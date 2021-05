Le gouvernement vient de publier un arrêté ministériel qui réglemente la délivrance de certificats électroniques qualifiés à distance par appel vidéo, comme la signature électronique nécessaire pour effectuer les démarches auprès de l’administration de l’État en ligne. Le texte juridique, disponible au Journal officiel de l’État (BOE), précise, entre autres, les conditions et les exigences techniques pour vérifier l’identité à distance et empêcher les tentatives d’usurpation d’identité en utilisant des technologies comme les deepfakes.

Parmi les mesures techniques incluses pour prévenir l’usurpation d’identité, le texte indique que l’outil d’identification utilisé Il doit garantir que le processus est exécuté en direct par le demandeur du certificat, et en une seule fois, de manière à éviter le montage de vidéo préenregistrée.. Le fichier audiovisuel ne peut être enregistré que par la société ou l’administration qui délivre le certificat afin de pouvoir le consulter ultérieurement.

L’outil doit également permettre à l’agent de l’utiliser, à la fois en direct et a posteriori, analyser les caractéristiques biométriques du demandeur et sa correspondance avec les informations incluses dans la pièce d’identité.

Le système de comparaison faciale biométrique doit avoir été évalué par le Fournisseur de reconnaissance faciale Test du National Institute of Standards and Technology des États-Unis et avoir obtenu la catégorie VISABORDER, avec laquelle la haute sécurité du système de reconnaissance est garantie, et ayant obtenu un taux de faux positifs égal ou inférieur à 5%, en suivant les instructions de l’annexe F.11 de la taxonomie des produits du service des technologies de l’information et des communications du Centre national de cryptologie.

L’outil doit également être en mesure de garantir que la retransmission et l’ensemble du processus d’identification sont effectués à partir du même appareil et devra inclure des mesures procédurales qui peuvent révéler d’éventuelles manipulations avec l’introduction d’un code unique, aléatoire, imprévisible et à usage unique généré pour le moment et envoyé au demandeur.

Contrôle humain

En plus des fonctions de reconnaissance biométrique, de vérification d’identité et de détection de falsification, telles que le montage vidéo, la commande indique que l’intervention humaine sera essentielle dans chacun de ces processus, soit en même temps par appel vidéo avec le demandeur, soit ultérieurement, via la revue par l’opérateur de la vidéo enregistrée par le système de l’entité qui délivrera le certificat.

Les entreprises qui effectuent ces tâches devront assurer une formation spécifique des opérateurs dans les méthodes d’identification, dans les techniques courantes de contrefaçon et dans les outils de vérification d’identité. De même, ils sont obligés de renouveler leur formation par des cours périodiques, au moins une fois par an.

Ces opérateurs auront l’obligation d’interrompre ou d’invalider le processus d’identification personnelle s’il y a des indications de l’utilisation de fichiers préenregistrés, que plus d’un appareil a été utilisé pour la transmission de vidéos ou que l’appel vidéo du demandeur n’a pas été effectué en même temps et en temps réel. De même, il ne sera pas valable s’il y a des soupçons que la personne qui demande le certificat agit sous la contrainte ou l’intimidation de tiers.

Le texte légal ne fait pas uniquement référence à la vidéo. Il indique également que les opérateurs doivent vérifier la validité et l’authenticité des documents officiels présentés, tels que le DNI, pour obtenir le certificat, et invalider le processus s’il y a des indications que ceux-ci ont été modifiés. Également, La demande peut être considérée comme nulle si la qualité du son ou de l’image empêche de vérifier l’identité de la personne, l’authenticité de la documentation ou la correspondance entre son propriétaire et le demandeur.

Contrôles et installations périodiques

Les prestataires de ces services devront soumis à une analyse de risque périodique, au moins une fois par an, ou chaque fois qu’il y a un changement dans le système, dans les procédures organisationnelles, dans l’état de la technologie ou dans tout aspect qui pourrait compromettre le processus de vérification d’identité. De telle manière qu’ils certifient que le système est à jour et qu’ils ont réduit au minimum le risque de fraude.

En ce qui concerne les installations, les entreprises et les organismes publics qui délivrent des certificats électroniques qualifiés à distance par appel vidéo doivent s’assurer que les serveurs et équipements utilisés pour le processus de vérification se trouvent dans des locaux protégés dont l’accès est réservé au personnel autorisé.

Dans ces établissements, les prestataires Ils sont tenus de conserver la vidéo et la documentation du processus de vérification pendant une période minimale de 15 ans, quelque chose dont les opérateurs devront avoir informé les candidats. La commande précise que ce fichier devra être conforme à la loi organique sur la protection des données.

La commande entrera en vigueur, et donc elle sera obligatoire, le lendemain de sa publication dans la BOE, c’est-à-dire à partir de demain.

Consolidation des mesures extraordinaires

Cet arrêté ministériel consolide une procédure de vérification d’identité pour la délivrance de certificats électroniques qualifiés qui Elle a commencé à être réalisée à la suite de la déclaration de l’état d’alarme dû à la pandémie de coronavirus. Avant, pour obtenir ce type de certificat, il était inexcusable de se rendre dans un bureau d’enregistrement de la National Mint and Stamp Factory.

Une procédure qui il était incompatible avec les mesures de confinement et de distance de sécurité dicté par le gouvernement en mars 2020, pour lequel l’exécutif a publié une disposition extraordinaire, à travers le décret-loi royal par lequel des mesures complémentaires urgentes ont été adoptées dans le domaine social et économique pour faire face au COVID-19, afin que ces certificats puissent être délivrés par appel vidéo.

Ainsi, la onzième disposition supplémentaire du décret-loi royal précité établissait que «l’organe de contrôle accepter ces méthodes d’identification par visioconférence sur la base de procédures autorisées par le service exécutif de la Commission pour la prévention du blanchiment d’argent et des infractions monétaires ou reconnu pour la délivrance de certificats qualifiés par un autre État membre de l’Union européenne ».

Cependant, cette mesure extraordinaire a également précisé que les certificats ainsi envoyés ils cesseraient d’être valides une fois l’état d’alarme terminé, circonstance qui a eu lieu le 9 mai, et que son utilisation serait limitée exclusivement aux relations entre le propriétaire et les administrations publiques.

Donc la commande publiée aujourd’hui consolide la possibilité de demander à distance des certificats électroniques qualifiés par appel vidéo dans des circonstances normales et l’étend au secteur privé.