BORIS SEMENIAKO

Scanner la puce de son passeport biométrique à l’aide de son téléphone et prendre une vidéo de soi pour créer son compte et pouvoir accéder à des services administratifs en ligne : c’est le principe de l’application « Authentification en ligne certifiée sur mobile », surnommée « AliceM ». Ce système, présenté comme très sécurisé par le ministère de l’intérieur et utilisable uniquement sur Android, devrait permettre de s’authentifier sur les sites liés au portail d’accès FranceConnect : celui des impôts, de la Sécurité sociale…

Mais AliceM, qui est encore en phase de test, suscite des interrogations et des inquiétudes, venant notamment des défenseurs des libertés numériques. Le 15 juillet, l’association spécialisée La Quadrature du Net a déposé un recours devant le Conseil d’Etat pour annuler le décret du 13 mai 2019 autorisant le dispositif. Elle dénonce un traitement intrusif de données biométriques « ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat ».

Les « prémices » d’une politique publique de l’identité numérique

Le projet des pouvoirs publics de développer des solutions d’identité numérique n’est pas nouveau. Si, en 2012, le Conseil constitutionnel avait jugé inconstitutionnel la création d’une base de données biométriques, l’Agence nationale des titres sécurisés (ANTS) et le ministère de l’intérieur travaillent depuis plusieurs années sur AliceM. En septembre 2017, la feuille de route du ministère de l’intérieur mentionne la volonté de celui-ci de se positionner « comme maître d’ouvrage et maître d’œuvre de l’élaboration de solutions d’identité numérique ».

En mai 2019, à l’occasion de la publication du rapport « Etat de la menace liée au numérique en 2019 », le locataire de Beauvau, Christophe Castaner, affirmait également vouloir que « chaque Français, dès 2020, puisse prouver son identité » en ligne pour, notamment, « bâtir la sécurité du XXIe siècle » et lutter contre les contenus haineux sur Internet. Il affirmait à cette occasion qu’AliceM constituait l’un des « prémices d’une politique publique de l’identité numérique ».

Dans le recours qu’elle a déposé, La Quadrature du Net centre son argumentaire sur le caractère obligatoire de la reconnaissance faciale dans le fonctionnement de l’application AliceM. Dès octobre 2018, dans un avis portant sur le projet de décret visant à autoriser AliceM, la Commission nationale de l’informatique et des libertés (CNIL) émettait elle aussi des doutes sur ce point et proposait des alternatives, comme un face à face en préfecture. « En l’espèce, le refus du traitement des données biométriques fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du compte », écrivait-elle, rappelant les exigences du Règlement général sur la protection des données (RGPD) en la matière.

« Normaliser » la reconnaissance faciale

Pour La Quadrature du Net, maintenir ce système dans ces conditions renforce une « normalisation » de la reconnaissance faciale. « C’est un bras d’honneur à la CNIL », s’insurge Martin Drago, juriste pour l’association. Le militant pointe les limites techniques de la reconnaissance faciale, mais surtout les conséquences sur la société liées à l’utilisation de ces données sensibles : « Le danger, c’est que notre visage ne devienne plus qu’un outil d’identification, un outil utilitaire. » Il regrette l’absence de débat public en France sur cette question, malgré les expérimentations ayant déjà eu lieu. A Nice, par exemple, la municipalité a décidé en février de tester un dispositif de reconnaissance faciale sur la voie publique.

En plus des données biométriques, le décret autorisant AliceM indique que de nombreuses données à caractère personnel sont susceptibles d’être enregistrées : nom, prénom, adresse postale, sexe, informations relatives au titre d’identité utilisé… Une partie d’entre elles seront uniquement stockées, de manière chiffrée, sur le téléphone de l’usager. D’autres, notamment celles liées à « l’historique des transactions associées au compte AliceM », seront également conservées dans un « traitement centralisé » mis en œuvre par l’ANTS et supprimées « à l’issue d’une période d’inactivité du compte de six ans ». Une durée supérieure à celle que préconisait la CNIL : dans son avis rendu l’année dernière, elle recommandait une conservation de ces données « pour une durée maximale de six mois ».