La Quadrature du Net s'attaque au décret autorisant la création de l'application mobile intitulée ALICEM

Craignant une généralisation de la reconnaissance faciale en France

La France est en passe de se positionner en Europe en pionnier de l’utilisation de la reconnaissance faciale pour donner aux citoyens une identité numérique « sécurisée. » Le projet dénommé Alicem pour « authentification en ligne certifiée sur mobile » est piloté par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS). C’est le résultat d’un décret publié mi-mai pour instaurer un nouveau moyen d’identification numérique qui permettra de se connecter à différents sites du service public.

« L'application Alicem est en phase de test sur FranceConnect depuis juin 2019 », lit-on sur la page dédiée au projet. Elle n’est pour le moment disponible que sur la plateforme Android.

« Une fois l’application chargée, il s’agira de procéder à une lecture de la puce du [titre d’identité] avec le téléphone. L’application récupérera un certain nombre de données qui seront ensuite vérifiées. La vérification portera notamment sur l’authenticité et l’intégrité du document ainsi que sur la validité en cours de ce dernier. Une reconnaissance faciale poussée via un selfie sera ensuite effectuée. Une fois ces démarches complétées, le serveur central d’Alicem situé au ministère validera la création de l’identité numérique », explique le ministère de l’Intérieur qui ajoute que l’identité numérique est ensuite stockée dans le téléphone. « Les données d’état civil seront chiffrées et disponibles uniquement dans le téléphone. L’utilisateur pourra alors les utiliser pour effectuer ses démarches en ligne auprès de fournisseurs de services administratifs publics comme les impôts ou la CAF, ou privés comme les banques et les assurances », indique-t-il en sus.


Alicem est donc un projet d'application mobile lancé par le ministère de l'Intérieur et l'Agence nationale des titres sécurisés (ANTS). Elle vise à permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux. Comme l’explique la notice même du décret qui en autorise la création, « ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » (…). Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect »

Il est donc question de permettre à tout utilisateur de « prouver son identité sur internet de manière sécurisée » sur son téléphone. Le projet prévoit un « niveau de sécurité élevé », qui contribuera à « la lutte contre l'usurpation d'identité en ligne ».

La promesse d'Alicem est de simplifier les démarches administratives en ligne. « L'utilisateur n'a plus besoin de mémoriser plusieurs identifiants et plusieurs mots de passe », détaille le ministère de l'Intérieur. L'application donnera par exemple accès au site des impôts, au compte d'assurance-maladie ou encore à l'ANTS, qui gère notamment la création des cartes d'identité et des permis de conduire.

En tout, plus de 500 services publics seront disponibles via Alicem, assure place Beauvau. Une application qui s'inscrit dans le programme Action publique 2022, dont l'ambition est d'assurer l'accès dématérialisé à tous les services publics d'ici trois ans.


Comment cela fonctionne ?

Pour créer un profil Alicem, une personne détenant un titre avec une puce biométrique (passeport ou titre de séjour) télécharge l’application sur son smartphone (pour l’instant seulement sur les téléphones Android équipé d'une puce NFC, qui permet par exemple à un téléphone de se transformer en carte de paiement sans contact).

Une fois l'application téléchargée, l'utilisateur entre son numéro de téléphone, accepte les conditions générales d'utilisation et saisit son adresse e-mail. Jusqu'ici, rien de révolutionnaire. Après avoir scanné la bande optique et la puce du titre d'identité, il choisit un code secret. L’application a alors accès aux données qui y sont stockées, hors les empreintes digitales (notons que le décret du fichier TES est donc modifié pour permettre la lecture des informations stockées sur la puce électronique).

C'est là qu'intervient la particularité d'Alicem. En effet, pour activer le compte, il faut se subordonner à un dispositif de reconnaissance faciale (dit « statique » et « dynamique », c’est-à-dire une photo et une vidéo avec des gestes à accomplir devant la caméra) pour vérifier l’identité. Alors seulement, l’identité numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services en ligne.

L'usager est soumis à une série de « challenges », pour « prouver » qu'il est bien « le détenteur du titre d'identité », comme le montre une vidéo de présentation de l'application, partagée par Baptiste Robert, chercheur en informatique. Ces « défis » invitent l'usager à sourire, cligner des yeux et tourner la tête. Les images sont alors comparées avec la photo présente sur le titre d'identité. Une fois cette ultime étape passée, l'identité numérique est créée et l'accès à Alicem se fait uniquement par code. La reconnaissance faciale n'intervient donc qu'au moment de la création du compte.

La Quadrature du Net s'y oppose

Alors pourquoi l’attaquer ? La Quadrature explique que l’application ALICEM oblige, au moment de l’activation du compte, de recourir à ce dispositif de reconnaissance faciale, sans laisser aucun autre choix à l’utilisatrice ou l’utilisateur. L’article 13 du décret énonce ainsi que l’ANTS informe l’usager « concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques ». Or, au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (Considérant 42). Ici, la personne voulant utiliser ALICEM n’a pas le choix de passer ou non par ce dispositif de reconnaissance faciale et le consentement dont se revendique le gouvernement n’est donc pas valable.


Cette analyse est d’ailleurs celle de la CNIL qui a rendu un avis sur ce décret, préalablement à sa publication. Dans cet avis, elle énonce clairement que, vu que la reconnaissance faciale est obligatoire et qu’il n’existe aucune autre alternative pour se créer une identité via ALICEM, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ».

En effet, l'an dernier, la CNIL émettant un avis sur le dossier précisait qu’elle « relève que le ministère ne propose pas, en l’occurrence et à l’heure actuelle, d’alternative à la reconnaissance faciale pour créer une identité numérique de niveau élevé au sens du règlement e-IDAS. Il en résulte que la création d’une identité numérique Alicem est subordonnée à un processus de reconnaissance faciale sans qu’aucune autre alternative équivalente ne soit prévue pour permettre la délivrance d’une identité numérique par cette application. Au regard des principes rappelés ci-dessus, le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD. » En guise de possibilités autres que la reconnaissance faciale, elle proposait un face-à-face en préfecture ou en mairie, ou un appel vidéo en direct avec un agent.

Malgré cet avis et les alternatives imaginées par la CNIL au dispositif de reconnaissance faciale, le gouvernement n’a pas modifié son décret en le publiant.

« À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisé sur les conséquences d’un tel dispositif pour notre société et nos libertés, en général dans une large illégalité, et alors que des villes aux États-Unis en interdisent explicitement l’utilisation pour les services municipaux, le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. Et même s’il ne s’agit ici pas de reconnaissance faciale "en temps réel" par des caméras de surveillance, il s’agit néanmoins bien de normaliser la reconnaissance faciale comme outil d’identification, en passant outre la seule condition qui devrait être acceptable pour son utilisation : notre consentement libre et explicite. Le gouvernement révèle par ailleurs son mépris pour la CNIL, dont l’influence semble diminuer de plus en plus. Fléchissant il y a quelques mois devant les publicitaires en leur laissant encore un an de plus pour respecter le RGPD, elle apparaît ici plus faible que jamais quand elle alerte le gouvernement sur la violation du consentement d’une personne quant au traitement de ses données biométriques et que le gouvernement ne la respecte clairement pas ».


Pour la Quadrature, « attaquer ce décret est d’autant plus nécessaire quand on voit les dangereux liens que tisse le ministre de l’Intérieur Christophe Castaner entre anonymat, haine et identité numérique. Il écrit ainsi, en tête de son rapport "État de la menace liée au numérique en 2019" : "La liberté, justement, voilà tout le paradoxe d’internet. L’anonymat protège tous ceux qui répandent des contenus haineux et permet à des faux comptes de se multiplier pour propager toutes sortes de contenus. Nous ne pouvons pas laisser les publications illicites se multiplier. Nous devons donc relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment". Et quand il parle, plus loin, d’identité numérique, c’est pour directement mentionner le dispositif ALICEM. Le débat sur l’identité numérique arrive donc à grande vitesse et l’utilisation que souhaite en faire le gouvernement ne peut qu’alerter : un outil non pas au service du citoyen, mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet ».

Autant d'éléments qui l'ont poussé à déposer un recours devant le Conseil d’État pour demander l’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM ». L'association estime qu'en y conditionnant la création d’une identité numérique à un traitement de reconnaissance faciale obligatoire, le gouvernement participe à la banalisation de cette technologie, et cela au mépris de l’avis préalable de la CNIL qui avait pourtant souligné son illégalité. Selon elle, les récentes déclarations de Christophe Castaner qui a mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet ne peuvent qu’alerter.

Source : Quadrature du Net

Et vous ?

Que pensez-vous des préoccupations de la Quadrature du Net ? Défense des droits ou obstruction contre le progrès ?

Voir aussi :

Des chercheurs en intelligence artificielle gagnent parfois plus d'un million de dollars chaque année, même dans des organisations à but non lucratif
Partage du spectre : l'intelligence artificielle à la rescousse ? Pour le défi SC2 de la DARPA, l'apprentissage par renforcement semble bien positionné
L'intelligence artificielle, la nouvelle arme de la gendarmerie contre les Gilets jaunes
« On peut voir l'humanité comme une sorte de chargeur d'amorçage biologique pour l'intelligence artificielle », d'après Elon Musk
Intelligence artificielle : Amazon, Microsoft ou Intel seraient en bonne place pour la création potentielle de "Skynet", d'après une étude