![[Entretien] Gregory Kuhlmey, IDEMIA : La biométrie dans les portefeuilles d’identité numérique](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-1920x735.jpeg)
Entretien Gregory Kuhlmey, IDEMIA : La biométrie dans les portefeuilles d’identité numérique
![Image [France Identité numérique] lance un programme de [bug bounty] public](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-bug-errors-885x690.jpg)
![Image [Identité numérique :] Entrust veut racheter Onfido](https://incyber.org//wp-content/uploads/2024/02/incyber-news-cybersecurite-cybersecurity-rachat-fusion-885x690.jpg)
![Image [France :] un nouveau prestataire de tiers payant victime d’un vol de données](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Multiples sont les gouvernements qui avancent tambour battant sur leur programme de portefeuille digital. Des projets qui suscitent à la fois espoirs et inquiétudes. Avancées du digital wallet, protection de la vie privée, exemples internationaux, place de la biométrie, éthique des algorithmes, Gregory Kuhlmey, Program manager digital identity chez IDEMIA, nous dit tout sur ce sésame numérique et sur la biométrie, brique essentielle de tels dispositifs. Entretien.
Gregory Kuhlmey, pouvez-vous vous présenter ?
Je fais partie de l’équipe identité digitale de la division Public Security & Identity d’IDEMIA, qui sert les gouvernements avec des systèmes d’identité physiques ou digitaux. L’écosystème digital étant aussi bien public que privé, nous servons aussi les entreprises qui ont besoin d’un niveau d’assurance ancrée dans les systèmes gouvernementaux. Dans cette équipe, je m’occupe de différents projets stratégiques, dont le digital wallet.
La biométrie semble être un sujet récurrent quand on aborde la question de l’identité numérique. En quoi est-elle une pièce essentielle du puzzle ?
Elle intervient à deux étapes essentielles : au moment de l’ouverture du Digital Identity Wallet, elle permet de s’assurer que son créateur est bien la bonne personne par des vérifications biométriques, y compris par un entretien en face à face. Mais le Digital Identity Wallet a vocation à être utilisé en ligne. Lors de son utilisation, les vérifications biométriques permettent de s’assurer que c’est le bon utilisateur, bien vivant, qui utilise le portefeuille numérique.
Comment cela se passe-t-il ?
Nous comparons les données biométriques recueillies par l’appareil de l’utilisateur à une base de données de référence ou un document d’identité régalien. Ils doivent être fiables, d’où l’appellation root of trust, la source de confiance. Une fois cette étape cruciale effectuée, on peut ouvrir l’identité numérique à des usages bien plus larges, puisque l’on peut toujours remonter à cette source de la confiance.
IDEMIA est un partenaire historique des États pour créer cette root of trust, que ce soit sous forme de document physique avec un portrait de référence stocké dans une puce ou sous format dématérialisé dans des bases de données auxquelles on peut accéder pour faire la vérification initiale.
La biométrie est donc une donnée fondamentale pour créer et utiliser le Digital Identity Wallet. Elle permet de sécuriser l’identité, mais aussi à terme le permis de conduire, les informations médicales ou les données de paiement.
Justement, l’identité numérique avance avec le EU Digital Identity Wallet qui semble proposer des moyens d’authentification à ces services via un portefeuille numérique, comment IDEMIA se positionne-t-elle sur ce sujet ?
Ce projet va donner un coup d’accélérateur à l’usage de l’identité numérique en Europe et nous sommes ravis de l’approche choisie par l’UE, centrée sur la protection de la vie privée du citoyen. IDEMIA suit de près ce programme et y contribue. Nous sommes engagés dans des organismes, comme l’ACN [Alliance pour la confiance numérique, ndlr] en France, qui représentent les industries du secteur auprès des instances européennes.
Comment ce projet se construit-il ?
L’UE est en train de faire les choix pour les standards et les outils techniques. Le positionnement des industriels dépendra des demandes de chaque État. Mais, cela ne fait aucun doute qu’ils seront interopérables. Le projet de l’Union s’est inspiré de toutes les bonnes pratiques des acteurs privés et publics, dont celles qu’IDEMIA a développées en Inde, en Angleterre, aux États-Unis, en France, etc.
Si le cadre et la réglementation vont émaner de Bruxelles, l’implémentation se fera au niveau de chaque pays. Nous pourrons les accompagner, forts de nos retours terrain : nous avons déjà diffusé 1,5 million de Digital Identity Wallet aux États-Unis, en Amérique latine et dans les pays nordiques.
De tels projets représentent-ils des dangers pour la vie privée ?
Le programme européen évite cet écueil, puisqu’il se fonde sur le consentement du citoyen à chaque étape. Le Digital Identity Wallet reprend le concept du portefeuille physique, en cuir. L’utilisateur conserve sur lui ses données personnelles et sait à qui il les montre, dans quel contexte. Cependant, le Digital Identity Wallet va encore plus loin : il contrôle l’utilisation qui est faite de ses informations personnelles. Elles sont partagées uniquement pour une transaction donnée et aucune copie n’en sera faite à l’insu de l’utilisateur.
Il s’agit d’un partage fin, qui permet de ne présenter que les infos utiles à une démarche précise : par exemple, si vous devez prouver que vous avez plus de 18 ans, vous n’avez pas besoin de partager votre nom ou votre adresse, ce que ne permet pas une CNI physique.
Utilisation opaque des données ou crédit social à la chinoise, les craintes restent pourtant nombreuses…
La démarche européenne est en opposition avec la méthode chinoise centralisée… Le Digital Identity Wallet européen empêche par construction les dérives à la Big Brother : les différentes bases de données ne sont pas interconnectées. En Europe, le seul point de contact entre les bases de données est dans le téléphone de l’utilisateur. Il n’y a pas d’interconnexion en backend par des systèmes qui pourraient ensuite croiser les données. L’architecture même du Digital Identity Wallet nous prémunit de ces dérives.
Une approche décentralisée est donc la clef…
En effet, c’est ce que nous préconisons et c’est la voie qu’a choisie l’UE. Dans les CNI modernes, la puce contient les données qui permettent l’authentification de la personne. Pour créer le Digital Identity Wallet, on a juste besoin d’accéder à cette puce et non à une base centralisée. Il en est de même pour ouvrir l’identité digitale sur l’écosystème : c’est le concept d’Identity on the edge. Les données sont stockées dans le téléphone, ainsi il n’y a pas de possibilité d’attaque informatique scalable sur une base de données unique.
Existe-t-il d’autres garde-fous ?
La clef est de s’appuyer sur des autorités indépendantes qui réglementent et supervisent les usages. Nous avons la Cnil en France, avec des équivalents dans chaque pays européen, qui sont garantes d’un usage éthique des systèmes d’identité numérique.
Par ailleurs, les produits doivent être certifiés en termes de sécurité, afin d’être certains que les données ne fuitent pas. Pour s’en assurer, les solutions sont auditées par des hackers éthiques. Rassurer ainsi le public est la clef d’un bon déploiement de ces solutions.
L’un des premiers pays européens à avoir généralisé l’identité numérique est l’Ukraine. Quels enseignements tirer de cette expérience ?
Le cas ukrainien a montré l’importance de l’identité numérique au quotidien. Kiev a équipé ses citoyens avec une identité qui leur permet d’exister et d’avoir des droits où qu’ils soient, c’est vraiment formidable ! Le projet européen est plus ambitieux, puisqu’il est interopérable et doit fonctionner en ligne et hors ligne, à la différence du Digital Identity Wallet ukrainien.
Cela dit, l’Ukraine fait partie des pays qui vont participer au projet pilote de Digital Identity Wallet européen, lequel va démarrer l’année prochaine. À ce titre, nous allons tenir compte de son expérience.
IDEMIA insiste sur l’équité de ses algorithmes. Pouvez-vous préciser cette notion ?
Il s’agit de s’assurer que les algorithmes biométriques traitent tout individu de la même façon, qu’il n’y ait aucun biais induit par l’âge, le sexe ou l’origine. Chacun doit bénéficier du même niveau de performance et de justesse dans le traitement de ses données biométriques.
C’est une question complexe, puisque nos algorithmes sont nourris par du machine learning : ils sont testés face à des bases d’apprentissage, mais celles-ci peuvent être biaisées. Par exemple, les étudiants peuvent être surreprésentés ou les couleurs de peau plus foncées moins bien reconnues. C’est pourquoi nous sommes très vigilants à ce que nos bases d’apprentissage soient bien ventilées en termes d’âge, de sexe ou d’origine.
En aval, nous vérifions par des benchmarks indépendants que nos algorithmes sont justes. Ainsi, nous les soumettons régulièrement au NIST [National Institute of Standards and Technology, ndlr] américain. Si l’algorithme était moins performant sur certaines tranches de la population, les personnes concernées seraient exclues de la société, qui se digitalise.
La responsabilité numérique des entreprises devient une préoccupation majeure. Le souci d’équité dans les algorithmes participe-t-il de cette démarche ?
Une identité pour tous, c’est notre responsabilité. En effet, un milliard de personnes sur Terre n’ont pas d’identité officielle, pourtant vitale pour que chacun puisse vivre dans une société juste et inclusive, où il puisse exercer ses droits. C’est pour sensibiliser le public à l’importance de cette problématique que nous avons participé le 16 septembre la journée internationale de l’identité.