France : la reconnaissance faciale bientôt imposée pour accéder aux services publics ?
CybersécuritéTechnologie

France : la reconnaissance faciale bientôt imposée pour accéder aux services publics ?

La mise est en place de la reconnaissance faciale avec Alicem est prévue pour le mois de novembre

D’après le journal Bloomberg, la France se prépare à devenir le premier pays européen à utiliser la reconnaissance faciale pour ses services publics. Il suffira pour cela de créer un compte Alicem depuis son smartphone. L’utilisation de cette application n’est pas obligatoire pour le moment, mais elle entre dans un projet plus large, qui est celui de la dématérialisation administrative globale d’ici 2022. Certains organismes ont exprimé leurs réticences face à cette décision, car les utilisateurs de l’application n’auront pas d’autre d’alternative possible que l’identification par reconnaissance faciale. Le libre consentement sera donc ignoré.

La reconnaissance faciale appliquée à l’accès aux services publics sur smartphone

Le ministère de l’Intérieur a commandé le développement d’une application sur smartphone appelée Alicem (Authentification en ligne certifiée sur mobile). Celle-ci devait être mise en place pour Noël, elle sera finalement disponible en novembre, après une période de tests qui aura duré 6 mois. Le principe est simple, pour se connecter à des services comme les Impôts ou la Caisse d’allocations familiales, à partir de son smartphone, les citoyens devront désormais se plier à la reconnaissance faciale. Alicem permettra également à ses utilisateurs d’accéder au service FranceConnect, plateforme qui donne accès à plus de 500 services publics.

Accès numérique à plus de 500 services publics
Crédit : FranceConnect

Le dispositif a été étudié pour être en mesure de comparer la photo du passeport biométrique avec une vidéo que les utilisateurs devront réaliser. Ils seront également obligés de montrer plusieurs expressions, sous plusieurs angles définis. Pour utiliser Alicem, il faudra être détenteur d’un passeport biométrique français ou d’une carte de séjour : « L’identité délivrée par Alicem est basée sur les informations contenues dans la puce sécurisée d’un titre biométrique (passeport ou titre de séjour) » peut-on lire sur le site gouvernemental. La reconnaissance faciale utilisée pour créer l’identité numérique sécurisée sera obligatoire, et aucune autre alternative ne sera proposée pour pouvoir s’identifier auprès des services dématérialisés sur Android.

Précisons néanmoins que pour le moment, cette opération ne pourra se réaliser qu’à partir d’un smartphone Android en version 5, et que la disponibilité pour iOS n’est pas abordée. L’appareil devra également disposer d’un « lecteur sans contact ».  Pour l’instant, chacun a la possibilité d’accéder aux services publics par d’autres canaux, en ayant soit un compte sur le service en question (exemple, impots.gouv.fr), ou sur FranceConnect, ou en passant par les voies traditionnelles en envoyant un courrier ou en se rendant sur place.

Concrètement, une fois l’application téléchargée sur son smartphone, l’utilisateur « devra donner son numéro de téléphone afin de recevoir un code par SMS, et accepter les conditions générales d’utilisation ». L’adresse e-mail sera elle aussi communiquée, et confirmée en cliquant sur le lien de vérification envoyé dans la boîte mail.  Il faudra ensuite scanner la bande MRZ du passeport, pour ainsi voir des champs se remplir automatiquement. L’utilisateur devra ensuite lire la puce du passeport avec son appareil grâce au système NFC.

Comme le rapporte Next Inpact certains services seront destinataires, et c’est à eux que seront directement transmis les données personnelles recueillies à partir de l’application Alicem. D’autres auront également accès à ces informations, en partie du moins. Ainsi, ces données relatives à l’identification de l’usager (nom, nom d’usage, prénom(s), date, pays, département et lieu de naissance, nationalité, sexe, taille, couleur des yeux, adresse postale, photo, vidéo, e-mail, numéro de téléphone, et identifiant lié au compte), au titre détenu, et à l’historique des transactions associées au compte Alicem, seront transmises à la DINSIC (direction interministérielle du numérique et du système d’information et de communication de l’État), « les fournisseurs de téléservices liés par convention à FranceConnect » ou à l’Agence nationale des titres sécurisés.  Les données seront également en partie accessibles aux « agents des services du ministère de l’Intérieur chargés de la maitrise d’ouvrage du traitement, et ceux de l’Agence nationale des titres sécurisés, chargés de la maitrise d’oeuvre ». Ces agents seront préalablement « désignés et habilités par leur directeur ».
Comme le rapporte Numerama, l’État précise qu’aucune de ces données ne seront transmises à un tiers, hormis les organismes préalablement cités. À noter également que les informations « sont uniquement enregistrées sur le smartphone de l’usager », et sous « son contrôle exclusif ».
Deux points importants méritent tout de même d’être mis en évidence. Tout d’abord rappelons que les failles existent en informatique, les spécialistes en sécurité sont souvent là pour nous le rappeler, de même que les géants du numérique qui encouragent vivement leurs utilisateurs à utiliser notamment l’authentification à double facteur (limitant à plus de 90 % les risques de piratage). Que faire alors si un piratage de ces données a lieu ? Sous quelles formes ces données peuvent être récupérées et utilisées ? Deuxième point : que faisons-nous de la liberté individuelle et du droit de circuler librement et anonymement ? Le problème se pose déjà dans la rue, que souhaitons-nous pour la circulation sur internet ?
Pour l’instant les gens peuvent conservent ce droit en ayant la possibilité de choisir d’autres moyens d’identification sur les services publics. Le problème est de savoir si ces accès seront conservés d’ici 2022.
Une transformation numérique et digitale pour l'administration
Crédit : interieur.gouv.fr/Ministère de l’Intérieur

Une application controversée, donnant lieu à des mises en garde

La Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet, a lancé un recours devant le Conseil d’État dès le mois de juillet. La Commission nationale de l’informatique et des libertés (CNIL) a quant à elle émis un avis très critique sur la question. Dans son Journal Officiel n°0113 du 16/05/2019, la commission déclare que « l’activation du compte […] soulève des interrogations », étant donné que celle-ci est soumise au traitement de données biométriques.
Ce traitement s’appuie sur l’article du RGPD – Règlement général sur la protection des données de l’Union européenne – posant un principe d’interdiction du traitement de certaines catégories de données dites « sensibles », parmi lesquelles figurent les données biométriques. Ce principe d’interdiction peut être écarté, à condition que « la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel ». Or, cette condition n’est pas respectée par l’application Alicem, puisqu’en l’absence d’alternative, le consentement n’est pas libre.

Quelques mois après cette mise en garde, le gouvernement d’Emmanuel Macron décide de passer outre, les dispositions mises en place par le RGPD, ainsi que la loi n°78-17, adaptées au règlement européen. Il annonce au contraire le lancement de l’application prévu pour Noël avec un mois d’avance. La France suivrait donc cette nouvelle tendance considérée comme une « généralisation de la reconnaissance faciale » ignorant ainsi le libre consentement des citoyens français, et le règlement européen, donc. Autre élément, et non des moindres, Alicem permettrait de lutter contre l’anonymat sur internet selon la Quadrature du Net.

Le ministère avance une liste des avantages permis par l’application : une « démarche en ligne simplifiée », chacun pourra se connecter, sans avoir à utiliser plusieurs mots de passe ou identifiants; une identification sécurisée qui permettrait entre autres, de lutter contre l’usurpation de l’identité, à condition que le service ne soit pas piraté, comme ce fut le cas avec Tchap, la messagerie sécurisée des ministres, et dont un hacker avait trouvé la faille en 75 min. Il est également précisé qu’aucun élément ne sera utilisé ni transmis par ou à des tiers. Toujours à condition que l’application ne soit pas piratée…

Il n’est pas précisé la ou les raison(s) exacte(s) pour lesquelles l’application a été lancée, seuls trois avantages sont répertoriés par l’État : « assurer sa mission régalienne de certification de l’identité dans un monde digital complémentaire du monde physique », Alicem étant décrite comme la « préfiguration d’un service plus large d’identité numérique en cours de conception dans le cadre du programme interministériel mis en place en janvier 2018 ». Il semblerait que ce processus d’identification soit ensuite appliqué à l’ensemble du domaine numérique, on comprend pourquoi certaines organisations s’inquiètent de l’invalidité du libre consentement.
Autre intérêt avancé sur le site du ministère, la simplification des démarches administratives en lien avec « l’Action Publique 2022 », censée développer la transformation numérique des administrations pour atteindre un accès dématérialisé possible sur « 100 % des services publics à horizon 2022 » . Enfin, ce type d’identification serait un moyen, selon le ministère, de lutter contre l’usurpation d’identité et la cybercriminalité.

La manière dont cette nouvelle application est décrite n’est pas sans une certaine ambiguïté, précisément lorsqu’elle est qualifiée de « première solution d’identité numérique régalienne sécurisée ». Comme chacun sait, l’adjectif régalien s’emploie par extension au sens vieilli du terme, qui s’appliquait au droit souverain du roi (Littré, 1865). Cette extension s’applique au sein d’un l’État arbitre, limitant ainsi ses « tâches essentielles ou dites « régaliennes », comme la justice, les relations internationales, l’ordre intérieur ». Le reste étant confié au privé. Ainsi donc, pour attribuer à l’application Alicem une qualité régalienne lorsqu’elle donne accès à des services publics, il faudrait préciser dans quel cadre précédemment cité elle se situe. En d’autres termes, ce n’est parce que cette application est développée par le ministère de l’Intérieur qu’elle garantit forcément l’ordre intérieur ou l’intérêt public.

Néanmoins pour prouver l’intérêt public d’une telle application, il conviendrait, selon la Quadrature du Net, d’apporter des éléments de démonstration supplémentaires de la part du ministère. Si l’État compte mettre en avant la cybersécurité, il convient cependant de respecter le libre consentement qui confère au droit à la vie privée. Le passage au monde digital, ne justifiant pas d’omettre ce droit. Et si par hasard, le passage au monde digital entrainait forcément la nécessité de renforcer des lois au point d’empiéter sur le droit au libre consentement, peut-être faudrait-il tout simplement éviter de basculer entièrement vers celui-ci. L’État se doit d’être garant des droits du citoyen, et veiller à ne pas les ignorer sous prétexte de vouloir effectuer une transformation numérique de l’administration.

La reconnaissance faciale et les données biométriques sont souvent au coeur d’un débat légitime. Certains mettent en garde contre les dérives d’un tel système, à l’image de la commissaire à l’information du Royaume-Uni, Elizabeth Denham, déclarant être profondément préoccupée par l’adoption enthousiaste des technologies de reconnaissance faciale, non seulement par les forces de l’ordre, mais aussi par les entreprises privées. D’autres n’hésitent pas à l’appliquer, sous couvert de vouloir maintenir la sécurité ou transformer les tâches administratives. C’est ainsi que la Chine, très en avance sur le sujet, n’hésite pas à utiliser ces techniques comme de nouvelles formes de contrôle.

La Quadrature du Net, appelle à mesurer ce glissement sécuritaire d’un point de vue éthique. L’association fait pour cela référence à des concepts énoncés notamment par Michel Foucault et Gilles Deleuze, concernant les « coercitions exercées par les sociétés sur leur membres ». Ainsi la reconnaissance faciale aboutirait à ce que « chacun intériorise la contrainte de la surveillance et adapte insensiblement son comportement à ce regard abstrait ».

Pour des spécialistes de la sécurité, à l’image du colonel de la gendarmerie nationale interviewé dans Télérama, la reconnaissance faciale permettrait de mettre fin à des années de polémiques sur le contrôle au faciès puisque le contrôle d’identité serait permanent et général« .

Sur le fond, la CNIL n’étant pas opposée à l’utilisation des données biométriques, elle propose quelques alternatives, comme « la mise en place d’un face-à-face en préfecture ou en mairie ». Et pour permettre une alternative à ceux qui ne peuvent pas se déplacer, elle évoque la possibilité de traiter les vidéos et les photos manuellement, via « l’envoi d’une vidéo à l’ANTS pour contrôle de l’identité ».

Des mises à jour ont été ajoutées à cet article concernant le fonctionnement de l’application, et à qui les données seront transmises. Des précisions ont également été apportées sur la mise en place de cette application, les recours possibles, et les autres moyens d’identification dont disposent chacun pour accéder aux services publics.

Send this to a friend