Le traitement de données biométriques dans le cadre de la future application Alicem est légal, juge le Conseil d’État. Il n'y a pas non plus de problème de consentement. Le recours de La Quadrature du Net a donc été rejeté.

L’offensive judiciaire contre Alicem n’a pas donné les effets escomptés. Alicem (un acronyme signifiant « Authentification en LIgne CErtifiée sur Mobile ») a en effet survécu au recours de la Quadrature du Net, une association focalisée sur la défense des libertés individuelles dans le numérique. Ce jeudi 5 novembre, le Conseil d’État a rejeté cette demande, qui avait été déposée en juillet 2019.

Alicem est un futur système de reconnaissance faciale conçu pour smartphone servant à se connecter aux services publics (comme le site des impôts et celui de l’assurance maladie), en garantissant un degré de certitude élevé sur l’identité de la personne. Il sera une solution de connexion supplémentaire, accessible via FranceConnect, mais le dispositif a, dès le départ, été décrié.

Alicem est déjà proposé comme accès à FranceConnect.

Pourquoi ? Parce que, relevaient la Quadrature du Net comme la Commission nationale de l’informatique et des libertés (CNIL), la création d’une identité numérique dans Alicem nécessitait obligatoirement, lors de l’activation du compte, de recourir à la reconnaissance faciale, sans aucune possibilité laissée à l’individu d’utiliser une autre solution. En cas de refus, impossible d’aller plus loin avec Alicem.

Dès lors, la CNIL comme la Quadrature du Net relevaient que cela ne cadrait pas avec le Règlement général sur la protection des données. « Le consentement n’est susceptible [d’être valide] que dans l’hypothèse où la personne concernée dispose d’un contrôle et d’un choix réel concernant l’application [avec] la possibilité de les refuser sans subir de préjudice », écrivait par exemple l’institution.

Un an et trois mois plus tard, la plus haute juridiction de l’ordre administratif français a donc rendu ses observations juridiques — et rejeté la requête de la Quadrature du Net.

Un problème de consentement qui n’en est pas un

Il ressort de la décision du Conseil d’État qu’il n’y a pas de sujet sur le  consentement. Pourquoi ? Parce que justement Alicem a pour finalité de générer une identité numérique avec un haut niveau de garantie, qu’aujourd’hui seul un système de reconnaissance faciale peut atteindre, élabore la juridiction. C’est la raison d’être d’Alicem : refuser ce traitement biométrique pour autre chose n’aurait alors pas de sens.

« Il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait [lors du recours] d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale », écrit le Conseil d’État. Dès lors, cet emploi « doit être regardé comme exigé par la finalité de ce traitement ».

Par ailleurs, continue l’institution, elle fait observer que les éléments de la loi Informatique et libertés exigeant que les données recueillies et traitées doivent être tout à la fois adéquates, pertinentes et limitées aux besoins pour lesquels elles collectées, le sont bien. Elles sont « en adéquation avec la finalité du traitement » et « proportionnées » — la photo figure entre autres parmi les données collectées.

Connexion Alicem
Une page de test de connexion à Alicem.

Mais alors, les personnes refusant absolument Alicem vont-elles se retrouver coincées et privées d’une solution de connexion, et reléguées à une place moins enviable que celles qui acceptent de recourir à la reconnaissance faciale ? Là encore, le Conseil d’État tempère la crainte d’une citoyenneté à deux vitesses dans sa décision. Alicem n’existe pas encore et pourtant FranceConnect fonctionne.

Il relève que « les téléservices accessibles via l’application Alicem l’étaient également […] à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale  ». Il reste tout à fait possible de se connecter à des sites publics avec ses codes du site des impôts, par exemple. Simplement, il n’apporte pas le même niveau de garantie.

« Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d’un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l’ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice », y compris pour ce qui est du règlement général sur la protection des données sur les conditions d’application du consentement.

Alicem s’inscrit dans le règlement du 23 juillet 2014 (eIDAS) qui entend fournir au public un niveau de garantie élevé (il en existe trois : faible, substantiel et élevé). Pour celui-ci, il s’agit d’empêcher l’utilisation abusive ou l’altération de l’identité, notamment dans le cadre de démarches en ligne. La reconnaissance faciale permet d’atteindre ce seuil, commente le ministère de l’Intérieur.

Comme le relève le journaliste Émile Marzolf, compte tenu des reports répétés d’Alicem (y compris récemment, rapporte Acteurs Publics) et des nouvelles échéances (il est question de 2022), le problème soulevé par la Quadrature du Net pourrait trouver une solution : il est question de proposer une autre possibilité de création d’identité numérique, en alternative à Alicem, qui consisterait à un face à face avec un agent public.

Partager sur les réseaux sociaux