L’association de défense des libertés numériques attaque le décret ALICEM sur l’authentification en ligne. Comme la CNIL, elle s’arme du RGPD pour reprocher au gouvernement de ne pas avoir envisagé d’alternative à ce système reposant sur la reconnaissance faciale.
Le 16 mai, le gouvernement publiait un décret instaurant un nouveau moyen d'identification électronique. Avec cette « Authentification en ligne certifiée sur mobile » ou ALICEM, les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique vont pouvoir s’identifier électroniquement sur des services publics ou privés en ligne. Demain, ce mécanisme pourrait même être étendu aux futures cartes nationales d’identité.
Dans ses rouages, le système fonctionne avec un dispositif « permettant la lecture sans contact » des puces embarquées sur ces titres. Le texte s’appuie aussi sur la reconnaissance faciale au besoin dynamique, en relation avec le fichier national de contrôle de la validité des titres, pour authentifier le porteur.
Concrètement, lors de la première utilisation, l’utilisateur doit effectuer plusieurs tests (cligner des yeux, bouger sa tête, son visage). Les images sont ensuite transmises à l’Agence nationale des titres sécurisés, qui les compare avec celles enregistrées dans le titre sécurisé. Une identité numérique est ensuite générée, et les données biométriques effacées.
Le système draine avant tout un grand nombre de données personnelles. Des agents des services du ministère de l'Intérieur chargés de la maîtrise d'ouvrage du traitement et de l'Agence nationale des titres sécurisés (ANTS) ont alors accès à une partie de ces informations comme la taille, la couleur des yeux, l’adresse postale, la photo du titre, la photographie ou la vidéo de l'usager prise avec son smartphone (selfie), le mail, le numéro d'appel de l'équipement terminal de communications électroniques, l'identifiant technique associé au compte de l'usager.
Les destinataires d’une partie de ces données sont la DINSIC (Direction interministérielle du numérique et du système d'information et de communication de l'État), les fournisseurs de téléservices liés par convention à FranceConnect ou à l'Agence nationale des titres sécurisés.
Les critiques de la CNIL
Dans son avis, la CNIL a relevé qu’Alicem ne fonctionne que sur Android, pour l’heure. Elle avait émis surtout plusieurs critiques, notamment en raison de l’absence d’alternative. Or, seule la présence d’une solution « B » aurait pu en pratique garantir le consentement libre, spécifique, éclairé et univoque des personnes concernées.
Il faut dire que par défaut, l’article 9.1 du RGPD proscrit les traitements biométriques, sauf accord de la personne physique lorsque le traitement, comme ici, repose sur le consentement.
C’est dans ce cadre que La Quadrature du Net a décidé d’attaquer le décret ALICEM, en s’appuyant justement sur le droit des données personnelles, mis à jour depuis le 25 mai 2018. L'association a exploité à la porte du Conseil d’État les critiques adressées par la CNIL dans son avis.
L'absence d'alternative attaquée par La Quadrature du Net
« L’ouverture d’un compte ALICEM nécessite l’utilisation d’un dispositif de reconnaissance faciale, fondé sur le consentement de l’utilisateur ou de l’utilisatrice ». Or, « il n’existe aucun autre moyen pour l’utilisateur ou l’utilisatrice de l’application ALICEM d’activer son compte sans passer par un dispositif de reconnaissance faciale ».
Comme l’autorité, l’association estime que l’absence de choix ne permet pas de garantir ce consentement libre de la personne physique. Elle réclame dès lors l’annulation du décret.
« À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisé sur les conséquences d’un tel dispositif pour notre société et nos libertés, note l’association, le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. »
Dans le rapport « État de la menace liée au numérique en 2019 », Christophe Castaner avait relevé que, pour lutter contre les publications illicites, « le défi de l’identité numérique » devait être relevé, et ce « pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ».
C’est à partir de cette piste que Cédric O, secrétaire d’État au Numérique, a imaginé une lecture des titres d’identité pour vérifier l’âge des personnes souhaitant accéder à des sites pornographiques.
