Le revenu interne Le service abandonne un système de reconnaissance faciale controversé qui oblige les gens à télécharger des selfies vidéo lors de la création de nouveaux comptes en ligne IRS.
« L’IRS a annoncé qu’il cesserait d’utiliser un service tiers de reconnaissance faciale pour aider à authentifier les personnes créant de nouveaux comptes en ligne », a déclaré l’agence lundi. « La transition aura lieu au cours des prochaines semaines afin d’éviter de plus grandes perturbations pour les contribuables pendant la saison des déclarations. Pendant la transition, l’IRS développera et mettra en ligne rapidement un processus d’authentification supplémentaire qui n’implique pas la reconnaissance faciale. »
L’IRS utilise le système tiers ID.me pour la reconnaissance faciale des contribuables. Les défenseurs de la vie privée et des droits civils et les législateurs des deux principaux partis se sont opposés au système. L’IRS n’exigeait pas la vérification ID.me pour le dépôt des déclarations de revenus, mais l’exigeait pour accéder aux services connexes, tels que les informations de compte, la demande de plans de paiement en ligne, la demande de relevés de notes et le portail de mise à jour du crédit d’impôt pour enfants.
Le système ID.me « utilise la technologie controversée Rekognition d’Amazon » et avait vérifié les selfies de 20,9 millions d’utilisateurs au 25 janvier, a écrit Bloomberg. L’année dernière, le département du Trésor a signé un contrat de 86 millions de dollars sur deux ans avec un fournisseur pour déployer et maintenir le logiciel ID.me.
Le sénateur américain Ron Wyden (D-Ore.), président de la commission sénatoriale des finances, faisait partie de ceux qui ont appelé l’IRS à supprimer le système. « Le département du Trésor a pris la décision intelligente d’ordonner à l’IRS de cesser d’utiliser le service de vérification controversé ID.me, comme je l’ai demandé plus tôt dans la journée », a déclaré Wyden après l’annonce de lundi. « Je comprends que le processus de transition puisse prendre du temps, mais j’apprécie que l’administration reconnaisse que la confidentialité et la sécurité ne s’excluent pas mutuellement et que personne ne devrait être obligé de se soumettre à la reconnaissance faciale pour accéder aux services gouvernementaux essentiels. »
Le processus IRS consiste à télécharger une photo d’une pièce d’identité (comme une licence ou un passeport) ainsi qu’un selfie vidéo, qui sont comparés les uns aux autres pour vérifier l’identité de l’utilisateur. ID.me explique que, si le processus échoue, « vous serez redirigé pour vérifier votre identité via un appel vidéo avec un arbitre de confiance ID.me… Vous devrez montrer vos documents d’identité à un arbitre de confiance ID.me avec avec un selfie (une photo de vous) pour compléter votre vérification d’identité. »
La vérification ID.me était déjà requise pour les personnes créant de nouveaux comptes IRS. Il y avait une approche progressive pour les personnes qui avaient précédemment créé des comptes en ligne IRS – l’IRS a déclaré en novembre que ces personnes peuvent utiliser leurs informations d’identification jusqu’à l’été 2022 et seront « invitées à créer un compte ID.me dès que possible ».
Un groupe de 15 sénateurs républicains a écrit la semaine dernière une lettre au commissaire de l’IRS, Chuck Rettig, disant que « l’IRS a unilatéralement décidé d’autoriser un entrepreneur extérieur à faire office de gardien entre les citoyens et les services gouvernementaux nécessaires ». Les sénateurs se sont opposés aux « mesures de vérification intrusives » et au fait que « ID.me n’est pas soumis aux mêmes règles de surveillance qu’une agence gouvernementale ».
Une autre lettre exhortant l’IRS à abandonner la technologie de reconnaissance faciale a été envoyée lundi par quatre membres de la Democratic House. « Les Américains seront obligés de mettre des données sensibles dans une base de données biométrique, qui est une cible de choix pour les cyberattaques », ont-ils écrit.
Les démocrates ont illustré le risque en évoquant une « cyberattaque » en 2019 contre un sous-traitant du US Customs and Border Protection (CBP) [that] exposé les visages et les plaques d’immatriculation de milliers de voyageurs américains. La cyberattaque du sous-traitant et les retombées qui en ont résulté ont été importantes, mais le risque de cybersécurité avec le plan de l’IRS est bien plus important : des millions d’Américains utilisent le site Web de l’IRS chaque année pour diverses fonctions vitales et, par conséquent, chacun d’entre eux sera obligé de faire confiance un entrepreneur privé avec certaines de leurs données les plus sensibles. »