Alicem est morte, vive le service de garantie de l’identité numérique. Au Journal officiel du 27 avril 2022, le gouvernement a fait publier un décret concernant un « service de garantie de l’identité numérique » (SGIN). Derrière ce nom obscur se cache en fait le projet d’une application mobile, qui vise à identifier et authentifier les personnes pour accéder à des services publics ou privés, en mobilisant la nouvelle carte nationale d’identité électronique (CNIe).
En résumé, un individu possédant un smartphone accueillant la technologie NFC (qui permet une communication en champ proche) pourra lire les données que la CNIe stocke pour se connecter à tel ou tel site. Via l’application mobile dédiée, cette lecture sans contact va, en pratique, ressembler au geste que l’on fait lorsque l’on pose une carte bancaire sur un terminal de paiement, ou bien le smartphone sur une borne de transport pour valider son ticket.
Une app qui succède au projet controversé d’Alicem
Ce décret a également pour effet d’abroger un précédent texte, datant du 13 mai 2019. Celui-ci validait la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile ». C’est justement lui qui portait le nom d’Alicem (« Authentification en LIgne CErtifiée sur Mobile »). Il s’agissait d’un programme controversé, basé sur la reconnaissance faciale.
Alicem, en son temps, avait provoqué une levée de boucliers. La Quadrature du Net, une association dédiée à la défense des personnes dans l’espace numérique, avait intenté un recours devant le Conseil d’État pour tenter de faire chuter le traitement de données biométriques avec Alicem — car il y avait de la reconnaissance faciale en jeu. Sans succès néanmoins.
Le projet, porté par le gouvernement et Cédric O, en tant que secrétaire d’État au numérique, qui dénonçait alors les « fantasmes » sur cette future application, devait mobiliser la biométrique pour que les Françaises et les Français disposent d’une façon additionnelle de se connecter aux services publics, en s’assurant de l’identité de chaque personne avec un haut degré de certitude.
Alicem s’inscrivait dans un règlement européen de 2014, eIDAS. L’idée ? Fournir au public un niveau de garantie élevé (il existe trois seuils : faible, substantiel et élevé) pour des « interactions électroniques sécurisées » entre la population, les sociétés et les administrations. La reconnaissance faciale est une approche satisfaisant le degré le plus haut, selon le ministère de l’Intérieur.
Plus de biométrie dans la boucle et donc plus de reconnaissance faciale
Cette application liée au SGIN entend donc prendre la suite d’Alicem et il n’est plus question dans le décret de reconnaissance faciale ou de biométrie. Certes, la carte nationale d’identité électronique stocke sur une puce sécurisée l’image des empreintes digitales du ou de la titulaire, mais ces données ne seront pas lues par l’app et le SGIN.
Si la biométrie est écartée, l’usage des données personnelles est au programme pour identifier la personne — c’est cohérent avec une application dont le but est l’identification et l’authentification. Le nom, le(s) prénom(s), la date et le lieu de naissance, la nationalité, le sexe, la photographie, le mail, le numéro de téléphone et l’adresse postale pourront être traités et enregistrés.
L’absence de biométrie vise à éviter une autre levée de boucliers, même si elle est décrite comme un bon moyen pour réduire les fraudes à l’identité, les utilisations abusives ou les altérations. L’exploitation du visage nourrit toutefois des inquiétudes légitimes, y compris chez la Cnil, car une telle approche soulève des enjeux éthiques forts et fait basculer la société dans une tout autre ère.
La Cnil a d’ailleurs formulé deux avis, en décembre 2021 et en février 2022, mais ceux-ci ne sont pas (encore) publiés. On ne sait pas pour l’instant si des réserves ont été émises. La mise à l’écart de la biométrie a sans doute été accueillie positivement par l’instance — la biométrie relève des données sensibles, qui sont soumises à des protections spéciales au titre du RGPD.
La durée de stockage, à l’inverse, a peut-être fait l’objet de commentaires. Le décret évoque en effet un stockage pendant 5 ans « à compter de la dernière vérification d’identité de l’usager du moyen d’identification électronique », mais les données sont effacées si la future application mobile est désinstallée du smartphone ou si le moyen d’identification électronique est supprimé.
Il est aussi question du chiffrement de ces données (qui « ne sont déchiffrées et accessibles que lorsque l’usager utilise l’application installée » sur son téléphone). Certaines données non personnelles bénéficient d’un traitement différencié quant à la durée de stockage, l’accès et la sécurisation. Les éventuels accès, prévus, sont réglementés et consignés.
Les données peuvent aussi être supprimées automatiquement au bout de 2 ans en cas d’inactivité du moyen d’identification électronique. Par ailleurs, dans le cas où un individu ne finaliserait pas la création de ce moyen d’identification électronique (en clair, s’il laisse tomber pendant la procédure), une suppression automatique aussi prévue, au bout de 2 mois.
L’application sera facultative à l’emploi et le service sera proposé à travers le site FranceConnect. Ce portail permet d’accéder à des centaines de démarches en France (par exemple le site des impôts) grâce à un système de connexion centralisé. Par exemple, on peut employer les codes d’accès de son profil sur le site des impôts, via FranceConnect, pour se connecter ailleurs.
Le décret arrive peu après le second tour de l’élection présidentielle. Il est signé par Jean Castex, le Premier ministre, et Gérald Darmanin, le ministre de l’Intérieur. Pour le moment, le gouvernement n’a pas encore communiqué sur cette application — ce sont pour l’instant les fondations juridiques qui sont jetées. Il reste encore à bâtir la base de données, l’application mobile et les services autour.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
