Alicem : tout comprendre à l'app de reconnaissance faciale controversée du gouvernement
Alicem, acronyme qui signifie « Authentification en LIgne CErtifiée sur Mobile » (la CNIL parle aussi d'une « application de lecture d'un citoyen en mobilité »), est un projet de traitement automatisé permettant d’authentifier une identité numérique par voie électronique.Qu'est-ce qu'Alicem ?
Pour le public, Alicem prendra la forme d'une application mobile pour smartphone. Il faudra que celui-ci fonctionne avec le système d'exploitation Android au moins en version 5 (la disponibilité pour iOS n'est pas évoquée). Il s'agit de la plateforme mobile la plus répandue sur le marché. De plus, il faudra qu'il soit doté d'un lecteur sans contact. Enfin, l'usager devra être titulaire d'un passeport biométrique doté d'une puce sécurisée (donc délivré après juin 2009).
La particularité d'Alicem réside dans l'usage d'un système de reconnaissance faciale. Il s'agit d'un procédé biométrique qui sert à vérifier qu’une personne est bien celle qu’elle prétend être, en analysant les traits du visage. Ce n'est pas une technique anodine : la CNIL évoque de « considérables » enjeux de protection des données et de risques d’atteintes aux libertés individuelles, dont « la liberté d’aller et venir anonymement ».
Il est à noter que la création d'un compte Alicem est actuellement indisponible. Elle sera en outre facultative. Les individus qui ne souhaitent pas passer par ce canal pour accéder à un service publique en ligne disposent de trois alternatives.
Ils peuvent créer un compte spécifique sur le service public, se servir de FranceConnect (c'est-à-dire utiliser un compte existant pour se connecter à un autre compte, via une interconnexion fournie par l'administration -- des centaines de services publics sont pris en charge par FranceConnect) ou passer par une procédure administrative plus classique, par un courrier ou en se rendant sur place.
Quel est l'intérêt d'Alicem ?
Avec Alicem, le but du gouvernement est de pouvoir permettre à la population d'avoir « accès à l’ensemble des services partenaires de FranceConnect ». Il s'agit d'un portail d'accès qui a vocation à faciliter l'accès à tous les services publics, comme le site des impôts, l'assurance maladie ou la plateforme ANTS qui concerne la carte grise, le permis de conduire, le passeport ou la carte d'identité.
Aujourd'hui, plus de 700 services publics sont gérés par FranceConnect.
Pour l’État, ce développement présente trois avantages :
Il permet de lutter contre l’usurpation d’identité et la criminalité, en mettant au point un canal plus difficile à frauder, de haut niveau.
Il contribue à la simplification des démarches administratives, alors que la totalité des services publics doit avoir un accès dématérialisé d'ici 2022.
Il lui permet « d'assurer sa mission régalienne de certification de l'identité » dans le numérique.
Comment cela fonctionne-t-il ?
Charles-Henri Menseau, chef de la filière innovations à l’agence nationale des titres sécurisés en décrit le fonctionnement d'Alicem : une fois l’application téléchargée, l'usager doit donner son numéro de téléphone pour qu'il puisse recevoir un code par SMS et accepter les conditions générales d'utilisation. Il faut aussi communiquer son mail et le confirmer en cliquant sur le lien qu'il contient.
C'est là que les choses sérieuses commencent vraiment. L'usager doit d'abord scanner la bande MRZ du passeport, pour remplir automatiquement certains champs, puis lire la puce du passeport avec le smartphone, grâce à une liaison sans contact NFC. Des données seront alors récupérées par l'application pour être vérifiées (en particulier l'authenticité, l'intégrité et la validité du document).
Ensuite, Alicem procède à une « reconnaissance faciale poussée » via un selfie. Plus précisément, détaille la CNIL, il est question d'une « vidéo prise en temps réel par l'utilisateur qui doit réaliser une série de défis imposés par l'application (clignement des yeux, mouvement de la tête, mouvement du visage, etc.) ». Ces défis sont présentés dans un ordre aléatoire. Il s'agit d'éviter que l'on brandisse une photo pour usurper le système.
« Une fois ces démarches complétées, poursuit Charles-Henri Menseau, le serveur central d’Alicem situé au ministère validera la création de l’identité numérique ». La CNIL relève que cela induit la transmission de la vidéo aux serveurs de l'ANTS et qu'une photo est extraite de la vidéo pour réaliser une comparaison avec le portrait extrait du titre (phase de reconnaissance faciale dite statique).
L'identité numérique est alors générée et l'accès au compte Alicem (dont l'accès est sécurisé par un code PIN que l'utilisateur devra définir) peut dès lors s'effectuer via l'application mobile ou le site web dédié à l'application, ajoute la CNIL. Cette identité numérique est stockée dans le smartphone et les données d'état civil « sont chiffrées » pour assurer leur protection.
Quelles données sont en jeu ?
Puisqu'il s'agit d'une application dont le but est d'authentifier une personne, le traitement correspondant manipule des données personnelles. Elles sont de quatre ordres : des données d'identification de l'usager, des données pour contrôler le titre appartenant à l'utilisateur, des données sur l'historique des transactions liées au compte Alicem et un identifiant unique du service de notification, pour l'identification de l'équipement terminal de communications électroniques.
Les données d'identification de l'usager sont les suivantes : nom, nom d'usage, prénom(s), date, pays, département et lieu de naissance, nationalité, sexe, taille, couleur des yeux, adresse postale, photo (celle du titre), photo (celle prise pour la reconnaissance faciale, vidéo (pour la reconnaissance faciale dynamique), mail, numéro de téléphone et identifiant technique lié au compte.
Selon le ministère de l'Intérieur, ces données « ne sont partagées qu’auprès des services en ligne auxquels l’utilisateur choisit de se connecter ». En outre, ce partage « n'est validé qu'après saisie par l'utilisateur de son code de sécurité ». Le décret précise que seuls certains agents publics, « individuellement désignés et habilités par leur directeur », peuvent y avoir accès, « dans la limite du besoin d'en connaître ».
Certains éléments sont exclus : c'est le cas de la photo et de la vidéo prises à des fins de reconnaissance faciale, mais aussi le mail, le numéro de téléphone et l'identifiant technique lié au compte. Le ministère de l'Intérieur précise à ce titre « qu'aucune donnée biométrique ne peut être partagée [...] La vidéo de reconnaissance faciale réalisée lors de la création du compte est effacée immédiatement après la vérification ».
Le ministère ajoute que ces données « sont uniquement enregistrées » sur le smartphone de l’usager, « sous son contrôle exclusif » et qu'elles « ne feront l’objet d’aucun traitement » -- hormis, évidemment, le traitement Alicem et les demandes de connexion à un service FranceConnect. Il est ajouté qu'aucune donnée ne sera transmise à un tiers et qu'une attention particulière est faite à la protection de ces informations.
Alicem : quels risques ?
L’État en fait la promesse : avec Alicem, il sera bientôt possible de « prouver son identité sur Internet de manière sécurisée ». Pour cela, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) est dans la boucle pour la « procédure de qualification », de façon à proposer un degré élevé de robustesse pour la solution d’identification électronique face aux tentatives d’usurpation d’identité sur Internet.
Mais en matière d'informatique, le risque zéro n'existe pas.
Baptiste Robert, un spécialiste en sécurité informatique, qui s'est déjà fait remarquer en aidant à la correction d'une faille dans la messagerie souveraine française, en avait fait la démonstration en octobre 2019 avec une succession de tweets décrivant divers problèmes dans la conception, la gestion et la sécurisation du projet. Cependant, il faut noter que le projet n'est pas encore fin prêt.
https://twitter.com/fs0c131y/status/1181287020464873472
Il avait ainsi fait remarquer que certains outils n'étaient pas à jour, que retrouver des informations sur un développeur impliqué dans le projet était facile, qu'un accès technique était ouvert aux quatre vents, que les compétences n'étaient pas forcément là, que le floutage dans une vidéo de démonstration était bancal et qu'au moins une faille -- dont la nature et la gravité ne sont pas précisées -- avait été repérée.
Au-delà de la question légitime de la sécurité du dispositif, et donc de la protection des données personnelles et biométriques des personnes face au risque de piratage et de fuite de données, se pose une problématique, celle de l'émergence de l'utilisation étatique de la reconnaissance faciale et de son possible glissement à des fins sécuritaires. Glissement qui se produit déjà.
Comme l'a relevé Télérama, une note rédigée par un colonel de la gendarmerie nationale voit dans la reconnaissance faciale une porte de sortie qui « pourrait mettre fin à des années de polémiques sur le contrôle au faciès puisque le contrôle d'identité serait permanent et général ». « Sous réserve d’algorithmes exempts de biais », ajoute-t-il, ce qui est encore loin d'être acquis.
Quand arrivera Alicem ?
Alicem est en phase de test depuis juin 2019. Son lancement a depuis constamment été décalé. Au début du mois d'octobre 2019, Bloomberg avançait une sortie en novembre. Précédemment, il était question d'un déploiement aux alentours des fêtes de fin d'année. Toujours en 2019. Et sur le site du ministère de l'Intérieur, il était souhaité une « ouverture au grand public avant la fin de l'année 2019 ».
Aujourd'hui, le lancement d'Alicem serait plutôt à attendre en 2022, selon Acteurs Publics.
L'identité numérique sécurisée a été mentionnée dès septembre 2017 dans une feuille de route du ministère de l'Intérieur, au sein de l'exécutif actuel.
Un calendrier était avancé alors, avec la mise en place fin 2017 d'une gouvernance dans le ministère de l'Intérieur, des échanges au premier semestre 2018 avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour proposer un schéma d'identification, la livraison de prototypes d'identité numérique au cours de l'été de la même année et, à la rentrée 2019, l'ouverture de ce nouveau service.
Mais le projet est bien plus ancien.
« Le ministère planche sur cette question de l’identité numérique depuis une bonne quinzaine d’années », rappelle Charles-Henri Menseau, le chef de la filière innovations au sein de l’agence nationale des titres sécurisés, En 2017, elle a décidé d'utiliser les titres sécurisés dotés d'une puce, donc des documents en papier, pour constituer le socle de l’identité numérique et « assurer leur authenticité et prouver l’identité des personnes ».
Que dit la CNIL ?
La Commission nationale de l'informatique et des libertés s'est penchée sur Alicem dès le 18 octobre 2018. La délibération qui en résulte, publiée au Journal officiel le 16 mai 2019, dans la foulée de la parution du décret n° 2019-452 du 13 mai 2019 qui autorise la création d'Alicem, passe au tamis du Règlement général sur la protection des données (RGPD) les dispositions prévues par ce nouveau moyen d'identification électronique.
Or, ce sont justement les dispositions du RGPD en matière de consentement qui viennent bousculer l'échafaudage mis en place pour Alicem : certes, la CNIL relève qu'un accord de la personne est effectivement sollicité pour la création d'une identité Alicem. Cependant, celui-ci est bancal parce qu'en cas de refus, il n'est alors plus possible de se créer ladite identité par des moyens alternatifs.
« Le consentement n'est susceptible [d'être valide] que dans l'hypothèse où la personne concernée dispose d'un contrôle et d'un choix réel concernant l'application ou le refus des conditions proposées ou encore de la possibilité de les refuser sans subir de préjudice », écrit la CNIL. Sauf que « le refus du traitement des données biométriques fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du compte ».
Or, poursuit l'autorité, la nécessité de recourir à un dispositif biométrique pour vérifier l'identité d'une personne, tout en atteignant un haut degré de garantie, « n'a pas été établie ». Son caractère indispensable n'ayant pas été démontré, et dans la mesure où il existe des alternatives, la CNIL considère donc que le consentement qui est récolté au départ n'est pas libre et qu'il ne permet pas de traiter des données sensibles.
Quelles alternatives ?
La CNIL n'est pas fondamentalement opposée à un accès biométrique pour Alicem, sous réserve que soient respectées scrupuleusement toutes les dispositions du RGPD en matière de consentement, de solutions alternatives et de traitement de données sensibles, ce que sont les données biométriques. Et justement, ces pistes alternatives sont livrées dans sa délibération.
La CNIL propose un face-à-face en préfecture ou en mairie (ou bien dans un service public quelconque). En cas d'impossibilité de se déplacer, un appel vidéo en direct avec un agent de l'Agence nationale des titres sécurisés (ANTS) peut aussi se concevoir. La CNIL évoque aussi une « vérification manuelle de la vidéo et de la photo », via l'envoi d'une vidéo à l'ANTS pour contrôle de l'identité.
Cette approche crédibiliserait donc le consentement, puisque chaque personne aurait le choix entre la biométrie et une alternative crédible et fonctionnelle. De plus, la CNIL pense même que cela profiterait à Alicem : les personnes qui, pour une raison ou pour une autre, ne peuvent ou ne veulent pas passer par un traitement biométrique ne seraient ainsi plus tenues à l'écart.
Quel recours ?
Contre le décret Alicem, la Quadrature du Net, une association se dédiant à la défense des libertés individuelles dans l'espace numérique, a déposé un recours devant le Conseil d’État, la plus haute juridiction de l'ordre administratif français. La requête introductive d'instance a été adressée mi-juillet 2019 et demandait l'annulation pure et simple du décret. Elle n'a toutefois pas abouti.
La Quadrature du net a épousé l'analyse de la CNIL sur l'infraction des dispositions du RGPD en matière de consentement : faute d'alternative, tout accord est fondamentalement faussé. Or, comme il n'y a qu'une méthode proposée, le consentement est de facto contraint. Dès lors, le décret « est contraire tant aux dispositions du RGPD que de la loi [Informatique et Libertés] ».
Cependant, le Conseil d’État a rendu sa décision le 5 novembre. Une lecture juridique très différente y est déployée : parce qu'Alicem est conçue autour de la reconnaissance faciale, il n'y a aucune raison de proposer une solution alternative à ce traitement biométrique. Toute la raison d'être de ce service est de proposer une garantie élevée d'identification, ce que seule la reconnaissance faciale offre aujourd'hui.
Quelle opposition à Alicem ?
Si la requête de la Quadrature du Net s'en tenait à des arguments strictement juridiques, l'association avance par ailleurs des considérations politiques et même philosophiques sur la trajectoire qu'est en train d'emprunter la société avec des initiatives à la Alicem. Car à ses yeux, ce qui se joue est bien la normalisation dans la société de la reconnaissance faciale comme outil d’identification.
« Attaquer ce décret est d’autant plus nécessaire quand on voit les dangereux liens que tisse le ministre de l’Intérieur entre anonymat, haine et identité numérique », développe l'association, rappelant les propos de Christophe Castaner, alors ministre de l'Intérieur, disant vouloir « relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ».
Dans une analyse des enjeux politiques de la reconnaissance faciale, où sont convoqués les philosophes Michel Foucault et Gilles Deleuze au sujet des coercitions exercées par les sociétés sur leurs membres, la Quadrature du Net prévient que ces dispositifs de reconnaissance aboutissent à ce que « chacun intériorise la contrainte de la surveillance et adapte insensiblement son comportement à ce regard abstrait ».
Pour toutes ces raisons, développées dans ses colonnes, la Quadrature du Net en est convaincue : « l’utilisation que souhaite faire le gouvernement [du projet sur l'identité numérique] ne peut qu’alerter : un outil non pas au service du citoyen mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet ». Dès lors, ce projet « ne peut qu’être combattu ».
(mise à jour de la FAQ en ce qui concerne le calendrier et la décision du Conseil d’État)