AOC

Défi

Comment pouvons-nous renforcer l’enregistrement et l’identification à distance des citoyens à l’aide d’algorithmes de reconnaissance faciale et d’images, afin qu’il s’agisse d’un processus plus simple, plus sûr et plus fiable ?

Problématique

Depuis 2016 en Catalogne, nous avons l'identité numérique appelée idCAT Mòbil basée sur un processus d'enregistrement en face à face ou télématique, avec un certificat numérique (2% de l'enregistrement télématique total) ou avec un enregistrement basé sur des informations connues uniquement du L'administration et le citoyen lui-même (98%).

Les citoyens apprécient très positivement le service d'identification numérique idCAT Mobile avec enregistrement sur Internet car il est utile, rapide à obtenir, facile à utiliser, les procédures peuvent être effectuées immédiatement après l'enregistrement et il n'est pas nécessaire de mémoriser quoi que ce soit. C'est ce que confirment les près de 400.000 XNUMX citoyens qui l'utilisent déjà, plus d'un million d'actions réalisées et les excellents résultats des enquêtes de satisfaction tant sur son utilisation que sur la première inscription en ligne.

Cependant, cette identité numérique a quelques points à améliorer :

  • Selon la norme européenne d'identification et de signature électronique et le schéma de sécurité nationale, ce système est considéré comme de faible niveau et certaines actions ne sont pas recommandées. Par exemple, l'accès aux dossiers publics. Certains services des administrations catalanes ne l'utilisent pas pour cette raison. 
  • Le processus d'enregistrement en ligne initialement mis en œuvre ne demandait que la vérification des informations d'identité et de carte de santé par rapport aux registres officiels correspondants. Mais il y a des citoyens qui soit n'ont pas de carte d'identité, soit n'ont pas de carte de santé (employés publics qui ont une mutuelle Muface ou Catalans à l'étranger)

Pour ces raisons, nous avons considéré explorer de nouveaux mécanismes qui permettraient d'apporter plus de sécurité, de robustesse et de confiance au processus d'enregistrement en ligne de l'idCAT mobile, dans le but d'élargir le nombre d'utilisateurs pouvant l'obtenir sans se déplacer et d'élargir les usages dans les administrations catalanes.

Suite à cette exploration, depuis mai 2020, le système d'enregistrement en ligne mobile idCAT :

  • applique des méthodes d'identification reconnues avec des conditions de fiabilité équivalentes à la présence physique, ce qui élève le service à un niveau de sécurité substantiel ;
  • permet d'accéder au processus d'inscription en ligne avec DNI, TIE ou même NIE, ce qui augmente le nombre de citoyens pouvant accéder au service.

Au cours de l'exploration effectuée, il a été constaté que:

Le secteur privé a fait de grands progrès dans mise en place de processus sécurisés d'identification à distance grâce à des algorithmes d'intelligence artificielle, spécifiquement la reconnaissance faciale et d'image. Le principal domaine d'impulsion a été le secteur bancaire suite à la directive (UE) 2015/849 du Parlement européen et du Conseil, du 20 mai 2015, relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. En outre, le SEBLAC (Service Exécutif de la Commission de Prévention du Blanchiment et du Blanchiment d'Argent) a approuvé plusieurs instructions sur la manière de procéder à l'identification numérique d'un utilisateur par le biais de mécanismes d'identification vidéo et de vidéoconférence. Les principales banques européennes mettent actuellement en place des services facilitant l'enregistrement à distance grâce à des algorithmes de reconnaissance faciale et d'image.

Une question clé est la fiabilité des algorithmes de reconnaissance faciale dans les différentes situations et conditions dans lesquelles nous pouvons nous trouver, ce qui peut affecter la qualité des images capturées. Heureusement, nous disposons des excellentes études réalisées par le National Institute of Standards and Technology (NIST) sur la robustesse des principaux algorithmes de reconnaissance faciale du marché, dans différentes situations et conditions, qui nous offrent des informations très précieuses pour déterminer la qualité de les algorithmes et les niveaux de risque de chacun, afin de proposer des mesures d'atténuation.

Bien qu'en général le secteur public remonte, comme d'habitude, plus loin dans l'adoption de ces technologies d'intelligence artificielle, récemment et accélérée par l'urgence sanitaire de COVID-19, le Ministerio de Asuntos Económicos y Transformación Digital a publié le« Arrêté ETD/465/2021, du 6 mai, qui réglemente les modalités d'identification vidéo à distance pour la délivrance des certificats électroniques qualifiés », qui envisage la possibilité de vérifier l'identité à distance.
Il convient de noter que le Consortium AOC avait déjà analysé les expériences internationales pour déterminer les meilleures pratiques à appliquer au secteur public en Catalogne et que, depuis mai 2020, il dispose déjà du système mobile idCAT, qui s'adapte et répond aux exigences indiquées dans ce commande

Solution appliquée

Le système d'enregistrement en ligne mobile idCAT utilise des solutions de reconnaissance faciale et d'image qui fournissent des preuves dans le processus d'enregistrement qui donnent une plus grande robustesse au processus et suivent les lignes directrices de la réglementation établie par l'État (arrêté ETD /465/2021).

Els principaux contrôles mis en place sont:

  • La reconnaissance faciale compare la photo de la personne effectuant le processus d'enregistrement (selfie) avec la photo du document officiel que la personne scanne.
  • La reconnaissance faciale compare une photo de la personne tirée de l'enregistrement vidéo du processus d'inscription avec la photo du document officiel que la personne numérise.
  • La reconnaissance d'image vous permet de numériser un document officiel et de vérifier qu'il est original et qu'il n'a pas été manipulé.
  • Un test de vie est effectué sur la personne passant par le processus, demandant un geste ou un mouvement
  • Il est validé (si la personne réside en Espagne) que les données du document correspondent au dossier officiel de la Direction générale de la police.
  • Un opérateur humain valide l'ensemble du processus pour atteindre un niveau substantiel de garanties de registre.

Exemple de processus :

En parallèle, plusieurs ont été mis en place des garanties pour répondre aux exigences légales et instaurer la confiance:

  • Confidentialité : les citoyens disposent d'autres moyens d'obtenir une identité numérique (eID) sans partager leurs données biométriques.
  • Règlement général sur la protection des données (RGPD) : Le consentement de l'utilisateur est obligatoire et les informations personnelles sont gérées conformément au RGPD. Les données biométriques ne sont pas stockées : un vecteur biométrique (une longue chaîne numérique) est généré et il n'est pas possible de reconstruire le visage à partir du vecteur.
  • Certifications : Le système répond aux exigences de la réglementation espagnole et possède les certifications nécessaires à sa conformité.
  • Algorithmes impartiaux : des contrôles de qualité réguliers garantissent l'exactitude et évitent les biais.
  • Supervision : Toutes les transactions sont supervisées par des fonctionnaires.
  • Impact : Une analyse d'impact sur la protection des données a été réalisée pour garantir les droits fondamentaux des utilisateurs.

Exigences de la solution appliquée

L'origine des procédés sécurisés d'identification à distance utilisant des algorithmes d'intelligence artificielle se trouve dans le secteur financier de l'Union européenne, suite à l'approbation de la directive (UE) 2015/849 du Parlement et du Conseil, du 20 mai 2015, relative à la prévention de l'utilisation du système financier pour le blanchiment d'argent ou le financement du terrorisme ; et les instructions de la SEBLAC sur la manière de procéder à l'identification numérique d'un utilisateur par le biais de mécanismes d'identification vidéo et de visioconférence.

Le règlement (UE) 910/2014 du Parlement européen et du Conseil, du 23 juillet 2014, relatif à l'identification électronique et aux services de confiance pour les transactions électroniques dans le marché intérieur, avait déjà prévu la possibilité de vérifier l'identité du personne demandant un certificat qualifié utilisant des méthodes d'identification garantissant une sécurité équivalente en termes de fiabilité à la présence physique.

Il existe aujourd'hui de nombreuses solutions de reconnaissance faciale et d'image sur le marché. La solution choisie par le Consortium AOC a été celle proposée par DELOITTE ADVISORY SL, qui fait partie de la famille de solutions VERIDAS (Voir le Appel d'offres pour le service d'identification à distance)

Els exigences supplémentaires que nous avons demandées pour nous assurer de l'adéquation de l'application au secteur public étaient les suivantes :

  • Cela peut être fait via une application Web réactive ou une application mobile très conviviale.
  • Le service doit accepter les documents d'identité numérique les plus courants des principaux pays au niveau européen et mondial.
  • Le processus de numérisation des documents officiels sera effectué avec des mécanismes de contrôle de la véracité du document MZ, des filigranes, etc. et la minimisation des risques de manipulation d'usurpation d'identité, et avec l'extraction de la photographie de l'utilisateur.
  • Le processus de capture de la photo « selfie » de l'utilisateur comprendra un test de vie (geste du visage : fermer les yeux, tourner la tête, sourire,…) et un détecteur de la qualité de la photo prise. En cas de faible qualité, il sera proposé de prendre une nouvelle photo.
  • La corrélation de la photo prise à partir du document d'identité officiel et du "selfie" se fera avec un algorithme analysé par le National Institute of Standards and Technology (USA) (NIST) dans son dernier rapport sur "Test continu du fournisseur de reconnaissance faciale (FRVT) Partie 2 : Identification ».
  • Une partie ou la totalité du processus sera filmée comme preuve pour faciliter les tâches de surveillance, de validation et de contrôle. Il ne sera pas permis de télécharger une vidéo préenregistrée ou de l'enregistrer dans des locaux susceptibles d'être manipulés.
  • Il sera vérifié que le code à usage unique envoyé sur le téléphone mobile de l'utilisateur a été correctement saisi dans la solution d'inscription.
  • Des informations seront ajoutées sur la géolocalisation du processus d'inscription et le dispositif utilisé, afin d'appliquer des mesures de sécurité adaptatives.
  • Les documents enregistrés et les preuves du processus seront conservés, dûment signés avec un certificat numérique et avec l'horodatage de l'AOC, pour une durée minimale d'un an.
  • L'application de gestion des agents publics (back office) facilitera le contrôle et/ou la validation des inscriptions effectuées par les citoyens.
    • La période de validation d'un processus d'inscription par un opérateur doit être de 10 minutes maximum (à compter de la fin du processus de numérisation et de vidéo).
    • Le service de validation sera disponible au minimum dans la tranche horaire suivante : de 9h à 17h.
    • Les opérateurs effectuant la validation seront correctement formés.
  • La réglementation du SEPBLAC sera respectée en ce qui concerne les procédures d'identification vidéo des clients dans le cadre d'opérations à distance, dans le domaine de la lutte contre le terrorisme et de la prévention du blanchiment d'argent.
  • Les systèmes d'information associés à ce service seront hébergés dans l'Union européenne.

De plus, les éléments suivants ont été évalués exigences avancées:

  • Dispose d'une intégration avec le SDK du DNI-e 3.0 pour extraire via NFC la photo enregistrée dans la puce du DNI. Cette fonctionnalité ne peut être disponible que via une APP.
  • Vérification que le document d'identité officiel scanné comporte un hologramme.
  • Conformité réglementaire concernant :
    • Rapport d'audit externe sur la conformité aux eIDAs - ENS, avec son certificat de conformité correspondant.
    • Solution intégrée dans le catalogue de produits de sécurité informatique CCNCERT en tant que produit qualifié ou composant certifié selon l'ENS.

Principaux avantages de la solution appliquée

  1. Plus de sécurité: L'algorithme de reconnaissance faciale et d'image fourni par VERIDAS s'est avéré avoir un haut niveau de précision. Le taux de rejet est très faible (5%), dû principalement à des problèmes techniques d'enregistrement et d'éclairage de la chambre.
  2. Commodité: Les utilisateurs peuvent effectuer l'ensemble du processus depuis leur domicile en quelques minutes, ce qui leur permet d'économiser du temps et des efforts.
  3. inclusion: Nous avons beaucoup investi dans l'expérience utilisateur pour rendre le processus remarquablement simple pour tout utilisateur, quelles que soient ses compétences numériques.
  4. des économies: Améliore l'efficacité en automatisant les tâches administratives et en réduisant les erreurs, ce qui se traduit par des économies de coûts significatives : jusqu'à 80 % par transaction par rapport aux méthodes en face à face.

Autres cas d'utilisation

Malgré ce premier cas d'utilisation proposé de l'identification vidéo pour obtenir l'idCat mobile, l'objectif est d'étudier dans le futur la faisabilité que ces mécanismes d'identification vidéo puissent fournir des éléments pour sécuriser davantage l'identification avec idCAT Mobile, qui dispose actuellement d'un faible niveau de sécurité. Ainsi, l'utilisation d'algorithmes de reconnaissance faciale et d'image pourra être étendue à l'avenir à de nombreux autres scénarios, tels que :

  • Réaliser des procédures et des actions, sans avoir besoin de générer d'identité numérique au préalable.
  • Vote électronique dans les processus participatifs ou par des citoyens à l'étranger. Le processus actuel est très lourd et oblige un faible pourcentage de citoyens ayant le droit de vote à l'exercer.

L'état du projet

  • En production depuis mai 2020
  • Indicateurs (données actualisées à juin 2023) :
    • plus de 110.000 XNUMX identifications vidéo réalisées
    • 95% demandes acceptées et 5% rejetées

Lire plus