Identification à distance des citoyens par identification vidéo

Défi

Comment pouvons-nous renforcer l’enregistrement et l’identification à distance des citoyens à l’aide d’algorithmes de reconnaissance faciale et d’images, afin qu’il s’agisse d’un processus plus simple, plus sûr et plus fiable ?

Problématique

Depuis 2016, en Catalogne, nous avons une identité numérique appelée idCAT Mobile basé sur un processus d'enregistrement en face à face ou télématique, avec un certificat numérique (2 % du total des enregistrements télématiques) ou avec un enregistrement basé sur des informations que seules l'Administration et le citoyen lui-même connaissent (98 %).

Les citoyens apprécient grandement le service d'identification numérique idCAT L'application mobile avec inscription en ligne est plébiscitée pour sa praticité, sa rapidité d'obtention et sa simplicité d'utilisation. Les démarches peuvent être effectuées immédiatement après l'inscription, sans aucune information à mémoriser. Près de 400 000 citoyens l'utilisent déjà, plus d'un million d'actions ont été réalisées et les enquêtes de satisfaction, tant sur le plan de l'utilisation que sur celui de l'inscription en ligne, en témoignent.

Cependant, cette identité numérique a quelques points à améliorer :

• Selon la norme européenne d'identification et de signature électronique et le schéma de sécurité nationale, ce système est considéré comme de faible niveau et certaines actions ne sont pas recommandées. Par exemple, l'accès aux dossiers publics. Certains services des administrations catalanes ne l'utilisent pas pour cette raison. 
• Le processus d'enregistrement en ligne initialement mis en œuvre ne demandait que la vérification des informations d'identité et de carte de santé par rapport aux registres officiels correspondants. Mais il y a des citoyens qui soit n'ont pas de carte d'identité, soit n'ont pas de carte de santé (employés publics qui ont une mutuelle Muface ou Catalans à l'étranger)

Pour ces raisons, nous avons considéré explorer de nouveaux mécanismes qui permettraient de faciliter le processus d'inscription en ligneidCAT Mobile offrant une sécurité, une robustesse et une fiabilité accrues, dans le but d'élargir le nombre d'utilisateurs pouvant l'obtenir sans se déplacer et d'élargir les usages dans les administrations catalanes.

Suite à cette exploration, depuis mai 2020, le système d'enregistrement deidCAT Internet mobile :

• applique des méthodes d'identification reconnues avec des conditions de fiabilité équivalentes à la présence physique, ce qui élève le service à un niveau de sécurité substantiel ;
• permet d'accéder au processus d'inscription en ligne avec DNI, TIE ou même NIE, ce qui augmente le nombre de citoyens pouvant accéder au service.

Au cours de l'exploration effectuée, il a été constaté que:

Le secteur privé a fait de grands progrès dans mise en place de processus sécurisés d'identification à distance grâce à des algorithmes d'intelligence artificielle, spécifiquement la reconnaissance faciale et d'image. Le principal domaine d'impulsion a été le secteur bancaire suite à la directive (UE) 2015/849 du Parlement européen et du Conseil, du 20 mai 2015, relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. En outre, le SEBLAC (Service Exécutif de la Commission de Prévention du Blanchiment et du Blanchiment d'Argent) a approuvé plusieurs instructions sur la manière de procéder à l'identification numérique d'un utilisateur par le biais de mécanismes d'identification vidéo et de vidéoconférence. Les principales banques européennes mettent actuellement en place des services facilitant l'enregistrement à distance grâce à des algorithmes de reconnaissance faciale et d'image.

Une question clé est la fiabilité des algorithmes de reconnaissance faciale dans les différentes situations et conditions dans lesquelles nous pouvons nous trouver, ce qui peut affecter la qualité des images capturées. Heureusement, nous disposons des excellentes études réalisées par le National Institute of Standards and Technology (NIST) sur la robustesse des principaux algorithmes de reconnaissance faciale du marché, dans différentes situations et conditions, qui nous offrent des informations très précieuses pour déterminer la qualité de les algorithmes et les niveaux de risque de chacun, afin de proposer des mesures d'atténuation.

Bien qu'en général le secteur public remonte, comme d'habitude, plus loin dans l'adoption de ces technologies d'intelligence artificielle, récemment et accélérée par l'urgence sanitaire de COVID-19, le Ministerio de Asuntos Económicos y Transformación Digital a publié le« Arrêté ETD/465/2021, du 6 mai, qui réglemente les modalités d'identification vidéo à distance pour la délivrance des certificats électroniques qualifiés », qui envisage la possibilité de vérifier l'identité à distance.
Il convient de noter que le consortium AOC avait déjà analysé les expériences internationales afin de déterminer les meilleures pratiques à appliquer au secteur public en Catalogne et que, depuis mai 2020, il dispose déjà du système. idCAT Mobile, qui s'adapte et répond aux exigences indiquées dans cette commande.

Solution appliquée

Le système d'inscription duidCAT Mobile by internet utilise des solutions de reconnaissance faciale et d'image qui fournissent des preuves dans le processus d'enregistrement, ce qui donne une plus grande robustesse au processus et suit les directives des réglementations établies par l'État (Ordonnance ETD/465/2021).

Els principaux contrôles mis en place sont:

• La reconnaissance faciale compare la photo de la personne effectuant le processus d'enregistrement (selfie) avec la photo du document officiel que la personne scanne.
• La reconnaissance faciale compare une photo de la personne tirée de l'enregistrement vidéo du processus d'inscription avec la photo du document officiel que la personne numérise.
• La reconnaissance d'image vous permet de numériser un document officiel et de vérifier qu'il est original et qu'il n'a pas été manipulé.
• Un test de vie est effectué sur la personne passant par le processus, demandant un geste ou un mouvement
• Il est validé (si la personne réside en Espagne) que les données du document correspondent au dossier officiel de la Direction générale de la police.
• Un opérateur humain valide l'ensemble du processus pour atteindre un niveau substantiel de garanties de registre.

Exemple de processus :

En parallèle, plusieurs ont été mis en place des garanties pour répondre aux exigences légales et instaurer la confiance:

• Confidentialité : les citoyens disposent d'autres moyens d'obtenir une identité numérique (eID) sans partager leurs données biométriques.
• Règlement général sur la protection des données (RGPD) : Le consentement de l'utilisateur est obligatoire et les informations personnelles sont gérées conformément au RGPD. Les données biométriques ne sont pas stockées : un vecteur biométrique (une longue chaîne numérique) est généré et il n'est pas possible de reconstruire le visage à partir du vecteur.
• Certifications : Le système répond aux exigences de la réglementation espagnole et possède les certifications nécessaires à sa conformité.
• Algorithmes impartiaux : des contrôles de qualité réguliers garantissent l'exactitude et évitent les biais.
• Supervision : Toutes les transactions sont supervisées par des fonctionnaires.
• Impact : Une analyse d'impact sur la protection des données a été réalisée pour garantir les droits fondamentaux des utilisateurs.

Exigences de la solution appliquée

L'origine des procédés sécurisés d'identification à distance utilisant des algorithmes d'intelligence artificielle se trouve dans le secteur financier de l'Union européenne, suite à l'approbation de la directive (UE) 2015/849 du Parlement et du Conseil, du 20 mai 2015, relative à la prévention de l'utilisation du système financier pour le blanchiment d'argent ou le financement du terrorisme ; et les instructions de la SEBLAC sur la manière de procéder à l'identification numérique d'un utilisateur par le biais de mécanismes d'identification vidéo et de visioconférence.

Le règlement (UE) 910/2014 du Parlement européen et du Conseil, du 23 juillet 2014, relatif à l'identification électronique et aux services de confiance pour les transactions électroniques dans le marché intérieur, avait déjà prévu la possibilité de vérifier l'identité du personne demandant un certificat qualifié utilisant des méthodes d'identification garantissant une sécurité équivalente en termes de fiabilité à la présence physique.

Il existe aujourd'hui de nombreuses solutions de reconnaissance faciale et d'image sur le marché. La solution choisie par le Consortium AOC a été celle proposée par DELOITTE ADVISORY SL, qui fait partie de la famille de solutions VERIDAS (Voir le Appel d'offres pour le service d'identification à distance)

Els exigences supplémentaires que nous avons demandées pour nous assurer de l'adéquation de l'application au secteur public étaient les suivantes :

• Cela peut être fait via une application Web réactive ou une application mobile très conviviale.
• Le service doit accepter les documents d'identité numérique les plus courants des principaux pays au niveau européen et mondial.
• Le processus de numérisation des documents officiels sera effectué avec des mécanismes de contrôle de la véracité du document MZ, des filigranes, etc. et la minimisation des risques de manipulation d'usurpation d'identité, et avec l'extraction de la photographie de l'utilisateur.
• Le processus de capture de la photo « selfie » de l'utilisateur comprendra un test de vie (geste du visage : fermer les yeux, tourner la tête, sourire,…) et un détecteur de la qualité de la photo prise. En cas de faible qualité, il sera proposé de prendre une nouvelle photo.
• La corrélation de la photo prise à partir du document d'identité officiel et du "selfie" se fera avec un algorithme analysé par le National Institute of Standards and Technology (USA) (NIST) dans son dernier rapport sur "Test continu du fournisseur de reconnaissance faciale (FRVT) Partie 2 : Identification ».
• Une partie ou la totalité du processus sera filmée comme preuve pour faciliter les tâches de surveillance, de validation et de contrôle. Il ne sera pas permis de télécharger une vidéo préenregistrée ou de l'enregistrer dans des locaux susceptibles d'être manipulés.
• Il sera vérifié que le code à usage unique envoyé sur le téléphone mobile de l'utilisateur a été correctement saisi dans la solution d'inscription.
• Des informations seront ajoutées sur la géolocalisation du processus d'inscription et le dispositif utilisé, afin d'appliquer des mesures de sécurité adaptatives.
• Les documents enregistrés et les preuves du processus seront conservés, dûment signés avec un certificat numérique et avec l'horodatage de l'AOC, pour une durée minimale d'un an.
• L'application de gestion des agents publics (back office) facilitera le contrôle et/ou la validation des inscriptions effectuées par les citoyens.
  • La période de validation d'un processus d'inscription par un opérateur doit être de 10 minutes maximum (à compter de la fin du processus de numérisation et de vidéo).
  • Le service de validation sera disponible au minimum dans la tranche horaire suivante : de 9h à 17h.
  • Les opérateurs effectuant la validation seront correctement formés.
• La réglementation du SEPBLAC sera respectée en ce qui concerne les procédures d'identification vidéo des clients dans le cadre d'opérations à distance, dans le domaine de la lutte contre le terrorisme et de la prévention du blanchiment d'argent.
  • https://www.sepblac.es/wp-content/uploads/2018/02/Autorizacion_video_identificacion.pdf
• Les systèmes d'information associés à ce service seront hébergés dans l'Union européenne.

De plus, les éléments suivants ont été évalués exigences avancées:

• Dispose d'une intégration avec le SDK du DNI-e 3.0 pour extraire via NFC la photo enregistrée dans la puce du DNI. Cette fonctionnalité ne peut être disponible que via une APP.
• Vérification que le document d'identité officiel scanné comporte un hologramme.
• Conformité réglementaire concernant :
  • Rapport d'audit externe sur la conformité aux eIDAs - ENS, avec son certificat de conformité correspondant.
  • Solution intégrée dans le catalogue de produits de sécurité informatique CCNCERT en tant que produit qualifié ou composant certifié selon l'ENS.

Principaux avantages de la solution appliquée

1. Plus de sécurité: L'algorithme de reconnaissance faciale et d'image fourni par VERIDAS s'est avéré avoir un haut niveau de précision. Le taux de rejet est très faible (5%), dû principalement à des problèmes techniques d'enregistrement et d'éclairage de la chambre.
2. Commodité: Les utilisateurs peuvent effectuer l'ensemble du processus depuis leur domicile en quelques minutes, ce qui leur permet d'économiser du temps et des efforts.
3. inclusion: Nous avons beaucoup investi dans l'expérience utilisateur pour rendre le processus remarquablement simple pour tout utilisateur, quelles que soient ses compétences numériques.
4. des économies: Améliore l'efficacité en automatisant les tâches administratives et en réduisant les erreurs, ce qui se traduit par des économies de coûts significatives : jusqu'à 80 % par transaction par rapport aux méthodes en face à face.

Autres cas d'utilisation

Malgré ce premier cas d'utilisation proposé de l'identification vidéo pour obtenir leidCat Dans le domaine mobile, l'objectif est d'étudier à l'avenir la faisabilité de ces mécanismes d'identification vidéo, capables de fournir des éléments permettant d'offrir un niveau de sécurité plus élevé pour l'identification. idCAT Le secteur mobile, dont le niveau de sécurité est actuellement faible, pourrait donc être étendu à l'avenir à de nombreux autres scénarios grâce aux algorithmes de reconnaissance faciale et d'images.

• Réaliser des procédures et des actions, sans avoir besoin de générer d'identité numérique au préalable.
• Vote électronique dans les processus participatifs ou par des citoyens à l'étranger. Le processus actuel est très lourd et oblige un faible pourcentage de citoyens ayant le droit de vote à l'exercer.

L'état du projet

• En production depuis mai 2020
• Indicateurs (données actualisées à juin 2023) :
  • plus de 110.000 XNUMX identifications vidéo réalisées
  • 95% demandes acceptées et 5% rejetées

En savoir plus

• Appel d'offre de service d'identification à distance.
• Loi 6/2020 du 11 novembre, réglementant certains aspects des services électroniques de confiance.
• Ordonnance ETD / 465/2021, du 6 mai, qui réglemente les modalités d'identification à distance par vidéo pour la délivrance de certificats électroniques qualifiés.
• : RÈGLEMENT (UE) N° 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 2 juillet 2014 relative à l'identification électronique et aux services de confiance pour les transactions électroniques dans le marché intérieur.
• RÈGLEMENT D'EXÉCUTION (UE) 2015/1502 DE LA COMMISSION [pdf] du 8 septembre 2015 concernant la fixation de spécifications techniques minimales et de procédures pour les niveaux de sécurité des moyens électroniques d'identification conformément à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur.
  • Niveaux de sécurité EID. 2.1.2. Preuve et vérification d'identité. Niveau substantiel
• NIST : lignes directrices sur l'identité numérique [pdf]
• Test de fournisseur de reconnaissance faciale en cours du NIST (FRVT) Partie 2 : Identification [pdf]
• Services d'identification numérique notifiés à la Commission européenne
• Guide pour l'application des niveaux d'assurance qui prennent en charge le règlement eIDAS [doc]
• Étude sur l'eID et l'intégration numérique. Cartographie et analyse des pratiques bancaires d'intégration existantes dans l'UE.
• Présentation d'inscription idCAT Téléphone portable avec identification vidéo [25 / 05 / 2021]
• Utilisation de la reconnaissance faciale pour l'identification numérique dans les services publics (Big Data & AI World London) - Miquel Estapé