Point de vue

Protéger les informations des importateurs tout en améliorant les contrôles douaniers

21 juin 2022
Par Jeff Rittener, Chief Trade Officer, Intel Corporation

Les administrations des douanes et les opérateurs commerciaux veulent tous deux réduire la complexité liée à la collecte et à l’échange de données. Cela dit, il peut y avoir une incompatibilité entre le besoin pour les douanes d’accéder aux données et le besoin pour les entreprises de protéger les informations confidentielles. Le présent article se penche sur deux solutions qui permettent d’analyser et de soumettre des données à des fins de déclaration, en donnant accès aux données sans avoir besoin de les déplacer à gauche et à droite.

Dans l’économie numérique d’aujourd’hui, le succès se mesure en fonction de la qualité des observations que l’on peut tirer des données au bon moment. Les innovations telles que la reconnaissance optique de caractères (OCR)[1] pour lire les numéros des conteneurs, les codes d’identification par radiofréquence (RFID) ou les codes QR pour repérer les envois et suivre leur trace, et la numérisation des documents commerciaux ont amélioré la fiabilité et l’efficacité du commerce international. En même temps, le système commercial mondial – qui se caractérise par des accords commerciaux qui ont été rédigés avant l’émergence du commerce numérique, avec des transactions qui s’accompagnent de nombreuses formalités administratives et un système de financement du commerce qui dépend encore des méthodes bancaires traditionnelles – continue de rester à la traîne. Le passage aux technologies de pointe, qui pourraient pourtant rendre le commerce plus efficace, plus participatif et moins coûteux, n’est pas encore pleinement réalisé.

Nous sommes néanmoins à l’aube d’un grand changement, et c’est une bonne nouvelle. En effet, différentes technologies, combinées les unes aux autres, pourraient fondamentalement améliorer l’affectation des ressources et l’adoption, le fonctionnement et l’exécution de ce que nous appelons « le commerce international intelligent ». Pour les fabricants que nous sommes, le mot intelligent se réfère à tout ce qui se fonde sur des processus et des solutions uniformisés et sécurisés pour la collecte et la communication d’informations.

Le SMFL ou le développement d’algorithmes analytiques sans échange de données

Prenons à titre d’exemple l’apprentissage automatique fédéré sécurisé (secure federated machine learning ou SFML)[1], une technique d’apprentissage automatique qui forme un algorithme à travers des serveurs décentralisés multiples détenant des échantillons de données locales, sans les échanger.

La technologie nous permet de relever un important défi : récolter des données qui, emmagasinées dans divers systèmes sources, sur plusieurs plateformes et sous de nombreux formats différents, créent des silos de données. Si, idéalement, il conviendrait de consolider et d’héberger ces océans de données à un même et seul endroit, dans la pratique, une telle solution serait irréaliste et exigerait la consommation de vastes quantités de ressources.

Au lieu d’exiger des agences qu’elles migrent les données vers un seul endroit, le SFML amène lui-même les mécanismes de traitement vers la source de données, dans un but de formation et d’inférence. Cette fédération de données garantit la confidentialité et la sécurité des données ainsi que des modèles d’apprentissage automatique. Le SFML permet de s’assurer que 1) les données restent en place, le mécanisme de traitement se chargeant lui-même de déplacer les données, et 2) que le mécanisme de traitement et les données demeurent protégés au niveau du matériel informatique. Des telles garanties sont particulièrement importantes lorsque les données exigées ont trait aux informations les plus confidentielles ou à la nomenclature de fabrication définissant les composants requis pour fabriquer un produit.

De nombreuses études ont montré l’efficacité du SFML, soulignant des avantages tels que le déploiement et à la mise à l’essai rapides des modèles analytiques, la faible latence et la faible consommation en électricité en comparaison avec d’autres outils analytiques. Le SFML emploie un mélange de techniques dites « privacy by design »[2] qui assurent la dépersonnalisation des données (c’est-à-dire le processus utilisé pour empêcher que l’identité personnelle d’un individu ne soit révélée), la protection des données et la sécurité des observations qui peuvent en être tirées. Il garantit la protection de l’intérêt des parties fournissant les données à des fins d’expression(s) algorithmique(s), à travers des techniques de sécurité qui sont ancrées au plus bas niveau du matériel informatique – le silicium ![3]

Software Guard Extensions (SGX) : échanger des données douanières avec précision et dans le respect de la vie privée

L’échange de données entre la douane et ses partenaires commerciaux peut être complexe et lourd pour les deux parties. Certaines administrations douanières exigent, par exemple, que les sociétés situées dans des zones sous douane leur donnent accès à des données de fabrication détaillées, notamment à des nomenclatures confidentielles, afin d’effectuer leurs calculs fiscaux. Ce processus est généralement complexe et peut être source d’erreurs, dans la mesure où il suppose des visites sur site et un examen manuel des déclarations. En conséquence, la douane peut facilement omettre de recouvrer certains droits de douane qu’elle a pourtant le droit de percevoir.

À l’inverse, les entreprises qui interagissent avec les administrations des douanes pour l’importation ou l’exportation de matériaux passent des heures à créer des rapports et à préparer des contrôles manuels ou à s’assurer que les composants qu’ils importent pour assemblage en produits finis bénéficient de toutes les exonérations de droit disponibles.

Les deux parties veulent toutes deux réduire la difficulté liée à la collecte et à l’échange de données. Toutefois, il peut y avoir une certaine incompatibilité entre l’exigence que les administrations des douanes imposent aux sociétés de fournir des écritures pleinement transparentes et vérifiables et l’obligation pour ces mêmes sociétés de protéger des informations confidentielles.

Les solutions électroniques de notification des données qui sont généralement disponibles ne permettent pas de répondre à ces défis car elles ne déploient souvent pas des mesures de sécurité des données suffisantes. Par conséquent, elles pourraient exposer les entreprises à des menaces pour leur sécurité et à des violations de leurs droits de propriété intellectuelle (DPI). De plus, de nombreuses solutions de ce type laissent des brèches dans la fonctionnalité requise, ce qui peut exiger de la part de l’entreprise qu’elle consacre un surplus d’interventions manuelles et d’heures supplémentaires aux travaux de présentation de rapports et à la soumission de déclarations.

Pour assurer la sécurité dans la soumission de données aux fins de la déclaration, Intel a mis au point une solution appelée Software Guard Extensions[4] (SGX), soit une série d’instructions qui créent des zones de confiance dans les différentes sources de données, augmentant ainsi la sécurité du code d’application et des données, les protégeant davantage contre les divulgations ou les modifications. Incorporées à un environnement de chaînes de blocs et dans des solutions d’apprentissage fédéré, les SGX contribuent à améliorer la précision des données, la transparence et la sécurité.

Kim Huat Ooi, vice-président chargé de la fabrication et de l’exploitation et directeur général d’Intel Products Vietnam, explique que « de telles solutions permettent potentiellement d’économiser jusqu’à 5 000 heures-personnes que les équipes des opérations peuvent passer à préparer les rapports manuels et les audits ». Elles aident également les acteurs du secteur privé à répondre aux exigences en matière de conformité, et à éviter les frais et les pénalités encourus pour des erreurs d’inattention. Ce type d’assistance est particulièrement important pour les opérateurs économiques agréés (OEA) qui risquent de perdre leur agrément.

L’exemple de la Douane du Vietnam

Au Vietnam, les matières utilisées pour la production à l’exportation peuvent être importées en franchise de droit. L’importation et la consommation de matières sont contrôlées par le Département général de la Douane du Vietnam (DGDV) qui s’assure qu’il n’y ait pas de fuite de matières premières en exonération de droit sur le marché national. Pour valider la consommation de matières en franchise, le DGDV exige de toutes les entreprises qu’elles fournissent leurs nomenclatures de fabrication.

Récemment, le DGDV[6] s’est penché sur la viabilité d’une solution de déclaration de données qui peut accéder aux données détaillées de fabrication des entreprises, notamment leurs nomenclatures de fabrication confidentielles, tout en répondant aux préoccupations de ces dernières concernant le secret commercial.

Intel envoie des composants au Vietnam pour l’assemblage de produits qui sont exportés par la suite, et l’entreprise était donc bien placée pour développer une solution et aider le DGDV dans cette phase d’étude et d’exploration. En conséquence, elle fournit non seulement la technologie mais profite aussi de son adoption par le DGDV.

L’objectif de la solution à développer était :

  1. d’aider à automatiser les processus en vue de réduire les erreurs et de diminuer les pertes de recettes comme conséquence de l’imprécision de certaines données.
  2. de favoriser la déclaration en temps quasi réel pour éviter les abus concernant les exemptions fiscales et la fuite des matières premières sur les marchés locaux.
  3. de contribuer à protéger les informations des sociétés actives au Vietnam.

Les composants suivants ont été envisagés durant le projet :

  • une plateforme intégrée pour développer des applications et coordonner les intégrations à travers les systèmes pour offrir des capacités analytiques ;
  • Hyperledger Fabric (de source ouverte) pour le chemin de données de la chaîne de blocs ;
  • une solution de déclaration de données confidentielles, qui se compose de :
    1. Hyperledger Avalon, pour délester le traitement par chaîne de blocs de la chaîne principale vers des ressources de bureau dédiées ;
    2. Software Guard Extensions (SGX) pour chiffrer les données en mouvement dans le but de protéger la confidentialité et l’intégrité des DPI sensibles ;
  • des processeurs évolutifs pour aider à assurer de hauts niveaux de performance et prendre en charge les SGX dans ce qui est appelé un « environnement d’exécution de confiance ».

Comme l’illustre le diagramme n° 1, les données confidentielles de la nomenclature de fabrication, notamment les transactions portant sur les composants de matériel et sur les transactions sur les produits finis, sont chiffrées et stockées dans une base de données hors chaîne, indiquée en rouge. Seules les valeurs de hachage (« hashs ») des données de la nomenclature de fabrication sont traitées sur la chaîne de blocs de l’Administration douanière. Lorsqu’une demande de contrôle de la transaction exige des données de la nomenclature de fabrication, la demande est renvoyée vers la solution de déclaration hors chaîne, exécutée sur les serveurs construits sur des processeurs évolutifs et incorporant les SGX. Les données de nomenclature sont alors déchiffrées et les « hashs » des données de nomenclature sont appariées aux données de la chaîne de blocs du fabricant, qui inclut les données sur les matières premières et les produits finis.

Dans cette solution, la technologie d’apprentissage automatique fédéré sécurisé aide à garantir la sécurité et la protection de la confidentialité des données et les Software Guard Extensions sont utilisées pour bâtir des environnements matériels fiables. Par exemple, à travers les instructions de traitement informatique, les Software Guard Extensions créent des zones fiables dans différentes sources de données afin d’en permettre l’accès (ce qui est le but du SFML). Il est ainsi possible d’améliorer les modèles d’IA puisqu’ils peuvent s’entraîner sur de sources multiples de données tout en améliorant encore la sécurité des données.

Le schéma ci-dessus illustre les demandes de validation à travers la solution de déclaration de données confidentielles, exécutées hors chaîne sur des serveurs bâtis avec des processeurs évolutifs et incorporant les Software Guard Extensions. Les données de la nomenclature de fabrication sont déchiffrées uniquement dans l’enclave

La solution a montré qu’Intel pouvait garantir la confidentialité de la liste des composants apparaissant dans la nomenclature de fabrication. Entre-temps, le DGDV et Intel ont entamé un partenariat pour revoir les processus opérationnels et en proposer de nouveaux, en vue de simplifier et d’accélérer la soumission des déclarations concernant les marchandises pouvant faire l’objet d’une franchise de droit.

Automatiser les procédures tout en protégeant les informations confidentielles

La solution de déclaration de données confidentielles mentionnée plus haut aide à résoudre de nombreux problèmes auxquels sont confrontées les administrations des douanes et les entreprises du secteur privé avec lesquelles elles interagissent.

Pour les douanes, ce même type de solutions peut contribuer à uniformiser la soumission de déclarations à travers l’automatisation, à accroître l’efficacité globale des processus, à améliorer la transparence, la vérifiabilité, la sécurité et l’exactitude des données qu’elles collectent, à renforcer leurs capacités de détection de la fraude et à consolider leur capacité à recouvrer les recettes tarifaires qui ne sont souvent pas perçues à la suite d’erreurs dans les déclarations.

Pour les capitaines d’industrie, la solution leur permet de partager les informations requises avec beaucoup plus de facilité et de précision, tout en protégeant les données sensibles. Ces acteurs du secteur privé peuvent également apprécier plus aisément leurs lacunes en matière de conformité et corriger les erreurs rapidement. Cet élément est particulièrement important pour les opérateurs économiques agréés. Au Vietnam, par exemple, les sanctions qui découlent d’un non-respect du statut d’OEA sont énormes : le non-respect des critères peut aboutir à des pénalités financières et à des retards importants, le dédouanement pouvant rapidement passer d’un processus presque instantané à une procédure durant jusqu’à deux jours. Par ailleurs, les entreprises peuvent économiser des milliers de personnes-heures passées à préparer les déclarations et s’éviter ainsi de payer des amendes onéreuses pour des erreurs commises de bonne foi.

Pour les douanes comme pour leurs partenaires commerciaux, la solution accélère le processus dans son ensemble en permettant un dépôt de la déclaration instantané. En outre, les données de la déclaration sont mises en correspondance automatiquement. Dès qu’une déclaration est soumise, la moindre erreur est détectée et signalée, ce qui permet de réduire les divergences et le ballet de communications qui peut s’ensuivre.

Mettre au point des technologies fiables pour toutes les parties

Les données relatives aux transactions d’importation et d’exportation peuvent être réutilisées en toute sécurité par les gouvernements et les acteurs du secteur privé concernés afin d’éliminer les doublons, les retards et les coûts inutiles. Ainsi, la collaboration continue entre le secteur public et les capitaines d’industrie dans ce domaine devrait dépasser le cadre des projets pilotes sur les voies commerciales intelligentes et sûres (SSTL) qui ont été lancés.

Pour conclure, la technologie que nous avons décrite ici offre d’énormes possibilités pour relever certains des plus grands défis au niveau mondial, en même temps qu’elle constitue un catalyseur économique, étant donné son lien avec la facilitation du commerce. En donnant aux autorités douanières la possibilité de transformer leur infrastructure technologique à travers des solutions et des innovations considérées auparavant comme hors de leur portée, nous continuerons à repousser les limites du possible.

En savoir +
gat.itg.communications@intel.com

[1] Cogent Labs, https://www.intel.com/content/www/us/en/internet-of-things/ai-in-production/partners/cogent-labs.html.

[2] Federated Learning through Revolutionary Technology, https://www.intel.com/content/www/us/en/financial-services-it/federated-learning-solution.html.

[3] L’expression « privacy by design » signifie prise en compte du respect de la vie privée lors de la conception.

[4] Le silicium est la base de tous les processeurs d’ordinateur à l’heure actuelle.

[5] Relentless Attention to Security Innovation, https://www.intel.com/content/www/us/en/developer/tools/software-guard-extensions/overview.html.

[6] General Department of Vietnam Customs – Intel – SAP cooperate to experiment on information exchange, https://vietreader.com/business/finance/22410-general-department-of-vietnam-Customs-intel-sap-coorporate-to-experiment-on-information-exchange.html.