Lundi dernier, La Quadrature du Net a déposé un recours devant le Conseil d’État pour demander l’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM », pour « Authentification en ligne certifiée sur mobile ». En y conditionnant la création d’une identité numérique à un traitement de reconnaissance faciale obligatoire, le gouvernement participe à la banalisation de cette technologie, et cela au mépris de l’avis préalable de la CNIL qui avait pourtant souligné son illégalité. Les récentes déclarations de Christophe Castaner qui a mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet ne peuvent qu’alerter.
L’application ALICEM, développée par l’Agence des Titres Sécurisés (ANTS), vise à permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux. Comme l’explique la notice même du décret qui en autorise la création, « ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » (…). Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect » (par exemple, impots.gouv, l’Assurance maladie… voir une liste des partenaires ici).
Concrètement, cela fonctionne ainsi : une personne détenant un titre avec une puce biométrique (passeport ou titre de séjour) télécharge l’application sur son smartphone (pour l’instant seulement sur les téléphones Android), pour y créer un compte. Pour cela, il doit procéder à la lecture avec son téléphone de la puce de son titre électronique. L’application a alors accès aux données qui y sont stockées, hors les empreintes digitales (notons que le décret du fichier TES est donc modifié pour permettre la lecture des informations stockées sur la puce électronique). Enfin, pour activer le compte, il faut se subordonner à un dispositif de reconnaissance faciale (dit « statique » et « dynamique », c’est à dire une photo et une vidéo avec des gestes à accomplir devant la caméra) pour vérifier l’identité. Alors seulement, l’identité numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services en ligne [1].
Reconnaissance faciale obligatoire
Alors pourquoi l’attaquer ? Car l’application ALICEM oblige, au moment de l’activation du compte, de recourir à ce dispositif de reconnaissance faciale, sans laisser aucun autre choix à l’utilisatrice ou l’utilisateur. L’article 13 du décret énonce ainsi que l’ANTS informe l’usager « concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques ». Or, au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (Considérant 42). Ici, la personne voulant utiliser ALICEM n’a pas le choix de passer ou non par ce dispositif de reconnaissance faciale et le consentement dont se revendique le gouvernement n’est donc pas valable.
Cette analyse est d’ailleurs celle de la CNIL qui a rendu un avis sur ce décret, préalablement à sa publication. Dans cet avis, elle énonce clairement que, vu que la reconnaissance faciale est obligatoire et qu’il n’existe aucune autre alternative pour se créer une identité via ALICEM, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ». Malgré cet avis et les alternatives imaginées par la CNIL au dispositif de reconnaissance faciale, le gouvernement n’a pas modifié son décret en le publiant.
À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisée sur les conséquences d’un tel dispositif pour notre société et nos libertés [2], en général dans une large illégalité, et alors que des villes aux États-Unis en interdisent explicitement l’utilisation pour les services municipaux [3], le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. Et même s’il ne s’agit ici pas de reconnaissance faciale « en temps réel » par des caméras de surveillance, il s’agit néanmoins bien de normaliser la reconnaissance faciale comme outil d’identification, en passant outre la seule condition qui devrait être acceptable pour son utilisation : notre consentement libre et explicite. Le gouvernement révèle par ailleurs son mépris pour la CNIL, dont l’influence semble diminuer de plus en plus. Fléchissant il y a quelques mois devant les publicitaires en leur laissant encore un an de plus pour respecter le RGPD (voir notre article), elle apparaît ici plus faible que jamais quand elle alerte le gouvernement sur la violation du consentement d’une personne quand au traitement de ses données biométriques et que le gouvernement ne la respecte clairement pas.
La haine, l’anonymat et ALICEM
Attaquer ce décret est d’autant plus nécessaire quand on voit les dangereux liens que tisse le ministre de l’Intérieur Christophe Castaner entre anonymat, haine et identité numérique. Il écrit ainsi, en tête de son rapport « État de la menace liée au numérique en 2019 » : « La liberté, justement, voilà tout le paradoxe d’internet. L’anonymat protège tous ceux qui répandent des contenus haineux et permet à des faux-comptes de se multiplier pour propager toutes sortes de contenus. Nous ne pouvons pas laisser les publications illicites se multiplier. Nous devons donc relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ». Et quand il parle, plus loin, d’identité numérique, c’est pour directement mentionner le dispositif ALICEM. Le débat sur l’identité numérique arrive donc à grande vitesse et l’utilisation que souhaite en faire le gouvernement ne peut qu’alerter : un outil non pas au service du citoyen mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet.
Un projet d’identité numérique, fondé sur un dispositif de reconnaissance faciale obligatoire (au mépris du RGPD) et ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat ne peut qu’être combattu. C’est l’objet de ce recours.
—
[1] Voir également l’analyse de Marc Rees sur Next Inpact.
[2] Lire notre analyse des enjeux politiques de la reconnaissance faciale.
[3] La ville de San Francisco a récemment adopté une telle interdiction, bientôt rejointe par une autre ville du Massachusetts.