Reconnaissance faciale : La Quadrature du Net attaque le décret ALICEM

Reconnaissance faciale : La Quadrature du Net attaque le décret ALICEM

Alicem, l'Intérieur récolte une procédure

Avatar de l'auteur
Marc Rees

Publié dans

Droit

22/07/2019 4 minutes
22

Reconnaissance faciale : La Quadrature du Net attaque le décret ALICEM

L’association de défense des libertés numériques attaque le décret ALICEM sur l’authentification en ligne. Comme la CNIL, elle s’arme du RGPD pour reprocher au gouvernement de ne pas avoir envisagé d’alternative à ce système reposant sur la reconnaissance faciale.

Le 16 mai, le gouvernement publiait un décret instaurant un nouveau moyen d'identification électronique. Avec cette  « Authentification en ligne certifiée sur mobile » ou ALICEM, les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique vont pouvoir s’identifier électroniquement sur des services publics ou privés en ligne. Demain, ce mécanisme pourrait même être étendu aux futures cartes nationales d’identité.

Dans ses rouages, le système fonctionne avec un dispositif « permettant la lecture sans contact » des puces embarquées sur ces titres. Le texte s’appuie aussi sur la reconnaissance faciale au besoin dynamique, en relation avec le fichier national de contrôle de la validité des titres, pour authentifier le porteur.

Concrètement, lors de la première utilisation, l’utilisateur doit effectuer plusieurs tests (cligner des yeux, bouger sa tête, son visage). Les images sont ensuite transmises à l’Agence nationale des titres sécurisés, qui les compare avec celles enregistrées dans le titre sécurisé. Une identité numérique est ensuite générée, et les données biométriques effacées.

Le système draine avant tout un grand nombre de données personnelles. Des agents des services du ministère de l'Intérieur chargés de la maîtrise d'ouvrage du traitement et de l'Agence nationale des titres sécurisés (ANTS) ont alors accès à une partie de ces informations comme la taille, la couleur des yeux, l’adresse postale, la photo du titre, la photographie ou la vidéo de l'usager prise avec son smartphone (selfie), le mail, le numéro d'appel de l'équipement terminal de communications électroniques, l'identifiant technique associé au compte de l'usager.

Les destinataires d’une partie de ces données sont la DINSIC (Direction interministérielle du numérique et du système d'information et de communication de l'État), les fournisseurs de téléservices liés par convention à FranceConnect ou à l'Agence nationale des titres sécurisés.

Les critiques de la CNIL 

Dans son avis, la CNIL a relevé qu’Alicem ne fonctionne que sur Android, pour l’heure. Elle avait émis surtout plusieurs critiques, notamment en raison de l’absence d’alternative. Or, seule la présence d’une solution « B » aurait pu en pratique garantir le consentement libre, spécifique, éclairé et univoque des personnes concernées.

Il faut dire que par défaut, l’article 9.1 du RGPD proscrit les traitements biométriques, sauf accord de la personne physique lorsque le traitement, comme ici, repose sur le consentement.

C’est dans ce cadre que La Quadrature du Net a décidé d’attaquer le décret ALICEM, en s’appuyant justement sur le droit des données personnelles, mis à jour depuis le 25 mai 2018. L'association a exploité à la porte du Conseil d’État les critiques adressées par la CNIL dans son avis.

L'absence d'alternative attaquée par La Quadrature du Net

« L’ouverture d’un compte ALICEM nécessite l’utilisation d’un dispositif de reconnaissance faciale, fondé sur le consentement de l’utilisateur ou de l’utilisatrice ». Or, « il n’existe aucun autre moyen pour l’utilisateur ou l’utilisatrice de l’application ALICEM d’activer son compte sans passer par un dispositif de reconnaissance faciale ».

Comme l’autorité, l’association estime que l’absence de choix ne permet pas de garantir ce consentement libre de la personne physique. Elle réclame dès lors l’annulation du décret.

« À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisé sur les conséquences d’un tel dispositif pour notre société et nos libertés, note l’association, le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. »

Dans le rapport « État de la menace liée au numérique en 2019 », Christophe Castaner avait relevé que, pour lutter contre les publications illicites, « le défi de l’identité numérique » devait être relevé, et ce « pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ».

C’est à partir de cette piste que Cédric O, secrétaire d’État au Numérique, a imaginé une lecture des titres d’identité pour vérifier l’âge des personnes souhaitant accéder à des sites pornographiques

22

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les critiques de la CNIL 

L'absence d'alternative attaquée par La Quadrature du Net

Commentaires (22)


On commence à saisir pourquoi les pouvoirs publics avaient centralisé la gestion des titres avec le décret Halloween 😕


Bertillon démission. <img data-src=" />


Combien de temps avant une décision habituellement ?



Heureusement que la QdN est là. Ces sujets ne sont pas médiatisés, ils permettent au moins de les faire connaître et d’ouvrir le débat. J’en ai profité pour renouveler mon don (que j’avais oublié de renouveler lors du changement de banque).


Mouais… La CNIL rendait son avis le 18 octobre 2018. Elle a bien fait son boulot.



&nbsp;Désolé mais la QDN est juste loin derrière. Pas étonnant vu la déliquescence du schmilblick.


Heureusement que certaine association sont la.




“…pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment…”





Et les Français le veulent ça? Ou bien seulement ceux qui veulent fliquer les Français, leur vie privée, leurs correspondants et leurs correspondances? <img data-src=" />


Le décret date du 13 mai 2019. Tu voulais qu’ils attaquent un texte qui n’existait pas officiellement ?


Pourquoi dans ce cadre précis ?








ProFesseur Onizuka a écrit :



Et les Français le veulent ça? Ou bien seulement ceux qui veulent fliquer les Français, leur vie privée, leurs correspondants et leurs correspondances? <img data-src=" />



👏👏👏👏👏



Et tu ne penses pas que lorsque l’on en est au décret c’est pas un peu trop tard ? Ou inutile (au choix) ? Dixit le nombre incalculable d’histoires dans le genre.&nbsp;


Non, on attaque quelque chose de concret, qui va s’appliquer… Sinon on va attaquer leurs discours à l’assemblée, mais je doute que ce soit gagnable…








TexMex a écrit :



Et tu ne penses pas que lorsque l’on en est au décret c’est pas un peu trop tard ? Ou inutile (au choix) ? Dixit le nombre incalculable d’histoires dans le genre.&nbsp;





La QDN est passée maître dans ce genre de procédures.

Si elle attaque le décret et non la loi, c’est je pense parce que c’était le bon angle d’attaque pour ne pas voir toute la procédure rendue inutile.

Il est possible que ce ne soit qu’un préalable à une QPC , une des seule manière pour des citoyens d’invalider une loi.



Sur le fond…. je trouve ce genre de chose très très dangereux. Est-il normal & souhaitable qu’une structure administrative comme un état puisse ainsi identifier systématique TOUS les individus dans une base de donnée ? Et en plus s’en servir pour autre chose que ce qui est prévu au départ ?

Les abus qui peuvent en découler (en plus des simples piratages)&nbsp; me semblent évidents.



Encore un coup faut avoir une sacré confiance aveugle dans les structures administrative & ceux qui les dirigent (et je ne parle même pas des élus, là) - l’histoire, récente ou pas, a montré, que, bon…









Jarodd a écrit :



Non, on attaque quelque chose de concret, qui va s’appliquer… Sinon on va attaquer leurs discours à l’assemblée, mais je doute que ce soit gagnable…





Arrivé au décret c’est fini. A part pour un vice de procédure mais ce n’est jamais qu’un délai qui serait gagné. Pas une victoire.

&nbsp;

&nbsp;Au pire il font semblant de renoncer et le passe un peu plus tard en version édulcorée qui fait plaisir aux petits paladins et suivra 3 ou 4 amendements dont personne n’entendra parler qui rétablira la version originale. Parfois à la virgule près.



En bref il y a plus de chances que Fillon rende le pognon.



&nbsp;





OB a écrit :



La QDN est passée maître dans ce genre de procédures.

Si elle attaque le décret et non la loi, c’est je pense parce que c’était le bon angle d’attaque pour ne pas voir toute la procédure rendue inutile.

Il est possible que ce ne soit qu’un préalable à une QPC , une des seule manière pour des citoyens d’invalider une loi.



Sur le fond…. je trouve ce genre de chose très très dangereux. Est-il normal & souhaitable qu’une structure administrative comme un état puisse ainsi identifier systématique TOUS les individus dans une base de donnée ? Et en plus s’en servir pour autre chose que ce qui est prévu au départ ?

Les abus qui peuvent en découler (en plus des simples piratages)&nbsp; me semblent évidents.



Encore un coup faut avoir une sacré confiance aveugle dans les structures administrative & ceux qui les dirigent (et je ne parle même pas des élus, là) - l’histoire, récente ou pas, a montré, que, bon…







&nbsp;La QDN est une belle coquecigrue depuis le départ. Ça partait d’un bon sentiment, mais les trolls pompeurs de MP3 et j’en passe ont pourri le truc. Y’a qu’a voir les statuts 3~4 ans en arrière. Une vision sur la création (et les créateurs) qui je dois le dire; est effectivement une pièce maîtresse dans la billevesée façons oxymore.



Il fallait s’attaquer aux “majors” et rendre les créateurs autonomes avec un bon système de licence. C’est l’inverse qui se passe. Et la QDN avec ses dénis têtus et son coté hermétique à tout ce qui n’est pas son idée n’a pas arrangé les choses.&nbsp;



&nbsp;Aujourd’hui qu’il ne reste pas grand chose à faire (et plus grand monde pour s’en occuper) la QDN lève la patte pour le décret ALICEM. C’était au niveau du RGPD qu’il fallait agir. Car non ce n’est pas une bonne chose. Pour ceux qui n’auraient pas saisi : RGPD = “CNIL is out” et un marché de la gestion des données.



Les pièces du puzzle sont déjà là et actives. Bref pisser dans un violon sera plus productif. Mieux vaut apprendre au utilisateurs finaux à se protéger. Mais ça ce n’est visiblement pas le souhait de l’ensemble des parties.





&nbsp;









TexMex a écrit :



Arrivé au décret c’est fini. A part pour un vice de procédure mais ce n’est jamais qu’un délai qui serait gagné. Pas une victoire.

&nbsp;





C’est vrai que jamais un décret n’a été annulé par le Conseil d’Etat <img data-src=" />



La QdN ne sert&nbsp; à rien. Les Yakafauxcon ont déjà toutes les solutions, il suffit de les écouter. Et je suis sûr qu’en ajoutant sur twitter un smiley pas content, ils doublent leurs chances <img data-src=" />



Encore faut-il annuler les bons décrets =&gt; une perle. Et ce n’est strictement pas le seul. Loin de la.

&nbsp;

Effectivement, rétrospectivement la QDN et consort ne servent pas. Si ce n’est à bercer d’illusion tout au plus. Le résultat, le voila. Le RGPD se substitue à ce qui est en place localement. La suite est le fichage généralisé. Et ça on le sait depuis le début. En fait depuis le passeport biométrique (et encore).

&nbsp;

La plupart des gens ne se sentent pas concernés par ce sujet. C’est pour cela que cela passe comme une lettre à la poste. Ton ironie est douce. Tant par le fait que les YakaFaucons comptent parmi leurs membres la QDN en personne. Ils en ont sifflé des solutions complètement bancales. Suffit de lire leur statuts… Ironique non ?

&nbsp;

&nbsp;








TexMex a écrit :



Effectivement, rétrospectivement la QDN et consort ne servent pas.



&nbsp;

Là-dessus, par contre, je te rejoins. Mais pas que la QDN&nbsp; : En France, c’est valable pour quasiment

&nbsp;tous les groupes / assos / parti d’opposition. Pour le pouvoir en place, il y a une sorte “d’illégitimité” perçue à s’opposer au régime, un vieux reliquat de la royauté peut-être.



Aux USA l’EFF (mais pas que elle) est arrivée à certaines victoires qui sont assez impressionnante, quoique plutôt rare ces dernières années.



&nbsp;





TexMex a écrit :



La plupart des gens ne se sentent pas concernés par ce sujet. C’est pour cela que cela passe comme une lettre à la poste. Ton ironie est douce. Tant par le fait que les YakaFaucons comptent parmi leurs membres la QDN en personne. Ils en ont sifflé des solutions complètement bancales. Suffit de lire leur statuts… Ironique non ?





Puisque tu as l’air opposé au RGPD (et je suis bien d’accord avec toi la-dessus), tu as proposé un truc, toi ? Parce que le yakafaucon sans rien faire, hein…



Oui, les gens s’en foutent. Ils ont surtout des problèmes plus immédiats & réels à gérer, sans forcément voir ou analyser à long terme, d’autant plus sur des problématiques complexe comme le RGPD. Et surtout on fait bien attention a ne pas leur en parler ni à trop susciter le doute , ils pourraient moins (ou mieux) consommer. L’opposition au linky est la seule qui, actuellement, rencontre un certain écho dans les média.



Et dans tous les cas, les choses suivent leur cours, sans tenir aucun compte des oppositions de doute manière. Alors oui, au bout d’un moment, les gens se résignent à ne plus s’opposer, et les quelques irréductibles sont vu comme des trublions (quand c’est pas des terroristes, du point de vue de la police).

Moi je trouve ça très rétrograde.



Même si je reste convaincu de l’inutilité de l’action de la QDN , à part pour gagner quelques mois / années, je refuse néanmoins de les décrédibiliser pour cela, au moins eux font des choses, c’est moins simple que de ne rien faire et de cracher dessus sur un forum.



Parce que si la Quadrature ne c’était pas lancer, je suis pas sur qu’on aurait cette discussion actuellement. Le gouvernement a en plus tendance a faire passer c’est loi sans prendre les avis divers en considération.&nbsp;


Je demandais en quoi l’intervention de la QDN était importante sur ce sujet précis. Ta réponse est d’une banalité affligeante qui laisse supposer que tu n’en sais rien mais que comme tu les aimes bien, tu dis du bien d’eux sans savoir si c’est pertinent ici.


Tu n’est pas obliger d’être agressive envers moi. Chaqu’un a son avis. Et oui je connais pas le sujet entièrement, donc cela veut dire que je peut pas donner malgré tout mon avis?&nbsp; Oui je suis content que d’autre personne, association etc…&nbsp; s’occupe de cela. Et bien que j’aime bien la quadrature du net et leur combat, je suis pas pour autant toujours d’accord avec eux.

&nbsp;

Cordialement.


Je ne suis pas agressif. Merci de reconnaître enfin que ton premier message était dénué d’avis sur la question.



Personnellement, je vois mal en quoi c’est bien d’essayer de couler un service qui permettrait d’authentifier quelqu’un de manière forte en ligne (mieux que France Connect) suite à une procédure automatisée sans que cette personne n’ait à se déplacer physiquement.



C’est pour cela que je suis déçu de ne pas avoir ton avis sur la question alors que tu semblais en avoir un.


Au temps pour moi désolé. Le danger pour moi n’est pas forcément le système lui-même. Mais comme le dit La quadrature, ne pas proposer une alternative. Tout le monde na pas forcément envie pour diverses raisons d’utiliser ce système. Personnellement, devoir utiliser la reconnaissance faciale ne me plait vraiment pas. Car on commence par le facial, et demain cela sera quoi, la biométrique? Une autre parti de son corps? Voir tout?

&nbsp;

Faut pas oublier non plus que tout c’est outil ne sont pas sans faille. Un mot de passe (bien que plus vulnérable), on peut le changer autant qu’on veut. Mais si demain le système de sécurité facial ce fait hacker, cela devient beaucoup plus difficile de changer sa tête ou autre parti de son corp ^^








fred42 a écrit :



Personnellement, je vois mal en quoi c’est bien d’essayer de couler un service qui permettrait d’authentifier quelqu’un de manière forte en ligne (mieux que France Connect) suite à une procédure automatisée sans que cette personne n’ait à se déplacer physiquement.







La reconnaissance faciale forte fiable existe chez Apple avec la projection de points.

Pour android c’est selon le budget.

Chez certaines banques avec un humain à l’autre bout de la connexion en plus d’autres systèmes de fiabilisation.



Un visage peut se copier, un mot de passe c’est plus compliqué vu qu’il peut être changé.

Après je ne dis pas que l’ensemble des éléments d’authentification n’est pas moins fort qu’un mail/mdp mais à l’exception d’une crypto correcte, il n’y a pas de miracle.



Et pour revenir sur l’action de la LQN, l’absence d’alternative dénote que non seulement ce système est une fausse bonne idée, mais qu’en plus, on met une fois de plus la charrue avant les bœufs : on veut sortir une nouvelle techno vite sans qu’il y ait de recul sur ses effets ou sa généralisation dans des conditions d’entente acceptables.