La France est en passe de se positionner en Europe en pionnier de l’utilisation de la reconnaissance faciale pour donner aux citoyens une identité numérique « sécurisée. » Le projet dénommé Alicem pour « authentification en ligne certifiée sur mobile » est piloté par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS). C’est le résultat d’un décret publié mi-mai pour instaurer un nouveau moyen d’identification numérique qui permettra de se connecter à différents sites du service public.« L'application Alicem est en phase de test sur FranceConnect depuis juin 2019 », lit-on sur la page dédiée au projet. Elle n’est pour le moment disponible que sur la plateforme Android.
« Une fois l’application chargée, il s’agira de procéder à une lecture de la puce du [titre d’identité] avec le téléphone. L’application récupérera un certain nombre de données qui seront ensuite vérifiées. La vérification portera notamment sur l’authenticité et l’intégrité du document ainsi que sur la validité en cours de ce dernier. Une reconnaissance faciale poussée via un selfie sera ensuite effectuée. Une fois ces démarches complétées, le serveur central d’Alicem situé au ministère validera la création de l’identité numérique », explique le ministère de l’Intérieur qui ajoute que l’identité numérique est ensuite stockée dans le téléphone. « Les données d’état civil seront chiffrées et disponibles uniquement dans le téléphone. L’utilisateur pourra alors les utiliser pour effectuer ses démarches en ligne auprès de fournisseurs de services administratifs publics comme les impôts ou la CAF, ou privés comme les banques et les assurances », indique-t-il en sus.
Alicem est donc un projet d'application mobile lancé par le ministère de l'Intérieur et l'Agence nationale des titres sécurisés (ANTS). Elle vise à permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux. Comme l’explique la notice même du décret qui en autorise la création, « ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » (…). Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect »
Il est donc question de permettre à tout utilisateur de « prouver son identité sur internet de manière sécurisée » sur son téléphone. Le projet prévoit un « niveau de sécurité élevé », qui contribuera à « la lutte contre l'usurpation d'identité en ligne ».
La promesse d'Alicem est de simplifier les démarches administratives en ligne. « L'utilisateur n'a plus besoin de mémoriser plusieurs identifiants et plusieurs mots de passe », détaille le ministère de l'Intérieur. L'application donnera par exemple accès au site des impôts, au compte d'assurance-maladie ou encore à l'ANTS, qui gère notamment la création des cartes d'identité et des permis de conduire.
En tout, plus de 500 services publics seront disponibles via Alicem, assure place Beauvau. Une application qui s'inscrit dans le programme Action publique 2022, dont l'ambition est d'assurer l'accès dématérialisé à tous les services publics d'ici trois ans.
Comment cela fonctionne ?
Pour créer un profil Alicem, une personne détenant un titre avec une puce biométrique (passeport ou titre de séjour) télécharge l’application sur son smartphone (pour l’instant seulement sur les téléphones Android équipé d'une puce NFC, qui permet par exemple à un téléphone de se transformer en carte de paiement sans contact).
Une fois l'application téléchargée, l'utilisateur entre son numéro de téléphone, accepte les conditions générales d'utilisation et saisit son adresse e-mail. Jusqu'ici, rien de révolutionnaire. Après avoir scanné la bande optique et la puce du titre d'identité, il choisit un code secret. L’application a alors accès aux données qui y sont stockées, hors les empreintes digitales (notons que le décret du fichier TES est donc modifié pour permettre la lecture des informations stockées sur la puce électronique).
C'est là qu'intervient la particularité d'Alicem. En effet, pour activer le compte, il faut se subordonner à un dispositif de reconnaissance faciale (dit « statique » et « dynamique », c’est-à-dire une photo et une vidéo avec des gestes à accomplir devant la caméra) pour vérifier l’identité. Alors seulement, l’identité numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services en ligne.
L'usager est soumis à une série de « challenges », pour « prouver » qu'il est bien « le détenteur du titre d'identité », comme le montre une vidéo de présentation de l'application, partagée par Baptiste Robert, chercheur en informatique. Ces « défis » invitent l'usager à sourire, cligner des yeux et tourner la tête. Les images sont alors comparées avec la photo présente sur le titre d'identité. Une fois cette ultime étape passée, l'identité numérique est créée et l'accès à Alicem se fait uniquement par code. La reconnaissance faciale n'intervient donc qu'au moment de la création du compte.
La Quadrature du Net s'y oppose
Alors pourquoi l’attaquer ? La Quadrature explique que l’application ALICEM oblige, au moment de l’activation du compte, de recourir à ce dispositif de reconnaissance faciale, sans laisser aucun autre choix à l’utilisatrice ou l’utilisateur. L’article 13 du décret énonce ainsi que l’ANTS informe l’usager « concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques ». Or, au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (Considérant 42). Ici, la personne voulant utiliser ALICEM n’a pas le choix de passer ou non par ce dispositif de reconnaissance faciale et le consentement dont se revendique le gouvernement n’est donc pas valable.
Cette analyse est d’ailleurs celle de la CNIL qui a rendu un avis sur ce décret, préalablement à sa publication. Dans cet avis, elle énonce clairement que, vu que la reconnaissance faciale est obligatoire et qu’il n’existe aucune autre alternative pour se créer une identité via ALICEM, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ».
En effet, l'an dernier, la CNIL émettant un avis sur le dossier précisait qu’elle « relève que le ministère ne propose pas, en l’occurrence et à l’heure actuelle, d’alternative à la reconnaissance faciale pour créer une identité numérique de niveau élevé au sens du règlement e-IDAS. Il en résulte que la création d’une identité numérique Alicem est subordonnée à un processus de reconnaissance faciale sans qu’aucune autre alternative équivalente ne soit prévue pour permettre la délivrance d’une identité numérique par cette application. Au regard des principes rappelés ci-dessus, le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD. » En guise de possibilités autres que la reconnaissance faciale, elle proposait un face-à-face en préfecture ou en mairie, ou un appel vidéo en direct avec un agent.
Malgré cet avis et les alternatives imaginées par la CNIL au dispositif de reconnaissance faciale, le gouvernement n’a pas modifié son décret en le publiant.
« À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisé sur les conséquences d’un tel dispositif pour notre société et nos libertés, en général dans une large illégalité, et alors que des villes aux États-Unis en interdisent explicitement l’utilisation pour les services municipaux, le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. Et même s’il ne s’agit ici pas de reconnaissance faciale "en temps réel" par des caméras de surveillance, il s’agit néanmoins bien de normaliser la reconnaissance faciale comme outil d’identification, en passant outre la seule condition qui devrait être acceptable pour son utilisation : notre consentement libre et explicite. Le gouvernement révèle par ailleurs son mépris pour la CNIL, dont l’influence semble diminuer de plus en plus. Fléchissant il y a quelques mois devant les publicitaires en leur laissant encore un an de plus pour respecter le RGPD, elle apparaît ici plus faible que jamais quand elle alerte le gouvernement sur la...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Cincinnatus
Hors-sol, microcosmique, comme disait feu Raymond Barre
qui a voulu payer ses impôts par chèque (méthode antique ?). Les impôts lui ont renvoyé son chèque... Eux étaient réfractaires pour de bon.