Le service des recettes internes (IRS) a déclaré aujourd’hui qu’il cessera d’exiger des données biométriques des contribuables qui souhaitent accéder à leurs dossiers sur le site Web de l’agence. Le renversement survient alors que les experts en matière de confidentialité et les législateurs ont poussé l’IRS et d’autres agences fédérales à trouver des méthodes moins intrusives pour valider son identité auprès du gouvernement américain en ligne.
À la fin de l’année dernière, la page de connexion de l’IRS a été mise à jour avec un texte informant que d’ici l’été 2022, le seul moyen pour les contribuables d’accéder à leurs dossiers sur irs.gov sera par ID.moiun service de vérification d’identité en ligne qui collecte des données biométriques, telles que des analyses faciales en direct à l’aide d’un appareil mobile ou d’une webcam.
L’IRS a annoncé pour la première fois son partenariat avec ID.me en novembre, mais le communiqué de presse n’a reçu pratiquement aucune attention. Le 19 janvier, BreachTrace a publié l’histoire L’IRS exigera bientôt des selfies pour l’accès en ligne, détaillant une expérience difficile en s’inscrivant à l’accès à l’IRS via ID.me. Cette histoire est immédiatement devenue virale, apportant à ce site une quantité de trafic presque sans précédent. Un tweet à ce sujet a rapidement recueilli plus de deux millions d’impressions.
Il était clair que la plupart des lecteurs n’avaient aucune idée que ces nouvelles exigences plus invasives étaient mises en place à l’IRS et dans d’autres agences fédérales (la Social Security Administration dirige également de nouvelles inscriptions à ID.me).
ID.me indique qu’il compte environ 64 millions d’utilisateurs, avec 145 000 nouveaux utilisateurs s’inscrivant chaque jour. Pourtant, la majeure partie de ces utilisateurs sont des personnes qui ont été obligées de s’inscrire auprès d’ID.me comme condition pour recevoir une aide financière de l’État ou fédérale, telle que l’assurance-chômage, les paiements de crédit d’impôt pour enfants et les fonds d’assistance en cas de pandémie.
Face au COVID, des dizaines d’États ont collectivement perdu des dizaines de milliards de dollars aux mains d’usurpateurs d’identité se faisant passer pour des Américains sans emploi à la recherche d’une assurance-chômage. Quelque 30 États et 10 agences fédérales utilisent désormais ID.me pour détecter les voleurs d’identité qui demandent des prestations au nom de quelqu’un d’autre.
Mais ID.me a été problématique pour de nombreux candidats légitimes qui ont vu leurs avantages refusés ou retardés parce qu’ils n’ont pas pu terminer le processus de vérification d’ID.me. Les critiques ont accusé le plan de l’IRS de désavantager injustement les personnes handicapées ou d’avoir un accès limité à la technologie ou à Internet, et que les systèmes de reconnaissance faciale ont tendance à être moins précis pour les personnes à la peau plus foncée.
De nombreux lecteurs étaient consternés que l’IRS demande aux gens de remettre leurs données biométriques et personnelles à une entreprise privée qui a débuté en 2010 afin d’aider les vétérans, les enseignants et d’autres fonctionnaires à bénéficier de remises au détail. Ces lecteurs avaient des questions raisonnables : Qui a (ou aura) accès à ces données ? Pourquoi devrait-il être stocké indéfiniment (post-vérification) ? Que se passe-t-il si ID.me est piraté ?
Le Washington Post signalé aujourd’hui que lors d’une réunion avec des législateurs, des responsables de l’IRS ont déclaré qu’ils envisageaient une autre option de vérification d’identité qui n’utiliserait pas la reconnaissance faciale. En même temps, Président du Comité des finances du Sénat, Ron Wyden (D-Ore.) a mis au défi le département du Trésor et l’IRS de reconsidérer les exigences biométriques.
Dans un communiqué publié aujourd’hui, l’IRS a déclaré qu’il abandonnait l’utilisation d’un service tiers de reconnaissance faciale pour aider à authentifier les personnes créant de nouveaux comptes en ligne.
« La transition aura lieu au cours des prochaines semaines afin d’éviter de plus grandes perturbations pour les contribuables pendant la saison des déclarations », a déclaré l’IRS. « Pendant la transition, l’IRS développera et mettra en ligne rapidement un processus d’authentification supplémentaire qui n’implique pas la reconnaissance faciale. L’IRS continuera également à travailler avec ses partenaires intergouvernementaux pour développer des méthodes d’authentification qui protègent les données des contribuables et garantissent un large accès aux outils en ligne.
« L’IRS prend au sérieux la confidentialité et la sécurité des contribuables, et nous comprenons les préoccupations qui ont été soulevées », a déclaré le commissaire de l’IRS. Chuck Rettig a écrit. « Tout le monde devrait se sentir à l’aise avec la manière dont ses informations personnelles sont sécurisées, et nous recherchons rapidement des options à court terme qui n’impliquent pas la reconnaissance faciale. »
La déclaration a en outre souligné que la transition annoncée aujourd’hui n’interfère pas avec la capacité du contribuable à produire sa déclaration ou à payer les impôts dus. « Pendant cette période, l’IRS continuera d’accepter les déclarations de revenus, et cela n’a aucun autre impact sur la saison fiscale en cours », a déclaré l’IRS. « Les gens devraient continuer à déposer leurs impôts comme ils le feraient normalement. »
On ne sait toujours pas quel autre service ou méthode l’IRS utilisera à l’avenir pour valider l’identité des nouvelles inscriptions de compte. Wyden et d’autres ont exhorté l’IRS à utiliser Login.gov, un service d’authentification unique que le Congrès a exigé que les agences fédérales utilisent en 2015.
« Login.gov est déjà utilisé pour accéder à 200 sites Web gérés par 28 agences fédérales et plus de 40 millions d’Américains ont des comptes », a écrit Wyden dans une lettre à l’IRS aujourd’hui. « Malheureusement, login.gov n’a pas encore atteint son plein potentiel, en partie parce que de nombreuses agences ont bafoué le mandat du Congrès de l’utiliser, et parce que les administrations successives n’ont pas donné la priorité à l’identité numérique. Le coût de cette inaction s’est élevé à des milliards de dollars en fraude, ce qui a alimenté un marché noir pour les données personnelles volées et a permis à des entreprises comme ID.me de commercialiser ce qui devrait être un service gouvernemental de base.
Login.gov est géré par le Administration des services généraux des États-Unisqui a déclaré à The Post qu’il s’était «engagé à ne pas déployer la reconnaissance faciale… ou toute autre technologie émergente à utiliser avec les prestations et services gouvernementaux jusqu’à ce qu’un examen rigoureux nous donne l’assurance que nous pouvons le faire équitablement et sans nuire aux populations vulnérables. ”