de plus :

une étape d'accès à un authentifiant d'un utilisateur devant retirer l'objet,
une étape d'authentification d'un utilisateur candidat pour, après verrouillage de la porte en présence de l'objet dans le boîtier, déterminer si l'utilisateur candidat correspond à l'authentifiant mémorisé d'utilisateur devant retirer l'objet, et
lorsque la porte est fermée et que le dispositif d'identification d'objet a indiqué que le boîtier contient un objet identifié, ne transmettre une commande de déverrouillage au dispositif de verrouillage qu'après authentification de l'utilisateur devant retirer l'objet.

[0045] Dans des modes de réalisation, le procédé objet de la présente invention comporte, de plus, après déverrouillage, si l'étape d'identification de l'objet indique que l'objet identifié reste dans le boîtier au-delà d'une durée prédéterminée, une étape de déclenchement d'une alerte perceptible par l'utilisateur au niveau du boîtier.

[0046] Selon un troisième aspect, la présente invention vise une utilisation d'un boîtier objet de la présente invention pour un autopartage, un premier utilisateur insérant dans le boîtier au moins une clé de véhicule et un deuxième utilisateur récupérant la clé dans le boîtier.

[0047] Les avantages, buts et caractéristiques particulières de ce procédé et de cette utilisation étant similaires à ceux du kit objet de la présente invention, ils ne sont pas rappelés ici.

Brève description des figures

[0048] L'invention sera mieux comprise à la lecture de la description qui suit, faite uniquement à titre d'exemple, et en référence aux figures jointes en annexe dans lesquelles :

La figure 1 représente un premier mode de réalisation d'un boîtier sécurisé selon l'invention avec son environnement de communication ;

La figure 2 représente un ordinogramme d'un procédé d'enregistrement de clé ;

La figure 3 représente un ordinogramme d'un procédé de prise de location ;

La figure 4 représente un ordinogramme d'un procédé de fin de location et de remise de clé ;

La figure 5 représente un mode de réalisation particulier du boîtier sécurisé ;

Les figures 6 et 7 représentent deux vues de détail du verrouillage de la porte du mode de réalisation illustré en figure 5,

La figure 8 représente, sous forme de schéma fonctionnel, un mode de réalisation particulier du boîtier objet de la présente invention, en communication avec un terminal portable communiquant et avec un serveur de réservation et

La figure 9 représente, sous forme d'un logigramme, des étapes d'un mode de réalisation particulier du procédé objet de la présente invention.

Description de modes de réalisation

[0049] Dans toute la description, on appelle un « objet » un ensemble d'un ou plusieurs objets pré-identifiables individuellement ou collectivement, et devant être déposés ou retirés tous en même temps lors d'une opération d'ouverture/ fermeture du boîtier. Ainsi, une clé d'un véhicule et les documents administratifs (attestation de propriété et attestation d'assurance, par exemple) constituent, conjointement un objet. Un objet à déposer puis à retirer d'un boîtier est associé à un identifiant. On note que chaque partie de l'ensemble peut être physiquement associé à une partie de l'identifiant de l'objet. Par exemple, une clé de véhicule peut porter une étiquette électronique portant un premier code et les documents administratifs peuvent porter une deuxième étiquette électronique portant un deuxième code, le premier et le deuxième codes formant conjointement l'identifiant de l'objet comportant la clé et les documents administratifs.

[0050] Afin de concrétiser les modes de réalisation décrits dans un contexte, celui-ci est le partage de véhicules dans un environnement grand public, aussi appelé « auto-partage ». Par exemple, des utilisateurs propriétaires de véhicule mettent à disposition ce véhicule en un lieu déterminé et pour une durée déterminée via un site de la toile (« web »). Des tiers utilisateurs temporaires, c'est-à-dire autres que le propriétaire ou ses connaissances proches, font des demandes de location et d'utilisation du véhicule, toujours via le site de la toile.

[0051] Le site de la toile a ainsi plusieurs fonctions :

Gérer le parc disponible de véhicules ;
Associer un utilisateur temporaire à un véhicule en fonction de divers paramètres dont le lieu, le temps et le coût sont les principaux ;
Gérer la location du véhicule en donnant accès au véhicule, vérifiant que le véhicule est rendu selon les modalités prévues ; et
S'assurer des divers paiements associés.

[0052] Dans ce contexte, un boîtier, préférentiellement associé à une place de stationnement, destiné à recevoir la clé et les documents administratifs (carte grise, attestation d'assurance) du véhicule situé à proximité, va être décrit.

[0053] En référence à la figure 1, un boîtier 1 comporte un volume intérieur 3 fermé par une porte 5. La porte 5 est mobile entre une position fermée, dans laquelle le porte 5 clos le volume intérieur 3, et une position ouverte, qui permet l'accès au volume intérieur 3.

[0054] La porte 5 comporte un dispositif de verrouillage 7 adapté pour verrouiller la porte en position fermée. Le dispositif de verrouillage 7 est, par exemple, un verrou, un loquet ou une gâche électrique, ou tout autre dispositif connu de l'homme du métier pour fermer de façon sécurisée une porte.

[0055] Le boîtier 1 comporte de plus un contrôleur 9 du dispositif de verrouillage 7. Le contrôleur 9 est connecté à un dispositif d'identification d'objet 11. Typiquement, le contrôleur 9 est une unité de calcul électronique qui commande des moyens électriques de manœuvre du dispositif de verrouillage 9.

[0056] Le dispositif d'identification d'objet 11 est par exemple un lecteur d'étiquettes électroniques, ou étiquettes RFID (de l'anglais « Radio Frequency Identification » pour identification par radio-fréquence) ou NFC (de l'anglais « near field communication » pour communication en champ proche), ou de code à barres, en une ou deux dimensions, ou de code QR (« QR-code » est une marque déposée).

[0057] L'objet à identifier, typiquement la clé du véhicule ainsi que les documents administratifs du véhicule, sont associés à une ou plusieurs étiquettes conservant un code d'identification, ou identifiant, de sorte que le dispositif d'identification 11 est capable de lire l'identifiant, ou les identifiants, de la clé et des documents.

[0058] Le contrôleur 9 est relié à un dispositif d'alerte 13 tel qu'une lampe clignotante ou un générateur de signal sonore. Ainsi, si le contrôleur 9 détermine que l'identifiant lu ne correspond pas à un identifiant attendu, le contrôleur 9 peut déclencher une alerte sur le dispositif d'alerte 13. Cette alerte signale à l'utilisateur temporaire que, par exemple, il a oublié de mettre les documents dans le boîtier ou qu'il s'est trompé de clé.

[0059] De façon préférentielle, le boîtier 1 comporte un émetteur/récepteur 15 connecté au contrôleur 9 de façon à permettre au contrôleur 9 d'établir une communication de données avec un serveur d'identification 21.

[0060] Ce serveur d'identification 21 est, par exemple, relié au serveur web de gestion du partage. En fonction du véhicule attendu sur la place de stationnement, le serveur d'identification 21 est capable d'indiquer au contrôleur 9 chaque code d'identification correspondant au véhicule attendu et donc chaque code d'identification de clé et/ou de document devant se trouver dans le boîtier 1.

[0061] Réciproquement, le contrôleur 9 est capable d'indiquer au serveur d'identification 21 soit que chaque objet attendu est bien dans le boîtier 1, soit qu'il y a un problème / une alerte car aucun objet attendu n'est présent, ou seulement qu'une partie de l'ensemble attendu est présent, ou qu'un objet, par exemple une clé et/ou un document ne correspond pas au véhicule attendu est présent dans le volume intérieur 3.

[0062] Le boîtier 1 comporte de plus des moyens d'authentification 17 d'un utilisateur temporaire, connectés au contrôleur 9. Ces moyens d'authentification 17 sont, par exemple, un digicode par lequel l'utilisateur temporaire saisit un code secret associé à l'utilisateur temporaire. Ces moyens d'authentification 17 sont, préférentiellement, un émetteur/récepteur pour étiquette électronique, ou un émetteur/récepteur mettant en œuvre le protocole Bluetooth (marque déposée) permettant une liaison de données avec un terminal portable communicant (par exemple un téléphone mobile) de l'utilisateur temporaire, ce terminal faisant fonctionner une application dédiée permettant de transmettre un authentifiant au boîtier 1.

[0063] Ainsi, le contrôleur 9 ne transmet un ordre de déverrouillage au dispositif de verrouillage 7 qu'après authentification de l'utilisateur temporaire.

[0064] De façon préférentielle, le contrôleur 9 est connecté à un deuxième émetteur/récepteur 19 pour communiquer avec un serveur d'authentification 23. Le contrôleur 9 peut ainsi recevoir du serveur d'authentification 23 l'authentifiant de l'utilisateur temporaire pour pratiquer en local la procédure d'authentification. En variante, le dispositif d'authentification 17 est mis en relation directe avec le serveur d'authentification 23 qui pratique la procédure d'authentification et envoie au contrôleur 9 une information d'authentification réussie, ou non.

[0065] De façon préférentielle, l'utilisateur temporaire a un authentifiant unique, c'est-à-dire qu'aucun autre utilisateur n'a le même authentifiant, non réutilisable et à durée d'utilisation limitée. Cet authentifiant est géré, par exemple généré aléatoirement, et associé à un utilisateur temporaire, par le serveur d'authentification 23 dans le cadre de la procédure d'authentification.

[0066] Autrement dit, non seulement la procédure d'authentification sert à s'assurer que l'utilisateur temporaire est bien celui qu'il prétend être mais en plus qu'il est bien la personne qui doit utiliser ce véhicule à un certain moment.

[0067] Il est à noter que, dans une variante dans laquelle le boîtier 1 n'a pas de connexion, ou n'a qu'une connexion limitée, au serveur d'authentification 23, il existe des procédures cryptographiques de génération et de contrôle d'authentifiant à usage unique et à durée de vie limitée sans que le boîtier 1 ait besoin de faire appel à un serveur mais en recalculant l'authentifiant attendu. Par exemple, cet authentifiant est calculé par une fonction mathématique appliquée à un horodatage et à un identifiant du boîtier 1.

[0068] L'utilisateur temporaire reçoit l'authentifiant, préférentiellement par le biais d'un réseau de téléphonie mobile, par exemple sous la forme d'un message court de type texto (« SMS » pour short message system) ou d'un message reçu par l'application dédiée installée sur son terminal portable communicant.

[0069] Le mode de fonctionnement du boîtier à clé est alors le suivant.

[0070] En remarque préliminaire, et pour ne pas alourdir inutilement le texte, seule la gestion d'une clé sera décrite. L'homme du métier généralisera sans difficulté à la gestion d'une clé associée à d'autres objets ou documents.

[0071] Pour commencer, la procédure d'enregistrement de clé est décrite en relation avec la figure 2.

[0072] Dans une étape préliminaire, par exemple en utilisant le site web de partage, le propriétaire du véhicule à louer a enregistré son véhicule et a reçu en retour une étiquette RFID à coller sur la clé du véhicule.

[0073] Le boîtier 1 est à l'état fermé verrouillé sans identifiant de clé.

[0074] A l'étape 31, l'utilisateur propriétaire s'identifie comme la personne qui va déposer une clé.

[0075] A l'étape 33, le boîtier 1 accepte l'identification et ouvre la porte.

[0076] A l'étape 35, l'utilisateur propriétaire met la clé dans le boîtier.

[0077] A l'étape 37, le dispositif d'identification 11 lit l'identifiant de la clé qui est remonté au serveur 21.

[0078] A l'étape 39, la porte du boîtier 1 est fermée et verrouillée.

[0079] A partir de ce moment, le système considère que le véhicule dont la clé est dans le boîtier 1 est stationné sur la place associée au boîtier 1 et est prêt à être partagé.

[0080] En référence à la figure 3, la procédure de prise en location d'un véhicule comporte les étapes suivantes.

[0081] Le boîtier 1 est à l'état fermé verrouillé avec un objet dans le volume intérieur 3, typiquement une clé, identifié.

[0082] A l'étape 41, l'utilisateur temporaire s'authentifie, par exemple en entrant un code unique qui lui a été fourni par le serveur web de partage.

[0083] A l'étape 43, le boîtier 1 ayant validé que c'est l'utilisateur temporaire attendu déverrouille la porte. Si ce n'est pas l'utilisateur temporaire attendu, le boîtier 1 reste verrouillé et une alerte est déclenchée en local comme sur le serveur d'authentification (étape non représentée).

[0084] A l'étape 45, l'utilisateur temporaire prend la clé. Le boîtier 1 constate la prise de clé car le dispositif 11 d'identification ne reçoit plus de signal d'identification. Le boîtier 1 se met en statut « vide » et envoie l'information au serveur d'identification. Le système considère alors que l'utilisateur temporaire a pris en charge le véhicule et que la location commence.

[0085] A l'étape 47, après une action de l'utilisateur temporaire ou une temporisation, la porte se ferme et se verrouille.

[0086] La procédure de fin de location et de remise de la clé comporte les étapes suivantes, figure 4.

[0087] Le boîtier 1 est à l'état fermé verrouillé et vide.

[0088] A l'étape 51, l'utilisateur temporaire s'authentifie, par exemple en entrant un code unique qui lui a été fourni par le serveur web de partage.

[0089] A l'étape 53, le boîtier 1 ayant validé que c'est l'utilisateur temporaire attendu déverrouille la porte. Si ce n'est pas l'utilisateur temporaire attendu, le boîtier 1 reste verrouillé et une alerte est déclenchée en local comme sur le serveur d'authentification (étape non représentée).

[0090] A l'étape 55, l'utilisateur temporaire pose la clé dans le boîtier 1.

[0091] A l'étape 57, le boîtier 1 vérifie que la clé posée est bien la clé attendue.

[0092] Si c'est la bonne clé, étape 59, le boîtier se referme et se verrouille. Le système considère que le véhicule a été rendu et la location se termine. Une notification est envoyée à l'utilisateur temporaire et à l'utilisateur propriétaire pour les informer de la fin du parcours client.

[0093] Si ce n'est pas la bonne clé, étape 60, le boîtier 1 déclenche une alerte locale et informe le serveur d'identification. L'alerte locale peut permettre à l'utilisateur temporaire de réaliser qu'il a commis une erreur, par exemple, en se trompant de clé, ou en oubliant de la poser dans le boîtier 1. Le boîtier 1 étant ouvert, l'utilisateur temporaire peut corriger son erreur en mettant la clé attendue et la procédure continue à l'étape 59.

[0094] Si l'erreur n'est pas corrigée au bout d'un temps prédéterminé, l'alerte déclenche des procédures correctives au niveau du système telles que l'appel de l'utilisateur temporaire et/ou de l'utilisateur propriétaire par un opérateur, etc.

[0095] Ainsi, on constate avantageusement que par cette identification de clé, il y a une connaissance exacte et permanente du parc de véhicules disponibles alors que, sans l'identification de clé, de nombreux dysfonctionnements sont possibles tels que l'oubli de remettre la clé dans le boîtier 1 avec la conséquence que l'utilisateur temporaire suivant ne peut pas utiliser le véhicule tant que le système n'a pas, a minima, rappelé l'utilisateur temporaire précédent pour qu'il ramène la clé à sa place.

[0096] Nous allons maintenant décrire un mode de réalisation mécanique du boîtier 1 à clé particulièrement avantageux dans le contexte de partage de véhicule. On comprendra aisément que les fonctionnalités ci-dessus peuvent être mises en œuvre avec des boîtiers ayant des structures mécaniques différentes.

[0097] En référence à la figure 5, le boîtier 1 comporte une plaque de fond 61 composée d'une partie circulaire 63 prolongée d'une partie sensiblement rectangulaire 65.

[0098] La plaque de fond 61 comporte des perçages 67 permettant de fixer solidement le boîtier 1 sur un support tel qu'un mur.

[0099] La plaque de fond 61 comporte également des supports d'attache 69 permettant de fixer une coque de protection.

[0100] Dans sa partie rectangulaire 65, un contenant renforcé 71 correspondant au volume intérieur du boîtier est fixé solidement sur la plaque de fond 61.

[0101] Ce contenant 71 est fermé par une porte 73. La porte 73 coulisse selon un mouvement vertical de translation le long de deux glissières 75, 77.

[0102] La porte 73 comporte un embossage 79 permettant à un utilisateur d'y mettre un doigt pour la soulever selon le sens de la flèche 81.

[0103] L'ensemble est donc monté de sorte que la flèche désigne l'axe vertical vers le haut.

[0104] La porte 73 comporte sur son côté haut une encoche 83 dans laquelle vient se positionner une goupille 85.

[0105] La goupille 85 est montée sur un support 87 solidaire de la plaque de fond 61, et donc du contenant 71.

[0106] Sur la figure, la goupille 85 est montrée en position de verrouillage, c'est-à-dire que la goupille 85 empêche la porte de remonter et donc de donner accès au contenant 71.

[0107] La figure 6 montre une vue en gros de la goupille 85 en position de verrouillage.

[0108] La goupille 85 est montée sur le support 87 de façon à pouvoir effectuer un mouvement de translation perpendiculaire au plan de la porte 61 entre la position verrouillée et une position déverrouillée permettant le libre coulissement de la porte 61, telle que la montre la figure 7. Ce mouvement de translation de la goupille est piloté par un électroaimant 89.

[0109] Par sécurité, la position de repos de la goupille correspond à la position verrouillée.

[0110] La partie circulaire 63 contient la partie électronique de commande et les coques de protection ont les ouvertures adéquates pour permettre évidemment un accès direct à la porte mais aussi pour positionner une interface utilisateur sous forme d'un petit écran alphanumérique et/ou d'un clavier de type digicode.

[0111] Les coques de protection sont agencées, lorsqu'elles sont en position, de sorte à ne laisser apparaitre aucune vis ou moyen de démontage sans dégradation du matériel. Ainsi, la partie circulaire de la coque vient s'encliqueter sur les supports d'attache 69 par un mouvement de rotation puis une fois cette partie circulaire positionnée. La partie parallélépipédique de la coque vient se glisser et s'attacher sur les supports d'attache 69 de la partie rectangulaire 65 du support de sorte qu'étant en position cette partie parallélépipédique toute rotation de la partie circulaire de la coque et donc tout déverrouillage.

[0112] Ainsi les coques sont telles qu'aucune vis ou attache de fixation n'est apparente et l'agencement de leurs faces empêchent une dégradation ou des tentatives d'effraction. Elles sont verrouillées en position par une serrure unique dont la clé n'est détenue que par les techniciens de maintenance.

[0113] L'invention a été illustrée et décrite en détail dans les dessins et la description précédente. Celle-ci doit être considérée comme illustrative et donnée à titre d'exemple et non comme limitant l'invention à cette seule description. De nombreuses variantes de réalisation sont possibles dans le cadre défini par les revendications.

[0114] Par exemple, les deux serveurs et les émetteurs/récepteurs peuvent être confondus en un seul serveur et un seul émetteur/récepteur.

[0115] Dans les revendications, le mot « comportant » n'exclue pas d'autres éléments et l'article indéfini « un/une » n'exclut pas une pluralité.

[0116] On observe, en figure 8, un système 90 de partage de véhicules. Ce système ne met en œuvre qu'un seul serveur, qui héberge un site de la toile et gère des identifiants d'objets et des authentifiants d'utilisateurs. Le système 90 comporte un boîtier 91 à fermeture sécurisée comportant un volume intérieur 93 et une porte 95 mobile entre une position fermée et une position ouverte (représentée, en figure 8, en position ouverte), le boîtier 91 comportant un dispositif de verrouillage 97 à commande électrique adapté pour verrouiller la porte en position fermée.

[0117] Le boîtier 91 comporte, de plus, un moyen 98 d'accès à un identifiant d'un objet associé à une plage horaire de dépôt de cet objet. Préférentiellement, ce moyen 98 d'accès communique avec un serveur 92, sur un réseau de téléphonie mobile ou un réseau d'objets connectés, par exemple Sigfox (marque déposée) ou Lora (Marque déposée).

[0118] Le moyen 98 d'accès peut être, préférentiellement :

une mémoire interne au boîtier 91, mémoire qui conserve chaque identifiant d'objet et chaque plage horaire de dépôt de l'objet ainsi identifié, de la part du serveur 92, pour que le contrôleur 99 vérifie qu'un identifiant d'objet lu sur un objet est celui autorisé pour la plage horaire courante ou
un accès au serveur 92, auquel le contrôleur 99 adresse chaque identifiant d'objet lu sur un objet, le serveur 92 effectuant alors la vérification que ledit identifiant est celui autorisé pour la plage horaire courante.

[0119] Le serveur internet 92 héberge un site de la toile (web) sur lequel :

un utilisateur souhaitant mettre son véhicule à disposition d'un tiers peut sélectionner un lieu, par exemple une place de stationnement, où il laissera son véhicule disponible à une heure de son choix, le serveur adressant un identifiant d'un objet, clés et/ou des papiers administratifs du véhicule, au boîtier associé au lieu sélectionné et une plage horaire au cours de laquelle cet objet doit être déposé dans ce boîtier et
un utilisateur souhaitant utiliser un véhicule ainsi mis à disposition choisit le lieu et/ou le véhicule, le serveur adressant à cet utilisateur la confirmation du lieu et du véhicule et adressant à cet utilisateur et au boîtier associé au lieu et au véhicule un authentifiant permettant à l'utilisateur tiers de s'authentifier auprès du boîtier pour accéder à l'objet et une plage horaire au cours de laquelle cet authentifiant peut être utilisé.

[0120] Le boîtier 91 comporte un dispositif ou lecteur d'identification 101 d'un objet présent dans le volume intérieur 93 du boîtier 91. Lorsqu'un objet muni d'un identifiant, par exemple une étiquette électronique ou un code imprimé, est positionné dans le volume intérieur 93, le lecteur d'identification 101 lit cet identifiant d'objet et fournit cet identifiant à un contrôleur 99 du dispositif de verrouillage 97. Le contrôleur 99 est adapté à transmettre une commande de verrouillage au dispositif de verrouillage 97 après que le lecteur d'identification d'objet 101 ait fourni un identifiant d'objet qui corresponde à l'identifiant reçu par le boîtier 91 de la part du serveur 92 pour l'heure courante. Le contrôleur 99 est, de plus, adapté à déclencher une alerte et à inhiber le verrouillage de la porte quand le lecteur d'identification d'objet 101 fournit un identifiant d'objet qui ne correspond pas à l'identifiant d'objet reçu par le boîtier 91 de la part du serveur 92 pour l'heure courante.

[0121] Le boîtier 91 comporte, de plus, un moyen 94 d'accès à au moins un authentifiant d'un utilisateur et à une plage horaire d'utilisation de cet authentifiant. Le moyen 94 d'accès peut être, préférentiellement :

une mémoire interne au boîtier 91, mémoire qui conserve des authentifiants d'utilisateurs et des plages horaires d'utilisation de la part du serveur 92, pour que le contrôleur 99 vérifie qu'un authentifiant d'utilisateur reçu d'un utilisateur est celui autorisé pour la plage horaire courante,
un accès au serveur 92, auquel le contrôleur 99 adresse chaque authentifiant d'utilisateur reçu d'un utilisateur, le serveur 92 effectuant alors la vérification que ledit authentifiant est celui autorisé pour la plage horaire courante ou
un générateur déterministe d'authentifiants d'utilisateur, un générateur identique étant mis en œuvre par le serveur 92, qui adresse cet authentifiant à l'utilisateur en vue de son authentification. Préférentiellement, ce générateur déterministe utilise une page horaire courante et un identifiant unique de boîtier pour générer les authentifiants d'utilisateur, le contrôleur 99 vérifiant qu'un authentifiant d'utilisateur reçu de la part d'un utilisateur est l'authentifiant autorisé pour la plage horaire courante.

[0122] Le boîtier 91 comporte aussi des moyens d'authentification 100 d'un utilisateur, connectés au contrôleur 99, pour déterminer si l'utilisateur correspond à l'authentifiant mémorisé par le moyen de mémorisation 94. Les moyens d'authentification 100 peuvent être une serrure à code (« digicode », voir figure 1, référence 17), ou, comme en figure 8, un lecteur d'étiquette électronique ou de code affiché sur un écran de terminal portable communicant 96 ou communiqué à faible distance par un tel terminal 96. L'utilisateur est alors authentifié par ce qu'il connaît, c'est-à-dire un code, ou par ce qu'il possède, c'est-à-dire un support de code (une étiquette électronique ou un terminal portable communicant ayant reçu un authentifiant d'utilisateur. En variante (non représentée), l'authentification de l'utilisateur se fait par une mesure biométrique, par exemple une reconnaissance d'empreinte digitale, de forme de main, de la voix ou du visage.

[0123] Les moyens d'authentification 100 sont adaptés pour comparer l'authentifiant obtenu de l'utilisateur avec l'authentifiant auquel accède le moyen d'accès 94.

[0124] Le contrôleur 99 est adapté pour, lorsque la porte 95 est fermée et que le dispositif d'identification d'objet 101 indique que le volume intérieur 93 du boîtier 91 ne contient aucun objet identifié, ne transmettre un ordre de déverrouillage au dispositif de verrouillage 97 qu'après authentification de l'utilisateur par les moyens d'authentification 100.

[0125] Ainsi, contrairement à ce qui était connu dans l'art antérieur, le boîtier 91 mis à disposition de différents utilisateurs ne peut être verrouillé que s'il est vide ou contient un objet prédéterminé. Lorsque le boîtier 91 est vide, pour qu'un utilisateur déverrouille la porte 95 du boîtier 91, y place un objet et déclenche le verrouillage de la porte 95 du boîtier 91, un authentifiant de l'utilisateur et un identifiant de l'objet sont associés à une première plage horaire et, uniquement au cours de cette première plage horaire et cumulativement, l'utilisateur est authentifié et l'objet est identifié. Au cas où l'utilisateur est authentifié mais que l'objet n'est pas identifié, un signal d'alerte perceptible par l'utilisateur est déclenché au niveau du boîtier 91.

[0126] De plus, un autre authentifiant est associé à une deuxième plage horaire postérieure à la première plage horaire, la porte 95 du boîtier 91 n'étant pas déverrouillée jusqu'à l'authentification, par le biais de cet autre authentifiant au cours de cette deuxième plage horaire. De plus, le boîtier 91 vérifie, après déverrouillage suivi d'une durée prédéterminée, par exemple de dix secondes, l'absence d'identification de l'objet. Au cas où l'utilisateur est authentifié mais que l'objet identifié reste dans le boîtier au-delà de cette durée prédéterminée, un signal d'alerte perceptible par l'utilisateur est déclenché au niveau du boîtier 91.

[0127] Chaque identification réussie, authentification réussie et alerte est transmise au serveur 92, où elle est horodatée et mémorisée, pour la traçabilité. Préférentiellement, l'alerte est transmise à un utilisateur du boîtier 91 par des moyens lumineux et/ou sonores 103 et/ou par le biais du terminal mobile communicant 96.

[0128] Préférentiellement, chaque authentifiant est à usage unique et/ou à usage limité dans le temps, par le biais de la plage horaire à laquelle l'authentifiant est associé.

[0129] Les moyens d'authentification 100 de l'utilisateur sont des moyens d'authentification de l'objet que l'utilisateur doit déposer dans le boîtier 91 pendant la plage horaire courante, pendant que l'objet est à l'extérieur du boîtier 91, par lecture et reconnaissance de l'identifiant porté par l'objet, cet identifiant étant identique à l'identifiant d'objet reçu par le boîtier 91 de la part du serveur 92, pour la plage horaire courante. Dans ces modes de réalisation, où l'identification de l'objet est réalisée à l'extérieur du boîtier 91, le boîtier utilise, préférentiellement, un lecteur d'identifiant indépendant du dispositif d'identification d'objet 101 situé à l'intérieur du volume intérieur 93 du boîtier 91. Ainsi, selon la position de l'objet, on utilise deux lecteurs d'identifiants différents et la lecture d'identifiant par un lecteur d'identifiant permet de connaître la position de l'objet, à l'intérieur ou à l'extérieur du boîtier 91.

[0130] On note que l'authentification d'utilisateur est ainsi effectuée par reconnaissance de l'utilisateur ou par la présence de l'objet portant l'identifiant reçu.

[0131] En variante, les fonctions d'authentification et/ou d'identification sont déportées dans le serveur 92, le boîtier 91 servant alors de lecteur d'authentifiant et/ou d'identifiant périphérique pour le serveur 92, qui transmet au boîtier 91 les instructions de verrouillage et de déverrouillage et d'émission de signaux d'alerte.

[0132] En variante, un abonné au service mis en œuvre par le site de la toile hébergé par le serveur 92 peut laisser sa clé de voiture en libre-service dans tout coffre vide qui n'attend pas encore un objet, le serveur 92 reconnaissant cette clé et l'attribuant à tout demandeur, qui peut la demander plus tard.

[0133] Dans ce cas, le boîtier sécurisé possède trois statuts :

vide sans attente d'une personne (pour dépôt en libre-service),
vide mais « réservé » à un dépôt de clé attendue et
contenant une clé.

[0134] Préférentiellement, le statut du boîtier 91 est visible à l'extérieur du boîtier 91, par exemple par le biais de diodes de différentes couleurs.

[0135] Dans le mode de réalisation particulier du procédé objet de la présente invention illustré en figure 9, le serveur adresse au boîtier les authentifiants des utilisateurs et les identifiants des objets. Comme indiqué ci-dessus, en variante, l'authentification et/ou l'identification sont réalisés par le serveur et/ou chaque authentifiant est calculé de manière déterministe par le boîtier.

[0136] Dans ce mode de réalisation, au cours d'une étape 110, par l'intermédiaire d'un serveur internet hébergeant un site de la toile (web), un premier utilisateur (aussi appelé, dans la description « utilisateur devant effectuer le dépôt d'un objet ») souhaitant mettre son véhicule à disposition d'un tiers sélectionne un lieu, par exemple une place de stationnement, où il laissera son véhicule disponible à une heure de son choix. Au cours d'une étape 111, le serveur adresse à l'utilisateur devant déposer un objet un authentifiant à utiliser lors de l'accès au boîtier. Au cours de la même étape 111, le serveur adresse au boîtier associé au lieu sélectionné :

un authentifiant de l'utilisateur devant déposer l'objet,
un identifiant d'un objet, clés et/ou des papiers administratifs du véhicule, et
une plage horaire de dépôt de l'objet au cours de laquelle cet objet doit être déposé dans ce boîtier.

[0137] Au cours d'une étape 112, un deuxième utilisateur (aussi appelé, dans la description, « utilisateur devant retirer l'objet ») souhaitant utiliser un véhicule ainsi mis à disposition choisit, préférentiellement sur le même site de la toile, le lieu et/ou le véhicule. Au cours d'une étape 113, le serveur adresse à cet utilisateur la confirmation du lieu et du véhicule réservé et adresse à cet utilisateur et au boîtier associé au lieu et au véhicule :

un authentifiant permettant à l'utilisateur tiers de s'authentifier auprès du boîtier pour accéder à l'objet et
une plage horaire de retrait de l'objet, postérieure à la plage horaire de dépôt de l'objet, au cours de laquelle cet authentifiant peut être utilisé.

[0138] Au cours d'une étape 114, le boîtier étant vide et la porte du boîtier étant verrouillée, un candidat utilisateur devant déposer un objet se présente devant le boîtier et fournit un authentifiant d'utilisateur.

[0139] Au cours d'une étape 115, le contrôleur du boîtier vérifie que l'authentifiant de l'utilisateur candidat à l'accès au volume intérieur du boîtier correspond à l'authentifiant d'utilisateur devant déposer un objet reçu de la part du serveur, pour la plage horaire courante. Si non, la porte du boîtier reste verrouillée.

[0140] Si oui, au cours d'une étape 116, le contrôleur déverrouille la porte du boîtier et lit l'identifiant de l'objet déposé dans son volume intérieur. Si, après une durée prédéterminée, par exemple dix secondes, aucun identifiant d'objet n'est lu ou si un identifiant d'objet lu ne correspond pas à l'identifiant d'objet reçu de la part du serveur pour la plage horaire courant, le contrôleur déclenche une alerte perceptible par l'utilisateur au niveau du boîtier, au cours d'une étape 117.

[0141] Si le seul l'identifiant d'objet lu correspond à l'identifiant d'objet reçu de la part du serveur, au cours d'une étape 118, le contrôleur verrouille la porte du boîtier.

[0142] Ainsi, contrairement à ce qui était connu dans l'art antérieur, le boîtier mis à disposition de différents utilisateurs ne peut être verrouillé que s'il est vide ou contient un objet prédéterminé. Lorsque le boîtier est vide, pour qu'un utilisateur déverrouille la porte du boîtier, y place un objet et déclenche le verrouillage de la porte du boîtier, uniquement au cours de la plage horaire attribuée à ce dépôt d'objet et cumulativement, l'utilisateur est authentifié et l'objet est identifié. Au cas où l'utilisateur est authentifié mais que l'objet n'est pas identifié, un signal d'alerte perceptible par l'utilisateur est déclenché au niveau du boîtier.

[0143] Au cours d'une étape 119, le boîtier contenant un objet et la porte du boîtier étant verrouillée, un candidat utilisateur devant retirer l'objet se présente devant le boîtier et fournit un authentifiant d'utilisateur.

[0144] Au cours d'une étape 120, le contrôleur du boîtier vérifie que l'authentifiant de l'utilisateur candidat à l'accès au volume intérieur du boîtier correspond à l'authentifiant d'utilisateur devant déposer un objet reçu de la part du serveur, pour la plage horaire courante. Si non, la porte du boîtier reste verrouillée.

[0145] Si oui, au cours d'une étape 121, le contrôleur déverrouille la porte du boîtier et lit l'identifiant de l'objet déposé dans son volume intérieur. Si, après une durée prédéterminée, par exemple dix secondes, un identifiant d'objet est lu, identique ou différent de l'identifiant de l'objet présent dans le boîtier au cours de l'étape 119, le contrôleur déclenche une alerte perceptible par l'utilisateur au niveau du boîtier, au cours d'une étape 122.

[0146] Le contrôleur verrouille l'accès au volume intérieur du boîtier soit lorsqu'aucun identifiant d'objet n'est lu, soit lorsqu'un identifiant d'objet est lu pendant une durée prédéterminée, par exemple une minute, après le déclenchement de l'alerte, au cours d'une étape 123.

[0147] Ainsi, la porte du boîtier n'est pas déverrouillée jusqu'à l'authentification de l'utilisateur devant retirer l'objet. De plus, le boîtier vérifie, après déverrouillage suivi d'une durée prédéterminée, par exemple de dix secondes, l'absence d'identification de l'objet. Au cas où l'utilisateur est authentifié mais que l'objet identifié reste dans le boîtier au-delà de cette durée prédéterminée, un signal d'alerte perceptible par l'utilisateur est déclenché au niveau du boîtier.

[0148] Chaque identification réussie, authentification réussie et alerte est transmise au serveur, où elle est horodatée et mémorisée, pour la traçabilité. Préférentiellement, l'alerte est transmise à un utilisateur du boîtier par des moyens lumineux et/ou sonores et/ou par le biais du terminal mobile communicant.

[0149] Préférentiellement, chaque authentifiant est à usage unique et/ou à usage limité dans le temps, par le biais de la plage horaire à laquelle l'authentifiant est associé.

[0150] Dans des variantes, les moyens d'authentification de l'utilisateur devant déposer l'objet sont des moyens d'authentification de l'objet que l'utilisateur doit déposer dans le boîtier pendant la plage horaire courante. Cette authentification est donc réalisée pendant que l'objet est à l'extérieur du boîtier, par lecture et reconnaissance de l'identifiant porté par l'objet, et vérification que cet identifiant est identique à l'identifiant d'objet reçu par le boîtier de la part du serveur, pour la plage horaire courante. Dans ces variantes :

au cours de l'étape 114, le boîtier étant vide et la porte du boîtier étant verrouillée, un candidat utilisateur devant déposer un objet se présente devant le boîtier et l'objet qu'il porte fournit un identifiant d'objet candidat et
au cours d'une étape 115, le contrôleur du boîtier vérifie que l'identifiant de l'objet candidat correspond à l'identifiant d'objet devant être déposé reçu de la part du serveur, pour la plage horaire courante. Si non, la porte du boîtier reste verrouillée.

[0151] L'authentification d'utilisateur est ainsi effectuée par reconnaissance de l'utilisateur ou par la présence de l'objet portant l'identifiant reçu à proximité du boîtier.

[0152] La restitution de l'objet ou sa transmission à un troisième utilisateur s'effectue de la même manière, en réalisant les étapes 110 à 123, les rôles des utilisateurs étant intervertis.

Revendications

1. Kit comportant un boîtier et au moins une étiquette positionnable sur un objet et présentant un identifiant de l'objet , le boîtier (1, 91) à fermeture sécurisée comportant une porte (5) mobile entre une position fermée et une position ouverte, le boîtier comportant un dispositif de verrouillage (7) adapté pour verrouiller la porte en position fermée, et comportant de plus :

- un moyen d'accès à un identifiant d'un objet, qui est alors l'identifiant d'objet reçu,

- un moyen d'accès à un authentifiant d'un utilisateur devant réaliser un dépôt de l'objet,

- des moyens d'authentification (17) d'un utilisateur candidat pour déterminer si l'utilisateur candidat correspond à l'authentifiant d'utilisateur devant réaliser le dépôt de l'objet,

- un dispositif d'identification (11) d'un objet présent dans le boîtier, qui fournit un identifiant de l'objet ou une absence d'identification de l'objet dans le boîtier,

- un contrôleur (9) du dispositif de verrouillage, adapté pour

. lorsque la porte est fermée et que le dispositif d'identification d'un objet indique une absence d'identification d'un objet dans le boîtier, ne transmettre une commande de déverrouillage au dispositif de verrouillage qu'après authentification de l'utilisateur devant réaliser le dépôt de l'objet,

. transmettre une commande de verrouillage après que le dispositif d'identification d'un objet ait fourni un identifiant d'un objet qui correspond à l'identifiant d'objet reçu, et

. déclencher une alerte et inhiber le verrouillage de la porte quand le dispositif d'identification d'un objet fournit un identifiant d'un objet qui ne correspond pas à l'identifiant d'objet reçu ;

dans lequel les moyens d'authentification (17) de l'utilisateur candidat pour déterminer si l'utilisateur candidat correspond à l'authentifiant d'utilisateur devant réaliser le dépôt de l'objet, comporte un moyen de lecture, à l'extérieur du boîtier, de l' identifiant porté par l'objet, et détermination si l'identifiant lu correspond à l'identifiant d'objet reçu.

2. Kit selon la revendication 1, dans lequel le boitier comporte, de plus :

- un moyen d'accès à un authentifiant d'un utilisateur devant retirer l'objet,

- des moyens d'authentification (17) d'un utilisateur candidat pour, après verrouillage de la porte en présence de l'objet dans le boîtier, déterminer si l'utilisateur candidat correspond à l'authentifiant d'utilisateur devant retirer l'objet,

- le contrôleur (9) du dispositif de verrouillage étant adapté, de plus, pour, lorsque la porte est fermée et que le dispositif d'identification d'objet a indiqué que le boîtier contient un objet identifié, ne transmettre une commande de déverrouillage au dispositif de verrouillage qu'après authentification de l'utilisateur devant retirer l'objet.

3. Kit selon la revendication 2, dans lequel le contrôleur est adapté pour, après déverrouillage, si le dispositif d'identification de l'objet indique que l'objet identifié reste dans le boîtier au-delà d'une durée prédéterminée, déclencher une alerte perceptible par l'utilisateur au niveau du boîtier.

4. Kit selon l'une des revendications 1 à 3, dans lequel le moyen d'accès à un identifiant d'un objet est adapté pour communiquer avec un serveur d'identification (21) et pour recevoir du serveur un identifiant de l'objet.

5. Kit selon la revendication 4, dans lequel le dispositif d'identification (11) effectue l'identification de l'objet prédéterminé par reconnaissance du code d'identification, le code d'identification étant reproduit sur l'objet.

6. Kit selon l'une des revendications 1 à 7, dans lequel le boitier comporte un émetteur-récepteur (19) adapté pour transmettre un authentifiant d'utilisateur lu sur uu dans l'objet par les moyens d'authentification à un serveur d'authentification et recevoir du serveur d'authentification une information de correspondance de l'authentifiant lu avec un authentifiant d'utilisateur.

7. Kit selon l'une des revendications 1 à 6, dans lequel les moyens d'authentification (17) comportent un clavier et les moyens d'authentification sont adaptés pour authentifier l'utilisateur par saisie d'un authentifiant sur le clavier et comparaison avec un authentifiant calculé en l'absence de connexion avec un serveur.

8. Kit selon l'une des revendications 1 à 7, dans lequel au moins un authentifiant d'utilisateur est à usage unique.

9. Kit selon l'une des revendications 1 à 8, dans lequel la porte (73) est mobile en coulissement vertical entre la position fermée et la position ouverte de sorte que la gravité maintient la porte en position fermée en l'absence d'une autre force, et en ce que le dispositif de verrouillage comporte une encoche (83) dans la porte et une goupille solidaire (85) du boîtier, la goupille étant maintenue dans l'encoche par un ressort lorsque la porte est fermée.

10. Procédé de transmission d'un objet entre utilisateurs mettant en œuvre un boîtier (1, 91) à fermeture sécurisée comportant une porte (5) mobile entre une position fermée et une position ouverte, le boîtier comportant un dispositif de verrouillage (7) adapté pour verrouiller la porte en position fermée, le procédé mettant en œuvre une étiquette positionnée sur un objet et présentant un identifiant de
l'objet, le procédé étant caractérisé en ce qu'il comporte :

- une étape d'accès à un identifiant d'un objet, qui est alors l'identifiant d'objet reçu,

- une étape d'accès à un authentifiant d'un utilisateur devant réaliser un dépôt de l'objet,

- une étape d'authentification (17) d'un utilisateur candidat pour déterminer si l'utilisateur candidat correspond à l'authentifiant d'utilisateur devant réaliser le dépôt de l'objet,

- une étape d'identification d'un objet présent dans le boîtier, qui fournit un identifiant de l'objet ou une absence d'identification de l'objet dans le boîtier,

- une étape, lorsque la porte est fermée et que l'étape d'identification d'un objet indique une absence d'identification d'objet dans le boîtier, de transmission d'une commande de déverrouillage au dispositif de verrouillage qu'après authentification de l'utilisateur devant réaliser le dépôt de l'objet,

et, après déverrouillage de la porte :

. une étape de transmission d'une commande de verrouillage après que l'étape d'identification d'objet ait fourni un identifiant d'objet qui correspond à l'identifiant d'objet reçu, et

. une étape de déclenchement d'une alerte et d'inhibition de verrouillage de la porte quand l'étape d'identification d'objet fournit un identifiant d'objet qui ne correspond pas à l'identifiant d'objet reçu;

dans lequel l'étape d'authentification (17) de l'utilisateur candidat pour déterminer si l'utilisateur candidat correspond à l'authentifiant mémorisé d'utilisateur devant réaliser le dépôt de l'objet, comporte une étape de lecture, à l'extérieur du boîtier, de l' identifiant porté par l'objet, et de détermination si l'identifiant lu correspond à l'identifiant d'objet reçu.

11. Procédé selon la revendication 10, qui comporte, de plus :

- une étape d'accès à un authentifiant d'un utilisateur devant retirer l'objet,

- une étape d'authentification d'un utilisateur candidat pour, après verrouillage de la porte en présence de l'objet dans le boîtier, déterminer si l'utilisateur candidat correspond à l'authentifiant mémorisé d'utilisateur devant retirer l'objet, et

- lorsque la porte est fermée et que le dispositif d'identification d'objet a indiqué que le boîtier contient un objet identifié, ne transmettre une commande de déverrouillage au dispositif de verrouillage qu'après authentification de l'utilisateur devant retirer l'objet.

12. Procédé selon la revendication 11, qui comporte, de plus, après déverrouillage, si l'étape d'identification de l'objet indique que l'objet identifié reste dans le boîtier au-delà d'une durée prédéterminée, une étape de déclenchement d'une alerte perceptible par l'utilisateur au niveau du boîtier.

13. Procédé selon l'une des revendications 10 à 12, qui comporte une étape de transmission d'un authentifiant d'utilisateur lu sur l'objet lors de l'étape d'identification de l'objet à un serveur d'authentification et une étape de réception en provenance du serveur d'authentification d'une information de correspondance de l'authentifiant lu avec un authentifiant d'utilisateur.

14. Utilisation d'un kit selon l'une des revendications 1 à 9 pour un autopartage, un premier utilisateur insérant dans le boîtier au moins une clé de véhicule et un deuxième utilisateur récupérant la clé dans le boîtier.

Ansprüche

1. Kit, umfassend ein Gehäuse und wenigstens ein Etikett, das auf einem Objekt anordenbar ist und eine Kennung des Objekts (1, 9) aufweist, wobei das Gehäuse (1, 91) mit gesichertem Verschluss eine Tür (5) umfasst, die zwischen einer geschlossenen Position und einer offenen Position beweglich ist, wobei das Gehäuse eine Verriegelungsvorrichtung (7) umfasst, die zum Verriegeln der Tür in der geschlossenen Position geeignet ist und weiterhin umfasst:

- ein Zugangsmittel zu einer Kennung eines Objekts, das dann der empfangene Objektname ist,

- ein Zugangsmittel zu einer Kennung eines Nutzers, der eine Ablage des Objekts vornehmen muss,

- Authentifizierungsmittel (17) eines Kandidatennutzers zum Bestimmen, ob der Kandidatennutzer der Kennung des Nutzer entspricht, der die Ablage des Objekts vornehmen muss,

- eine Identifizierungsvorrichtung (11) eines in dem Gehäuse vorhandenen Objekts, die einen Namen des Objekts oder ein Fehlen des Namens des Objekts in dem Gehäuse liefert,

- einen Prüfer (9) der Verriegelungsvorrichtung, der geeignet ist

. um einen Entriegelungsbefehl an die Verriegelungsvorrichtung erst nach der Authentifizierung des Nutzers zu übertragen, der die Ablage des Objekts vornehmen muss, wenn die Tür geschlossen ist und die Identifizierungsvorrichtung eines Objekts ein Fehlen der Identifikation eines Objekts in dem Gehäuse anzeigt, um einen Verriegelungsbefehl zu übertragen, nachdem die Identifierungsvorrichtung eines Objekts einen Namen eines Objekts geliefert hat, der dem empfangenen Objektnamen entspricht, und

. um einen Alarm auszulösen und die Verriegelung der Tür zu hemmen, wenn die Identifizierungsvorrichtung eines Objekts einen Namen eines Objekts liefert, der nicht dem empfangenen Objektnamen entspricht;

wobei die Authentifizierungsmittel (17) des Kandidatennutzers zum Bestimmen, ob der Kandidatennutzer der Kennung des Nutzers entspricht, der die Ablage des Objekts vornehmen muss, außerhalb des Gehäuses ein Lesemittel des von dem Objekt getragenen Namens umfasst, und Bestimmung, ob der gelesene Name der empfangenen Objektkennung entspricht.

2. Kit gemäß Anspruch 1, bei dem das Gehäuse weiterhin umfasst:

- ein Zugangsmittel zu einer Kennung eines Nutzers, der das Objekt entnehmen muss,

- Authentifizierungsmittel (17) eines Kandidatennutzers, um nach dem Verriegeln der Tür bei Vorhandensein des Gegenstandes in dem Gehäuse zu bestimmen, ob der Kandidatennutzer der Kennung des Nutzers entspricht, der das Objekt entnehmen muss,

- wobei der Prüfer (9) der Verriegelungsvorrichtung darüber hinaus geeignet ist, um einen Entriegelungsbefehl an die Verriegelungsvorrichtung erst nach der Authentifizierung des Nutzers zu übertragen, der den Gegenstand entnehmen muss, wenn die Tür geschlossen und die Identifierungsvorrichtung angezeigt hat, dass das Gehäuse ein identifiziertes Objekt enthält.

3. Kit gemäß Anspruch 2, bei dem der Prüfer geeignet ist, um nach der Entriegelung einen vom Nutzer an dem Gehäuse wahrnehmbaren Alarm auszulösen, wenn die Identifizierungsvorrichtung des Gegenstandes anzeigt, dass das identifizierte Objekt über eine vorbestimmte Dauer hinaus in dem Gehäuse bleibt.

4. Kit gemäß einem der Ansprüche 1 bis 3, bei dem das Zugangsmittel zu einem Namen eines Objekts geeignet ist, um mit einem Identifikationsserver (21) zu kommunizieren und um einen Namen des Objekts von dem Server zu empfangen.

5. Kit gemäß Anspruch 4, bei dem die Identifizierungsvorrichtung (11) die Identifizierung des vorbestimmten Objekts per Erkennen des Identifizierungscodes durchführt, wobei der Identifizierungscode auf dem Objekt wiedergegeben ist.

6. Kit gemäß einem der Ansprüche 1 bis 5, bei dem das Gehäuse einen Sender-Empfänger (19) umfasst, der zum Übertragen einer auf dem Objekt von den Authentifizierungsmitteln gelesenen Nutzerkennung auf einen Authentifizierungsserver und zum Empfangen einer Entsprechungsinformation der gelesenen Kennung mit einer Nutzerkennung von dem Server geeignet ist.

7. Kit gemäß einem der Ansprüche 1 bis 6, bei dem die Authentifizierungsmittel (17) eine Tastatur umfassen und die Authentifizierungsmittel zum Authentifizieren des Nutzers per Eingabe einer Kennung in die Tastatur und Vergleich mit einer Kennung geeignet sind, die bei Fehlen eines Anschlusses mit einem Server berechnet ist.

8. Kit gemäß einem der Ansprüche 1 bis 7, bei dem wenigstens eine Nutzerkennung zum einmaligen Gebrauch bestimmt ist.

9. Kit gemäß einem der Ansprüche 1 bis 8, bei dem die Tür (73) zwischen der geschlossenen Position und der offenen Position derart in vertikalem Gleiten beweglich ist, dass die Schwerkraft die Tür bei Fehlen einer anderen Kraft in geschlossener Position hält und dass die Verriegelungsvorrichtung eine Kerbe (83) in der Tür und einen mit dem Gehäuse fest befestigten Stift (85) umfasst, wobei der Stift durch eine Feder in der Kerbe gehalten ist, wenn die Tür geschlossen ist.

10. Übertragungsverfahren eines Objekts zwischen Nutzern, das ein Gehäuse (1, 91) mit gesichertem Verschluss umsetzt, welche eine zwischen einer geschlossenen Position und einer offenen Position bewegliche Tür (5) umfasst, wobei das Gehäuse eine Verrieglungsvorrichtung (7) umfasst, die zum Verriegeln der Tür in geschlossener Position geeignet ist, wobei das Verfahren ein Etikett umsetzt, das auf einem Objekt angeordnet ist und einen Namen des Objekts aufweist, wobei das Verfahren dadurch gekennzeichnet ist, dass es umfasst:

- einen Zugangsschritt zu einem Namen eines Objekts, der dann der empfangene Objektname ist,

- einen Zugangsschritt zu einer Kennung eines Nutzers, der eine Ablage des Objekts vornehmen muss,

- einen Authentifizierungsschritt (17) eines Kandidatennutzers zum Bestimmen, ob der Kandidatennutzer der Kennung des Nutzers entspricht, der die Ablage des Objekts vornehmen muss,

- einen Identifizierungsschritt eines in dem Gehäuse vorhandenen Objekts, der einen Namen des Objekts oder ein Fehlen der Identifizierung des Objekts in dem Gehäuse liefert,

- einen Schritt zum Übertragen eines Entriegelungsbefehls an die Verriegelungsvorrichtung erst nach der Authentifizierung des Nutzers, der die Ablage des Objekts vornehmen muss, wenn die Tür geschlossen ist und der Identifizierungsschritt eines Objekts ein Fehlen Identifizierung eines Objekts in dem Gehäuse anzeigt,

und nach dem Entriegeln der Tür:

- einen Schritt zum Übertragen eines Verriegelungsbefehls, nachdem der Identifizierungsschritt eines Objekts einen Namen eines Objekts geliefert hat, der dem empfangenen Objektnamen entspricht, und

. einen Auslöseschritt eines Alarms und zum Hemmen der Verriegelung der Tür, wenn der Identifizierungsschritt eines Objekts einen Namen eines Objekts liefert, der nicht dem empfangenen Objektnamen entspricht;

wobei der Authentifizierungsschritt (17) des Kandidatennutzers zum Bestimmen, ob der Kandidatennutzer der gespeicherten Kennung des Nutzers entspricht, der die Ablage des Objekts vornehmen muss, außerhalb des Gehäuses einen Leseschritt des von dem Objekt getragenen Namens umfasst, und Bestimmung, ob der gelesene Name der empfangenen Objektnamen entspricht.

11. Verfahren gemäß Anspruch 10, das weiterhin umfasst:

- einen Zugangsschritt zu einer Kennung eines Nutzers, der das Objekt entnehmen muss,

- einen Authentifizierungsschritt eines Kandidatennutzers, um nach dem Verriegeln der Tür bei Vorhandensein des Gegenstandes in dem Gehäuse zu bestimmen, ob der Kandidatennutzer der gespeicherten Kennung des Nutzers entspricht, der das Objekt entnehmen muss, und

- Übertragen eines Entriegelungsbefehls an die Verriegelungsvorrichtung erst nach der Authentifizierung des Nutzers, der den Gegenstand entnehmen muss, wenn die Tür geschlossen ist und die Identifizierungsvorrichtung des Objekts angezeigt hat, dass das Gehäuse ein identifiziertes Objekt enthält.

12. Verfahren gemäß Anspruch 11, das darüber hinaus nach der Entriegelung einen vom Nutzer an dem Gehäuse wahrnehmbaren Alarm auslöst, wenn die Identifizierungsvorrichtung des Gegenstandes anzeigt, dass das identifizierte Objekt über eine vorbestimmte Dauer in dem Gehäuse bleibt.

13. Verfahren gemäß einem der Ansprüche 10 bis 12, das einen Übertragungsschritt einer Nutzerkennung, die bei dem Identifizierungsschritt des Objekts auf dem Objekt gelesen wird, auf einen Authentifizierungsserver, und einen Empfangsschritt einer Entsprechungsinformation der gelesenen Kennung mit einer Nutzerkennung von dem Authentifizierungsserver umfasst.

14. Verwendung eines Kits gemäß einem der Ansprüche 1 bis 9 für ein Car-Sharing, wobei ein erster Nutzer wenigstens einen Fahrzeugschlüssel in das Gehäuse einführt und ein zweiter Nutzer den Schlüssel aus dem Gehäuse herausnimmt.

Claims

1. Kit comprising a housing and at least one label that can be positioned on an object and having an identifier of the object, the secure-closure housing (1, 91) comprising a door (5) movable between a closed position and an open position, the housing comprising a locking device (7) adapted to lock the door in the closed position, and comprising furthermore:

- a means for accessing an identifier of an object, which is then the received object identifier;

- a means for accessing an authenticator of a user who is to deposit the object;

- means (17) for authenticating a candidate user to determine whether the candidate user corresponds to the authenticator of the user who is to deposit the object;

- a device (11) for identifying an object present in the housing, which provides an identifier of the object or absence of identification of the object in the housing;

- a controller (9) of the locking device, designed such that

. when the door is closed and the identification device of an object indicates an absence of identification of an object in the housing, an unlock command is sent to the locking device only after authentication of the user who is to deposit the object;

. a lock command is sent after the identification device of an object has provided an identifier of an object that corresponds to the object identifier received; and

. an alarm is triggered and the locking of the door is prevented when the identification device of an object provides an identifier of an object that does not correspond to the object identifier received;

wherein the means (17) for authenticating the candidate user, to determine whether the candidate user corresponds to the authenticator of the user who is to deposit the object, comprises a means for reading, outside the housing, the identifier carried by the object, and determining whether the identifier read corresponds to the object identifier received.

2. Kit according to claim 1, wherein the housing also comprises:

- a means for accessing an authenticator of a user who is to remove the object;

- means (17) for authenticating a candidate user to determine, after the door is locked with the object present in the housing, whether the candidate user corresponds to the authenticator of the user who is to remove the object;

- the controller (9) of the locking device being additionally designed such that, when the door is closed and the object identification device indicates that the housing contains an identified object, an unlock command is sent to the locking device only after authentication of the user who is to remove the object.

3. Kit according to claim 2, wherein the controller is designed such that, after unlocking, if the identification device of the object indicates that the identified object remains in the housing beyond a predefined period of time, an alarm perceptible to the user is triggered at the location of the housing.

4. Kit according to one of claims 1 to 3, wherein the means for accessing an identifier of an object is designed to communicate with an identification server (21) and to receive from the server an identifier of the object.

5. Kit according to claim 4, wherein the identification device (11) performs the identification of the predetermined object by recognizing the identification code, the identification code being reproduced on the object.

6. Kit according to one of claims 1 to 5, wherein the housing comprises an emitter-receiver (19) designed to send a user authenticator read on the object by the authentication means to an authentication server and receive from the authentication server information on the correspondence between the authenticator read and a user authenticator.

7. Kit according to one of claims 1 to 6, wherein the authentication means (17) comprise a keypad, and the authentication means are designed to authenticate the user by means of an authenticator being entered on the keypad and compared to an authenticator calculated in the absence of a server connection.

8. Kit according to one of claims 1 to 7, wherein at least one user authenticator is single-use.

9. Kit according to one of claims 1 to 8, wherein the door (73) is able to slide vertically between the closed position and the open position, such that gravity keeps the door in the closed position in the absence of another force, and the locking device comprises a notch (83) in the door and a pin (85) secured to the housing, the pin being maintained in the notch by a spring when the door is closed.

10. Method of transmitting an object between users utilizing a secure-closure housing (1, 91) comprising a door (5) movable between a closed position and an open position, the housing comprising a locking device (7) designed to lock the door in the closed position, the method utilizing a label positioned on an object and having an identifier of the object, the method being characterized in that it comprises:

- a step of accessing an identifier of an object, which is then the received object identifier;

- a step of accessing an authenticator of a user who is to deposit the object;

- a step (17) of authenticating a candidate user to determine whether the candidate user corresponds to the authenticator of the user who is to deposit the object;

- a step of identifying an object present in the housing, which provides an identifier of the object or absence of identification of the object in the housing;

- a step, when the door is closed and the step of identifying an object indicates an absence of object identification in the housing, of sending an unlock command to the locking device only after authentication of the user who is to deposit the object;

and, after the door is unlocked:

- a step of sending a lock command after the object identification step has provided an object identifier that corresponds to the identifier received; and

- a step of triggering an alarm and preventing the door being locked when the object identification step provides an object identifier that does not correspond to the object identifier received;

wherein the step (17) of authenticating the candidate user, to determine whether the candidate user corresponds to the memorized authenticator of the user who is to deposit the object, comprises a step of reading, outside the housing, the identifier carried by the object, and determining whether the identifier read corresponds to the object identifier received.

11. Method according to claim 10, which also comprises:

- a step of accessing an authenticator of a user who is to remove the object;

- a step of authenticating a candidate user to determine, after the door is locked with the object present in the housing, whether the candidate user corresponds to the memorized authenticator of the user who is to remove the object; and

- when the door is closed and the object identification device indicates that the housing contains an object, to send an unlock command to the locking device only after authentication of the user who is to remove the object.

12. Method according to claim 11, which also comprises, after unlocking, a step of triggering an alarm perceptible to the user at the location of the housing if the object identification step indicates that the object remains in the housing beyond a predefined period of time.

13. Method according to one of claims 10 to 12, which comprises a step of sending a user authenticator read on the object during the object identification step to an authentication server and a step of receiving from the authentication server information on the correspondence between the authenticator read and a user authenticator.

14. Use of a kit according to one of claims 1 to 9 for vehicle sharing, a first user inserting into the housing at least a vehicle key and a second user retrieving the key in the housing.

Dessins

Références citées

RÉFÉRENCES CITÉES DANS LA DESCRIPTION

Cette liste de références citées par le demandeur vise uniquement à aider le lecteur et ne fait pas partie du document de brevet européen. Même si le plus grand soin a été accordé à sa conception, des erreurs ou des omissions ne peuvent être exclues et l'OEB décline toute responsabilité à cet égard.

Documents brevets cités dans la description

US2002014961A1 [0006]