La question de l’identité numérique est un sujet fondamental pour le
processus de transformation digitale de nos sociétés. La sécurité
juridique et technique en dépend. C’est de la validation de
l’application gouvernementale ALICEM dont il était question devant le
Conseil d’État dans sa décision du 4 novembre 2020.
De quoi s’agit-il ?
Selon le Ministère de l’intérieur, ALICEM est la première solution
d’identité numérique régalienne sécurisée. Cette application a été
développée par le Ministère de l’intérieur et l’Agence nationale des
titres sécurisés (ANTS). ALICEM est une application destinée à équiper
les smartphones des individus en leur permettant de prouver leur
identité sur les réseaux numériques. Pour ce faire, il faut que
l’utilisateur de l’application possède un équipement ainsi qu’un
passeport ou une carte de séjour doté d’une puce.
Ce type de solution favorise le développement de ce qu’il est devenu
courant d’appeler le "digital" et qui permet les échanges et
l’utilisation de services en ligne qu’ils soient publics ou privés. La
solution consiste à remplacer la carte d’identité que l’on utilise dans
la vie de tous les jours.
Ici, l’utilisateur enregistre son passeport ou sa carte de séjour
biométrique, sa puce est lue par le biais d’un NFC (lecture sans
contact) et la reconnaissance faciale de l’individu s’effectue en
comparant la photo de la pièce d’identité avec son visage. Elle permet
d’établir que l’utilisateur est le titulaire du document d’identité
régalien. Cette technique assure la vérification de l’identité de la
personne, son authentification. Il faut tout de même préciser qu’ALICEM
n’est pas obligatoire, tout le monde est libre de s’inscrire ou non à ce
service.
Quels enjeux ?
L’application s’inscrit dans le cadre du règlement européen "eIDAS" du 23 juillet 2014
sur l’identification électronique et les services de confiance qui
définit 3 niveaux de garantie : faible, substantiel et élevé. ALICEM
vise les deux plus hautes marches (le CE mentionne le niveau élevé dans
sa décision). Toutefois, cette solution préfigure une autre solution
d’identification numérique régalienne : la Carte d’identité électronique
qui nous est promise pour août 2021 et à laquelle ALICEM pourra
s’intégrer comme l’une des briques technologiques du futur dispositif.
L’application ALICEM a été validée par décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé "Authentification en ligne certifié sur mobile". L’article 3-2 du règlement eIDAS définit d’une part, le "moyen d’identification électronique",
comme un élément matériel et/ou immatériel contenant des données
d’identification personnelle et utilisé pour s’authentifier pour un
service en ligne et d’autre part, "l’identification électronique", comme
le processus consistant à utiliser des données d’identification
personnelle sous une forme électronique représentant de manière univoque
une personne physique ou morale, ou une personne physique représentant
une personne morale (art. 3-1).
De son côté, "l’authentification" est un processus électronique qui
permet de confirmer l’identification électronique d’une personne
physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme
électronique. La protection des données est assurée conformément à la
loi de 1978 modifié et au RGPD, par exemple : il n’y a pas de stockage
des données extraites du titre d’identité et les données ne font l’objet
d’aucun traitement.
La biométrie, en l’occurrence la reconnaissance faciale à des fins
d’authentification sécurisée, impose des obligations particulières
lorsqu’il en découle un traitement de données (comme l’nalyse d’impact
sur la vie privée). C’est ce qui a été réalisé pour ALICEM. Néanmoins,
l’application a suscité l’inquiétude au regard des possibilités qu’elle
offre aux États ou aux entreprises en matière de traçabilité des
individus. L’association la Quadrature du Net demandait au Conseil
d’État l’annulation du décret pour excès de pouvoir et subsidiairement
de poser des questions préjudicielles à la Cour de Justice européenne.
La décision du conseil d’Etat
Le Conseil d’État a rendu une décision très attendue par le marché
(fournisseurs et utilisateurs d’identité numérique). La haute
juridiction a rejeté le recours de l’association qui s’opposait à la
phase de reconnaissance faciale lors de l’ouverture du compte de
l’utilisateur aux motifs que la solution devrait prévoir une alternative
à ce procédé biométrique de vérification d’identité. On observera tout
d’abord que le mobinaute n’a pas l’obligation de s’inscrire au service
étant donné que comme le souligne le Conseil d’État il a toujours la
possibilité de recourir aux autres dispositifs d’identification en ligne
de France Connect "dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale."
De plus, le Conseil d’État rappelle que la loi de 1978 modifiée (art.
8) et le RGPD (art. 9) interdisent les traitements de données
biométriques, sauf si la personne concernée a donné son consentement
explicite et que, dans le cadre des traitements pour des motifs
d’intérêt public important, lesdits traitements soient proportionnés.
Ceci étant, le consentement doit avoir été donné librement. Pouvait-on
se passer de la reconnaissance faciale ? Existait-il d’autres moyens
d’accéder au service ALICEM ?
Selon le Conseil d’État : "Il ne ressort pas des pièces du dossier
que, pour la création d’identifiants électroniques, il existait à la
date du décret attaqué d’autres moyens d’authentifier l’identité de
l’usager de manière entièrement dématérialisée en présentant le même
niveau de garantie que le système de reconnaissance faciale." Ainsi, le recours à la biométrie autorisé par le décret "doit être regardé comme exigé par la finalité de ce traitement." L’association n’avait manifestement pas apporté la preuve que tels moyens existaient.
Et, en outre : "Il ressort des pièces du dossier que les
téléservices accessibles via l’application Alicem l’étaient également, à
la date du décret attaqué, à travers le dispositif FranceConnect, dont
l’utilisation ne présuppose pas le consentement à un traitement de
reconnaissance faciale." Par conséquent, il s’ensuit que le
consentement des utilisateurs d’ALICEM est librement donné. Enfin, la
question de la collecte de données adéquates, pertinentes et non
excessives est balayée d’un revers eu égard à l’objet et aux finalités
du traitement.
Cette décision du Conseil d’État constitue une bonne nouvelle pour la
sécurité et la confiance numérique ; ne fût-ce que pour lutter contre
les fraudes et les usurpations d’identité. En attendant la carte
d’identité électronique, la France devrait enfin pouvoir pré-notifier
bientôt son schéma d’identification à la Commission européenne…. Bref,
l’histoire du numérique se poursuit !
Eric A. Caprioli et Isabelle Cantero, avocats associés
Caprioli & Associés, société membre du réseau JurisDéfi
Les avis d'experts sont publiés sous l'entière responsabilité
de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.