Reconnaissance faciale : La Quadrature du Net attaque le décret ALICEM

Alicem, l'Intérieur récolte une procédure 22
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Justice
Marc Rees

L’association de défense des libertés numériques attaque le décret ALICEM sur l’authentification en ligne. Comme la CNIL, elle s’arme du RGPD pour reprocher au gouvernement de ne pas avoir envisagé d’alternative à ce système reposant sur la reconnaissance faciale.

Le 16 mai, le gouvernement publiait un décret instaurant un nouveau moyen d'identification électronique. Avec cette  « Authentification en ligne certifiée sur mobile » ou ALICEM, les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique vont pouvoir s’identifier électroniquement sur des services publics ou privés en ligne. Demain, ce mécanisme pourrait même être étendu aux futures cartes nationales d’identité.

Dans ses rouages, le système fonctionne avec un dispositif « permettant la lecture sans contact » des puces embarquées sur ces titres. Le texte s’appuie aussi sur la reconnaissance faciale au besoin dynamique, en relation avec le fichier national de contrôle de la validité des titres, pour authentifier le porteur.

Concrètement, lors de la première utilisation, l’utilisateur doit effectuer plusieurs tests (cligner des yeux, bouger sa tête, son visage). Les images sont ensuite transmises à l’Agence nationale des titres sécurisés, qui les compare avec celles enregistrées dans le titre sécurisé. Une identité numérique est ensuite générée, et les données biométriques effacées.

Le système draine avant tout un grand nombre de données personnelles. Des agents des services du ministère de l'Intérieur chargés de la maîtrise d'ouvrage du traitement et de l'Agence nationale des titres sécurisés (ANTS) ont alors accès à une partie de ces informations comme la taille, la couleur des yeux, l’adresse postale, la photo du titre, la photographie ou la vidéo de l'usager prise avec son smartphone (selfie), le mail, le numéro d'appel de l'équipement terminal de communications électroniques, l'identifiant technique associé au compte de l'usager.

Les destinataires d’une partie de ces données sont la DINSIC (Direction interministérielle du numérique et du système d'information et de communication de l'État), les fournisseurs de téléservices liés par convention à FranceConnect ou à l'Agence nationale des titres sécurisés.

Les critiques de la CNIL 

Lisez la suite : 52 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...