Le Conseil d'État valide Alicem, l'application de reconnaissance faciale du gouvernement

Vers le site usinedigitale.fr


Tribune L'identité numérique est l'un des piliers de la transformation qu'opère notre société. Pour en garantir la sécurité, le gouvernement français a mis au point une application de reconnaissance faciale baptisée Alicem. Elle utilise des données biométriques (le visage des utilisateurs) pour les authentifier. Une technologique sur laquelle pèsent de lourds enjeux à la fois juridiques et techniques. Cette tribune de Me Isabelle Cantero et Me Eric A. Caprioli a pour objet de présenter la décision du Conseil d’État sur la reconnaissance faciale à des fins d’identification et d’authentification.
Le Conseil d'État valide Alicem, l'application de reconnaissance faciale du gouvernement
Le Conseil d'État valide Alicem, l'application de reconnaissance faciale du gouvernement © Tour Hebdo

La question de l’identité numérique est un sujet fondamental pour le processus de transformation digitale de nos sociétés. La sécurité juridique et technique en dépend. C’est de la validation de l’application gouvernementale ALICEM dont il était question devant le Conseil d’État dans sa décision du 4 novembre 2020.

De quoi s’agit-il ?
Selon le Ministère de l’intérieur, ALICEM est la première solution d’identité numérique régalienne sécurisée. Cette application a été développée par le Ministère de l’intérieur et l’Agence nationale des titres sécurisés (ANTS). ALICEM est une application destinée à équiper les smartphones des individus en leur permettant de prouver leur identité sur les réseaux numériques. Pour ce faire, il faut que l’utilisateur de l’application possède un équipement ainsi qu’un passeport ou une carte de séjour doté d’une puce.

Ce type de solution favorise le développement de ce qu’il est devenu courant d’appeler le "digital" et qui permet les échanges et l’utilisation de services en ligne qu’ils soient publics ou privés. La solution consiste à remplacer la carte d’identité que l’on utilise dans la vie de tous les jours.

Ici, l’utilisateur enregistre son passeport ou sa carte de séjour biométrique, sa puce est lue par le biais d’un NFC (lecture sans contact) et la reconnaissance faciale de l’individu s’effectue en comparant la photo de la pièce d’identité avec son visage. Elle permet d’établir que l’utilisateur est le titulaire du document d’identité régalien. Cette technique assure la vérification de l’identité de la personne, son authentification. Il faut tout de même préciser qu’ALICEM n’est pas obligatoire, tout le monde est libre de s’inscrire ou non à ce service.

Quels enjeux ?
L’application s’inscrit dans le cadre du règlement européen "eIDAS" du 23 juillet 2014 sur l’identification électronique et les services de confiance qui définit 3 niveaux de garantie : faible, substantiel et élevé. ALICEM vise les deux plus hautes marches (le CE mentionne le niveau élevé dans sa décision). Toutefois, cette solution préfigure une autre solution d’identification numérique régalienne : la Carte d’identité électronique qui nous est promise pour août 2021 et à laquelle ALICEM pourra s’intégrer comme l’une des briques technologiques du futur dispositif.

L’application ALICEM a été validée par décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé "Authentification en ligne certifié sur mobile". L’article 3-2  du règlement eIDAS définit d’une part, le "moyen d’identification électronique", comme un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne et d’autre part, "l’identification électronique", comme le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale (art. 3-1).

De son côté, "l’authentification" est un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique. La protection des données est assurée conformément à la loi de 1978 modifié et au RGPD, par exemple : il n’y a pas de stockage des données extraites du titre d’identité et les données ne font l’objet d’aucun traitement.

La biométrie, en l’occurrence la reconnaissance faciale à des fins d’authentification sécurisée, impose des obligations particulières lorsqu’il en découle un traitement de données (comme l’nalyse d’impact sur la vie privée). C’est ce qui a été réalisé pour ALICEM. Néanmoins, l’application a suscité l’inquiétude au regard des possibilités qu’elle offre aux États ou aux entreprises en matière de traçabilité des individus. L’association la Quadrature du Net demandait au Conseil d’État l’annulation du décret pour excès de pouvoir et subsidiairement de poser des questions préjudicielles à la Cour de Justice européenne.

La décision du conseil d’Etat
Le Conseil d’État a rendu une décision très attendue par le marché (fournisseurs et utilisateurs d’identité numérique). La haute juridiction a rejeté le recours de l’association qui s’opposait à la phase de reconnaissance faciale lors de l’ouverture du compte de l’utilisateur aux motifs que la solution devrait prévoir une alternative à ce procédé biométrique de vérification d’identité. On observera tout d’abord que le mobinaute n’a pas l’obligation de s’inscrire au service étant donné que comme le souligne le Conseil d’État il a toujours la possibilité de recourir aux autres dispositifs d’identification en ligne de France Connect "dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale."

De plus, le Conseil d’État rappelle que la loi de 1978 modifiée (art. 8) et le RGPD (art. 9) interdisent les traitements de données biométriques, sauf si la personne concernée a donné son consentement explicite et que, dans le cadre des traitements pour des motifs d’intérêt public important, lesdits traitements soient proportionnés. Ceci étant, le consentement doit avoir été donné librement. Pouvait-on se passer de la reconnaissance faciale ? Existait-il d’autres moyens d’accéder au service ALICEM ?

Selon le Conseil d’État : "Il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait à la date du décret attaqué d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale." Ainsi, le recours à la biométrie autorisé par le décret "doit être regardé comme exigé par la finalité de ce traitement." L’association n’avait manifestement pas apporté la preuve que tels moyens existaient.

Et, en outre : "Il ressort des pièces du dossier que les téléservices accessibles via l’application Alicem l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale." Par conséquent, il s’ensuit que le consentement des utilisateurs d’ALICEM est librement donné. Enfin, la question de la collecte de données adéquates, pertinentes et non excessives est balayée d’un revers eu égard à l’objet et aux finalités du traitement.

Cette décision du Conseil d’État constitue une bonne nouvelle pour la sécurité et la confiance numérique ; ne fût-ce que pour lutter contre les fraudes et les usurpations d’identité. En attendant la carte d’identité électronique, la France devrait enfin pouvoir pré-notifier bientôt son schéma d’identification à la Commission européenne…. Bref, l’histoire du numérique se poursuit !

Eric A. Caprioli et Isabelle Cantero, avocats associés
Caprioli & Associés, société membre du réseau JurisDéfi



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.