L’identification dans le secteur public à l’ère de l’IA
Lorsqu’un organisme du secteur public communique des dossiers à une personne non habilitée, les conséquences peuvent être graves : divulgation non autorisée de renseignements personnels, préjudice potentiel pour les personnes concernées, atteinte à la réputation et coûts élevés liés à la gestion de l’incident. Une vérification efficace de l’identité exige un équilibre délicat entre la gestion des risques — afin d’assurer la protection tant des particuliers que de l’institution — et le maintien de l’accessibilité et de l’efficacité des services. Bien que le Canada dispose d’un solide cadre d’orientation en matière de protection de la vie privée sur lequel s’appuyer, les pratiques quotidiennes demeurent très variables, en particulier pour les demandes d’accès « personnelles » et les autres services nécessitant une preuve d’identité.
Commencez par une vérification fondée sur les risques, et non par une approche uniforme.
Le Commissariat à la protection de la vie privée du Canada (CPVP) explique que « l’identification et l’authentification se rapportent essentiellementr à la gestion des risques : le risque, pour une organisation, de refuser l’accès à un client légitime ou de donner l’accès à un imposteur en raison d’une pratiques d’identification ou d’authentification inadéquate; ou encore le risque, pour les clients, que leurs renseignements personnels soient perdus ou communiqués à tort, qu’on usurpe leur identité, qu’on vole leur argent ou encore qu’on porte atteinte à leur vie privée »
En pratique, le niveau d’assurance de l’identité doit être proportionnel à la sensibilité dudossier ou du service. Une demande courante peut ne pas nécessiter une vérification d’identité rigoureuse, alors qu’une demande d’accès à ses dossiers personnels, à des informations sur ses prestations ou à d’autres fichiers sensibles l’exige souvent.
Considérez les pièces d’identité délivrées par le gouvernement comme des données hautement sensibles.
Une bonne pratique exemplaire consiste à traiter les copies de pièces d’identité officielles avec photo comme des données personnelles sensibles et à les gérer en conséquence. Cela requiert de minimiser la collecte (en ne recueillant que le strict nécessaire), de restreindre l’accès à ces documents et d’établir des règles claires en matière de conservation et de suppression. L’objectif doit être d’éviter la constitution d’un « référentiel fantôme de pièces d’identité », dispersé entre les boîtes de messagerie et les lecteurs partagés.
Le problème des pièces jointes : un schéma courant mais risqué
Malgré des années de directives en matière de sécurité, de nombreuses organisations continuent d’accepter des pièces d’identité par courriel, souvent. par simple commodité ou habitude. Les organismes du secteur public à travers le Canada demandent couramment, par courriel, des copies de pièces d’identité officielles avec photo afin de faciliter l’accès aux renseignements personnels.
Cela revêt une importance particulière, car la messagerie électronique généraliste est souvent utilisée comme un outil de commodité, et non comme un canal contrôlé pour le traitement de documents d’identité sensibles. Lorsque des pièces d’identité délivrées par les autorités sont partagées en pièce jointe par courriel, les organisations peuvent ne disposer que d’une visibilité ou d’un contrôle limités sur la manière dont ces informations sont traitées, stockées ou conservées au sein des boîtes de réception et des systèmes de messagerie.
Il en résulte un paradoxe : pour vérifier leur identité, les individus peuvent être amenés à transmettre certains de leurs documents personnels les plus sensibles par des canaux qui ne sont pas conçus à cette fin.
L’IA fait monter les enchères : l’usurpation d’identité est plus facile que jamais.
Le paysage de la vérification d’identité évolue rapidement. Selon le Centre antifraude du Canada (CAFC), les fraudeurs exploitent de plus en plus un éventail d’outils technologiques pour rendre leurs activités plus convaincantes et plus difficiles à détecter. Le Centre note que ces outils incluent l’intelligence artificielle, capable de générer des « voix réalistes, des vidéos hypertruquées et des textes convaincants », contribuant ainsi à la sophistication croissante des stratagèmes de fraude.
Parallèlement, les fraudeurs continuent de s’appuyer massivement sur de faux documents et pièces d’identité. Le CAFC note que les fausses pièces d’identité, passeports et autres documents peuvent servir à commettre divers types de fraudes identitaires, notamment l’ouverture de comptes frauduleux, la demande de prêts ou de crédit, le détournement de prestations gouvernementales et le contournement des processus de vérification, en conférant une apparence de crédibilité dans un large éventail de scénarios de fraude. À mesure que ces tactiques évoluent, les autorités canadiennes de lutte contre la fraude continuent de souligner l’importance de mettre en œuvre des pratiques de vérification d’identité conçues pour détecter et contrer des formes de fraude de plus en plus sophistiquées.
Cette évolution a des conséquences directes pour la vérification d’identité. Les processus statiques reposant sur l’examen visuel d’une photographie de pièce d’identité — en particulier lorsque cette image est transmise par courriel ou visualisée lors d’un appel vidéo — sont de plus en plus vulnérables aux manipulations. Les contrôles qui permettaient autrefois de détecter les falsifications grossières s’avèrent désormais moins efficaces face aux techniques modernes, capables de générer des pièces d’identité réalistes, de modifier des photographies ou de produire des documents justificatifs d’apparence authentique. À mesure que ces capacités deviennent plus accessibles, les organisations qui dépendent d’une vérification manuelle ou par courriel des pièces d’identité sont confrontées à un risque croissant d’usurpation d’identité et de divulgation non autorisée de données personnelles.
À quoi ressemblent de meilleures pratiques
Les lignes directrices canadiennes en matière de protection de la vie privée et de sécurité font ressortir de façon constante certains principes clés dans les programmes robustes de vérification d’identité :
- Utiliser des canaux sécurisés et dédiés pour la collecte des justificatifs d’identité, plutôt que des pièces jointes par courriel.
- Effectuer la vérification au moment de la soumission et renvoyer un résultat de vérification auditable, plutôt que de conserver des copies de pièces d’identité dans des boîtes de réception.
- Mettre en place des contrôles par couches pour les services à risque élevé : vérifications de l’authenticité des documents, complétées par des mesures visant à réduire l’usurpation d’identité (par ex. : détection de vivacité biométrique).
- Minimiser et encadrer la conservation afin que les données d’identité sensibles ne soient pas conservées plus longtemps que nécessaire.
Intégrer les meilleures pratiques à la vérification d’identité dans le secteur public avec Vayle ID
C’est précisément la raison pour laquelle Vayle a lancé Vayle ID : pour aider les organismes du secteur public à moderniser la vérification d’identité dans le cadre des demandes d’accès à l’information à caractère personnel et d’autres processus d’accès à l’information, sans avoir recours aux pièces jointes par courriel.
Vayle ID est intégré aux flux de formulaires en ligne de Vayle ainsi qu’à Vayle FOI – Accès à l’information; il est conçu pour vérifier l’identité d’une personne à l’aide d’une pièce d’identité officielle avec photo et de la biométrie faciale, afin de faciliter l’accès aux services en ligne nécessitant une preuve d’identité. Cette solution est propulsée par Interac Verified™ et s’appuie sur le service de vérification de documents d’Interac®.
Plutôt que de demander à une personne d’envoyer par courriel une copie de sa pièce d’identité, les organisations peuvent valider son identité en temps réel, dès le point d’entrée ; elles reçoivent le résultat de la vérification directement au sein de leur flux de travail, ce qui réduit les risques opérationnels et ceux liés à la protection de la vie privée associés au traitement manuel des documents d’identité. Alors que les techniques d’usurpation d’identité assistées par l’IA continuent de se multiplier, la modernisation de la vérification d’identité ne constitue plus une simple mesure d’amélioration de l’efficacité. Elle est devenue un mécanisme de contrôle fondamental pour protéger les renseignements personnels et préserver la confiance envers les services publics numériques.
Interac Verified et Interac sont des marques de commerce d’Interac Corp. Utilisées sous licence.
